• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

Firewall Eigenbau (IPFire alix) just for fun

Tux0ne
Level 9
1 von 119

Hier eine kleine Inspiration oder Ansatz wie man Swisscom TV über eine Firewall betreiben kann.

Ich habe mir eine kleine Firewall mit IPFire als OS und einem alix system board zusammengebaut.

 

Als Alternative für kleinere Netzwerke zum veraltetet ALIX Board, bietet sich der Nachfolger von PC Engines auf APU Basis an: http://www.tuxone.ch/2014/03/pc-engines-apu-platform-nun-erhaltlich.html

 

 

Warum IPFire?

IPFire ist eine einfache Firewall Distro auf Linux Basis. Via packfire lassen sich Addons wie der benötigte igmpproxy oder andere Sachen wie AP-Funktionalität, samba usw. installieren.

Zudem bietet IPFire fertige Images für alix Systeme an.

 

Warum alix?

Alix ist ein bewährtes günstiges System. Aus meiner Sicht doch noch relativ wichtig ist der niedrige Stromverbrauch, für eine kleine Firewall im Dauerbetrieb zu Hause nicht irrelevant.

 

Die Komponenten:

OS: ipfire 2.9 - core 50

Hardware:ALIX.2D13 system Board

case1d2blku (Gehäuse)

ac18veur (AC Adapter)

cf1024fd (1GB Compact Flash Card) Achtung neu reicht 1GB nicht mehr. Grössere Karte kaufen!

2 pigsma (I-PEX Kabel)

2 antsma ( WLAN Antennen)

dnma92 (WLAN N miniPCI card)

 

Dazu benötigt man noch einen Compact Flash Card Leser und ein Null Modem Kabel. Dementsprechend auch PC/Laptop mit RS232 Schnittstelle oder entsprechendem Adapter.

Die Hardware dieses alix Systems kostet momentan ca Fr. 135.-

IPFire ist gratis (Spenden nehmen die Entwickler aber gerne an)

 

Mit dieser Ausrüstung kann man sich an die Installation ranmachen.

Beschrieben ist sie schon hier:

http://wiki.ipfire.org/de/installation/start

Keine Hexerei.

Hier noch ein paar pics vom Aufbau.

alixboard.jpg

alixenclosure.jpg ipfirepiccolotandem.jpg

 

 

Konfiguration igmpproxy:

Für den Betrieb von Swisscom TV braucht es einen igmp Proxy, da die Streams ja bekanntlich via Multicast kommen.

Auch hier hat es bereits eine Anleitung:

http://wiki.ipfire.org/de/addons/igmpproxy/start

 

Allerdings braucht es noch Swisscom spezifische Anpassungen.

Diese sehen so aus.

 

igmpproxy.conf

 

########################################################
#
#   Example configuration file for the IgmpProxy
#   --------------------------------------------
#
#   The configuration file must define one upstream
#   interface, and one or more downstream interfaces.
#
#   If multicast traffic originates outside the
#   upstream subnet, the "altnet" option can be
#   used in order to define legal multicast sources.
#   (Se example...)
#
#   The "quickleave" should be used to avoid saturation
#   of the upstream link. The option should only
#   be used if it's absolutely nessecary to
#   accurately imitate just one Client.
#
########################################################

##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave


##------------------------------------------------------
## Configuration for eth0 (Upstream Interface)
##------------------------------------------------------
phyint red0 upstream  ratelimit 0  threshold 1
            altnet 224.0.0.0/4    #Mcst
            altnet 213.3.72.0/24  #TV 2.0 Infra
            altnet 195.186.0.0/16 #TV Bluewin Infra
             
##------------------------------------------------------
## Configuration for eth1 (Downstream Interface)
##------------------------------------------------------
phyint green0 downstream  ratelimit 0  threshold 1
            altnet 192.168.2.0/24 #local Net
     

##------------------------------------------------------
## Configuration for eth2 (Disabled Interface)
##------------------------------------------------------
phyint tun0 disabled
phyint red0 disabled
phyint orange0 disabled

 

firewal.local

firewalllocal.JPG

 

rc.local

rclocal.JPG

 

Mit dieser Anpassung und einem Reboot funktioniert Swisscom TV. Zumindest mit einer STB. Ob es mit mehrerern auch geht weiss ich nicht.

Die Findigen sehen in der igmpproxy.conf das die STB mit der IP eingetragen wird. Die Faulen ersparen sich Ärger indem man zB den lease Typ auf statisch setzt. Wie man will. Viele Wege führen nach Rom.

 

 

Zum Abschluss hier noch eine kleine Techdemo mit Blingbling.

Bei Fragen so fragt, ansonsten gilt wie immer. RTFM :smileywink:

 

 

edit: 19.02.2012

  • Warnung Kartengrösse eingefügt
  • igmpproxy.conf aktualisiert

edit: 04.04.2014

  • igmpproxy.con aktualisiert
  • Verweis auf Alix Alternative APU
Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Editiert
HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
Tux0ne
Level 9
6 von 119

Hi stimo.

 

Ja kein Problem. 

http://www.tuxone.ch/2012/10/betriebsmodi-swisscom-motorola-router.html Bridge Mode

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
118 Kommentare 118
marcus
Super User
2 von 119

Habe seit ca. 2 jahren IPFire im erfolgreich Einsatz.

Nicht zuhause, sondern für ein Produktivsystem.

Es gibt nichts einfacheres und flexibleres ..

Und ALIX rockt einfach. Habe ein Board mit 3G als Backup fürs I-Net..

Einfach cool.

 

Allerdings für die meissten trotz einfacher Konfiguration too much.

 

Aber wie auch schon in anderen Beiträge empfohlen, ist es die Lösung für viele Netzwerkprobleme mit normalen Routern.

cu Marcus
Die Swisscom Community ist ein Kunde-hilft-Kunde-Forum.
cu Marcus
Die Swisscom Community ist ein Kunde-hilft-Kunde-Forum.
Tux0ne
Level 9
3 von 119

Ja du hast recht.

ALIX rockt wirklich. Diverse boards massig Anwendungen.

 

In meinem Fall reichen die 500Mhz des Geode locker. Die CPU wird beim TV Streaming mit ca 20% belastet.

Das RAM reicht auch. Werde aber für eine erweiterte Anwendung noch ein bisschen SWAP via USB Stick einrichten. Habe ich beim Pirelli auch so gemacht.

Und ja es ist eigentlich relativ einfach. Aber es ist Linux und da ist nun mal nicht alles GUI. Dazu gehören confs und die shell. Dafür sieht man was man macht.

 

 

cpuload.JPG

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
marcus
Super User
4 von 119

Habe auch Festgestellt, das das Linux sehr effektiv arbeitet.

Und man kann durch div. Plug-Ins nette Features hinzufügen.

Fehlt blos noch ein Mini-PCI VDSL-Modem, dass im ALIX läuft.

Dann hätte man noch ein Gerät weniger.

cu Marcus
Die Swisscom Community ist ein Kunde-hilft-Kunde-Forum.
cu Marcus
Die Swisscom Community ist ein Kunde-hilft-Kunde-Forum.
Stimo
Level 1
5 von 119

hallo TuxOne

 

Ich habe eine Frage und zwar wollte ich wissen ob diese zusammenstellung auch mit dem noch alten Netopia Router funktionieren würde? Wweist du das vielleicht?

 

Gruss

Stimo

Tux0ne
Level 9
6 von 119

Hi stimo.

 

Ja kein Problem. 

http://www.tuxone.ch/2012/10/betriebsmodi-swisscom-motorola-router.html Bridge Mode

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Stimo
Level 1
7 von 119

ich benutzen eben auch Swisscom TV. Was empfiehlst du mir nun? Ich habe den alten Netopia und benutze  Swisscom TV. Das heisst für mich was genau?

Tux0ne
Level 9
8 von 119

Was möchtest du machen? Ein ipfire System bauen?

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Stimo
Level 1
9 von 119

Ja genau, sorry.

Muss ich die gleiche einstellungen anwenden wie mit dem neueren router, dafür muss ich einfach den bridge mode einschalten?

Tux0ne
Level 9
10 von 119

Also der Bridge Mode ist mit den älteren Netopia Geräten wesentlich einfacher zu bewerkstelligen als mit den aktuellen Centro's.

Ich würde also schon einfach den Bridge Mode verwenden. Somit hast du die öffentliche IP direkt auf der IPFire.

 

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Stimo
Level 1
11 von 119

Ach so. Ich bin im geschäft und da kann ich die wiki seite nicht öffnen so kann ich dies alles nicht einsehen. Ich werde es mir dann noch anschauen und es versuchen wenn ich mein Alix bekomme. Danke schon mal! Ich werde sicher nochamls drauf kommen.

 

Gruss

Stimo

Tux0ne
Level 9
12 von 119

Ja kein Problem.

Du kannst auch diesen Thread noch durchlesen. Da wird einiges noch etwas genauer erklärt.

http://supportcommunity.swisscom.ch/t5/Diskussionen-zu-PC-Heimnetzwerk/Synology-DS-in-einer-DMZ/m-p/...

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Stimo
Level 1
13 von 119

mir ist gerade etwas eingefallen. Wieso braucht es die ganzen einstellungen für IPTV von Swisscom, wenn man die verbindungskits direkt an den router anschliesst, und der rest an der alix, könnte man sich das ganze sparen oder verstehe ich das falsch?

 

gruss

Stimo

Tux0ne
Level 9
14 von 119

Ja richtig.

Wenn du das so machen möchtest kannst du dir diese Einstellungen sparen.

Dann würde ich aber im Netopia Router den IP-Weiterleitungs Modus verwenden.

Im Bridge Mode würde die TV Box bzw. die ganze Kombination so wie du es möchtest nicht mehr funktionieren!

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Stimo
Level 1
15 von 119

gibt es irgendwelche vorteile bei dem igmpproxy, als den verbindungskit direkt am router anzuschliessen?

Tux0ne
Level 9
16 von 119

Vorteil ist, dass du zB. nur ein internes Netzwerk machen kannst.

Du hast den Traffic von Swisscom TV durch die Firewall.

Hast dadurch Statisktiken usw.

Wenn man das nicht braucht, könnte man ja auch eine Crapwall von Zyxel verwenden 🙂

 

Auch wenn ich ipfire wesentlich stabiler halte als die Swisscom Gateways ist die ganze Geschichte schon nicht ohne.

Es ist für den Anfang vielleicht einfacher du lässt es mal getrennt. Den igmpproxy von ipfire in Betrieb nehmen und das Ganze zu verbinden, kannst du später immer noch.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Stimo
Level 1
17 von 119

hallo Tuxone

 

ich habe bis jetzt alles so gemacht wie du beschrieben hast. Ich komme aber nun nicht weiter nach der aktivierung des bridge-modus. Es bleibt immer der gleiche status wie im bild unten. Baue Verbindung auf...

 

Ich weiss echt nicht was der Fehler ist, was ich vielleicht noch nicht eingesttelt habe. Weisst du an was es liegen könnte?

 

mfg

Stimo

 

IPFire - Startseite - Google Chrome_2012-12-01_18-31-59.png

Tux0ne
Level 9
18 von 119

Hoi stimo.

 

Kannst du den genauen Router-Typ nennen den du als Bridge verwenden möchtest?

Wie möchtest du die IP weitergeben? Wirklich im Bridge Mode oder mittels IP-Weiterleitung?

Falls du IP-Weiterleitung verwendest musst du das LAN der ipfire in ein anderes Subnet setzen, ansonsten kommts zu einer Kollision.

Wie hast du das LAN der ipfire konfiguriert?

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Stimo
Level 1
19 von 119

Der Router-Typ ist folgender:

Motorola Netopia Router - Google Chrome_2012-12-02_09-40-03.png

 

Ich möchte, so wie du auf den einen Artikel geschrieben hast via BridgeMode weiterleiten, da Ich ja auch Swisscom TV benutze.

Nun wenn ich das Bridining einschalte und das UPnP weghöckle, muss ich zuerst auch den DHCP-Server ausschalten, auf dem Router und den DHCP-Server auf dem Iipfire laufen lassen?

 

Bei den "DNS und Gateway Einstellungen" muss ich da etwas angeben oder gar nichts?

Ich habe das so eingestellt aber ich deneke mittlerweile das dies falsch sei:

COM8 - PuTTY_2012-12-02_09-51-59.png

 

Gruss

Stimo

Tux0ne
Level 9
20 von 119
  1. Stellst du den WAN Port der IPfire auf DHCP und entfernst alle Informationen welche du bei den DNS und Gatewayeinstellungen geschrieben hast.
  2. Legst du die IPfire weg.
  3. Verbindest dich nur mit dem Swisscom Router und stellst diesen in den Bridge Mode. Upnp kannst du noch entfernen. DHCp musst du nicht deaktivieren, dies geschieht schon automatisch. Drückst abschliessend auf speichern. Der Router startet nun neu.
  4. Ist der Zeitpunkt wo du den Swisscom Router nur noch mit dem WAN Port der Ipfire verbindest und das restliche Netzwerk hinter den LAN Port der Ipfire.
  5. Gibst du der IPfire Strom sobald die DSL Verbindung des Swisscom Routers steht (LED Leuchtet)

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Nach oben