IPFire: Hardware Firewall auf APU.1C4 Bundle mit DMZ und WLAN Access Point
Heute bauen wir uns eine eigene Hardware Firewall, als Betriebssystem setze ich dazu Ipfire ein.
Eine Open Source Firewall Distribution mit Deutschem Ursprung. http://www.ipfire.org
Vorwort
- Es muss die Möglichkeit bestehen seinen Router auf ein (bei Fritzbox exposed host zu vergeben oder seinen Router auf
bridge Modezu schalten)
Genutzte Hardware
- 1x Digitus USB 2.0 RS 232 seriell Adapter
- 1x PC Engines APU.1D4 Bundle
- 1x [UD Atheros XSPANTM](UD Atheros XSPANTM)
- 2x [DELOCK WLANz Antenne](DELOCK WLANz Antenne)
- 1x BIGtec WLAN Adapterkabel RP SMA
Genutzte Software
- win32diskimager
- PuTTY
- IPFire
Der Bau
Der Einbau der Engines APU in das Aluminium Gehäuse gestaltet sich Relativ einfach und ist weitestgehend selbst erklärend.
Wichtig ist an dem Punkt, nicht zu vergessen das beiliegende Kühl Pad an die Richtige Position unter des Mainboard an das Gehäuse zu Kleben.
Da die APU keine Aktive Kühlung hat wird bei Weglassen des Pads die APU ihre besten tage wohl nicht lange haben.
Die Installation
In meiner Konstellation möchte ich Ipfire auf die mPCIe SSD Installieren und natürlich auch davon starten.
Dazu bereiten wir einen USB Stick vor, mit dem wir die APU Booten können. Dazu laden wir uns als aller erstes das ISO Image herunter, das finden wir auf der Ipfire Seite unter http://www.ipfire.org/.
Die nun vorliegende ISO Datei schreiben wir mit dem Tool win32diskimager auf einen USB Stick der mindestens 1GB groß sein sollte. Nachdem unser USB Stick fertig ist stecken wir ihn an einen USB Port der APU.
Wir schließen nun unser USB – Seriell Adapter an unserem PC an und Installieren denn passenden Treiber Download. Bei mir wird der Adapter als COM3 erkannt.
Wir verbinden jetzt Das Seriell Kabel mit der APU und unsrem Adapter. Dazu ist zu beachten das wir Serial line auf COM3 und der Speed auf 115200 gestellt wird, mit einem Klick auf Open starten wir die Verbindung mit unsrer APU.
Nun stecken wir unsere APU an den Strom und sehen sofort auf unsrem PuTTY Fenster eine Ausgabe.
mit einem Klick auf F12 öffnen wir das Boot Menü, dort wählen wir unseren USB Stick aus.
Es sollte sich jetzt das Ipfire Installationsmenü starten.
In diesem angekommen, gehen wir auf den Punkt Serial console options und von dort auf Install IPFire (serial) nun beginnt das Setup und wir klicken uns durch die Menüs, bis wir am Punkt sind wo wir unsere Festplatte auswählen können worauf IPFire installiert werden soll. Wir wählen in unserem Fall die SATA-SSD aus und bestätigen mit einem klick auf Alle Dateien löschen.
Wir wählen ext4 als Dateisystem aus und bestätigen mit OK. Die Installation beginnt!
Nachdem die Installation erfolgreich abgeschlossen ist muss die IPFire Neugestartet werden, unsren USB stick können wir jetzt wieder abstecken.
Die Grundkonfiguration
Nach dem Neustart landen wir in dem Installationsmenü in das wir später jederzeit wieder mit dem Befehl setup springen können, wir wählen de-latin1 und geben unseren Domänennamen ein z.B. xyz.local.
Im Netzwerkkonfigurationsmenü klicken wir auf Typ der Netzwerkkonfiguration werden wir aufgefordert unseren Einsatzzweck zu bestimmen.
In meinem Beispiel ist das GREEN + RED + ORANGE + BLUE (Green = LAN, Red = Internet, Orange = DMZ, Blue = Wlan)
Nun werden wir aufgefordert die Netzwerkkartenzuordnung vorzunehmen.
Für GREEN wählen wir unsere erste PCI Realtek Karte aus.
Für RED das 2. PCI Realtek Interface, für ORANGE das 3. PCI Realtek Interface und für BLUE unseren Qualcomm Atheros Wlan Chip.
Im Punkt Adresseinstellung definieren wir die IP Konfigurationen für jedes unserer Zugeordneten Interfaces, in meinem Fall:
GREEN: IP-Adresse: 10.0.1.1 mit der Subnetmask 255.255.255.0
BLUE: IP-Adresse: 10.0.2.1 mit der Subnetmask 255.255.255.0
ORANGE: IP-Adresse: 10.0.3.1 mit der Subnetmask 255.255.255.0
RED: IP-Adresse des exposed host eintragen.
Im Punkt DNS- und Gatewayeinstellungen wähle ich als DNS die Server vom Chaos Computer Club und meine Fritzbox als Gateway.
Primärer DNS: 213.73.91.35
Sekundärer DNS: 217.79.186.148
Standard-Gateway: 192.168.1.1
Nachdem alles eingestellt wurde können wir mit einem Klick auf Fertig noch einstellen ob wir einen DHCP Server betreiben wollen und ihm Standarteinstellungen übergeben.
Fast geschafft. der Klick auf OK startet unsere IPFire nun neu, währenddessen werden die SSH und HTTPS Zertifikate generiert
Geschafft unser IPFire ist jetzt einsatzbereit!!! Die Postbelegung sollte nun wie folgt aus
Wir verbinden unseren PC mit einem normalen Ethernet-Kabel mit dem Green0 Port unserer Firewall, wenn wir einen DHCP Server aktiviert haben sollten wir eine nun selbständig eine IP-Adresse bekommen.
Um auf das IPFire Admin Interface zu gelangen öffnen wir jetzt unseren Browser und gehen auf https://10.0.1.1:444 und melden uns mit admin und unsrem bei der Installation vergebenen Kennworts ein.
