OpenWrt eine SSID mit mehreren vLANs
hier zeig ich euch wie ihr mit OpenWRT eine SSIDs anlegt, und diese dann auf mehre vLANs aufteilt.
Das Stichwort dazu ist PPSK (Private Pre-Shared Key)
Ich nutze es um die Geräte der Kinder in Separate vLANs zu legen, um dann auf der Firewall jeweils separate Regeln anzuwenden.
Jedes vLAN hat seinen eigenen DHCP Server.
Jetzt kann man sagen ja, das kann ich auch ohne vLANs machen, in dem ich den Geräten eine Feste IP per DHCP zuweise, und darauf die Regeln erstelle.
Ja das ist richtig, aber wenn die Kinder dann auf Dynamic MAC umstellen ist das wieder hinfällig. Da dann die fest zugewiesene IP nicht greift.
Dann kann man zwar immer noch am Access Point, den MAC Adresse Filter anschalten, aber das hat dann auch zur Folge das jede MAC Adresse erst freigegeben wird. Macht es dann bei Gästen immer zu einem Riesen aufwand.
Diese Lösung gibt jedem Kind ein eigenes Wifi Passwort und ein eigenes vLAN.
Ob das Kind jetzt 1 oder 10 Geräte hat. Die Firewall Regeln gelten dann für das ganze vLAN.
Des weiteren kann man auch für Gäste ein Separates Passwort vergeben und diese auch in ein Gäste vLAN legen.
Da ich eine Zentrale Firewall verwende, muss ich die vLANs auch dort anlegen.
vLAN anlegen (Firewall)
Auf der Firewall erstelle ich drei vLANS.
- vlan id 200 = Gäste
- vlan id 201 = Kind 1
- vlan id 202 = Kind 2
Für diese vLANs wird jeweils ein IP Netz, ein DHCP Server und Firewall Regeln erstellt.
OpenWRT SSID
Auf dem OpenWRT Router erstellen wir als erstes ein Wifi über das LuCI Webinterface.
Diese Config werden wir dann später in der Console bearbeiten.
Wireless Security
Hier muss WPA2-PSK ausgewält werden.
Enable Private PSK funktioniert nur mit einem Radius Server. Den wir aber nicht haben. Daher mann wir das später in der Config.
Advanced Settings
Interface Namen vergeben. sollte möglichst kurz sein.
Bitte beachtet das der Interface Name (ifname) nicht zu lang ist, da hier noch was angehängt wird.
Maximal darf diese am ende 15 Zeichen haben.
Wifi-2.4G = 9 Zeichen, Plus Trenner – = 5 Zeichen für den vLAN Namen
Wifi-5.0G = 9 Zeichen, Plus Trenner – = 5 Zeichen für den vLAN Namen
Konfiguration speichern und per LuCi ausrollen.
In der Console schaut die Konfiguration dann in etwa so aus.
cat /etc/config/wirelessconfig wifi-device 'radio0'
option type 'mac80211'
option path 'pci0000:00/0000:00:00.0'
option band '5g'
option channel '48'
option cell_density '0'
option htmode 'VHT80'
option txpower '23'
option country 'DE'
config wifi-device 'radio1'
option type 'mac80211'
option path 'platform/ahb/18100000.wmac'
option band '2g'
option channel '6'
option cell_density '0'
option htmode 'HT20'
option txpower '20'
option country 'DE'
config wifi-iface 'wifinet2'
option device 'radio0'
option mode 'ap'
option ssid 'MeineSSID'
option encryption 'psk2'
option key 'Mein_SSID_PASSWORT'
option network 'lan'
option ifname 'Wifi-5.0G'
config wifi-iface 'wifinet1'
option device 'radio1'
option mode 'ap'
option ssid 'MeineSSID'
option encryption 'psk2'
option key 'Mein_SSID_PASSWORT'
option network 'lan'
option ifname 'Wifi-2.4G'
Nach dem erstellen der SSID MeineSSID sollte man sich auch schon mit dem Passwort Mein_SSID_PASSWORT verbinden können.
OpenWRT Switch vLANs erstellen
Bei meinem OpenWRT router muss ich die vLANs per Switch Modul erstellen. Bei einem anderen Router kann man dies gleich bei den Interfaces machen.
Unter Network –> Switch legen wir die jeweiligen vLANs an.
Welchen Netzwerkport ihr bei euch verwendet hängt von der restlichen Configuration eures Routers ab. Ich verwende den WAN Port meines Routers um zur Firewall zu kommen. Das kann bei euch auch der LAN1 Port sein. Wichtig ist hier, das der Port der zur Firewall geht immer für die zusätzlichen vLANs tagged ist.
OpenWRT Bridge erstellen
Unter Network –> Interfaces –> Devices legen wir jetzt eine Bride an um das vLAN bereitzustellen.
OpenWRT mit Switch vLAN
Wenn der Router Switch Funktion hat legt man die Bridge an.
OpenWRT ohne Switch vLAN
Wenn der Router keine Switch Funktion hat legt man auf der bestehenden Bridge das vLAN an.
OpenWRT Interface erstellen
ich lege das Interface ohne Protokoll an. Das heißt es wird keine IP Adresse zuwiesen.
Das ist nur dann nötig wenn das Interface als Gateway betrieben wird, und Dienste wie DHCP bereitstellt.
Dies wird pro Netzwerk / vLAN wiederholt
OpenWRT Wifi Passwörter per vLAN erstellen
Dieser Schritt kann leider nur in der Konsole gemacht werden.
Hier muss man noch beachten das die Länge aus ifname + Option Name nicht 15 Zeichen überschreitet
Wifi-2.4G = 9 Zeichen, Plus Trenner – plus Gast = 14 Zeichen von 15
nano /etc/config/wirelessconfig wifi-vlan
option name 'Gast'
option iface 'wifinet1'
option network 'gaeste'
option vid '200'
config wifi-station
option iface 'wifinet1'
option key 'Gaeste_Passwort'
option vid '200'
config wifi-vlan
option name 'Gast'
option iface 'wifinet2'
option network 'gaeste'
option vid '200'
config wifi-station
option iface 'wifinet2'
option key 'Gaeste_Passwort'
option vid '200'Ich lege hier für jedes Wifi Band (2,4Ghz = wifinet1 , 5Ghz = wifinet2) eine Konfiguration an.
Das wifi-vlan setzt sich aus diesen Punkten zusammen
Der Name ist jeweils Gast
Das iface des jeweiligen Bandes wifinet1 (2,4ghz) und wifinet2 (5ghz)
Das Netzwerk soll das Interface gaeste sein.
Und die vid 200 nutzen.
Dann wird die wifi-station angelegt.
Das iface des jeweiligen Bandes wifinet1 (2,4ghz) und wifinet2 (5ghz)
Das Passwort Gaeste_Passwort für diese Station
die vid 200 nutzen.
Und das wiederholen wir für jedes weitere vLAN. also 201 und 202 ….
Dann die Wifi config reloaden
/sbin/wifi reloadmittels iwinfo kann man sich dann seine Wifi Stationen anzeigen lassen.
iwinfoWifi-2.4G ESSID: "MeineSSID"
Access Point: 00:31:92:b1:29:ab
Mode: Master Channel: 6 (2.437 GHz) HT Mode: HT20
Center Channel 1: 6 2: unknown
Tx-Power: 17 dBm Link Quality: 70/70
Signal: -38 dBm Noise: -95 dBm
Bit Rate: 115.5 MBit/s
Encryption: WPA-PSK (CCMP)
Type: nl80211 HW Mode(s): 802.11n/g/b
Hardware: embedded [Qualcomm Atheros QCA9560]
TX power offset: none
Channel offset: none
Supports VAPs: yes PHY name: phy1
Wifi-2.4G-Gast ESSID: unknown
Access Point: 00:31:92:b1:29:ab
Mode: Master (VLAN) Channel: 6 (2.437 GHz) HT Mode: null
Center Channel 1: 6 2: unknown
Tx-Power: 20 dBm Link Quality: 70/70
Signal: 0 dBm Noise: -95 dBm
Bit Rate: unknown
Encryption: unknown
Type: nl80211 HW Mode(s): 802.11
Hardware: embedded [Qualcomm Atheros QCA9560]
TX power offset: none
Channel offset: none
Supports VAPs: yes PHY name: phy1
Wifi-5.0G ESSID: "MeineSSID"
Access Point: 00:31:92:b1:29:aa
Mode: Master Channel: 48 (5.240 GHz) HT Mode: VHT80
Center Channel 1: 42 2: unknown
Tx-Power: 23 dBm Link Quality: 49/70
Signal: -61 dBm Noise: -101 dBm
Bit Rate: 250.5 MBit/s
Encryption: WPA-PSK (CCMP)
Type: nl80211 HW Mode(s): 802.11ac/n
Hardware: 0x168c:0x003c 0x0000:0x0000 [Qualcomm Atheros QCA9880]
TX power offset: none
Channel offset: none
Supports VAPs: yes PHY name: phy0
Wifi-5.0G-Gast ESSID: unknown
Access Point: 00:31:92:b1:29:aa
Mode: Master (VLAN) Channel: 48 (5.240 GHz) HT Mode: null
Center Channel 1: 42 2: unknown
Tx-Power: 23 dBm Link Quality: 49/70
Signal: -61 dBm Noise: -101 dBm
Bit Rate: 433.3 MBit/s
Encryption: unknown
Type: nl80211 HW Mode(s): 802.11
Hardware: 0x168c:0x003c 0x0000:0x0000 [Qualcomm Atheros QCA9880]
TX power offset: none
Channel offset: none
Supports VAPs: yes PHY name: phy0
Jetzt sollte zb am Handy immer noch das Wifi MeineSSID sichtbar sein.
Aber wenn man sich mit dem Passwort Mein_SSID_PASSWORT verbindet landent man im Normalen LAN
Verwendet man aber das Passwort Gaeste_Passwort kommt man ins vLAN 200.
Und sowieter für das vLAN 201 und 202
Schreibe einen Kommentar