Benutzer-Werkzeuge

Webseiten-Werkzeuge


projekte:firewall-migration

Dies ist eine alte Version des Dokuments!


Hinweis: Dieser Artikel ist unvollständig, er wird in naher Zukunft aktualisiert.

Im Laufe meiner IT-„Green-isierung“ stand Januar/Februar 2010 auch die Migration meiner aktuellen Firewall an. Grund hierfür war der zu hohe Stromverbrauch.

Altes System

IBM Thinkcentre S50

Nachdem ich anfang noch einen IBM NetVista 2800 8364-EXX Thin-Client benutzte, stand letztes Jahr ein Hardware-Upgrade auf ein IBM Thinkcentre S50 an. Das war nötig, da ich von IPCop 1.4 auf die 1.9er Beta updatete. Diese Version war auf dem alten System nicht produktiv nutzbar.

Das Thinkcentre war mit einem 64bit-fähigen Intel Celeron-Prozessor war das System ein wenig überdimensioniert, was sich leider auch im Verbrauch niederschlug. Während das vorherige System lediglich ~30 Watt verbrauchte, schlug der Stromverbrauch beim Thinkcentre mit ~50 Watt ordentlich zu Buche.

Überlegung neues System

ALIX.2D3-Mainboard

Um Strom zu sparen, wollte ich in erster Linie auf ein eingebettetes System setzen, das nur das mitbringt, was wirklich benötigt wird - also 3x NIC und miniPCI für eine WLAN-Schnittstelle und vielleicht einen RS232-Port für eine Konsole.

CPU-technisch wollte ich hier nicht auf Atom setzen, da die meisten erschwinglichen Atom-CPUs aufgrund eines leicht angestaubten Intel-Chipsatzes relativ viel Strom verbrauchen. Ferner halte ich eine Atom-CPU für ein Heimnetzwerk für überdimensioniert.

Die Unterstützung von WRAP- und ALIX-Mainboards sind bei IPCop und EMBCop hervorragend. Diese Mainboards vom Hersteller PC Engines sind spezielle eingebettete Systeme, welche es in verschiedenen Konfigurationen gibt. So gibt es Systeme mit mehreren NICs, mehreren miniPCI-Ports für WLAN-Karten, optional VGA-Ports, etc. Meine Anforderungen waren drei Netzwerkkarten und einen miniPCI-Port für eine WLAN-Karte. Somit war meine Überlegung das Modell ALIX.2D3. Dieses hatte, ohne Erweiterungskarten und USB-Geräte, einen Stromverbrauch von 4-5 Watt.

Dieses Modell verfügt, warum auch immer, aber über keine RTC-Batterie. Somit würden bei einer Stromunterbrechung die Uhrzeit und die BIOS-Konfiguration verloren gehen, was ein wenig unpraktisch ist. Es gibt ein weiteres Modell namens ALIX.2D13, welches über eine RTC-Batterie und eine IDE-Schnittstelle verfügt. Das ist interessant, falls ich einmal auf eine Notebook-Festplatte upgraden möchte.

Ich habe mir bewusst ein ALIX und kein WRAP-System überlegt, da laut mehrerer User-Reviews WRAP-Systeme mit IPCop deutlich langsamer sind als ALIX-Systeme.

Es gäbe noch weitere eingebettete Systeme, wie beispielsweise das Beagleboard. Dieses ist ein noch kleineres Mainbaord mit 2 OMAP/ARM-Prozessoren im Verbund, welches sich auch dazu eignet, HD-Videos abzuspielen. Dieses gibt es allerdings nur mit 2 NICs, was für mich zu wenig ist - auch wenn der Stromverbrauch von 2 Watt sehr lukrativ wäre. Die Stromversorgung könnte also über Netzteil, USB-Port oder - wie beim ALIX-System - auch mittels PoE (Power on Ethernet) erfolgen. Für mich kommt ein solches System allerdings nicht in Frage, da ich keine Grafikausgabe benötige und 2 NICs für mich zu wenig sind. Ferner fehlt WLAN, also leider untauglich.

Tatsächliche Konfiguration

Letztendlich habe ich ein komplettes Bundle mit folgender Konfiguration gekauft:

  • Mainboard ALIX.2D13
  • 4 GB CompactFlash-Speicherkarte mit Kingston-Markenspeicher
  • Netzteil
  • Silbernes Gehäuse
  • miniPCI-WLAN Karte (Compex WLM200NX 6A, Atheros Chipsatz, 2,4/5GHz, a,b,g und n-Draft)
  • 2x externe WLAN-Antennen mit 9dbi für hohe Sende-/Empfangsleistung
  • 2x Antennenkabel zur Anbindung der externen WLAN-Antennen

Bis auf die zwei Löcher für die WLAN-Antennen wird alles vorkonfiguriert und verschraubt geliefert. Diese müssen nachträglich hineingebohrt werden.

Für diese Zusammenstellung habe ich, inklusive Versand und MwST, exakt 200 Euro bezahlt. Das ist für ein eingebettetes System in dieser Konfiguration äußerst günstig.

Umbau

Aufgebohrtes ALIX-Gehäuse ALIX-Gehäuse mit WLAN-Antennenanschlüssen

An der Rückseite des ALIX-Gehäuses ist neben den Anschlüssen für RJ45-Ports, Strom- und RS232-Anschluss nicht sehr viel Platz. Mit etwas geschickt kann man allerdings ohne Probleme dort noch zwei WLAN-Antennenbuchsen unterbringen.

Hierzu empfiehlt es sich links neben dem RS232-Port und rechts neben dem Strom-Anschluss zwei kleine, etwa 6,2 mm große Löcher zu bohren. Hierfür ist es sinnvoll zwei oder drei kleinere Bohrer zu verwenden und vor dem eigentlichen Bohren mit einem Körner die Stelle zu fixieren - so kann man hässliche Kratzer vermeiden.

Von der Gehäuseinnenseite wird der mitgelieferte Fixierring eingelegt, von der Außenseite wird eine Mutter aufgedreht, um die Buchse fest mit dem Gehäuse zu verbinden.

Nun können auch problemlos größere Antennen fixiert und aufgedreht werden.

Installation und Inbetriebnahme

Die Installation gestaltet sich relativ unspektakulär.

Zunächst muss ein Image (Abbild) für den IPCop bezogen werden. Ein solches findet sich auf der Webseite des IPCop-Forums, nach einer Registrierung kann man es kostenlos herunterladen.

Ich persönlich habe das 2 GB Image benutzt, obwohl ich eine 4 GB-Karte besitze. Grund hierfür war, dass das Image wohl einige Kilobyte größer war als meine CF-Karte - das Resultat war eine fehlerhafte Installation. Bei allen angeboteten Images in den Größen von 512 MB bis 4 GB ist die Größe der Installation meistens gleich, von daher ist es also ohne Bedenken machbar, ein kleineres Image zu verwenden.

Um das Image auf die Speicherkarte zu spielen, bedarf es einen Kartenleser zu besitzen. Die Compact Flash-Karte darf keine Partitionen erhalten. Unter Linux kann dies einfach mit dem Tool fdisk bewerkstelligt werden, während unter Windows sich hier das Abbrechen eines Formatierungsvorgangs der CF-Karte nach etwa 30 Sekunden bewährt hat.

Das Image selbst kann mit Phydiskwrite unter Windows auf die Karte geschrieben werden. Unter Linux ist dieser Vorgang mithilfe des Programms dd einfach zu bewerkstelligen:

 # dd if=2_gb_image.img of=/dev/sdb

Wichtig ist es hier, das richtige Laufwerk auszuwählen. Im Zweifelsfall können mit dmesg und fdisk -l als Hilfe dienen.

Der Image-Vorgang kann einige Minuten dauern, nach diesem sollte unter Linux die Karte vor dem Entfernen sicherheitshalber noch ausgeworfen werden:

 # eject /dev/sdb

Installationsassistent

Um auf den ALIX zuzugriefen, muss dieser mit einem Nullmodemkabel mit einem Computer verbunden und ein Terminal-Emulator, wie beispielsweise PuTTy oder minicom aufgerufen werden. Folgende Konfiguration muss vorgenommen werden:

  • Baud-Rate: 38400
  • Hardware-Flusssteuerung
  • kein Stoppbit
  • 8 Databits

= 38400 8N1

Wenn die Konfiguration vorgenommen wurde, kann der ALIX eingeschaltet werden und die Ausgaben landen auf dem Bildschirm.

Beim ersten Boot wird das Dateisystem gecheckt, eventuell muss manuell dieser Check durchgeführt werden. Hier wird nach dem Passwort (ipcop) gefragt und anschließend eine Shell angezeigt. In dieser werden folgende Befehl abgesetzt:

 # fsck /dev/harddisk1
 # fsck /dev/harddisk2
 # fsck /dev/harddisk4

Nach einem weiteren Reboot, welcher durchaus einige Zeit in Anspruch nehmen kann (warten, nicht das Stromkabel ziehen!), wird der eigentliche IPCop-Login angezeigt. Der Benutzer root hat das Passwort ipcop. Nach dem Login wird das Installationsprogramm mit folgenden Aufruf gestartet:

 # cfinstaller

Abgefragt werden hier übliche IPCop-Parameter, wie Netzwerkkonfiguration, Land, Sprache, etc. Nach dem Assistenten wird der IPCop ein weiteres Mal neugestartet und ist dann fertig eingerichtet.

WLAN-Matters

Letztendlich habe ich noch eine zweite WLAN-Karte gebraucht, das Problem war, dass die n-Draft Karte von IPCop 1.4.2.x nicht unterstützt wurde. Die IPCop 1.9 Beta unterstützt diese Karte wohl, allerdings möchte ich keine instabile Software in meinem Netzwerk verwenden.

Aus diesem Grund habe ich mir einfach eine herkömmliche 54 a/b/g Netzwerkkarte gekauft und diese im ALIX verbaut. Wenn ich irgendwann dann auf IPCop 1.9 update, kann ich dann die n-Draft WLAN-Karte verbauen.

Internet-Verweise

projekte/firewall-migration.1276859295.txt.gz · Zuletzt geändert: 2010/06/18 13:08 von christian