Mit der freien Firmware DD-WRT entfesseln Sie das volle Potenzial der funktionsreichen WLAN-Router WZR-HP-AG300H von Buffalo.
Drahtlose Netzwerke haben sich längst in Firmen, Wohnungen und Eigenheimen etabliert. Als interessante Alternative zu technisch oft eher mäßig tauglichen WLAN-Routern von Providern bieten sich dabei Geräte an, die statt proprietärer Firmware Linux als Betriebssystem verwenden: Hier dürfen Sie sicher sein, dass die Software aufgrund des offenen Quellcodes keine Hintertüren für Spitzel enthält und keine groben Fehler den Betrieb stören.
Unangefochtener Platzhirsch unter den speziellen Router-Distributionen ist DD-WRT, das in mehreren – teils mit proprietären Komponenten angereicherten – Varianten existiert. Es erfreut sich bei Herstellern wachsender Beliebtheit, so auch beim japanischen Unternehmen Buffalo Technology. Das setzt bei seinen WLAN-Routern der AirStation-HighPower-Serie zunehmend auf DD-WRT und wirbt offensiv damit.
Wir erhielten zum Test einen AirStation-Nfiniti-HighPower-Router vom Typ WZR-HP-AG300H [1], der über eine beeindruckende Anzahl von technischen Schmankerln verfügt: So bietet die Hardware neben fünf Gigabit-LAN-Schnittstellen auch WLAN im 2,4- und 5-GHz-Band, wobei das Gerät alle international gültigen Standards unterstützt (siehe Tabelle “Spezifikationen”). Ein integrierter USB-Port erlaubt zudem, ein 3G-Modem oder ein NAS-System anzubinden. Es besteht die Option, den Router statt mit dem vorinstallierten DD-WRT auch mit einer proprietären Firmware zu betreiben.
Zum Lieferumfang zählt neben dem Router mit Netzteil ein LAN-Kabel sowie ein USB-Verlängerungskabel mit einem USB-Dock. Das ermöglicht es, einen 3G-Modem-Stick einige Meter entfernt vom Router zu betreiben. Zusätzlich liefert der Hersteller noch eine kurze Anleitung und ein Faltblatt mit, welches mehrsprachig in Form einer Tabelle auf die Unterschiede zwischen den beiden Firmware-Versionen hinweist.
Spezifikationen
| WAN/LAN | |||
|---|---|---|---|
| LAN-Schnittstellen | 4 | ||
| WAN-Schnittstellen | 1 | ||
| Übertragungsraten | 10/100/1000 Mbit/s | ||
| WAN-Sicherheit | Dynamische Paketfilterung, Einbruchserkennung, NAT/SPI-Firewall | ||
| WLAN | |||
| Übertragungsraten | 802.11n: 300 Mbit/s, 802.11a/g: 54 Mbit/s, 802.11b: 11 Mbit/s | ||
| Sicherheit | WPA2-PSK (AES, TKIP), WPA-PSK (AES, TKIP), 128/64-Bit-WEP, MAC-Adressfilter | ||
| Sonstiges | |||
| USB | 1 x USB 2.0 (Type A) | ||
| Maße/Gewicht | 65 x 30 x 158mm (BxHxT) / 340 Gramm | ||
| @@TL:Verbrauch | 14 Watt (max.) | ||
| Preis (ca.) | 95 Euro (Straßenpreis) | ||
Inbetriebnahme
Der Buffalo-Router bringt kein eigenes DSL-Modem mit. Verwenden Sie einen kabelgebundenen DSL-Zugang, brauchen Sie zusätzlich ein handelsübliches DSL-Modem, das Sie an die vom Hersteller blau gekennzeichnete Buchse anbinden. Die vier weiteren schwarzen RJ45-Anschlüsse sind für Endgeräte gedacht und erlauben eine Durchsatzrate von maximal 1 Gbit/s.
Nach dem Aufbau des Routers verbinden Sie sich per WLAN mit dem Gerät. Die Standardeinstellungen für die SSID im 802.11a- und (getrennt davon) im 802.11g-Netz sowie den WPA-Schlüssel finden Sie auf einem kleinen Aufkleber am Gehäuse der AirStation. Haben Sie den Kontakt zum Router hergestellt, rufen Sie in einem Webbrowser die IP-Adresse 192.168.11.1 auf, um das Webinterface zu erreichen. Sie gelangen nun zunächst in einen Bildschirm, der Sie zum Ändern des Passwortes für den Router auffordert.
Der entsprechende Dialog weist jedoch Schwächen auf: So akzeptiert das System ohne Murren Benutzernamen mit lediglich vier Zeichen sowie ein mit dem Namen identisches Passwort. Verwenden Sie besser unterschiedliche Zeichenfolgen für Username und Passwort sowie für beide Angaben eine Kombination aus Buchstaben, Sonderzeichen und Zahlen. Nach der Konfiguration des Router-Zugangs geleitet Sie das System in eine Seite mit ausführlichen Statusanzeigen, wobei die einzelnen Informationen sinnvoll gruppiert sind. Im Kasten Router oben links sehen Sie die wichtigsten Angaben zur Hardware.
Rechts oben im Kasten Services sehen Sie die einzelnen Dienste, die auf dem Buffalo-Gerät laufen. Hier sind ab Werk alle Dienste mit Ausnahme des DHCP-Servers deaktiviert. Der Kasten WLAN mittig links enthält Angaben zum aktuell in Betrieb befindlichen drahtlosen Netz. Der Buffalo-Router verfügt über zwei Schnittstellen. Sie fragen hier die einzelnen Statusinformationen durch den Wechsel des Interface von ath0 auf ath1 ab.
Der Kasten Speicher rechts mittig liefert Angaben zur Belegung des internen Speichers der AirStation. Der Kasten Paket-Info unten links bietet Zahlen zum Datentransfer, während Space Usage rechts daneben den Speicherverbrauch anzeigt, sofern entsprechende Dateisysteme gemountet sind. Abschließend finden Sie im unteren Bereich noch Informationen zu den verbundenen Clients.
Konfiguration
Im oberen Teil des Infofensters residiert eine horizontale Leiste mit verschiedenen Schaltflächen zur Konfiguration des Geräts. Ein Klick auf den ersten Eintrag, Setup, öffnet direkt darunter eine weitere Leiste mit Optionen. Für Einsteiger bietet die Software dabei im linken Menü Basis-Setup einen Assistenten an, mit dessen Hilfe Sie in wenigen Schritten die grundlegende Konfiguration des Routers anpassen. Rechts blendet die Software dazu kontextsensitive Texte ein.
Insbesondere im Reiter WLAN Einstellungen lohnt es sich, genau hinzusehen: Da der Buffalo-Router in standardisierten Bändern bei 2,4 GHz und 5 GHz arbeitet, sind je nach Schnittstelle unterschiedliche Konfigurationen möglich. In Europa kommt primär das 2,4-GHz-Band zum Einsatz, viele hierzulande vertriebenen WLAN-Komponenten kommen daher nicht mit dem 5-GHz-Band klar. Daher sollten Sie Ihr Augenmerk zunächst auf die Schnittstelle ath0 legen.
Ein weiteres Problem ergibt sich oft, wenn Sie ältere Geräte im WLAN betreiben, da diese lediglich den 802.11g-Standard unterstützen. In diesem Fall dürfen Sie im Feld WLAN-Netzwerk-Modus nicht die Option Nur-N (2.4 GHz) anwählen, da Sie die alten Geräte sonst aussperren. Beabsichtigen Sie, sehr betagte WLAN-Endgeräte nach der Norm 802.11b zu nutzen, empfiehlt es sich, in der Auswahl WLAN-Netzwerk-Modus den Punkt Nur-B zu nutzen. Der reibungslose Betrieb setzt aber voraus, dass Sie im Bereich Sicherheitsmodus die Option WEP aktivieren. Nahezu alle alten WLAN-Endgeräte erlauben keine Verschlüsselung nach WPA- oder gar WPA2-Spezifikation (Abbildung 1) – entsprechend unsicher ist der Datentransfer.
Abbildung 1: Die Einstellungen am Router nehmen Sie komfortabel per Webbrowser vor.
Im Bereich WLAN-Sicherheit, der zu jeder physikalisch vorhandenen Schnittstelle getrennte Einstellungen erlaubt, sollten Sie für die beiden Interfaces unterschiedliche Schlüssel definieren und im Feld WPA-Algorithmus jeweils AES einstellen, sofern Sie als Sicherheitsmodus WPA2 Personal Mixed oder WPA2 Personal gewählt haben. Optionen wie RADIUS und WPA2 Enterprise deuten hier darauf hin, dass sich die Hardware durchaus an professionell orientierte Anwender richtet, die ihr WLAN mit einem Server zum Authentifizieren absichern möchten.
Im letzten Reiter des Assistenten finden Sie Einstellungen zum AOSS-Modus, den insbesondere Spielkonsolen und Smartphones unterstützen. Mit einem Klick auf die Schaltfläche Anwenden schließen Sie die Konfiguration ab. Haben Sie die Konfiguration der WLAN-Schnittstellen beendet, besteht nun die Möglichkeit, Clients mit dem Router zu verbinden. Im Menü Status | WLAN zeigt die Firmware die aktuell verbundenen Maschinen an, komplett mit jeweils genutzter Schnittstelle sowie die Transferraten.
Safety first!
Der Buffalo-Router bringt eine ab Werk bereits aktivierte Firewall mit und bietet zusätzlich diverse Filteroptionen an. Es empfiehlt sich, im Kasten Zusätzliche Filter die vier angebotenen Optionen einzuschalten und damit insbesondere Java-Applets und ActiveX zu blockieren. Im Menü WLAN | MAC-Filter legen Sie MAC-Adressen der Hardware fest, die sich mit dem Router verbinden darf. Nutzen Sie die Buffalo-AirStation als Zugangspunkt für eine DMZ, in der ein Server mit permanenter IP-Adresse arbeitet, aktivieren Sie im Kasten Impede WAN DoS/Bruteforce beide angebotenen Optionen, um Brute-Force-Attacken von außen zu blockieren.
Um Problemen schneller auf die Spur zu kommen, sollten Sie außerdem im Kasten Log-Verwaltung die Protokollfunktion einschalten sowie im Bereich Optionen abgewiesene und zurückgewiesene Pakete aufzeichnen. Bei Bedarf sichten Sie die Logs für ein- und ausgehende Verbindungen jederzeit über einen Klick auf die entsprechende Schaltfläche ganz unten im Fenster. Mit einem Klick auf den Schalter Speichern sichern Sie die Daten.
Im Menü Zugriffsbeschränkung | Internet-Zugriff definieren Sie zusätzlich zu den genannten Merkmalen unterschiedliche Richtlinien für den Zugriff. Dabei bietet die Software die Möglichkeit, Zeitintervalle anzugeben, während derer Clients auf den Router zugreifen dürfen. Zudem weisen Sie bei Bedarf einzelnen Rechnern eigene Richtlinien zu, wobei hier als Kriterium die MAC-Adresse des jeweiligen Computers oder dessen IP-Adresse zur Auswahl steht. Um das Verfahren zu vereinfachen, dürfen Sie auch Gruppen von IP-Adressen Richtlinien zuweisen.
Weitere Filterfunktionen finden Sie im gleichen Menü in den Kästen Blockierte Services, Webseite mithilfe einer URL blockieren und Webseite mithilfe von Schlagworten blockieren. Insbesondere die unter der Rubrik Services subsumierten Filteroptionen stellen einen echten Sicherheitsgewinn dar: Hier blockieren Sie, wenn nötig, die unterschiedlichsten Peer-to-Peer-Protokolle, um so Spiele oder Dienste zum Dateitransfer aus dem WLAN auszuschließen (Abbildung 2).
Abbildung 2: Ausgeklügelte Filter blockieren gefährliche oder gar illegale Inhalte.
Radius-Server
Da WPA2 Personal einige Schwachstellen aufweist und daher nicht mehr als wirklich sicher gilt, setzt das verbesserte WPA2 Enterprise auf das Anmelden über einen Radius-Server mithilfe von Zertifikaten. Die Buffalo-AirStation bringt dazu einen in die Firmware integrierten FreeRadius-Server mit. Zum Einrichten der Funktion aktivieren Sie im Menü Administration | Management die JFFS2-Unterstützung und ändern die Konfiguration der WLAN-Schnittstellen, indem Sie dort den WPA2 Enterprise zum Authentifizieren einsetzen.
Danach wechseln Sie ins Menü Service | FreeRadius. Hier schalten Sie zunächst den FreeRadius-Dienst durch einen Klick auf den entsprechenden Radiobutton ein. Anschließend generiert der Dienst nach Eingabe der Optionen und einem Klick auf Erzeuge Certificate ein Zertifikat. Nun tragen Sie in der Eingabemaske des Fensters die Clients im Kasten Klienten ein. Anschließend passen Sie auf den im Netz befindlichen Workstations in der Konfiguration für die Netzwerkschnittstellen das Zertifikat sowie die neue Methode zum Authentifizieren an. Nach einem erneuten Start der entsprechenden Schnittstelle läuft diese nun über den Radius-Server (Abbildung 3).
Abbildung 3: Mit dem Radius-Server sichern Sie Ihr WLAN professionell ab.
Extras
Beabsichtigen Sie, Ihre AirStation über UMTS/HSPA mit dem Internet zu verbinden, dann nutzen Sie dazu die USB-Schnittstelle des Routers. Sie ist ab Werk ausgeschaltet, da ein aktives Interface am Router eine erhebliche Sicherheitslücke bedeutet. Um den USB-Anschluss für den Einsatz des UMTS/HSPA-Modems zu nutzen, aktivieren Sie zunächst im Menü Services | USB die USB Kern-Unterstützung. Anschließend schalten Sie im Menü Setup | Basis-Setup im Bereich WAN-Einstellungen den Verbindungstyp auf 3G/UMTS.
In der sich öffnenden Eingabemaske hinterlegen Sie Ihre persönlichen Zugangsdaten und speichern anschließend die Konfiguration. Danach bucht sich der Router ins 3G-Netz ein. Alle anderen Einstellungen bleiben unberührt, sodass Sie bei Bedarf in diesem Menü den Zugang zum Internet schnell und unkompliziert wechseln.
Auf ähnliche Weise binden Sie externe Speicher als NAS-System ins Intranet ein: Zunächst aktivieren Sie im Menü Services | USB neben der USB Kern-Unterstützung die USB Storage Unterstützung und das Automatische Drive Mount. Anschließend tragen Sie im Menü Services | NAS die entsprechenden Angaben ein und aktivieren den FTP-Server, um das externe Laufwerk im Netz bereitzustellen.
Fazit
Der Buffalo AirStation-WLAN-Router mit ab Werk installiertem DD-WRT überzeugt auf der ganzen Linie. Im Test fiel das Gerät durch ausgezeichnete Leistungen beim Senden und Empfangen im WLAN auf. Durch die Vielfalt der Anschlüsse geht der Funktionsumfang jedoch weit über den eines herkömmlichen Routers hinaus.
Bei Bedarf bauen Sie die AirStation zu einer kompakten Zentrale im Netzwerk aus, wobei Sie dank der offenen Firmware keinerlei Abstriche in Sachen Sicherheit zu machen brauchen. Für Einsteiger eignet sich der Router mit der DD-WRT nur dann, wenn Sie bereit sind, sich tiefer in die Materie einzuarbeiten.
Wer den gewaltigen Funktionsumfang von DD-WRT nicht benötigt und ein einfaches Interface bevorzugt, der setzt auf der AirStation die vom Hersteller zu Werbezwecken als “benutzerfreundlich” bezeichnete Firmware ein, die Buffalo im Internet zum Download bereithält [2].
Infos
[1] Produktinformationen: http://buffalo-technology.de/products/network-devices/wireless-routers/airstationtm-nfinititm-dual-band/airstation-trade-nfiniti-trade-dual-band-wireless-n-gigabit-router-access-point/
[2] Firmware-Download: http://www.buffalotech.com/products/wireless/dual-band-wireless-routers/airstation-highpower-n600-gigabit-dual-band-wireless-router-wzr-hp-ag300h
