Planung und Hardwarewahl

Bevor die entsprechende Hardware bestellt werden kann, sollte man sich Gedanken machen, welche Aufgaben der Eigenbau-Heimrouter übernehmen soll. Da ein Eigenbau-Heimrouter deutlich mehr Aufgaben übernehmen kann als ein gewöhnlicher Heimrouter, möchte ich mit der nachfolgenden Liste einen kleinen (unvollständigen) Einblick in die breiten Möglichkeiten eines Eigenbau-Heimrouters geben.

Anwendungsfälle

Grundfunktionen

Die Grundfunktionen werden eigentlich bei jeder Installation von Eigenbau-Heimrouter eingesetzt und haben daher eine große Verbreitung. Hierzu zählen neben der Verwaltung der Internetverbindung, dem Routing und der Adressumsetzung via NAT auch die IP-Adressvergabe per DHCP, das auflösen von Domains über DNS sowie Firewall- und eventuelle WLAN-Funktionen.

DMZ für Server

Ein großes Sicherheitsfeature stellt die Verwendung einer DMZ (in den Eigenbau-Heimrouter-Distributionen häufig als orangene Zone bezeichnet) dar. Diese Netzwerkzone ist vom normalen Netzwerk (Grüne Zone) und dem Internet (Rote Zone) durch eine Firewall abgetrennt und dient dazu Server, welche sowohl vom lokalen Netzwerk als auch dem Internet erreichbar sein sollen, in eine eigene, "sichere" Zone des Netzwerks zu verfrachten. Dadurch wird die Gefahr für das normale Netzwerk bei einem Hacking des Servers minimiert, da zwar ein Zugriff auf das Internet möglich ist, jedoch keine vom Server ausgehende Verbindung in die grüne Zone möglich ist. Allerdings müssen hierzu die Ports der Dienste, auf welche vom normalen Netzwerk aus zugegriffen werden soll, einzeln freigegeben werden. Das selbe gilt auch für die Dienste, welche vom Internet aus erreichbar sein sollen. Zusätzlich müssen mindestens 3 Netzwerkkarten vorhanden sein, insofern der Eigenbau-Heimrouter neben der DMZ auch das Internet verwalten soll und eine Verbindung zum normalen Netzwerk erhalten soll.

HTTP-Proxy

Mit Abstand am häufigsten wird bei Eigenbau-Heimroutern der HTTP-Proxy genutzt. Dieser stellt die Grundlage dar für die Nutzung der URL-Filterung, des Update-Accelerators und der Virenerkennung. Ursprünglich hatten HTTP-Proxys vorallendingen die Aufgabe bereits besuchte Internetseiten in einen sogenannten "Cache" zwischenzuspeichern, damit diese bei einem späteren Besuch schneller aus dem Cache geladen werden konnten und nicht neu aus dem Internet heruntergeladen werden müssen. Bei einer fehlenden Internetverbindung können die Internetseiten auch komplett aus dem Cache geladen werden.

Allerdings rückt diese Aufgabe in Privathaushalten immer mehr in den Hintergrund - in Zeiten von DSL und Flatrates im eigenen Zuhause wird dies vorallendingen bei großen Unternehmen und Telekommunikationsanbietern eingesetzt welche häufig pro verbrauchtem GB abgerechnet werden. Zu den weiteren Funktionen von HTTP-Proxys zählt das gänzliche oder zeitbasierte Sperren und Freigeben des Internes für das komplette Netzwerk oder ausgewählte Rechner, die Begrenzung der Downloadgeschwindigkeit oder derren Sperrung (entweder für alle oder ausgewählte Dateitypen) sowie weitere Privatsphäre-Optionen (Änderung der Browser-Kennung sowie des Referrers).

URL-Filter

Mithilfe eines URL-Filters ist es möglich, ausgewählte Internetseiten innerhalb des Netzwerks für alle oder ausgewählte Computer zu sperren. Es können selbst festgelegte Domains oder Ausdrücke innerhalb von Domains gesperrt oder auch vorgefertigte Filterlisten wie die [Shallalist] verwendet werden, welche in mehrere Kategorien unterteilt ist und täglich aktualisiert wird. Bei Einsatz einer Filterliste können ausgewählte Kategorien gesperrt und mithilfe von automatischen Updatemechanismen auch auf dem aktuellen Stand gehalten werden.

Update-Accelerator

Ein Update-Accelerator stellt eine sinnvolle Funktion innerhalb eines Heimnetzwerks dar, falls mehr als 1 Computer vorhanden ist. Denn die Aufgabe des Update-Accelerators liegt darin, angeforderte Update-Dateien (z.B. Updates für die Antivirensoftware oder Windows/Microsoft Update) auf einer Festplatte oder einem anderen Speichermedium zu sichern und beim nächsten Aufruf des Updates dieses vom Datenträger aus auszuliefern. Damit kann der Update-Vorgang bei mehreren Computern beschleunigt werden, da die Dateien nicht jedesmal neu heruntergeladen werden müssen.

Virenerkennung

Die Virenerkennung über den HTTP-Proxy ermöglicht es Viren an einer zentralen Stelle im Netzwerk zu erkennen und zu filtern. Hierbei wird häufig auf die Open Source-Antivirensoftware [ClamAV] zurückgegriffen. Die Virenerkennung wird allerdings nicht auf normale Webseiten angewendet, sondern lediglich aktiviert wenn ein Client einen Download mit entsprechender Dateiendung (z.B. .exe) startet. Damit stellt die Virenerkennung über einen HTTP-Proxy keinen vollwertigen Ersatz für lokale Antivirensoftware dar, da Viren welche per E-Mail oder über USB-Sticks in das System kommen nicht erkannt werden können.

Dateifreigabe (NAS)

Wie viele Fertig-Heimrouter kann auch ein Eigenbau-Heimrouter als NAS fungieren und über verschiedene Protokolle entsprechende Dateifreigaben anbieten. Der einzige Unterschied liegt darin, dass nicht nur externe Festplatten oder USB-Sticks für die Dateifreigabe verwendet werden können. Bei Verwendung einer entsprechenden Hardwareplattform kann auch eine Festplatte in das Gehäuse des Eigenbau-Heimrouters eingebaut werden, welche dann entsprechend freigegeben wird.

VPN-Tunnel

Mithilfe eines VPN-Tunnels ist es möglich eine sichere und verschlüsselte Verbindung zum Heimnetzwerk aufzubauen, egal wo man ist. Dafür wird lediglich ein Internetzugang und die entsprechenden Zertifikate zum Zugriff auf den VPN-Tunnelserver benötigt. Hierdurch ist es möglich auf alle Computer im eigenen Zuhause zuzugreifen, auch wenn man unterwegs ist. Durch [Wake-on-LAN] ist es zusätzlich auch möglich, Computer durch das Internet aufzuwecken/einzuschalten.

Einbruchserkennung (IDS)

Die Einbruchserkennung über ein [Intrusion Detection System] (kurz IDS) ermöglicht die Erkennung von Angriffen auf das lokale Netzwerk (sowohl über das Internet als auch über WLAN). Hierbei wird auf den ausgewählten Netzwerkschnittstellen der komplette Verkehr analysiert und auf typische Merkmale eines Einbruchs untersucht. Diese Funktion ist allerdings lediglich für Profis sinnvoll, da keine Angriffe vermieden oder gestoppt werden können sondern lediglich Informationen über den Angriff aufgezeichnet werden und später vom Administrator selbst analysiert werden müssen. Um einen Angriff zu stoppen und zu verhindern wird ein [Intrusion Prevention System] (kurz IPS) benötigt.

Einbruchsvermeidung (IPS)

Die Einbruchsvermeidung über ein [Instrusion Prevention System] (kurz IPS) ist eine Weiterentwicklung der Einbruchserkennung und ermöglicht es bei einem erkannten Einbruch automatisch zu reagieren. Häufig wird hierzu in der Firewall die IP-Adresse des Angreifers eingetragen, wodurch alle Pakete von diesem automatisch verworfen werden. Dadurch ist das System für den Angreifer nicht mehr erreichbar und die Attacke kann nicht mehr weitergeführt werden. Es gibt auch weitere Möglichkeiten um eine erkannte Attacke zu verhindern, auf welche ich an dieser Stelle allerdings nicht eingehen möchte.

Quality of Service (QoS)

Mithilfe von [Quality of Service] (kurz QoS, manchmal auch Traffic Sharping genannt) ist es möglich, Datenpaketen von unterschiedlichen Diensten eine entsprechende Priorität zuzuweisen. Datenpakete mit einer hohen Priorität werden dann vor den Datenpaketen mit einer niedrigeren Priorität bearbeitet (gesendet). Dadurch können z.B. weiterhin störungsfreie [Voice over IP]-Gespräche geführt werden, auch wenn ein Videoupload auf einem Computer durchgeführt wird.

Zeitserver

Mithilfe eines Zeitservers kann von einer zentralen Stelle im Netzwerk für alle Computer die Zeit ausgeliefert werden. Allerdings funktioniert dies häufig nicht automatisch - der Heimrouter muss als Zeitserver im entsprechenden Betriebssystem angegeben werden, damit dieser die Zeit vom Zeitserver holt.

Sonstiges

Neben den oben aufgeführten Anwendungsmöglichkeiten für einen Eigenbau-Heimrouter gibt es noch weitere Funktionen, welche häufig über Addons hinzugefügt werden können (z.B. [IMSpector] als Instant Messenger-Proxy oder die Nutzung einer dynamischen DNS). Allerdings möchte ich auf diese Funktionen hier nicht näher eingehen, da diese selten zur Grundausstattung einer Heimrouter-Distribution gehören und die Einrichtung auch häufig spezielle Vorkenntnisse erfordern.

Hardwaremöglichkeiten

Was ist Software ohne Hardware? Nichts! Deshalb stellt die Wahl der Hardware auch einen wichtigen Teil im Projekt "Eigenbau-Heimrouter" dar. Schließlich soll der zukünftige Heimrouter an 24 Stunden im Tag in Betrieb sein, wenig Platz verbrauchen und möglichst leise sein. Alleine schon aufgrund der Dimensionen scheidet ein ordinärer Computer in einem Midi-Tower-Gehäuse mit [ATX-Formfaktor] häufig aus. Auch der Stromverbrauch ist dort häufig zu hoch für einen dauerhaften Betrieb. Aus diesem Grund möchte ich nachfolgend 3 verschiedene Hardwareplattformen vorstellen, welche sich ideal als Eigenbau-Heimrouter eignen.

ALIX-Plattform

Ein ALIX.2C-Board
Bildquelle: [Wikipedia (Kozuch)]

Die ALIX-Geräte der schweizer [PC Engines GmbH] gehört zu den stromsparendsten [x86-Geräten] auf dem Markt. Mit einem Stromverbrauch von 5-7 Watt, keinem einzigen Lüfter sowie mehreren Netzwerkschnittstellen und bis zu 2 [Mini PCI]- oder [Mini PCI Express]-Slots eignen sich die Geräte ideal als Plattform für einen Eigenbau-Heimrouter.

Ausgestattet sind die ALIX-Geräte, je nach Modell, mit 128MB oder 256MB Arbeitsspeicher (fest aufgelötet auf der Platine), 433MHz oder 500MHz [AMD Geode]-CPU sowie bis zu 3 voneinander unabhängigen Netzwerkkarten. Über die Mini PCI- bzw. Mini PCI Express-Schnittstelle kann außerdem eine WLAN-Karte oder ein UMTS-Modem eingebaut werden. Eine Besonderheit stellt bei den ALIX-Geräten die Festplatte dar: es ist zwar ein IDE-Anschluss für 2,5" Notebook-Festplatten vorhanden, allerdings werden statt 2,5" Festplatten häufig Compact-Flash-Karten verwendet. Diese sind stromsparender, absolut geräuschlos und sehr schnell, haben allerdings nur eine begrenzte Anzahl an Schreibvorgängen (wie auch [SSDs]). Die Kosten für ein ALIX-Board belaufen sich auf bis zu 115 Euro. Hinzukommen die Kosten für ein Netzteil (7,50 Euro), ein Gehäuse (12 bis 17 Euro) sowie Compact Flash-Karte (je nach Kapazität und Typ bis zu 47 Euro) und eine entsprechende Mini-PCI-WLAN-Karte mit Antenne und Pigtail (falls gewünscht; 32 Euro bis 50 Euro). In Deutschland werden die Geräte unter anderem vom [Tronico Onlineshop], [NRG Systems] sowie dem [Varia Store] verkauft.

Da es sich bei den Geräten um sogenannte [Embedded-PCs] handelt, ist kein Anschluss für einen Monitor oder eine Tastatur/Maus vorgesehen (hierbei bilden die beiden Modelle ALIX.1D sowie ALIX.3D3 eine Ausnahme, welche allerdings lediglich eine Netzwerkkarte haben und daher als Plattform für einen Eigenbau-Heimrouter ausscheiden). Die Steuerung erfolgt stattdessen über die [serielle Schnittstelle] und einem entsprechenden Programm zur Kommunikation über die serielle Schnittstelle (z.B. [PuTTY]). Hierfür wird ein sogenanntes [Nullmodem-Kabel] benötigt. Falls im eigenen Haus kein Computer mit einer seriellen Schnittstelle vorhanden ist, so wird ein Seriell-zu-USB-Adapter benötigt. Da auch kein CD-Laufwerk angeschlossen werden kann werden von den typischen Eigenbau-Heimrouter-Distributionen vorgefertigte [Images] angeboten, welche lediglich auf die Speicherkarte übertragen werden müssen (hierfür wird ein Kartenlesegerät benötigt). Damit ist das System installiert und kann direkt verwendet werden.

Die Geräte eignen sich für die folgenden Anwendungsgebiete:

  • Grundfunktionen
  • DMZ für Server (lediglich bei ALIX.2D1, ALIX.2D3, ALIX.2D13 und ALIX.2D19)
  • HTTP-Proxy
  • URL-Filter (bei Shallalist maximal 2 Filterprozesse, sonst kann der Arbeitsspeicher knapp werden)
  • Update-Accelerator
  • Dateifreigabe (NAS)
  • VPN-Tunnel
  • Quality of Service (QoS)
  • Zeitserver
  • Sonstiges

Intel Atom-Plattform

Ein Intel Atom N280-Prozessor
Atom N280-Prozessor von Intel
Bildquelle: [Wikipedia (Bundesstefan)]

Eine andere Möglichkeit stellt die Verwendung eines Mainboards auf Basis der von [Netbooks] bekannten [Intel Atom]-Plattform dar. Diese ist zwar nicht so stromsparend wie die ALIX-Boards, haben allerdings auch deutlich modernere Chips (die beim ALIX-Board zum Einsatz kommenden Prozessoren wurden im Mai 2005 veröffentlicht) und daher auch eine größere Performance. So sind mit dem aktuellen Topmodell der Dual-Core-Reihe (Intel Atom N570) Taktraten von bis zu 1,66GHz möglich bei einer thermischen Abwärme von lediglich 8,5 Watt. Dadurch werden auch umfangreiche Aufgaben wie die Virenerkennung oder Einbruchsvermeidung möglich. Auch größere Filterlisten sind hier kein Problem - der Arbeitsspeicher kann schließlich im Vergleich zu den ALIX-Boards jederzeit erweitert werden, wobei hier 2GB schon für alle Fälle reichen sollten in einem Heimrouter. Durch die integrierte Grafikkarte und die Möglichkeit zur Nutzung einer handelsüblichen Tastatur ist auch die Handhabung deutlich leichter, entfällt doch der komplette Umweg über die serielle Konsole und das Kopieren des Images auf die Compact Flash-Karte.

Nachteil bei der Intel Atom-Plattform ist der Stromverbrauch. So verbraucht das für den Einsatz als Eigenbau-Heimrouter ideale [Supermicro X7SPA-HF-D525] im Idle ohne Festplatte ca. 35 Watt - rund 700% mehr als ein entsprechendes ALIX-Board. Zusätzlich liegen auch die Kosten zur Beschaffung der Hardware höher. So kostet eben angesprochenes Motherboard bei deutschen Versandanbietern aktuell rund 200 Euro. Hinzu kommen die Kosten für Arbeitsspeicher (für einen 2GB DDR3-SO-DIMM-Riegel von Kingston rund 30 Euro), ein Gehäuse samt 300 Watt-Netzteil (ca. 45 Euro) sowie 2,5" Festplatte (hier wird aus Stromspar- und Emissionsgründen auf eine 2,5" Festplatte gesetzt; ca. 35 Euro) und einfaches DVD-Laufwerk (ca. 18 Euro). Soll der Eigenbau-Heimrouter auch noch als WLAN-Funktionen bieten, so müssen nochmals ca. 15 Euro für eine PCI Express-WLAN-Karte mit Atheros-Chipsatz eingerechnet werden. Damit liegen die Kosten für einen Eigenbau-Heimrouter mit Atom-Prozessor bei rund 350 Euro - doppelt so viel wie ein durchschnittlicher Eigenbau-Heimrouter mit ALIX-Board. Außerdem ist der Platzverbrauch und die Geräuschemissionen höher. Daher sollte diese Lösung lediglich dann zum Einsatz kommen, wenn die zusätzlich möglichen Aufgaben auch wirklich genutzt werden.

Die Intel Atom-Plattform eignet sich für die folgenden Anwendungsgebiete:

  • Grundfunktionen
  • DMZ für Server (bei 3 vorhandenen Netzwerkschnittstellen)
  • HTTP-Proxy
  • URL-Filter
  • Update-Accelerator
  • Virenerkennung
  • Dateifreigabe (NAS)
  • VPN-Tunnel
  • Einbruchserkennung (IDS)
  • Einbruchsvermeidung (IPS)
  • Quality of Service (QoS)
  • Zeitserver
  • Sonstiges

VIA EPIA-Plattform

Eine weitere Möglichkeit ist der Einsatz eines Eigenbau-Heimrouters auf Basis der [VIA EPIA]-Plattform. Zu dieser Plattform zählen [Motherboards] mit [VIA C3]-, [C7]- oder [EDEN ESP]-Prozessoren. Diese Motherboards sind zwar stromsparender und können leichter gekühlt werden als die Intel Atom-Prozessoren, liegen allerdings im Preis-Leistungs-Verhältnis deutlich hinter der Atom-Plattform zurück. Aus diesem Grunde, und der geringen Nutzergemeinde mit EPIA-Motherboards als Heimrouter, gehe ich auf diese Plattform an dieser Stelle nicht näher ein.

Fazit

Kurz und knapp: falls die Möglichkeiten eines ALIX-Boards ausreichen ist dies die ideale Plattform für einen Eigenbau-Heimrouter. Stellen die Aufgaben höhere Anforderungen an die Hardware sollte man sich die Atom-Motherboards anschauen, welche hier ein besseres Preis-Leistungs-Verhältnis bieten als die Konkurrenz von VIA.