In dieser Anleitung finden Sie detaillierte Anweisungen für die Sicherung des Fernzugriffs auf Ihren OpenWRT-Router mithilfe von Dynamic DNS (DDNS) mit No-IP und VPN mit ZeroTier. Das mitgelieferte Skript automatisiert den Installations- und Konfigurationsprozess und ermöglicht Benutzern einen Fernzugriff auf ihren Router von überall aus.

Für zusätzliche Unterstützung besuchen Sie bitte das OpenWRT Forum.

 

Voraussetzungen

 

• OpenWRT Router: Stellen Sie sicher, dass auf Ihrem Router OpenWRT 19.07 läuft.
• No-IP Account (No-IP Konto): Erstellen Sie ein Konto auf No-IP oder einem anderen dynamischen DNS-Dienst.
• ZeroTier Account (ZeroTier Konto): Erstellen Sie ein Konto auf ZeroTier.
• SSH Access (SSH Zugriff): Stellen Sie sicher, dass Sie den SSH- Zugriff auf Ihren Router aktiviert haben.

 

Anweisungen für die Einrichtung

 

1. Einen No-IP-Hostnamen erstellen

 

Ein No-IP-Konto erstellen:

• Rufen Sie die Website von No-IP auf und erstellen Sie ein Konto.

 

Erstellen Sie einen Hostnamen:

• Melden Sie sich bei Ihrem No-IP-Konto an.
• Navigieren Sie zum Abschnitt Dynamic DNS (Dynamisches DNS).
• Klicken Sie auf Add a Hostname (Einen Hostnamen hinzufügen).
• Geben Sie einen Hostnamen ein (z.B. deadtest) ein und wählen Sie eine Domain (z.B. ddns.net).
• Klicken Sie auf Add Hostname (Hostname hinzufügen).

 

2. Das Skript vorbereiten

 

Speichern Sie das folgende Skript als setup_remote_access.sh auf Ihrem lokalen Computer und nehmen Sie die folgenden Änderungen an den Variablen vor:

 

• Skript herunterladen: setup_remote_access.sh
   

  # Define variables

   

  NETWORK_ID='<networkID string>'  # Replace with actual Network ID

   

  DOMAIN='<No-IP hostname>'  # No-IP hostname

   

  USERNAME='<No-Username NOT EMAIL!>'  # Replace with your No-IP email address

   

  PASSWORD='<Username password>'  # Replace with your No-IP password

 

3. Das Skript ausführen.

 

• Das Skript hochladen: Laden Sie das Skript setup_remote_access.sh auf Ihren Router hoch. Ersetzen Sie durch die IP-Adresse Ihres Routers.

  
  scp setup_remote_access.sh root@<router_ip>:/tmp/

 

• Das Skript auf dem Router ausführen:

  
  ssh root@<router_ip>

  sh /tmp/setup_remote_access.sh

 

4. Das Gerät in ZeroTier Central autorisieren.

 

• Melden Sie sich bei ZeroTier Central an:

  • Rufen Sie das ZeroTier Central Dashboard auf und melden Sie sich an.

• Autorisieren Sie das Gerät:

  • Finden Sie Ihr Gerät in dem von Ihnen angegebenen Netzwerk und autorisieren Sie es.

 

5. Überprüfen Sie die Einrichtung.

 

Am Router:

 

• Den DDNS-Status überprüfen:

  
  /etc/init.d/ddns status

 

• Erzwingen Sie die Aktualisierung des DDNS:

  
  /usr/lib/ddns/update_noip.sh

 

• Den ZeroTier-Status überprüfen:

  
  zerotier-cli status
  zerotier-cli listnetworks

 

Auf Ihrem lokalen Computer:
 

• Überprüfen Sie die DDNS-Aktualisierung:

  
  nslookup deadtest.ddns.net

 

• Den SSH- Zugriff prüfen:
   
  • Über den DDNS-Hostnamen:

    
    ssh [email protected]
     

  • Über die ZeroTier IP-Adresse:

    
    ssh root@<zerotier_ip_address>
     

Fehlerbehebung

 

• DDNS-Probleme:

  • Stellen Sie sicher, dass die No-IP-Anmeldeinformationen korrekt sind.
  • Überprüfen Sie, ob das DDNS-Updateskript ausführbar ist.
  • Überprüfen Sie das DDNS-Aktualisierungsprotokoll (/var/log/ddns/) auf Fehler.

• ZeroTier-Probleme:

  • Stellen Sie sicher, dass der ZeroTier-Dienst ausgeführt wird.
  • Stellen Sie sicher, dass das Gerät bei ZeroTier Central autorisiert ist.
  • Prüfen Sie auf Probleme mit der Netzwerkkonnektivität.

• SSH-Zugriffsprobleme:

  • Stellen Sie sicher, dass der SSH-Dienst ausgeführt wird (/etc/init.d/dropbear status).
  • Überprüfen Sie, ob die Firewall-Regeln korrekt konfiguriert sind, um den SSH-Zugriff zu erlauben.

 

Abschluss

 

Wenn Sie diese Anleitung befolgen, können Sie einen sicheren Fernzugriff auf Ihren OpenWRT-Router mit No-IP DDNS und ZeroTier VPN einrichten. Mit dieser Einrichtung können Sie Ihren Router von jedem Ort mit einer Internetverbindung aus verwalten, was sowohl Bequemlichkeit als auch Sicherheit bietet.
 

---

Zusätzliche Sicherheit: SSH Key Pairs (SSH-Schlüsselpaare) verwenden

Um die Sicherheit zu verstärken und das Risiko von brute force attacks (Angriffen mit roher Gewalt) zu minimieren, wird empfohlen, SSH-Schlüsselpaare anstelle von Passwörtern für die Authentifizierung zu verwenden.

 

Generate SSH Key Pair (SSH-Schlüsselpaar erstellen)

 

Erstellen Sie auf Ihrem lokalen Computer ein SSH-Schlüsselpaar, falls Sie noch keines haben:

• 
  ssh-keygen -t rsa -b 4096 -C "[email protected]"

 

Dadurch wird ein öffentlicher Schlüssel (~/.ssh/id_rsa.pub) und ein privater Schlüssel (~/.ssh/id_rsa) erstellt.

 

Kopieren Sie den öffentlichen Schlüssel auf den Router

 

Kopieren und Einfügen Sie Ihren öffentlichen Schlüssel in den Router (https://192.168.1.1/cgi-bin/luci/admin/system/admin/sshkeys).

• 
  cat ~/.ssh/id_rsa.pub

 

Deaktivieren Sie die Passwort-Authentifizierung

Nachdem Sie Ihren öffentlichen Schlüssel kopiert haben, deaktivieren Sie die Passwort-Authentifizierung auf Ihrem Router, um brute force attacks (Angriffen mit roher Gewalt) zu verhindern:
 

1. Die Dropbear-Konfiguration bearbeiten:

   
   vi /etc/config/dropbear

 

2. Bearbeiten Sie die Konfiguration, um die Passwort-Authentifizierung zu deaktivieren: Fügen Sie die folgende Zeile hinzu oder ändern Sie sie, falls sie bereits vorhanden ist:
    

   config dropbear option PasswordAuth 'off' option RootPasswordAuth 'off'

 

3. Starten Sie den Dropbear-Dienst neu:

   
   /etc/init.d/dropbear restart

 

SSH-Schlüssel-Authentifizierung prüfen

 

Probieren Sie mit SSH auf Ihren Router zuzugreifen, um sicherzustellen, dass die schlüsselbasierte Authentifizierung funktioniert und die Passwort-Authentifizierung deaktiviert ist:

• 
  ssh root@<router_ip>
   

Wenn die Authentifizierung erfolgreich ist, ohne dass ein Passwort abgefragt wird, ist die SSH-Schlüssel-basierte Authentifizierung korrekt eingerichtet.