Seit 2008 habe ich die freie Linux-Distribution IPCop verwendet, um eine Firewall/einen Router ganz nach meinen Wünschen zu konfigurieren. Sicherlich erhält man als DSL-Kunde von seinem Anbieter bereits einen entsprechenden Router, jedoch haben mir damals zahlreiche Funktionen gefehlt - um einige zu nennen:

• IPSec/OpenVPN-Funktionalität
• NTP-Zeitserver
• DMZ-Segmentierung
• WLAN Access-Point mit Gerätefilter

8 Jahre später haben sich die Dinge geändert. Die meisten fehlenden Funktionen sind in modernen Routern, wie der Fritz. B.x, nun integriert - allerdings nicht bei meiner. Daher ist der IPCop immer noch ein wichtiger Bestandteil meines Netzwerks. Seit 6 Jahren verrichtet IPCop seinen Dienst auf einem Einplatinen-Rechner von PC Engines: einem ALIX.2D13. Mit 500 Mhz CPU und 256 MB RAM ist der Rechner mittlerweile recht betagt, erfüllte mit IPCop jedoch seinen Zweck bei unter 10 Watt Stromverbrauch zufriedenstellend.

IPCop oder IPFire?

Leider stagniert die Entwicklung von IPCop in den letzten Jahren. Die Veröffentlichung der aktuellen Hauptversion verzögerte sich damals (2009), was einer der Motivation des IPFire-Forks war. IPFire basierte in Version 1 auf IPCop, die aktuelle Hauptversion 2 basiert - wie auf IPCop - auf Linux From Scratch und nutzt lediglich die Web-Oberfläche von IPCop.

Doch warum nun IPFire statt IPCop? Seit ich den ALIX-Rechner für IPCop verwende, hat mich der schlechte WLAN Hardware-Support geärgert. Ich hatte damals zahlreiche IEEE 802.11n WLAN-Karten ausprobiert, jedoch unterstützte keine mehr als 54 Mbit/s. Auch die aktuelle Version unterstützt bei mir keine 300 Mbit/s - obwohl die Karte dies tut.

Das IPCop-Projekt weigert sich bis heute noch, die Unterstützung alternativer Architekturen (z. B. armv5l-Boards) umzusetzen. Die Begründung war hier, wenn ich mich richtig erinnere, dass viele solcher Boards die Netzwerkchips per USB anbinden und man der Meinung ist, dass das keine vernünftige Lösung ist. Meine persönliche Meinung ist, dass diese Boards seit Jahren einen entsprechenden Boom verzeichnen und aus diesem Grund offiziell unterstützt werden sollten. Wenn ich mir den Markt anschaue, gibt es genügend Alternativprodukte zu meinem ALIX-Board. Trotz des Alters ist der Preis mit rund 150 Euro stabil geblieben - hier gäbe es deutlich günstigere ARM-Boards. IPFire unterstützt einige solcher Boards, was ich sehr begrüße.

Prinzipiell war mir auch der harsche Umgangston in der IPCop-Community ein Dorn im Auge. Um ein Beispiel zu nennen, wurden oft Threads geschlossen, wenn Anwender virtualisierte Firewalls betreiben. Zwar lässt sich über die Vor- und Nachteile einer solchen Lösung bekanntlich streiten (insbesondere hinsichtlich Sicherheit in Produktivumgebungen), aber ohne Nachfragen direkt Threads deswegen zu schließen halte ich für unangebracht und unfreundlich. Alles in allem muss ich festhalten, dass das IPCop-Projekt für meinen Geschmack zu restriktiv und konservativ ist.

IPFire auf dem ALIX.2D13

Letztendlich habe ich mich für IPFire entschieden, um endlich die nicht mehr zeitgemäßen 54 Mbit/s WLANs zu steigern. Prinzipiell werden hinsichtlich der Hardware folgende Mindestanforderungen genannt:

• i586-kompatible CPU mit 1 GHz, alternativ ein unterstütztes ARM-Board
• 1 GB Arbeitsspeicher

Unter diesem Aspekt fällt der ALIX.2D13 eigentlich raus, da er lediglich über 500 Mhz CPU und 256 MB RAM verfügt. Im offiziellen IPFire-Forum habe ich jedoch in einigen Signaturen gesehen, dass das Board durchaus noch mit der aktuellen Version nutzbar ist. Im IRC-Channel (#ipfire auf irc.freenode.net) hat man mir bestätigt, dass das Board vermutlich noch nutzbar ist, solange man keinen Proxy-Server oder IDS-System aktiviert.

Im Download-Bereich des Projekts gibt es neben einer konventionellen ISO-Datei auch vorgefertigte Abbilder, u.a. für Modelle mit serieller Konsole. Ein solches Abbild braucht man für einige Vertreter der ALIX-Produktserie, da diese nicht immer über VGA-Ports verfügen. Nach einem Backup meiner vorherigen IPCop-Installation habe ich das aktuelle Abbild auf die CF-Karte des ALIX übertragen. Erfreulicherweise verlief die Installation ohne Probleme, der Prozess erinnert stark an IPCop. Auch die von IPCop übernommene, aber dennoch überarbeitete Web-Oberfläche erleichtert den Umstieg. Die verbaute 300 Mbit/s WLAN-Karte meines Routers wurde direkt erkannt und mit voller Geschwindigkeit unterstützt - geht doch!

Fazit

Hinsichtlich der Performance kann ich nach knapp 2 Wochen sagen, dass ich hier keine Verschlechterung feststellen konnte. Ich hab entsprechende System-Graphen von IPCop kopiert und mit IPFire verglichen. Wie bereits erwähnt, verwende ich keinen Proxy-Server und auch keine IDS-Dienste. Im Vergleich mit IPCop 2.x ist mir ein minimal höherer RAM-Verbrauch aufgefallen - jedoch wird auch mehr gecached. In diesem Sinne - auch wenn das IPFire-Projekt mehr Hardware-Ressourcen empfiehlt, lässt sich auch auf einem ALIX.2D13 eine Firewall betreiben, sofern man auf einige Dienste verzichten kann und nicht so viele Clients bedienen muss. Ich bediene in meinem Netzwerk ca. 20 Clients - in größeren Produktivumgebungen würde ich jedoch stärkere Hardware verwenden.

Ich bin recht verwundert, dass ein fast 10 Jahre altes Board (die Produktion begann 2007) noch sinnvoll als Router verwendet werden kann - und die Hardware den Dauerbetrieb überhaupt überstanden hat. Irgendwann in der Zukunft, upgrade ich vielleicht aber auch auf ein apu1d4, um mich mit Proxy-Servern zu beschäftigen. Insbesondere die Möglichkeit eine mSATA-SSD zu verbauen, hätte in diesem Zusammenhang einen Reiz.

Wer eine innovativere Linux-Distribution für Router sucht, dürfte mit IPFire sehr zufrieden sein.