Experten-Anleitung: Die korrekte OpenWRT AP Konfiguration hinter einer VF Station mit Fokus auf DNS/IPv6

Willkommen, Netzwerkliebhaber und Technik-Enthusiasten! Sie haben sich für OpenWRT entschieden – und das aus gutem Grund. Der Standard-Router Ihres Internetanbieters, oft eine Vodafone Station (ehemals Unitymedia oder Kabel Deutschland), bietet zwar eine grundlegende Internetverbindung, aber oft fehlen die Tiefe und Flexibilität, die anspruchsvolle Nutzer wünschen. Gerade wenn es um die Feinabstimmung von DNS und die korrekte Implementierung von IPv6 geht, stößt man schnell an Grenzen.

Dieser umfassende Leitfaden führt Sie Schritt für Schritt durch die Konfiguration Ihres OpenWRT-Geräts als vollwertigen WLAN-Access Point (AP) und sekundären Router hinter Ihrer Vodafone Station. Das Ziel: Ein Netzwerk, das Sie kontrollieren, optimieren und an Ihre Bedürfnisse anpassen können, mit besonderem Fokus auf die fehlerfreie Funktion von DNS und IPv6.

Warum OpenWRT hinter der Vodafone Station?

Die Vodafone Station ist in der Regel ein robustes Gerät für den Massenmarkt. Ihre Stärke liegt in der Einfachheit. Doch diese Einfachheit bedeutet oft auch mangelnde Konfigurierbarkeit. Hier kommt OpenWRT ins Spiel:

• Volle Kontrolle: Definieren Sie Ihre eigenen DNS-Server (z.B. AdGuard Home, Pi-Hole, Cloudflare, Google) für alle Geräte in Ihrem Netzwerk, um Werbung zu blockieren oder die Privatsphäre zu verbessern.
• Optimiertes IPv6: Viele ISP-Router haben Probleme mit einer korrekten IPv6-Präfixdelegation und der Verteilung an Endgeräte. OpenWRT meistert dies spielend und ermöglicht Ihnen ein echtes Dual-Stack-Erlebnis.
• Erweiterte Funktionen: VPN-Server oder -Clients, VLAN-Tagging, detaillierte Firewall-Regeln, QoS (Quality of Service) und vieles mehr – OpenWRT öffnet eine Welt voller Möglichkeiten.
• Sicherheit & Updates: Bleiben Sie mit aktuellen Sicherheits-Updates unabhängig vom Update-Zyklus Ihres Providers.

Indem Sie OpenWRT als zentralen Access Point und Router für Ihr Heimnetzwerk nutzen, schaffen Sie eine leistungsstarke und anpassbare Umgebung, die weit über das hinausgeht, was die Vodafone Station allein bieten kann.

Die Netzwerk-Topologie verstehen: Vodafone Station als Gateway

In unserem Szenario behält die Vodafone Station (oder jeder andere ISP-Router) ihre primäre Funktion als Modem und Gateway zum Internet. Sie wird weiterhin die öffentliche IP-Adresse (sowohl IPv4 als auch das IPv6-Präfix) vom Provider beziehen. Ihr OpenWRT-Gerät wird sich über seinen WAN-Port mit einem der LAN-Ports der Vodafone Station verbinden und ein eigenes, internes Netzwerk (LAN) für Ihre Endgeräte aufbauen. Dies wird oft als „Router hinter Router”-Konfiguration bezeichnet.

Die Kette sieht dann so aus: Internet → Vodafone Station (Modem/Gateway) → OpenWRT (Sekundär-Router/WLAN-AP) → Ihre Endgeräte (PCs, Smartphones, Smart-Home etc.).

Vorbereitung ist alles: Was Sie benötigen

1. Ein OpenWRT-kompatibles Gerät: Dies kann ein alter Router sein, den Sie mit OpenWRT geflasht haben, ein Mini-PC oder ein dediziertes OpenWRT-Gerät.
2. OpenWRT installiert: Stellen Sie sicher, dass auf Ihrem Gerät die neueste stabile OpenWRT-Version installiert ist und Sie über den Browser (LuCI) oder SSH darauf zugreifen können.
3. Zugang zur Vodafone Station: Sie benötigen die Zugangsdaten, um Einstellungen zu überprüfen.
4. Netzwerkkabel: Zum Verbinden der Vodafone Station mit dem OpenWRT-Gerät und gegebenenfalls für die Erstkonfiguration.
5. Grundlegendes Netzwerk-Know-how: Verständnis von IP-Adressen, Subnetzen und DNS.

Wichtiger Hinweis: Notieren Sie sich die IP-Adresse Ihrer Vodafone Station (meist 192.168.0.1 oder 192.168.178.1) und deren DHCP-Bereich. Ihr OpenWRT-Gerät wird ein eigenes, *anderes* Subnetz für Ihr internes LAN verwenden.

Schritt-für-Schritt-Konfiguration von OpenWRT

1. Initialer Zugriff und grundlegende IP-Einstellungen (OpenWRT LAN)

Verbinden Sie Ihr OpenWRT-Gerät zunächst direkt per LAN-Kabel mit Ihrem PC. Die Standard-IP von OpenWRT ist oft 192.168.1.1. Öffnen Sie einen Browser und navigieren Sie zu dieser IP.

• Melden Sie sich im LuCI-Interface an.
• Navigieren Sie zu Netzwerk → Schnittstellen.
• Bearbeiten Sie die Schnittstelle LAN.
• Ändern Sie die IPv4-Adresse der LAN-Schnittstelle auf ein Subnetz, das sich von dem Ihrer Vodafone Station unterscheidet, z.B. 192.168.2.1 (falls VF Station 192.168.0.1 ist).
• Stellen Sie sicher, dass die Netzmaske 255.255.255.0 ist.
• Speichern & Anwenden. Ihr PC muss möglicherweise seine IP erneuern (oder Sie stellen ihn auf eine statische IP im neuen Bereich ein, z.B. 192.168.2.100), um wieder auf OpenWRT zugreifen zu können.

2. WAN-Schnittstelle konfigurieren (Verbindung zur Vodafone Station)

Dies ist der Port, über den Ihr OpenWRT-Gerät die Verbindung zur Vodafone Station herstellt und Internet bezieht.

• Navigieren Sie erneut zu Netzwerk → Schnittstellen.
• Bearbeiten Sie die Schnittstelle WAN (oder erstellen Sie sie, falls nicht vorhanden).
• Protokoll: Wählen Sie DHCP-Client für IPv4. Dies ermöglicht OpenWRT, eine IPv4-Adresse von der Vodafone Station zu beziehen.
• Physische Einstellungen: Stellen Sie sicher, dass der korrekte Ethernet-Port ausgewählt ist (der Port, den Sie mit der VF Station verbinden werden).
• Erweiterte Einstellungen:
  • Haken Sie IPv6-Anfragen an.
  • Stellen Sie sicher, dass IPv6-Delegation anfordern ebenfalls aktiviert ist. Dies ist entscheidend für IPv6-Präfixdelegation.
• Firewall-Zone: Stellen Sie sicher, dass die WAN-Schnittstelle der Zone wan zugeordnet ist.
• Speichern & Anwenden. Verbinden Sie jetzt den WAN-Port Ihres OpenWRT-Geräts mit einem freien LAN-Port der Vodafone Station.

3. DNS-Einstellungen für OpenWRT selbst

Bevor wir DNS für die Clients konfigurieren, stellen wir sicher, dass OpenWRT selbst die richtigen DNS-Server verwendet. Dies ist wichtig für OpenWRT, um Updates zu beziehen oder interne Dienste korrekt aufzulösen.

• Gehen Sie zu Netzwerk → Schnittstellen.
• Bearbeiten Sie die Schnittstelle WAN.
• Scrollen Sie zu Erweiterte Einstellungen.
• Deaktivieren Sie Benutze DNS-Server vom Provider.
• Geben Sie in den Feldern Eigene DNS-Server verwenden Ihre bevorzugten DNS-Server ein, z.B. 1.1.1.1 (Cloudflare) und 8.8.8.8 (Google) für IPv4. Für IPv6 können Sie 2606:4700:4700::1111 und 2001:4860:4860::8888 hinzufügen.
• Speichern & Anwenden.

4. LAN-Schnittstelle und DHCP-Server für Clients konfigurieren (DNS & IPv6)

Hier definieren wir, wie OpenWRT die IP-Adressen, DNS-Server und IPv6-Informationen an Ihre Endgeräte vergibt.

• Gehen Sie zu Netzwerk → Schnittstellen.
• Bearbeiten Sie die Schnittstelle LAN.
• Allgemeine Einstellungen: Vergewissern Sie sich, dass die IPv4-Adresse 192.168.2.1 (oder Ihre gewählte IP) ist.
• DHCP-Server:
  • Wechseln Sie zum Reiter DHCP-Server.
  • Klicken Sie auf DHCP-Einstellungen bearbeiten.
  • IPv4-Einstellungen:
    • Stellen Sie sicher, dass Ignorieren NICHT aktiviert ist.
    • Startadresse: Z.B. 100 (für IPs ab 192.168.2.100).
    • Größe des Adresspools: Z.B. 150 (für 150 Adressen).
    • Lease-Zeit: Z.B. 12h.
    • Im Feld DNS-Server tragen Sie die IP-Adresse Ihres OpenWRT-Routers selbst ein (192.168.2.1). Das ist wichtig, damit OpenWRT als DNS-Relay fungiert. Optional können Sie hier auch direkt externe DNS-Server wie 1.1.1.1 oder 8.8.8.8 eintragen, falls Sie OpenWRT nicht als lokalen DNS-Resolver nutzen möchten. Wenn Sie AdGuard Home oder Pi-Hole *auf OpenWRT* installieren, MUSS hier die IP Ihres OpenWRT-Gerätes stehen.
  • IPv6-Einstellungen: Dies ist entscheidend für IPv6 auf Ihren Endgeräten!
    • Router Advertisement-Service: Stellen Sie auf Server-Modus.
    • DHCPv6-Service: Stellen Sie auf Server-Modus.
    • NDP-Proxy: Stellen Sie auf Deaktiviert.
    • Delegierter IPv6-Prefix: Wählen Sie @lan. Dies weist OpenWRT an, das von der WAN-Schnittstelle erhaltene IPv6-Präfix auf dem LAN zu nutzen und zu verteilen.
• Speichern & Anwenden.

5. WLAN-Konfiguration

Jetzt richten Sie Ihr WLAN ein, das als Access Point fungiert.

• Gehen Sie zu Netzwerk → WLAN.
• Wenn keine WLAN-Interfaces vorhanden sind, klicken Sie auf WLAN hinzufügen.
• Geräteeinstellungen: Wählen Sie die Funk-Hardware aus.
• Interface-Einstellungen:
  • Modus: Access Point.
  • ESSID: Ihr gewünschter WLAN-Name (z.B. MeinSuperWLAN).
  • Netzwerk: Wählen Sie lan. Dies verknüpft Ihr WLAN mit dem von OpenWRT verwalteten internen Netzwerk.
• Wireless Security:
  • Verschlüsselung: Empfohlen wird WPA2-PSK (CCMP) oder WPA2/WPA3 Mixed Mode.
  • Schlüssel: Ihr WLAN-Passwort.
• Speichern & Anwenden. Wiederholen Sie den Vorgang bei Bedarf für andere Funkbänder (2.4 GHz, 5 GHz) oder zusätzliche SSIDs.

6. Firewall-Einstellungen (Standard-Konfiguration prüfen)

Die Standard-Firewall-Konfiguration von OpenWRT ist für ein „Router hinter Router”-Szenario meist ausreichend. Überprüfen Sie dennoch die Einstellungen:

• Gehen Sie zu Netzwerk → Firewall.
• Stellen Sie sicher, dass eine Zone lan existiert mit Input, Output und Forward auf accept.
• Stellen Sie sicher, dass eine Zone wan existiert mit Input auf reject oder drop, Output auf accept und Forward auf reject.
• Wichtig ist, dass die lan-Zone Weiterleitung zu Zielzonen wan und wan6 erlaubt.
• Ebenso sollte die wan-Zone Weiterleitung von Quellzonen lan erlauben.
• Speichern & Anwenden.

7. Optional: DNS-Umleitung für erzwingenden DNS-Verkehr (AdGuard Home/Pi-Hole)

Wenn Sie einen lokalen DNS-Filter wie AdGuard Home oder Pi-Hole auf Ihrem OpenWRT-Gerät (oder einem anderen Gerät in Ihrem LAN) betreiben und sicherstellen möchten, dass alle DNS-Anfragen Ihrer Clients über diesen Filter laufen (um Umgehungen zu verhindern), können Sie DNS-Umleitungsregeln in der Firewall einrichten.

• Gehen Sie zu Netzwerk → Firewall → Traffic Rules.
• Fügen Sie eine neue Regel hinzu:
  • Name: DNS-Redirect-IPv4
  • Protokoll: UDP und TCP
  • Quellzone: lan
  • Quelldomain: any
  • Quell-Port: any
  • Zielzone: wan (oder lan, wenn AdGuard/Pi-Hole auf OpenWRT selbst läuft)
  • Ziel-IP-Adresse: Ihre OpenWRT LAN IP (z.B. 192.168.2.1) *oder* die IP Ihres AdGuard/Pi-Hole-Servers.
  • Ziel-Port: 53
  • Aktion: redirect to port 53 on this router (Wenn DNS-Filter auf OpenWRT selbst läuft) oder redirect to IP 192.168.2.100 port 53 (Wenn DNS-Filter auf 192.168.2.100 läuft).
• Fügen Sie eine ähnliche Regel für IPv6 hinzu, falls Ihr DNS-Filter auch über IPv6 erreichbar ist.
  • Name: DNS-Redirect-IPv6
  • Protokoll: UDP und TCP
  • Quellzone: lan
  • Quelldomain: any
  • Quell-Port: any
  • Zielzone: wan
  • Ziel-IP-Adresse: Die globale IPv6-Adresse Ihres OpenWRT-Routers (oder des AdGuard/Pi-Hole-Servers).
  • Ziel-Port: 53
  • Aktion: redirect to port 53 on this router oder zur IPv6-Adresse Ihres DNS-Filters.
• Speichern & Anwenden.

Achtung: Diese Umleitung funktioniert nur, wenn der DNS-Server, zu dem umgeleitet wird, auch wirklich erreichbar ist und DNS-Anfragen beantwortet. Sonst haben Sie keinen Internetzugriff mehr!

Testen und Verifizieren Ihrer Konfiguration

Nachdem Sie alle Schritte durchgeführt und Änderungen angewendet haben, ist es Zeit für den Test:

1. Verbinden Sie ein Endgerät: Verbinden Sie Ihr Smartphone oder Ihren PC mit dem neuen WLAN-Netzwerk Ihres OpenWRT-Geräts.
2. IP-Adressen prüfen:
   • Überprüfen Sie, ob Ihr Gerät eine IPv4-Adresse aus dem von OpenWRT vergebenen Bereich (z.B. 192.168.2.x) erhalten hat.
   • Überprüfen Sie, ob Ihr Gerät eine IPv6-Adresse erhalten hat. Diese sollte mit dem Präfix beginnen, das OpenWRT von der Vodafone Station delegiert bekommen hat.
   • Stellen Sie sicher, dass der angegebene DNS-Server die IP-Adresse Ihres OpenWRT-Routers (192.168.2.1) ist.
3. Internetverbindung testen: Öffnen Sie den Browser und rufen Sie mehrere Webseiten auf.
4. DNS-Test: Öffnen Sie die Kommandozeile und führen Sie aus:
   • nslookup google.de (Windows) oder dig google.de (Linux/macOS). Der angezeigte DNS-Server sollte Ihr OpenWRT-Gerät sein.
   • Wenn Sie eine DNS-Umleitung eingerichtet haben oder einen Werbeblocker nutzen, prüfen Sie, ob dieser funktioniert (z.B. eine bekannte Werbeseite aufrufen).
5. IPv6-Test: Besuchen Sie Webseiten wie test-ipv6.com oder ipv6-test.com. Sie sollten einen Wert von 10/10 oder ähnlich erhalten und sehen, dass Sie über IPv6 verbunden sind.

Zusätzliche Tipps und Best Practices

• Firmware-Updates: Halten Sie Ihr OpenWRT-Gerät immer auf dem neuesten Stand, um von Verbesserungen und Sicherheitsfixes zu profitieren.
• Backup: Erstellen Sie regelmäßig Backups Ihrer OpenWRT-Konfiguration unter System → Backup / Flash Firmware.
• AdGuard Home / Pi-Hole: Erwägen Sie die Installation eines dieser DNS-Filter direkt auf Ihrem OpenWRT-Gerät (sofern es genug Ressourcen hat) oder auf einem separaten Raspberry Pi.
• VPN: Nutzen Sie die Möglichkeit, einen VPN-Client auf OpenWRT zu konfigurieren, um den gesamten Traffic Ihres Netzwerks durch ein VPN zu leiten, oder einen VPN-Server, um von extern sicher auf Ihr Heimnetz zuzugreifen.
• Gast-WLAN: Richten Sie ein separates Gast-WLAN ein, das vom Hauptnetzwerk isoliert ist, um die Sicherheit zu erhöhen.

Fazit

Die Konfiguration eines OpenWRT APs hinter einer Vodafone Station mag auf den ersten Blick komplex erscheinen, aber mit dieser detaillierten Anleitung haben Sie nun die Werkzeuge an der Hand, um Ihr Netzwerk optimal einzurichten. Sie haben die volle Kontrolle über Ihre DNS-Auflösung, eine robuste IPv6-Implementierung und Zugang zu unzähligen weiteren Funktionen, die Ihr Heimnetzwerk sicherer, schneller und flexibler machen. Experimentieren Sie, lernen Sie und genießen Sie die Freiheit, die Ihnen OpenWRT bietet. Ihr individuelles Heimnetzwerk wartet darauf, von Ihnen gemeistert zu werden!