Lancom / Rohde & Schwarz vertreibt mit der Gateprotect UF-300 eine Firewall mit einer zeitlich beschränkten Lizenz für die komplette Nutzung. Doch was macht man sinnvollerweise mit der Hardware, wenn man die Lizenz nicht – für sehr teures Geld – erneuern möchte? Verschrotten?
Nein! Die Hardware ist zwar kein „Rennauto“, aber zum Wegwerfen definitiv zu schade. Schließlich hat sie acht Ethernetports und ist dementsprechend als Firewallhardware gut zu gebrauchen. Was also tun?
Die Modellbezeichnung
Das uns vorliegende Modell der Gateprotect UF-300 trägt die Modellbezeichnung CAR-2051, eine Hardware, die laut Internet auch in anderen Systemen zum Einsatz kommt.
Die Hardware
Die Hardware ist, wie gesagt, kein Rennauto:
- CPU: Atom C2558 @ 2.40 GHz
- 4 GB RAM, in unserer Version auf zwei DIMMs, zwei weitere Slots sind frei
- 32GB SATA-SSD
Die Software
Als Software war bei uns ein Linux-Kernel installiert: vmlinuz-5.15.77-gp-ext. Die Gateprotect nutzt ein Linux-System, evtl. angepasst, mit einem eigenen Konfigurationssystem. Wir haben hier nicht weiter recherchiert, denn wir wollten das System komplett ersetzen.
Die Bootbeobachtung
Das System besitzt leider keinen direkt nutzbaren VGA-Anschluss. Ob auf dem Board ein VGA-Anschluss vorhanden und auf PINs gelegt ist, haben wir nicht überprüft.
Wir haben folglich ein passendes Konsolen-Kabel gesucht, denn leider lag unserer Gateprotect kein Kabel mehr bei. Jedoch haben wir in unserem Fundus ein passendes Kabel gefunden, angeschlossen und den Boot-Vorgang über die serielle Schnittstelle beobachtet.
Hierbei wurden alle klassischen Boot-Ausgaben angezeigt: CPU, RAM und … die Aufforderung, Tasten zu drücken, um z. B. ins BIOS zu gelangen. Zur Auswahl stand der BIOS-Zugang oder auch das Boot-Medium.
„Klasse“, war der erste Gedankengang, „USB-Stick anschließen und von USB booten…“ Doch die Versuche, das Boot-Menü auszuwählen oder ins BIOS zu gelangen, wurden mit einer „freundlichen“ Abfrage eines Passworts beantwortet. Hier waren schon andere Bastler gescheitert, dass Passwort ist im Internet nicht zu finden. Also: aufschrauben. Zum Aufschrauben muss man allerdings das „Garantiesiegel“ brechen.
Wie bekommt man nun OPNsense auf das System?
Der erste Gedanke und Versuch: Platte ausbauen und das OPNsense-Image aufspielen. Das klappt auch. Jedoch kann, da jetzt von der Platte gestartet wurde, auf dieser, nun aktiven Platte OPNsense nicht installiert werden.
Wir müssen also von einer zweiten Platte starten.
Der Inhalt
Deshalb folgte der Versuch eine zweite Platte anzuschließen. Hier staunten wir nicht schlecht: Der zweite SATA-Port war frei! Dem Anschluss einer zweiten Platte stand also nichts entgegen.
Doch die zweite Platte braucht auch Strom. Also aus dem Lager ein Y-Kabel für den Molex-Anschluss geholt … und gewundert: Ein Molex-Stecker auf dem Board, an dem die doch sehr kleine 32GB SSD angeschlossen ist.
Normalerweise liegen Spannungs-/Stromquellen auf einer Molex-Buchse, damit die Kurzschlussgefahr gemindert wird.
Hier jedoch ist das SSD-Stromkabel mit einer Buchse und das Board mit einem Stecker versehen. Möchte man eine zweite Platte anschließen, muss man also ein Y-Kabel etwas „missbrauchen“: Einen der Y-Äste des Y-Kabels am Board anschließen, am anderen Ast die zweite Festplatte und am eigentlichen Stamm das Kabel der eingebauten Platte. Brrr…
Nun die SATA-Anschlüsse getauscht und …
Die Boot-Platte
…das zweite Staunen: Das System versucht nicht von der eingebauten Platte am Anschluss der eingebauten Platte zu starten, sondern von der nun am bisher leeren Anschluss befindlichen eingebauten zweiten Platte. Es wäre also gar nicht notwendig gewesen, die erste Platte auszubauen.
Das bedeutet: Platten wieder umbauen, eingebaute Platte an den ursprünglichen SATA-Port, Installationsplatte an den freien Port und das System starten. Dann installieren, die Installationsplatte wieder abklemmen, das Y-Stromkabel ausbauen, booten … und alles läuft.
So soll es sein, ein zweites Leben für die Gateprotect.
Die Ethernetports
Eine „kleine“ Falle besteht noch bei der Zuordnung der Ethernetports: Die OPNsense erkennt die Ports als igb0 … igb7, die Ports sind außen mit eth0 … eth7 beschriftet. Auf dem Board sind jedoch zwei Ethernet-Chips verbaut und die Portbereiche sind vertauscht, also igb0 … igb3 sind eth4 …eth7 und igb4 …igb7 sind eth0 … eth3. Man bekommt also nach dem Start eine LAN-Adresse aus dem Standardbereich der OPNsense per DHCP auf eth4.
Sonstige Fallstricke
Wir hatten noch – auf dem Board ist hierfür ein Jumper vorgesehen – das BIOS zurückgesetzt in der Hoffnung, hierdurch würde auch das Passwort gelöscht. Dies war jedoch nicht der Fall.
Und bei unseren Tests hatten wir über die OPNsense das System einmal ausgeschaltet. Danach wollte das System auch nach einem Ziehen des Stromsteckers und dem Aus- / Einschalten des Netzschalters nicht mehr starten. Die Lösung: Der versteckte Reset-Knopf auf der Vorderseite dient auch als Einschalter.
Ihre Fragen
Haben Sie Fragen oder benötigen Sie Unterstützung? Nehmen Sie gerne Kontakt mit uns auf!