Der EdgeRouter 4 von Ubiquiti Networks hat sich als leistungsfähige Hardwarelösung für anspruchsvolle Heim- und Kleinbüroumgebungen etabliert. Seine technische Ausstattung, bestehend aus einem 4-Kern-Cavium OCTEON Prozessor, 4 GB eMMC-Flash-Speicher und 1 GB RAM, bietet eine solide Grundlage für flexible Netzwerkkonfigurationen. In Verbindung mit dem OpenBSD-Betriebssystem lassen sich hierdurch robuste Netzwerkfunktionen realisieren, die besonders durch ihre Sicherheit und Stabilität hervorstechen. Insbesondere die Implementierung eines Failover-WAN-Systems unter OpenBSD macht den EdgeRouter 4 zu einer überlegenen Wahl für Nutzer, die unterbrechungsfreie Internetkonnektivität schätzen.Die Installation von OpenBSD auf einem MIPS64-basierten System wie dem EdgeRouter 4 ist seit OpenBSD Version 5.
4 offiziell unterstützt und wurde mit der Integration von eMMC-Speicherunterstützung ab Version 5.8 weiter verbessert. Der Installationsprozess ist gut dokumentiert, wenn auch auf einige Besonderheiten wie das Fehlen eines RTC (Real-Time Clock) zu achten ist. Dieses Merkmal erfordert spezielle Maßnahmen zur Zeitsynchronisation, da OpenBSD üblicherweise die systeminterne Uhr nutzt, die beim EdgeRouter 4 jedoch nicht vorhanden ist. Die Konfiguration eines NTP-Dienstes mit festen IP-Adressen für bekannte Zeitserver stellt eine clevere Lösung dar, um korrekte Systemzeiten sicherzustellen.
Hierbei werden beliebte Zeitserver von Cloudflare und Google mit statischen IP-Adressen hinterlegt, die regelmäßig durch ein Skript aktualisiert werden, um Ausfälle oder längere Synchronisationszeiten zu vermeiden.Ein wichtiger Aspekt der Installation ist zudem die Wahl der Speicherpartitionierung. Aufgrund der limitierten Flash-Kapazität wird nur eine Root-Partition ohne Swap erstellt, um der Gefahr von Dateisystembeschädigung bei Stromausfällen entgegenzuwirken. Die Verwendung der Sync-Option für das Root-Dateisystem bringt zusätzliche Verlässlichkeit, erhöht allerdings die Dauer für das Systemupgrade spürbar. Interessant ist auch die Deaktivierung von ASLR (Address Space Layout Randomization) über rcctl, was die Bootzeit signifikant verkürzen kann – ein praktischer Tipp für Anwender, die auf schnelle Neustarts Wert legen.
Das Netzwerkschema des EdgeRouter 4 unter OpenBSD nutzt geschickt mehrere physische Ethernet-Interfaces und trennt diese in unterschiedliche Routing-Domains (rdomain). Hierbei wird die Schnittstelle cnmac1 für das lokale LAN konfiguriert, während cnmac2 und cnmac3 als primärer beziehungsweise sekundärer WAN-Anschluss dienen. Diese Trennung ermöglicht ein sauber strukturiertes Failover-System, bei dem der Datenverkehr des internen Netzwerks dank präzise gesetzter NAT-Regeln jeweils über den aktuell aktiven WAN-Port geleitet wird. Auch die Konfiguration der IPv4- und IPv6-Adressen ist dabei flexibel gestaltet – insbesondere die Anpassung der DHCPv6-Prefix-Delegation ist auf die Anforderungen größerer Präfixe abgestimmt, wie sie häufig von modernen Internetanbietern vergeben werden.Die Steuerung des Failovers erfolgt durch das ifstated-Daemon, das kontinuierlich die Erreichbarkeit stabiler IP-Endpunkte wie 1.
1.1.1 oder 8.8.8.
8 mittels Ping-Tests überprüft. Fällt die Verbindung des primären WAN aus, wird automatisch der zweite WAN-Port aktiviert, indem die Overlayschnittstelle rport0 neu konfiguriert wird. Dieser Mechanismus gewährleistet eine nahtlose Umschaltung ohne Eingriff durch den Benutzer. Durch die intelligente Nutzung von Routing-Domains in Verbindung mit den rport-Schnittstellen lassen sich dadurch komplexe Netzwerktopologien effizient realisieren, die weit über die Möglichkeiten einfacher Dual-WAN-Router hinausgehen.Aufgrund der Trennung der Routing-Domains ist die Auswahl der richtigen Schnittstelle für NAT-Regeln nicht trivial, weshalb im Paket pf (Packet Filter) individuelle NAT-Regeln für jeden WAN-Port definiert werden.
Das Verhindern direkter IPv6-Zugriffe auf interne Hosts durch Verwendung von NAT unterstreicht den sicherheitsorientierten Ansatz dieser Konfiguration. Zusätzlich wurden Port-Weiterleitungen für HTTP und HTTPS eingerichtet, um internen Webservern des LAN Zugänglichkeit zu ermöglichen. Dies geschieht ebenfalls über pf-Redirection-Regeln, die sowohl für cnmac2 als auch für cnmac3 greifen.Ein weiterer Fokus liegt auf der Integration von ISC BIND und ISC DHCPD, mit deren Hilfe ein flexibles und dynamisches DNS-System aufgebaut wird. Dieses erlaubt nicht nur die automatische Zuweisung von IP-Adressen im lokalen Netz über DHCP, sondern sorgt auch für die Aktualisierung der DNS-Records mittels dynamischer Updates.
Besonders hervorzuheben ist die Erstellung eines sicheren Kommunikationskanals zwischen DHCPD und named über einen gemeinsamen RNDC-Schlüssel. Dies verhindert unerwünschte Änderungen an der DNS-Zone und garantiert die Integrität der Namensauflösung. Die Konfiguration der Zonendateien wurde bewusst einfach gehalten, deckt jedoch die wesentlichen Einträge wie SOA, NS und A-Records ab und ist auf eine private "local"-Zone ausgelegt.Für eine plattformgerechte IPv6-Unterstützung wird der rad (Router Advertisement Daemon) eingesetzt, der im lokalen Netz den Clients die relevanten Präfixe und DNS-Server mitteilt. Durch diese Kombination aus DHCPv4, statischem DHCPv6-Präfixmanagement und Router Advertisements können sowohl IPv4- als auch IPv6-fähige Geräte direkt und komfortabel ins Heimnetz eingebunden werden.
Leistungstests mit dem iperf3-Tool zeigen eindrucksvoll die Grenzen, aber auch die Leistungsfähigkeit des EdgeRouter 4 unter OpenBSD. Die NAT-Durchsatzrate bewegt sich im Bereich von etwa 460-470 Mbit/s, was angesichts der Hardwareausstattung ein respektables Ergebnis ist. Allerdings ist zu beachten, dass die CPU-Auslastung besonders des Prozesses softnet0 bei nahezu 100 % liegt, was die intensive Auslastung der Netzwerk-Stack-Software verdeutlicht. Ein Vergleich mit dem Ubiquiti UniFi Security Gateway (USG) zeigt einen deutlichen Performancevorteil für den EdgeRouter 4, der sowohl übertaktet als auch mehrfach stärker ausgestattet ist.Interessant ist, dass sich das Deaktivieren von pf bei beiden Geräten nur geringfügig auf die Nettodurchsatzraten auswirkt, jedoch einen merklichen Einfluss auf die TCP-Retransmissionen und somit auf die Stabilität der Verbindung hat.
Die Tests verdeutlichen zudem, dass selbst ohne VLAN und pf ein durchgängig schneller Datenverkehr gewährleistet werden kann, wobei das Entfernen dieser Features gelegentlich zum kleineren Anstieg der Brutto-Datenraten beiträgt.Die Kombination aus OpenBSD und EdgeRouter 4 bietet durch seine modulare und sicherheitsorientierte Architektur ausdrücklich Vorteile gegenüber proprietären Router-Firmware-Lösungen. Dies spiegelt sich nicht nur in der Ausfallsicherheit durch Failover-WAN wider, sondern auch in der transparenten Handhabung von Netzwerkzonen, dem Schutz vor ungewünschten Zugriffen und der flexiblen Erweiterbarkeit auf zukünftige Anforderungen.Zusammenfassend stellt die Nutzung von OpenBSD auf dem EdgeRouter 4 eine äußerst professionelle und robuste Lösung dar, um Heim- oder Kleinbüro-Netzwerke mit modernsten Technologien auszustatten. Die anspruchsvolle Konfiguration erfordert eine gewisse Einarbeitung, bietet jedoch maximale Kontrolle und langfristige Stabilität.
Failover-WAN sorgt für eine hohe Verfügbarkeit der Internetverbindung, während private DNS-Zonen und dynamisches DNS die Identifikation und Verwaltung von Geräten erleichtern. Die sehr guten Performancewerte bestätigen dabei, dass der EdgeRouter 4 auch für anspruchsvolle Anwendungsszenarien bestens geeignet ist. Für alle, die ihre Netzwerkgrundlage auf Sicherheit, Zuverlässigkeit und Flexibilität aufbauen wollen, ist OpenBSD auf dem EdgeRouter 4 eine erstklassige Wahl.
