Mac адрес роутера openwrt

Первоначальная настройка OpenWRT ч.1

Немного ранее я уже писал про плюсы и минусы OpenWRT, а теперь хочется добавить конкретики.
Итак, дружище, ты прошился на OpenWRT, поэтому принимай мои поздравления. Теперь ты будешь смотреть на мир иначе, ведь баги, глюки и прочие непонятные вещи (на подобии редактора vi) теперь будут тебя радовать постоянно и преследовать в кошмарных снах (шутка).

Приведу здесь шаги для улучшения работы, безопасности и удобства использования маршрутизатора после установки чистой версии OpenWRT. Да-да, есть еще готовые сборки с настроенным софтом, сервисами, разгоном проца и куртизанками, но под конкретную модель роутера. Их можно найти на 4pda и схожих ресурсах.

0. Устанавливаем сложный пароль для учетки root
Пароль должен быть вида G4eSN»A!»2Nr’l-sN’dK

1. Смена IP адресации локальной сети
Пункт необязателен, он выполняется по желанию или необходимости.
Редактируем файл
vi /etc/config/network
нажимаем «i» и входим в режим редактирования, изменяем IP с 192.168.1.1 на 192.168.100.1 , жмакаем Esc 2 раза и выходим с сохранением при помощи
:wq
далее выполняем
/etc/init.d/network restart
смена IPШника является немного проблемной начиная с версии 18, т.к. там был внедрен автооткат настроек.
Если есть доступ в инет, то ставим редактор nano и не сношаем мозги работой с vi.

2. Изменяем порты Web-интерфейса и SSH-сервера
Первое выполняется путем редактирования файла /etc/config/uhttpd через ssh

list listen_http 0.0.0.0:34567
list listen_http [::]:34567
list listen_https 0.0.0.0:45678
list listen_https [::]:45678

сохраняем.
Далее через ssh (или вебморду) ставим необходимые пакеты:
install luci-lib-px5g px5g-standalone luci-ssl-openssl libustream-openssl
и выполняем
/etc/init.d/uhttpd restart
иногда настройки не применяются и необходима перезагрузка маршрутизатора.

Изменить порт SSH можно через web-интерфейс перейдя System-Administration или через редактирование файла /etc/config/dropbear.
Перезапуск демона производится командой
/etc/init.d/dropbear restart
Дополнительно обрати внимание, чтоб telnet был отключен, а ssh доступен только из зоны LAN.
Все это проделывается для того, чтоб сбить с толку злоумышленника или зловредное ПО. Ведь роутер может использоваться не только в домашней сети, состоящей из телевизора и двух смартфонов.

3. Русификация
Ставим пакет luci-i18n-base-ru и жмакаем F5.

4. Установка скинов
Ставим пакет luci-theme-material и luci-theme-freifunk-generic и каждый раз жмакаем F5 для просмотра новой темы.

5. Настройка Wi-Fi
Основной момент заключается в использовании длинного пароля в связке с алгоритмом AES + шифрование WPA2-PSK. Пароль должен быть вида G4eSN»A!»2Nr’l-sN’dK. Не используй один пароль для wifi и админки маршрутизатора. Можно для самоуспокоения скрыть имя точки доступа отметив чекбокс «Hide ESSID». В идеале необходимо уменьшить мощность передатчика (т.к. эфир 2.4ГГц и так замусорен в многоэтажках) и найти максимально свободный канал используя ПО типа Inssider.
Так-же можно добавить планировщик работы Wi-Fi, который будет выключать и включать беспроводные интерфейсы в указанное время. С консоли это делается так: opkg install wifischedule luci-app-wifischedule luci-i18n-wifischedule-ru
Теперь можно переходить в Сервисы — Wi-Fi планировщик и настраивать расписание работы WIFI.
Дополнительно см. ссылки внизу.

Читайте также:  Проверьте уровень сигнала от роутера

6. Настройка Firewall
Что мы будем защищать? Первое — это маршрутизатор от скана портов, второе — SSH и HTTPS от брутфорса паролей.
Устанавливаем необходимые модули для Iptables:
opkg install iptables-mod-condition iptables-mod-hashlimit iptables-mod-ipsec iptables-mod-ipv4options iptables-mod-physdev iptables-mod-psd kmod-ipt-conntrack kmod-ipt-compat-xtables iptables-mod-extra
Пилим защиту от скана портов:
iptables -I INPUT 2 -p tcp —tcp-flags ALL NONE -j DROP
iptables -I INPUT 3 -p tcp —tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -I INPUT 4 -p tcp —tcp-flags SYN,RST SYN,RST -j DROP
iptables -I INPUT 5 -p tcp —tcp-flags FIN,RST FIN,RST -j DROP
iptables -I INPUT 6 -p tcp —tcp-flags ACK,FIN FIN -j DROP
iptables -I INPUT 7 -p tcp —tcp-flags ACK,PSH PSH -j DROP
iptables -I INPUT 8 -p tcp —tcp-flags ACK,URG URG -j DROP
iptables -I INPUT 9 -p tcp -m tcp —tcp-flags FIN,ACK FIN -j DROP
iptables -I INPUT 10 -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -I INPUT 11 -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -I INPUT 12 -m psd -j DROP
Пилим защиту от брутфорса паролей ssh:

7. Меняем MAC снаружи и MAC Wi-Fi
Зачем нам менять МАС? Для того, чтоб обмануть злоумышленника или вредонос. Приведу пример, допустим у тебя стоит TP-Link, который имеет непропатченую производителем уязвимость и по MAC адресу интерфейса можно определить, какой у тебя производитель маршрутизатора и поискать уязвимости. Поэтому мы будем маскироваться под что-то другое, допустим под D-Link.
Физический адрес интерфейса меняется в файлах:
/etc/config/wireless
/etc/config/network
или руками через web-интерфейс.

8. Настройка DDNS
Ставим необходимые пакеты
opkg install luci-app-ddns luci-i18n-ddns-ru
идем в Сервисы-Динамический DNS и настраиваем согласно настройкам своего DDNS провайдера. Там все просто.
Или есть второй вариант — добавить обновление DDNS связки адрес<>IP в cron.

Читайте также:  Роутер xiaomi router ax3200 black

9. Настраиваем iperf3 на маршрутизаторе
Для автоматического запуска iperf3 в виде демона ставим сам iperf3, а далее идем в вебморду роутера Система-Загрузка и туда вписываем
/usr/bin/iperf3 -f Mbits -B 192.168.100.1 -D -s &
или вписываем строку в /etc/rc.local.

10. Остальные плюшки и советы
Главный момент — это ограничение места на флешке твоего маршрутизатора, которое лимирует количество устанавливаемого софта.
Советую поставить nano, чтоб удобнее было редактировать настройки.
Для супер-безопасного соединения со своим маршрутизатором можно пробрасывать порт web-морды средствами ssh. В общем, возможно подымать полноценное VPN соединение средствами SSH. Как? Гугл в помощь!
Если по USB подключен винт, то можно мониторить его состояние утилитой smartmontool.
Если есть 2 провайдера, то можно настроить multiwan.
Управление роутером через Zerotier.
Есть возможность запилить WOL на маршрутизаторе, т.е. подключаешься к роутеру снаружи, будишь домашний камп, который полностью выключен (если WOL настроен в BIOS’е) и потом заходишь на домашний комп любым средством для удаленного управления. Для этого необходимо поставить пакеты luci-app-wol и luci-i18n-wol-ru etherwake.
Режем рекламу средствами OpenWRT. И не только рекламу, а еще и хосты, замеченные в атаках или рассылках спама.

Источник

Как изменить MAC интерфейса wifi в OpenWrt

OpenWRT работает как клиент для подключения к сети wi-fi, чтобы раздавать интернет в локальной сети через ethernet порт. Недавно он был заблокирован на неподконтрольной точке доступа. Изменение имени устройства и его mac-адреса, должно снять блокировку.

Смена MAC адреса может понадобиться, если у провайдера существует жёсткая привязка к вашему роутеру. При смене устройства, провайдер должен зарегистрировать новый адрес вашего устройства. Обычно дозвониться сложно и такая смена адреса может занять несколько часов. Поэтому, быстрее поменять самостоятельно MAC-адрес и для провайдера устройства как будто останется старым.

UCI (Unified Configuration Interface) – унифицированный интерфейс конфигурации, направленный на простую и централизованную настройку OpenWrt.

Если авторизоваться на устройстве openwrt при помощи ssh, можно воспользоваться командой uci, для получения справки

Для удобства переведу параметры

Usage: uci [] [] Commands: batch export [] import [] changes [] commit [] add  add_list ..= show [[.[.]]] get .[.] set .[.]= delete [.

Проверяем текущие настройки

root@FritzBOX:~# uci show wireless wireless.radio0=wifi-device wireless.radio0.type='mac80211' wireless.radio0.channel='11' wireless.radio0.hwmode='11g' wireless.radio0.path='platform/10180000.wmac' wireless.radio0.htmode='HT20' wireless.radio0.macaddr='CC:CE:1E:FF:47:97' wireless.default_radio0=wifi-iface wireless.default_radio0.device='radio0' wireless.default_radio0.network='lan' wireless.default_radio0.mode='ap' wireless.default_radio0.ssid='OpenWrt' wireless.default_radio0.encryption='none' wireless.default_radio0.disabled='1' wireless.default_radio0.macaddr='CC:CE:1E:FF:47:97' wireless.wifinet1=wifi-iface wireless.wifinet1.key='23442472460541061777' wireless.wifinet1.ssid='FRITZ!Box 7430 LN' wireless.wifinet1.device='radio0' wireless.wifinet1.mode='sta' wireless.wifinet1.network='wwan' wireless.wifinet1.encryption='psk2' wireless.wifinet1.short_preamble='0' wireless.wifinet1.macaddr='CC:CE:1E:FF:47:97' root@FritzBOX:~#

Меняем mac адреса. Стоит отметить, что сеть для подключения уже должна быть настроена, иначе у вас будет отсутствовать wifinet1.

root@FritzBOX:~# uci set wireless.radio0.macaddr='CC:CE:1E:FF:47:98' root@FritzBOX:~# uci set wireless.default_radio0.macaddr='CC:CE:1E:FF:47:98' root@FritzBOX:~# uci set wireless.wifinet1.macaddr='CC:CE:1E:FF:47:98'
root@FritzBOX:~# uci show wireless wireless.radio0=wifi-device wireless.radio0.type='mac80211' wireless.radio0.channel='11' wireless.radio0.hwmode='11g' wireless.radio0.path='platform/10180000.wmac' wireless.radio0.htmode='HT20' wireless.radio0.macaddr='CC:CE:1E:FF:47:98' wireless.default_radio0=wifi-iface wireless.default_radio0.device='radio0' wireless.default_radio0.network='lan' wireless.default_radio0.mode='ap' wireless.default_radio0.ssid='OpenWrt' wireless.default_radio0.encryption='none' wireless.default_radio0.disabled='1' wireless.default_radio0.macaddr='CC:CE:1E:FF:47:98' wireless.wifinet1=wifi-iface wireless.wifinet1.key='23442472460541061777' wireless.wifinet1.ssid='FRITZ!Box 7430 LN' wireless.wifinet1.device='radio0' wireless.wifinet1.mode='sta' wireless.wifinet1.network='wwan' wireless.wifinet1.encryption='psk2' wireless.wifinet1.short_preamble='0' wireless.wifinet1.macaddr='CC:CE:1E:FF:47:98' root@FritzBOX:~#
root@FritzBOX:~# uci commit wireless root@FritzBOX:~#

Чтобы сохранить все изменения в системе, во всех конфигах OpenWRT

root@FritzBOX:~# uci commit root@FritzBOX:~#

все изменения можно было сделать в конфиге /etc/config/wireless

root@FritzBOX:~# cat /etc/config/wireless config wifi-device 'radio0' option type 'mac80211' option channel '11' option hwmode '11g' option path 'platform/10180000.wmac' option htmode 'HT20' option macaddr 'CC:CE:1E:FF:47:97' option disabled '1' config wifi-iface 'default_radio0' option device 'radio0' option network 'lan' option mode 'ap' option ssid 'OpenWrt' option encryption 'none' option disabled '1' option macaddr 'CC:CE:1E:FF:47:97' config wifi-iface 'wifinet1' option key '23442472460541061777' option ssid 'FRITZ!Box 7430 LN' option device 'radio0' option mode 'sta' option network 'wwan' option encryption 'psk2' option short_preamble '0' option macaddr 'CC:CE:1E:FF:47:97' option disabled '1' root@FritzBOX:~#

Подключаемся и проверяем. Для подключения по SSH можно воспользоваться PowerShell

Читайте также:  Чем можно заменить вай фай роутер

И да, это тестовый роутер и поэтому без пароля 🙂

p.s. в качестве бонуса пароль в конфиге

Источник

Оцените статью
Adblock
detector