- Change LAN IP in LuCI (to an IP on a different subnet)
- Как поменять ip роутера на openwrt?
- Как настроить2 сетевых интерфейса в Linux UBUNTU, с 2 разными шлюзами?
- Почему роутер автоматически блокирует доступ к локальным машинам?
- Можно ли регулировать routing через bastion server в зависимости от группы пользователя?
- Как в active directory сделать перенос данных с «user_1» на «user_2»?
- Панель управления сервером с поддержкой ActiveDirectory/LDAP?
- Почему одна и та же подсеть видит в одну сторону но не видит в другую, на zyxel USG?
- Что не так с фрагментированными UDP, почему они теряются?
- Можно ли в локальной сети обнаружить несанкционированное подключение WiFi-роутера?
- Как настроить второй роутер в локальной сети?
- Существуют ли бесплатные программы для удаленного управления пк?
- Минуточку внимания
- Первоначальная настройка OpenWRT ч.1
Change LAN IP in LuCI (to an IP on a different subnet)
Issue: Can’t change LAN IP in LuCI. After applying the changes, it fails and comes up with some dialogue box.
Root cause: This happens if the new IP is on a different subnet. It’is known and in fact deliberately designed to prevent the user from accidentally locking themselves out.
Solution: If you are confident that the new IP is correct, you have a few options:
Choose Apply Unchecked in the dialogue box*/. This will apply the settings without checking if you can access the new IP or not, so double check the IP .
If you prefer to not to bypass the check then you can do one of the following immediately (within 30 seconds) after changing the IP and applying the settings:
Make your PC get a new IP (for example by disconnecting and reconnecting the cable or the WiFi, or via the terminal), then quickly edit the router IP in the browser Window to the new IP .
Have prepared two static IPs for your PC LAN interface (one on the old IP range and the other in the new IP range), then after applying the settings in LuCI you quickly edit the router IP in the browser Window to the new IP .
Connect with SSH and issue the commands: uci set network.lan.ipaddr=’10.0.0.1′ ; uci commit network ; service network restart
This website uses cookies. By using the website, you agree with storing cookies on your computer. Also you acknowledge that you have read and understand our Privacy Policy. If you do not agree leave the website. OK More information about cookies
Self-registration in the wiki has been disabled.
If you want to contribute to the OpenWrt wiki, please post HERE in the forum or ask on IRC for access.
Except where otherwise noted, content on this wiki is licensed under the following license:
CC Attribution-Share Alike 4.0 International
Как поменять ip роутера на openwrt?
Как настроить2 сетевых интерфейса в Linux UBUNTU, с 2 разными шлюзами?
Почему роутер автоматически блокирует доступ к локальным машинам?
Можно ли регулировать routing через bastion server в зависимости от группы пользователя?
Как в active directory сделать перенос данных с «user_1» на «user_2»?
Панель управления сервером с поддержкой ActiveDirectory/LDAP?
Почему одна и та же подсеть видит в одну сторону но не видит в другую, на zyxel USG?
Что не так с фрагментированными UDP, почему они теряются?
Можно ли в локальной сети обнаружить несанкционированное подключение WiFi-роутера?
Как настроить второй роутер в локальной сети?
Существуют ли бесплатные программы для удаленного управления пк?
Минуточку внимания
- Mikrotik единый интерфейс к многим устройствам?
- 3 подписчика
- 4 ответа
- 2 подписчика
- 0 ответов
- 2 подписчика
- 1 ответ
- 1 подписчик
- 1 ответ
- 2 подписчика
- 1 ответ
- 2 подписчика
- 2 ответа
- 2 подписчика
- 0 ответов
- 2 подписчика
- 2 ответа
- 2 подписчика
- 1 ответ
- 2 подписчика
- 1 ответ
Первоначальная настройка OpenWRT ч.1
Немного ранее я уже писал про плюсы и минусы OpenWRT, а теперь хочется добавить конкретики.
Итак, дружище, ты прошился на OpenWRT, поэтому принимай мои поздравления. Теперь ты будешь смотреть на мир иначе, ведь баги, глюки и прочие непонятные вещи (на подобии редактора vi) теперь будут тебя радовать постоянно и преследовать в кошмарных снах (шутка).Приведу здесь шаги для улучшения работы, безопасности и удобства использования маршрутизатора после установки чистой версии OpenWRT. Да-да, есть еще готовые сборки с настроенным софтом, сервисами, разгоном проца и куртизанками, но под конкретную модель роутера. Их можно найти на 4pda и схожих ресурсах.
0. Устанавливаем сложный пароль для учетки root
Пароль должен быть вида G4eSN»A!»2Nr’l-sN’dK1. Смена IP адресации локальной сети
Пункт необязателен, он выполняется по желанию или необходимости.
Редактируем файл
vi /etc/config/network
нажимаем «i» и входим в режим редактирования, изменяем IP с 192.168.1.1 на 192.168.100.1 , жмакаем Esc 2 раза и выходим с сохранением при помощи
:wq
далее выполняем
/etc/init.d/network restart
смена IPШника является немного проблемной начиная с версии 18, т.к. там был внедрен автооткат настроек.
Если есть доступ в инет, то ставим редактор nano и не сношаем мозги работой с vi.2. Изменяем порты Web-интерфейса и SSH-сервера
Первое выполняется путем редактирования файла /etc/config/uhttpd через sshlist listen_http 0.0.0.0:34567
list listen_http [::]:34567
list listen_https 0.0.0.0:45678
list listen_https [::]:45678сохраняем.
Далее через ssh (или вебморду) ставим необходимые пакеты:
install luci-lib-px5g px5g-standalone luci-ssl-openssl libustream-openssl
и выполняем
/etc/init.d/uhttpd restart
иногда настройки не применяются и необходима перезагрузка маршрутизатора.Изменить порт SSH можно через web-интерфейс перейдя System-Administration или через редактирование файла /etc/config/dropbear.
Перезапуск демона производится командой
/etc/init.d/dropbear restart
Дополнительно обрати внимание, чтоб telnet был отключен, а ssh доступен только из зоны LAN.
Все это проделывается для того, чтоб сбить с толку злоумышленника или зловредное ПО. Ведь роутер может использоваться не только в домашней сети, состоящей из телевизора и двух смартфонов.3. Русификация
Ставим пакет luci-i18n-base-ru и жмакаем F5.4. Установка скинов
Ставим пакет luci-theme-material и luci-theme-freifunk-generic и каждый раз жмакаем F5 для просмотра новой темы.5. Настройка Wi-Fi
Основной момент заключается в использовании длинного пароля в связке с алгоритмом AES + шифрование WPA2-PSK. Пароль должен быть вида G4eSN»A!»2Nr’l-sN’dK. Не используй один пароль для wifi и админки маршрутизатора. Можно для самоуспокоения скрыть имя точки доступа отметив чекбокс «Hide ESSID». В идеале необходимо уменьшить мощность передатчика (т.к. эфир 2.4ГГц и так замусорен в многоэтажках) и найти максимально свободный канал используя ПО типа Inssider.
Так-же можно добавить планировщик работы Wi-Fi, который будет выключать и включать беспроводные интерфейсы в указанное время. С консоли это делается так: opkg install wifischedule luci-app-wifischedule luci-i18n-wifischedule-ru
Теперь можно переходить в Сервисы — Wi-Fi планировщик и настраивать расписание работы WIFI.
Дополнительно см. ссылки внизу.6. Настройка Firewall
Что мы будем защищать? Первое — это маршрутизатор от скана портов, второе — SSH и HTTPS от брутфорса паролей.
Устанавливаем необходимые модули для Iptables:
opkg install iptables-mod-condition iptables-mod-hashlimit iptables-mod-ipsec iptables-mod-ipv4options iptables-mod-physdev iptables-mod-psd kmod-ipt-conntrack kmod-ipt-compat-xtables iptables-mod-extra
Пилим защиту от скана портов:
iptables -I INPUT 2 -p tcp —tcp-flags ALL NONE -j DROP
iptables -I INPUT 3 -p tcp —tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -I INPUT 4 -p tcp —tcp-flags SYN,RST SYN,RST -j DROP
iptables -I INPUT 5 -p tcp —tcp-flags FIN,RST FIN,RST -j DROP
iptables -I INPUT 6 -p tcp —tcp-flags ACK,FIN FIN -j DROP
iptables -I INPUT 7 -p tcp —tcp-flags ACK,PSH PSH -j DROP
iptables -I INPUT 8 -p tcp —tcp-flags ACK,URG URG -j DROP
iptables -I INPUT 9 -p tcp -m tcp —tcp-flags FIN,ACK FIN -j DROP
iptables -I INPUT 10 -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -I INPUT 11 -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -I INPUT 12 -m psd -j DROP
Пилим защиту от брутфорса паролей ssh:7. Меняем MAC снаружи и MAC Wi-Fi
Зачем нам менять МАС? Для того, чтоб обмануть злоумышленника или вредонос. Приведу пример, допустим у тебя стоит TP-Link, который имеет непропатченую производителем уязвимость и по MAC адресу интерфейса можно определить, какой у тебя производитель маршрутизатора и поискать уязвимости. Поэтому мы будем маскироваться под что-то другое, допустим под D-Link.
Физический адрес интерфейса меняется в файлах:
/etc/config/wireless
/etc/config/network
или руками через web-интерфейс.8. Настройка DDNS
Ставим необходимые пакеты
opkg install luci-app-ddns luci-i18n-ddns-ru
идем в Сервисы-Динамический DNS и настраиваем согласно настройкам своего DDNS провайдера. Там все просто.
Или есть второй вариант — добавить обновление DDNS связки адрес<>IP в cron.9. Настраиваем iperf3 на маршрутизаторе
Для автоматического запуска iperf3 в виде демона ставим сам iperf3, а далее идем в вебморду роутера Система-Загрузка и туда вписываем
/usr/bin/iperf3 -f Mbits -B 192.168.100.1 -D -s &
или вписываем строку в /etc/rc.local.10. Остальные плюшки и советы
Главный момент — это ограничение места на флешке твоего маршрутизатора, которое лимирует количество устанавливаемого софта.
Советую поставить nano, чтоб удобнее было редактировать настройки.
Для супер-безопасного соединения со своим маршрутизатором можно пробрасывать порт web-морды средствами ssh. В общем, возможно подымать полноценное VPN соединение средствами SSH. Как? Гугл в помощь!
Если по USB подключен винт, то можно мониторить его состояние утилитой smartmontool.
Если есть 2 провайдера, то можно настроить multiwan.
Управление роутером через Zerotier.
Есть возможность запилить WOL на маршрутизаторе, т.е. подключаешься к роутеру снаружи, будишь домашний камп, который полностью выключен (если WOL настроен в BIOS’е) и потом заходишь на домашний комп любым средством для удаленного управления. Для этого необходимо поставить пакеты luci-app-wol и luci-i18n-wol-ru etherwake.
Режем рекламу средствами OpenWRT. И не только рекламу, а еще и хосты, замеченные в атаках или рассылках спама.