Своя сеть wifi прошивка

Прошивка OpenWRT для роутеров

Данная статья может быть полезна продвинутым пользователям, которые хотят улучшить работу своего домашнего роутера, а также системным администраторам предприятий, перед которым стоит задача повысить надежность и безопасность удаленной работы сотрудников.

Как вы скорее всего знаете, ваш роутер – это маленький компьютер и него есть программное обеспечение, так называемая “прошивка” или “firmware”. Прошивку разрабатывает производитель роутера, однако существуют также альтернативные решения – проекты с открытым исходным кодом: OpenWRT, DD-WRT, Tomato.

Что нам даёт использование OpenWRT?

• Обновления (безопасность и новые фишки) выпускаются в разы чаще и поддержка сохраняется в разы дольше, чем у большинства производителей. Особенно актуально это стало в условиях карантина. Уязвимая “прошивка” роутера – одна из наиболее частых причин инцидентов при удаленной работе.
• “Родные” прошивки бывают нестабильными, особенно у дешевых роутеров. Так многие модели TP-Link зависали после нескольких дней беспрерывной работы.
• Вы привыкаете к одному интерфейсу пользователя и при последующей смене/апгрейде роутера, даже от другого производителя, чувствуете себя “как дома”.
• Вам не обязательно покупать дорогой роутер для реализации продвинутых “фишек”, таких как IPv6, родительский контроль, блокировка рекламы, VPN, гостевой WiFi, DNS шифрование, динамический DNS (DDNS) и т. д.
• Есть активное сообщество, которое поможет оперативнее, чем даже поддержка крупного производителя, да и многое уже описано.
• Преимущества открытого решения на базе Linux: возможность подключаться через SSH, автоматизировать настройку и управлять роутером с помощью скриптов, настройки хранятся в текстовых файлах (автоматизация, контроль версий), можно использовать роутер для других задач (умный дом, SFTP/Web сервер, закачка торрентов и т.п.).

Подробнее эти и другие причины описаны на сайте проекта.

Базовая настройка OpenWRT

Данная статья поможет вам настроить базовые функции OpenWRT, благодаря чему вы сможете быстро и безболезненно перейти на это решение. Вот перечень этих функций:

1. Установить пароль пользователя root.
2. Ограничить доступ по SSH только для интерфейса LAN.
3. Настроить PPPoE подключение по WAN.
4. Настроить WiFi.
5. Добавить гостевой WiFi (без доступа в локальную сеть).
6. Настроить динамический DNS NoIP.
7. Настроить переадресацию портов (port forwarding).
8. Сохранить конфигурацию в архивный файл.

Пункты 6 и 7 нужны, например, для того, чтобы подключаться из Интернета к домашнему компьютеру по SSH или SFTP (например, для синхронизация файлов с ноутбуком), а также для прямого подключения по Anydesk, которое работает быстрее, чем обычное.

Процесс “перепрошивки” на OpenWRT зависит от модели вашего роутера. Следует найти его в списке поддерживаемых устройств и следовать приведенным там рекомендациям.

Настройки можно делать с помощью SSH-подключения и скриптов, однако мы рассмотрим веб-интерфейс (который называется LuCI) как более наглядный и устойчивый к изменениям вариант.

1. Установить пароль пользователя root

2. Ограничить доступ по SSH только для интерфейса LAN

После этого шага имеет смысл сделать Logout и залогиниться снова, чтобы убрать предупреждение в верхней части экрана.

3. Настроить PPPoE подключение по WAN

Нажать кнопку “Edit” в строке “WAN”.

Protocol = PPPoE + нажмите кнопку "Switch protocol" PAP/CHAP username = ваш_логин_у_провайдера PAP/CHAP password = ваш_пароль_у_провайдера

4. Настроить WiFi

4.1 Нажать на кнопку “Edit” под “radio0 802.11nac”.

Channel = Auto ESSID = имя_вашего_wifi_5GHz

Перейти на вкладку Wireless Security.

Encryption = WPA2-PSK/WPA3-SAE Mixed Mode Key = пароль_вашего_wifi_5GHz

4.2 Нажать на кнопку “Edit” под “radio1 802.11bgn”.

Channel = Auto ESSID = имя_вашего_wifi_2.4GHz

Перейти на вкладку Wireless Security.

Encryption = WPA2-PSK/WPA3-SAE Mixed Mode Key = пароль_вашего_wifi_2.4GHz

Нажать кнопки “Enable” (слева от “Edit”) на обоих подключениях.

5. Добавить гостевой WiFi

Взято отсюда, плюс ужато и обновлено под новый интерфейс.

Делаем для 2.4 ГГц, но аналогично можно сделать и для 5ГГц.

5.1.1 Нажать кнопку “Add” в “radio1 802.11bgn”.

Channel = Auto ESSID = имя_вашего_гостевого_wifi network = выбрать "-- custom --" и ввести "guest"

5.1.2 Перейти на вкладку Wireless Security.

Encryption = WPA2-PSK/WPA3-SAE Mixed Mode Key = пароль_вашего_гостевого_wifi

5.2.1 Нажать на кнопку “Edit” в интерфейсе “GUEST”.

Protocol=Static address + нажать кнопку “Switch protocol” IPv4 address = 192.168.3.1 IPv4 netmask = 255.255.255.0

5.2.2 Перейти на вкладку “Firewall settings”.

Create / Assign firewall-zone = выбрать "-- custom --" и ввести "guest"

5.2.3 Перейти на вкладку “DHCP server”.

Нажать на кнопку "Setup DHCP server" и далее Save

5.3.1 Нажать на кнопку “Edit” в зоне “guest”.

Input = reject Allow forward to destination zones = WAN

Нажать на кнопку “Add” внизу.

Name = Guest DNS Protocol = TCP+UDP Source zone = guest Destination zone = Device(input) Destination port = 53 Save

Нажать на кнопку “Add” внизу.

Name = Guest DHCP Protocol = UDP Source zone = guest Destination zone = Device(input) Destination port = 67 Save

6. Настроить динамический DNS NoIP

Нажать кнопку “Update lists…”

Набрать “ddns” в поле “Filter”.

Установить пакеты “ddns-scripts”, “ddns-scripts-noip”, “luci-app-ddns”.

Сделать Logout и потом залогиниться снова.

6.2.1 Нажать кнопку “Edit” в строке “myddns_ipv4”.

Lookup Hostname = your.dyndns.domain.com DDNS Service provider = no-ip.com + нажать кнопку "Switch service" Domain = your.dyndns.domain.com Username = your_username Password = your_password

6.2.2 Нажать кнопку “Reload” в строке “myddns_ipv4”.

6.2.3 Нажать кнопку “Delete” в строке “myddns_ipv6” — если вам достаточно IPv4.

7. Настроить переадресацию портов (port forwarding)

Name = SSH Protocol = TCP+UDP External port = 22 Internal IP address = 192.168.1.2 Save

Name = Anydesk Protocol = TCP+UDP External port = 7070 Internal IP address = 192.168.1.2 Save

8. Сохранить конфигурацию в архивный файл.

Нажать на кнопку “Generate archive”.

Сохранить скачанный файл в надежном месте.

В этом же пункте меню можно загружать обновления прошивки – кнопка “Flash image…”.

Заключение

Таким образом, мы рассмотрели недорогие в применении меры повышения безопасности и стабильности работы домашних роутеров с помощью прошивки OpenWRT. В то же время, следует заметить, что ни одна разовая мера безопасности, включая внедрение дорогого оборудования и программного обеспечения, не даст гарантий отсутствия инцидентов безопасности. Если вам нужен действительно высокий уровень защищённости, то необходим комплексный системный подход, начиная с аудита вашей ИТ-инфраструктуры, в том числе, домашнего окружения.

Источник

Настройка прошивки DD-WRT на роутере: руководство для юзера

DD WRT — это прошивка для маршрутизаторов, созданная на основе Unix. Она используется для моделей, работающих на процессорах BroadCom, Atheros, Xscale и PowerPC, и расширяет их стандартный функционал. Опытному пользователю, которому нужно создать и настроить локальную сеть, почти всегда не хватает обычных настроек роутера для реализации всех задач, потому эта прошивка отлично подойдёт тем, кому нужная тонкая настройка функций и параметров домашней сети.

Установка прошивки позволяет расширить возможности маршрутизатора

Возможности прошивки

Помимо обычных настроек, предлагаемых официальным программным обеспечением роутера, DD WRT обеспечивает следующий функционал:

• доступ по Telnet и SSH;
• настройка планировщика задач Cron;
• удалённый запуск (Wake-on-Lan);
• настройка Samba;
• виртуальные точки Wi-Fi;
• PPTP, VPN — сервер и клиент;
• другие варианты гибкой настройки роутера.

Порядок настройки маршрутизатора с DD-WRT

Для открытия страницы настроек маршрутизатора, прошитого DD WRT, нужно настроить автоматическое назначение IP и других значений на сетевом адаптере ПК, с которого будете настраивать. Затем нужно зайти в настройку роутера по IP, изначально указанному в инструкции. Здесь система предложит вам поменять админские логин и пароль на более надёжные. Придумайте новые данные для входа, введите и запомните их — они ещё не раз пригодятся при работе с другими функциями роутера.

При желании можно поменять язык пользовательского интерфейса. Дальнейшие инструкции мы приводим на примере русского. На странице «Administration» — «Management» нужно найти пункт «Enable Info Site» и поставить метку Disabled. Здесь же в пункте Language Selection выбрать русский язык. Нажать Save.

После этого начинается непосредственно настройка.

Статический IP

1. На вкладке «Установка» — «Основные установки» выбрать «Тип соединения» — «Статический IP».
2. Внести IP и другие данные, предоставленные поставщиком услуг.
3. Снять отметки в пунктах «Использование DNSMasq для DHCP» и «… для DNS». Сохранить параметры.
4. Перейти на вкладку «Службы», отключить «DNSMasq». Сохранить параметры.

Маршрутизация

Далее — настройка маршрутизации:

1. Перейти на страницу «Установка» — «Маршруты».
2. Назначить название и номер маршрута (своё для каждой из созданных подсетей).
3. «Сеть назначения» — 172.17.0.0 (или ваш диапазон подсети).
4. «Маска подсети» — 255.255.0.0
5. «Шлюз» — IP-шлюза, выданный провайдером.
6. «Интерфейс» — WAN.
7. Сохранить введённые значения, повторить действия для создания следующего маршрута.

Подключение по VPN (PPTP)

1. Открыть вкладку «Службы» — «PPTP».
2. Включить «Опции клиента PPTP».
3. «IP или имя DNS-сервера» — ввести цифровой или буквенный адрес.
4. «MPPE-шифрование» — пустое.
5. Пользовательское имя и пароль — из договора.
6. Сохранить.

Подключение PPPoE

В DD WRT есть некоторые сложности с реализацией протокола PPPoE, поэтому понадобится прописать некоторые параметры вручную:

1. На вкладке «Службы» — «PPTP» отключить «Опции клиента PPTP».
2. На вкладке «Установка» — «Основные установки» выбрать тип подключения «PPPoE».
3. Логин-пароль взять из договора.
4. «Имя службы» —
5. «Статический DNS1» — 172.17.0.2.
6. Снять отметки напротив «DNSMasq для DHCP» и «DNSMasq для DNS».
7. Сохранить.

Чтобы внешняя и локальная сети роутера под DD WRT корректно работали одновременно, необходимо настроить PPPoE Dual Access. Это делается в виде текстовых команд:

1. Зайти на страницу «Тех. обслуживание» — «Команды».
2. В текстовое поле ввести (vlan2 — имя интерфейса, выделенного для локалки):

ifconfig vlan2 [ip-адрес] netmask [маска подсети] up
route add -net 172.17.0.0 netmask 255.255.0.0 gw [адрес шлюза]

Повторить для 172.18.0.0 и 172.24.0.0

Нажать «Сохранить параметры запуска».

iptables -t nat -A POSTROUTING -o vlan2 -j MASQUERADE

iptables -t nat -A POSTROUTING -o vlan2 -j SNAT —t WAN_IP

Далее — «Сохранить брандмауэр».

Сеть Wi-Fi

Последний штрих — настройка вай-фай-сети:

Режим беспроводной сети — Смешанный.

SSID передаётся в эфир — Включить.

Конфигурация сети — В мосте.

1. Чтобы назначить пароль на Wi-Fi-сеть, нужно перейти на вкладку «Безопасность», выбрать Режим безопасности — WPA Personal и ввести новый ключ в «Общий ключ WPA».
2. Сохранить параметры и перезагрузить роутер.

Заключение

Опытному пользователю, которого не удовлетворяют стандартные функции роутера для удобной работы домашней сети, мы предлагаем попробовать поработать с роутерами, прошитыми DD WRT. Широкий функционал и правильная настройка этой прошивки позволит вам использовать функции маршрутизатора гораздо шире, чем со стандартным ПО. Попробуйте наше пошаговое руководство по настройке DD WRT и поделитесь своим результатом в комментариях. Там же можно задать нам вопросы по теме статьи.

Источник