Welcome to the openwrt project

Безопасность

Помимо создания идеальной безопасности в беспроводной сети следует воспользоваться дополнительными функциями DD-WRT, чтобы, например, иметь возможность подключаться к Интернету по зашифрованному VPN-соединению или ограничить определенным пользователям или устройствам доступ к вашей домашней сети. Далее мы расскажем, как защитить свою сеть от возможных нападок хакеров.

Защита беспроводной сети

Сделайте свою домашнюю беспроводную сеть невидимой и защитите ее от взлома. Если злоумышленники даже не смогут обнаружить ее, она не сможет стать объектом атаки. Чтобы не высвечивать название сети, откройте на интерфейсе DD-WRT вкладку «Wireless | Basic Settings» на которой отображаются все сети маршрутизатора — как правило, это одна сеть 2,4 ГГц и одна 5 ГГц.

Для обеих переключите опцию «Wireless SSID Broadcast» в положение «Disable». Теперь ваша сеть невидима для других пользователей, кроме вас. Чтобы подключиться к сети через ОС Windows, откройте список беспроводных сетей, выберите сеть со скрытым именем (SSID) и введите имя сети и пароль.

Далее вам нужно указать, каким устройствам открыт доступ к сети, путем выбора MAC-адресов из списка сетевых устройств. Эти адреса вносятся в белый список маршрутизатора. Для активации белого списка в меню «Wireless | MAC Filter» для нужной сети требуется выбрать значение «Enable» и далее «Permit only clients listed to access the wireless network». Эта настройка отвечает за MAC-адреса WLAN, для которых открыт доступ к беспроводной сети.

[vc_column w > Фильтрация MAC-адресов позволяет предоставить доступ в Сеть только доверенной технике.

[vc_column w > Прежде чем создавать VPN-соединение, активируйте соответствующую опцию «OpenVPN Client».

Зашифрованный веб-серфинг

Для безопасного анонимного веб-серфинга требуется стабильное VPN-соединение. Для начала нужно получить доступ к сервису VPN. В качестве примера мы взяли NordVPN, с другими сервисами настройка происходит аналогичным образом. В меню «Setup | Basic Setup | Network Address Server Settings (DHCP)» для «Static DNS 1» введите адрес DNS-сервера — в нашем случае это 162.242.211.137. Затем для «Static DNS 2» введите «78.46.223.24». Нужные адреса серверов предоставит провайдер услуги VPN.

Затем установите флажки возле пунктов «Use DNSMasq for DHCP», «Use DNSMasq for DNS» и «DHCP-Authoritative». Сохраните параметры, перейдите в меню «Setup | IPV6» и нажмите здесь «Disable». Сохранив настройки, откройте меню «Services | VPN». Включите клиент OpenVPN, нажав «Start OpenVPN Client», и для параметра «Server IP/Name» задайте значение «nl1-ru1.nordvpn.com» для российского IP-адреса. Для опции «Encryption Cipher» используйте шифрование «AES-256-CBC», для алгоритма хеширования «Hash Algorithm» укажите значение «SHA1».

Далее включите функцию аутентификации пароля пользователя «nsCertType verification» и откройте «Advanced Options». В качестве имени пользователя и пароля введите логин NordVPN. Далее для параметра «Use LZO Compression» установите значение «Enable» и активируйте опцию «NAT». Для параметра «Additional Config» введите без кавычек следующие команды одну под другой: «persist-key», «persist-tun», «tlsclient» и «remote-cert-tls server».

В заключение вам нужно настроить сертификаты для VPN, которые должен предоставить провайдер — в нашем случае с NordVPN они доступны на странице https://nordvpn.com/profile, которая станет доступна после регистрации и авторизации. Извлеките сертификаты из архива ZIP и скопируйте содержимое файла CA.CRT в поле «CA Cert» в настройках маршрутизатора. Содержимое файла TLS.KEY перенесите в «TLS Auth Key» и сохраните изменения.

[vc_column w > Для анонимного серфинга нужно настроить VPN-соеди­нение с помощью соответствующих сервисов.

[vc_column w > От атак, которые перенаправляют на мошеннические веб-сайты, можно защититься с помощью подключения к альтернативным и безопасным DNS-серверам.

Защита от взлома DNS

Один из новых способов взлома с использованием подмены IP-адресов DNS-серверов, ведущей к незаметной для жертвы переадресации запросов с реального сайта на замаскированный под него фишинговый, заключается в преобразовании доменного имени в IP. Чтобы исключить возможность подобных манипуляций, следует разрешить только определенные DNS-сервера. На вкладке «Services | Services» в разделе «DNSMasq» активируйте опции «DNSMasq» и «Local DNS». Для «Additional DNSMasq Options» введите следующие четыре строки: «no-resolv», «strict-order», «server=208.67.222.222» и «server=208.67.222.220». Затем сохраните настройки, нажав «Save», и активируйте конфигурацию («Apply Settings»).

[edit] Basic Tutorials

  • Access Restrictions
  • Access To Modem Configuration
  • Ad blocking
  • Afterburner/Speedbooster
  • Captive Portal — hotspot
  • Client Bridged
  • Client Mode
  • Configuration settings for UMA enabled phones
  • CRON
  • DNSMasq as DHCP server
  • Easy SSH tunnels (securely surf the web anywhere / bypass firewalls)
  • Easy torrenting with dd-wrt
  • EoIP Routing (Link two routers over the Internet)
  • Firewall
  • Firewall Builder
  • Google Chromecast
  • Guest Network for new and pre-23020 builds
  • HotSpot HTTP Redirect
  • Itunes remote
  • Insufficient RAM (make 8MB RAM devices stable) / Router Slowdown
  • Linking Routers — WDS, Repeaters, OLSR, etc.
  • MAC Address Clone
  • Modem — Connection to Router
  • Multiple WLANs — Add additional SSID’s
  • My Page
  • Network Time Protocol (NTP)
  • NoCatSplash
  • Obtaining an Unknown Router IP Address
  • OpenDNS
  • OpenVPN Remote Access by Static Key (The Simple Way)
  • Parental control
  • Port Blocking
  • Port Forwarding (single/range/trigger/UPnP)
  • Port Forwarding Troubleshooting
  • Printer Sharing
  • ProFTPd Server (including WAN or anonymous access)
  • Quality of Service (QoS)
  • Repeater Bridge
  • Samba Filesystem
  • Separate LAN and WLAN
  • SmartDNS
  • Spanning Tree Protocol (STP)
  • SSH access from internet
  • Sshfs
  • Sony PSP and Remote Play
  • Startup Scripts
  • Static DHCP
  • Telnet/SSH and the Command Line
  • The Easiest Tunnel Ever
  • Update IP change on Tunnelbroker with DNS-O-MATIC
  • Unbound
  • URL — Keyword blocking (Access Restrictions)
  • USB Support (USB)
  • USB storage
  • Verizon FiOS — Using Your Own Router
  • VPN (the easy way) v24+
  • Wake On Lan (WOL)
  • WDS Router Setup
  • Wireless Access Point (WAP)
  • Wireless-N Configuration
  • Wireless Bridge
  • Wireless Packet Info — RX/TX Errors
  • Wireless and Networking tools
  • WL command help (Wireless Commands)
  • Xbox 360 configuration — DD-WRT settings

Дополнительные функции

Кроме управления внешними накопителями и функций мультимедийного сервера, DD-WRT умеет делать еще кое-что, чего маршрутизаторы с заводскими настройками не предлагают: блокировать следящие скрипты сервисов рекламы.

Если вы хотите, чтобы ваши файлы стали доступны со смартфона, умных часов или телевизора, потребуется подключить к роутеру USB-накопитель.

После подключения к роутеру USB-накопителя, расшарьте сохраненные на нем данные для домашней группы пользователей.

Файловый сервер из маршрутизатора

Чтобы подключить внешние диски и USB-флешки к домашней сети при помощи роутера с DD-WRT, в меню «Services | USB» активируйте опции «Core USB Support», «USB Storage Support» и «Automatic Drive Mount». После сохранения и применения конфигурации вставьте внешние накопители в USB-порт маршрутизатора.

Затем откройте меню «Services | NAS» и активируйте опцию «Samba». Для строки сервера «Server String» задайте имя сети маршрутизатора на выбор, для «Workgroup», соответственно, имя рабочей группы. Для «File Sharing | Path to Files» выберите внешний накопитель и задайте объекту имя.

Файлы, находящиеся в общем доступе, можно найти в Проводнике Windows 10, зайдя в «Мой компьютер». Щелкнув левой кнопкой мыши по опции в верхнем меню «Подключить сетевой диск», можно присвоить букве диска папку с открытым доступом. К слову, объем дискового пространства можно увидеть со смартфона или умных часов: приложение DD-WRT доступно для скачивания в официальных магазинах приложений Apple и Google.

Доступ к хранящимся на внешних накопителях данным DD-WRT умеет предоставлять как DLNA-сервер — то есть сервер для вещания мультимедиа. Умные телевизоры таким образом получают контент прямо от накопителя.

Блокировка рекламы для всех устройств

Теперь для отключения агрессивной рекламы больше не понадобится сторонний блокировщик — это будет делать маршрутизатор. В меню «Services | Adblocking» активируйте опции «Privoxy» и «Transparenter Mode» и в белый список внесите сайты, рекламу на которых блокировать не нужно (например, ichip.ru), а затем сохраните конфигурацию и примените созданные изменения, нажав «Apply». Чтобы убедиться, что блокировка рекламы срабатывает должным образом, введите в браузер URL config.privoxy.org. Если открывается страница блокировщика — значит, все в порядке.

[edit] How can I increase my wireless range?

Many factors affect your range. What method you use to extend your range will depend on whether you are trying to increase the range inside a building or outside. Read the next two FAQs below.

Also, try increasing your router’s transmit power to 84 mW. DD-WRT also has settings for frame burst and afterburner. You may see an increase in range by turning these off. Note, the 5GHz band, and to an even greater extent the 60GHz band, have shorter range than the 2.4GHz band. In most cases the 2.4GHz signal will go twice as far as the 5GHz signal broadcast from the same router. This is due to the frequency and the ability to penetrate objects (2.4GHz is better at going through walls and other objects).

Начальные настройки

Суперпрошивка устанавливается на маршрутизатор так же, как и обычное обновление прошивки. Установочный файл нужно скачать на сайте dd-wrt.com в разделе «Router Database», выбрав свою модель роутера. Если захотите когда-нибудь вернуться к оригинальной прошивке, вам понадобится файл прошивки от производителя устройства. Чтобы установить DD-WRT на свой роутер, обычно диалогом обновления, предоставляемым оригинальной прошивкой. После перезагрузки войдите в веб-интерфейс (192.168.1.1), введя логин «root» и пароль «admin».

Конфигурация сетевых подключений

Когда откроется интерфейс DD-WRT, вам будет предложено задать новый пароль и имя пользователя для доступа к маршрутизатору — все как в обычной прошивке, за исключением того, что некоторые модели роутеров не предполагают смену имени пользователя. Вместе с тем, изменение стандартного имени пользователя повышает уровень безопасности. Логин и пароль затем можно будет изменить в разделе «Administration | Management | Router Password».

[vc_column w > Идеальная пара: Linksys ACM3200 является одним из роутеров, которые официально подходят для DD-WRT. Другие модели тоже будут работать хорошо.

[vc_column w > Изменение языка: Практически все пункты настроек русифици­рованы, но во избежание неточностей перевода мы используем в нашем гиде английские названия опций.

Далее на вкладке «Administration | Management» вы можете переключить стандартный язык с английского на русский: прокрутите страницу до нижней трети, в «Language Selection» выберите «Russian» и сохраните настройки, нажав «Save» в самом низу страницы. Соединение WAN (Wide Area Network), обеспечивающее доступ к Интернету, маршрутизатор обычно устанавливает сам. Но на всякий случай до обновления прошивки зайдите в соответствующий раздел веб-интерфейса роутера и запишите старые настройки.

Проблема может возникнуть только в том случае, если для соединения WAN вы используете другой модемный маршрутизатор, то есть подключение к Интернету происходит не прямо с устройства с прошивкой DD-WRT. Заключается она в том, что в пределах диапазона IP-адресов локальной сети может возникнуть конфликт адресов, когда IP-адрес одного из пользователей сети повторяет уже существующий.

В таком случае в меню «Setup | Basic Setup | WAN Connection Type» нужно прописать для маршрутизатора DD-WRT статический IP-адрес. Для этого нужно изменить последнюю часть заданного IP-адреса, прибавив к числу единицу. Не забывайте сохранять каждое изменение нажатием «Save» и в заключение нажать кнопку «Apply».

Продвинутая Сеть в каждый дом!
Маршрутизаторы с прошивкой DD-WRT могут обеспечить все необходимые функциональные возможности, которые могут потребоваться пользователям в домашних условиях (см. ниже).

Оптимальная настройка беспроводной сети

За установлением соединения WAN следует очередь WLAN. DD-WRT позволяет разворачивать не просто беспроводную домашнюю сеть. Можно, например, создавать отдельные сети для гостей, для мультимедийных устройств или для чего-нибудь другого. Преимущества такого подхода заключаются в том, что устройства, попадающие в сферу Интернета вещей и наиболее подверженные риску взлома, будут работать в своей сети, из которой доступа к остальным домашним сетям не будет. Потом можно будет задать приоритет отдельно взятых сетей по пропускной способности (см. далее раздел «Оптимизация производительности»).

В первую очередь нужно настроить параметры физических беспроводных сетей. Для маршрутизаторов с поддержкой современного стандарта 802.11ac их три: по одной для полос 2,4 ГГц и 5 ГГц и комбинированная сеть Dualband для 2,4 и 5 ГГц. Для этих сетей в меню «Wireless | Basic Settings | Wireless Network Name» нужно задать одно имя — таким образом обеспечивается оптимальное подключение всех домашних уст­ройств к маршрутизатору. Для сети IoT используйте полосу 2,4 ГГц. Для создания дополнительной сети щелкните в разделе «Virtual Interfaces» по кнопке «Add» и задайте индивидуальное имя сети.

Загрузка прошивки DD WRT для домашнего маршрутизатора

В базе данных маршрутизатора DD-WRT вам нужно найти модель домашнего маршрутизатора:

База данных маршрутизатора DD-WRT

Я просто искал “wdr3600”, который подтвердил, что мой домашний маршрутизатор был поддерживаемой моделью. Там вы также увидите, что для скачивания есть три файла:

  • Образ DD-WRT Webflash для первой установки
  • Webrevert – возврат на сток (если вы хотите вернуться к прошивке TP-Link)
  • Прошивка – Webflash (последняя официальная прошивка DD-WRT для вашего роутера)

Первая загрузка – это то, с чего вам нужно начать процесс обновления. Первоначально вам придется прошивать маршрутизаторы этой версией прошивки, чтобы преобразовать прошивку производителя в DD-WRT. Вторая загрузка позволит вам вернуться к прошивке производителя, если вы захотите сделать это позже. Третья загрузка – это более новая версия DD-WRT, как показано в раскрывающемся списке «Поддерживается».

Я бы посоветовал скачать все три перечисленных файла. Кроме того, я бы также порекомендовал хорошо просмотреть форумы. В моем случае я скачал более новую прошивку, чем та, что указана в веб-флэш-памяти, так как были известные проблемы с производительностью, указанной в базе данных маршрутизатора. Стоит опубликовать простой вопрос на форуме, спрашивая, какая версия прошивки рекомендуется для вашего роутера. Пожалуйста, не торопитесь, чтобы исследовать это, чтобы помочь вам избежать поломки маршрутизатора!

Итак, без лишних слов, давайте посмотрим, как прошить DD-WRT на вашем роутере.

[edit] Способ 1: использование веб-интерфейса маршрутизатора

Сбросьте настройки маршрутизатора к завродским значениям.
Это, скорее всего, не потребуется, но если память или NVRAM маршрутизатора почти заполнены, обновление прошивки может привести к его повреждению. Таким образом, рекомендуется, по крайней мере, до подробного знакомства с конкретным устройством.

Выполните сброс в веб-интерфейсе (Administration → Factory Defaults в DD-WRT) или используйте альтернативный метод:
Сброс 30/30/30

Внимание: на некоторых устройствах нельзя использовать сброс 30/30/30, включая все устройства ARM.

Кнопка сброса Reset: при нормальном функционировании маршрутизатора удерживайте кнопку сброса до тех пор, пока индикаторы не начнут мигать (или до 30 секунд). Будьте осторожны при использовании этого метода! Изучите инструкцию к вашей текущей прошивке, чтобы избежать проблем.

Войдите в веб-интерфейс маршрутизатора.
Для нормальной работы веб-интерфейса может потребоватся Javascript

Попробуйте другой браузер при возникновении проблем.

Вам будет предложено ввести имя пользователя и пароль. Если ваш маршрутизатор уже имеет версию DD-WRT, начиная с 28 февраля 2006 г., имя пользователя по умолчанию — root. В предыдущих версиях по умолчанию используется пустое имя пользователя. Как для заводской, так и для прошивки DD-WRT маршрутизаторов Linksys имя пользователя по умолчанию можно оставить пустым или установить любое значение, а пароль по умолчанию — admin. Для других маршрутизаторов выполните поиск значений по умолчанию в Интернете.

Загрузите прошивку.
ПРИМЕЧАНИЕ. При перепрошивке с заводской прошивки может потребоваться несколько перепрошивок подряд. См. для дополнительной информации.

ВНИМАНИЕ: Не прерывайте процесс, пока маршрутизатор мигает и перезагружается. Не выключайте компьютер, не закрывайте браузер и не выключайте маршрутизатор во время этого процесса!

Этот раздел инструкции написан для веб-интерфейса DD-WRT. Интерфейс заводской прошивки будет другим. Смотрите раздел .
Перейдите на вкладку Administration → Firmware Upgrade.

Необязательно: выберите параметр Reset to Defaults, чтобы сбросить настройки к заводским значениям после перепрошивки (примечание: это может вызвать проблемы при перепрошивке).

Нажмите кнопку «Browse» и выберите загруженный бинарный файл .bin прошивки DD-WRT, контрольная сумма которого проверена.

Нажмите кнопку «Upgrade» и дождитесь появления страницы перенаправления, подтверждающей успешную загрузку.

Подождите не менее 5 минут, прежде чем нажать кнопку «Continue». Это зависит от оборудования маршрутизатора.

При успешной прошивке теперь можно получить доступ к веб-интерфейсу DD-WRT по IP-адресу 192.168.1.1.

Снова сбросьте настройки маршрутизатора к завродским значениям.
Делайте это только после того, как убедитесь, что маршрутизатор работает после обновления прошивки.

Это требуется при перепрошивке из заводской прошивки! Смотрите раздел выше.

В случае обновления версии DD-WRT это необходимо только при больших скачках в версии сборки, изменении версии ядра (например, с 2.4 на 2.6 или с 2.6 на 3.10) или при наличии проблем. Для последнего, сбросьте, повторно протестируйте, и затем ищите форум, прежде чем сделать новое сообщение.

Возможные ошибки при загрузке прошивки.
Если веб-интерфейс DD-WRT не доступен через 10 минут, попробуйте очистить кэш браузера, обновить IP-адрес («ipconfig -renew» в окне командной строки Windows), выполнить другой сброс или отключить питание.

Проверьте связь с маршрутизатором командой Ping: ответ TTL=64 указывает на нормальную работу, а TTL=100 обычно указывает на TFTP-сервер, ожидающий загрузки прошивки. Сервер TFTP, как правило, доступен только в первые пару секунд после включения питания. См. статью Tftp flash.

Процесс загрузки прошивки может завершится сообщением «Upload Failed» («Ошибка загрузки»), если используется неверный тип файла, ядро ​​или размер бинарного файла прошивки DD-WRT (или может просто «превратиться кирпич»). Например, это может произойти, если вы используете файл wrt54g.bin тогда, когда вам нужно было выбрать generic версию. Также для некоторых маршрутизаторов может потребоватся, чтобы сборка Mini была перепрошита перед полной версией. Убедитесь, что у вас правильная версия, как описано в первом разделе.

См. статью Recover from a Bad Flash («Восстановление при неудачной перепрошивке») или попробуйте другой браузер для загрузки прошивки.

Если не удается выполнить вход в систему, используя имя пользователя и пароль по умолчанию, выполните сброс еще раз.

[edit] Решение

После перезагрузки и выключения любых тяжелых приложений P2P:

  • Перейдите в веб-интерфейс устройства DD-WRT и войдите в систему.
  • Перейти в ‘Administration’ → ‘Management’.
  • Введите следующие значения в ‘IP Filter Settings’:
    • Maximum Ports: 4096 (для модели с 8 МБ RAM установите значение не выше 1024)
    • TCP Timeout (s): от 300 до 900 секунд (чем выше, тем безопаснее, чем ниже, тем быстрее соединения будут сброшены из-за истечения времени ожидания, НИКОГДА НЕ УКАЗЫВАЙТЕ ЗНАЧЕНИЕ НИЖЕ 300 (5 минут) !!)
    • UDP Timeout (s): 30

Сохраните настройки (кнопка Save Settings) и затем перезагрузите маршрутизатор (кнопка Reboot Router).

Приведенные выше настройки определяют, сколько времени потребуется, чтобы неактивные соединения TCP и UDP были забыты маршрутизатором. Если вы установите их слишком низкими, маршрутизатор слишком быстро забудет активные соединения, и они будут сброшены (прерваны).

Если вы начинаете получать частые отключения в определенных программах, но не в других (обычно это программы мгновенного обмена сообщениями), увеличьте TCP Timeout как минимум до 600 или более.

Если вам нужно на 15% больше доступной оперативной памяти RAM, можно отключить веб-интерфейс DD-WRT. Следующая инструкция может помочь маршрутизатору достичь теоретического максимума в 4096 портов:

  • Сначала убедитесь, что интерфейс командной строки включен. Таким образом, можно подключиться к устройству DD-WRT и снова включить веб-интерфейс при необходимости.
  • Затем выключите веб-интерфейс. Сделайте это через веб-интерфейс и примените изменения.
  • Если нужно включить веб-интерфейс, по мере необходимости используйте команду ‘httpd’. Чтобы закрыть его позже, используйте команду ‘killall httpd’.

На этом мы закончили. Если вы хотите ознакомиться с дополнительной технической информацией и техническими результатами, дополнительная информация представлена ​​ниже.

Увеличение максимального количества подключений за пределы доступного в веб-интерфейсе значения

[edit] Going Offline/Before Implementation

  1. Do NOT use a wireless connection to GUI upload firmware. Use a wired (LAN) connection.
  2. Disable any wireless adapters (see the ) on your system to ensure that none are used for the transfer.
  3. Recommended: AFTER you are offline, disable your anti-virus software, as as a false positive detection could interrupt the upload. Disable all firewalls and security (see Disable Security. Restore security measures before going back online.

Flashing Your Router with DD-WRT Firmware

Three methods of flashing are covered below: using the router’s online interface (Method 1), via TFTP (), and with the Command Line Interface ( — use this if wirelessly connected). The router model and/or location may dictate what you use.

[edit] Prepare to Go Offline

  1. You will not have internet access through the router during the process of replacing the firmware. You are going to do almost everything offline with a LAN connection to your router (how to ). Given the many types of problems you can encounter that can prohibit you from getting help, the process of reactivating and deactivating your security settings if you actually can get back online, and the likelihood for browser crashes if you try to just keep the pages up, you will need to download everything you need before you start. This will allow you to review the information offline in the event that something goes wrong.
  2. Windows Vista users may need to .
  3. Note or screenshot the current settings for future reference, especially if you have static IP addresses.
    1. It can be essential to record your current WAN MAC address. Some ISPs do not allow an immediate change of the routing hardware without a phone call. Check the GUI and router label for the WAN MAC.
  4. Have a secondary router or internet connection available while experimenting with your router’s firmware, to expedite any trouble shooting and remove the risk of becoming stranded.
    1. If you have a cable modem which connects to your router with ethernet, you can plug your PC straight into the modem should you have any problems. Your PC will be assigned your external IP with DHCP, and you will be on the net. Remember to use a software firewall.
  5. Recommended: PDF or save the following for offline reference e.g. File->Save As to html (NOT a bookmark)
    • The installation page for your specific router as found though the Hardware-specific page.
    • This Installation wiki.
    • Recover from a Bad Flash.
  6. In addition, you will probably also need:
    • First («killer») flash file, if applicable.
    • Second (DD-WRT) flash file. (In some cases, this may be the only file you need.)
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector