Программы dd wrt для настройки роутера. Защита беспроводной сети. Файловый сервер из маршрутизатора.

Некоторые примеры настроек dd-wrt. Содержание:

5# Сброс настроек из командной строки

6# Примерная организация сетевой работы в нутри DD-WRT/OPEN-WRT

По мере обновления материала, пункты будут добавляться.

1# Подключение принтера и установка его по сети в Windows 7.

Для начала заходим в интерфейс и включаем поддержку принт-сервера:

Сохраняем «Apply Settings». Подключаем принтер к роутеру и продолжаем настраивать уже в системе. Подключенный принтер ни как не отобразится в настройках dd-wrt. В Windows 7 открываем «Меню пуск — Устройства и принтеры». Вверху открывшегося окна будет кнопка «Установить принтер», или же правой кнопкой на пустом месте и в открывшемся меню выбираем аналогичный пункт «Добавить принтер». В итоге запускается мастер установки принтера:

Выбираем пункт «Добавить сетевой, беспроводной или Bluetooth-принтер». После нажатия начинается процесс поиска принтера. Можно не ждать завершения процесса, а нажать «Нужный принтер в списке отсутствует».

Указываем тип устройства «Устройство TCP/IP», адрес роутера и порт 9100. Настроили > Далее.

Снова начнется безуспешный поиск в большинстве случаев, если система не имеет встроенных драйверов для вашего принтера)) После будет выдано окно следующего содержания:

Выбираем тип устройства «Особое» и нажимаем «Параметры».

Проверяем введенные нами раннее сетевые настройки и тип Протокола выбираем «RAW». Жмем «ОК» > «Далее». Снова Windows пытается что то найти. По их окончанию нам открывается стандартное окно установки драйверов. В зависимости от вашего принтера выбираете из списка либо указываете папочку где лежат драйвера или установочный диск. Если указали правильно, в списке появится нужный вам принтер.

У меня принтер HP, на его примере и делаю =) И снова «Далее». Произойдет установка драйверов принтера, спросят еще парочку простых вопросов: имя принтера, давать доступ или нет к принтеру пользователям из локальной сети, использовать принтер по умолчанию. На этом Все! Принтер установлен и должен быть в списках доступных принтеров.

2# Доступ по FTP к подключенному диску.

Активируем пункт ProFTPD, в поле «User Password List» указываем имена пользователей и пароли которые будут иметь доступ к ftp. Если не указать пользователей, то доступ будет иметь только root пользователь с паролем от Web интерфейса роутера.

Пароль можно задавать в открытом виде, либо в виде шифра md5. Сохраняем/применяем и получаем доступ ко всем подключенным дискам по ftp.

3# Доступ к FTP из Интернета.

Настроив роутер как описано в предыдущем пункте, можно открыть доступ для подключения из интернета. Зная адрес роутера, Вы в любой момент при наличии интернета сможете получить доступ к нужным данным расположенным на подключенном диске. Удобно же! Не так ли?!

Во вкладке «Administration» — «Commands», в поле «Commands» вводим команду:

iptables -I INPUT 1 -p tcp --dport 21 -j logaccept

iptables -I INPUT 1 -p tcp --dport 21 -j logaccept

и нажимаем «Save Firewall». В итоге должно получиться следующее:

Данное правило сохранится при перезагрузке роутера и заново настраивать ни чего не надо.

4# Домашние папки для пользователей FTP

Задача: каждый пользователь ftp должен попадать только в ту папку, которую мы укажем.

Такое не сделать через web интерфейс, поэтому надо подключиться к роутеру с помощью telnet или ssh. Все конфигурационные файлы демона ProFTPD лежат в директории:

/ tmp/ proftpd/ etc/

/tmp/proftpd/etc/

Открываем файл password:

vi / tmp/ proftpd/ etc/ password

vi /tmp/proftpd/etc/password

user01:$ 1 $fRF21Ju8 $n / hIbUS/ QT.6ejqlF3/ qE1:0 :0 :Ftp User,:/ tmp/ root:/ bin/ sh user02:$ 1 $fRF21Ju8 $/ gW4GC1CvVZ6b5AWTBkq71:0 :0 :Ftp User,:/ tmp/ root:/ bin/ sh

user01:$1$fRF21Ju8$n/hIbUS/QT.6ejqlF3/qE1:0:0:Ftp User,:/tmp/root:/bin/sh user02:$1$fRF21Ju8$/gW4GC1CvVZ6b5AWTBkq71:0:0:Ftp User,:/tmp/root:/bin/sh

Меняем нужному пользователю только домашнюю папку (/tmp/root) на ту, куда он должен попасть.

Соответствующий вашей модели роутера и его аппаратной версии.

Загрузите прошивку DD-WRT в маршрутизатор. О том как это сделать для роутеров TP-Link написано . Инструкцию по замене прошивки для иных производителей маршрутизаторов, можно найти на сайте разработчика DD-WRT или на их форуме .

После обновления прошивки введите в браузер адрес 192.168.1.1 . Вы увидите страницу с просьбой ввести новое имя пользователя и пароль. Введите их и обязательно запишите .

Перейдем к настройке роутера. В меню выберите Setup — Basic Setup . В разделе Network Setup в поле Local IP Address пропишите 192.168.99.1 , это будет новый адрес вашего маршрутизатора. Меняем его для того, чтобы в будущем исключить возможные сетевые конфликты с другими роутерами в вашей сети. Которые с большой вероятностью у вас есть.

В Local DNS прописываем ip адрес DNS сервера — 8.8.8.8

На той же странице в разделе Network Address Server Settings (DHCP) выключите 3 опции Use DNSMasq for DHCP, Use DNSMasq for DNS, DHCP-Authoritative

Внимание, после применения параметров адрес роутера сменится на 192.168.99.1

Чтобы не потерять контроль над роутером настроим удаленный доступ из внешней сети через WAN порт. Перейдите на страницу Administration — Management . В разделе RemoteAccess включите в опции Web GUI Management отметку HTTP . После этого роутер будет доступен по его внешнему ip адресу и порту 8080.

Перейдем к настройке WiFi точки доступа. Откройте страницу Wireless — Basic settings . В поле Wireless Network Name (SSID) введите название своего WiFi хотспота, например название вашего заведения.

В названии хотспота возможно использовать только английские буквы, цифры и символы. Буквы кириллицы использовать нельзя.

Перейдите на страницу Wireless — Wireless Security , убедитесь, что опция Security Mode находится в состоянии Disabled .

Теперь непосредственно перейдем к настройке самого хотспота.

• Откройте страницу Services — Hotspot
• в разделе Chillispot активируйте опцию Chillispot установив отметку Enable
• в поле Primary Radius Server IP/DNS введите radius.сайт
• в поле Backup Radius Server IP/DNS введите radius2.сайт
• в DNS Server I P введите 8.8.8.8
• в Redirect URL введите https://auth.сайт/hotspotlogin
• в Shared Key введите ключ wfs123
• в Radius NAS ID введите Идентификатор вашего хостпота из личного кабинета
• в поле UAM Secret введите пароль вашего хотспота из личного кабинета
• в поле UAM Allowed введите

95.167.165.64/27,195.14.118.0/23,91.229.116.0/22,213.59.200.64/28,91.200.28.0/24,91.227.52.0/24,198.241.128.0/17,66.211.128.0/17,216.113.128.0/17,paypal.com,paypalobjects.com,paymaster..paymaster.ru,www.paypal.com,www.paypalobjects.com,www..сайт,support.сайт,lk.сайт,account.сайт,s1.сайт,s2.сайт,s3.сайт,s4.сайт,s5.сайт,s6.сайт,s7.сайт,s8.сайт,s9.сайт,s10.сайт,s11.сайт,s12.сайт,s13.сайт,s14.сайт,s15.сайт,s16.сайт,s17.сайт,s18.сайт,s19.сайт,s20.сайт

Возможные проблемы

Убедитесь, что вы нечаянно не ввели лишние пробелы в поле UAM Allowed, иначе что-то может не заработать. В случае если вы используете beta прошивку DD-WRT нужно будет в поля Primary Radius Server IP/DNS и Backup Radius Server IP/DNS вписать вместо имен radius1.сайт и radius2.сайт их IP адреса 195.14.118.42 и 95.167.165.93

Подготовка к настройке роутера.

Включите роутер в сеть питания. Подключите кабель из подъезда в разъем WAN (Internet).
Соедините роутер с компьютером коротким кабелем, который идет в комплекте с роутером.
Один разъем установите в сетевую карту компьютера, другой в один из LAN портов роутера.

Для Windows XP:

Пуск -> Панель управления -> (Сеть и подключение к интернет) -> Сетевые
подключения->Подключение по локальной сети ->Свойства -> Протокол Интернета TCP/IP.
Установите точку "Получить IP-адрес автоматически" ->

Для Windows 7:

Пуск -> Панель управления -> (Сеть и интернет) -> Центр управления сетями и общим доступом
-> Изменение параметров адаптера ->Подключение по локальной сети ->Свойства
-> Протокол Интернета TCP/IPv4.
Установите точку "Получить IP-адрес автоматически" -> ОК, в предыдущем окне так же ОК.

Для входа в настройки роутера в адресной строке браузера (Internet Explorer,
Mozilla Firefox, Opera, Google Chrome), введите адрес 192.168.1.1 и нажмите клавишу Enter.

(Возможны другие варианты, так что не лишним будет посмотреть в настройках Подключения по локальной сети, либо в командной строке ввести ipconfig /all)

Если все сделано правильно, откроются настройки маршрутизатора.

Выберите пункт Setup, и сейчас потребуется имя пользователя и пароль от роутера. Стандартные данные: имя пользователя - root и пароль - admin

Небольшое описание:

Connect on Demand: Max Idle Time Вы можете настроить маршрутизатор так, чтобы он отключал Интернет-соединение по прошествии определенного периода бездействия (Max Idle Time). Если Ваше Интернет-соединение было прервано в результате простоя в работе, Connect on Demand позволяет маршрутизатору автоматически восстанавливать Ваше соединение, как только Вы попробуете снова зайти в Интернет. Чтобы использовать эту опцию, выберите Connect on Demand . В поле Max Idle Time введите желаемое количество минут, по истечении которых Ваше Интернет-соединение будет прерываться. Период времени по умолчанию - 5 минут.

Keep Alive(рекомендуется): Redial Period, если Вы выберите эту опцию, маршрутизатор будет периодически проверять Ваше Интернет- соединение. Если соединение прекратилось, то маршрутизатор автоматически восстановит Ваше соединение. Для использования этой опции, выберите Keep Alive . В поле Redial Period укажите, как часто маршрутизатор должен проверять Интернет-соединение. Интервал времени по умолчанию - 30 секунд.

После этого, по желанию, можете клонировать MAC - Адрес.

и включить UpnP.

Переходим к настройкам Wi Fi. Wireless - Basic Setting.

Wireless Network Name (название Wi-Fi сети) - укажите удобное для Вас название.

Остальные данные - как на картинке. Wireless - Wireless Security.

Security Mode - выбираете тип шифрования, рекомендуется WPA2 Personal.

WPASharedKey - ключ сети (пароль) от Вашей Wi-Fi сети

Настройка маршрутизатора завершена.

Приступаем к подготовке подключения внешнего устройства.

Для того чтобы проверить, смонтировался ли жесткий диск заходим по адресу http://192.168.1.1/USB.asp и смотрим Disk Info. Если есть строка “Status: Mounted on /mnt” значит все ок.

Установка дополнительных пакетов и программ

Теперь подготовим роутер к установке дополнительных пакетов optware, для этого нужно скачать:

WinSCP не закрываем, возвращаемся в PuTTY и выполняем следующие команды:

ls / jffs/ lib chmod a+ x / jffs/ lib/*

cd / tmp wget < a href= "http://downloads.openwrt.org/backfire/10.03.1-rc4/ar71xx/packages/opkg_576-1_ar71xx.ipkipkg" > http: //downloads.openwrt.org/backfire/10.03.1-rc4/ar71xx/packages/opkg_576-1_ar71xx.ipk ipkg install /tmp/opkg_576-1_ar71xx.ipk

В WinSCP заходим в каталог /etc, создаем файл,для этого в меню выбираем Files – New – File (либо нажимаем Shift+F4). Вводим opkg.conf и копируем туда:

src/ gz snapshots < a href= "http://downloads.openwrt.org/backfire/10.03.1-rc4/ar71xx/packages/dest" > http: //downloads.openwrt.org/backfire/10.03.1-rc4/ar71xx/packages/ dest root /opt dest ram / tmp lists_dir ext / tmp/ var / opkg- lists

В поле Commands вставляем:

sleep 2 if [ - f / mnt/ optware. enable ] ; then mount - o bind / mnt/ etc / etc mount - o bind / mnt/ root / tmp/ root mount - o bind / mnt/ opt / opt else exit fi if [ - d / opt/ usr ] ; then export LD_LIBRARY_PATH= export PATH= else exit fi

Жмем “Save Startup”

Перезагружаемся, для этого в PuTTY выполняем команду Reboot.

Снова запускаем PuTTY и выполняем команды:

export LD_LIBRARY_PATH= "/opt/lib:/opt/usr/lib:/lib:/usr/lib" export PATH= "/opt/bin:/opt/usr/bin:/opt/sbin:/opt/usr/sbin:/bin:/sbin:/usr/sbin:/usr/bin" opkg update

Ставим следующие пакеты.(копируем команды в PuTTY):

opkg install libc opkg install libgcc opkg install uclibcxx opkg install libncurses opkg install busybox

Снова запускаем WinSCP. Заходим в каталог /mnt/root и редактируем файл.profile, если такого файла нет то создаем. Вставляем следующее содержимое:

export LD_LIBRARY_PATH= "/opt/lib:/opt/usr/lib:/lib:/usr/lib:/opt/usr/local/lib" export PATH= "/sbin:/opt/bin:/opt/usr/bin:/opt/sbin:/opt/usr/sbin:/bin:/usr/bin:/usr/sbin:/opt/usr/local/bin" export PS1= "\[\033\u@\h \[\033\W $ \[\033" export TERMINFO= "/opt/usr/share/terminfo"

Сохраняем файл и перезагружаемся командой Reboot.

После перезагрузки в PuTTY выполняем команду:

Конфигурирование роутера для установки пакетов закончено. Можно устанавливать пакеты.

Выполняем команду:

для установки файлового менеджера Midnight Commander на роутер.

IPTV через HTTP для просмотра по wifi

Если Ваш провайдер предоставляет услуги трансляции IPTV, так как Multicast вещание довольно сильно загружает канал, для просмотра iptv чезер Wifi нужно преобразовать udp трафик в http, для этого выполним следующие действия:

Редактируем Startup

Добавляем комманду:

cd / tmp wget < a href= > http: chmod + x udpxy / tmp/ udpxy - a ip_адрес_роутера - p 4760 - m Ваш_внешний_Ip - B 1Mb - M 30

ip_адрес_роутера – если вы не меняли, то адрес 192.168.1.1

Ваш_внешний_Ip – Постоянный Ip-адрес предоставляемый провайдером.

В итоге полный Start скрипт должен быть примерно такой:

cd / tmp wget < a href= "http://files.0day.triolan.net.ua/triolan.ua/dd-wrt/atheros/udpxy" > http: //files.0day.triolan.net.ua/triolan.ua/dd-wrt/atheros/udpxy chmod + x udpxy / tmp/ udpxy - a 192. 168. 1. 1 - p 4760 - m 178. 151. 85. 67 - B 1Mb - M 30 sleep 2 if [ - f / mnt/ optware. enable ] ; then mount - o bind / mnt/ etc / etc mount - o bind / mnt/ root / tmp/ root mount - o bind / mnt/ opt / opt else exit fi if [ - d / opt/ usr ] ; then export LD_LIBRARY_PATH= "/opt/lib:/opt/usr/lib:/lib:/usr/lib" export PATH= "/opt/bin:/opt/usr/bin:/opt/sbin:/opt/usr/sbin:/bin:/sbin:/usr/sbin:/usr/bin" else exit fi

После конфигурирования нажимаем “Save Startup”

Теперь для просмотра потока в IPTV Player нужно настроить сетевой интерфейс:

192. 168. 1. 1: 4760

Можно наслаждаться просмотром iptv по wifi , без торможений, в высоком качестве.

Настройка Transmission

Transmission — это с помощью которого можно закачивать, совершенно любые файлы, на флешку или жесткий диск, которые подключены к вашему роутеру, даже когда ваш компьютер выключен.

Для того чтобы установить transmission на роутер с прошивкой dd-wrt, нужно выполнить команду:

opkg install transmission- web

Для первоначальной настройки, требуется запустить transmission на несколько секунд, для этого выполняем команду:

transmission- daemon

Ждем около двадцати секунд и выполняем команду:

killall transmission- daemon

Теперь запускаем WinSCP и идем в каталог /mnt/root/.config/transmission-daemon и открываем для редактирования файл settings.json (если этот файл отсутствует, создаем).

Удаляем все содержимое и вставляем следующий текст, предварительно отредактировать параметры: «rpc-username» и «rpc-password».

{ "alt-speed-down" : 50 , "alt-speed-enabled" : false , "alt-speed-time-begin" : 540 , "alt-speed-time-day" : 127 , "alt-speed-time-enabled" : false , "alt-speed-time-end" : 1020 , "alt-speed-up" : 50 , "bind-address-ipv4" : "0.0.0.0" , "bind-address-ipv6" : "::" , "blocklist-enabled" : true , "blocklist-url" : "http://www.example.com/blocklist" , "cache-size-mb" : 2 , "dht-enabled" : true , "download-dir" : "/mnt/share/torrents" , "download-limit" : 100 , "download-limit-enabled" : 1 , "encryption" : 2 , "idle-seeding-limit" : 30 , "idle-seeding-limit-enabled" : false , "incomplete-dir" : "/mnt/share/incomplite" , "incomplete-dir-enabled" : false , "lazy-bitfield-enabled" : true , "lpd-enabled" : false , "max-peers-global" : 35 , "message-level" : 2 , "open-file-limit" : 32 , "peer-limit-global" : 240 , "peer-limit-per-torrent" : 60 , "peer-port" : 25000 , "peer-port-random-high" : 65535 , "peer-port-random-low" : 49152 , "peer-port-random-on-start" : false , "peer-socket-tos" : 0 , "pex-enabled" : true , "port-forwarding-enabled" : true , "preallocation" : 1 , "ratio-limit" : 2 , "ratio-limit-enabled" : false , "rename-partial-files" : true , "rpc-authentication-required" : true , "rpc-bind-address" : "0.0.0.0" , "rpc-enabled" : true , "rpc-password" : "придумать пароль" , "rpc-port" : 9091 , "rpc-username" : "придумать логин" , "rpc-whitelist" : "" , "rpc-whitelist-enabled" : false , "script-torrent-done-enabled" : false , "script-torrent-done-filename" : "" , "speed-limit-down" : 100 , "speed-limit-down-enabled" : false , "speed-limit-up" : 100 , "speed-limit-up-enabled" : false , "start-added-torrents" : true , "trash-original-torrent-files" : false , "umask" : 18 , "upload-limit" : 200 , "upload-limit-enabled" : 1 , "upload-slots-per-torrent" : 14 }

Сохраняем файл. Через WinSCP создаем каталоги.

DD-WRT - это прошивка на основе Linux, которая способна превратить беспроводной широкополосной маршрутизатор потребительского класса (дешевле 70 долларов) в мощный центр сети. DD-WRT реализует для этих дешевых устройств все возможности сетевого стека Linux: проводную и беспроводную маршрутизацию, межсетевые экраны, QoS, DHCP-сервер и механизм перенаправления пакетов, RADIUS-сервер, OpenVPN, VLAN, wake-on-LAN, режим повторителя WDS (wireless distribution system), игровую инфраструктуру KAI, шифрование WPA2, аутентификацию и многие другие возможности (см. раздел " "). DD-WRT также предлагает удобный пользовательский графический интерфейс для администрирования и набор инструментов для командной строки, возможности которых можно расширять с помощью сценариев.

В этой статье объясняется, как загрузить DD-WRT, настроить для администратора защищенные графический интерфейс и интерфейс командной строки, а также как проверить и настроить оборудование маршрутизатора обеспечение.

Себастьян Готшаль (Sebastian Gottschall), также известный как BrainSlayer, является основным автором прошивки DD-WRT, а также отвечает за её поддержку. Команда DD-WRT состоит из основной группы разработчиков и сообщества добровольных помощников (см. раздел " "). DD-WRT является бесплатной для некоммерческого использования, в то время как коммерческие пользователи должны приобрести лицензию. Также команда DD-WRT предлагает опции профессиональных услуг, а на их сайте можно приобрести качественное аппаратные компоненты, например, от Ubiquiti и Senao. Дополнительные пожертвования в виде финансов или аппаратного обеспечения, а также помощь другим пользователям на форумах также приветствуются.

Поддерживаемые OEM-устройства

Прошивка DD-WRT была спроектирована для беспроводных маршрутизаторов стандарта IEEE802.11a/b/g/h/n, основанных на процессорах Atheros и Broadcom, например, Linksys WRT54GL, который по заявлению производителя поддерживает DD-WRT. Важной частью проекта DD-WRT являются списки устройств, поддерживающих данную технологию и несовместимых с ней. Рекомендуем использовать эти списки чтобы не тратить напрасно время на работу с несовместимым маршрутизатором (если только вы не хотите проверить, поддерживает ли данная модель DD-WRT, и затем поделится этими сведениями с сообществом).

Даже минимальная сборка DD-WRT для маршрутизаторов Broadcom, оборудованных всего 2 мегабайтами флеш-памяти, предлагает больше возможностей, нежели оригинальная прошивка от производителя. Для маршрутизаторов на основе Atheros требуется как минимум 4 МБ. Полную спецификацию устройства можно найти в базе данных, описывающей поддерживаемые устройства.

Вам, возможно, и не придется устанавливать DD-WRT самостоятельно, так как все больше производителей начинают поставлять оборудование с уже предустановленным DD-WRT. Компании Buffalo, Netgear, ASUS, Linksys и Toplink уже предлагают маршрутизаторы с уже инсталлированной прошивкой DD-WRT.

Инсталляция

Процедура инсталляции зависит от конкретного маршрутизатора . Я использовала маршрутизатор Cisco/Linksys WRT160NL. Это довольно удобное небольшое устройство с четырьмя LAN-портами Ethernet, одним WAN-портом, 8 МБ флеш-памяти и 32 MB RAM, поддержкой технологии MIMO и USB-портом для подключения внешних устройств хранения данных, так что его можно использовать и в качестве файлового или медиа-сервера.

Для всех поддерживаемых маршрутизаторов есть подробные инструкции по установке. Необходимо точно следовать этим инструкциям и избегать «импровизаций», и тогда всё должно пройти хорошо. В процессе инсталляции периодически выдаются предупреждения о том, что нарушение этой процедуры может привести к полному выходу из строя устройства. Если ваш маршрутизатор все-таки «умрет», то попытайтесь восстановить его способами, описанными в статье "Recover from a bad flash" в wiki DD-WRT (см. ссылку в разделе " "). Правда, можно настолько сильно испортить программное обеспечение, что его даже нельзя будет восстановить с флеш-памяти.

Web-браузеры иногда работают с ошибками, так что при использовании графического Web-интерфейса могут возникнуть определенные проблемы. Если изменения конфигурации успешно выполнено, то страница Web-интерфейса должна автоматически обновиться. Если страница не изменилась, то это значит, что изменения несохранены, поэтому необходимо очистить кэш браузера, перезапустить его и попробовать ещё раз.

Активация параметра Boot Wait для защиты от повреждения устройства

По умолчанию для доступа к маршрутизатору используется учетная запись root / admin, а его IP-адрес устанавливается в 192.168.1.1, поэтому для запуска Web-интерфейса DD-WRT необходимо в Web-браузере на ближайшем компьютере ввести URL-адрес http://192.168.1.1.

Прежде чем приступать к любым действиям, необходимо зайти на страницу Administration (администрирование) > Management (управление) и убедиться, что параметр Boot Wait включен, как показано на .

Этот параметр по умолчанию должен быть включен, так как он обеспечивает пятисекундную задержку при загрузке устройства. Поэтому если устройство по какой либо причине не загружается, то у вас будет пять секунд чтобы заново загрузить прошивку из флэш-памяти. Это действие обеспечивает дополнительную защиту от выхода из строя маршрутизатора.

Различия между опциями Save, Apply Settings и Reboot Router

На каждой странице с опциями для изменения конфигурации в Web-интерфейсе внизу имеются кнопки Save (сохранить) и Apply Settings (применить настройки), а иногда еще и кнопка Reboot Router (перегрузить маршрутизатор). Кнопка Save сохраняет ваши изменения, не применяя их, так что они не будут активированы до тех пор, пока маршрутизатор не будет перезагружен. Кнопка Apply Settings сохраняет изменения и немедленно применяет их, при необходимости перезапуская службы. Кнопка Reboot Router предназначена для изменений, требующих перезагрузки, поэтому необходимо их предварительно сохранить.

Защищенное общение с маршрутизатором

По умолчанию Web-интерфейс использует протокол HTTP, в котором информация передается открытым текстом, так что доступ к административному интерфейсу следует защитить, переключившись на протокол HTTPS на странице Administration (администрирование) > Management (управление) > Web Access (Web-доступ). Нажмите на кнопку Apply Settings для немедленного сохранения и активации изменений, а потом перезапустите Web-браузер и откройте адрес https://192.168.1.1 (или другой IP-адрес, который используется вашим устройством). В первый раз вам будет показано предупреждение о сертификате Web-сайта, который был подтвержден NewMedia-NET GmbH. Подтвердите подлинность этого сертификата, чтобы Web-браузер сохранил его локально. В будущем вы сможете сами выступить в роли сертифицирующего органа и сгенерировать свой собственный сертификат, правда, этот вопрос выходит за рамки данной статьи.

Также администрирование DD-WRT можно выполнять из командной строки, что даёт доступ к конфигурационным возможностям, не поддерживаемым Web-интерфейсом. Это также еще одна возможность для управления маршрутизатором, если Web-интерфейс перестанет работать. По умолчанию используется протокол Telnet, а не SSH. Обратиться к маршрутизатору по протоколу Telnet можно следующим образом:

$ telnet 192.168.1.1 DD-WRT login: root Password:

В качестве имени пользователя всегда должен использовать root, в независимости от того, какое имя пользователя вы установили раньше, а пароль должен быть именно тот, который был установлен вами. Для выхода из telnet-сеанса необходимо ввести exit . Использование telnet допустимо на этапе знакомства с DD-WRT, но поскольку этот протокол не обладает никакой защитой, необходимо отключить его и перейти на SSL, когда вы начнете использовать маршрутизатор в рабочем режиме. Для этого необходимо перейти на страницу Services (службы) > Services в Web-интерфейсе, как показано на .

После нажатия на кнопку Apply Settings вы сможете подключиться к DD-WRT уже через SSH. Как и раньше используется имя пользователя root и фактический пароль.

$ ssh [email protected] DD-WRT v24-sp2 std (c) 2010 NewMedia-NET GmbH Release: 08/07/10 (SVN revision: 14896) [email protected]"s password: ========================================================== ____ ___ __ ______ _____ ____ _ _ | _ \| _ \ \ \ / / _ \_ _| __ _|___ \| || | || | || ||____\ \ /\ / /| |_) || | \ \ / / __) | || |_ ||_| ||_||_____\ V V / | _ < | | \ V / / __/|__ _| |___/|___/ \_/\_/ |_| \_\|_| \_/ |_____| |_| DD-WRT v24-sp2 http://www.dd-wrt.com ========================================================== BusyBox v1.13.4 (2010-08-07 05:06:30 CEST) built-in shell (ash) Enter "help" for a list of built-in commands.

Хотите добиться ещё большей безопасности? Тогда настройте вход с использованием открытого ключа и без использования пароля – это защитит от попыток взлома перебором паролей и никто не сможет войти в систему, не имея копии закрытого ключа. Сначала нужно создать зашифрованную пару ключей, на Linux это можно сделать с помощью команды ssh-keygen .

$ ssh-keygen -t rsa -C router1 -f ~/.ssh/linksys

В этом примере создаётся пара RSA-ключей с названием linksys . Открытый ключ называется linksys.pub , а закрытый linksys и оба хранятся в каталоге ~/.ssh , стандартном месте для хранения SSH-ключей, хотя вы можете хранить свои ключи и в другом месте. Далее в файл /etc/ssh/ssh_config необходимо добавить строку для идентификации данных ключей.

IdentityFile ~/.ssh/linksys

Параметр -C добавляет комментарий внутрь файла с открытым ключом, который на самом деле является обычным текстовым файлом. Впоследствии по этому комментарию я при необходимости смогу идентифицировать данный ключ. Теперь необходимо скопировать созданный открытый ключ на DD-WRT устройство, поместив содержимое файла с ключом в текстовое поле, находящееся в разделе SSH на странице Services > Services и отключить вход с помощью пароля, как показано на .

Остается нажать кнопку Save , а затем кнопку Reboot Router . Если у вас уже была открытая SSH-сессия, то она автоматически будет закрыта, а при следующем входе в систему пароль уже проверяться не будет. Если необходимо добавить несколько ключей, то они должны разделяться символом переноса строки.

Эти же действия можно выполнить и из командной строки, используя команду nvram . Убедитесь, что ваш открытый ключ в виде единой строки полностью находится в одинарных кавычках (в теле ключа могут встречаться пробелы, но не символы переноса строки).

root@linksys:~# nvram set sshd_authorized_keys="ssh-rsa AAAAB3NzaC...89Suj router1" root@linksys:~# nvram commit root@linksys:~# reboot

При использовании nvram также можно установить несколько ключей, поместив отдельные ключи в кавычки и разделив их пробелами.

root@linksys:~# nvram set sshd_authorized_keys="key1" "key2" "key3" root@linksys:~# nvram commit

Желательно сначала ввести необходимый текст в текстовом редакторе, чтобы убедиться, что в нём нет ошибок, а затем целиком скопировать его и вставить в командную строку.

Команда nvram

Термин nvram имеет несколько значений. Во-первых, это сокращение от non-volatile RAM, специального типа энергонезависимой памяти, сохраняющей данные при отключении питания. Флеш-память, используемая в маршрутизаторе, как раз относится к типу nvram . Команда nvram используется для управления настройками аппаратного обеспечения, которые хранятся в последнем блоке флеш-памяти. Этот сегмент памяти часто также называется nvram . Различные версии команды nvram учитывают специфику продуктов IBM, CISCO, Oracle и Apple. Версия команды nvram, используемой DD-WRT может только выводить и изменять значения, присвоенные переменным, а также удалять переменные. Если запустить её без указания опций, то будут выведены возможные опции и пример синтаксиса использования.

root@linksys:~# nvram usage: nvram

Команда nvram с параметром show выводит все доступные настройки вашего маршрутизатора. Вы можете использовать команду less , чтобы разделить имеющуюся информацию и выводить её постранично.

root@linksys:~# nvram show | less

Или найти определенную переменную с помощью утилиты grep , как показано ниже.

root@linksys:~# nvram show | grep ssh

Совет: если вы случайно отключите Web-интерфейс, но сохраните возможность подключения через telnet или SSH, то Web-интерфейс можно включить следующим способом.

root@linksys:~# nvram set http_enable=1 root@linksys:~# nvram commit root@linksys:~# reboot

Это изменение будет применено после перезагрузки. Значение параметра boot_wait нельзя изменить через GUI, но с помощью nvram это возможно. Сначала необходимо узнать текущее значение данного параметра.

root@linksys:/etc# nvram show |grep wait boot_wait=on wait_time=5

Так как я крайне осторожна, то предпочту увеличить это значение до 10 секунд.

root@linksys:/etc# nvram set wait_time=10 root@linksys:~# nvram commit

Стереть уже установленное значение переменной также очень просто.

root@linksys:~# nvram set http_enable="" root@linksys:~# nvram commit

Если вы не хотите, чтобы какое-то изменение можно было отменить, перезагрузив маршрутизатор, то просто не пользуйтесь командой nvram commit . Это хороший приём, который позволяет проводить эксперименты, так как достаточно просто перегрузить маршрутизатор, чтобы вернуться к предыдущему состоянию.

Команда nvram unset полностью удаляет указанную переменную. На ресурсе OpenWrt Wiki можно найти хорошее описание команды nvram (см. раздел " ").

Последним шансом на исправление испорченной конфигурации может стать сброс всех настроек маршрутизатора в значения по умолчанию, установленные в прошивке. Для этого необходимо нажать кнопку сброса (reset) на маршрутизаторе и удерживать её в течении 30 секунд, а затем перегрузить устройство. После этого будут восстановлены значения по умолчанию DD-WRT, а не оригинальной прошивки устройства, как ошибочно предполагают некоторые пользователи.

Создание второго раздела

Стандартный образ DD-WRT занимает раздел размером в 4 МБ, даже если размер флеш-памяти равен 8 МБ или больше. Поэтому на данном неиспользуемом пространстве можно создать раздел и использовать его для хранения файлов. Этот раздел должен использоваться в основном для считывания информации, например, активности беспроводной точки доступа, страниц с конфигурацией и Web-страниц, дополнительных конфигурационных файлов, а также для хранения ipkg (Itsy Package Management System - система управления пакетами, предназначенная для встроенных устройств). Не стоит использовать эту область для хранения файлов, в которые будет вестись интенсивная запись информации, например, журнальных файлов, так как флеш-память поддерживает только определенное количество циклов записи и поэтому может внезапно отказать. Хотя современная флеш-память достаточно надёжна, но всё же количество возможных циклов записи для неё ограничено. Информацию о текущей файловой системы можно получить с помощью известной команды df:

root@linksys:/# df -h Filesystem Size Used Available Use% Mounted on /dev/root 4.0M 4.0M 0 100% /

В моём маршрутизаторе имеется 8МБ флеш-памяти, но, как мы видим, из них используется только 4 МБ, хотя остальные 4 МБ можно также использовать. Для этого в Web-интерфейсе необходимо открыть Web-страницу Administration (администрирование) > Management (управление) и выбрать опции JFFS2 > Enable (включить) и Clean JFFS2 (очистить JFFS2) > Enable . После этого необходимо щелкнуть кнопки Apply Settings и Reboot Router . После перезагрудки маршрутизатора вывод команды df должен выглядеть, как показано ниже.

root@linksys:~# df -h Filesystem Size Used Available Use% Mounted on /dev/root 4.0M 4.0M 0 100% / /dev/mtdblock/3 2.3M 196.0K 2.1M 9% /jffs

JFFS2 - это журналируемая файловая система для флеш-памяти (Journalling Flash File System version 2), спроектированная для устройств хранения данных на основе флеш-памяти. Необходимо сделать небольшое отступление и рассказать, что такое флеш-память. Это специальное устройство, называемое MTD (Memory Technology Device). MTD – это не блочное устройство, в отличии от жестких дисков или USB-накопителей, но и не символьное устройство, как клавиатура или мышь. Блочные устройства построены на основе секторов фиксированного размера, например 512 или 1024 байта. В MTD-устройствах используются специальные "стираемые" блоки (eraseblock) размером 128 КБ или больше. Блочные устройства умеют делать две вещи: считывать и записывать сектора. MTD-устройства обладают большими возможностями: они могут считывать, записывать и «стирать» блоки.

Карты памяти Compact Flash и SD, USB-флешки на самом нижнем уровне также являются MTD-устройствами. Но для операционной системы они выглядят как блочные устройства, так как они используют технологию FTL (Flash Translation Layers - поуровневое преобразование флеш-памяти), которая эмулирует поведение блочного устройства поверх аппаратной флеш-памяти. Технология FTL может применяться в компьютере или в самом устройстве, в прошивке его контроллера. Если вы попробуете разобрать USB-накопитель, то, скорее всего, обнаружите в нём несколько NAND-чипов, которые и являются флеш-памятью, и микроконтроллер.

Для успешной работы с DD-WRT желательно знать несколько особенностей функционирования флеш-памяти. Во-первых, стираемые блоки NAND являются «атомарными», т.е. всё содержимое блока должно быть стёрто, прежде чем туда можно будет записать новые данные. Во-вторых, в Linux имеется подсистема MTD и команда mtd , позволяющие выполнять основные задачи, например, запись образа на устройство или его очистку. Чтобы получить информацию о синтаксисе и опциях команды mtd , её можно запустить на DD-WRT-устройстве без указания параметров. В DD-WRT WiKi также можно найти информацию и инструкции по работе с mtd . В-третьих, команда nvram располагается в самом последнем блоке и её размер программно ограничен 32 КБ, в независимости от того каков реальный размер блока.