Dd wrt web интерфейс

From DD-WRT Wiki

You can contol the settings of DD-WRT in two ways:

1. through the Web based Graphical User Interface (Web-GUI), which is explained on this page .
2. using a Linux style command line interface. See Telnet/SSH_and_the_Command_Line for more details.

Contents

[edit] Access via a web browser

After installing DD-WRT Firmware you can access the DD-WRT Web-GUI using a web browser pointing to the same IP address as before you installed DD-WRT. These are some of the most common default IP addresses: 192.168.1.1 (most commonly used on Linksys and Asus), 192.168.2.1 (some Belkins), 192.168.11.1 (some Buffalos), 192.168.10.1 or 192.168.30.1 (some Motorolas), and there may be others.

[edit] Username and Password

The latest versions of DD-WRT will require you to set your own username and password when you first access the web interface. Because the SSH user is always root, it is critical that a strong password be used. These passwords should be 12 characters and use numbers and valid non-alphabetic characters. 12 characters dramatically reduces the probability of a successful random attack and has a cost / time infeasible computational requirement.

The default username is root and the default password is admin (from v23 SP1). Some earlier versions of DD-WRT did not require a username.

[edit] Elements of the Web-GUI

The Web-GUI has five main elements

1. The tabbed menu system 2. Main area 3. Action buttons 4. Help information 5. Some system essentials

Clicking these text buttons gives you access to furter information

1. More. (More Help) 2. Firmware details

Some notes about the screen elements.

• The default information screen is the same as menu selection: Status->Sys-Info
• To save changes you may have made to settings you need to press the Save button. Just moving to a new tab in the menu, will discard settings in the current menu tab.
• The time will count the time since the router has been powered up, until the router gets WAN access. By default the DD-WRT will automatically try to get the corrent time from a time server.

[edit] Menu Interface map

Select one of the menu points below for information about settings within that menu page.

(Menu structure as of June 2012 — svn19342 Mega).

• Setup

• Basic Setup
• DDNS
• MAC Address Clone
• Advanced Routing
• VLANs
• Networking
• EoIP Tunnel

Wireless

Basic Settings

Radius

Wireless Security

MAC Filter

Advanced Settings

WDS

Services

Services

VPN

USB

NAS

Hotspot

SIP Proxy

My Ad Network

Security

Firewall

VPN Passthrough

Access Restrictions

WAN Access

NAT/QoS

Port Forwarding

Port Range Forwarding

Port Triggering

UPnP

DMZ

Quality of Service — QoS

Administration

Management

Keep Alive

Commands

WOL

Factory Defaults

Firmware Upgrade

Backup

Status

Router

WAN

LAN

Wireless

Bandwith

Sys-Info

My Page

[edit] Setting details about the Web-GUI

Under Administration -> Management you can set various details about the Web-GUI. Like:

• set Username and Password
• control Access to the Web-GUI locally/remotely and more
• select between different Router GUI styles

[edit] Example.jpg

testing klik here]]

[edit] Regaining Access

[edit] Locally

If for some reason you completely lost web access to the router, the web server (HTTP daemon) may be shut down. To regain access try starting the web server. SSH or telnet into the router and enter the following commands:

To connect through secure HTTP, add the option -S at the end of the command. See the httpd man pages for more information about that command.

You can use this feature to get a more secure router by activating the web interface only when you need to configure it, and then closing the web server once you’re done.

To shut down the web server, run the command kill `cat /tmp/var/run/httpd.pid` (note the backquotes) or kill `cat /tmp/var/run/httpsd.pid` if you ran the web server with the option -S to get secure HTTP.

[edit] Remotely

Method 2: If you’re at a remote location and have access to your router through SSH or telnet, but you’d like to enable remote web access, you may use the following command to allow access from one remote IP address:

iptables -I INPUT -p tcp -s —dport 80 -j ACCEPT

This temporary remote web access will be disabled again when the router reboots (unless you turned Remote Administration on from the settings in the web interface or saved this as firewall script under Administration ->Commands).

[edit] Simulation

(This section has not been updated for quite some time).
A setup simulation of V22-DD-WRT interface is here.
A setup simulation of V23-DD-WRT interface is here.
A setup simulation of V24beta-DD-WRT interface is here.

Установка, защита и настройка прошивки DD-WRT для беспроводных маршрутизаторов.

DD-WRT — это прошивка на основе Linux, которая способна превратить беспроводной широкополосной маршрутизатор потребительского класса (дешевле 70 долларов) в мощный центр сети. DD-WRT реализует для этих дешевых устройств все возможности сетевого стека Linux: проводную и беспроводную маршрутизацию, межсетевые экраны, QoS, DHCP-сервер и механизм перенаправления пакетов, RADIUS-сервер, OpenVPN, VLAN, wake-on-LAN, режим повторителя WDS (wireless distribution system), игровую инфраструктуру KAI, шифрование WPA2, аутентификацию и многие другие возможности (см. раздел "Ресурсы"). DD-WRT также предлагает удобный пользовательский графический интерфейс для администрирования и набор инструментов для командной строки, возможности которых можно расширять с помощью сценариев.

В этой статье объясняется, как загрузить DD-WRT, настроить для администратора защищенные графический интерфейс и интерфейс командной строки, а также как проверить и настроить оборудование маршрутизатора обеспечение.

Себастьян Готшаль (Sebastian Gottschall), также известный как BrainSlayer, является основным автором прошивки DD-WRT, а также отвечает за её поддержку. Команда DD-WRT состоит из основной группы разработчиков и сообщества добровольных помощников (см. раздел "Ресурсы"). DD-WRT является бесплатной для некоммерческого использования, в то время как коммерческие пользователи должны приобрести лицензию. Также команда DD-WRT предлагает опции профессиональных услуг, а на их сайте можно приобрести качественное аппаратные компоненты, например, от Ubiquiti и Senao. Дополнительные пожертвования в виде финансов или аппаратного обеспечения, а также помощь другим пользователям на форумах также приветствуются.

Поддерживаемые OEM-устройства

Прошивка DD-WRT была спроектирована для беспроводных маршрутизаторов стандарта IEEE802.11a/b/g/h/n, основанных на процессорах Atheros и Broadcom, например, Linksys WRT54GL, который по заявлению производителя поддерживает DD-WRT. Важной частью проекта DD-WRT являются списки устройств, поддерживающих данную технологию и несовместимых с ней. Рекомендуем использовать эти списки чтобы не тратить напрасно время на работу с несовместимым маршрутизатором ( если только вы не хотите проверить, поддерживает ли данная модель DD-WRT, и затем поделится этими сведениями с сообществом).

Даже минимальная сборка DD-WRT для маршрутизаторов Broadcom, оборудованных всего 2 мегабайтами флеш-памяти, предлагает больше возможностей, нежели оригинальная прошивка от производителя. Для маршрутизаторов на основе Atheros требуется как минимум 4 МБ. Полную спецификацию устройства можно найти в базе данных, описывающей поддерживаемые устройства.

Вам, возможно, и не придется устанавливать DD-WRT самостоятельно, так как все больше производителей начинают поставлять оборудование с уже предустановленным DD-WRT. Компании Buffalo, Netgear, ASUS, Linksys и Toplink уже предлагают маршрутизаторы с уже инсталлированной прошивкой DD-WRT.

Инсталляция

Процедура инсталляции зависит от конкретного маршрутизатора. Я использовала маршрутизатор Cisco/Linksys WRT160NL. Это довольно удобное небольшое устройство с четырьмя LAN-портами Ethernet, одним WAN-портом, 8 МБ флеш-памяти и 32 MB RAM, поддержкой технологии MIMO и USB-портом для подключения внешних устройств хранения данных, так что его можно использовать и в качестве файлового или медиа-сервера.

Для всех поддерживаемых маршрутизаторов есть подробные инструкции по установке. Необходимо точно следовать этим инструкциям и избегать «импровизаций», и тогда всё должно пройти хорошо. В процессе инсталляции периодически выдаются предупреждения о том, что нарушение этой процедуры может привести к полному выходу из строя устройства. Если ваш маршрутизатор все-таки «умрет», то попытайтесь восстановить его способами, описанными в статье "Recover from a bad flash" в wiki DD-WRT (см. ссылку в разделе "Ресурсы"). Правда, можно настолько сильно испортить программное обеспечение, что его даже нельзя будет восстановить с флеш-памяти.

Web-браузеры иногда работают с ошибками, так что при использовании графического Web-интерфейса могут возникнуть определенные проблемы. Если изменения конфигурации успешно выполнено, то страница Web-интерфейса должна автоматически обновиться. Если страница не изменилась, то это значит, что изменения несохранены, поэтому необходимо очистить кэш браузера, перезапустить его и попробовать ещё раз.

Активация параметра Boot Wait для защиты от повреждения устройства

По умолчанию для доступа к маршрутизатору используется учетная запись root / admin, а его IP-адрес устанавливается в 192.168.1.1, поэтому для запуска Web-интерфейса DD-WRT необходимо в Web-браузере на ближайшем компьютере ввести URL-адрес http://192.168.1.1.

Прежде чем приступать к любым действиям, необходимо зайти на страницу Administration (администрирование) > Management (управление) и убедиться, что параметр Boot Wait включен, как показано на рисунке 1.

Рисунок 1. Параметр Boot Wait должен быть всегда в состоянии Enable

Этот параметр по умолчанию должен быть включен, так как он обеспечивает пятисекундную задержку при загрузке устройства. Поэтому если устройство по какой либо причине не загружается, то у вас будет пять секунд чтобы заново загрузить прошивку из флэш-памяти. Это действие обеспечивает дополнительную защиту от выхода из строя маршрутизатора.

Различия между опциями Save, Apply Settings и Reboot Router

На каждой странице с опциями для изменения конфигурации в Web-интерфейсе внизу имеются кнопки Save (сохранить) и Apply Settings (применить настройки), а иногда еще и кнопка Reboot Router (перегрузить маршрутизатор). Кнопка Save сохраняет ваши изменения, не применяя их, так что они не будут активированы до тех пор, пока маршрутизатор не будет перезагружен. Кнопка Apply Settings сохраняет изменения и немедленно применяет их, при необходимости перезапуская службы. Кнопка Reboot Router предназначена для изменений, требующих перезагрузки, поэтому необходимо их предварительно сохранить.

Защищенное общение с маршрутизатором

Большинство административных задач можно выполнять через Web-интерфейс DD-WRT, который обладает всеми нужными функциями и аккуратно построен. На рисунке 2 показан пример Web-интерфейса моего маршрутизатора. Здесь можно увидеть увеличенный рисунок 2.

Рисунок 2. Web-интерфейс DD-WRT содержит большое количество информации о конфигурации и состоянии устройства

По умолчанию Web-интерфейс использует протокол HTTP, в котором информация передается открытым текстом, так что доступ к административному интерфейсу следует защитить, переключившись на протокол HTTPS на странице Administration (администрирование) > Management (управление) > Web Access (Web-доступ). Нажмите на кнопку Apply Settings для немедленного сохранения и активации изменений, а потом перезапустите Web-браузер и откройте адрес https://192.168.1.1 (или другой IP-адрес, который используется вашим устройством). В первый раз вам будет показано предупреждение о сертификате Web-сайта, который был подтвержден NewMedia-NET GmbH. Подтвердите подлинность этого сертификата, чтобы Web-браузер сохранил его локально. В будущем вы сможете сами выступить в роли сертифицирующего органа и сгенерировать свой собственный сертификат, правда, этот вопрос выходит за рамки данной статьи.

Также администрирование DD-WRT можно выполнять из командной строки, что даёт доступ к конфигурационным возможностям, не поддерживаемым Web-интерфейсом. Это также еще одна возможность для управления маршрутизатором, если Web-интерфейс перестанет работать. По умолчанию используется протокол Telnet, а не SSH. Обратиться к маршрутизатору по протоколу Telnet можно следующим образом:

В качестве имени пользователя всегда должен использовать root, в независимости от того, какое имя пользователя вы установили раньше, а пароль должен быть именно тот, который был установлен вами. Для выхода из telnet-сеанса необходимо ввести exit . Использование telnet допустимо на этапе знакомства с DD-WRT, но поскольку этот протокол не обладает никакой защитой, необходимо отключить его и перейти на SSL, когда вы начнете использовать маршрутизатор в рабочем режиме. Для этого необходимо перейти на страницу Services (службы) > Services в Web-интерфейсе, как показано на рисунке 3.

Рисунок 3. Отключение Telnet и активация SSH

После нажатия на кнопку Apply Settings вы сможете подключиться к DD-WRT уже через SSH. Как и раньше используется имя пользователя root и фактический пароль.

Хотите добиться ещё большей безопасности? Тогда настройте вход с использованием открытого ключа и без использования пароля – это защитит от попыток взлома перебором паролей и никто не сможет войти в систему, не имея копии закрытого ключа. Сначала нужно создать зашифрованную пару ключей, на Linux это можно сделать с помощью команды ssh-keygen .

В этом примере создаётся пара RSA-ключей с названием linksys. Открытый ключ называется linksys.pub, а закрытый linksys и оба хранятся в каталоге

/.ssh, стандартном месте для хранения SSH-ключей, хотя вы можете хранить свои ключи и в другом месте. Далее в файл /etc/ssh/ssh_config необходимо добавить строку для идентификации данных ключей.

Параметр -C добавляет комментарий внутрь файла с открытым ключом, который на самом деле является обычным текстовым файлом. Впоследствии по этому комментарию я при необходимости смогу идентифицировать данный ключ. Теперь необходимо скопировать созданный открытый ключ на DD-WRT устройство, поместив содержимое файла с ключом в текстовое поле, находящееся в разделе SSH на странице Services > Services и отключить вход с помощью пароля, как показано на рисунке 4.

Рисунок 4. Копирование открытого SSH-ключа для аутентификации на DD-WRT-устройстве

Остается нажать кнопку Save, а затем кнопку Reboot Router. Если у вас уже была открытая SSH-сессия, то она автоматически будет закрыта, а при следующем входе в систему пароль уже проверяться не будет. Если необходимо добавить несколько ключей, то они должны разделяться символом переноса строки.

Эти же действия можно выполнить и из командной строки, используя команду nvram . Убедитесь, что ваш открытый ключ в виде единой строки полностью находится в одинарных кавычках (в теле ключа могут встречаться пробелы, но не символы переноса строки).

При использовании nvram также можно установить несколько ключей, поместив отдельные ключи в кавычки и разделив их пробелами.

Желательно сначала ввести необходимый текст в текстовом редакторе, чтобы убедиться, что в нём нет ошибок, а затем целиком скопировать его и вставить в командную строку.

Команда nvram

Термин nvram имеет несколько значений. Во-первых, это сокращение от non-volatile RAM, специального типа энергонезависимой памяти, сохраняющей данные при отключении питания. Флеш-память, используемая в маршрутизаторе, как раз относится к типу nvram. Команда nvram используется для управления настройками аппаратного обеспечения, которые хранятся в последнем блоке флеш-памяти. Этот сегмент памяти часто также называется nvram. Различные версии команды nvram учитывают специфику продуктов IBM, CISCO, Oracle и Apple. Версия команды nvram, используемой DD-WRT может только выводить и изменять значения, присвоенные переменным, а также удалять переменные. Если запустить её без указания опций, то будут выведены возможные опции и пример синтаксиса использования.

Команда nvram с параметром show выводит все доступные настройки вашего маршрутизатора. Вы можете использовать команду less , чтобы разделить имеющуюся информацию и выводить её постранично.

Или найти определенную переменную с помощью утилиты grep , как показано ниже.

Совет: если вы случайно отключите Web-интерфейс, но сохраните возможность подключения через telnet или SSH, то Web-интерфейс можно включить следующим способом.

Это изменение будет применено после перезагрузки. Значение параметра boot_wait нельзя изменить через GUI, но с помощью nvram это возможно. Сначала необходимо узнать текущее значение данного параметра.

Так как я крайне осторожна, то предпочту увеличить это значение до 10 секунд.

Стереть уже установленное значение переменной также очень просто.

Если вы не хотите, чтобы какое-то изменение можно было отменить, перезагрузив маршрутизатор, то просто не пользуйтесь командой nvram commit . Это хороший приём, который позволяет проводить эксперименты, так как достаточно просто перегрузить маршрутизатор, чтобы вернуться к предыдущему состоянию.

Команда nvram unset [variable] полностью удаляет указанную переменную. На ресурсе OpenWrt Wiki можно найти хорошее описание команды nvram (см. раздел "Ресурсы").

Последним шансом на исправление испорченной конфигурации может стать сброс всех настроек маршрутизатора в значения по умолчанию, установленные в прошивке. Для этого необходимо нажать кнопку сброса (reset) на маршрутизаторе и удерживать её в течении 30 секунд, а затем перегрузить устройство. После этого будут восстановлены значения по умолчанию DD-WRT, а не оригинальной прошивки устройства, как ошибочно предполагают некоторые пользователи.

Создание второго раздела

Стандартный образ DD-WRT занимает раздел размером в 4 МБ, даже если размер флеш-памяти равен 8 МБ или больше. Поэтому на данном неиспользуемом пространстве можно создать раздел и использовать его для хранения файлов. Этот раздел должен использоваться в основном для считывания информации, например, активности беспроводной точки доступа, страниц с конфигурацией и Web-страниц, дополнительных конфигурационных файлов, а также для хранения ipkg (Itsy Package Management System — система управления пакетами, предназначенная для встроенных устройств). Не стоит использовать эту область для хранения файлов, в которые будет вестись интенсивная запись информации, например, журнальных файлов, так как флеш-память поддерживает только определенное количество циклов записи и поэтому может внезапно отказать. Хотя современная флеш-память достаточно надёжна, но всё же количество возможных циклов записи для неё ограничено. Информацию о текущей файловой системы можно получить с помощью известной команды df :

В моём маршрутизаторе имеется 8МБ флеш-памяти, но, как мы видим, из них используется только 4 МБ, хотя остальные 4 МБ можно также использовать. Для этого в Web-интерфейсе необходимо открыть Web-страницу Administration (администрирование) > Management (управление) и выбрать опции JFFS2 > Enable (включить) и Clean JFFS2 (очистить JFFS2) > Enable. После этого необходимо щелкнуть кнопки Apply Settings и Reboot Router. После перезагрудки маршрутизатора вывод команды df должен выглядеть, как показано ниже.

JFFS2 — это журналируемая файловая система для флеш-памяти (Journalling Flash File System version 2), спроектированная для устройств хранения данных на основе флеш-памяти. Необходимо сделать небольшое отступление и рассказать, что такое флеш-память. Это специальное устройство, называемое MTD (Memory Technology Device). MTD – это не блочное устройство, в отличии от жестких дисков или USB-накопителей, но и не символьное устройство, как клавиатура или мышь. Блочные устройства построены на основе секторов фиксированного размера, например 512 или 1024 байта. В MTD-устройствах используются специальные "стираемые" блоки (eraseblock) размером 128 КБ или больше. Блочные устройства умеют делать две вещи: считывать и записывать сектора. MTD-устройства обладают большими возможностями: они могут считывать, записывать и «стирать» блоки.

Карты памяти Compact Flash и SD, USB-флешки на самом нижнем уровне также являются MTD-устройствами. Но для операционной системы они выглядят как блочные устройства, так как они используют технологию FTL (Flash Translation Layers — поуровневое преобразование флеш-памяти), которая эмулирует поведение блочного устройства поверх аппаратной флеш-памяти. Технология FTL может применяться в компьютере или в самом устройстве, в прошивке его контроллера. Если вы попробуете разобрать USB-накопитель, то, скорее всего, обнаружите в нём несколько NAND-чипов, которые и являются флеш-памятью, и микроконтроллер.

Для успешной работы с DD-WRT желательно знать несколько особенностей функционирования флеш-памяти. Во-первых, стираемые блоки NAND являются «атомарными», т.е. всё содержимое блока должно быть стёрто, прежде чем туда можно будет записать новые данные. Во-вторых, в Linux имеется подсистема MTD и команда mtd , позволяющие выполнять основные задачи, например, запись образа на устройство или его очистку. Чтобы получить информацию о синтаксисе и опциях команды mtd , её можно запустить на DD-WRT-устройстве без указания параметров. В DD-WRT WiKi также можно найти информацию и инструкции по работе с mtd . В-третьих, команда nvram располагается в самом последнем блоке и её размер программно ограничен 32 КБ, в независимости от того каков реальный размер блока.

Советы по работе с командной строкой

Эти советы помогут освоить возможности DD-WRT:

• DD-WRT построена на основе BusyBox, широко известного набора инструментов Linux для встраиваемых устройств. В BusyBox содержатся "урезанные" версии основных утилит Linux. Для экономии пространства в BusyBox отсутствуют страницы справочника man , но узнать о командах BusyBox, также называемых апплетами, можно c помощью команды man busybox (см. раздел "Ресурсы"). Можно запустить команду ls -l /bin (или /sbin или /usr/bin) для просмотра содержимого каталогов, содержащих исполняемые файлы, чтобы узнать какие команды будут доступны в BusyBox по известным символическим ссылкам.
• В DD-WRT используется оболочка ash, поставляемая с BusyBox. Cписок команд, встроенных в оболочку, можно вывести с помощью команды builtin .
• Также как и на больших Linux-системах, вы можете считывать информацию из файловых систем /proc и /sys, чтобы узнать больше об аппаратном обеспечении, а конфигурационную информацию можно найти в файловой системе /etc.

С прошивкой DD-WRT с открытым исходным кодом обычный беспроводной роутер сможет выполнять такие функции, которые предлагают только дорогие топовые модели или бизнес-решения.

Свободная альтернативная прошивка DD-WRT для роутеров поможет превратить даже бюджетный маршрутизатор в настоящего аса с богатыми функциональными возможностями, причем совершенно бесплатно. Она также позволит изменить настройки мощности сигнала Wi-Fi и использовать новые протоколы безопасности. Кроме того, в отличие от стандартных прошивок, роутеры под управлением DD-WRT могут выступать не только как VPN-клиенты, но и как серверы. Единственный минус: не всегда понятно, какие настройки нужно активировать, поэтому мы расскажем о самых основных параметрах.

Начальные настройки

Суперпрошивка устанавливается на маршрутизатор так же, как и обычное обновление прошивки. Установочный файл нужно скачать на сайте dd-wrt.com в разделе «Router Database», выбрав свою модель роутера. Если захотите когда-нибудь вернуться к оригинальной прошивке, вам понадобится файл прошивки от производителя устройства. Чтобы установить DD-WRT на свой роутер, обычно диалогом обновления, предоставляемым оригинальной прошивкой. После перезагрузки войдите в веб-интерфейс (192.168.1.1), введя логин «root» и пароль «admin».

Конфигурация сетевых подключений

Когда откроется интерфейс DD-WRT, вам будет предложено задать новый пароль и имя пользователя для доступа к маршрутизатору — все как в обычной прошивке, за исключением того, что некоторые модели роутеров не предполагают смену имени пользователя. Вместе с тем, изменение стандартного имени пользователя повышает уровень безопасности. Логин и пароль затем можно будет изменить в разделе «Administration | Management | Router Password».

[vc_row][vc_column w > Идеальная пара: Linksys ACM3200 является одним из роутеров, которые официально подходят для DD-WRT. Другие модели тоже будут работать хорошо.

[/vc_column][vc_column w > Изменение языка: Практически все пункты настроек русифици­рованы, но во избежание неточностей перевода мы используем в нашем гиде английские названия опций.

Далее на вкладке «Administration | Management» вы можете переключить стандартный язык с английского на русский: прокрутите страницу до нижней трети, в «Language Selection» выберите «Russian» и сохраните настройки, нажав «Save» в самом низу страницы. Соединение WAN (Wide Area Network), обеспечивающее доступ к Интернету, маршрутизатор обычно устанавливает сам. Но на всякий случай до обновления прошивки зайдите в соответствующий раздел веб-интерфейса роутера и запишите старые настройки.

Проблема может возникнуть только в том случае, если для соединения WAN вы используете другой модемный маршрутизатор, то есть подключение к Интернету происходит не прямо с устройства с прошивкой DD-WRT. Заключается она в том, что в пределах диапазона IP-адресов локальной сети может возникнуть конфликт адресов, когда IP-адрес одного из пользователей сети повторяет уже существующий.

В таком случае в меню «Setup | Basic Setup | WAN Connection Type» нужно прописать для маршрутизатора DD-WRT статический IP-адрес. Для этого нужно изменить последнюю часть заданного IP-адреса, прибавив к числу единицу. Не забывайте сохранять каждое изменение нажатием «Save» и в заключение нажать кнопку «Apply».

Продвинутая Сеть в каждый дом!

Маршрутизаторы с прошивкой DD-WRT могут обеспечить все необходимые функциональные возможности, которые могут потребоваться пользователям в домашних условиях (см. ниже).

Оптимальная настройка беспроводной сети

За установлением соединения WAN следует очередь WLAN. DD-WRT позволяет разворачивать не просто беспроводную домашнюю сеть. Можно, например, создавать отдельные сети для гостей, для мультимедийных устройств или для чего-нибудь другого. Преимущества такого подхода заключаются в том, что устройства, попадающие в сферу Интернета вещей и наиболее подверженные риску взлома, будут работать в своей сети, из которой доступа к остальным домашним сетям не будет. Потом можно будет задать приоритет отдельно взятых сетей по пропускной способности (см. далее раздел «Оптимизация производительности»).

В первую очередь нужно настроить параметры физических беспроводных сетей. Для маршрутизаторов с поддержкой современного стандарта 802.11ac их три: по одной для полос 2,4 ГГц и 5 ГГц и комбинированная сеть Dualband для 2,4 и 5 ГГц. Для этих сетей в меню «Wireless | Basic Settings | Wireless Network Name» нужно задать одно имя — таким образом обеспечивается оптимальное подключение всех домашних уст­ройств к маршрутизатору. Для сети IoT используйте полосу 2,4 ГГц. Для создания дополнительной сети щелкните в разделе «Virtual Interfaces» по кнопке «Add» и задайте индивидуальное имя сети.

Безопасность

Помимо создания идеальной безопасности в беспроводной сети следует воспользоваться дополнительными функциями DD-WRT, чтобы, например, иметь возможность подключаться к Интернету по зашифрованному VPN-соединению или ограничить определенным пользователям или устройствам доступ к вашей домашней сети. Далее мы расскажем, как защитить свою сеть от возможных нападок хакеров.

Защита беспроводной сети

Сделайте свою домашнюю беспроводную сеть невидимой и защитите ее от взлома. Если злоумышленники даже не смогут обнаружить ее, она не сможет стать объектом атаки. Чтобы не высвечивать название сети, откройте на интерфейсе DD-WRT вкладку «Wireless | Basic Settings» на которой отображаются все сети маршрутизатора — как правило, это одна сеть 2,4 ГГц и одна 5 ГГц.

Для обеих переключите опцию «Wireless SSID Broadcast» в положение «Disable». Теперь ваша сеть невидима для других пользователей, кроме вас. Чтобы подключиться к сети через ОС Windows, откройте список беспроводных сетей, выберите сеть со скрытым именем (SSID) и введите имя сети и пароль.

Далее вам нужно указать, каким устройствам открыт доступ к сети, путем выбора MAC-адресов из списка сетевых устройств. Эти адреса вносятся в белый список маршрутизатора. Для активации белого списка в меню «Wireless | MAC Filter» для нужной сети требуется выбрать значение «Enable» и далее «Permit only clients listed to access the wireless network». Эта настройка отвечает за MAC-адреса WLAN, для которых открыт доступ к беспроводной сети.

[vc_row][vc_column w > Фильтрация MAC-адресов позволяет предоставить доступ в Сеть только доверенной технике.

[/vc_column][vc_column w > Прежде чем создавать VPN-соединение, активируйте соответствующую опцию «OpenVPN Client».

Зашифрованный веб-серфинг

Для безопасного анонимного веб-серфинга требуется стабильное VPN-соединение. Для начала нужно получить доступ к сервису VPN. В качестве примера мы взяли NordVPN, с другими сервисами настройка происходит аналогичным образом. В меню «Setup | Basic Setup | Network Address Server Settings (DHCP)» для «Static DNS 1» введите адрес DNS-сервера — в нашем случае это 162.242.211.137. Затем для «Static DNS 2» введите «78.46.223.24». Нужные адреса серверов предоставит провайдер услуги VPN.

Затем установите флажки возле пунктов «Use DNSMasq for DHCP», «Use DNSMasq for DNS» и «DHCP-Authoritative». Сохраните параметры, перейдите в меню «Setup | IPV6» и нажмите здесь «Disable». Сохранив настройки, откройте меню «Services | VPN». Включите клиент OpenVPN, нажав «Start OpenVPN Client», и для параметра «Server IP/Name» задайте значение «nl1-ru1.nordvpn.com» для российского IP-адреса. Для опции «Encryption Cipher» используйте шифрование «AES-256-CBC», для алгоритма хеширования «Hash Algorithm» укажите значение «SHA1».

Далее включите функцию аутентификации пароля пользователя «nsCertType verification» и откройте «Advanced Options». В качестве имени пользователя и пароля введите логин NordVPN. Далее для параметра «Use LZO Compression» установите значение «Enable» и активируйте опцию «NAT». Для параметра «Additional Config» введите без кавычек следующие команды одну под другой: «persist-key», «persist-tun», «tlsclient» и «remote-cert-tls server».

В заключение вам нужно настроить сертификаты для VPN, которые должен предоставить провайдер — в нашем случае с NordVPN они доступны на странице https://nordvpn.com/profile, которая станет доступна после регистрации и авторизации. Извлеките сертификаты из архива ZIP и скопируйте содержимое файла CA.CRT в поле «CA Cert» в настройках маршрутизатора. Содержимое файла TLS.KEY перенесите в «TLS Auth Key» и сохраните изменения.

[vc_row][vc_column w > Для анонимного серфинга нужно настроить VPN-соеди­нение с помощью соответствующих сервисов.

[/vc_column][vc_column w > От атак, которые перенаправляют на мошеннические веб-сайты, можно защититься с помощью подключения к альтернативным и безопасным DNS-серверам.

Защита от взлома DNS

Один из новых способов взлома с использованием подмены IP-адресов DNS-серверов, ведущей к незаметной для жертвы переадресации запросов с реального сайта на замаскированный под него фишинговый, заключается в преобразовании доменного имени в IP. Чтобы исключить возможность подобных манипуляций, следует разрешить только определенные DNS-сервера. На вкладке «Services | Services» в разделе «DNSMasq» активируйте опции «DNSMasq» и «Local DNS». Для «Additional DNSMasq Options» введите следующие четыре строки: «no-resolv», «strict-order», «server=208.67.222.222» и «server=208.67.222.220». Затем сохраните настройки, нажав «Save», и активируйте конфигурацию («Apply Settings»).

Оптимизация производительности

Правильные настройки производительности позволят найти самый лучший канал домашней сети, оптимизировать мощность радиомодуля, а значит, и повысить скорость передачи данных. Кроме того, можно распространить беспроводную сеть в такие уголки квартиры, которые до сих пор находились вне зоны ее действия.

Покрытие до последнего уголка

Для улучшения покрытия сети нужно точно выставить мощность передатчика роутера. В меню «Wireless | Basic Settings» для нужной сети выберите «Advanced Settings». Здесь для увеличения мощности сигнала в опции «TX Power» можно ввести нужное значение в децибелах относительно милливатта (дБм). В России «потолок» для устройств 802.11ac составляет 23 дБм, в США — 30 дБм. Значения по умолчанию в целях безопасности выставляются ниже максимально допустимых, что отражается на мощности передаваемого сигнала. Для обеспечения наилучшего покрытия сети установите максимальные значения.

[vc_row][vc_column w > В настройках DD-WRT можно вручную отрегулировать мощность передатчика.

[/vc_column][vc_column w > В качестве альтернативы можно использовать дополнительные антенны для увеличения покрытия.

Подключение старых WLAN-устройств к новой сети

В современных маршрутизаторах предусмотрен механизм защиты, позволяющий оптимально работать в сети даже старым устройствам с поддержкой стандарта 802.11b — например, в случаях, когда устройства 802.11b и 802.11g одновременно отправляют данные на роутер по одному и тому же каналу. Перед началом информационного обмена устройство 802.11b отправляет короткий сигнал запроса на передачу (RTS — Request to Send), а маршрутизатор отправляет сигнал разрешения на отправку (CTS — Clear to send). Этот механизм предотвращает конфликты обращения двух устройств к третьему, но снижает скорость.

Если вы не используете в домашней сети устройства 802.11b, можете полностью отключить в меню «Wireless | Basic Settings» DD-WRT функцию защиты. Для этого в дополнительных настройках установите для функции «Protection Mode» значение «None». Однако оптимизировать скорость можно даже в том случае, если вы используете устройства 802.11b. Установите для «Protection Mode» значение «RTS/CTS» и активируйте опцию «RTS Threshold», установив ее на уровне 2340.

[vc_row][vc_column w > В нашей альтернативной прошивке мы сами можем установить пропускную способность для созданных сетей.

[/vc_column][vc_column w > Проверить скорость работы созданной сети можно с помощью онлайн-сервисов, таких как speedtest.net.

Оптимальное распределение полосы пропускания

Вкладка «NAT/QoS» позволяет определить доступную пропускную способность для разных сетей и устройств. Например, можно урезать пропускную способность для сети IoT, а для смартфона задать приоритет. Запустите службу QoS, щелкнув по разделу «QoS» на вкладке «NAT/QoS», и для опции «Start QoS» установите значение «Enable». Для поля «Port» задайте значение «WAN», для «Packet Scheduler» — «HTB». Для параметра управления потоками «Queueing Discipline» установите значение «FQ_CODEL».

Далее введите для «Downlink» и «Uplink» значение, равное 95% максимальной пропускной способности интернет-соединения. Остальные пять процентов следует оставить на случай сбоев, если соединение окажется перегружено. Иначе в условиях полной загруженности соединения вы не сможете ни загружать что-либо, ни менять параметры настройки.

Входящую и исходящую скорость вы можете измерить с помощью соответствующих онлайн-сервисов, таких как, например, speedtest.net/ru. А чтобы установить для беспроводной сети пропускную способность, в разделе выбора приоритетов служб «Services Priority» выберите нужную сеть, нажмите «Add Service» и введите желаемые значения скорости.

Чтобы задать определенную пропускную способность для определенного устройства, используйте опцию «MAC Priority». Введите нужные MAC-адреса и задайте требуемые значения. MAC-адреса устройств находятся в меню «Status | Wireless | Wireless Nodes».

Дополнительные функции

Кроме управления внешними накопителями и функций мультимедийного сервера, DD-WRT умеет делать еще кое-что, чего маршрутизаторы с заводскими настройками не предлагают: блокировать следящие скрипты сервисов рекламы.

[vc_row][vc_column w > Если вы хотите, чтобы ваши файлы стали доступны со смартфона, умных часов или телевизора, потребуется подключить к роутеру USB-накопитель.

[/vc_column][vc_column w > После подключения к роутеру USB-накопителя, расшарьте сохраненные на нем данные для домашней группы пользователей.

Файловый сервер из маршрутизатора

Чтобы подключить внешние диски и USB-флешки к домашней сети при помощи роутера с DD-WRT, в меню «Services | USB» активируйте опции «Core USB Support», «USB Storage Support» и «Automatic Drive Mount». После сохранения и применения конфигурации вставьте внешние накопители в USB-порт маршрутизатора.

Затем откройте меню «Services | NAS» и активируйте опцию «Samba». Для строки сервера «Server String» задайте имя сети маршрутизатора на выбор, для «Workgroup», соответственно, имя рабочей группы. Для «File Sharing | Path to Files» выберите внешний накопитель и задайте объекту имя.

Файлы, находящиеся в общем доступе, можно найти в Проводнике Windows 10, зайдя в «Мой компьютер». Щелкнув левой кнопкой мыши по опции в верхнем меню «Подключить сетевой диск», можно присвоить букве диска папку с открытым доступом. К слову, объем дискового пространства можно увидеть со смартфона или умных часов: приложение DD-WRT доступно для скачивания в официальных магазинах приложений Apple и Google.

Доступ к хранящимся на внешних накопителях данным DD-WRT умеет предоставлять как DLNA-сервер — то есть сервер для вещания мультимедиа. Умные телевизоры таким образом получают контент прямо от накопителя.