Меню

Настройка dd wrt firewall

Настройка dd wrt firewall

Во-первых стоит отметить, что DD-WRT прошивка представляет из себя операционную систему основанную на ядре Linux. Даже с настройками по умолчанию имеет очень широкий функционал, значительно шире чем в заводской прошивке. Встроены такие компоненты как, FTP сервер, Samba, WOL и многое другое. Через Веб интерфейс доступна подробная статистика и нагрузка на каналы локальной, беспроводной сети и интернета, так же можно увидеть нагрузку на процессор и память роутера.

Если настроить роутер на установку дополнительных пакетов, можно превратить ваш роутер в домашний медиа-сервер. Подключенный жесткий диск с установленным торрент клиентом, вещание ITPV по протоколу HTTP, для просмотра по wi-fi. Если у вас есть телевизор с поддержкой стандарта DLNA, есть возможность подключить телевизор к роутеру и просматривать IPTV, а так же смотреть фильмы с жесткого диска.

Для некоторых моделей доступен только один файл для всех операций.

Для первоначальной установки DD-WRT:

В адресной строке браузера набираем http://192.168.1.1 или http://192.168.0.1, зависит от роутера, вводим данные для авторизации и обновляем файлом factory-to-ddwrt.bin через стандартное меню обновления в вашем роутере.
Роутер через некоторое время уйдет в перезагрузку, после вы увидите обновленный интерфейс (адрес DD-WRT по умолчанию 192.168.1.1). На главной странице при первом запуске нужно указать логин и пароль для администрирования.
Прошивка dd-wrt установлена, можно приступать к настройке. (Так же рекомендуется сделать сброс к заводским настройкам после прошивки и до момента настройки)

Для обновления уже установленной DD-WRT:

В: Не работает русский язик. Почему?
О: Скорее всего проблема в прошивке, русский снова работает во всех релизах 2016 года. Также и в старых стабильных версиях.

В: Я лазил в настройках и теперь у меня низкая скорость отдачи или приёма, почему?
О: Скорее всего вы включили «QoS», проверьте, если да, то отключите.

В: TX Power я выставил 20, но показывает 16 dBm, почему? Я точно знаю, что роутер может работать на этой мощности!
О: Возможно мощность ограничилась, из за выбранного вами региона в настройках WiFi. Поменяйте на другой, например «US».

В: TX Power поставил 20 (или 21), регион нужный, но роутер показывает 19 dBm, почему?
О: Максимальную мощность можно получить только на 6 канале.

В: Как настроить роутер в режиме повторителя?
О: Инструкция

В: Как переназначить сгоревший порт WAN на LAN?
О: Читаем тут.

В: Как получить максимальную скорость WiFi на роутерах с N режимом
О: Читаем тут.

В: На официальном сайте написано, что я теряю гарантию при установке DD-WRT. Это так?
О: Теоретически да, но вы можете прошить сток, и большинство роутеров будет как из коробки.

В: Мне нужен встроенный OpenVpn, есть ли он в этой прошивке?
О: Да, но только в прошивках для роутеров с более чем 4 мб. памяти. (Узнать сколько флеш памяти в вашей модели роутера можно к примеру в WikiDevi)

В: Мне нужно чтобы роутер автоматически включал и выключал WIFI по расписанию, DD-WRT это может?
О: Да, вот инструкция

В: DD-WRT не пускает на локальные ресурсы провайдера (личный кабинет и так далее), что делать?
О: Нужно всего лишь убрать одну галочку инструкция

В: Как изменить значение TTL на роутере?
О: Вот инструкция

В: Как включить мультикаст на DD-WRT?
О: Инструкция

В: Как сделать чтобы роутер работал как свитч, но с wifi?
О: Инструкция

Читайте также:  Начальная настройка триколор тв

В: Как сделать чтобы роутер автоматически перезагружался в нужное время?
О: Инструкция

В: Если у вас не видны соседние компьютеры в локальной сети роутера (к примеру по Samba)
О: Инструкция

В: Как активировать прошивку на роутерах Ubiquiti.
О: Никак. Только купить лицензию для dd-wrt на официальном сайте. Рабочих генераторов ключей не существует.

В: Мне нужно заблокировать сайт в домашней локальной сети, к примеру youtube. Как это сделать?
О: Вот инструкция

В: Я слышал что с помощью dd-wrt можно как то получить доступ к Pandora, HBO Now, Spotify, Amazon Video и Netflix за пределами США без использования vpn. Как?
О: Вот инструкция

В: Мне нужно получать интернет по wifi и раздавать его как обычно, то есть подключить роутер «клиентом». Можно ли это сделать?
О: Да, вот инструкция

В: В моем роутере есть usb порт, могу ли я подключить флешку или HDD?
О: Да, вот инструкция

Как получить максимальную скорость WiFi на роутерах с N режимом и только (2,4 GHz). На прошивке DD-WRT

Wireless Network Mode: N-Only (2,4 GHz) (если какое-то устройство не может присоединиться ставте NG-Mixed)
Channel Width: неважно, но теоретически HT40 лучше. (Но только не в зашумленной местности)
Wireless Channel: Auto или 1,6,11 Рекомендую 6, чтобы получить максимальную мощность передатчика.
Regulatory Domain: можете использовать свою страну, но, чтобы снять ограничения по мощности, используйте United_States (доступны каналы 1-13).
TX Power: можете влупить на всю, но учтите, модуль WiFi умеет перегреваться, и скорость может упасть. Используйте на 1-2 меньше от максимального, лучше всего 6-м канале. (Если поставите 30, а доступно 20, роутер просто будет использовать 20) (Также в некоторых роутерах можно поставить хакнутый арт)
Antenna Gain: Оставьте 0
Noise Immunity: Enable
RTS Threshold: не важно, но если замечены потери потеков, рекомендую включить.
Short Preamble: Enable (ОЧЕНЬ старые смартфоны и т.д. могут не поддерживать)
Short GI: Enable
DTIM Interval: 1 или 2, я использую 1. (Рекомендую 1 если используете Smart TV)
Beacon Interval: 100-200, если рядом ОЧЕНЬ много WiFi то оставьте 100. (Увеличив значение до 200, выграете несколько процентов пропускной способности.)
WMM Support: Enable
Sensitivity Range (ACK Timing): 1000-1500 (Default: 2000 meters) Если вы не пользуетесь WiFi на дальних дистанциях, на улице например, смело ставьте 1000, ставить 0 не рекомендую, это либо Авто в Atheros, либо вообще выключит данную функцию, при авто режиме, уменьшается быстродействие, так как уходит время на определение значения.
Security Mode: WPA2 Personal
WPA Algorithms: AES

Это чисто моя рекомендация, данные параметры я использую на своём TP-Link TL-WR841ND v9, и я спокойно получаю 150 Мбит/сек в локальной сети по WiFi.
Но учтите хоть роутер по WiFi даёт 300 Мбит/сек (теоретической скорости), вы также должны иметь адаптер WiFi, способный получить скорость предоставляемую роутером.

Если я в чём то не прав, поправьте меня.

на компе по лан тупит инет) не весь а половина сайтов долго грузится, на прямую все летает( если поставить эту прошу, поможет? (WR841N v8 00000000)

Источник

Продвинутый роутер на DD-Wrt

Продвинутый роутер на DD-Wrt

Когда-то давно когда я впервые поставил dd-wrt на свой роутер (Dlink dir-615), я просто подумал что это прошивка ну как бы просто «еще одна прошивка» для тех кто недоволен стандартной от производителя роутера, однако подключившись по telnet к роутеру я увидел самый что не на есть Linux.

Читайте также:  Холодильник атлант настройка температуры мигает н

В статье ни будет ни слова о том как прошить роутер. Это делается весьма индивидуально для каждой модели роутера. Зато будет то как настроить на нем 2 точки доступа и в целом оптимизировать, а также создавать туннели между такими роутерами.

Просто Linux

Сходив по телнету на роутер можно увидеть самый обычный Linux. Ну так как в комплекте Linux то наверняка есть:
— Фаервол Iptables
— поддержка ip_conntrack
— утилиты из iproute2.

Также наверняка есть дополнительные утилиты:
— brctl (для управления мостами)
— ping, telnet, ssh, mount и все что полагается иметь обычному сетевому маршрутизатору на Linux

Две точки доступа или как осчастливить соседей

Ну решение первого прозрачно, фаервол. Но как, что и где не понятно. Второе же тоже понятно, раз есть iproute2 есть и tc, а он может… да чего он только не может.

Создаем точку (Конфигурация интерфейса)

создаем вторую точку доступа и называем ее как нибудь

Открываем дополнительные параметры, и устанавливаем «Конфигурация Сети: Не в мосте», «Многоадресные потоки: Отключить», «Masquerade/NAT: Отключить». И вибираем ip адрес для этого виртуального интерфейса, я выбрал маленькую сеть на 16 ip адресов.

Далее надо убедиться что отключено шифрование на этой точке.

Комманды

Переходим к командному блоку.

Настройка sysctl

Сначала предлагаю настроить sysctl, так как самой утилиты sysctl нет в комплекте, то настроим через proc

echo «1» > /proc/sys/net/ipv4/conf/all/rp_filter
echo «1» > /proc/sys/net/ipv4/tcp_abort_on_overflow
echo «0» > /proc/sys/net/ipv4/tcp_ecn
echo «600» > /proc/sys/net/ipv4/tcp_fin_timeout
echo «750» > /proc/sys/net/ipv4/tcp_keepalive_intvl
echo «9» > /proc/sys/net/ipv4/tcp_keepalive_probes
echo «7200» > /proc/sys/net/ipv4/tcp_keepalive_time
echo «65536» > /proc/sys/net/ipv4/tcp_max_orphans
echo «1024» > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo «180000» > /proc/sys/net/ipv4/tcp_max_tw_buckets
echo «1» > /proc/sys/net/ipv4/tcp_orphan_retries
echo «3» > /proc/sys/net/ipv4/tcp_reordering
echo «1» > /proc/sys/net/ipv4/tcp_retrans_collapse
echo «3» > /proc/sys/net/ipv4/tcp_retries1
echo «15» > /proc/sys/net/ipv4/tcp_retries2
echo «0» > /proc/sys/net/ipv4/tcp_rfc1337
echo «4096 87380 4194304» > /proc/sys/net/ipv4/tcp_rmem
echo «1» > /proc/sys/net/ipv4/tcp_sack
echo «5» > /proc/sys/net/ipv4/tcp_syn_retries
echo «5» > /proc/sys/net/ipv4/tcp_synack_retries
echo «1» > /proc/sys/net/ipv4/tcp_timestamps
echo «1» > /proc/sys/net/ipv4/tcp_window_scaling
echo «196608 262144 393216» > /proc/sys/net/ipv4/tcp_mem
echo «4096 16384 4194304» > /proc/sys/net/ipv4/tcp_wmem
echo «65535» > /proc/sys/net/ipv4/ip_conntrack_max
echo «65535» > /proc/sys/net/netfilter/nf_conntrack_max
echo «65535» > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
echo «65535» > /proc/sys/net/nf_conntrack_max
echo «1» > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo «1» > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo «6168» > /proc/sys/net/ipv4/icmp_ratemask
echo «0» > /proc/sys/net/ipv4/conf/all/accept_redirects
echo «1» > /proc/sys/net/ipv4/conf/all/arp_filter
echo «0» > /proc/sys/net/ipv4/conf/all/log_martians
echo «0» > /proc/sys/net/ipv4/conf/all/mc_forwarding
echo «0» > /proc/sys/net/ipv4/conf/all/proxy_arp
echo «1» > /proc/sys/net/ipv4/conf/all/secure_redirects
echo «1» > /proc/sys/net/ipv4/conf/all/send_redirects
echo «1» > /proc/sys/net/ipv4/conf/all/shared_media
echo «500» > /proc/sys/net/ipv4/route/error_cost
echo «262144» > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo «1» > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo «1024 4999» > /proc/sys/net/ipv4/ip_local_port_range
echo «1» > /proc/sys/net/ipv4/ip_no_pmtu_disc
echo «0» > /proc/sys/net/ipv4/ip_nonlocal_bind
echo «30» > /proc/sys/net/ipv4/ipfrag_time
echo «120» > /proc/sys/net/ipv4/inet_peer_gc_maxtime
echo «10» > /proc/sys/net/ipv4/inet_peer_gc_mintime
echo «600» > /proc/sys/net/ipv4/inet_peer_maxttl
echo «120» > /proc/sys/net/ipv4/inet_peer_minttl
echo «65664» > /proc/sys/net/ipv4/inet_peer_threshold
echo «2» > /proc/sys/net/ipv4/tcp_adv_win_scale
echo «31» > /proc/sys/net/ipv4/tcp_app_win
echo «1» > /proc/sys/net/ipv4/tcp_dsack
echo «0» > /proc/sys/net/ipv4/tcp_ecn
echo «1» > /proc/sys/net/ipv4/tcp_fack
echo «20» > /proc/sys/net/ipv4/igmp_max_memberships
echo «0» > /proc/sys/net/ipv4/conf/all/bootp_relay
вставляем код в textarea в блоке Команды, и нажимаем «Сохранить параметры запуска» (Save startup)

фаервол iptables

Ниже приведу команды своего фаервола, думаю кому-то будет интересно что зачем, поэтому команды комментируются.

#####################################
# Назначаем дисциплиной обработки очереди htb
tc qdisc add dev `nvram get wan_ifnames` root handle 1: htb default 2
# создаем класс в 100 мегабит, и дисциплину sfq для равномерного распределения трафика между клиентами
tc class add dev `nvram get wan_ifnames` parent 1: classid 1:1 htb rate 100mbit
tc qdisc add dev `nvram get wan_ifnames` parent 1:1 handle 2: sfq perturb 10

# С ath0.1 исходящий трафик порезан, теперь надо порезать трафик приходящий на ath0.1
# добавляем дисциплину
tc qdisc add dev ath0.1 root handle 1: htb default 1
# все что вылетает на ath0.1 летит в очередь 1:1 с указанной скоростью
tc class add dev ath0.1 parent 1: classid 1:1 htb rate 1024kbit

Читайте также:  Настройка zyxel keenetic giga 2 wisp

Так, вроде все готово, теперь о том как клиенты свободной точки будут получать IP. DHCP конечно, только вот нужен второй DHCP сервер, и он есть из коробки.

Туннели

Итак теперь представьте ситуацию. У вас есть 2 офиса, в них… стоп. Все проще, у вас есть друг с dd-wrt, также у вас есть банальное желание поиграть с ним… ну скажем в queke II coop. У друга один провайдер а у вас другой. Ну казалось бы ответ очевиден, Hamachi или всякое-там разное проприетарное. Отличное решение обычной проблемы. а теперь представим что всетаки есть 2 офиса, и коннект должен быть 24*7*365 и мало того там есть всякие принтеры, пусть даже корпоративный прокси. Cisco, скажете вы, дороговато, скажу я.
Обратим внимание на 2 скрипта приведенные в файерволе, да это туннелирование gre или ethernet over ip (протокол etherip поддерживаемый freebsd cisco но почему-то не поддерживаемый в Linux). Логика создания туннеля такова.

Есть 2 устройства alpha и beta, на устройстве alpha lan подсеть 192.168.2.0/24, на устройстве beta 192.168.3.0/24. На устройстве alpha wan IP al.p.h.a на beta b.e.t.a. На alpha создается интерфейс 10.0.0.1/30 на beta 10.0.0.2/30 и 2 маршрута.

Общая логика такова. Так к чему я про друга с quake II, лучше попробуйте с ним. Не надо экспериментов в production.

Что дальше?

К сожалению у меня сейчас потерян коннект с роутером dir-320 в который были воткнуты 3 провайдра. Дело в том, что на dir-320 мало того что есть usb и туда можно поставить какой нибудь nginx+postgresql+python+django, так у него внутри умный свитч, а это значит что там создается 3 интерфейса в портах lan, а порт wan включается в конторский свитч. В итоге балансировка, отказоустойчивость, wi-fi, firewall, банилка «xxxxклассников».
Эта контора звонила мне год назад, сказали что к ним пришел специалист и что он спрашивает пароль на роутер, утверждая что я перепутал порты WAN и LAN, я спросил «А у вас все работает?», они ответили утвердительно, тогда я спросил зачем от туда лезет и они внятно мне не объяснили, я сказал «Я дам вам пароль но если этот мастер что нибудь сломает, то я к вам не поеду, а если и поеду то проделаю все работу заново, а это стоит столько же», в общем пароль им не пригодился, год уже не звонят. Бог знает может уже развалились, а может ip сменился, но доступа сейчас нет.

Вообще возможности dd-wrt мне напоминают cisco. В том смысле что если уж reboot не помог, то что-то сломалось не в этой железке.

Все команды я попытался завязать на nwram роутеров, чтобы разные модели работали одинаково. Единственная разница это имя wi-fi адаптера может быть другим. Ну тогда заменяем все ath на имя вашего адаптера в командах.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Источник