web-dev-qa-db-fra.com

OpenWRT: configuration réseau de base

Je viens d'installer OpenWRT 12.09 dans mon routeur, mais je suis un peu confus au sujet des interfaces/ponts/réseaux locaux virtuels. My router

Après mon premier démarrage, je me suis connecté et j'ai défini mon mot de passe root. J'ai donc utilisé Luci pour activer mon réseau Wi-Fi. Il m'a fallu un peu pour comprendre que je pouvais relier le réseau Wi-Fi au réseau local pour accéder à Internet. Mais je me suis retrouvé avec deux problèmes:

  1. Les adresses DHCP ont été fournies par mon FAI (ce qui est dommage car je dois payer un supplément pour chaque adresse IP)
  2. Je ne peux pas bloquer l'accès SHH à partir d'Internet/WAN, mon routeur est donc un peu vulnérable.

Comment dois-je configurer - de préférence par Luci - pour effectuer les opérations suivantes:

  • DHCP fourni par ce routeur à mes périphériques internes, avec résolution de DNS
  • Mon adresse externe (LAN/eth0) fournie par le modem du FAI (je ne peux donc pas bloquer le port 68 dans cette interface)
  • Configurez correctement mes interfaces afin que je puisse autoriser SSH uniquement sur une interface interne (WAN/radio0)

Pourquoi et pourquoi devrais-je choisir d'utiliser un pont ou un VLAN? Cet article ne l'explique pas et ne fournit aucun indice.

Quelques notes: - Je suis un utilisateur de Gentoo Linux, je me considère donc comme un bon apprenant, mais je n’ai pas encore trouvé de bonne référence pour OpenWRT. - Mon appareil est TP-Link TL-MR3020 en raison de la manière dont il n’a qu’une interface LAN/eth0 et une interface wirelss/radio0.

Mise à jour: Voici quelques-uns de mes fichiers de configuration à examiner. tl; dr

Ceci est mon fichier '/ etc/config/dhcp'

config dnsmasq
        option domainneeded '1'
        option boguspriv '1'
        option filterwin2k '0'
        option localise_queries '1'
        option rebind_protection '1'
        option rebind_localhost '1'
        option local '/lan/'
        option domain 'lan'
        option expandhosts '1'
        option nonegcache '0'
        option authoritative '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases'
        option resolvfile '/tmp/resolv.conf.auto'

config dhcp 'lan'
        option interface 'lan'
        option start '100'
        option leasetime '12h'
        option limit '15'

config dhcp 'wan'
        option interface 'wan'
        option ignore '1'

Ceci est mon fichier '/ etc/config/network'

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'lan'
        option ifname 'eth0'
        option type 'bridge'
        option proto 'static'
        option gateway '192.168.100.1'
        option dns '192.168.100.1'
        option ipaddr '192.168.100.2'
        option netmask '255.255.255.0'

Ceci est mon fichier/etc/config/wireless

config wifi-device 'radio0'
        option type 'mac80211'
        option macaddr '64:66:b3:4d:8b:ce'
        option hwmode '11ng'
        option htmode 'HT20'
        list ht_capab 'SHORT-GI-20'
        list ht_capab 'SHORT-GI-40'
        list ht_capab 'RX-STBC1'
        list ht_capab 'DSSS_CCK-40'
        option txpower '27'
        option country 'US'
        option channel 'auto'

config wifi-iface
        option device 'radio0'
        option network 'lan'
        option mode 'ap'
        option ssid 'EDITED'
        option encryption 'psk-mixed'
        option key 'EDITED'
networkingwireless-networkingwireless-routeropenwrt
6
Rafareino

Il semble que vous exécutiez toutes les configurations en ligne de commande.

J'ai déjà essayé OpenWRT et j'ai installé WebGUI pour vous aider. Vous pouvez vous référer à LuCI Essentials pour configurer l'interface utilisateur Web de LuCI. L'accès via un navigateur Web pour configurer votre routeur, par exemple activer SSH et définir d'autres configurations, sera plus facile via l'interface utilisateur Web.

Modifier 1.

Donc, vous avez 3 questions, je les sépare et essaie de déterminer la solution une par une pour faciliter la compréhension. Une chose doit être déclarée, puisque mon routeur est passé d’OpenWRT à DDWRT puis à Tomato. J'ai donc utilisé VM (Virtual Machine) pour la capture d'écran et l'écriture de solutions. S'il vous plaît pardonnez s'il y a 1 ou 2 légère différence de points. Je pense que c'est la même chose dans la plupart des cas, puisque j'ai utilisé VM pour essayer OpenWRT avant de me connecter à mon routeur.

Préparatifs: (si vous ne l'avez pas déjà fait) , l'accès au LuCi sera effectué ultérieurement lorsque votre routeur sera configuré pour être accessible par les ordinateurs du réseau local. Extrait de LuCI Essentials

Installez LuCi en suivant les commandes

opkg update
opkg install luci # without https OR
opkg install luci-ssl # with https support
/etc/init.d/uhttpd start # Start the web server (uHTTPd) manually
/etc/init.d/uhttpd enable # if you wish to start automatically on reboot

1. Mon adresse externe (lan/eth0) fournie par le modem du FAI (je ne peux donc pas bloquer le port 68 dans cette interface) Je suppose que vous voulez obtenir l'adresse externe, n'est-ce pas? En fait, lorsque vous configurez le routeur pour qu'il obtienne le protocole DHCP de votre FAI (modem), votre adresse externe apparaîtra plus tard dans LuCi.

Ce paramètre devrait faire le travail:

vim /etc/config/network # edit network settings
save

#add the following lines to config
config 'interface' 'wan' # config the interface wan
        option 'proto' 'dhcp' # use protocol DHCP
        option 'ifname' 'eth1' # Physical interface name to assign to, this should be the network port connected to the your ISP modem, may vary eth1 or eth0 or whatever in your case

>>>command
ifup wan # bring WAN interface up

Jusqu'à présent, lorsque vous ouvrez votre ordinateur client tel que Windows 7, ouvrez un navigateur, tapez 192.168.100.1 (votre cas), l'interface de OpenWRT devrait alors s'afficher dans le navigateur. Le mot de passe n'est rien par défaut.

Quelque chose comme cet écran:

enter image description here

2. DHCP fourni par ce routeur à mes périphériques internes, avec résolution des noms de périphérique (DNS)

Lorsque vous pouvez vous connecter à votre routeur via le navigateur de l'ordinateur client, vous pouvez accéder à Network -> Hostnames pour attribuer manuellement le nom d'hôte à des périphériques spécifiques si ces périphériques ne possèdent pas de nom d'hôte ou ne sont pas résolus automatiquement. (dans mon cas, par défaut, pas de problème)

3. Configurez correctement mes interfaces afin que je puisse autoriser ssh uniquement sur une interface interne (wan/radio0)

selon document Secure Access dans OpenWRT

"en laissant le serveur SSH dropbear et le serveur Web uhttpd ne pas écouter sur le port externe/WAN"

Voici comment faire:

vim /etc/config/dropbear
save

# add the following line to your dropbear
option Interface 'lan' # only listen to lan

>>>command
/etc/init.d/dropbear restart # or reboot if it doesn't work

Je pense que cela devrait illustrer l'image de la solution à vos questions.

1
simongcc