OpenWrt backfire en un comtrend HG356+ (23-11-2011) v.02
Hay 2 formas faciles de cambiarlo en caso de no desear tener el puerto 22 y 80 abierto al mundo entero:
1) Crea reglas en el firewall que bloqueen el acceso desde wan a los puertos 22
y/o 80...
2) Obliga a los servicios a que solo escuchen en la lan asi:
a) ssh, 22 : edita /etc/config/dropbear y edita la linea:
option Port '192.168.xxx.xxx:22'
donde 192.168.xxx.xxx es la ip del ruter con openwrt en la lan, y 22 el
puerto donde escucha ssh (La opcion Interface en mi openwrt no
funciona).
b) http, luci, 80: edita el archivo /etc/config/uhttpd y edita la
linea:
list listen_http 192.168.xxx.xxx:80
donde 192.168.xxx.xxx es la ip del ruter con openwrt en la lan, y 80 el
puerto.
Características:
System:
bcm63xx/96348GW-11
CPU: 254,97
BogoMIPS
Memoria: 13,4 Mb
1.- Instalación de OpenWRT 10.03 BackFire
RECOMIENDO USAR EL FIRMWARE BETA!!
Se flasea desde el interfaz web del router con la imagen:
ESTABLE openwrt-96348GW-11-squashfs-bc300-cfe.bin disponible en el siguiente enlace:
http://downloads.openwrt.org/backfire/10.03/brcm63xx/openwrt-96348GW-11-squashfs-bc300-cfe.bin
Si al intentarlo, falla a la mitad del proceso, utilizar la imagen beta del siguiente enlace:
http://downloads.openwrt.org/backfire/10.03-beta/brcm63xx/openwrt-96348GW-11-squashfs-bc300-cfe.bin
Y luego realizar un "downgrade"a la stable si asi se desea.
2.- Para instalar una antena externa
Es necesario cambiar la antena fija que lleva por un conector por ejemplo RP-SMA.
Para ello, es necesario un pequeño pigtail UFL a RP-SMA como este:
http://www.ciudadwireless.com/pigtail_rp-sma_bulkhead_-cuerpo_hembra_macho--p-614.html
Fácilmente reciclable de otros routers..
3a.- Instalación de puerto USB (Hardware)
Material necesario:
1 x LM7805 (Regulador de potencia)
1 x Condensador cerámico 0,33uF 20V
1 x Condensador cerámico 0,1uF 5V
1 x Condensador electrolítico 100uF 25V
3 x Resistencias 15K de 0,25W
1 x Conector USB hembra
Esquema de conexión:
3b.- Instalación de puerto USB (Software)
Los paquetes necesarios para la instalación del puerto USB para poder
montar un pendrive o disco duro son:
kmod-nls-base – 2.6.32.10-1
kmod-scsi-core - 2.6.32.10-1
kmod-scsi-generic - 2.6.32.10-1
kmod-usb-core - 2.6.32.10-1
kmod-usb-ohci - 2.6.32.10-1
kmod-usb-storage – 2.6.32.10-1
Si se quiere montar formato FAT:
kmod-nls-cp437 - 2.6.32.10-1
kmod-nls-iso8859-1 – 2.6.32.10-1
Si se quiere montar formato EXT4:
kmod-fs-mbcache – 2.6.32.10-1
kmod-crc16 - 2.6.32.10-1
kmod-fs-ext4 - 2.6.32.10-1
Se puede crear un script de montaje en /etc/init.d/ y un enlace simbólico a
el en /etc/rc.d/
root@OpenWrt:~# cat /etc/init.d/disk
mount -t ext4 /dev/sda1 /overlay/disk
root@OpenWrt:~# ls -la /etc/rc.d/S49disk
lrwxrwxrwx 1 root root 16 Mar 31 05:46
/etc/rc.d/S49disk -> /etc/init.d/disk
Hasta aqui hemos visto como instalar el hardware y el software basico del ruter.
Ahora vamos a ver como configurar openwrt backfire para que el comtrend funcione como ruter neutro, recibiendo internet por cable desde un modem y repartiendolo a una lan wifi(WPA2/CCMP) y otra lan cableada, ademas de las funciones de bridge entre la red cableada y la inalambrica y de firewall.
Casi toda la informacion necesaria para la configuracion de red la consegui en:
seguridadwireless
Diagrama de red:
Os dejo la configuracion de red, de la wifi y el firewall:
---- /etc/config/network :
config 'interface' 'loopback'
option 'ifname' 'lo'
option 'proto' 'static'
option 'ipaddr' '127.0.0.1'
option 'netmask' '255.0.0.0'
config 'switch' 'eth1'
option 'reset' '1'
option 'enable_vlan' '1'
config 'switch_vlan'
option 'device' 'eth1'
option 'vlan' '1'
option 'ports' '0 1 2 5t'
config 'switch_vlan'
option 'device' 'eth1'
option 'vlan' '2'
option 'ports' '3 5t'
config 'interface' 'lan'
option 'type' 'bridge'
option 'ifname' 'eth1.1'
option 'proto' 'static'
option 'netmask' '255.255.255.0'
option 'nat' '1'
option 'ipaddr' '192.168.xx.1'
option 'defaultroute' '0'
option 'peerdns' '0'
option 'dns' 'xx.xx.xx.xx'
config 'interface' 'wan'
option 'ifname' 'eth1.2'
option 'defaultroute' '0'
option 'peerdns' '0'
option 'proto' 'dhcp'
option 'macaddr' 'xx:xx:xx:xx:xx:xx'
config 'interface' 'int'
option 'ifname' 'eth0'
option 'proto' 'dhcp'
Por supuesto donde pone "xx" debeis poner vosotros los valores necesarios.
Y en "option 'macaddr' 'xx:xx:xx:xx:xx:xx' " debereis poner una mac diferente a la mac real de ETH0 por algun tipo de bug
---- /etc/config/wireless :
config 'wifi-device' 'radio0'
option 'type' 'mac80211'
option 'macaddr' 'xx:xx:xx:xx:xx:xx'
option 'hwmode' '11g'
option 'channel' 'xx'
option 'disabled' '0'
config 'wifi-iface'
option 'device' 'radio0'
option 'network' 'lan'
option 'mode' 'ap'
option 'encryption' 'psk2'
option 'ssid' 'ESSID'
option 'key' 'claveSUPERsecreta'
En este caso la mac a poner en "option 'macaddr' 'xx:xx:xx:xx:xx:xx'" es la mac verdadera del dispositivo WLAN0.
Y debeis indicar tambien el numero del canal wireless('xx').
Para el firewall no es necesario aniadir nada en /etc/firewall.user. Y en este caso hay un par de reglas de forwarding aniadidas por mi para la mula y los torrents:
---- /etc/config/firewall:
config 'defaults'
option 'syn_flood' '1'
option 'drop_invalid' '1'
option 'input' 'REJECT'
option 'output' 'REJECT'
option 'forward' 'REJECT'
config 'zone'
option 'name' 'lan'
option 'input' 'ACCEPT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
config 'zone'
option 'name' 'wan'
option 'input' 'REJECT'
option 'output' 'ACCEPT'
option 'forward' 'REJECT'
option 'masq' '1'
option 'mtu_fix' '1'
config 'forwarding'
option 'src' 'lan'
option 'dest' 'wan'
config 'rule'
option 'src' 'wan'
option 'proto' 'udp'
option 'dest_port' '68'
option 'target' 'ACCEPT'
config 'rule'
option 'src' 'wan'
option 'proto' 'icmp'
option 'icmp_type' 'echo-request'
option 'target' 'ACCEPT'
config 'include'
option 'path' '/etc/firewall.user'
config 'redirect'
option 'src' 'wan'
option '_name' 'edonkey'
option 'proto' 'tcpudp'
option 'src_dport' '4662'
option 'dest_ip' '192.168.xx.xx'
config 'redirect'
option 'src' 'wan'
option '_name' 'qtorrent'
option 'proto' 'tcpudp'
option 'src_dport' '6881'
option 'dest_ip' '192.168.xx.xx'
config 'rule'
option 'target' 'ACCEPT'
config 'rule'
option 'target' 'ACCEPT'