Настройка openwrt

Обновите прошивку роутера до последней стабильной версии OpenWRT перед началом настройки. Зайдите в веб-интерфейс LuCI по адресу 192.168.1.1, введите логин и пароль, затем перейдите в раздел System → Backup / Flash Firmware. Загрузите файл с обновлением и дождитесь перезагрузки.

Настройте подключение к интернету в зависимости от типа вашего провайдера. Для PPPoE укажите логин и пароль в Interfaces → WAN, а для DHCP или статического IP выберите соответствующий протокол. Проверьте соединение командой ping 8.8.8.8 в терминале.

Добавьте DHCP-сервер для автоматической раздачи IP-адресов в локальной сети. В разделе Network → Interfaces → LAN задайте диапазон адресов, например, от 192.168.1.100 до 192.168.1.200. Укажите DNS-серверы, такие как 1.1.1.1 и 8.8.8.8, для быстрого разрешения доменных имен.

Активируйте беспроводную сеть в меню Network → Wireless. Выберите режим Access Point, задайте имя SSID и надежный пароль WPA2-PSK. Для лучшего сигнала установите канал вручную, избегая перегруженных частот.

Подготовка роутера к установке OpenWRT

Перед установкой OpenWRT убедитесь, что ваш роутер поддерживается этой прошивкой. Проверьте список совместимых устройств на официальном сайте.

1. Соберите информацию о роутере

• Запишите точную модель и ревизию (если есть).
• Узнайте версию текущей прошивки – она может влиять на способ установки.
• Проверьте, есть ли у роутера Recovery-режим (TFTP, Bootloader).

2. Скачайте нужные файлы

1. Найдите свою модель в таблице устройств OpenWRT.
2. Загрузите два файла:
   • factory.bin – для первой установки.
   • sysupgrade.bin – для обновления.
3. Проверьте контрольную сумму файлов через sha256sum.

Если роутер новый, сбросьте настройки до заводских. Это исключит конфликты с предыдущими конфигурациями.

3. Подготовьте резервные копии

• Сохраните текущую прошивку через веб-интерфейс (если возможно).
• Запишите MAC-адреса и серийный номер – они могут пригодиться для восстановления.
• Экспортируйте настройки сети (DHCP, статические IP, порты).

Подключите роутер к компьютеру через Ethernet. Wi-Fi на этом этапе нестабилен для передачи файлов прошивки.

4. Отключите ненужные функции

• Выключите встроенный фаерволл.
• Деактивируйте QoS и родительский контроль.
• Убедитесь, что нет активных VPN-подключений.

Зарядите роутер от ИБП или убедитесь в стабильности питания. Прерывание установки может вывести устройство из строя.

Установка OpenWRT через веб-интерфейс или командную строку

Для установки OpenWRT через веб-интерфейс зайдите в панель управления роутера (обычно по адресу 192.168.1.1), откройте раздел обновления прошивки и загрузите файл с расширением .bin или .img. Дождитесь завершения процесса и перезагрузите устройство.

Если веб-интерфейс недоступен, используйте командную строку. Подключитесь к роутеру по SSH или через последовательный порт и выполните команду:

sysupgrade -n /path/to/firmware.bin

Перед установкой проверьте совместимость прошивки с моделью роутера на официальном сайте OpenWRT. Убедитесь, что выбрана версия для правильного аппаратного ревизии.

После успешной прошивки роутер автоматически перезагрузится. Подключитесь к нему по адресу 192.168.1.1 и настройте пароль администратора.

Если устройство не загружается после прошивки, попробуйте сбросить настройки к заводским, удерживая кнопку Reset 10-15 секунд при включении.

Настройка базовых параметров сети и Wi-Fi

Откройте веб-интерфейс OpenWRT, перейдя по адресу 192.168.1.1, и авторизуйтесь. В разделе Сеть → Интерфейсы проверьте настройки WAN и LAN.

Настройка LAN

Измените IP-адрес роутера, если он конфликтует с другим устройством. Например, установите 192.168.2.1 вместо стандартного. Убедитесь, что DHCP-сервер включён и раздаёт адреса в диапазоне 192.168.2.100-192.168.2.250.

Настройка Wi-Fi

Перейдите в Сеть → Беспроводная связь. Для каждой сети (2.4 ГГц и 5 ГГц) укажите:

• SSID – имя сети, например HomeWiFi.
• Режим – Точка доступа (AP).
• Канал – для 2.4 ГГц выберите 1, 6 или 11, для 5 ГГц – 36 или 149.
• Ширина канала – 20 МГц для 2.4 ГГц, 80 МГц для 5 ГГц.
• Защита – WPA2-PSK с паролем не короче 12 символов.

Сохраните изменения и перезагрузите роутер. Проверьте подключение устройств к Wi-Fi и доступ в интернет.

Создание VLAN для разделения трафика

Настройте VLAN на роутере с OpenWRT, если нужно разграничить домашнюю и гостевую сети или отделить IoT-устройства от основного трафика. VLAN позволяют изолировать устройства логически, даже если они подключены к одной физической сети.

Подготовка

Проверьте, поддерживает ли ваш роутер VLAN. В веб-интерфейсе LuCI перейдите в раздел «Network → Switch». Если его нет, используйте команду opkg install kmod-switch через SSH.

Пример настройки VLAN для двух сетей:

• VLAN 1 (основная сеть) – тег 1, порты LAN1, LAN2, LAN3
• VLAN 10 (гостевая сеть) – тег 10, порт LAN4

Настройка в LuCI

Зайдите в «Network → Switch» и добавьте новый VLAN:

1. Укажите номер VLAN (10 для гостевой сети).
2. Отметьте порты как «untagged», если устройство не поддерживает VLAN.
3. Выберите «CPU (eth0)» для связи с программной частью роутера.

После сохранения перейдите в «Network → Interfaces», создайте новую интерфейсную зону для VLAN, выбрав устройство eth0.10 (для VLAN 10) и настройте DHCP.

Проверьте работу VLAN, подключив устройства к назначенным портам и убедившись, что они получают IP из разных подсетей.

Настройка DHCP и статических IP-адресов

Настройка DHCP-сервера

Откройте веб-интерфейс OpenWRT и перейдите в раздел Сеть → Интерфейсы → LAN. В подразделе Настройки DHCP укажите диапазон адресов, например, 192.168.1.100–192.168.1.200, чтобы автоматически раздавать IP-адреса устройствам. Установите срок аренды (lease time) – 12 часов подходит для большинства домашних сетей.

Если нужно резервировать адреса для конкретных устройств, перейдите во вкладку Статические аренды. Введите MAC-адрес устройства и желаемый IP, например, 192.168.1.50. Это удобно для серверов или принтеров, которым нужен постоянный адрес.

Назначение статических IP вне DHCP

Для устройств, которые не должны получать адреса автоматически, настройте сеть вручную. На ПК с Windows зайдите в Панель управления → Сеть и Интернет → Центр управления сетями. Выберите подключение, нажмите Свойства → IPv4 и укажите IP, маску (обычно 255.255.255.0) и шлюз (адрес роутера, например, 192.168.1.1).

В OpenWRT проверьте, чтобы выбранный IP не входил в DHCP-диапазон. Например, если DHCP раздает адреса до 192.168.1.200, назначайте статические адреса выше – 192.168.1.201 и далее.

После изменений перезапустите сетевые службы через Система → Управление запуском или командой /etc/init.d/network restart.

Защита локальной сети с помощью фаервола OpenWRT

Настройте базовые правила фаервола в разделе Network → Firewall. Включите защиту от спуфинга (anti-spoofing) в закладке General Settings, отметив опцию Drop invalid packets и активировав SYN-flood protection для предотвращения DDoS-атак.

Создайте отдельную зону для локальной сети (LAN) и запретите входящие соединения извне. В закладке Zones проверьте, чтобы у LAN было значение Accept для исходящего трафика и Reject для входящего, если не требуется доступ извне.

Ограничьте доступ к веб-интерфейсу роутера. В разделе Firewall Rules добавьте правило, разрешающее подключение только с доверенных IP-адресов. Например, укажите диапазон 192.168.1.100-192.168.1.150 в поле Source address.

Используйте Traffic Rules для фильтрации нежелательного трафика. Заблокируйте известные вредоносные порты, такие как 135-139 (NetBIOS) и 445 (SMB), добавив соответствующие правила с действием Drop.

Включите логирование подозрительных событий. В закладке Custom Rules добавьте строку:

iptables -A input_rule -m conntrack --ctstate INVALID -j LOG --log-prefix "Invalid packet: "

Логи будут сохраняться в /var/log/messages.

Регулярно обновляйте правила фаервола и проверяйте активные соединения через команду netstat -tuln в терминале. Это поможет быстро выявить неавторизованные подключения.