Настройка роутера на OpenWRT в режим сетевого моста

08 мая 2020, 19:25

У меня в последнее время как-то все с первого раза не получается! То ли я ввязываюсь куда-то не туда, то ли устройства попадают ко мне с какими-то ограничениями. Видимо, роутер TP-LINK TL-WR842ND V2 из этого разряда и без трудностей не обошлось, поэтому распишу как сделал и как надо, чтобы в будущем и вам полезно было и я сам не мучил себя вопросом — «Как же я это сделал?»

Для начала…

Чтобы много вопросов не возникало, я быстро распишу, как установить саму прошивку OpenWRT на примере роутера TP-LINK TL-WR842ND V2. Инструкция универсальна, так что у вас тоже должно получиться.

Итак, переходим на эту страницу, спускаемся к таблице и вводим данные о вашем роутере, нажимая ENTER.

В графе Supported Current Release увидим последнюю версию прошивки, которая доступна для вашего роутера. На момент написания этой статьи, для моего роутера это версия 19.07.2. Чтобы скачать прошивку, воспользуйтесь ссылкой в графе Firmware OpenWrt Install URL.

Также для прошивки роутера нужна утилита TFTP server, скачиваем Portable версию отсюда и распакуем его скажем по пути: «C:TFTPServer«.

Теперь вам надо поместить в эту же папку ранее скачанную прошивку, но здесь есть один важный момент!

Прошивку необходимо правильно переименовать под вашу версию роутера.

Собственно, название прошивки должно быть следующего вида: МодельВерсия_tp_recovery.binТо есть, если у меня роутер TP-LINK TL-WR842ND V2, то название прошивки у меня будет: wr842ndv2_tp_recovery.bin

Отключаем на компьютере лишние Ethernet-кабели, а также Wi-Fi адаптер, чтобы ничего не мешало, и подключаемся к LAN порту роутера.

Далее подключаем компьютер к LAN порту роутера и меняем ip адрес сетевого адаптера компьютера на 192.168.0.66.Для некоторых моделей роутеров ip адрес может быть 192.168.1.66Все необходимые условия сделаны, давайте теперь прошиваться!

1. Запускаем от имени администратора утилиту TFTP-сервер.
2. Нажимаем и удерживаем кнопку WPS/Reset на роутере и не отпуская, включаем питание. В таком состоянии держим до той поры, пока не загорится светодиод с замком, примерно 5-10 секунд.

Если все было сделано правильно, то появится окно загрузки. Ожидаем пока процесс закончится, после чего ждем еще пару минут, пока сам роутер не перезагрузится.При перезагрузке, в основном, загораются все светодиоды. Если окно загрузки не появляется, то, возможно, вы неправильно изменили название прошивки. Во вкладке Log viewer можно посмотреть какое название прошивки запрашивает сам роутер.

Не забудьте вернуть настройки сетевого адаптера вашего компьютера в режим автоматического получения ip-адреса!

Настройка с помощью веб-интерфейса LuCI

Подключимся и настроим подсеть

После, открываем браузер и переходим на страницу роутера по адресу 192.168.1.1, у некоторых это может быть 192.168.0.1. Думаю, сами разберетесь.В итоге, откроется страница авторизации, где надо ввести логин и пароль. Так как это первый запуск, то вы увидите предупреждение о том, что на роутере не установлен пароль. Чтобы установить пароль, нажмите на кнопку «Go to password configuration«. Далее ничего сложного, поэтому переходим дальше к более важным настройкам.Назначим новый ip-адрес вашему роутеру, так как он должен работать в другой подсети от основного роутера. Это важно! У моего основного маршрутизатора 192.168.1.1, поэтому на второй я буду назначать 192.168.2.1.Нажимаем на Network и переходим в Interfaces.Находим интерфейс LAN и нажимаем на кнопку Edit.

В поле IPv4 sddress: вводим новый ip-адрес и снизу нажимаем на кнопку Save. После, еще раз нажимаем на кнопку Save&Apply.

После того, как увидим следующее окошко с обратным отсчетом, предлагаю отключить и включить вручную LAN кабель роутера.Ваш компьютер, возможно, не сразу определит новый ip-адрес роутера, поэтому и предлагается отключить и включить вручную LAN кабель роутера или лучше само питание. После этих действий, открываем новую вкладку браузера и переходим на установленный вами ip-адрес 192.168.2.1, пока обратный отсчет не закончился! Иначе роутер вернет старый ip-адрес.Если все прошло успешно, должно появиться такое предупреждение.Иначе, увидим такое предупреждение, где нажимаем на кнопку Apply unchecked, для применения настроек.

Подключимся к интернету

Драйверы, используемые в OpenWRT, лишены поддержки мостового соединения в режиме клиента. Чтобы решить эту проблему, нужно установить дополнительные пакеты, но для этого нужен интернет на самом роутере.

Давайте подключимся по Wi-Fi к основному маршрутизатору, чтобы получить интернет.

Нажимаем на Network и переходим в Wireless.

Находим интерфейс radio0 Generic… и нажимаем на кнопку Scan.

Выбираем сеть Wi-Fi вашего основного роутера, к которому надо подключиться и нажимаем на кнопку Join Network.

В поле WPA passphrase: вводим пароль от сети Wi-Fi основного роутера, а все остальное делаем как на скриншоте, после чего нажимаем на кнопку Sunbmit.

Перед вами откроется страница расширенных настроек Wi-Fi клиента, где вы можете настроить различные параметры по мере необходимости.

В пункте Operating frequency находятся важные параметры, такие как стандарт и ширина канала. Эти параметры должны быть выставлены как на основном маршрутизаторе.

Не забудьте применить настройки! Нажмите кнопку Save, а потом нажмите на Save&Apply.Если все настройки сделаны правильно, то внизу на открывшейся странице вы увидите статус подключения к основному роутеру в режиме «Client». Также, на вашем компьютере должен появиться интернет.

Установим дополнительные пакеты

Так как у нас уже есть интернет, то сейчас будем устанавливать необходимые пакеты, такие какluci-proto-relay и relayd, а заодно и установим пакеты русского языка.

Нажимаем на System и переходим в Software.

Находим и нажимаем на кнопку Update lists.

Ждем, пока не обновятся все пакеты, жмем кнопку Dismiss, после чего находим строку Download and install package:и устанавливаем по очереди ниже указные пакеты:

luci-proto-relay

relayd

luci-i18n-base-ru

luci-i18n-firewall-ru

В окошках нажимаем на кнопку Install и ждем пока не появится что-то подобное.

Ну вот и все, все пакеты установлены, обновляем страницу и интерфейс теперь на Русском языке, что еще для счастья надо.

Настраиваем раздачу Wi-Fi

Раз мы установили русский интерфейс, то дальше буду ориентировать вас в русском меню.

Нажимаем на Сеть и переходим в Wi-Fi.Находим интерфейс с SSID OpenWrt с режимом Master, после чего нажимаем на кнопку Изменить.

Теперь перед нами страница настроек Wi-Fi мастера. Здесь необходимо задать параметры, как у основного маршрутизатора.

Расскажу об основных настройках.Мощность передатчика — лучше настроить так, чтобы при приближении к основному роутеру, устройство автоматически меняло сеть подключения.Режим — должен стоять как «Точка доступа».ESSID — видимое название WI-Fi сети (имя сети).Шифрование — находится во вкладке Безопасность беспроводной сети, нужно для того, чтобы установить пароль на Wi-Fi сеть.

Сохраняем кнопкой Сохранить и нажимаем Сохранить и применить.

Настроим интерфейс повторителя

Теперь добавим и настроим интерфейс Relayd(Мост-ретранслятор), чтобы присоединить интерфейсы lan и wwan.Нажимаем на Сеть и переходим в Интерфейсы.Находим и нажимаем на кнопку Добавить новый интерфейс.

Откроется страница настроек нового интерфейса, где надо будет проделать некоторые настройки.

В разделе Основные настройки должно быть так:

• Протокол должен быть Мост-ретранслятор.

• Ставим галочку, чтобы загружалось при запуске.

• Открываем список в пункте Ретранслятор между сетями и обозначаем в списке lan и wwan.

• Локальный IPv4 — адрес здесь выставляем IP- адрес, который был ранее назначен на Wi-Fi-сеть. 

Переходим на вкладку Настройки межсетевого экрана и выбираем lan. Нажимаем кнопку Сохранить, а после — Сохранить и применить.Перезагружаем роутер самостоятельно, нажимаем на Сеть и переходим в Wi-Fi. Почему-то у меня отключился Master Wi-Fi, поэтому проверьте эту настройку и, если необходимо, включите и сохраните настройки с применением.

Настройка с помощью CLI

Пока времени не хватает, чтобы расписать как настроить тоже самое с помощью CLI, но как время появится, я обязательно это сделаю.

В данной статье мы рассмотрим настройку роутера под управлением ОС OpenWRT в режим сетевого моста. Интернет наш роутер будет получать по Wi-Fi от другой сети и раздавать по LAN и собственной сети Wi-Fi.

• Вам потребуется знать в какой подсети находится роутер, от которого мы будем получать интернет. Чтобы узнать подсеть, подключитесь по LAN или Wi-Fi к роутеру, затем зайдите в Центр управления сетями и общим доступом — Изменение параметров адаптера — щелкните правой кнопкой мыши на подключении — Состояние — Сведения. В нашем случае роутер находится в подсети 192.168.0.0/24
• Подключитесь к web-интерфейсу роутера OpenWRT
• Сначала нужно объединить подсети двух роутеров и отключить DHCP. Заходим в раздел Сеть — Итерфейсы. Нажимаем кнопку «Редактировать» LAN интерфейс

• В поле IPv4 адрес вводим свободный IP адрес из подсети роутера с интернетом.
• Отключаем DHCP, поставив галочку «Игнорировать интерфейс» в разделе DHCP-сервер. Нажмите «Сохранить и применить»

• Чтобы снова подключиться к WEB-интерфйсу, перейдите к настройке IPv4 параметров вашего сетевого адптера. Пропишите компьютеру свободный IP адрес подсети. В качестве шлюза укажите IP-адрес роутера с OpenWRT

• Подключитесь к WEB-интерфейсу через новый IP-адрес роутера. Перейдите в меню Сеть — Wi-F и нажмите кнопку «Сканировать»

• Найдите в списке нужную Wi-Fi сеть и нажмите «Подключение к сети»

• Пропишите пароль Wi-Fi сети и назначьте зону межсевого экрана — WAN, нажмите кнопку «Применить»

На этом настройка сетевого моста завершена. 

Скачать клиент PuTTY и генератор ключей PuTTYgen можно здесь.

Чтобы получить беспарольный доступ к роутеру, нам необходимо создать пару ключей: публичный (будет храниться на роутере) и приватный (будет храниться на клиентском компьютере). Для этого будем использовать PuTTYgen.

Публичный ключ Чтобы создать новый публичный ключ, в окне генератора ключей выбираем тип ключа и его размер. Я обычно выбираю SSH-2 RSA, 4096 bits. Затем нажимаем «Generate», после чего водим курсором в окне программы, пока не заполнится шкала, и ждём, пока не сгенерируется публичный ключ. В случае, если у нас уже есть приватный ключ, жмём «File->Load private key» и выбираем наш файл ключа (с расширением .ppk).Затем скопируем сгенерированный публичный ключ в файл /etc/dropbear/authorized_keys на роутере (весь ключ одной строкой, каждый добавляемый ключ с новой строки). 

puttygen

В этом же окне, ниже, отображается «key fingerprint» — это такой короткий идентификатор ключа, который нам будет сообщать удалённый сервер (то есть наш роутер), чтобы можно было убедиться, что мы подключились именно к нашему удалённому серверу, а не какому-либо другому хосту.

Приватный ключ Если мы генерируем новую пару ключей, то нажимаем «Save private key» и сохраняем приватный ключ  (.ppk)  в надёжное место. Если компьютер домашний, и мы уверены, что кроме нас никто не получит доступ к нашему файлу ключа, можно просто сохранить его на жёстком диске в любом удобном месте. Если же компьютер может использоваться посторонними лицами, то лучше сохранить ключ на съёмном носителе, либо сохранить его в директории, недоступной для других пользователей.Тут же можно ещё задать пароль для ключа («Key passphrase»). При этом повысится безопасность SSH-доступа, но всё равно придётся вводить пароль при каждом подключении (от чего мы, собственно, и уходим). Можно конечно пользоваться программой Pageant, которая позволяет ввести все пароли только один раз при запуске, но это целесообразно, если мы постоянно администрируем несколько удалённых серверов и постоянно подключаемся то к одному, то к другому из них, в течении рабочего дня. Поскольку нам требуется настроить доступ всего лишь к одному домашнему роутеру — оставляем поля «Key passphrase» пустыми.

Дополнительные настройки dropbear Для большей безопасности можно, также, отключить на роутере возможность SSH-аутентификации пользователя root (и остальных пользователей) по паролю (без приватного ключа). C помощью UCI:

uci set dropbear.@dropbear[0].PasswordAuth=off  uci set dropbear.@dropbear[0].RootPasswordAuth=off  uci commit dropbear

Либо редактированием файла /etc/config/dropbear:

config dropbear  option Port '22'  option PasswordAuth 'off'  option RootPasswordAuth 'off'

Так же, параметры доступа по SSH можно настроить через веб-интерфейс LUCI на вкладке «система->управление»:

luci_ssh

Настройка клиента PuTTYВ PuTTY создаём сессию, после чего открываем вкладку «Connection->Data» и в пункте «Auto-login username» указываем нашего пользователя root (или другого, под которым будем логиниться):

putty_connection_data

Затем переходим на вкладку «SSH->Auth» и в пункте «Private key file for authentication» указываем путь к нашему файлу ключа (.ppk):

putty_ssh_auth

После этого возвращаемся на вкладку «Session», не забываем сохранить настройки сессии и пробуем подключиться. При первом подключении PuTTY выдаст сообщение, что публичный ключ удалённого сервера отсутствует в реестре и отобразит его идентификатор (fingerprint). Если fingerprint соответствует нашему — можем добавлять удалённый сервер в реестр известных хостов, нажав «YES» в этом окне. При следующем подключении сессия откроется без всяких дополнительных вопросов.

Используемые источники:

• https://sprut.ai/client/article/2007
• https://micro-drive.ru/stati/nastrojka-routera-na-openwrt-v-rezhim-setevogo-mosta
• http://osboy.ru/blog/openwrt/openwrt-dropbear-public-key-authentication.html