DD-WRT

2014 Firmware DD-WRT En este documento se define un poco sobre lo que es DD-WRT sus características, ventajas y desvent

Views 447 Downloads 3 File size 1MB

Report DMCA / Copyright

DOWNLOAD FILE

Citation preview

2014

Firmware DD-WRT En este documento se define un poco sobre lo que es DD-WRT sus características, ventajas y desventajas además de la configuración para que en nuestro router sea instalado este firmware, además que comparta dos redes wireless (Privada – Pública) y que ambas redes contengan seguridad para el acceso y un límite para el ancho de banda.

Pablo Morera Castro Ministerio de Salud 19/02/2014

DD-WRT

Definición DD-WRT es un firmware libre para diversos routers inalámbricos o WiFi, es muy común observarlo en equipos Linksys WRT54G. Ejecuta un reducido sistema operativo basado en Linux. Está licenciado bajo la GNU General Public License versión 2. DD-WRT. http://es.wikipedia.org/wiki/DD-WRT Para actualizar desde el firmware original de Linksys usa la versión mini y actualízalo desde la interfaz web. Después de haber flasheado una vez con la versión mini, luego puedes usar cualquier otra versión. Aparte de otras características que no se encuentran en el firmware original de Linksys, DDWRT incluye el dominio de la red de juego Kai, IPv6, Sistema de Distribución Inalámbrico (WDS: Wireless Distribution System, en inglés), RADIUS, controles avanzados de calidad de servicio (QoS) para la asignación de ancho de banda y control de potencia (con un ajuste posible de hasta 251mW, mucho mayor que la potencia por defecto del router).

Las ventajas de DD-WRT pueden variar según la compatibilidad alcanzada con cada modelo de router pero de partida vamos a obtener una conexión estable capaz de soportar varios dispositivos sin que se produzca ninguna caída. Además tendremos opción de crear reglas para filtrar contenido o incluso administrar la conexión que usará cada ordenador, móvil, tablet u otro aparato con conexión. En algunos modelos podremos incluso hacer uso del router en modo puente. De esta forma lo usaríamos para amplificar o extender nuestra red a lugares donde llega con menor potencia y calidad. Características: Las características de flashear el router con la aplicación de DD-WRT son las siguientes (pueden acceder al link de cada característica para saber que significa): 13 Idiomas. 802.1x Extensible Authentication Protocol (EAP) Access Restrictions Ad Hoc Afterburner Client Isolation Mode Client Mode (Soporte de múltiples clientes conectados) DHCP Forwarder (udhcp) DHCP Server (udhcp or Dnsmasq) DNS Forwarder (Dnsmasq)

DMZ Dynamic DNS (DynDNS, easyDNS, FreeDNS, No-IP,TZO, ZoneEdit, y otros servicios. Hotspot Portal (Sputnik Agent,Chillispot) IPv6 JFFS2 (JFFS2) MMC/SD Card Support (Requiere modificación de hardware) NTP ntop Remote Statistic (ntop) OpenVPN Client & Server Port Triggering Port Forwarding PPTP VPN Server & Client QoS Bandwidth Management QoS L7 Packet Classifier (l7-filter) RFlow Routing(BIRD) Samba FS Automount Syslog Rx Antenna Tx Antenna Muestra el estado de clientes jifia y CSS con optimización del uso del procesador. Site Survey SNMP SSH server & client (dropbear) Startup, Firewall, and Shutdown scripts (startup script) Static DHCP Diferentes estilos(Changeable GUI; v.23) Telnet server & client Ajuste de potencia de transmisión (0-251mW, por defecto 28mW) UPnP USB VLAN WOL (Wake On Lan) (WOL) WDS Connection Watchdog WDS Repeater Mode Wireless MAC Address Cloning Wireless MAC Filter WMM (Wi-Fi MultiMedia) WPA over CSS WPA/TKIP with AES WPA2 Xbox Kaid (Kai Engine)

Ventajas: Las ventajas de DD-WRT pueden variar según la compatibilidad alcanzada con cada modelo de router pero de partida vamos a obtener una conexión estable capaz de soportar varios dispositivos sin que se produzca ninguna caída. Además tendremos opción de crear reglas para filtrar contenido o incluso administrar la conexión que usará cada ordenador, móvil, tablet u otro aparato con conexión. En algunos modelos podremos incluso hacer uso del router en modo puente. De esta forma lo usaríamos para amplificar o extender nuestra red a lugares donde llega con menor potencia y calidad. Un conjunto de beneficios que creo hacen que merezca la pena el cambio. Eso sí, repito, el proceso se ha simplificado y no es complicado pero como siempre debemos tener cuidado si no queremos tener un pisa papeles.

Desventajas La aparición de "psyb0t", un gusano informático que infecta routers en vez de la PC. El autor de esta noticia asegura que la última versión del firmware (v24) no es afectada por este virus. Para minimizar el riesgo se recomienda deshabilitar el acceso de administrador por WAN y los servicios como telnet, SSH, HTTPS y cambiar las IP por defecto a otros valores, en el caso de necesitar los servicios de administración preferir las versiones con encriptación de password como SSH y HTTPS en vez de usar telnet. Si el router es infectado no se podrá acceder nuevamente vía Web o Telnet (solamente se podrá acceder vía SSH) si es que este está activado.

A. Manual de configuración básica para la instalación del firmware DD-WRT

Instalación (1)-Para poder tener este firmware debemos dirigirnos a la pagina del proveedor con el siguiente link http://www.dd-wrt.com/site/support/router-database y en el siguiente campo introducir el modelo de nuestro Router.

(2)-Una vez que verificamos que nuestro equipo es compatible con dd-wrt, procedemos a descargar el firmware adecuado, para ello damos click en la sección Supported by donde se mostrara una lista de versiones validas a instalar. Es recomendable instalar la versión más reciente y si es la primera vez se recomienda usar la versión mini.

(3)-Ahora que ya hemos elegido la versión que vamos a instalar en la sección Filename, descargamos el archivo versión “mini” con extensión “.bin” el primero que regularmente tiene el nombre “Firmware - Webflash image for first installation” o “mini” es el que nos ayudara a instalar la versión por primera vez. Es recomendable realizar un respaldo de la versión de fábrica o investigar en la web del fabricante si está disponible el firmware original para este modelo. http://support.linksys.com/es-latam/support/linksys (4)-Luego de descargado el archivo “.bin” procederemos a instalarlo en nuestro router, para ello haremos un Hard Reset 30/30/30, esto para limpiar y formatear la NVRAM del router, conectamos el cable de alimentación y presionamos el botón de “Reset” durante 30 seg, desconectamos el cable y durante otros 30 seg seguimos sin dejar de apretar el botón de reset, finalmente conectamos el cable de nuevo mientras tenemos el botón presionado durante 30 seg mas, soltamos y nos esperaremos 3 min.

(5)-Luego desconectamos por 10 seg el cable de alimentación, y conectaremos un cable de red del router al PC (cualquier puerto Ethernet) y conectamos de nuevo el cable de poder y esperamos 2 min, ahora nos vamos a la configuración del router, si se hace desde una PC con el adaptador de Red configurado con IP Estática debemos cambiar a que sea asignada por DHCP.

Luego esperamos hasta que nuestro adaptador nos notifique que tiene acceso a la red, y en un navegador de Internet en la sección de “URL” digitamos la IP 192.168.1.1, aparecerá una ventana en la cual vamos a darle click a la opción “Continuar con una red abierta y no segura”, luego tendremos que marcar la casilla vacía para continuar, luego nos pide un nombre de usuario y contraseña para acceder a la configuración el cual por defecto si es la primera vez que vamos a configurar el router el Usuario y Contraseña son “admin”, y damos click sobre “Iniciar Sesion” en seguida aparecerá una Advertencia, ahí marcamos “No volver a mostrar” y damos aceptar, luego de digitar estos datos procedemos a irnos a la ventana de “Administración” y ahí vamos a la ventana de “Actualización del Firmware”.

(6)-Damos click en “Examinar” y vamos a buscar donde está el archivo “.bin” que descargamos de la página de dd-wrt, luego de seleccionarlo presionamos “Iniciar Actualización”. Esperamos 5 min y luego aparecerá una ventana indicando que puede tardar 80 seg, luego presionamos “Continuar”, para asegurar la integridad del nuevo firmware. Desconectamos el cable de alimentación por 10 seg y luego lo conectamos y nos esperamos 2 min para que se inicie el router y aremos por último un Hard Reset 30/30/30, luego esperamos 2 min. Y si fuera el caso que no nos conecta o el adaptador de red notifican un error en la conexión lo que debemos hacer es desconectar el cable de alimentación por 10 seg y listo ya podemos configurar el firmware DD-WRT.

B. Manual de configuración para la creación de dos redes Wireless una Privada y otra Pública. (1)-Si es la primera vez que vamos a configurar nuestro router con el firmware DD WRT, deberíamos ir a un navegador y digitar la IP 192.168.1.1 para entrar a configurar los parámetros deseados, una vez digitada nos aparecerá una ventana lo cual nos muestra 3 espacios. El 1º es para digitar un Nombre de Usuario nuevo, el 2º es para una contraseña nueva para el router y el 3º es para volver a escribir la contraseña, luego de llenar los espacios daremos click en “Change Password”.

(2)-Si queremos cambiar el lenguaje del firmware de Ingles a Español, debemos ir a la ventana “Administration”, luego a “Management” e ir hasta abajo hasta la casilla de “Languaje Selection” y seleccionaremos “Spanish” por ultimo daremos click sobre “Save” y luego “Aplicar Config”, listo ya está en Español.

(3)-Nuestra red por defecto viene por DHCP, y debemos cambiar a IP Estática porque la red interna del Ministerio de Salud está por IP Estática y no por DHCP, para esto debemos ir a la ventana “Configuración” ahí mismo vamos a “Config Básica” y en “Tipo de Conexión a Internet” seleccionamos la opción de IP Estática y digitamos la IP que corresponda a nuestra red, luego bajamos y daremos click en “Guardar Config” y también en “Aplicar Config”, por ultimo tendremos que conectar el cable de nuestra RED WAN al puerto amarillo “Internet” para el acceso a la red y listo.

(4)-Ahora tenemos que deshabilitar dos opciones para que el DHCP automático del router pueda ajustarse a la IP y DNS del Ministerio de Salud. En la ventana actual bajamos hasta la opción “Config del servidor de Direcciones de red (DHCP)” y aquí desmarcamos las opciones “Usar DNSMasq para DNS” y “DHCP-Autorizativo” luego vamos a “Config Hora” y aquí en “Zona Horaria” elegimos la de “UTC-06:00” y en “Horario Verano (DST)” elegimos “nada”, luego damos click en “Guardar Config” y en “Aplicar Config”.

(5)-Ahora comenzaremos a configurar nuestro router para crear las 2 redes wireless para eso damos click sobre la ventana “Inalámbrico” y luego en “Config Básica” y ahí configuraremos nuestra red Privada la cual le asignaremos el nombre de red deseado (SSID) y si queremos dejamos el canal por defecto (6) o lo cambiamos y daremos click sobre “Guardar Config”, ahora crearemos nuestra red virtual o red Pública para eso damos click sobre “Añadir”, luego le asignaremos un nombre a nuestra red virtual (SSID) y activaremos “Aislamiento AP” y damos click sobre “Aplicar Config”.

(6)-Ahora procederemos a configurar la seguridad Inalámbrica de ambas redes, ahí mismo en la ventana de “Inalámbrica” vamos a dar click sobre “Seguridad Inalámbrica” y aparecerá la red Privada y la Publica sin seguridad, por defecto está “Desactivado”, así que a la red Privada vamos a asignarle el modo de seguridad WPA2 Personal o el que usted desee, luego en “Algoritmos WPA” seleccionamos “AES” y luego digitamos una contraseña entre 8 y 63 caracteres, y daremos click en “Guardar Config”, ahora a nuestra red Pública como sugerencia podemos asignarle cualquier modo de seguridad, pero si se deja Desactivado, los invitados podrán tener acceso ilimitado a la red. Para ello en este caso decidí escoger el modo de seguridad WPA2 Personal con algoritmo “AES” y digitamos cualquier contraseña entre 8 y 63 caracteres, luego damos click en “Aplicar Config” y listo.

(7)-Hasta este momento se deberían de ver la dos redes wireless por medio de un dispositivo WiFi, además si se intenta tener acceso a cualquiera de las dos, estas mismas compartirán el DHCP de la misma red (Red Privada), para esto vamos a crear un “Bridge” (puente) para separar la red y así crear otra red aparte para que no intervenga con nuestra red Privada, lo que haremos es dar click sobre la ventana “Configuración” y luego a “Redes” y vamos a la opción “Bridging”, por defecto se encuentra creado el Puente “Bridge 0” el cual es el de la red principal (Privada), en este caso vamos a darle click sobre “Añadir” y automáticamente saldrá “Bridge 1” este será nuestro puente para la red (Pública), vamos a digitar en el cuadrito de la derecha “br1” y en STP que esta (On) lo pondremos en (Off) y bajamos y damos click sobre el botón “Guardar Config” y automáticamente saldrá dos opciones más debajo del puente que añadimos (Bridge 1), las cuales serán para la IP y la Máscara de Red y ahí digitaremos la ip y mascara que será para la Red Pública, bajamos y daremos click sobre “Aplicar Config”, ya esta nuestra ip Publica creada.

(8)-Luego de haber creado el puente de la Red Pública, ahora procederemos a asignarle la interface “wl0.1” a nuestro “Bridge 1” (br1). Si observamos en “Lista de Puentes Actuales” podemos ver que la interface de la red virtual (wl0.1) esta asignada a “br0” y lo que queremos hacer es asignarla a “br1”, para esto damos click sobre “Añadir” en donde dice “Asignar a un Puente”, ahí nos aparecerá un enunciado que dice “Assignment 0” y a la derecha solo modificamos en el primer cuadrito donde dice “none” vamos a asignar el puente “br1” y en la interface colocamos la red virtual “wl0.1”, luego damos click sobre “Aplicar Config” y esperamos 15 seg hasta que “wl0.1” se asigne a “br1”.

(9)-Ya que hemos asignado nuestra red virtual al “br1” ahora nos corresponde crear un servidor DHCP múltiple para nuestra red, en la ventana actual “Redes” vamos a ir a la última opción que dice “DHCPD” y vamos al botón “Añadir” y ahí solo modificaremos el cuadrito donde dice “br0” por “br1”, porque automáticamente el tomara la IP que le asignamos a Bridge 1 y partiendo de esa IP el creara nuestro servidor DHCP, por ultimo damos click en “Guardar Config” y luego a “Aplicar Config”, para que se cree la interface br1 para el DHCP.

(10)-En este momento si intentamos conectarnos a la red “Publica” no nos va dar acceso a Internet, esto porque el Firewall de nuestro router necesita establecer algunas reglas para el acceso a Internet (Filtrado de Paquetes y NAT). Primero necesitamos dar click sobre la ventana “Administración” luego a “Diagnósticos”, aquí se mostrara una ventana con un rectángulo vacio el cual nos permite digitar comandos, firewalls y scripts personalizados para nuestro router, en esta ocasión serán reglas para el “Firewall”, lo siguiente será copiar las reglas dentro de los paréntesis y pegarlas (línea por línea)dentro del rectángulo, luego vamos a dar click sobre el botón “Guardar Firewall” para que se ejecuten las reglas, y automáticamente aparecerá abajo una ventana con nuestro Firewall. REGLAS 1-(iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT --to `nvram get wan_ipaddr`) 2-(iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT) 3-(iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP)

Información sobre “IPTABLES”, por defecto esta en ingles. http://www.dd-wrt.com/wiki/index.php/Iptables_command (11)-Como sugerencia si queremos mejorar la seguridad de nuestra Red (Privada) y Red (Publica) podemos agregar los siguientes comandos para establecer las reglas las

cuales no darán acceso a “Telnet”, “SSH”, “www” y “HTTPS” entre ambas redes y que la red Pública no tenga acceso al router. Si queremos establecer estas reglas lo haremos de la misma manera de como agregamos las reglas anteriores. REGLAS 1-(iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP) 2-(iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --rejectwith tcp-reset) 3-(iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset) 4-(iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset) 5-(iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --rejectwith tcp-reset)

(12)-Por ultimo necesitamos reiniciar el router para que la configuración tenga efecto así que ahí mismo en la ventana de “Administración” vamos a “Administración”, bajamos y damos click sobre “Aplicar Config” y en “Reiniciar Router”, cuando se está reiniciando hay que esperarnos el tiempo que se nos indique en la pantalla de configuración, listo ya con esto estaría la configuración de ambas redes. _-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

C. Configuración para limitar el ancho de banda. (1)-Luego que se han configurado las dos redes podemos limitar el ancho de banda que tendrán todos los que se conectaran inalámbricamente a nuestra red y si queremos le daremos prioridad a la red Privada para que no se limite el ancho de banda para dicha configuración vamos a dar click sobre la ventana “NAT / QoS” luego a “QoS” y ahí configuraremos los parámetros para la limitación, en “Calidad de Servicio (QoS)”, damos click en la casilla para “activar” para que “Inicie QoS”, el “puerto” lo cambiamos a “LAN & WLAN”, el programador de paquetes lo dejamos igual y en enlace de subida y bajada se coloca la cantidad en (Kbps) que se desee limitar para la red Pública, se recomienda que se establezca entre un 80% y 95% del límite total de subida y el de bajada entre un 80% y 100% del límite de bajada. En este caso decidí que la Subida sea 256 Kb y de bajada 1 Mb.

(2)-Ahora se indicara las prioridades ya sea en paquetes (TCP), de servicios, mascara de red y por MAC Address. En esta ocacion le dare prioridad a la IP Privada para que no tenga restricciones ni ancho de banda limitado, para esto vamos a la opción “Prioridad Mascara RED” y ahí damos click en “Añadir” ahora digitamos la IP y la Máscara de la red (Privada) en sus respectivos cuadritos y en prioridad le asignaremos “Premium”, vamos a “Guardar Config”, luego “Aplicar Config” y listo.

Además vamos a configurar la opción para que nuestro router se reinicie todos los días o un día específico y a una hora determinada esto para evitar mala recepción o sobrecarga en el router. Vamos a ir a la ventana de “Administración” luego a “Keep Alive” ahí en la opción de en medio que dice “Reiniciar Horario” la vamos a “Activar” y elegimos “A la hora establecida” y ahí indicamos a qué hora y que día queremos que nuestro router se reinicie, luego “Guardar Config”. Por último en la ventana “Administración” vamos a “Administración” y bajamos y damos click sobre “Aplicar Config” luego a “Reiniciar Router”, esto para que tengan efecto las configuraciones.