Openwrt как сменить ip роутера

OpenWrt Forum

To change the IP address of your OpenWRT router, you could edit it through the SSH or plug the keyboard and monitor to your custom build router.

Step 1: type in vi /etc/config/network in your console, then press ENTER

Step 2: Press “i” on your keyboard to enable edit mode, then change the IP address to whatever you want.

Step 3: Press “Esc” key, type :wq (w means write, q means quit), then press ENTER to apply.

Last Step: type in reboot to reboot your router, then you can log in to your router with the new IP address.

Источник

Немного ранее я уже писал про плюсы и минусы OpenWRT, а теперь хочется добавить конкретики.
Итак, дружище, ты прошился на OpenWRT, поэтому принимай мои поздравления. Теперь ты будешь смотреть на мир иначе, ведь баги, глюки и прочие непонятные вещи (на подобии редактора vi) теперь будут тебя радовать постоянно и преследовать в кошмарных снах (шутка).

Приведу здесь шаги для улучшения работы, безопасности и удобства использования маршрутизатора после установки чистой версии OpenWRT. Да-да, есть еще готовые сборки с настроенным софтом, сервисами, разгоном проца и куртизанками, но под конкретную модель роутера. Их можно найти на 4pda и схожих ресурсах.

0. Устанавливаем сложный пароль для учетки root
Пароль должен быть вида G4eSN»A!»2Nr’l-sN’dK

1. Смена IP адресации локальной сети
Пункт необязателен, он выполняется по желанию или необходимости.
Редактируем файл
vi /etc/config/network
нажимаем «i» и входим в режим редактирования, изменяем IP с 192.168.1.1 на 192.168.100.1 , жмакаем Esc 2 раза и выходим с сохранением при помощи
:wq
далее выполняем
/etc/init.d/network restart
смена IPШника является немного проблемной начиная с версии 18, т.к. там был внедрен автооткат настроек.
Если есть доступ в инет, то ставим редактор nano и не сношаем мозги работой с vi.

2. Изменяем порты Web-интерфейса и SSH-сервера
Первое выполняется путем редактирования файла /etc/config/uhttpd через ssh

list listen_http 0.0.0.0:34567
list listen_http [::]:34567
list listen_https 0.0.0.0:45678
list listen_https [::]:45678

сохраняем.
Далее через ssh (или вебморду) ставим необходимые пакеты:
install luci-lib-px5g px5g-standalone luci-ssl-openssl libustream-openssl
и выполняем
/etc/init.d/uhttpd restart
иногда настройки не применяются и необходима перезагрузка маршрутизатора.

Изменить порт SSH можно через web-интерфейс перейдя System-Administration или через редактирование файла /etc/config/dropbear.
Перезапуск демона производится командой
/etc/init.d/dropbear restart
Дополнительно обрати внимание, чтоб telnet был отключен, а ssh доступен только из зоны LAN.
Все это проделывается для того, чтоб сбить с толку злоумышленника или зловредное ПО. Ведь роутер может использоваться не только в домашней сети, состоящей из телевизора и двух смартфонов.

3. Русификация
Ставим пакет luci-i18n-base-ru и жмакаем F5.

4. Установка скинов
Ставим пакет luci-theme-material и luci-theme-freifunk-generic и каждый раз жмакаем F5 для просмотра новой темы.

5. Настройка Wi-Fi
Основной момент заключается в использовании длинного пароля в связке с алгоритмом AES + шифрование WPA2-PSK. Пароль должен быть вида G4eSN»A!»2Nr’l-sN’dK. Не используй один пароль для wifi и админки маршрутизатора. Можно для самоуспокоения скрыть имя точки доступа отметив чекбокс «Hide ESSID». В идеале необходимо уменьшить мощность передатчика (т.к. эфир 2.4ГГц и так замусорен в многоэтажках) и найти максимально свободный канал используя ПО типа Inssider.
Так-же можно добавить планировщик работы Wi-Fi, который будет выключать и включать беспроводные интерфейсы в указанное время. С консоли это делается так: opkg install wifischedule luci-app-wifischedule luci-i18n-wifischedule-ru
Теперь можно переходить в Сервисы — Wi-Fi планировщик и настраивать расписание работы WIFI.
Дополнительно см. ссылки внизу.

6. Настройка Firewall
Что мы будем защищать? Первое — это маршрутизатор от скана портов, второе — SSH и HTTPS от брутфорса паролей.
Устанавливаем необходимые модули для Iptables:
opkg install iptables-mod-condition iptables-mod-hashlimit iptables-mod-ipsec iptables-mod-ipv4options iptables-mod-physdev iptables-mod-psd kmod-ipt-conntrack kmod-ipt-compat-xtables iptables-mod-extra
Пилим защиту от скана портов:
iptables -I INPUT 2 -p tcp —tcp-flags ALL NONE -j DROP
iptables -I INPUT 3 -p tcp —tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -I INPUT 4 -p tcp —tcp-flags SYN,RST SYN,RST -j DROP
iptables -I INPUT 5 -p tcp —tcp-flags FIN,RST FIN,RST -j DROP
iptables -I INPUT 6 -p tcp —tcp-flags ACK,FIN FIN -j DROP
iptables -I INPUT 7 -p tcp —tcp-flags ACK,PSH PSH -j DROP
iptables -I INPUT 8 -p tcp —tcp-flags ACK,URG URG -j DROP
iptables -I INPUT 9 -p tcp -m tcp —tcp-flags FIN,ACK FIN -j DROP
iptables -I INPUT 10 -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -I INPUT 11 -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -I INPUT 12 -m psd -j DROP
Пилим защиту от брутфорса паролей ssh:

7. Меняем MAC снаружи и MAC Wi-Fi
Зачем нам менять МАС? Для того, чтоб обмануть злоумышленника или вредонос. Приведу пример, допустим у тебя стоит TP-Link, который имеет непропатченую производителем уязвимость и по MAC адресу интерфейса можно определить, какой у тебя производитель маршрутизатора и поискать уязвимости. Поэтому мы будем маскироваться под что-то другое, допустим под D-Link.
Физический адрес интерфейса меняется в файлах:
/etc/config/wireless
/etc/config/network
или руками через web-интерфейс.

8. Настройка DDNS
Ставим необходимые пакеты
opkg install luci-app-ddns luci-i18n-ddns-ru
идем в Сервисы-Динамический DNS и настраиваем согласно настройкам своего DDNS провайдера. Там все просто.
Или есть второй вариант — добавить обновление DDNS связки адрес<>IP в cron.

9. Настраиваем iperf3 на маршрутизаторе
Для автоматического запуска iperf3 в виде демона ставим сам iperf3, а далее идем в вебморду роутера Система-Загрузка и туда вписываем
/usr/bin/iperf3 -f Mbits -B 192.168.100.1 -D -s &
или вписываем строку в /etc/rc.local.

10. Остальные плюшки и советы
Главный момент — это ограничение места на флешке твоего маршрутизатора, которое лимирует количество устанавливаемого софта.
Советую поставить nano, чтоб удобнее было редактировать настройки.
Для супер-безопасного соединения со своим маршрутизатором можно пробрасывать порт web-морды средствами ssh. В общем, возможно подымать полноценное VPN соединение средствами SSH. Как? Гугл в помощь!
Если по USB подключен винт, то можно мониторить его состояние утилитой smartmontool.
Если есть 2 провайдера, то можно настроить multiwan.
Управление роутером через Zerotier.
Есть возможность запилить WOL на маршрутизаторе, т.е. подключаешься к роутеру снаружи, будишь домашний камп, который полностью выключен (если WOL настроен в BIOS’е) и потом заходишь на домашний комп любым средством для удаленного управления. Для этого необходимо поставить пакеты luci-app-wol и luci-i18n-wol-ru etherwake.
Режем рекламу средствами OpenWRT. И не только рекламу, а еще и хосты, замеченные в атаках или рассылках спама.

https://oldwiki.archive.openwrt.org/doc/howto/secure.access
https://weblance.com.ua/143-wi-fi-v-massy-osnovnye-ponyatiya-i-nastroyki-dlya-nachinayuschih.html
https://habr.com/ru/post/149447/
http://www.thg.ru/network/pochemu_wifi_ploho_rabotaet_i_kak_eto_ispravit_chast_1/print.html
https://habr.com/ru/company/comptek/blog/427575/
https://github.com/openwrt/packages/tree/master/net/simple-adblock/files

Источник

исходные данные
основной роутер имеет ip 192.168.1.1, на роутере настроен выход в Интернет
канал wifi зафиксирован на основном роутере (в примере 13-канал)
роутер на LEDE/Openwrt имеет ip 192.168.1.1, подключен к ПК с помощью кабеля в разъем LAN

настройка роутера

1. зайти в настройки роутера, перейти в «Сеть—Интерфейсы»

2. отредактировать интерфейс LAN

3. изменить ip адрес на 192.168.10.1, нажать «сохранить и применить»

4. произойдет применение настроек, на некоторых версиях проошивок в течение 30 секунд нужно зайти по новому ip 192.168.10.1 (иначе произойдет откат настроек по изменению ip-адреса), если Вы не успели, то дождаться появления предупреждения и выбрать «Применить без проверки»

5. зайти в настройки роутера по новому адресу 192.168.10.1, перейти в «Сеть—Wi-Fi»

6. нажать «Изменить», чтобы отредактировать настройки точки доступа wifi

7. на странице настроек:
— включить wifi точку (если выключена, нажав кнопку «Включить», при включенной точке wifi кнопка будет «Отключить» — тогда ее не нужно нажимать)
— выбрать канал как у основного роутера (в примере 13 канал)
— настроить имя сети (ESSID), шифрование и пароль (можно задать такое же имя и пароль wifi как у основного роутера)
— проверить, что в поле «сеть» выбрано «lan»
— нажать «сохранить и применить»

8. на странице «Сеть—Wi-Fi» нажать «Поиск» для поиска точки wifi основного роутера

9. выбрать точку wifi основного роутера и нажать «Подключение к сети»

10. на следующей странице обязательно снять отметку (убрать «галочку») с «Заменить настройку беспроводного соединения», ввести пароль от точки wifi основного роутера, нажать «применить»

11. на следующей странице нажать «сохранить и применить»

12. если все данные указаны правильно, то на странице «Сеть—Wi-Fi» будет показан статус подключения к основному роутеру в качестве клиента wifi

на странице «Сеть—Интерфейсы» появится новое подключение WWAN, на котором будет получен ip-адрес от основного роутера, на данном этапе на роутере уже должен быть Интернет (необходимо проверить выход в Интернет, если выхода нет, значит где-то допущена ошибка или основной роутер не имеет выхода в Интернет)

13. перейти в «Система—Программное обеспечение»

14. обновить списко пакетов для установки, нажав «Обновить списки», при удачном обновлении должны загрузиться списки пакетов

15. установить пакет «relayd», для этого в поле «Загрузить и установить пакет» ввести relayd и нажать «ОК»

при удачной загрузке и установке пакета отобразится соответствующая запись

16. аналогично установить пакет «luci-proto-relay», для этого в поле «Загрузить и установить пакет» ввести luci-proto-relay и нажать «ОК»

——————————————————
пакеты также можно установить через консоль SSH (если пакеты установлены через веб-интерфейс, то через SSH устанавливать не нужно), для этого:
1) подключиться к роутеру по SSH, например через Putty (ip 192.168.10.1, логин: root, пароль: пароль от роутера)

2) выполнить команду

opkg update

3) установить пакеты командой:

opkg install relayd luci-proto-relay

——————————————————
17. перейти в «Сеть—Интерфейсы», добавить новый интерфейс

18. указать имя интерфейса (произвольно, в примере имя «repeater»), выбрать протокол «Мост-ретраслятор»

19. на следущей странице указать следующие настройки:
— «Локальный IPv4 адрес» — 192.168.1.4 (можно и другой из подсети основного роутера 192.168.1.х)
— «Ретраслятор между сетями» — выбрать «lan» и «wwan»
— на вкладке «Настройки межсетевого экрана» выбрать lan в поле «Создать/Назначить зону сетевого экрана» (зеленым цветом)
— нажать «сохранить» (НЕ «сохранить и применить»)

20. на странице «Сеть—Интерфейсы» отредактировать интерфейс WWAN

21. на вкладке «Настройки межсетевого экрана» выбрать lan в поле «Создать/Назначить зону сетевого экрана» (зеленым цветом), нажать «сохранить» (НЕ «сохранить и применить»)

22. на странице «Сеть—Интерфейсы» отредактировать интрефейс LAN

23. «IPv4 адрес» указать как в пункте 19, т.е. 192.168.1.4, ниже в настройках «DHCP-сервер» отключить DHCP, поставив отметку «игнорировать интерфейс», нажать «сохранить и применить»

24. при необходимости перезагрузить роутер, после загрузки можно зайти в настройки роутера по адресу 192.168.1.4
клиенты подключенные к роутеру (репитеру) получают ip-адреса от основного роутера и находятся в одной подсети с клиентами подключенными как к репитеру, так и к основному роутеру, общие ресурсы в локальной сети будут доступны на всех клиентах.