th0ma7's OpenWRT | LEDE

Aller au contenu | Aller au menu | Aller à la recherche

samedi 4 août 2018

MAJ OpenWRT 18.06 et LEDE 17.01.5

Nouvelle version apportant encore son lot de corrections dont notamment un passage au noyaux 4.9 et 4.14 selon votre routeur. La version officielle est maintenant disponible (plus de détails ici. D'autre part la version précédente LEDE datant d'avant le "merge" LEDE + OpenWRT a elle aussi reçu quelques correctifs (plus de détails ici.

Les détails concernant les amélioration/corrections pour la version 18.06 sont disponibles ici: https://openwrt.org/releases/18.06/notes-18.06.0 Les image 18.06 sont disponibles ici: https://downloads.openwrt.org/releases/18.06.0/targets/

Les documentation pour WDR4300 et C2600 ont té mises à jour à 18.06.

Parmi les premières constatations:

  • SQM offre maintenant comme "queue discipline" l'option "piece of cake" qui remplace les précédentes. Mise à jour de documentation à venir!
  • Le paquet bandwidthd n'est plus disponible avec 18.06. Reste à découvrir les options alternatives.

À vos flash!

mardi 3 juillet 2018

MAJ OpenWRT 18.06-rc1

Nouvelle version apportant encore son lot de corrections dont notamment un passage au noyaux 4.9 et 4.14 selon votre routeur. La version officielle est attendue pour le 6 juillet (plus de détails ici.

Les détails concernant les amélioration/corrections ne sont pas encore disponibles. Les images 18.06-rc1 sont disponibles ici: https://downloads.openwrt.org/releases/18.06.0-rc1/targets/

Comme à l'habitude la mise à jour de la documentations pour WDR4300 viendra sous peu. J'ai déjà mis à jour la page C2600 avec l'image "18.06-SNAPSHOT du 8 juin" r7009-48c5d6a avec le noyau 4.14.48.

À vos flash!

lundi 23 octobre 2017

MAJ LEDE 17.01.4

Nouvelle version apportant encore son lot de corrections dont notamment un passage au noyau 4.4.92 mais surtout un correctif important concernant la faille de sécurité KRACK. Je vous recommande l'article publié sur lesnumériques.com. Les détails concernant les corrections sont disponibles ici:

Comme à l'habitude la mise à jour de la documentations pour WDR4300 est disponible. J'ai aussi mis à jour la page C2600 avec l'image "Community" r3566-98c003e elle aussi avec le noyau 4.4.93 (mais tout de même légèrement plus récente que la sortie officielle à r3560-79f57e422d utilisant cependant la même version de noyau).

À vos flash!

mardi 17 octobre 2017

MAJ LEDE 17.01.3

Changements relativement mineurs mais plusieurs failles de sécurité corrigées: https://lede-project.org/releases/17.01/changelog-17.01.3

La mise à jour de la documentations pour WDR4300 et Configuration initiale: routeur complétées. J'ai aussi mis à jour la page C2600 même si les images disponibles ne sont pas exactement au même build que 17.01.3 r3533-d0bf257c46 avec un noyau 4.4.89 pour "Community" mais plutôt à r3514-97ebdf9 utilisant un noyau 4.4.87.

Et pour les intéressés concernant le "re-merge" d'OpenWRT avec LEDE: http://lists.infradead.org/pipermail/lede-adm/2017-October/thread.html#620

samedi 29 juillet 2017

Monitoring du traffic réseau avec bandwidthd

En discutant avec un de mes bons amis il m'a fait part de son utilisation de bandwidthd (merci D!). Après quelques essais infructueux j'ai finalement réussi à faire en sorte d'obtenir un état de l'utilisation de la bande passante pour l'ensemble des périphériques sur tous mes réseaux! Le résultat est disponible en temps réel à l'adresse de notre routeur tel que http://192.168.80.1/bandwidthd/

En simple, on installe bandwidthd:

root@OpenWrt|LEDE:~# opkg install bandwidthd

Puisque j'utilise un adressage IP différent que celui par défaut je dois changer la plage sous-réseau à surveiller:

uci set bandwidthd.@bandwidthd[0].subnets='192.168.80.0/24'
uci commit

Puis activer par défaut bandwidthd à l'initialisation du routeur et démarrer le démon:

root@OpenWrt|LEDE:~# /etc/init.d/bandwidthd enable
root@OpenWrt|LEDE:~# /etc/init.d/bandwidthd start

Par défaut bandwidthd fait l'analyse des paquets uniquement sur l'interface br-lan. La liste des périphériques disponibles est disponible via:

root@OpenWrt|LEDE:~# bandwidthd -l
Description: (null)
Name: "eth0"

Description: (null)
Name: "br-lan"

Description: (null)
Name: "br-bell"

Description: (null)
Name: "br-guest"

Description: (null)
Name: "br-media"

Description: (null)
Name: "pppoe-wan"

Description: (null)
Name: "wlan0"

...

Description: Pseudo-device that captures on all interfaces
Name: "any"

Description: (null)
Name: "lo"

Si l'on veut surveiller l'ensemble de nos réseaux alors il faut changer l'interface par défaut par "any" puis ajouter chacun de nos sous-réseaux:

uci set bandwidthd.@bandwidthd[0].dev='any'
uci add_list bandwidthd.@bandwidthd[0].subnets='172.19.80.1/24'
uci add_list bandwidthd.@bandwidthd[0].subnets='10.10.80.1/24'
uci add_list bandwidthd.@bandwidthd[0].subnets='192.168.2.1/24'
uci commit

Puis redémarrer le démon bandwidthd:

root@OpenWrt|LEDE:~# /etc/init.d/bandwidthd restart

Voici l'état de la configuration finale:

root@OpenWrt|LEDE:~# uci show bandwidthd
bandwidthd.@bandwidthd[0]=bandwidthd
bandwidthd.@bandwidthd[0].skip_intervals='0'
bandwidthd.@bandwidthd[0].graph_cutoff='1024'
bandwidthd.@bandwidthd[0].promiscuous='true'
bandwidthd.@bandwidthd[0].output_cdf='false'
bandwidthd.@bandwidthd[0].recover_cdf='false'
bandwidthd.@bandwidthd[0].filter='ip'
bandwidthd.@bandwidthd[0].graph='true'
bandwidthd.@bandwidthd[0].meta_refresh='150'
bandwidthd.@bandwidthd[0].dev='any'
bandwidthd.@bandwidthd[0].subnets='192.168.80.1/24' '172.19.80.1/24' '10.10.80.1/24' '192.168.2.1/24'

À noter que j'ai intégré l'installation de bandwidthd aux autres documentation existantes.

samedi 17 juin 2017

MAJ LEDE 17.01.2

Voici les plus récentes information concernant les mises à jour de LEDE:

  • https://lede-project.org/releases/17.01/notes-17.01.2
  • https://lede-project.org/releases/17.01/notes-17.01.1

La documentation à été mises à jour pour la portion WDR4300 et Archer C2600 afin d'utiliser les nouvelles versions d'images 17.01.2 ainsi que quelques ajustements post-installation.

samedi 11 mars 2017

UPnP

J'ai modifié la page de Configuration initiale: "routeur" afin d'ajouter une section UPnP. L'abbréviation UPnP signifie “Universal Plug and Play”. L'utilisation de l'UPnP permet aux application d'effectuer la redirection de port via votre routeur automatiquement, vous sauvant du trouble de faire une configuration manuelle.

La procédure d'installation est très simple et n'active l'UPnP que sur votre réseau LAN. Ainsi si vous faites confiance à l'ensemble des périphériques de votre réseau l'utilisation de l'UPnP est en soi sécuritaire.

opkg update
opkg install miniupnpd luci-app-upnp luci-i18n-upnp-fr
/etc/init.d/miniupnpd enable
/etc/init.d/miniupnpd start
/etc/init.d/firewall restart

Références:

dimanche 26 février 2017

TP-Link Archer 2600 - MAJ à LEDE 17.01

Un image mise à jour LEDE pour le routeur TP-Link Archer C2600 est maintenant disponible à dl.eko.one.pl

La page TL Archer C2600 a été mise à jour en conséquence.

À noter que le problème de redémarrage est bel et bien été corrigé puisque l'application de la mise à jour s'est fait sans heurt et le routeur s'est réinitialisé tel que prévu afin lors de l'application de la mise à jour.

jeudi 23 février 2017

LEDE 17.01 TL-WDR4300 et TL Archer C2600

Je suis finalement passé à LEDE 17.01 sur mon routeur principal. Mon point d'accès WIFI suivra sous peu lorsqu'une image "community" sera rendu disponible à eok.one.pl pour mon TL Archer C2600.

La configuration originale OpenWRT est entièrement compatible avec LEDE ce qui rend totalement transparent le passage de l'un à l'autre. Peut-être est-ce une fausse impression mais la taille de l'image LEDE semble mois volumineuse laissant d'avantage de place sur un routeur déjà limité à 8MB tel que le TL-WDR4300? La page associée au TL-WDR4300 a été mise à jour. Suivront celle pour le TL Archer C2600. J'ai aussi testé la remise à l'état d'origine suivie d'une ré-application manuelle complète de ma configuration et tout fonctionne très bien: décidément la compatibilité de LEDE avec OpenWRT est au rendez-vous!

En conclusion je dirais que LEDE ont fait un excellent travail. Cette image stable et surtout à jour comble le vide laissé par OpenWRT depuis sa version 15.05.1. Ceci permet enfin de sécuriser nos routeurs pour lesquels aucun correctifs de sécurité n'avait été rendu disponible depuis bientôt un an (mars 2016).

Bravo LEDE!

BusyBox v1.25.1 () built-in shell (ash)

     _________
    /        /\      _    ___ ___  ___
   /  LE    /  \    | |  | __|   \| __|
  /    DE  /    \   | |__| _|| |) | _|
 /________/  LE  \  |____|___|___/|___|                      lede-project.org
 \        \   DE /
  \    LE  \    /  -----------------------------------------------------------
   \  DE    \  /    Reboot (17.01.0, r3205-59508e3)
    \________\/    -----------------------------------------------------------

root@LEDE:~# uname -a
Linux LEDE 4.4.50 #0 Mon Feb 20 17:13:44 2017 mips GNU/Linux

Quelques liens intéressants:

dimanche 12 février 2017

TP-Link Archer C2600 et LEDE

J'ai utilisé mon nouveau routeur TP-Link Archer C2600 afin d'expérimenter les "release candidate" du projet LEDE. Globalement mes premières impressions sont plutôt favorable mais l'exercice n'est pas aussi aisé qu'initialement espéré.

Il est important de noter que le routeur n'avait pas encore été "flashé" avec OpenWRT ou LEDE et utilisait toujours l'image TP-Link d'origine. Le passage de l'image d'origine à OpenWRT|LEDE

  • La conversion de l'image d'origine TP-Link vers OpenWRT|LEDE nécessite de pousser une image via TFTP vers le routeur amorcé en mode récupération (Power + Reset).
  • Question de rendre la manipulation un peu plus complexe le mode récupération nécessite l'emploi d'une adresse spécifique 192.168.1.66 tandis que réseau par défaut LEDE|OpenWRT est basé sur le 192.168.0.x.
  • Le build actuels de LEDE n'activent par le serveur DHCP par défaut. Il nous faut donc monter une adresse statique sur le 192.168.0.x afin de communiquer avec le routeur à 192.168.0.1.
  • La configuration des led d'état sur le routeur Archer C2600 est incomplète. Il devient donc ardu de déterminer dans quel état se trouve notre appareil à une point donné
  • Il y a un "bug" de redémarrage du périphérique i.e. que lors de l'application du nouvelle image OpenWRT|LEDE le routeur s'éteint plutôt que de redémarrer (tous les leds d'état sont alors éteints). Il nous faut donc manuellement forcer le redémarrage via le bouton prévu à cet effet.
  • La mise à jour s'applique lors du démarrage qui s'en suit le tout étant visible via le led "power" qui s'active en clignotant.
  • Puisque ce routeur possède beaucoup de mémoire flash (32MB) cela prend entre 5 et 12 minutes en fonction de l'image utilisée avant que la mise à jour ne soit complétée...

J'ai créé une page spécifique nommée "TL Archer C2600" destinée à ce routeur qui servira à terme à titre de nouveau point d'accès WIFI. À suivre viendront la procédure de conversion du routeur à titre de point d'accès.

samedi 21 janvier 2017

WIFI à 40MHz (300Mbps)

Il est possible sur plusieurs routeur d'optimiser la puissance du signal wifi 802.11n à 40MHz (300Mbps). Cependant par défaut OpenWRT ajuste le mode à 20MHz avec une vitesse maximale théorique de 130Mbps:

root@OpenWRT:~# ubus call network.wireless status | grep htmode
                        "htmode": "HT20",
                        "htmode": "HT20",

On valide que notre routeur permet le mode à 40MHz sur chaque bande:

root@th0ma7-router:~# iw phy phy0 info
Wiphy phy0
        Band 1:
                Capabilities: 0x11ef
                        HT20/HT40

root@th0ma7-router:~# iw phy phy1 info
Wiphy phy1
        Band 2:
                Capabilities: 0x11ef
                        HT20/HT40

On augmente cette valeur à 40MHz avec un débit théorique à 300Mbps:

uci set wireless.radio0.htmode=HT40
uci set wireless.radio1.htmode=HT40
uci commit

On redémarre:

root@OpenWRT:~# reboot

On valide que le mode à 40MHz est bien actif suivant le redémarrage:

root@OpenWRT:~# ubus call network.wireless status | grep htmode
                        "htmode": "HT40"
                        "htmode": "HT40"

J'ai ajusté la page Configuration initiale: "routeur" afin de prendre en considération ce paramètre pour le sans-fil.

Référence: https://wiki.openwrt.org/doc/uci/wireless#mhz_channel_width_up_to_300_mbps_for_80211n_devices_only

mardi 17 janvier 2017

Réseau Média

La nouvelle procédure aujourd'hui consiste à mettre en place d'un réseau "media" à la maison. Le but est d'y segmenter son réseau afin d'offrir l'internet à certains périphériques sur lesquels nous avons pas ou peu de contrôle mais qu'on ne veut pas limiter en terme de performance comme sur le réseau invité (guest).

D'autre part j'ai effectué une petite correction concernant SQM pour le réseau guest et WAN. Tout comme avec wshaper l'angle de vue amont/aval est inverse! Un test de vitesse avec votre fournisseur de service permet de le confirmer. J'ai donc ajusté les valeurs SQM queue upload/download en conséquence.

Dans l'ordre les procédures à ce jour sont:

  1. Mise à jour TL-WDR4300
  2. Configuration initiale: "routeur"
  3. Dropbear SSH
  4. Bell Fibe WAN PPPoE
  5. Adresse WAN et DDNS
  6. Trunk WAN + LAN
  7. Bell Fibe LAN
  8. Réseau invité (guest)
  9. Réseau "media"

À suivre comment émuler son routeur via QEMU!

vendredi 13 janvier 2017

Réseau invité (guest)

La nouvelle procédure aujourd'hui consiste à mettre en place d'un réseau "invité" (guest) à la maison. Ce réseau permet d'offrir l'internet à nos visiteurs à la maison tout en limitant les risques de sécurité, virus, partage involontaire de données et surtout avec une limitation de bande passante (pratique avec les amis de nos enfants!).

Du même coup J'en ai profité afin de mettre à jour la portion limitation de la vitesse afin de passer de wshaper à SQM. J'ai aussi apporté quelques changements à la procédure Bell Fibe WAN PPPoE afin d'améliorer nos performances et de limiter l'impact sur l'internet en configuration une limitation de notre bande passante WAN équivalente à notre vitesse réelle. Ceci évite de tenter de transmettre des paquets à 1 gigabit quand en fait nous n'avons que service internet entre 10 et 90mbit et nous permet d'obtenir une performance plus stable. Ceci permet de régler le problème "Bufferbloat".

lundi 9 janvier 2017

Bell Fibe LAN

La nouvelle procédure aujourd'hui clos la portion mise en place de son réseau personnel sécurisé avec le service Fibe du fournisseur Bell Canada. La portion Bell Fibe LAN consiste à lier le LAN en provenance du routeur de Bell à notre routeur OpenWRT de façon sécuritaire permettant ensuite d'avoir accès à l'interface de gestion de façon transparente à travers notre LAN personnel.

Reseau-th0ma7-BELLWAN-TRUNK-BellLAN-ManagedSwitch-20170109.jpg

À suivre sera la création d'un réseau guest, media et voip afin de segmenter d'avantage notre réseau pour des motifs de sécurité, de qualité de service (QOS) ou pour certaines utilisations utilisations spécifiques.

Trunk WAN + LAN

J'ai mis en ligne une procédure intitulée Trunk WAN + LAN permettant avec le fournisseur de service internet canadien Bell via son service Fibe d'utiliser un port dédié afin de combiner plusieurs réseaux via des VLAN et ainsi limiter le nombre de câbles requis. Cette procédure s'inscrit à la suite de Bell Fibe WAN PPPoE.

Reseau-th0ma7-BELLWAN-TRUNK-ManagedSwitch-20170109.jpg

La création du port "trunk" LAN + WAN est tout ce qu'il y a de plus simple puisqu'il ne suffit qu'à ajouter le VLAN35 en mode “tagged” au port 2:

uci add_list network.@switch_vlan[1].ports='2t'
uci changes network
uci commit

Ceci considérant que votre VLAN35 est bien à la position 1 de la table switch_vlan:

root@OpenWRT:~# uci show network.@switch_vlan[1].vlan
network.cfg0a1ec7.vlan='35'

Cependant la portion plus complexe est la schématisation de ce changement et comprendre comment modifier notre commutateur principal en conséquence.

La suite à venir sera comment lier le réseau LAN de Bell Fibe à notre routeur OpenWRT de façon sécuritaire permettant ensuite d'avoir accès à l'interface de gestion de façon transparente à travers notre LAN personnel.

samedi 7 janvier 2017

Bell Fibe WAN PPPoE

J'ai mis en ligne une procédure intitulée Bell Fibe WAN PPPoE permettant avec le fournisseur de service internet canadien Bell via son service Fibe de contrôler entièrement notre réseau LAN afin qu'il soit indépendant des équipements fournis par le fournisseur de service.

Reseau-th0ma7-BELLWAN-ManagedSwitch-20170104.jpg

La suite à venir sera comment créer un lien "trunk" LAN + WAN entre un commutateur intelligent et notre OpenWRT afin d'optimiser l'utilisation des ports.

lundi 2 janvier 2017

Adresse WAN et DDNS

J'ai mis en ligne une procédure intitulée Adresse WAN et DDNS permettant d'utiliser un nom de domaine d'un registraire de votre choix vers votre l'adresse WAN dynamique de votre routeur OpenWRT. La méthode relativement simple consiste à déléguer un sous-domaine vers un registraire DDNS compatible OpenWRT et ensuite d'installer et de paramétrer le service DDNS sur votre routeur.

dimanche 1 janvier 2017

Dropbear SSH

J'ai pris soin de bonifier ma procédure Dropbear SSH afin paramétrer le service de sorte que:

  1. Dans un premier temps de permettre la connexion SSH sans mot de passe via échange de clés
  2. L'activation d'une seconde instance du service SSH en écoute sur le réseau WAN avec accès autorisés uniquement avec échange de clés

samedi 31 décembre 2016

Mise à jour TL-WDR4300-v1.3

Je possède entre autre un TL-WDR4300-v1.3 avec lequel je suis relativement satisfait. Il me sert de routeur principal à titre de point d'entrée sur mon réseau. La procédure intitulée Mise à jour TL-WDR4300 résume la marche à suivre afin de mettre à jour l'image active du routeur considérant que ce dernier utilise déjà une version antérieure d'OpenWRT.

vendredi 30 décembre 2016

Configuration initiale d'OpenWRT

Voici un premier article intitulé Configuration initiale: "routeur" qui explique la configuration minimale de base que j'applique sur mes routeurs OpenWRT. Cette configuration ne comprend pas tout mais permet de mettre en place quelques balises essentielles pour un fonctionnement adéquat.

- page 1 de 2