OpenWrt - Prise en main

sudo apt-get remove Windows --force

Billet

Je propose ici de commencer une série d'articles pour une prise en main progressive de cette distribution qui peut en dérouter plus d'un au premier abord. En effet, si ce système s'est nettement amélioré au fil du temps, avec notamment la gestion désormais intégrée par défaut de l'interface graphique LUCI, l'outil reste tout de même très complexe et peut pousser un débutant à rebrousser chemin et réinstaller le système d'origine.

Je passerai ici la phase d'installation du système. Le flashage de l'appareil est propre à chaque marque et modèle de routeur. On trouve en principe les "tutos" pour réaliser cette opération.

Mes articles porteront sur la version 21.02 d'OpenWrt. Mes copies d'écrans seront faites à partir de la version anglaise de Lucy. Quand on cherche des informations sur OpenWrt, l'essentiel de la ressource est dans la langue de Shakespeare.

Le support utilisé ici sera le routeur Xiaomi mi R3G qui tourne chez moi depuis deux ans, auquel j'ai adjoint dernièrement son jumeau comme répéteur Wifi.

Enfin, loin d'être moi-même un spécialiste, ces articles s'adressent à des amateurs dans le cadre d'une installation domestique exclusivement.

1 - Présentation d'OpenWrt

"OpenWrt est un système d’exploitation basé sur Linux destiné aux matériels embarqués (routeurs principalement). Au lieu d’être un système d’exploitation figé et verrouillé, OpenWrt offre un système d'exploitation totalement modifiable grâce à un gestionnaire de paquets. Ceci vous permet de vous libérer des applications et de la configuration installées par le fabricant, afin de personnaliser votre appareil, grâce à l’ajout et l’utilisation de paquets apportant de nouvelles fonctions."

https://openwrt.org/fr/start

2 - Repérage des ports réseaux

2.1 - Repérage des ports Ethernet et Wifi sur le routeur

Comme tout routeur, on trouve un et un seul port WAN (Wide Area Network), à raccorder dans la majorité des cas du coté d'Internet. On trouve plusieurs connecteurs LAN (Local Area Network) destinés aux machines locales (ordinateurs, NAS...), voire aux sous-réseaux locaux.


Ici, le routeur offre une prise WAN et deux prises LAN qui permettent de raccorder deux machines et plus si on ajoute un switch en sortie. On peut aussi imaginer le raccordement d'un sous réseau sur le port lan1 et d'un deuxième (par exemple une DMZ) sur le port lan2.

Pour le Wifi, on trouve 4 antennes : 2 pour wlan0 en 2.4GHz et 2 pour wlan1 en 5GHz.

Nota : par défaut, le port WAN est protégé par le pare-feu qui interdit toute gestion d'OpenWrt via Internet. Il faudra donc obligatoirement se raccorder sur un port LAN pour la première configuration du système. Pour rappel, l'adresse de gestion par défaut est 192.168.1.1, en https par défaut depuis la version 21.xx d'OpenWrt.

2.2 - Repérage des ports réseaux dans LUCI

On retrouve ces ports dans Luci en allant sur la page Network > Interfaces > Devices .


En complément, on trouve br-lan qui regroupe les deux ports lan1 et lan2 sur une fonction bridge qui peut s'apparenter à un switch. On trouve également eth0 qui correspond au port réseau du CPU.

Les deux ports Wifi sont absents, tout simplement parce qu'ils sont désactivés par défaut. Il suffit d'aller sur Network > Wireless et de cliquer sur enable pour radio0 et radio1 puis sur Save & Apply.

On peut le vérifier en affichant de nouveau la page Network > Interfaces > Devices .


3 - Les interfaces

Les interfaces regroupent les ports réseaux par zones, mais aussi par fonction. Dans la configuration par défaut, on a globalement deux zones : la zone LAN qui regroupe tous les postes du réseau local (votre entreprise, votre domicile...) et la zone WAN qui gère le raccordement à Internet.

Sur la page Network > Interfaces > Interfaces, on voit que la zone WAN est gérée par deux interfaces, WAN et WAN6. La première gére les flux en IP v4, la deuxième les flux en IP v6.


Le regroupement par zone permet de gérer le pare-feu. Ainsi, l'interface LAN est dans la Zone firewall du même nom. Les interfaces WAN et WAN6 appartiennent à la même zone wan. Chaque zone est identifiée par sa couleur, ce qui est pratique sur la page des interfaces.

Attention : il ne faudra pas confondre les noms des zones pare-feu avec les noms des interfaces et les noms des ports. On le voit bien pour la zone pare-feu wan qui englobe les deux interfaces WAN et WAN6, dont le flux transite par le port Ethernet wan. Tandis que la zone pare-feu lan n'englobe que l'interface LAN, dont le flux transite par les ports Ethernet lan1 et lan2 regroupés par un pont br-lan.

Cette confusion dans les noms a été ma première difficulté dans la prise en main d'OpenWrt.

4 - Le pare-feu

Sur la page page Network > Firewall > General Settings, on trouve le fonctionnement global du pare-feu.

La gestion de ce pare-feu demande un minimum de connaissance d'Iptables. Il faudra rester prudent avec ce pare-feu, car par maladresse, on peut très facilement s'interdire de toute gestion du routeur, et à contrario tout autoriser à n'importe qui.

4.1 - Configuration générale

En haut de page, dans la rubrique General Settings on trouve le trafic autorisé avec le routeur lui-même. Les flux entrants et sortants sont autorisés, pas le forwarding. Interdire l'Input sans exception, c'est se priver définitivement de tout accès au paramétrage du routeur.


En bas de page, on retrouve les zones évoquées précédemment, ainsi que les échanges autorisés entre-elles. On peut noter que ces zones sont nommées en lettres minuscules, ce qui permet aussi de les distinguer des noms des interfaces.

  • La colonne Zone => Forwardings indique le routage autorisé
  • La colonne Input indique le flux autorisé vers le routeur
  • La colonne Output indique le flux venant du routeur
  • La colonne Forward indique le flux autorisé entre sous-réseaux de la même zone
  • La colonne Masquerading indique si on masque l'IP de la machine qui émet une trame vers la zone concernée

Lisons ces zones ligne par ligne :

Ligne 1 (lan) :

  • Forwardings : on peut transférer des trames de lan vers wan
  • Input - Output - Forward : Le trafic est totalement ouvert entre lan et le routeur.

Ligne 2 (wan) :

  • Forwardings : wan n'a accès à rien par défaut (tout le trafic est bloqué vers toutes les zones)
  • Input - Output - Forward : Le routeur peut envoyer des trames vers (Output) wan, il n'accepte pas de recevoir en interne des trames venant (Input) de wan et il n'accepte pas de transférer des trames (Forward) entre sous-réseaux de la zone wan
  • Masquerading : les trames envoyées sur la zone wan font l'objet d'un masquage de l'adresse IP

Cette configuration est très restrictive. En l'état, elle n'autorise aucun échange avec internet. On peut émettre des requêtes, mais on n'a pas les retours. Il faut modérer ce blocage entrant en ajoutant des règles de trafic.

4.2 - règles de trafic

Sur la page Network > Firewall > Traffic Rules quelques règles de trafic sont définies par défaut.

Comme vu précédemment, ces règles permettent principalement de modérer la restriction de trafic entrant sur le routeur (this device) venant de la zone wan :

  • Autorisation du service DHCP
  • Autorisation du Ping
  • Protocole MLD pour l'IP v6

...

Elles réglementent également le trafic entre les zones wan et lan :

  • L'Encapsulating Security Payload (services de confidentialité, authentification et intégrité)
  • L'ISAKMP (association de sécurité et des clés cryptographiques)

Je passe sur les détails à ce stade

5 - Pas de panique !

En cas d'erreur de configuration, que ce soit au niveau du pare-feu, des VLAN, et pour bien d'autres raisons, on risque de se priver momentanément de l'accès à OpenWrt. Ce genre de situation peut s'apparenter à ce qu'on nomme communément un "briquage" du routeur.

Il est probable qu'une telle situation conduise à un briquage si on panique en débranchant l'appareil suite à une perte de contrôle. Gardons la tête froide, OpenWrt est programmé pour répondre à ce genre de situation. Chaque fois qu'on lance une commande Save & Apply, un compte à rebours de 90s est lancé :

Passé le délai ce 90s, si OpenWrt n'a reçu aucune commande de votre part, les modifications sont annulées et vous reprenez le contrôle de l'appareil.

Si malgré ça vous perdez le contrôle de l'appareil, il reste la possibilité de faire un Reset via le bouton prévu à cet effet.

6 - Résumé

Nous avons vu ici les principales appellations à maîtriser pour paramétrer OpenWrt :

  • Identification des ports (physiques) du routeur (Ethernet, Wifi...)
  • Identification de ces ports au sein d'OpenWrt
  • Définition des zones liées au pare-feu
  • Définition des interfaces (par fonction, par zone...)

Il reste de nombreuses fonctionnalités à aborder, ce que nous tâcherons de faire par la suite (service DHCP, DNS, routage...).


OpenWrt : 1 - Prise en main / 2 - Adressage IP et Interfaces / 3 - Pare-feu / 4 - Wifi

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : https://objnux.fr/index.php?trackback/121