OpenWrt firmware kan nieuw leven blazen in je oude router. Je vindt hier een overzicht van uitbreidingspakketten, van adblock tot mesh en VPN, om je oude router nuttig te gebruiken en tips om ermee aan de slag te gaan.
Je kunt een oude router bewaren als reserve voor als er iets stuk gaat of misschien nog verkopen. Maar met OpenWrt firmware voor je router kun je zelfs zeer oude routers nog nuttige functies geven.
De standaardmogelijkheden van OpenWrt firmware zijn al groot, maar met alle uitbreidingen is nog meer mogelijk. Werken met OpenWrt is niet per se makkelijk, maar de moeite waard omdat je (netwerk)problemen of -wensen goedkoop en specifiek voor jouw situatie kunt oplossen – vooral in een thuisnetwerk. Je daarom zelfs een geschikte (2ehands) OpenWrt router kunnen aanschaffen.
OpenWrt firmware – handige uitbreidingen
Verderop meer over het installeren van de uitbreidingspakketten, hier volgt eerst een overzicht van handige pakketten.
Wifi volgens schema’s in-/uitschakelen
Je kunt met OpenWrt een access point of repeater opzetten zonder dat je uitbreidingen nodig hebt. Maar misschien wil je dat de wifi-toegang niet altijd actief is, bijvoorbeeld om nachtelijke internetuitstapjes van jeugdige inwoners te voorkomen, of om veiligheidsredenen.
Dat probleem wordt opgelost door de module luci-app-wifischedule. Daarmee maak je verschillende tijdschema’s aan voor de werking van het wifi en geef je die elk een afzonderlijke naam. Je kunt daarbij echter geen onderscheid maken tussen individuele access point profielen, dus als het wifi wordt uitgeschakeld, zijn altijd ook alle netwerken weg.
OpenWrt als VPN-server
Toegang tot het thuisnetwerk via VPN is voor veel beheerders een belangrijk instrument. Met bijvoorbeeld WireGuard kan dat snel en eenvoudig gerealiseerd worden. Maar dat protocol is nog steeds maar op enkele consumentenrouters te vinden.
Bij OpenWrt kun je het daarentegen met een paar klikken installeren (luci-app-wireguard) en als je thuisrouter statische routes ondersteunt, wordt de verbinding tussen het VPN-subnet en het thuisnetwerk zelfs transparant gerouteerd. Je kunt daar bij OpenWrt ook OpenVPN en IPsec voor gebruiken.
Voor VPN-taken moet de router ten minste 64 MB RAM hebben. Als VPN niet de enige missie van het apparaat is, neem er dan een met een multicore-cpu. Op een snelle kabel-, glasvezel of DSL-verbinding met 40 Mbit/s upstream of meer zul je snel de prestatiegrens van sommige cpu’s halen.
Ontvang gratis informatie over routers en firmware, schrijf je in voor de nieuwsbrief:
VPN routeringsregels
Routeringsregels kunnen een drempel zijn, vooral voor beginners. Vooral als alleen geselecteerde toepassingen of ip-adresgebieden over een bepaalde verbinding mogen lopen, kunnen een paar complexe regels nodig zijn.
Het pakket luci-app-vpn-policy-routing maakt elementaire routing-instellingen zeer eenvoudig. Met een paar klikken kun je van een VPN-verbinding de hoofdroute naar het internet maken – voor al het dataverkeer of alleen voor specifieke adresbereiken of poorten.
OpenWrt als mesh wifi
Bij de meshsystemen die momenteel op de markt zijn, zoek je tevergeefs naar het woord interoperabiliteit. Elke fabrikant bereidt zijn eigen netwerksoepje en het enige dat fabrikantonafhankelijk is, is het client-netwerk waarmee smartphones en dergelijke verbinding maken.
Met OpenWrt kun je dat probleem oplossen. Je kunt van elke router met een IEEE 802.11s wifi-chipset een mesh-router maken. Het mesh-protocol vindt automatisch het directe pad door het draadloze netwerk en gedraagt zich praktisch als een ethernetswitch op de draadloze interface.
Slimmere routing-beslissingen worden gemaakt door het B.A.T.M.A.N. mesh-protocol (Better Approach To Mobile Adhoc Networking). Dat neemt de kwaliteit van de verbinding op in het routing-algoritme. Bovendien kun je, in tegenstelling tot bij 802.11s, meerdere paden naar de bestemming creëren – bijvoorbeeld via 2,4 en 5 GHz mesh, en daarnaast via bekabeld LAN. In de documentatie vind je meer informatie over B.A.T.M.A.N. en OpenWrt.
OpenWrt voor DNS-versleuteling
Het Domain Name System (DNS) werkt onversleuteld. Dat geeft aanvallers de kans om in het netwerkverkeer te kijken en dat, onder bepaalde omstandigheden, te manipuleren. Een oplossing daarvoor is DNS-over-TLS (DoT), waarbij de klassieke DNS-vraag wordt verpakt in een met TLS beveiligde verbinding.
Sommige kant-en-klare routers zijn nu in staat die procedure toe te passen en sturen onversleutelde zoekopdrachten van computers in het LAN in versleutelde vorm door naar een geschikte DoT-server.
Als jouw router geen DNS-encryptie heeft, kun je hem helpen met een OpenWrt-compagnon: de tool stubby speelt dan vertaler tussen de versleutelde en de niet-versleutelde wereld en draait zonder problemen op OpenWrt. De enige voorwaarde is dat je een andere DNS-server in je hoofdrouter kunt invoeren. We hebben in c’t magazine eerder al eens laten zien hoe je Stubby kunt installeren.
OpenWrt voor je eigen wifi tijdens vakantie
Als je je oude router op je vakantie-locatie of bijvoorbeeld in een hotel gebruikt als hotspot-versterker met een eigen wifi en firewall, win je wat aan veiligheid. VPN- en DNS-encryptie bieden extra bescherming in openbare netwerken.
Het handmatig beheren van veel wifi-clientprofielen is in OpenWrt echter minder leuk werk. Maar als je vaak onderweg bent, zul je er daar al snel veel van verzamelen en dan geïrriteerd raken door het gebrek aan automatisering.
Travelmate lost dat probleem op: het hotspotbeheer, dat volledig in de LuCI-webinterface geïntegreerd is, kiest niet alleen automatisch het beste wifi uit, maar kan daarnaast ook aanmeldingsscripts uitvoeren en gebruikersprioriteiten opnemen. Travelmate vergt slechts een paar honderd kilobytes aan geheugen en zeer weinig rekenkracht.
OpenWrt als Adblocker
Reclame tijdens het surfen is hinderlijk en verbruikt vaak ook onnodig rekenkracht in de browser. De oplossing: DNS-verzoeken voor reclamebronnen in de kiem smoren, zodat de browser de advertenties niet eens kan laden. Dat wordt gedaan door de OpenWrt-pakketten adblock en luci-appadblock.
De tool voedt de lokale DNS-resolver met blokkadelijsten van verschillende categorieën en groottes – die je heel comfortabel kunt aansturen via de webinterface. Als een verzoek voor een reclame- of trackingdomein binnenkomt, antwoordt de resolver dan met NXDOMAIN (niet-bestaand domein).
Dergelijke adblockers hebben echter veel RAM en rekenkracht nodig om goed te functioneren: 128 MB RAM is het minimum, maar liever neem je een router met 256 MB, en een cpu met ARM-cores wordt aanbevolen.
OpenWrt firmware – pakketten installeren
Installeren van uitbreidingen voor OpenWrt kan vaak met een paar klikken dankzij het geïntegreerde pakketbeheer, toegankelijk via de webinterface.
Voor veel pakketten zijn er plug-ins die de instellingen rechtstreeks integreren in de webinterface LuCI die door OpenWrt wordt gebruikt. Zelfs als de webinterface-integratie ontbreekt, is het configureren op de commandline makkelijk te leren.
Je kunt het pakketbeheer bereiken via ‘System / Software’. Het installeren van een pakket verloopt vlekkeloos als je OpenWrt-router een internetverbinding heeft. De webinterface kan het vereiste pakket en de afhankelijkheden ervan met één klik automatisch installeren.
Je kunt het installeren een stuk eenvoudiger maken door het pakket bovenaan de afhankelijkheidsketen te selecteren. Als je bijvoorbeeld luci-app-wireguard installeert, oftewel de LuCI-statusmonitorintegratie voor het VPN-protocol WireGuard, laadt de routine daarbij meteen ook de pakketten wireguard-tools (configuratie- en verbindingstools), kmod-wireguard (kernelmodule voor tunnelinstelling) en luci-proto-wireguard (LuCI-protocolintegratie voor configuratie in het netwerkoverzicht).
Updates voor OpenWrt firmware uitbreidingen
Pakketupdates zijn in OpenWrt even eenvoudig te installeren. In het pakketbeheer worden de bij te werken pakketten weergegeven op het tabblad Updates – op voorwaarde dat je de pakketlijsten bijgewerkt hebt. Die worden alleen in het RAM opgeslagen en overleven een reboot niet. Een klik op Upgrade opent de update-routine.
Merk echter op dat de systeempakketten zich op een tegen schrijven beveiligde systeempartitie bevinden. Als je dergelijke pakketten bijwerkt, hebben ze tweemaal zoveel opslagruimte nodig omdat ze naar een andere partitie worden geschreven.
Bij apparaten met weinig opslagruimte (8 MB of minder) of veel toepassingen, is het daarom zinvol om de pakketten pas bij een volgende OpenWrt-versie te updaten (tenzij een beveiligingslek dat eerder vereist). Als het apparaat genoeg flashgeheugen heeft, kun je ook alle pakketten in één keer updaten met het commando
opkg list-upgradable | cut -f 1 -d ‘ ‘ | xargs -r opkg upgrade
Hardware-eisen voor OpenWrt en pakketten
Je kunt er achter komen of OpenWrt beschikbaar is voor je oude hardware via de Table of Hardware op de OpenWrt-wiki. Als je routermodel op de lijst staat, kijk dan in de kolom Supported Current Release voor de laatste OpenWrt-versie die beschikbaar is.
Als ondersteuning van nieuwere versies ontbreekt, is dat meestal te wijten aan een processorarchitectuur die niet langer wordt ondersteund of aan onvoldoende geheugen. De geheugeneisen van OpenWrt zijn de laatste jaren toegenomen. Zelfs op apparaten met 8/64 MB kan het krap worden – maar dat is nog voldoende voor kleine uitbreidingen. Bij de afzonderlijke beschrijvingen van uitbreidingen hierboven lees je meer over de betreffende geheugeneisen.
De benodigde processorkracht varieert sterk per uitbreiding. Eenvoudige wifi- en routingtaken kunnen worden afgehandeld door een single-core cpu met een kloksnelheid van een paar honderd megahertz. Encryptie- en databasetaken (zoals VPN en adblock) vergen echter veel rekenkracht.
Als je geen oude router hebt, kun die goedkoop tweedehands vinden. Check wel eerst de ondersteuning.
Meer over OpenWrt firmware
Dit overzicht geeft je een idee van wat mogelijk is. Meer over OpenWrt lees je ook hier:
(Deze informatie is afkomstig uit het artikel in c’t 4, 2022, pagina 132, van Andrijan Möcker en Noud van Kruysbergen)