You are on page 1of 15

2014

Firmware DD-WRT
En este documento se define un poco sobre lo que es DD-WRT sus caractersticas, ventajas y desventajas adems de la configuracin para que en nuestro router sea instalado este firmware, adems que comparta dos redes wireless (Privada Pblica) y que ambas redes contengan seguridad para el acceso y un lmite para el ancho de banda.

Pablo Morera Castro Ministerio de Salud 19/02/2014

DD-WRT

Definicin DD-WRT es un firmware libre para diversos routers inalmbricos o WiFi, es muy comn observarlo en equipos Linksys WRT54G. Ejecuta un reducido sistema operativo basado en Linux. Est licenciado bajo la GNU General Public License versin 2. DD-WRT. http://es.wikipedia.org/wiki/DD-WRT
Para actualizar desde el firmware original de Linksys usa la versin mini y actualzalo desde la interfaz web. Despus de haber flasheado una vez con la versin mini, luego puedes usar cualquier otra versin. Aparte de otras caractersticas que no se encuentran en el firmware original de Linksys, DDWRT incluye el dominio de la red de juego Kai, IPv6, Sistema de Distribucin Inalmbrico (WDS: Wireless Distribution System, en ingls), RADIUS, controles avanzados de calidad de servicio (QoS) para la asignacin de ancho de banda y control de potencia (con un ajuste posible de hasta 251mW, mucho mayor que la potencia por defecto del router).

Las ventajas de DD-WRT pueden variar segn la compatibilidad alcanzada con cada modelo de router pero de partida vamos a obtener una conexin estable capaz de soportar varios dispositivos sin que se produzca ninguna cada. Adems tendremos opcin de crear reglas para filtrar contenido o incluso administrar la conexin que usar cada ordenador, mvil, tablet u otro aparato con conexin. En algunos modelos podremos incluso hacer uso del router en modo puente. De esta forma lo usaramos para amplificar o extender nuestra red a lugares donde llega con menor potencia y calidad. Caractersticas: Las caractersticas de flashear el router con la aplicacin de DD-WRT son las siguientes (pueden acceder al link de cada caracterstica para saber que significa): 13 Idiomas. 802.1x Extensible Authentication Protocol (EAP) Access Restrictions Ad Hoc Afterburner Client Isolation Mode Client Mode (Soporte de mltiples clientes conectados) DHCP Forwarder (udhcp) DHCP Server (udhcp or Dnsmasq) DNS Forwarder (Dnsmasq)

DMZ Dynamic DNS (DynDNS, easyDNS, FreeDNS, No-IP,TZO, ZoneEdit, y otros servicios. Hotspot Portal (Sputnik Agent,Chillispot) IPv6 JFFS2 (JFFS2) MMC/SD Card Support (Requiere modificacin de hardware) NTP ntop Remote Statistic (ntop) OpenVPN Client & Server Port Triggering Port Forwarding PPTP VPN Server & Client QoS Bandwidth Management QoS L7 Packet Classifier (l7-filter) RFlow Routing(BIRD) Samba FS Automount Syslog Rx Antenna Tx Antenna Muestra el estado de clientes jifia y CSS con optimizacin del uso del procesador. Site Survey SNMP SSH server & client (dropbear) Startup, Firewall, and Shutdown scripts (startup script) Static DHCP Diferentes estilos(Changeable GUI; v.23) Telnet server & client Ajuste de potencia de transmisin (0-251mW, por defecto 28mW) UPnP USB VLAN WOL (Wake On Lan) (WOL) WDS Connection Watchdog WDS Repeater Mode Wireless MAC Address Cloning Wireless MAC Filter WMM (Wi-Fi MultiMedia) WPA over CSS WPA/TKIP with AES WPA2 Xbox Kaid (Kai Engine)

Ventajas: Las ventajas de DD-WRT pueden variar segn la compatibilidad alcanzada con cada modelo de router pero de partida vamos a obtener una conexin estable capaz de soportar varios dispositivos sin que se produzca ninguna cada. Adems tendremos opcin de crear reglas para filtrar contenido o incluso administrar la conexin que usar cada ordenador, mvil, tablet u otro aparato con conexin. En algunos modelos podremos incluso hacer uso del router en modo puente. De esta forma lo usaramos para amplificar o extender nuestra red a lugares donde llega con menor potencia y calidad. Un conjunto de beneficios que creo hacen que merezca la pena el cambio. Eso s, repito, el proceso se ha simplificado y no es complicado pero como siempre debemos tener cuidado si no queremos tener un pisa papeles.

Desventajas La aparicin de "psyb0t", un gusano informtico que infecta routers en vez de la PC. El autor de esta noticia asegura que la ltima versin del firmware (v24) no es afectada por este virus. Para minimizar el riesgo se recomienda deshabilitar el acceso de administrador por WAN y los servicios como telnet, SSH, HTTPS y cambiar las IP por defecto a otros valores, en el caso de necesitar los servicios de administracin preferir las versiones con encriptacin de password como SSH y HTTPS en vez de usar telnet. Si el router es infectado no se podr acceder nuevamente va Web o Telnet (solamente se podr acceder va SSH) si es que este est activado.

A. Manual de configuracin bsica para la instalacin del firmware DD-WRT

Instalacin (1)-Para poder tener este firmware debemos dirigirnos a la pagina del proveedor con el siguiente link http://www.dd-wrt.com/site/support/router-database y en el siguiente campo introducir el modelo de nuestro Router.

(2)-Una vez que verificamos que nuestro equipo es compatible con dd-wrt, procedemos a descargar el firmware adecuado, para ello damos click en la seccin Supported by donde se mostrara una lista de versiones validas a instalar. Es recomendable instalar la versin ms reciente y si es la primera vez se recomienda usar la versin mini.

(3)-Ahora que ya hemos elegido la versin que vamos a instalar en la seccin Filename, descargamos el archivo versin mini con extensin .bin el primero que regularmente tiene el nombre Firmware - Webflash image for first installation o mini es el que nos ayudara a instalar la versin por primera vez. Es recomendable realizar un respaldo de la versin de fbrica o investigar en la web del fabricante si est disponible el firmware original para este modelo. http://support.linksys.com/es-latam/support/linksys (4)-Luego de descargado el archivo .bin procederemos a instalarlo en nuestro router, para ello haremos un Hard Reset 30/30/30, esto para limpiar y formatear la NVRAM del router, conectamos el cable de alimentacin y presionamos el botn de Reset durante 30 seg, desconectamos el cable y durante otros 30 seg seguimos sin dejar de apretar el botn de reset, finalmente conectamos el cable de nuevo mientras tenemos el botn presionado durante 30 seg mas, soltamos y nos esperaremos 3 min.

(5)-Luego desconectamos por 10 seg el cable de alimentacin, y conectaremos un cable de red del router al PC (cualquier puerto Ethernet) y conectamos de nuevo el cable de poder y esperamos 2 min, ahora nos vamos a la configuracin del router, si se hace desde una PC con el adaptador de Red configurado con IP Esttica debemos cambiar a que sea asignada por DHCP.

Luego esperamos hasta que nuestro adaptador nos notifique que tiene acceso a la red, y en un navegador de Internet en la seccin de URL digitamos la IP 192.168.1.1, aparecer una ventana en la cual vamos a darle click a la opcin Continuar con una red abierta y no segura, luego tendremos que marcar la casilla vaca para continuar, luego nos pide un nombre de usuario y contrasea para acceder a la configuracin el cual por defecto si es la primera vez que vamos a configurar el router el Usuario y Contrasea son admin, y damos click sobre Iniciar Sesion en seguida aparecer una Advertencia, ah marcamos No volver a mostrar y damos aceptar, luego de digitar estos datos procedemos a irnos a la ventana de Administracin y ah vamos a la ventana de Actualizacin del Firmware.

(6)-Damos click en Examinar y vamos a buscar donde est el archivo .bin que descargamos de la pgina de dd-wrt, luego de seleccionarlo presionamos Iniciar Actualizacin. Esperamos 5 min y luego aparecer una ventana indicando que puede tardar 80 seg, luego presionamos Continuar, para asegurar la integridad del nuevo firmware. Desconectamos el cable de alimentacin por 10 seg y luego lo conectamos y nos esperamos 2 min para que se inicie el router y aremos por ltimo un Hard Reset 30/30/30, luego esperamos 2 min. Y si fuera el caso que no nos conecta o el adaptador de red notifican un error en la conexin lo que debemos hacer es desconectar el cable de alimentacin por 10 seg y listo ya podemos configurar el firmware DD-WRT.

B. Manual de configuracin para la creacin de dos redes Wireless una Privada y otra Pblica.
(1)-Si es la primera vez que vamos a configurar nuestro router con el firmware DD WRT, deberamos ir a un navegador y digitar la IP 192.168.1.1 para entrar a configurar los parmetros deseados, una vez digitada nos aparecer una ventana lo cual nos muestra 3 espacios. El 1 es para digitar un Nombre de Usuario nuevo, el 2 es para una contrasea nueva para el router y el 3 es para volver a escribir la contrasea, luego de llenar los espacios daremos click en Change Password.

(2)-Si queremos cambiar el lenguaje del firmware de Ingles a Espaol, debemos ir a la ventana Administration, luego a Management e ir hasta abajo hasta la casilla de Languaje Selection y seleccionaremos Spanish por ultimo daremos click sobre Save y luego Aplicar Config, listo ya est en Espaol.

(3)-Nuestra red por defecto viene por DHCP, y debemos cambiar a IP Esttica porque la red interna del Ministerio de Salud est por IP Esttica y no por DHCP, para esto debemos ir a la ventana Configuracin ah mismo vamos a Config Bsica y en Tipo de Conexin a Internet seleccionamos la opcin de IP Esttica y digitamos la IP que corresponda a nuestra red, luego bajamos y daremos click en Guardar Config y tambin en Aplicar Config, por ultimo tendremos que conectar el cable de nuestra RED WAN al puerto amarillo Internet para el acceso a la red y listo.

(4)-Ahora tenemos que deshabilitar dos opciones para que el DHCP automtico del router pueda ajustarse a la IP y DNS del Ministerio de Salud. En la ventana actual bajamos hasta la opcin Config del servidor de Direcciones de red (DHCP) y aqu desmarcamos las opciones Usar DNSMasq para DNS y DHCP-Autorizativo luego vamos a Config Hora y aqu en Zona Horaria elegimos la de UTC-06:00 y en Horario Verano (DST) elegimos nada, luego damos click en Guardar Config y en Aplicar Config.

(5)-Ahora comenzaremos a configurar nuestro router para crear las 2 redes wireless para eso damos click sobre la ventana Inalmbrico y luego en Config Bsica y ah configuraremos nuestra red Privada la cual le asignaremos el nombre de red deseado (SSID) y si queremos dejamos el canal por defecto (6) o lo cambiamos y daremos click sobre Guardar Config, ahora crearemos nuestra red virtual o red Pblica para eso damos click sobre Aadir, luego le asignaremos un nombre a nuestra red virtual (SSID) y activaremos Aislamiento AP y damos click sobre Aplicar Config.

(6)-Ahora procederemos a configurar la seguridad Inalmbrica de ambas redes, ah mismo en la ventana de Inalmbrica vamos a dar click sobre Seguridad Inalmbrica y aparecer la red Privada y la Publica sin seguridad, por defecto est Desactivado, as que a la red Privada vamos a asignarle el modo de seguridad WPA2 Personal o el que usted desee, luego en Algoritmos WPA seleccionamos AES y luego digitamos una contrasea entre 8 y 63 caracteres, y daremos click en Guardar Config, ahora a nuestra red Pblica como sugerencia podemos asignarle cualquier modo de seguridad, pero si se deja Desactivado, los invitados podrn tener acceso ilimitado a la red. Para ello en este caso decid escoger el modo de seguridad WPA2 Personal con algoritmo AES y digitamos cualquier contrasea entre 8 y 63 caracteres, luego damos click en Aplicar Config y listo.

(7)-Hasta este momento se deberan de ver la dos redes wireless por medio de un dispositivo WiFi, adems si se intenta tener acceso a cualquiera de las dos, estas mismas compartirn el DHCP de la misma red (Red Privada), para esto vamos a crear un Bridge (puente) para separar la red y as crear otra red aparte para que no intervenga con nuestra red Privada, lo que haremos es dar click sobre la ventana Configuracin y luego a Redes y vamos a la opcin Bridging, por defecto se encuentra creado el Puente Bridge 0 el cual es el de la red principal (Privada), en este caso vamos a darle click sobre Aadir y automticamente saldr Bridge 1 este ser nuestro puente para la red (Pblica), vamos a digitar en el cuadrito de la derecha br1 y en STP que esta (On) lo pondremos en (Off) y bajamos y damos click sobre el botn Guardar Config y automticamente saldr dos opciones ms debajo del puente que aadimos (Bridge 1), las cuales sern para la IP y la Mscara de Red y ah digitaremos la ip y mascara que ser para la Red Pblica, bajamos y daremos click sobre Aplicar Config, ya esta nuestra ip Publica creada.

(8)-Luego de haber creado el puente de la Red Pblica, ahora procederemos a asignarle la interface wl0.1 a nuestro Bridge 1 (br1). Si observamos en Lista de Puentes Actuales podemos ver que la interface de la red virtual (wl0.1) esta asignada a br0 y lo que queremos hacer es asignarla a br1, para esto damos click sobre Aadir en donde dice Asignar a un Puente, ah nos aparecer un enunciado que dice Assignment 0 y a la derecha solo modificamos en el primer cuadrito donde dice none vamos a asignar el puente br1 y en la interface colocamos la red virtual wl0.1, luego damos click sobre Aplicar Config y esperamos 15 seg hasta que wl0.1 se asigne a br1.

(9)-Ya que hemos asignado nuestra red virtual al br1 ahora nos corresponde crear un servidor DHCP mltiple para nuestra red, en la ventana actual Redes vamos a ir a la ltima opcin que dice DHCPD y vamos al botn Aadir y ah solo modificaremos el cuadrito donde dice br0 por br1, porque automticamente el tomara la IP que le asignamos a Bridge 1 y partiendo de esa IP el creara nuestro servidor DHCP, por ultimo damos click en Guardar Config y luego a Aplicar Config, para que se cree la interface br1 para el DHCP.

(10)-En este momento si intentamos conectarnos a la red Publica no nos va dar acceso a Internet, esto porque el Firewall de nuestro router necesita establecer algunas reglas para el acceso a Internet (Filtrado de Paquetes y NAT). Primero necesitamos dar click sobre la ventana Administracin luego a Diagnsticos, aqu se mostrara una ventana con un rectngulo vacio el cual nos permite digitar comandos, firewalls y scripts personalizados para nuestro router, en esta ocasin sern reglas para el Firewall, lo siguiente ser copiar las reglas dentro de los parntesis y pegarlas (lnea por lnea)dentro del rectngulo, luego vamos a dar click sobre el botn Guardar Firewall para que se ejecuten las reglas, y automticamente aparecer abajo una ventana con nuestro Firewall. REGLAS
1-(iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT --to `nvram get wan_ipaddr`) 2-(iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT) 3-(iptables -I FORWARD -i br1 -o br0 -m state --state NEW -j DROP)

Informacin sobre IPTABLES, por defecto esta en ingles. http://www.dd-wrt.com/wiki/index.php/Iptables_command (11)-Como sugerencia si queremos mejorar la seguridad de nuestra Red (Privada) y Red (Publica) podemos agregar los siguientes comandos para establecer las reglas las

cuales no darn acceso a Telnet, SSH, www y HTTPS entre ambas redes y que la red Pblica no tenga acceso al router. Si queremos establecer estas reglas lo haremos de la misma manera de como agregamos las reglas anteriores. REGLAS
1-(iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP) 2-(iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --rejectwith tcp-reset) 3-(iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset) 4-(iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset) 5-(iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --rejectwith tcp-reset)

(12)-Por ultimo necesitamos reiniciar el router para que la configuracin tenga efecto as que ah mismo en la ventana de Administracin vamos a Administracin, bajamos y damos click sobre Aplicar Config y en Reiniciar Router, cuando se est reiniciando hay que esperarnos el tiempo que se nos indique en la pantalla de configuracin, listo ya con esto estara la configuracin de ambas redes. _-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

C. Configuracin para limitar el ancho de banda.


(1)-Luego que se han configurado las dos redes podemos limitar el ancho de banda que tendrn todos los que se conectaran inalmbricamente a nuestra red y si queremos le daremos prioridad a la red Privada para que no se limite el ancho de banda para dicha configuracin vamos a dar click sobre la ventana NAT / QoS luego a QoS y ah configuraremos los parmetros para la limitacin, en Calidad de Servicio (QoS), damos click en la casilla para activar para que Inicie QoS, el puerto lo cambiamos a LAN & WLAN, el programador de paquetes lo dejamos igual y en enlace de subida y bajada se coloca la cantidad en (Kbps) que se desee limitar para la red Pblica, se recomienda que se establezca entre un 80% y 95% del lmite total de subida y el de bajada entre un 80% y 100% del lmite de bajada. En este caso decid que la Subida sea 256 Kb y de bajada 1 Mb.

(2)-Ahora se indicara las prioridades ya sea en paquetes (TCP), de servicios, mascara de red y por MAC Address. En esta ocacion le dare prioridad a la IP Privada para que no tenga restricciones ni ancho de banda limitado, para esto vamos a la opcin Prioridad Mascara RED y ah damos click en Aadir ahora digitamos la IP y la Mscara de la red (Privada) en sus respectivos cuadritos y en prioridad le asignaremos Premium, vamos a Guardar Config, luego Aplicar Config y listo.

Adems vamos a configurar la opcin para que nuestro router se reinicie todos los das o un da especfico y a una hora determinada esto para evitar mala recepcin o sobrecarga en el router. Vamos a ir a la ventana de Administracin luego a Keep Alive ah en la opcin de en medio que dice Reiniciar Horario la vamos a Activar y elegimos A la hora establecida y ah indicamos a qu hora y que da queremos que nuestro router se reinicie, luego Guardar Config. Por ltimo en la ventana Administracin vamos a Administracin y bajamos y damos click sobre Aplicar Config luego a Reiniciar Router, esto para que tengan efecto las configuraciones.