Accentsconagua

Installation d'OpenWRT sur un Raspberry Pi en tant que nouveau pare-feu domestique

Compétences informatiques
Share

OpenWRT est un projet de pare-feu domestique actif et dynamique né sur la gamme de routeurs domestiques Linksys WRT54G. Il a grandi et étendu pour prendre en charge un nombre incroyable de vieux et de nouveaux matériels. La liste du matériel compatible est suffisamment longue pour nécessiter son propre index.

Avec le récent intérêt porté au Raspberry Pi, il existe bien entendu une version OpenWRT adaptée à celui-ci. Dans ce tutoriel, je vais vous montrer comment installer OpenWRT sur un Raspberry Pi, ajouter une seconde interface réseau et remplacer votre pare-feu domestique par votre nouveau pare-feu OpenWRT..

OpenWRT

Bien entendu, un Raspberry Pi pourrait être utilisé comme pare-feu avec la distribution Raspbian par défaut avec la configuration, les packages et les réglages appropriés. La valeur clé d’OpenWRT, cependant, est qu’elle fournit une solution de pare-feu facile à utiliser et à gérer pour ceux qui ne sont pas des utilisateurs intensifs de Linux. La plupart des opérations courantes peuvent être effectuées via l'interface Web conviviale.

Veuillez noter que l'image OpenWRT du Raspberry Pi est très récente et en cours de développement. Ce didacticiel utilise une version modifiée de l’image par défaut pour résoudre les problèmes de démarrage et la stabilité de la carte SD. Reportez-vous à cet article sur les modifications pour une explication détaillée. J'utiliserai l'image modifiée prédéfinie afin qu'aucune compilation personnalisée ni connaissances avancées ne soient requises.

Rassembler les composants

  • Raspberry Pi Model B. Consultez le Guide de l'acheteur Raspberry Pi pour connaître les options d'achat
  • Adaptateur secteur
  • Carte SD
  • Étui PI
  • INTELLINET USB 2.0 haut débit
  • Câble Ethernet connecté au réseau domestique
  • Câble Ethernet pour se connecter à une interface Internet (modem câble / modem DSL / etc)
  • Moniteur HDMI - configuration uniquement
  • Clavier USB - configuration uniquement
  • Ordinateur pour la création et la configuration d'images sur carte SD - configuration uniquement

Pointe: Lors de l'achat de composants à utiliser avec votre RasPi, elinux.org dispose d'une liste de périphériques vérifiés..

Les instructions ci-dessous supposent que vous avez accès à un réseau privé existant pour télécharger et configurer le pare-feu. Dans mon cas, j'ai construit mon pare-feu OpenWRT RasPi derrière mon ancien pare-feu avant de le remplacer. Je vais utiliser mon processus comme modèle pour ce tutoriel. En outre, ce didacticiel suppose que vous disposez d’un commutateur distinct pour votre réseau qui n’est pas intégré à votre routeur domestique..

Ce diagramme montre comment la mise en réseau va être configurée dans le produit fini. OpenWRT remplacera un pare-feu standard à deux interfaces. Ce tutoriel ne couvrira pas l’ajout de fonctionnalités WAP au pare-feu, bien que cela puisse être un sujet à venir.


Schéma de réseau

Collecter des informations

Vous aurez besoin d'informations de base sur votre réseau. Notez vos informations d'espace d'adressage IP interne pour une utilisation ultérieure. Dans cet exemple, je vais utiliser le réseau 192.168.1.0, le masque de réseau 255.255.255.0 et diffuser 192.168.1.255 car il s’agit d’une configuration d’accueil très commune..

Notez l'adresse IP de votre pare-feu actuel. Dans cet exemple, il s'agit de 192.168.1.1. Enfin, recherchez une adresse IP inutilisée à utiliser temporairement dans ce processus. Je vais utiliser 192.168.1.2 dans mon exemple.

La plupart de ces informations peuvent être découvertes en interrogeant votre pare-feu existant..

Assemblez le Raspberry Pi

  • Mettez le RasPi dans son étui
  • Connectez le moniteur et le clavier USB
  • Branchez la carte réseau USB - ne connectez pas de câble
  • Branchez un câble réseau de votre réseau domestique à l'interface réseau intégrée du RasPi
  • Préparez l’alimentation, mais ne la connectez pas encore

Créer une carte SD de démarrage

  • Télécharger l'image OpenWRT modifiée
  • Décompressez l'image bz2 (utilisez bunzip2 pour Linux ou OSX et 7zip pour Windows)
  • Écrivez l'image extraite sur la carte SD en suivant les méthodes décrites dans le didacticiel. Comment faire clignoter une carte SD pour Raspberry Pi
  • Insérez la carte SD dans votre RasPi
  • Attacher le pouvoir

À ce stade, vous devriez voir les messages de démarrage typiques défiler sur votre moniteur..

Démarrer le Pi et changer le mot de passe par défaut

Une fois que la console a cessé de faire défiler les messages, appuyez sur la touche Entrée pour ouvrir l'invite de ligne de commande. Vous verrez quelque chose comme ça:


Problème OpenWRT

Faire le Ajustement d'attitude boire est facultatif et n'est pas requis pour ce tutoriel. Cela peut être amusant cependant si vous avez les ingrédients sous la main. Si vous choisissez de suivre les instructions, assurez-vous de revenir ici après.

  • Entrez la commande ifconfig eth0 et vous devriez voir quelque chose comme ça:
eth0 Lien encapsulation: Ethernet HWaddr B8: 27: EB: 5C: B3: 3F inet addr: 192.168.1.126 Bcast: 192.168.1.255 Masque: 255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU: 1500 Métrique: 1 Paquets RX: 0, 55: 0 supprimé: 0 dépassements: 0 cadre: 0 paquets TX: 71487 erreurs: 0 supprimé: 0 dépassements: 0 opérateur: 0 collisions: 0 txqueuelen: 1000 octets RX: 24032301 (22,9 Mio) octets TX: 12706941 (12,1 Mio)

Faites attention au inet addr ligne, ci-dessus. C'est l'adresse IP actuelle que le système a reçue par DHCP. Vous aurez besoin de cette adresse pour vous connecter et gérer le périphérique. Dans cet exemple, l'adresse IP est 192.168.1.126.

  • Ouvrez un navigateur Web à l'adresse IP que vous avez identifiée ci-dessus. Vous verrez un avertissement indiquant que le mot de passe n'a pas été défini. Cliquez sur le lien pour le définir.
  • Entrer racine en tant que nom d'utilisateur et cliquez sur le s'identifier bouton pour vous connecter d'abord sans mot de passe
  • Entrez un mot de passe dans le Mot de passe et Confirmation des champs
  • Cliquez sur Enregistrer et appliquer

Changer le mot de passe

Installer les pilotes pour l'adaptateur Ethernet USB

L'étape suivante consiste à télécharger et à installer les pilotes du noyau pour l'adaptateur Ethernet USB. OpenWRT a un bon gestionnaire de paquets basé sur le Web qui vous permettra de filtrer sur un paquet approprié et de l'installer ou le supprimer si nécessaire.

  • Clique sur le Système> Logiciel languette
  • Cliquez sur le bouton Mettre à jour les listes pour mettre à jour la liste des paquets disponibles.
  • Type mcs7830 dans le Trouver un forfait champ
  • Cliquez sur Trouver un forfait
  • Cliquez sur l'onglet Packages disponibles sous le champ de filtre.
  • Cliquez sur Installer à côté de la kmod-usb-net-mcs7830 paquet

Installer le module de noyau

Créer l'interface WAN

La nouvelle interface réseau eth1 sera l'interface externe ou WAN du routeur. Je recommande cet adaptateur en particulier, car il s’agit d’un véritable périphérique USB 2.0 et ne se limite pas aux faibles vitesses d’un périphérique USB 1.0 ou 1.1. Ces prochaines étapes définiront le périphérique eth1 en tant qu’interface WAN comprise par OpenWRT et appliqueront automatiquement la stratégie de pare-feu appropriée..

  • Clique sur le Réseau> Interfacepoignarder
  • Cliquez sur Ajouter une nouvelle interface
  • Entrer BLÊME comme nom d'interface
  • Sélectionner eth1 à partir de la liste des interfaces physiques disponibles
  • Sélectionner DHCP pour que le protocole
  • Clique le Paramètres du pare-feu onglet et sélectionnez Blême pour la zone pare-feu
  • Cliquez sur Enregistrer et appliquer

Interfaces OpenWRT

Préparez-vous à couper au Pi

Ensuite, configurez l'interface interne pour qu'elle soit statique et activez les services DNS / DHCP sur le réseau interne pour permettre l'adressage IP dynamique interne et les services de noms. L’adresse IP temporaire est utilisée dans ces étapes pour nous permettre de changer le protocole en statique, d’activer les services DHCP et de vous reconnecter au pare-feu OpenWRT plus tard sans sauter trop de paniers ni avoir à assigner de manière statique une IP à votre ordinateur plus tard. processus.

  • Clique sur le Réseau> Interfaces languette
  • Cliquez sur modifier à côté de l'interface réseau eth0
  • Changer le protocole en Adresse statique
  • Confirmez que vous souhaitez changer le protocole
  • Entrez l'adresse inutilisée que vous avez collectée précédemment dans le champ Adresse IPv4. Dans cet exemple: 192.168.1.2
  • Entrez votre masque de sous-réseau, le plus probable 255.255.255.0 dans le champ masque de réseau IPv4.
  • Entrez l'adresse de diffusion collectée précédemment dans le champ de diffusion IPv4. Par exemple 192.168.1.255
  • Cliquez sur Enregistrer et appliquer - Les résultats ne reviendront pas sur votre navigateur car vous venez de déplacer le Pi vers une adresse différente..
  • Donnez au Pi quelques minutes pour valider les modifications.
  • Mettez la nouvelle adresse IP dans votre navigateur et reconnectez-vous au Pi.
  • Clique sur le Système> Redémarrage languette
  • Clique sur le Effectuer un redémarrage lier et confirmer
  • Connectez-vous lorsque le système a redémarré

Vérifiez que les services de pare-feu et DHCP / DNS sont définis pour le démarrage

  • Clique sur le Système> Démarrage languette
  • Assurez-vous que tous les services sont activés.
  • Cliquez sur le rouge X à côté d'un service s'il est désactivé pour l'activer. réseau, dnsmasq et pare-feu sont particulièrement importants pour pouvoir exécuter.

Tous les services configurés au démarrage

Remplacer le pare-feu existant

  • Éteignez votre pare-feu existant
  • Mettez le Raspberry Pi en place
  • Branchez le câble faisant face à Internet / modem dans l'interface USB
  • Branchez le câble LAN de votre commutateur de réseau domestique sur l'interface intégrée
  • Allumez le Raspberry Pi
Pointe: Si vous ne laissez pas de clavier ni de moniteur attachés à votre pare-feu, ils continueront à fonctionner correctement. Vous pouvez reconnecter le moniteur et le clavier si vous avez besoin de résoudre un problème ou de vous connecter au pare-feu via son interface série (les instructions se trouvent sur la page elinux.org RPi Serial Connection). La plupart des dépannages en ligne peuvent être effectués en se connectant au Pi via SSH. Un moniteur et un clavier ne sont nécessaires que s’ils n’apparaissent pas sur le réseau..

Reconfigurer l'interface interne

Cette reconfiguration finale de l'interface le déplacera à l'adresse utilisée par l'ancien pare-feu. Cela permettra aux baux DHCP existants ou aux adresses codées en dur de votre domicile de continuer à utiliser Internet sans interruption.

  • Connectez-vous à l'adresse IP temporaire 192.168.1.2
  • Cliquez sur l'onglet Réseau> Interfaces
  • Cliquez sur Edit en regard de l'interface LAN.
  • Changez l'adresse IPv4 pour qu'elle corresponde à votre pare-feu précédent. Exemple: 192.168.1.1
  • Cliquez sur Enregistrer et appliquer - Là encore, la tâche ne sera pas terminée dans le navigateur, car vous avez modifié l'adresse du pare-feu.
  • Connectez-vous à l’OpenWRT Raspberry Pi à la nouvelle adresse que vous avez attribuée, par exemple 192.168.1.1.

Effectuer un redémarrage final et un test

En de rares occasions, j'ai découvert que le système avait besoin d'un redémarrage pour aligner toutes les règles et tous les services après avoir déplacé des interfaces. Ce dernier redémarrage sert plutôt à vérifier que tout est configuré dès le démarrage à froid. Cela signifie que la prochaine fois que le courant sera coupé, vous serez toujours en forme après son retour..

  • Clique sur le Système> Redémarrage languette
  • Clique sur le Effectuer un redémarrage lier et confirmer
  • Attendez environ 60 secondes que le pare-feu démarre
  • Vérifiez que votre poste de travail a bien une nouvelle adresse DHCP et qu'il peut surfer sur Internet

Toutes nos félicitations! Vous avez un nouveau pare-feu. Un autre Ajustement d'attitude boire est facultatif.

Résumé

Dans ce tutoriel, j'ai installé OpenWRT sur un Raspberry Pi, ajouté une deuxième interface réseau USB et remplacé votre pare-feu domestique. La simple interface Web d’OpenWRT constitue un moyen puissant et simple de gérer votre nouveau pare-feu. Cette installation par défaut fournit les fonctionnalités de base du pare-feu domestique, notamment les services de masquage d’adresses, DHCP et DNS..

Ces capacités ne sont que le début. Un catalogue complet de logiciels disponibles pour openWRT est accessible via le logiciel Système> Logiciel languette. Des packages existent pour fournir un VPN, un serveur Web et de nombreuses autres fonctionnalités bien au-delà des capacités des pare-feu domestiques standard.

Compétences informatiques
×