1 1 1 1 1 Rating 3.23 (35 Votes)

Часто мне нужно иметь доступ к своей домашней сетке с работы, либо с любого другого места, поэтому мне необходимо иметь доступ к своему роутеру (DIR-320A1) по ssh  и  www. По умолчанию доступ из вне на wan в openwrt закрыт, поэтому здесь я опишу как его открыть.

Есть несколько способов это сделать. Для себя я выбрал стандартный iptables, дабы подкреплять знания в нем, которые потом можно всегда применить в другой linux-системе.

Я использую веб-интерфейс luci, поэтому привожу скриншот куда вводить команды iptables.

firewall custom rules

Вводим в данное окно наши iptables правила.

WAN='wlan0'
iptables -A input_rule -i $WAN -p tcp --dport 80 -j ACCEPT
iptables -A input_rule -i $WAN -p tcp --dport 22 -j ACCEPT

Нажимаем кнопку Submit, а потом Save&Apply или перезагружаем роутер.

Эти две команды открываю доступ к вебинтерфейсу на 80 порту и доступ по ssh на 22порту.

Интернет на своем DIR-320 я получаю по wifi, поэтому я использую интерфейс wlan0.

Какой интерфейс использовать вы можете посмотреть подключившись к своему роутеру с помощью ssh-клиента и посмотреть файл /etc/config/network с настройками сетевых интерфейсов.

cat /etc/config/network

У меня выводит следующее

config switch 'eth0'
        option enable '1'

config switch_vlan 'eth0_0'
        option device 'eth0'
        option vlan '0'
        option ports '1 2 3 4 5'

config switch_vlan 'eth0_1'
        option device 'eth0'
        option vlan '1'
        option ports '0 5'

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'lan'
        option ifname 'eth0.0'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option gateway '192.168.2.221'
        option dns '8.8.8.8'
        option ipaddr '192.168.2.2'

config interface 'wan'
        option ifname 'eth0.1'
        option _orig_ifname 'eth0.1'
        option _orig_bridge 'false'
        option proto 'static'
        option ipaddr '192.168.2.1'
        option netmask '255.255.255.0'
        option gateway '192.168.2.221'
        option dns '8.8.8.8'

config interface 'wwan'
        option _orig_ifname 'wlan0'
        option _orig_bridge 'false'
        option proto 'static'
        option ipaddr '192.168.1.210'
        option netmask '255.255.255.0'
        option gateway '192.168.1.1'
        option dns '192.168.1.1'

Если бы я получал интернет не по wifi, а через wan, то согласно приведенной конфигурация мне нужно было использовать eth0.1 интерфейс и команды iptables имели бы следующий вид

WAN='eth0.1'
iptables -A input_rule -i $WAN -p tcp --dport 80 -j ACCEPT
iptables -A input_rule -i $WAN -p tcp --dport 22 -j ACCEPT

Тоже самое можем продеалать внеся данные строки в файл /etc/firewall.user

nano /etc/firewall.user

После внесения изменений перезагружаем firewall

/etc/init.d/firewall restart

 

Автор статьи

Log in to comment

: 29 апр 2016 17:33 Автор: mszerg #1254
mszerg аватар
alexi145 пишет:
Да, совсем забыл спросить, как правильно из терминала посмотреть отчеты (логи) на предмет ошибок сети, возникшие после перезагрузки роутера, какой файл за это отвечает? Хочу попытаться понять что ему не нравится в конфигах, может быть в "люси" где то лишнюю галочку поставил bridge, или еще какой конфликт. До этого то получилось, а luci сносить/устанавливать не хочется.))

Для чтения общего лога используется команда
logread
Чтобы логи динамически обновлялись на экране
logread -F

Ну и смотреть ошибки ядра
dmesg
alexi145 пишет:
Можно ли скачать у вас файл /etc/config/network

dir-320 нет сейчас под рукой, отдал родителям.
: 29 апр 2016 16:24 Автор: alexi145 #1253
alexi145 аватар
Да, совсем забыл спросить, как правильно из терминала посмотреть отчеты (логи) на предмет ошибок сети, возникшие после перезагрузки роутера, какой файл за это отвечает? Хочу попытаться понять что ему не нравится в конфигах, может быть в "люси" где то лишнюю галочку поставил bridge, или еще какой конфликт. До этого то получилось, а luci сносить/устанавливать не хочется.))
: 29 апр 2016 16:14 Автор: alexi145 #1252
alexi145 аватар
Добрый день! Спасибо за ответ. По адресу 192.168.1.1 у меня стоит др. роутер, 2х портовый простенький TP-Link с родной прошивкой, который раздает интернет по радио. Спасибо, думаю я понял вашу мысль попробую организовать проброс портов на нем. Можно ли скачать у вас файл /etc/config/network для моего ядра, типа как в примере? Как я понял у меня конфликт в сетевых настройках OpenWRT возникает из за этого файла.
: 28 апр 2016 09:28 Автор: mszerg #1251
mszerg аватар
Если dir-320 получает интернет через другой роутер 192.168.1.1, то нужно пробрасывать порт с 192.168.1.1 на dir-320. Открывать порт в данном случае нигде не нужно т.к. dir-320 работает на интерефейсе локальной сети, а там по умолчанию в фаерволе открыты все порты.

Какая прошивка у вас на 192.168.1.1? Нужно искать там проброс портов...
: 28 апр 2016 00:27 Автор: alexi145 #1250
alexi145 аватар
Доброго времени! Спасибо за хорошую статью. Однако нужна помощь в настройке сети на Open WRT (back fire 2.6). Получилось сделать один раз и доступ по сети был открыт, но удачный конфиг забыл забэкапить и очередные изменения через "люсю" его чудным образом прибили, в результате DIR-320 стал недоступен ни с одного интерфейса, вылечил перезаливкой дефолтного конфига из бекапа.
До этого делал все по этой инструкции, но очередной раз что то пошло не так. А именно загвоздка вот в чем, после редактирования /etc/config/network (причем любыми тестовыми редакторами, vi, nano, kate, kwrite) при перезагрузке сети, или при reboot Open WRT перезагружает настройки но становится недоступна сеть и сам роутер.

Что делаю не так? Захожу по ssh на роутер, по адресу 192.168.2.2, редактирую в окне терминала файл etc/config/network причем не важно копирую из буфера, или набиваю руками недостающие строки, в результате файл получается как у вас на скриншоте точь в точь, сохраняю потом редактирую /etc/config/user.firewall прописываю туда правила (так же как в примере), сохраняю. Далее перезагружаю фаервол и сеть. После этих манипуляций роутер становится не доступен. Файл network пробовал редактировать в разных редакторах под линуксом (благо система на внешнем hdd), тоже не помогло. Один раз ведь получилось, хочу повторить еще. То ли синтаксис не нравится, то ли файл записывается как то криво, еще не разобрался.)) Почему то OpenWRT не хочет признавать измененный файл конфига сети, что за х... пока ломаю голову.
На свежее ядро что то не спешу перешиваться пока, проц у Dir-320a1 все таки слабоват, есть желание построить систему по максимуму из backfair и потестить ее.

Задача банальная сетевая, организовать доступ к камере и OpenWRT из интернета, для наблюдения за домом. Как бы лучше это сделать, видимо как то через VPN? У меня к сожалению еще нет опыта работы по VPN каналу и тем более по его настройкам, буду разбираться с этим, так же буду рад любой помощи.
Система стоит на внешнем usb hdd с внешним питанием, подключенная через 3х портовый usb 2.0 хаб к роутеру, камера тоже подключена в этот хаб.
Роутер получает инет по радио, через сеть 192.168.1.1, хочу сделать так, чтобы один виртуальный wifi и один порт OpenWRT инет раздавали на др.устроийства и при этом сервер OpenWRT и камера были доступны не только по сети, но из внешнего мира тоже.))
: 04 авг 2015 10:53 Автор: mszerg #1150
mszerg аватар
Насколько помню, то нужно отредактировать файл
nano /etc/config/uhttpd
а там подставить ваш порт в строки
list listen_http '0.0.0.0:80'
list listen_http '[::]:80'

перезагрузить luci
/etc/init.d/uhttpd restart

На всякий случай перезагрузить роутер, если не заработало :)
: 04 авг 2015 10:40 Автор: fl1ps #1149
fl1ps аватар
Подскажите как изменить порт для удаленного доступа через интернет веб морды LUCI?
: 08 нояб 2013 17:13 Автор: PriVas #309
PriVas аватар

Проблем со скоростью на openwrt не должно быть.
Дополнительные пакеты на роутере не ставили, например Qos, которые регулируют канал между компьютерами в сети? При неправильной настройке буде резаться скорость.

со скоростью как раз проблем нет
проблема - openwrt не пропускает личеров
дополнительные пакеты не ставились
: 08 нояб 2013 17:05 Автор: mszerg #308
mszerg аватар
Здравствуйте.
подскажите как подкрутить OpenWrt для роздач uTorrent 1.8.2.

при родной прошивке отбоя не было при роздаче торрентов, приходилось ограничение скорости ставить
а при OpenWrt - 1-2 торрента и скорость смешная

благодарю

Проблем со скоростью на openwrt не должно быть.
Дополнительные пакеты на роутере не ставили, например Qos, которые регулируют канал между компьютерами в сети? При неправильной настройке буде резаться скорость.
: 08 нояб 2013 16:55 Автор: PriVas #307
PriVas аватар
Здравствуйте.
подскажите как подкрутить OpenWrt для роздач uTorrent 1.8.2.

при родной прошивке отбоя не было при роздаче торрентов, приходилось ограничение скорости ставить
а при OpenWrt - 1-2 торрента и скорость смешная

благодарю
: 07 нояб 2013 17:50 Автор: PriVas #306
PriVas аватар
Спасибо, mszerg

проблему решил. оказалось намного банальнее - конфликт правил проброса

метод статьи работает
: 07 нояб 2013 15:59 Автор: mszerg #305
mszerg аватар
Тогда такой вопрос, вы получается меняли стандартный 80 порт для Luci на 89?
Может какая-то проблема в этом.

Если вы не используете 80 порт в http, верните его для Luci.

У меня нормально работает открытие 80 порта для веб морды Luci по методу статьи. Причем я периодически сношу и ставлю, все без проблем.

Так же Возможно eth1 у вас не является внешним интерфейсом?
: 07 нояб 2013 13:19 Автор: PriVas #304
PriVas аватар
Я думаю, что проблема в том что у вас серый ip (Адрес: 10.0.0.234). Провайдер вам открыл только стандартные порты 21 и 80.

89 порт не стандартный.

Попробуйте сделать веб интерфейс на 8080 порте, может он открыт.

Иначе надо общаться с провайдером.

спасибо за ответ, но
все порты открыты, так как http - организован на 2221, а ftp - на 2222
и все работает
: 07 нояб 2013 13:09 Автор: mszerg #303
mszerg аватар
Я думаю, что проблема в том что у вас серый ip (Адрес: 10.0.0.234). Провайдер вам открыл только стандартные порты 21 и 80.

89 порт не стандартный.

Попробуйте сделать веб интерфейс на 8080 порте, может он открыт.

Иначе надо общаться с провайдером.
: 07 нояб 2013 12:51 Автор: PriVas #302
PriVas аватар
Здравствуйте.
Подскажите как решить проблему
Необходима возможность управлять роутером TP-Link TL-MR3220 v1 под OpenWRT 12.09 / LuCI 0.11.1 Release (0.11.1) из интернет

Интернет предоставляется провайдером:
Адрес: 10.0.0.234
Маска сети: 255.0.0.0
Шлюз: 10.0.0.1
DNS 1: 8.8.8.8
DNS 2: 10.0.0.1

также имеется внешний IP (по которому успешно организовано http, ftp - сервера, путём проброса портов)

а вот таким же образом попасть в роутер не получается:
создано пользовательское правило
WAN='eth1'
iptables -A input_rule -i $WAN -p tcp --dport 89 -j ACCEPT
а также были пробросы порта на внутренный (192.168.1.1) и внешний (10.0.0.234) порт 89, но желаемого результата не получено

Так как новичок в этом деле, может кто подскажет как решить проблему
Благодарю
: 19 сен 2013 20:58 Автор: Ананас #286
Ананас аватар
Статья "Бязь", автор сам не пробовал что написал. Советую делать как тут написано open-life.org/blog/1497.html ;-)
: 14 март 2013 11:21 Автор: mszerg #301
mszerg аватар
Здравствуйте.Спасибо за ответ.Дело в том, что телевизоры Philips от Samsung по SmartTV`у очень сильно отличаются. Возможностей у Samsung более.А Philips предоставляет лишь те видеоресурсы, которые сочтет нужными - а это далеко не то, чего хотелось бы. Одно решение есть.Это использование мобилки с Android.Как это выглядит.На телефон устанавливается:1-программа UPnPlay (сейчас установлена) или подобная (пробовал еще Twonky Beam);2-программа видеоресурсов (в моем случае - это fs.ua, ex.ua.).Далее в этой программе выбирается желаемый видеоконтент.И открывается с помощью...здесь выбор: либо встроенным плеером, либо UPnPlay.При выборе встроенного идет воспроизведение, естественно, на телефоне.А при выборе UPnPlay предлагается выбор DLNA-совместимых устройств.Выбирается телевизор и воспроизведение идет на нем.
Зачем я все так подробно написал?Чтобы было понятно, что хочу от роутера.А хочу исключить телефон.Возможно ли?
Можете не публиковать,чтобы не засорять не нужными комментами.

Похоже аналогов UPnPlay в openwrt нет. Я так понимаю эта программа рендерит изображение и отдает его в сеть, а на роутере нет графического ядра что бы это делать. Поиском по инету нахожу только инструкции по iptv...
: 14 март 2013 10:31 Автор: hubble #300
hubble аватар
Здравствуйте.Спасибо за ответ.Дело в том, что телевизоры Philips от Samsung по SmartTV`у очень сильно отличаются. Возможностей у Samsung более.А Philips предоставляет лишь те видеоресурсы, которые сочтет нужными - а это далеко не то, чего хотелось бы. Одно решение есть.Это использование мобилки с Android.Как это выглядит.На телефон устанавливается:1-программа UPnPlay (сейчас установлена) или подобная (пробовал еще Twonky Beam);2-программа видеоресурсов (в моем случае - это fs.ua, ex.ua.).Далее в этой программе выбирается желаемый видеоконтент.И открывается с помощью...здесь выбор: либо встроенным плеером, либо UPnPlay.При выборе встроенного идет воспроизведение, естественно, на телефоне.А при выборе UPnPlay предлагается выбор DLNA-совместимых устройств.Выбирается телевизор и воспроизведение идет на нем.
Зачем я все так подробно написал?Чтобы было понятно, что хочу от роутера.А хочу исключить телефон.Возможно ли?Можете не публиковать,чтобы не засорять не нужными комментами.
: 13 март 2013 17:24 Автор: mszerg #299
mszerg аватар
К сожалению у меня нет такого телевизора((
Но то что просмотр онлайн фильмов к роутеру никакого отношения не имеет это точно. Роутер в данном случае должен только передавать интернет на телевизор.
Функцию онлайн просмотра должен поддерживать телевизор. В нем должны быть прошиты соответствующие приложения.
Задайте поиск с фразой: fillips просмотр онлайн.
Вот как пример чел настроил просмотр с ex.ua
argando.com/obzoru/%D0%BF%D1%80%D0%BE%D1...5-samsung-le-37c650/
: 13 март 2013 17:07 Автор: Валерий #298
Валерий аватар
Здравствуйте.
Заранее оговорюсь, что в linux и openwrt пока не силен, поэтому усиленно штудирую ваш (и подобные сайты).
Итак. Имеется в наличии роутер TP-LINK WR741ND с прошитой OpenWRT и телевизор Philips с DLNA. Подскажите, пожалуйста, возможно ли настроить роутер, чтобы смотреть online-фильмы (не IPTV), типа fs.ua, kinopod.ru на телевизоре. Как я понимаю, необходимо наличие на ТВ какой-то web-морды (в моем SmartTV есть встроенный броузер без поддержки flash). Необходимо эту web-морду открыть на роутере? Или нет? Или как? Ну в общем где-то так. Я далеко не все еще понимаю. Если возможно помогите мне с этим вопросом.
Интересует вопрос только с online, но не с жестким диском к роутеру.
Заранее благодарен.
: 24 янв 2013 00:00 Автор: vit.aliy #297
vit.aliy аватар
Там немного сумбурно у вас описано, поэтом опишу как я сделал проброс портов.
Спасибо! Буду изучать ! Я полагал что можно настроить так что бы набрав внешний айпи с портом скажем 89 попасть на локальный айпи с портом 80 (или это уже не просто проброс а "маскарад" и нужны другие настройки?)

веб интерфейс есть - но меня он в этой части как то больше запутал чем правка конфиг файла - я конфиги открываю текстовым редактором в WinSCP и рестарт делаю кнопкой в списке задач в LuCi. Вроде работает :)
: 23 янв 2013 20:30 Автор: mszerg #296
mszerg аватар
..... подскажите пожалуйста - а проброс портов я правильно делаю? (так как в предыдущем посте описал правильно?).
Там немного сумбурно у вас описано, поэтом опишу как я сделал проброс портов.
1)В прошивке attitude adjusment в веб интерфейсе все легко настраивается на вкладке Firewall/Port Forwarding
2)Если нет веб интерфейса то правим фаервол
nano /etc/config/firewall

config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp'
option src_dport '80'
option dest_ip '192.168.2.1'
option dest_port '80'
option name 'web'

Перезапускаем фаервол
/etc/init.d/firewall restart

Здесь идет проброс 80 порта с интерфейса wan в интерфейс lan на ip 192.168.2.1
: 22 янв 2013 23:30 Автор: vit.aliy #295
vit.aliy аватар
Нужно отредактировать файл
nano /etc/config/uhttpd
там почти в самом вверх поменять порт в строке
list listen_http 0.0.0.0:80
Перезапустить uhttpd
/etc/init.d/uhttpd restart

У меня заработало...

странно - я именно так все и делал - разве что рестарт делал через веб интерфейс кнопкой в списке запущенных сервисов .... завтра еще раз испытаю ..... подскажите пожалуйста - а проброс портов я правильно делаю? (так как в предыдущем посте описал правильно?).
: 22 янв 2013 23:16 Автор: mszerg #294
mszerg аватар
Ну если прошивка не openwrt, то я особо не подскажу. Вам нужно самому погуглить. То что я бегло нашел то похоже, что вам нужно настроить вот это меню www.adslclub.ru/upload/img/2011-09/29-23260029433.png
: 22 янв 2013 22:23 Автор: Ineibet #293
Ineibet аватар
Так у меня получается получить доступ к роутеру главному, но как получить доступ ко второму роутеру подключённому как клиент по Wi-Fi пока что понять не могу. Что делать?!

А теперь делайте проброс порта на котором работает видеопрограмма с первого роутера на второй. Какая прошивка у вас на первом роутере?

Роутер Huawei HG8245 со своей прошивкой. Как открыть порт?!
: 22 янв 2013 20:31 Автор: mszerg #292
mszerg аватар
Большое спасибо за советы! Все получилось путем редактирования конфиг файла файервола - через айпи таблицы тоже попробую чуть пожже. Пробовал пробросить порт и тут столкнулся с проблемой. Поменял стандартный 80 на 89 в конфиге uhttpd и в файерволе все 80 поменял на 89 (что б указав в браузере IP:89) попасть на локальный айпи:89. Не сработало - подскажете что не так делаю? Заранее большое спасибо!

Нужно отредактировать файл
nano /etc/config/uhttpd
там почти в самом вверх поменять порт в строке
list listen_http 0.0.0.0:80
Перезапустить uhttpd
/etc/init.d/uhttpd restart

У меня заработало...

К стати можете уже зарегистрироваться, что бы не вводить капчу и сразу видеть свои сообщения.
Регистрация и вход в правом верхнем углу.
: 22 янв 2013 16:00 Автор: Виталий #291
Виталий аватар
У меня дома настроено через динамический ip.
Использую dyndns.org. Посмотрите у меня на сайте как установить к ниму клиента, у меня правда специфические настройки, но думаю разберетесь.

Большое спасибо за советы! Все получилось путем редактирования конфиг файла файервола - через айпи таблицы тоже попробую чуть пожже. Пробовал пробросить порт и тут столкнулся с проблемой. Поменял стандартный 80 на 89 в конфиге uhttpd и в файерволе все 80 поменял на 89 (что б указав в браузере IP:89) попасть на локальный айпи:89. Не сработало - подскажете что не так делаю? Заранее большое спасибо!
: 22 янв 2013 07:20 Автор: mszerg #290
mszerg аватар
Так у меня получается получить доступ к роутеру главному, но как получить доступ ко второму роутеру подключённому как клиент по Wi-Fi пока что понять не могу. Что делать?!

А теперь делайте проброс порта на котором работает видеопрограмма с первого роутера на второй. Какая прошивка у вас на первом роутере?
: 21 янв 2013 21:26 Автор: Ineibet #289
Ineibet аватар
Так у меня получается получить доступ к роутеру главному, но как получить доступ ко второму роутеру подключённому как клиент по Wi-Fi пока что понять не могу. Что делать?!
: 19 янв 2013 11:55 Автор: mszerg #288
mszerg аватар
У меня дома настроено через динамический ip.
Использую dyndns.org. Посмотрите у меня на сайте как установить к ниму клиента, у меня правда специфические настройки, но думаю разберетесь.
Правда на dyndns.org дают только один бесплатный адрес, но для тестирования хватит.
На dyndns.org есть выбор разных адресов, у меня например ****.dyndns.org
Соответственно видео я смотрю через интернет по адресу ****.dyndns.org:8081 - это для программы motion.
Предварительно пробрасываете порт 8081 по примеру этой статьи
Как установить motion или mjpg-streamer тоже у меня почитайте.

По поводу "лучше (легче) настроить стриминг на бесплатный хостинг в инете" - это явно не легче))
: 19 янв 2013 11:10 Автор: Виталий #287
Виталий аватар
добрый день! подскажите пожалуйста как должен выглядеть адрес по которому получаем доступ к роутеру ? необходимо ли иметь от провайдера статический IP? есть ли варианты с динамическим или через VPN? можно ли из вне зайти на тот локальный адрес на который транслируется видео с подключенной веб камеры или лучше (легче) настроить стриминг на бесплатный хостинг в инете?

Извините что завалил вопросами :) Заранее спасибо!