Nejlepší router? Ten s OpenWRT !
- xsouku04
- Administrátor
- Příspěvky: 8384
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Nejlepší router? Ten s OpenWRT !
OpenWRT je opensource firmware do routerů postavený na Linuxu. Možnosti nastavení jsou velmi bohaté a firmware je velmi vyzrálí a stabilní.
Síťování se dělá linuxovým způsobem, a proto má smysl se to učit, jelikož se stejné či podobné způsoby dají použít i na běžných Linuxech.
Další výhoda je, že na router je možné pomocí balíčkovače nainstalovat většinu Linuxvých programů, často upravených tak, aby jely na zařízení s minimem paměti a místa na disku. Spustit tak je možné např. jednodušší telefonní ústřednu nebo webové stránky, které mohou něco řídit. Navíc máte aktualizace v podstatě po neomezenou dobu.
Umí to wireguard VPN (několikanásobně efektivnější než openVPN) a např. lze vyrobit WIFI opakovači pomocí WDS (stačí udělat instrukce s pomocí webového rozhraní Luci úplně dole) Tohle jsem právě využil, takže mohu v jednu LAN spojit dvě místa, mezi kterými nelze natáhnout ethernetový kabel. Nebo je možné vytvořit wifi Mesh.
Kde je háček? OpenWRT nejde nahrát do všech routerů, ale jen některých a ty může být někdy problém sehnat.
Seznam podporovaného hardware je sice obrovský, pokud ale budete procházet routery nějaké prodejce, omezení je to značné. Zde je např. seznam pěti nejlepších routerů, co podporují tento firmware. https://blog.rottenwifi.com/best-router-for-openwrt/
Existují, pokud vím, jen dva výrobci hardware, kde je tento jedinečný firmware k dispozici přímo od výrobce. Je to https://www.gl-inet.com/
a český turris https://www.turris.cz/ . Ostatní jsou zjevně vlastní, ego nejspíš nedovolí si ušetřit práci a přitom mít mnohem kvalitnější router.
Problém některých routerů gl-inet může být, že mají speciálně upravené proprietární ovladače, který fungují jen s konkrétní verzí a patchemi linuxového jádra. Nebude pak možné aktualizovat a těmto zařízením je lepší se vyhnout. Pozná se to tak, že nelze stáhnout a nahrát image přímo z projektu OpenWRT.
A další nevýhoda? Webové rozhraní Luci je naprosto geniální, ale vzhledem k tomu, co všechno umožňuje, pro začátečníky nemusí být nejednodušší.
To lze ale suplovat podrobnými návody nebo jinou, paralelně použitelnou nástavbou, kterou má např. gl-inet.
Na obrázku je GL-AR300M16-EXT, který stojí cca 30 USD/EUR , ale má minimální spotřebu a dobrý dosah a openWRT přímo od výrobce a možnost upgradovat přímo z projektu openwrt. https://openwrt.org/toh/gl.inet/gl-ar300m
Síťování se dělá linuxovým způsobem, a proto má smysl se to učit, jelikož se stejné či podobné způsoby dají použít i na běžných Linuxech.
Další výhoda je, že na router je možné pomocí balíčkovače nainstalovat většinu Linuxvých programů, často upravených tak, aby jely na zařízení s minimem paměti a místa na disku. Spustit tak je možné např. jednodušší telefonní ústřednu nebo webové stránky, které mohou něco řídit. Navíc máte aktualizace v podstatě po neomezenou dobu.
Umí to wireguard VPN (několikanásobně efektivnější než openVPN) a např. lze vyrobit WIFI opakovači pomocí WDS (stačí udělat instrukce s pomocí webového rozhraní Luci úplně dole) Tohle jsem právě využil, takže mohu v jednu LAN spojit dvě místa, mezi kterými nelze natáhnout ethernetový kabel. Nebo je možné vytvořit wifi Mesh.
Kde je háček? OpenWRT nejde nahrát do všech routerů, ale jen některých a ty může být někdy problém sehnat.
Seznam podporovaného hardware je sice obrovský, pokud ale budete procházet routery nějaké prodejce, omezení je to značné. Zde je např. seznam pěti nejlepších routerů, co podporují tento firmware. https://blog.rottenwifi.com/best-router-for-openwrt/
Existují, pokud vím, jen dva výrobci hardware, kde je tento jedinečný firmware k dispozici přímo od výrobce. Je to https://www.gl-inet.com/
a český turris https://www.turris.cz/ . Ostatní jsou zjevně vlastní, ego nejspíš nedovolí si ušetřit práci a přitom mít mnohem kvalitnější router.
Problém některých routerů gl-inet může být, že mají speciálně upravené proprietární ovladače, který fungují jen s konkrétní verzí a patchemi linuxového jádra. Nebude pak možné aktualizovat a těmto zařízením je lepší se vyhnout. Pozná se to tak, že nelze stáhnout a nahrát image přímo z projektu OpenWRT.
A další nevýhoda? Webové rozhraní Luci je naprosto geniální, ale vzhledem k tomu, co všechno umožňuje, pro začátečníky nemusí být nejednodušší.
To lze ale suplovat podrobnými návody nebo jinou, paralelně použitelnou nástavbou, kterou má např. gl-inet.
Na obrázku je GL-AR300M16-EXT, který stojí cca 30 USD/EUR , ale má minimální spotřebu a dobrý dosah a openWRT přímo od výrobce a možnost upgradovat přímo z projektu openwrt. https://openwrt.org/toh/gl.inet/gl-ar300m
Re: Nejlepší router? Ten s OpenWRT !
Ono těch linuxových routerů s podobnou použitelností je víc, hodně jich dělá třeba Asus s asuswrt (https://www.asus.com/cz/content/asuswrt/), alternativní verze potom https://www.asuswrt-merlin.net/. S openwrt si moc nerozumí, protože proprierární Broadcom ovladače
Jen není jednoduché zjistit, jestli je uvnitř konkrétního modelu pořádný asuswrt (např. AC68U, AC57U) nebo něco jiného (AC51U, pořád je to nějaký linux, web na pohled vypadá stejně, ale alternativní podpora je slabá) nebo WL-330N3G (ani jsem nezjistil, jestli to je nebo není linux).
Turris je top, ale odpovídá tomu i cena
A po složitém konfigurování různých all-in-one řešení a konci jejich podpory výrobcem za X let, stejně docházím k tomu, že je lepší mít víc jednoúčelových krabiček s aktuálnějším firmwarem, (klidně nějaké Raspberry se spotřebou kolem 1W), než jednu, kde po pár letech nic novějšího nedostanu
Dlouho mi s openwrt fungoval Asus WL500gP, ale časem skončila podpora i tam - a HW fungoval ještě dlouho poté..

Turris je top, ale odpovídá tomu i cena


- xsouku04
- Administrátor
- Příspěvky: 8384
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Nejlepší router? Ten s OpenWRT !
Ten Asus WL500gP a spousta dalších ale neskončila proto, že by nikdo nechtěl dát aktualizaci, ale protože nová jádra a balíčky už se nevejdou do té paměti, co to má (4MB FLASH a 32 MB RAM). Nyní má doporučovaný hardware minima 16 MB a 64/128MB RAM, kde jsou už dostatečně velké rezervy, takže se to snad dlouho opakovat nebude. Ono ale jednou za deset let obměnit hardware také neuškodí. Pokud nové hardware nebude mít podstatně větší výkon, tak bude mít podstatně menší spotřebu...
Já si i myslím, že openWRT je výrazně lepší než třeba známý Mikrotik firmware. Jen je zde to hrozné omezení použitelného hardware.
Re: Nejlepší router? Ten s OpenWRT !
Nj, na tom končí většina upgradů krabiček - od routerů, přes Android telefony, NAS až po třeba Enigma STB, dřív nebo později přestane HW stačit pro nejnovější featurky. Plus to, že po 10 a více letech už je uživatelů tak málo, že se to ani moc nevyplatí - viz třeba podpora i386 a i586 v aktuálních kernelechxsouku04 píše: ↑čtv 29. úno 2024 14:09:33Ten Asus WL500gP a spousta dalších ale neskončila proto, že by nikdo nechtěl dát aktualizaci, ale protože nová jádra a balíčky už se nevejdou do té paměti co to má (4MB FLASH a 32 MB RAM). Nyní má doporučovaný hardware minima 16 MB a 64/128MB RAM, kde jsou už dostatečně velké rezervy, takže se to snad dlouho opakovat nebude. Ono ale jednou za deset let obměnit hardware také neuškodí. Pokud nové hardware nebude mít podstatně větší výkon, tak bude mít podstatně menší spotřebu ....

Re: Nejlepší router? Ten s OpenWRT !
Spomínaný turris má v sebe integrovaný SIP ALG, takže je nie je úplne vhodné riešenie pre SIP telefóny.
- xsouku04
- Administrátor
- Příspěvky: 8384
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Nejlepší router? Ten s OpenWRT !
Je to udivující, že i openWRT SIP alg umí. Ale předpokládám, že to jde určitě vypnout. Vypadá, že je to součást balíčku kmod-nf-nathelper-extra, který je možné prostě odinstalovat. https://forum.openwrt.org/t/where-is-si ... -02/129355
Re: Nejlepší router? Ten s OpenWRT !
Pro zajímavost:
Já používám OpenWrt na routeru D-Link dir825-B1 z roku 2011, má (z hlediska podpory openWRT hraniční) 8MB flash a 64MB RAM.
Má MBit LAN a dual-band wifi, a stále mi funguje to dobře, funkcionality tam mám víc, než bylo v originálním firmwaru z výroby (Který se oficiálně nikdy neaktualizoval).
Akorát aktualizace toho Openwrt neprovádím pomocí oficiálního image, ale sestavuji vlastní pomocí image-builderu kvůli úspoře místa.
Například místo balíku wpad-basic používám plný wpad (nebo wpad-mbedtls), kdybych použil oficiální image, wpad-basic by mi pořád zabíral místo.
Za těch 12 let jsem narazil při aktualizacích na dvě výzvy:
a) přechod implementace z ar71xx na ath79 (neumím přesně popsat, o co šlo, ale prostě střeva se komplet předělaly, a musela se i ručně upravit konfigurace).
b) V továrním firmwaru jsou asi ve dvou třetinách flashe nějaká kalibrační data. Původně v openwrt základní image využíval jen ty dvě třetiny předtím, a pak existoval "fat" image, který při instalaci přesunul tato data nakonec, (a v případě návratu k továrnímu firmwaru bylo třeba nejprv nainstalovat základní image, který zase tato data vrátil zpět), který využíval celý dostupný prostor. Při migraci na ath79 tento fat image zrušili, a nějakou dobu uměli využívat jen ty dvě třetiny flashe, což u verze 22 už znamenalo, že mi ani poměrně osekaná verze nenaběhla (image se vešel, ale zbylo málo místo na "overlay" s přepisovatelnými daty). V pozdějším vydání verze 22 pak zavedli virtuální oddíl, který slučuje části flash před a za kalibračními daty, takže je místa zase dost.
Já používám OpenWrt na routeru D-Link dir825-B1 z roku 2011, má (z hlediska podpory openWRT hraniční) 8MB flash a 64MB RAM.
Má MBit LAN a dual-band wifi, a stále mi funguje to dobře, funkcionality tam mám víc, než bylo v originálním firmwaru z výroby (Který se oficiálně nikdy neaktualizoval).
Akorát aktualizace toho Openwrt neprovádím pomocí oficiálního image, ale sestavuji vlastní pomocí image-builderu kvůli úspoře místa.
Například místo balíku wpad-basic používám plný wpad (nebo wpad-mbedtls), kdybych použil oficiální image, wpad-basic by mi pořád zabíral místo.
Za těch 12 let jsem narazil při aktualizacích na dvě výzvy:
a) přechod implementace z ar71xx na ath79 (neumím přesně popsat, o co šlo, ale prostě střeva se komplet předělaly, a musela se i ručně upravit konfigurace).
b) V továrním firmwaru jsou asi ve dvou třetinách flashe nějaká kalibrační data. Původně v openwrt základní image využíval jen ty dvě třetiny předtím, a pak existoval "fat" image, který při instalaci přesunul tato data nakonec, (a v případě návratu k továrnímu firmwaru bylo třeba nejprv nainstalovat základní image, který zase tato data vrátil zpět), který využíval celý dostupný prostor. Při migraci na ath79 tento fat image zrušili, a nějakou dobu uměli využívat jen ty dvě třetiny flashe, což u verze 22 už znamenalo, že mi ani poměrně osekaná verze nenaběhla (image se vešel, ale zbylo málo místo na "overlay" s přepisovatelnými daty). V pozdějším vydání verze 22 pak zavedli virtuální oddíl, který slučuje části flash před a za kalibračními daty, takže je místa zase dost.
Re: Nejlepší router? Ten s OpenWRT !
Proč ne? Ale vzhledem ke svým šedinám jsem rád, že jakžtakž zvládnu RouterOS na mikrotiku. Ten má ostatně balíček wireguard VPN též k dispozici, ale mě je na prd, jelikož nemám veřejnou IP. Místo toho používám Zerotier, který v bezplatné verzi pro mé víc než skromné potřeby stačí.
Nicméně pro toho, kdo vládne linuxem, je OpenWRT jistě dobrá volba.
Nicméně pro toho, kdo vládne linuxem, je OpenWRT jistě dobrá volba.
- xsouku04
- Administrátor
- Příspěvky: 8384
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Nejlepší router? Ten s OpenWRT !
Děkuji za tip na Zerotier. Vypadá to, že řeší problémy běžného uživatele, který často nemá ani jednu stabilní veřejnou ip adresu, navíc nastavení více zařízení se zdá být jednodušší než třeba u wireguard a ještě ke všemu naprostá většina provozu jde tou nejpřímější cestou přímo mezi zařízeními, která spolu komunikují.jaara píše: ↑ned 10. bře 2024 7:36:44 Proč ne? Ale vzhledem ke svým šedinám jsem rád, že jakžtakž zvládnu RouterOS na mikrotiku. Ten má ostatně balíček wireguard VPN též k dispozici, ale mě je na prd, jelikož nemám veřejnou IP. Místo toho používám Zerotier, který v bezplatné verzi pro mé víc než skromné potřeby stačí.
Nicméně pro toho, kdo vládne linuxem, je OpenWRT jistě dobrá volba.
OpenWRT má také podporu, protože Zerotier je opensource. https://openwrt.org/docs/guide-user/ser ... n/zerotier
Věřím, že nastavení OpenWRT je ve skutečnosti dost možná jednodušší než mikrotiku, ale samozřejmě jde o to, kdo co ovládá.
A OpenWRT má problém s hardwarem, které se špatně shání a ne každé hardware může umět vše bezproblémově. Bohužel také OpenWRT nejspíše nemá tolik uživatelů.
- xsouku04
- Administrátor
- Příspěvky: 8384
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Nejlepší router? Ten s OpenWRT !
Předchozích několik dní jsem strávil nastavováním openWRT routerů. A jsem nadšen. Přijde mi, že je to prostě geniální.
Umí to prostě vše, co umí Linux, ale velmi přístupným způsobem to lze prostě jen naklikat na webu jako u běžného routeru.
Nastavení, které se provede na webu, se uloží do přehledných souborů /etc/config . Např /etc/config/network je nastavení sítě /etc/config/firewall firewall atd. Tyto soubory je možné kopírovat, nebo i ručně editovat.
Po aplikování změn se tato konfigurace převede do konfigurace jednotlivých programů a nástrojů v Linuxu. Tedy např. se vytvoří pravidla pro nft firewall a routovací pravidla a forwardování portů se aplikují. Protože se v podstatě jedná o Linux, toto nastavení si mohu prohlédnout libovolným linuxovým nástrojem a v případě zájmu, si nastavení i přenést na jakýkoli jiný Linuxový stroj.
Pokud by se náhodou stalo, že zrovna požadovaná funkcionalita není pokryta, je možné nastavení provést i jiným způsobem jak je v Linuxu obvyklé.
Když to shrnu, tak s openWRT se dá pracovat jako s běžným routerem i jako Linuxovým počítačem zároveň. Tedy má výhody obojího. To co se naučím s opěnWRT, lze použít i v samotném Linuxu. A obráceně, dovednosti z Linuxu lze používat v OpenWRT také.
Pořídil jsem nyní router asus-rt-ax53u na který šel nahrát OpenWRT bez problému.
A co se mi tedy podařilo nastavit?
U OpenWRT s veřejnou ip adresou.
U OpenWRT s neveřejnou ip adresou
Umí to prostě vše, co umí Linux, ale velmi přístupným způsobem to lze prostě jen naklikat na webu jako u běžného routeru.
Nastavení, které se provede na webu, se uloží do přehledných souborů /etc/config . Např /etc/config/network je nastavení sítě /etc/config/firewall firewall atd. Tyto soubory je možné kopírovat, nebo i ručně editovat.
Po aplikování změn se tato konfigurace převede do konfigurace jednotlivých programů a nástrojů v Linuxu. Tedy např. se vytvoří pravidla pro nft firewall a routovací pravidla a forwardování portů se aplikují. Protože se v podstatě jedná o Linux, toto nastavení si mohu prohlédnout libovolným linuxovým nástrojem a v případě zájmu, si nastavení i přenést na jakýkoli jiný Linuxový stroj.
Pokud by se náhodou stalo, že zrovna požadovaná funkcionalita není pokryta, je možné nastavení provést i jiným způsobem jak je v Linuxu obvyklé.
Když to shrnu, tak s openWRT se dá pracovat jako s běžným routerem i jako Linuxovým počítačem zároveň. Tedy má výhody obojího. To co se naučím s opěnWRT, lze použít i v samotném Linuxu. A obráceně, dovednosti z Linuxu lze používat v OpenWRT také.
Pořídil jsem nyní router asus-rt-ax53u na který šel nahrát OpenWRT bez problému.
A co se mi tedy podařilo nastavit?
U OpenWRT s veřejnou ip adresou.
- Přístup z internetu na router a na přesměrované porty jen z white listovaných ip rozsahů. (je to pomocí jediného ipset - tedy je to vše přehledně jen na jediném místě)
- Wireguard server i client zároveň. Možnost dostat se na lokální ip adresy odkudkoli přes wireguard.
- Dohromady se službou https://freedns.afraid.org/ (zdarma), subdoména, která vždy směruje na veřejnou ip adresu routeru. (dynDNS). Lze to na openwrt naklikat.
- Pevné ip adresy všem důležitým zařízením včetně vlastního jména hostname, aby bylo jasné, co je připojeno a co má jakou ip adresu.
U OpenWRT s neveřejnou ip adresou
- Wireguard client. Pomocí wireguard mohu komunikovat neveřejné adresy mezi sebou na různých místech.
- Dohromady se službou https://freedns.afraid.org/, subdoména, která vždy směruje na veřejnou ip adresu routeru poskytovatele internetu. (dynDNS). Je to tak proto,a by tahle ip adresa (doména) mohla mít povolen přístup na jiných firewallech a mohla se tak relativně bez práce v čase měnit.
- Pevné ip adresy všem důležitým zařízením včetně vlastního jména hostname, aby bylo jasné, co je připojeno a co má jakou ip adresu.