due chiacchiere

DD-WRT: rendi il tuo router open source

Da quando le figlie hanno iniziato ad utilizzare la rete casalinga sui propri cellulari in maniera più costante, è sorta la necessità di trovare un modo per limitare l’uso del WiFi, ad esempio spegnendolo dopo una certa ora la sera, e solo in certi orari nel fine settimana. Così mi son deciso a prendere un router per sostituire quello che una decina d’anni fa la compagnia che ci fornisce il servizio internet ci aveva generosamente regalato. Un router che aveva giusto lo stretto indispensabile per navigare in rete. Dopo aver installato quello nuovo, mi è sembrato di rivivere l’esperienza di quando sono passato da Tophost a Supporthost: abituato all’interfaccia spartana di quello vecchio, tutte le funzioni del nuovo TP-Link Archer A7 (AC1750) mi sembravano manna dal cielo. Dopo un anno di utilizzo, devo dire di essere pienamente soddisfatto delle capacità di questa piccola scatoletta economica.

Il modem Archer A7

Come al solito, mi sono divertito ad esplorare le varie funzioni, come ad esempio la possibilità di associare un determinato indirizzo IP all’indirizzo MAC del dispositivo in questione, così da poter poi creare filtri vari per limitare l’uso di internet in maniera quasi chirurgica. Ricordando quello che aveva fatto in ufficio uno dei sistemisti che ho incontrato durante la mia carriera professionale, ho segmentato la rete locale per raggruppare i tanti dispositivi che abbiamo in casa in base a varie categorie: così ad esempio gli altoparlanti intelligenti (ognuno ha il suo Google speaker in camera) avranno un indirizzo IP nella sottorete 192.168.0.20-40, televisioni e Firestick avranno da 40 a 60 come ultima cifra, computer e console dei videogiochi da 60 a 80 e via dicendo. Nulla di sconvolgente, ma un modo per rendermi più facile la vita da apprendista sistemista di rete.

Una funzione che il software della TP-Link non forniva era la possibilità di impostare una connessione VPN a livello del router, così che tutti i dispositivi casalinghi fossero magicamente protetti da occhi indiscreti, senza dover installare l’apposita app su ognuno di essi. Cerca che ti ricerca, ho scoperto l’esistenza di firmware alternativi che girano sull’hardware del router. Un po’ come quando sul proprio PC si installa Linux invece che Windows, o sul proprio cellulare Android si mette una ROM di terze parti anziché il sistema operativo del produttore del telefono. Questo sistema open source si chiama DD-WRT, ed è stato declinato in una lunghissima lista di combinazioni, per adattarsi ai tantissimi router che esistono sul mercato, incluso il mio Archer A7. DD-WRT implementa la funzione di VPN client che stavo cercando, e così un pomeriggio mi son messo al lavoro per effettuare l’aggiornamento. Se già il software TP-Link mi sembrava molto buono, devo dire che DD-WRT ha superato le mie più rosee aspettative.

Dato che il mio router ha un processore un po’ vecchietto che va a soli 775 Mhz, mi sono reso conto che il client OpenVPN era troppo pesante, dovendosi occupare della cifratura dei dati in entrata ed uscita e quindi appesantendo parecchio il lavoro della CPU. Ma secondo te potevo gettare la spugna al primo ostacolo? Così ho scoperto che oggi esiste un’alternativa ben più leggera, chiamata Wireguard, che usa algoritmi di cifratura più snelli e performanti. Se con OpenVPN riuscivo ad ottenere una velocità di 10 Mbps (sui 300 gentilmente concessi dalla fibra che ci arriva a casa), con Wireguard riesco ad andare a circa 80 Mbps. Che sono più che sufficienti per l’uso quotidiano familiare, con il beneficio di essere tutti protetti dietro una VPN. E se proprio dovesse servirmi tutta la potenza originale, mi basta un click per spegnere la VPN sul router ed andare diretto.

Ed allora ho deciso di scrivere una miniserie per condividere il risultato delle acrobazie che ho dovuto fare con NordVPN per configurare il loro servizio Wireguard sul mio router, dato che non forniscono una guida passo passo. Anche per riferimento personale, nel caso mi servisse dover riconfigurare tutto da capo. Come direbbero gli americani, stay tuned.

Commenti

  1. Giovanni ha scritto:

    Sei una fonte piena di tante cose belle per internet. io invece uso un……..TP-LINK M7650 600Mbps Dual Band Router Portatile 4G.

    Mi trovo bene per il momneto, ma è solo questione di poco tempo che cambierò …………. Ti chiederò “lumi”
    Ti ringrazio in anticipo.
    Il tuo post inglese(che non parlo) non l’ho commentato …….io buon fine settimana o inizio settimana lo dico in lingua italiana ……………….. magari in modo sgrammaticato sorrido e ti saluto.

    Risposte al commento di Giovanni

    1. camu ha scritto:

      Quindi immagino tu non abbia una connessione tramite doppino telefonico, a casa? Interessante. Comunque si, se hai bisogno di qualche dritta, sebbene io non sia un esperto in materia, posso darti una mano…

      Risposte al commento di camu

      1. Trap ha scritto:

        Ho visto gente che abitando in campagna (dove non arriva la fibra) ha installato alle mura di casa all’esterno delle antenne 4g. La ricezione non è niente male, vanno anche a più di 40 mbps.

        Risposte al commento di Trap
        1. camu ha scritto:

          Si, anche i miei genitori in Sicilia non hanno più una linea fissa a quanto pare, ma usano la cosiddetta “saponetta” della Vodafone per telefono ed internet. Qui nel New Jersey non è molto diffuso, ma suppongo che nelle zone più rurali dell’America sia la stessa cosa. Certo, 40 mbps non è niente male.

          Risposte al commento di camu
          1. Trap ha scritto:

            In realtà io parlavo di queste.

            Hanno prestazioni nettamente superiori alla semplice saponetta, vanno usati con router appositi 4G. Ottimi in campagna e soprattutto nelle case che hanno mura spesse (immagino che negli USA non esistano…)

            Risposte al commento di Trap
            1. camu ha scritto:

              Si qui le case sono in legno e cartongesso (non ho mai capito veramente perché, ma tant’è…) o metallo negli stati dove il clima è più estremo (uragani, deserto, ecc). Interessante quest’antenna, una tecnologia che non conoscevo.

  2. Emanuele ha scritto:

    Con questo post mi hai riportato indietro di un ventennio. Davvero non conoscevi DD-WRT? Ne parlai più volte oltre 15 anni fa! Per anni fu un fedele e apprezzato compagno del mio network. Da anni ho complicato le cose un pelino di più: EdgeRouter che fa solo da Firewall/DNS/DHCP/VPN server (è praticamente una macchina debian da configurare via SSH) e UniFI quale controller esterno per gli AP (il controller in realtà è virtualizzato in una jail sul mio fido server FreeBSD).
    Ciao,
    Emanuele

    Risposte al commento di Emanuele

    1. camu ha scritto:

      Non sono mai stato un bravo sistemista, lo ammetto. Mi piacerebbe saperne di più sul perché del tuo passaggio ad EdgeRouter (a parte le prestazioni, di cui parli nel tuo post), e di come l’hai configurato, ma immagino dipenda dalle tue esigenze specifiche. A me non serve collegarmi al computer di casa da fuori tramite VPN casalinga, ed il firewall di DD-WRT mi sembra sufficiente a tenere a bada possibili intrusi, ma se hai tempo e vuoi farne un articolo, lo leggerò volentieri 🙂

      Risposte al commento di camu

      1. Emanuele ha scritto:

        Le ragioni sono varie: ho casa su più piani e non mi piaceva l’idea di installare dei repeater (inevitabilmente il segnale degrada), così avendo cablato casa volevo un sistema di AP che potesse scalare: i miei access point sono delle antenne che demandano le logiche più evolute al controller. In questo modo è possibile fare roaming tra un AP e l’altro con maggiore stabilità. Inoltre per via della domotica ho decine di device collegati in wifi (in questo momento ci sono poco meno di 70 dispositivi) e un AP di fascia bassa inizia ad arrancare quando il numero di dispositivi aumenta. I miei due AP (forse un giorno diventeranno tre) supportano circa 250 dispositivi ognuno: è chiaramente sovra-dimensionata ma almeno la stabilità delle connessioni è l’ultimo dei problemi. Le antenne infine sono collegate in PoE il cui vantaggio non è il cavo in meno (anche) quanto la possibilità di centralizzare l’alimentazione e metter tutto sotto UPS. Grazie a due UPS il mio NAS, il mio router e la mia wifi non cadono quando salta la luce (così posso ricevere le notifiche anche dell’assenza di tensione).
        L’EdgeRouter è collegato al router (Fastweb al momento) e fa come ti dicevo da ponte tra l’esterno e l’interno oltre ad essere il server DNS dei servizi di casa (non mi serve ricordare gli IP, per intenderci, la stampante la raggiungo con stampante.casa.local). Il router Fastweb fa il minimo indispensabile: tutti i suoi servizi sono disattivati (anche il firewall) e fa solo da modem per la connessione. Firewall e VPN sono gestiti dall’EdgeRouter: per ragioni di sicurezza non amo esporre i servizi su internet così tutti i servizi di casa passano attraverso la mia VPN.
        A proposito di VPN: leggevo che hai configurato NordVPN direttamente sul router. Ho avuto un brivido: sei sicuro di voler regalare tutto il traffico a questo attore così borderline? 🙂
        Ciao,
        Emanuele

        Risposte al commento di Emanuele
        1. camu ha scritto:

          Approccio molto interessante, specialmente la parte dell’UPS per portare corrente a dispositivi tramite PoE, a cui non avevo mai pensato. La mia rete casalinga non è così articolata (io arrivo si e no ad una 30ina di dispositivi in tutto) ed uso le scatolette EoP (ethernet over power) della TP-Link per far giungere il segnale ai vari dispositivi lontani dal wifi del router, che sta in garage dove arriva la fibra. Un modo “artigianale” di cablare la casa senza rompere i muri. Ma la tua configurazione è davvero invidiabile 🙂

          Riguardo a NordVPN, sapevo che avresti citato il problema della privacy. Si, a volte ci penso anch’io, ma ho provato varie alternative, e questa mi sembra al momento quella con la performance migliore. Io alla mia privacy ho rinunciato tanto tempo fa: sono convinto sia una battaglia troppo complessa, che non ho la pazienza di combattere.

Lascia un commento

Torna in cima alla pagina