Por ser uma solução única, que oferece muitos recursos e pode ser usada em diferentes produtos (pontos de acesso, roteadores, repetidores, etc.) onde o hardware nem sempre suporta todas as funções, a interface do DD-WRT pode ser um pouco desorientante à primeira vista.
Na primeira seção, “Setup > Basic Setup” temos a configuração básica de LAN e WAN. A opção “WAN Connection Type” é válida apenas no caso dos roteadores, onde você escolheria entre o acesso via PPPoE, PPTP, DHCP simples ou IP estático, de acordo com o serviço de acesso que estiver usando.
Caso esteja configurando um ponto de acesso, sem a porta WAN, ou caso o compartilhamento já esteja sendo feito por outro roteador (ligado ao DD-WRT através de uma das portas LAN) escolha “disabled”.
A opção “Network Setup” contém a configuração do roteador dentro da rede local, com o IP, máscara, gateway e DNS para acesso à web e transmissão aos clientes caso o servidor DHCP seja ativado. Além das configurações básicas do DHCP, que fazem parte desta seção, você pode definir endereços de DHCP fixos para determinados clientes da rede na opção “Services > Services > DHCP Server > Static Leases”.
Ainda dentro da seção Setup, a aba “DDNS” permite configurar o No-IP ou outro serviço de DNS dinâmico, enquanto a “MAC Address Clone” permite que você modifique o endereço das interfaces LAW e WAN do roteador, o que pode ser útil em algumas situações, como no caso dos serviços de acesso via cabo onde o acesso é relacionado ao MAC de uma placa específica.
A configuração básica da rede Wireless vai na “Wireless > Basic Settings“. Além do modo de operação (B, G, Mixed, etc.), SSID e canal, temos uma configuração importante, a “Wireless Mode”, que determina se ele vai funcionar como um ponto de acesso, cliente, bridge ou repetidor:
Em resumo, a opção “AP“, usada por default faz com que ele se comporte como um ponto de acesso regular, associando o cliente e dando acesso à rede. A opção “Client” permite que ele se associe com um ponto de acesso já existente e compartilhe a conexão com um PC conectado via cabo na porta LAN, essencialmente servindo como um adaptador WI-Fi > Ethernet. A “Client Bridge” é similar, mas ela faz com que o PC conectado via cabo ganhe acesso direto à rede local (com um IP dentro da mesma faixa) em vez de receber um endereço em outra faixa e uma conexão compartilhada via NAT.
Similarmente, a diferença entre as opções “Repeater” e “Repeater Bridge” é que ao usar a “Repeater” ele funciona como um roteador, fornecendo endereços dentro de uma faixa diferente para os clientes conectados a ele e oferecendo acesso à rede principal via NAT, enquanto na “Repeater Bridge” temos o comportamento mais natural para um repetidor, com os clientes ganhando acesso direto à rede principal. Em ambos os casos é necessário criar uma interface virtual através da opção “Virtual Interfaces > Add”, já que o repetidor terá uma identidade dupla, com a interface principal sendo usada para acessar a rede principal e a outra para dar acesso aos clientes.
A configuração do WPA ou WEP vai na “Wireless > Wireless Security“, uma parada obrigatória, já que por padrão a rede fica aberta. Ao usar o modo cliente ou repetidor é necessário usar a mesma configuração (chaves, algoritmo, canal, etc.) que o AP principal e se conectar a ele usando a opção “Status > Wireless > Wireless Nodes > Site Survey”.
Caso você queira usar o controle de acesso dos clientes com base no endereço MAC (que é fácil de burlar, mas pode ser usado como uma segunda linha de defesa) basta ativar a opção “Use Filter” na “Wireless > MAC Filter” e adicionar os endereços.
Outra dica é que diferente dos firmwares oferecidos pela maioria dos fabricantes, o DD-RT permite ajustar a potência de transmissão, não apenas reduzindo-a (para intencionalmente reduzir o alcance da rede caso o objetivo seja aumentar a segurança) quanto aumentá-la para até 251 mW, indo muito além dos 56 ou 63 mW usados por padrão na maioria dos aparelhos. Para isso, basta alterar a opção “TX Power” na seção “Wireless > Advanced Settings“:
Uma observação importante é que aumentar a potência de transmissão fará com que o roteador aqueça mais do que o normal. Como a maioria já tem uma ventilação muito precária, isso pode logo se tornar um problema. Ao usar um valor muito acima do padrão é recomendável deixar o roteador aberto, ou improvisar a instalação de um exaustor sobre um buraco na tampa. Assim como no caso de um PC, reduzir a temperatura de funcionamento faz com que o roteador funcione de forma mais estável e estende sua vida útil.
Outra opção que pode ser útil é a “Afterburner” que está logo abaixo. Como bem sabemos, o Afterburner (também conhecido como SpeedBooster, SuperSpeed, G Plus, Turbo G, Xpress e 125HSM) consiste em um conjunto de otimizações desenvolvidas pelas Broadcom para melhorar o desempenho das redes 802.11g, concorrendo com o Super G da Atheros. Ele é suportado pela grande maioria dos aparelhos baseados em chipsets Broadcom e pode ser ativado (se o hardware permitir) em qualquer aparelho com o DD-WRT, mesmo que a função não seja suportada pelo fabricante.
O Afterburner oferece até 125 megabits de taxa bruta de transmissão, mais do que dobrando a taxa padrão do 802.11g. A grande limitação é que ele só funciona bem em conjunto com clientes que também suportam o recurso (no Windows procure pela opção “Afterburner” nas propriedades do adaptador wireless) e estão recebendo um sinal forte. Clientes 802.11b bem como os 802.11g que não suportam o recurso continuam sendo atendidos, mas o desempenho acaba sendo inferior que seria caso o Afterburner esteja ativo. Ou seja, ele é uma faca de dois gumes.
O DD-WRT oferece um firewall bastante robusto, o SPI, que pode ser ativado na “Security > Firewall”, juntamente com as opções para bloquear ActiveX, Java ou o uso de proxys por parte dos clientes da rede e de pings e outras requisições por parte de hosts da Internet.
Outras restrições de acesso podem ser definidas na “Access Restrictions > WAN Access”, onde você pode criar regras de acesso sofisticadas com base no horário, endereços IPs e URLs, bem como bloquear o acesso a determinados protocolos e serviços, juntamente com uma opção bastante interessante, que permite bloquear todos (ou pelo menos a grande maioria) dos protocolos P2P, permitindo bloqueá-los em definitivo ou em determinados horários para evitar o congestionamento da rede:
Previsivelmente, a seção “NAT/QoS” concentra as opções relacionadas ao encaminhamento de portas ou faixas de portas, DMZ e QoS, bem como UPnP. A configuração do Port Forwarding é bem similar ao que temos nos sistemas comerciais, bastando indicar a porta de início e de fim da faixa (para encaminhar uma única porta basta repetir o mesmo número), o protocolo (TCP, UDP ou ambos) e o host da rede local que receberá as requisições:
A opção Port Triggering permite criar redirecionamentos dinâmicos, baseados em portas de saída. Por exemplo, quando um cliente ICQ precisa transferir arquivos, ele envia uma requisição na porta 5190 (saída) e espera receber uma requisição do servidor remoto em uma porta na faixa 4117 a 4443. Para que as transferências funcionem, você criaria uma regra com as porta “5190” nas duas opções da “Triggered Port Range” (já que trata-se de uma única porta, e não de uma faixa) e as portas “4117” e “4443” na “Forwarded Port Range”. Com isso, sempre que um cliente envia requisições na porta 5190, ele recebe o encaminhamento das portas necessárias automaticamente, sendo que o encaminhamento é alterado dinamicamente para apontar sempre para o último cliente. Isso permite que diferentes clientes da rede compartilhem as portas usadas pelo recurso sem que você precise criar regras separadas para cada um.
Hoje em dia, poucos aplicativos ainda utilizam o Port Triggering, pois a maioria migrou para o uso do UPnP ou de outros métodos de transferência que não dependem do encaminhamento de portas. De qualquer forma, o Port Triggering ainda poe ser útil em muitas situações.
Uma observação é que as regras criadas por aplicativos UPnP podem subscrever os encaminhamentos estáticos, por isso se algum encaminhamento importante passar a funcionar de forma errática, a primeira coisa a se testar é desativar o UPnP.
Diferente do que costumamos encontrar nas interfaces de configuração de routers low-end, as opções de QoS do DD-WRT são bastante robustas, incluindo uma lista de serviços pré-configurados, o que o dispensa de criar as regras manualmente com as faixas de portas de cada um.
Definindo prioridades mais baixas para protocolos P2P como o bittorrent, e de protocolos de transferência de arquivos, como o FTP, e prioridades altas para clientes VoIP, jogos multiplayer e requisições DNS, você pode melhorar bastante as condições de acesso em redes congestionadas, sem precisar realmente bloquear nenhum serviço:
A prioridade “Bulk” é a mais baixa, enquanto a “Premium” é a mais alta. Ao usar o QoS é importante configurar as opções “Uplink” e “Downlink” com 85% da velocidade (real) da conexão, permitindo que o QoS tenha espaço para fazer seu trabalho. Veremos mais detalhes sobre o uso do QoS mais adiante.
O DD-WRT inclui também funções para criar hotspots, mostrando uma página inicial ou mesmo implementando um sistema de autenticação e cobrança. A versão micro inclui apenas o módulo do Sputnik, um serviço comercial, onde a autenticação e outras funções são gerenciadas por um servidor remoto e você precisa apenas criar sua conta no serviço. Entretanto, as versões maiores possuem mais opções e existem também módulos adicionais instaláveis.
Uma boa opção é o ChiliSpot, que oferece uma solução bastante completa para exibir uma tela inicial, contrato de acesso, anúncios, cobrança e restrições de acesso para limitar o uso de banda, tempo de acesso, etc. O ChiliSpot funciona em conjunto com um portal web (a página inicial com as funções de autenticação, anúncios, etc.) e um servidor Radius que se encarrega das funções de autenticação. Você pode tanto configurar estes serviços você mesmo, quanto utilizar um CSP (um provedor de serviços) que gerencia as funções de autenticação e pagamento para você. Existem tanto opções gratuitas, quanto soluções comerciais, na maioria dos casos baseadas na divisão da receita dos clientes pagantes.
Concluindo, o DD-WRT oferece também uma interface de linha de comando, que é usada principalmente para criar regras de firewall personalizadas. Assim como em qualquer distribuição Linux, é usado o Iptables, garantindo uma boa flexibilidade. A interface é acessada via Telnet (nas versões maiores do DD-WRT é possível usar também o SSH). Ao logar, o login é sempre “root” (mesmo que você tenha escolhido outro nome na interface de administração) e a senha é a mesma usada para acessar a interface web. Para ver os recursos suportados pelo router, por exemplo (Afterburner, etc.), use o comando “wl cap“:
Nos roteadores com apenas 2 ou 4 MB de memória Flash, praticamente todo o espaço é consumido pela própria imagem do sistema, não deixando margem para instalar pacotes adicionais. Entretanto, nos roteadores com 8 MB de memória, é possível usar o excedente para instalar pacotes adicionais para extender a funcionalidade do roteador. Caso ele ofereça uma porta USB, as possibilidades se multiplicam, já que você pode também atachar uma unidade de armazenamento (HD ou pendrive) e usar o espaço de diversas formas.
Nos roteadores que oferecem uma porta USB, você pode expandir bastante as funções suportadas através dos Pacotes Optware (https://www.hardware.com.br/livros/redes/familiarizando-com-wrt.html) e de uma unidade de armazenamento (pendrive ou HD) plugado na porta. Você pode criar compartilhamentos de rede com o Samba (ou NFS), transformando o roteador em um servidor de arquivos, baixar torrents usando o próprio roteador ou mesmo transformá-lo em um servidor SIP com o Asterisk.
Veja também
Sobre o Autor
Deixe seu comentário