Turris Omnia – router na doma

Router je datovými dveřmi do většiny domácností. Zabezpečení opravdových dveří do domu či bytu podceňuje jen málokdo, ale nenápadná krabička oddělující datový svět doma a venku bývá často opomíjena.

Router Turris Omnia je jedním z výsledků neziskového výzkumného projektu sdružení CZ.NIC, z. s. p. o., správce české národní domény .CZ. Krabička nese nápis Made in Czech Republic, což platí o konstrukci, finálním sestavení a zejména softwaru, a to se počítá, jak ví například v Indii, kam v roce 2010 zakázali dovážet aktivní prvky síťové infrastruktury pocházející z Číny. Důvodem byla obava ze skryté funkčnosti zařízení, kterou by mohli využívat čínské tajné služby ke špionáži.

Turris Omnia bylo možné od podzimu 2015 zakoupit na Indiegogo. Celá řada jedinečných vlastností tohoto zařízení z něj dělá ideální náhradu východoasijské „krabičky“ zapomenuté pod pracovním stolem.

Co všechno umí, se dá zjistit na webu. Tady přidám postřehy z reálného provozu.

Prvotní nastavení je přímočaré a za pár minut je připojení k internetu připravené. Návod od tvůrců je zde.

Operační systéme routeru je založený na linuxové distribuci OpenWrt. K nastavení parametrů zařízení má uživatel v zásadě 3 cesty:
  1. do internetového prohlížeče zadá IP adresu routeru (výchozí https://192.168.1.1);
  2. do internetového prohlížeče zadá IP adresu webového rozhraní LuCI (sjednoceného rozhraní pro konfiguraci – https://192.168.1.1/cgi-bin/luci);
  3. použije klienta SSH a přihlásí se do systému vzdáleně (na Windows lze použít např. klienta PuTTy).

SSH

Poslední zmiňovaná cesta po vybalení z krabice bohužel nefunguje. Snadné řešení: stiskem tlačítka Reset obnovit tovární nastavení. Dalším z možných řešení je použít LuCI. Je třeba smazat předinstalované soubory s klíči a restartovat OpenSSH Daemon sshd.

Nabídka System>Custom Commands, Configure:

rm /etc/ssh/ssh_host_dsa_key /etc/ssh/ssh_host_dsa_key.pub /etc/ssh/ssh_host_ecdsa_key /etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ed25519_key /etc/ssh/ssh_host_ed25519_key.pub /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_rsa_key.pub

/etc/init.d/sshd start

Přihlášení je pak funkční.

WiFi jen přes den

Router má zepředu jedno tlačítko přednastavené pro nastavení jasu kontrolek. Chybí bohužel ruční přepínač WiFi. Automatické vypínání WiFi na noc je možné zařídit úpravou tabulky automatizovaného spouštění úloh démonem Cron.

root@turris:~# export EDITOR=vim
root@turris:~# crontab -e

dopsat řádky, které zařídí vypnutí WiFi v 23.00 a zapnutí v 6.00…

00 23 * * * wifi down
00 6 * * * wifi up

ukončit s uložením: ESC, Shift+Z, Shift+Z (pozor na českou klávesnici)

root@turris:~# /etc/init.d/cron enable

pro kontrolu…

root@turris:~# crontab -l

Dětské zařízení smí na síť jen někdy

Do pravidel firewallu přidáme jedno, které nastaví dostupnost routeru jen ve vymezené čase. Definujeme čas, ve kterém bude internet nedostupný.

iptables -I forwarding_rule -m comment --comment "V noci detsky mobil spi" -p tcp -m mac --mac-source aa:bb:cc:dd:ee:ff -m time --kerneltz --timestart 20:00 --timestop 06:30 -j DROP

Rodičovská kontrola

Nástroj pro jednoduché nastavení filtrování webových stránek zatím k dispozici není, ale díky flexibilnímu operačnímu systému routeru a službě patřící firmě Cisco, OpenDNS, lze chybějící funkčnost částečně nahradit.

Nejprve je třeba zřídit účet na OpenDNS a nastavit, který obsah si nepřejete zpřístupnit.

Z konzoly routeru se upraví nastavení DHCP a DNS serveru Dnsmasq tak, aby všechna zařízení přistupující přes router k internetu měla filtrovaný obsah s explicitně uvedenými výjimkami.

root@turris:~# vi /etc/config/dhcp

V části

config dhcp 'lan'

se přepíší přidělované adresy DNS serverů na servery OpenDNS:

list dhcp_option '6,208.67.222.222,208.67.220.220'

Pro výjimky se připraví adresa DNS serveru bez filtrování:

config tag 'adult'
list dhcp_option '6,192.168.1.1'

…a nastaví se DHCP záznam počítače, který obdrží adresu DNS bez filtrování:

config host
option name 'franta'
option mac '11:AA:22:BB:33:CC'
option ip '192.168.2.2'
option tag 'adult'

Editor se opustí s uložením: ESC, Shift+Z, Shift+Z (pozor na českou klávesnici)

Nutný je restart serveru:

root@turris:~# /etc/init.d/dnsmasq restart

A na PC s Windows restart nebo obnova přidělených adres:

C:\>ipconfig /renew

Při pokusu o návštěvu nepovolené webové stránky prohlížeč zobrazí:

Blokování reklam na všech zařízeních

Na serveru Nick Busey vyšel článek popisující instalaci Pi-hole, opensourcového nástroje, který zajistí blokování reklam na všech zařízeních v domácí síti.

Je také možné využít DNS resolver Knot a jeho RPZ. Postup krok za krokem je na fóru turris.cz.

přispět:
Turris Omnia