Lo último:
Noticias

Qué es DD-WRT y cómo instalarlo en routers compatibles

Gustavo Genez

DD-WRT es un firmware basado en Linux que nos permite disponer de cientos de opciones de configuración avanzadas cuando lo instalamos en un router. Si necesitas tener en tu router opciones avanzadas como configurar VLANs, redes WiFi de invitados, servidor VPN con configuraciones avanzadas, autenticar a los clientes WiFi a través del servidor RADIUS integrado, y muchas otras posibilidades, entonces deberías instalar el firmware DD-WRT para exprimir al máximo tu router. Hoy en RedesZone os vamos a explicar todo lo que debes saber sobre este firmware basado en Linux.

Qué es DD-WRT

Todos los routers domésticos y profesionales incorporan un firmware, es su sistema operativo para funcionar correctamente. Algunos fabricantes disponen de firmwares con muy pocas opciones de configuración y personalización, esto hace que muchos usuarios se sientan limitados en funcionalidades software. Algunos fabricantes que tienen firmwares muy avanzados en sus routers son ASUS con Asuswrt, AVM FRITZ! con su sistema operativo FRITZ!OS, y también Synology con su sistema operativo SRM. Lamentablemente, no todos los fabricantes incorporan a sus routers una gran cantidad de funcionalidades, ideal para exprimir al máximo el hardware del equipo.

En aquellos routers que no tienen un buen firmware, con decenas de opciones de configuración, podrás instalarle el firmware DD-WRT para disponer de todas las opciones avanzadas que te imagines. No obstante, la parte negativa es que no todos los routers son compatibles con DD-WRT, ya sea porque el equipo de desarrollo no se ha centrado en ellos, o porque simplemente su hardware no es compatible al tener binarios privados. Por tanto, DD-WRT es un firmware muy completo y avanzado, que no siempre es compatible con todos los routers, de hecho, es muy recomendable que si quieres utilizar DD-WRT, compres un router que aparezca en el listado de routers compatibles para no tener problemas inesperados.

Para qué sirve este firmware basado en Linux

El firmware DD-WRT nos va a servir para «desbloquear» una gran cantidad de funcionalidades en nuestro router. El firmware tiene las mismas opciones de configuración avanzadas en todos los routers compatibles, o al menos, casi las mismas opciones, porque dependiendo del hardware, tendremos unas funcionalidades u otras. Este firmware nos va a servir para tener el máximo rendimiento en la red local, ya sea cableada o WiFi, también dispondremos de funcionalidades muy avanzadas como QoS, servidores VPN, servidor RADIUS para la autenticación de clientes, e incluso podremos instalar un cliente de BitTorrent. Dependiendo del hardware del router, podremos instalar una mayor cantidad de servicios para exprimirlo al máximo, aunque si el hardware es de gama media, entonces es mejor que no uses software adicional como el cliente de BitTorrent porque necesita grandes recursos de CPU y RAM en el router.

Principales características del firmware DD-WRT

Este firmware dispone de una grandísima cantidad de opciones de configuración avanzadas que se pueden configurar a través de la interfaz gráfica de usuario, pero también debemos tener en cuenta, que muchas de las opciones más avanzadas deben ejecutarse a través de la línea de comandos vía SSH, e incluso podremos programar nuestros propios scripts para automatizar diferentes acciones al inicio.

Este firmware dispone de la posibilidad de configurar la WAN de manera avanzada, configurando VLANs de cara a la WAN para ser compatible con los principales operadores de FTTH en España, también nos permite configurar VLAN por puerto e incluso la triple VLAN de Movistar FTTH, pero todo ello de forma «manual». El firmware lo soporta, pero debemos configurarlo internamente con scripts porque no tenemos un perfil Movistar como tal. El firmware nos permite configurar cualquier tipo de conexión, permite poner los servidores DNS que queramos, e incluso podremos configurar la LAN con VLANs para segmentar correctamente la red local doméstica o profesional. Por supuesto, este router es compatible con redes IPv6, incorpora una gran cantidad de servicios DDNS compatibles para darlo de alta, posibilidad de clonar la MAC para la WAN de Internet e incluso configurar de manera avanzada el router.

Los routers con DD-WRT, pueden configurarse como gateway, pero también como router con protocolos de routing IGP y también EGP, en concreto, soporta tanto RIPv2 y OSPF como BGP, todo ello de forma muy avanzada ya que entramos de lleno en el routing. También podremos configurar puentes o bridge entre diferentes conexiones, realizar bonding de interfaces y mucho más.

En la sección de wireless podremos configurar un SSID por cada banda de frecuencias (principal), pero luego podremos configurar otros SSID de manera adicional con interfaces virtuales, además, podremos crear un SSID en una subred específica para aislar a los clientes inalámbricos. Por supuesto, podremos modificar la seguridad inalámbrica, anchos de canal, y muchas otras opciones típicas. Lo más interesante de la parte WiFi, es que podremos configurar WPA2-Enterprise, donde podamos autenticar los clientes inalámbricos en un servidor FreeRADIUS, este router incorpora un servidor FreeRADIUS, por lo que no tendremos que instalar un RADIUS externo, aunque también tendríamos esta opción.

En cuanto a los diferentes servicios incorporados en este router, tenemos la posibilidad de configurar el cliente DHCP, dnsmasq, configurar el DNSSEC, el Encrypt DNS y muchas otras opciones, también tenemos el servicio de FreeRADIUS, servidor PPPoE, posibilidad de configurar servidor VPN PPTP y OpenVPN con todas las opciones de configuración avanzadas, soporta cliente OpenVPN y también SoftEthernet VPN. En cuanto al USB, disponemos de servidor de impresión, servidor FTP muy avanzado con todas las opciones de configuración que queramos, servidor Samba, servidor DLNA (Mini DLNA), cliente Transmission para BitTorrent e incluso podremos crear un RAID. Relacionado con la red WiFi, también disponemos de diferentes portales cautivos para configurarlo como nosotros queramos, además, incorpora un sistema de bloqueo de publicidad para toda la red o solamente para los equipos que queramos, e incluso dispone de un test de velocidad integrado en el router.

A nivel de seguridad, tenemos un firewall SPI basado en iptables que podremos configurar en detalle, también tenemos acceso al servidor SSH integrado en el router, reglas predefinidas para mitigar los ataques DoS que podamos recibir, e incluso VPN Passthrough. También tenemos un sistema de control parental muy avanzado, posibilidad de configurar la NAT, abrir los puertos, e incluso configurar el avanzado QoS que tenemos disponible.

A nivel de administración, este router lo podemos administrar a través de HTTP, HTTPS, Telnet y SSH, aunque siempre es recomendable administrarlo vía HTTPS o SSH que son protocolos seguros, además, tendremos la posibilidad de programar cualquier tipo de script y definir en el cron la ejecución de ellos. Por supuesto, podremos configurar el Sysctl interno del router, ejecutar comandos a través de la interfaz gráfica del router, configurar el Wake on LAN, restaurarlo a valores de fábrica, actualizar el firmware y realizar una copia de seguridad completa del router.

Instalación de DD-WRT en un router compatible

El firmware DD-WRT tiene actualmente una gran compatibilidad, tanto con routers muy antiguos, antiguos y también actuales, aunque lo normal es que tarden meses en proporcionar compatibilidad con un determinado router, esto es por tema de código fuente privado que no proporcionan los fabricantes del chipset.

Lo primero que tenemos que hacer si queremos instalar DD-WRT, es comprobar si nuestro router y revisión de hardware del router es compatible. Normalmente los fabricantes lanzan un modelo de router en concreto, y posteriormente cambian algún chipset en su interior, y tienen varias versiones de hardware para un mismo modelo de router, esto también es muy importante, porque podríamos dejar el router inservible si instalamos un firmware que no es compatible con él.

Para comprobar si nuestro router es compatible, debemos entrar en la web oficial de DD-WRT para introducir el modelo o marca de nuestro router.

Por ejemplo, si ponemos marca de router ASUS o D-Link, nos saldrán todos los modelos compatibles, y si es compatible con alguna revisión de hardware en concreto. Tal y como podéis ver, tenemos compatibilidad con una gran cantidad de routers ASUS y D-Link, aunque también tenemos otras marcas como TP-Link y más.

Dependiendo del modelo de router al que queramos instalarle DD-WRT, deberemos instalar un total de 2 firmwares, o solamente uno. Por ejemplo, en el caso del router ASUS RT-AC87U, tenemos un único firmware, tenemos que descargarlo y posteriormente cargarlo al router como si fuera el firmware oficial. En la sección de «Administración / Firmware» deberemos cargar de manera manual el firmware, y esperar unos 3 minutos hasta que esté disponible.

En el caso del router D-Link DIR-860L, debemos descargarnos los dos firmwares que nos brinda la web oficial. Primero deberemos flashear en el router el firmware llamado «factory-to-ddwrt», como si fuera un firmware normal y corriente. Una vez flasheado, tendremos un «mini» DD-WRT instalado, y una vez que tengamos acceso vía web al nuevo firmware DD-WRT, entonces es cuando ya cargaremos el firmware completo que hemos descargado.

Por tanto, dependiendo del router que nosotros tengamos, deberemos hacer una operación u otra:

  • Instalar el firmware nuevo como si fuera del propio fabricante, y ya tendremos el firmware instalado completamente.
  • Instalar un firmware «mini» como si fuera el del propio fabricante, posteriormente tendremos que instalar el firmware DD-WRT completo, y una vez hecho, entonces ya tendremos el firmware instalado completamente.

En el caso del router ASUS RT-AC87U que hemos usado nosotros, basta con irnos a la sección de «Administración / Actualización del firmware», cargar el nuevo firmware DD-WRT, esperar unos 3 minutos y después entrar en la administración vía web en http://192.168.1.1

Lo primero que nos indicará el firmware nuevo es que asignemos una nueva contraseña de admin, esto es totalmente necesario para tener la seguridad de que nadie se conecte a nuestro equipo.

Análisis del firmware completo

Para acceder al nuevo firmware, independientemente de lo que hayas configurado anteriormente en el firmware original del router, debes hacerlo vía web a través de http://192.168.1.1, posteriormente podremos cambiar la dirección IP privada de la subred principal, e incluso habilitar el protocolo HTTPS para conectarnos de manera segura. Una vez que ya estamos dentro del menú de administración del router RT-AC87U con el nuevo firmware DD-WRT, vamos a hacer un completo recorrido por todos los menús del firmware, para que veáis la cantidad de opciones disponibles que tenemos.

Inicio del firmware y cambio de clave

Lo primero que veremos cuando entramos en el firmware recién instalado, es un menú para poner una nueva contraseña de administración. Dependiendo de la contraseña que utilices, nos indicará que es una contraseña segura o débil, por tanto, sería recomendable que tuviera siempre la mejor seguridad posible.

Instalación

En el menú principal del firmware, podremos ver las nuevas mejoras que han incorporado, por ejemplo, tenemos un test de velocidad integrado en el router, y también DNScrypt para asegurarnos de que todas nuestras peticiones DNS van cifradas y autenticadas punto a punto. Justo debajo, encontraremos toda la información de nuestro router, podremos ver el modelo exacto, dirección MAC de la LAN, WAN y WiFi, así como las principales configuraciones realizadas en el router y los servicios que tenemos funcionando. También podremos ver el estado de la red WiFi, la memoria disponible y mucho más.

En la sección de «Basic Setup» es donde configuraremos la WAN de Internet, aquí tendremos que configurar la red correctamente con nuestro operador de Internet, si hace uso de VLANs, entonces tendremos que irnos a la sección de «Switch Config» para configurar un VLAN ID de cara a la WAN de Internet. También podremos activar el protocolo IPv6 con diferentes opciones de configuración, configurar el servicio DDNS con múltiples proveedores y también clonar la MAC en la WAN de Internet, o poner la MAC que nosotros queramos.

Otras opciones disponibles en «Setup» son la posibilidad de configurar el modo de operación del router, lo normal es «Gateway» pero también lo podemos configurar en modo router, e incluso configurar protocolos de enrutamiento dinámico de pasarela interior como RIP o OSPF, e incluso BGP, por tanto, tenemos amplias opciones de configuración disponibles. También podremos configurar en detalle la parte de los puertos WAN, LAN y WiFi, podremos configurar diferentes VLANs en WAN, LAN y WiFi, interconectarlas entre ellas, aislarlas o lo que nosotros queramos. Es posible que con alguna opción muy específica tengamos que editar ficheros internos del firmware, pero para la gran mayoría de configuraciones, a través de la interfaz gráfica de usuario podremos hacerlo.

También podremos dar de alta nuevas VLANs, crear puentes y configurar el Spanning-Tree Protocol, configurar un bonding y más, por último, podremos configurar túneles VPN, con Mikrotik y con el protocolo WireGuard. Esto nos permitirá interconectar diferentes routers para tener VPN Site-to-Site.

Wireless

En la sección de Wi-Fi podremos configurar las dos bandas de frecuencias WiFi, si es que estamos usando un router doble banda simultánea. En este menú podremos configurar todos los parámetros siguientes:

  • Modo de funcionamiento WiFi: soporta AP y también WDS, y WDS+AP
  • Nombre de la red WiFi SSID
  • Canal utilizado
  • Ancho de canal
  • Ocultar o mostrar el WiFi
  • Configurar Beamforming, Airtime Fairness
  • Multiple-SSID

También podremos configurar el RADIUS, ya sea interno o externo, también podremos configurar cualquier protocolo de seguridad WiFi, habilitar el filtrado MAC, configurar las redes WiFi de 2.4GHz y 5GHz de manera avanzada con parámetros muy específicos, posibilidad de configurar WDS en ambas bandas, e incluso configurar un determinado SSID para una determinada VLAN que hayamos creado anteriormente.

Servicios

Lo más interesante de este router en cuanto a servicios, es la posibilidad de configurar un servidor DNS para los clientes, donde tengamos, además, DNS cifrado y privado con algún proveedor como Cloudflare. También podremos configurar un servidor RADIUS interno en el router, gracias a FreeRADIUS, de esta forma, podremos autenticar a los clientes inalámbricos con usuario y contraseña y con protocolos más seguros que la típica clave precompartida. También tenemos un servidor PPPoE, para proporcionar nosotros conectividad a algún cliente PPPoE.

Este router dispone de servidor VPN de tipo PPTP (no es seguro) y también OpenVPN con todas las opciones de configuración avanzadas, en cuanto a los clientes VPN, tenemos también OpenVPN y SoftEther VPN.

Si nuestro router tiene puerto USB, vamos a disponer de los siguientes servicios para exprimirlo al máximo:

  • Servidor Samba
  • Servidor FTP
  • Servidor de medios DLNA con miniDLNA
  • Servidor de impresión
  • Cliente Transmission para BitTorrent
  • Configuraciones del propio comportamiento del disco duro en el router.

Otras funcionalidades que nos brinda DD-WRT, son los portales cautivos muy configurables, la posibilidad de tener un bloqueador de publicidad a nivel de red para que no veamos publicidad en ningún dispositivo, e incluso un test de velocidad integrado en el firmware.

Seguridad

Como no podía ser de otra manera, DD-WRT dispone de un firewall SPI gracias a iptables, podremos configurar todo lo que nosotros queramos, e incluso tenemos la posibilidad de activar los sistemas de defensa contra ataques de fuerza bruta a los servicios de SSH, Telnet, PPTP y también FTP. Por supuesto, tenemos VPN Passthrough.

Restricciones de acceso

En la sección de «Access Restrictions» podremos configurar las políticas del control parental, si queremos denegar el acceso a Internet a uno o varios PC, configurar el bloqueo de servicios etc.

NAT/QoS

En la sección de NAT podremos ver el estado de todos los puertos, abrir puertos nuevos, rango de puertos nuevos, también podremos configurar el Port Triggering, el UPnP, la DMZ, y finalmente, el QoS avanzado nos permitirá priorizar el tráfico en detalle para tener la mejor calidad de servicio.

Administración

En la sección de administración podremos configurar una contraseña de administración robusta, también podremos activar el protocolo HTTPS, servidor SSH e incluso podremos configurar el cron para ejecutar scripts cada cierto tiempo, posibilidad de configurar en detalle el sysctl, ejecutar cualquier tipo de comando, configurar el WoL, restaurar a valores de fábrica el router, actualizar el firmware y realizar una copia de seguridad de la configuración realizada.

Estado

En la sección de «Status» podremos ver el estado general de todo el router, estado de la CPU, RAM, memoria interna, temperatura del router, estado de la WAN, LAN, WiFi, ancho de banda y también el registro completo del router para detectar problemas.

Tal y como habéis visto, instalar el firmware DD-WRT en nuestro router es realmente fácil, y vamos a disponer de cientos de opciones de configuración vía web con su administración, no obstante, al estar basado en Linux, vamos a poder realizar casi cualquier configuración que te imagines.

Lo más crítico es tener un router compatible, y que nuestra versión de hardware del router también lo sea. No debemos olvidar que, al ser un firmware no oficial, es posible que algunas funciones en nuestro router no funcionen o no funcionen como se espera, aunque el equipo de desarrollo de este firmware continua con su desarrollo para mejorar las funcionalidades ya existentes, y también nuevas funcionalidades.

El artículo Qué es DD-WRT y cómo instalarlo en routers compatibles se publicó en RedesZone.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Cómo Apple revolucionó el mercado de la música, casi sin querer (y no fue con el iPod)

Gustavo Genez

Cuánto cuesta una VPN para ordenador o móvil

Gustavo Genez

Conoce estas extensiones para convertir Chrome en un proxy

Gustavo Genez