OpenWRT su Hardware x86: Guida Completa alla Configurazione Base di un potente Router

Installare OpenWRT su hardware x86 ti permette di trasformare un computer standard in un router e firewall potente e altamente personalizzabile. A differenza di router o firewall comunemente diffusi, dove le porte WAN/LAN sono fisse e pre-etichettate, su un PC con OpenWRT dovrai identificare e assegnare manualmente le schede di rete fisiche (NIC) ai ruoli di WAN (rete esterna) e LAN (rete interna).

Questa guida ti accompagnerà nella configurazione base tramite l'interfaccia web grafica LuCI, spiegando i concetti fondamentali del firewall integrato e del port mapping nel contesto del tuo hardware x86.

1. Installazione e Accesso Iniziale su Hardware x86

L'installazione di OpenWRT su un PC x86 solitamente comporta il download di un'immagine del firmware specifica per x86/x64 e la scrittura di questa immagine su un'unità di archiviazione (hard disk, SSD, chiavetta USB) che il PC userà per l'avvio. Il processo esatto può variare, ma una volta completato e avviato il PC dall'unità con OpenWRT, il sistema si preparerà per la configurazione.

• Identificazione delle Schede di Rete (NIC): La prima cosa da fare è identificare i nomi assegnati dal kernel Linux alle tue schede di rete fisiche. Potrebbero apparire come eth0, eth1, enp1s0, enp2s0, ecc. Se hai un monitor e una tastiera collegati al PC OpenWRT, puoi usare comandi come ip addr show o ifconfig nella console per elencare le interfacce. È fondamentale capire quale nome corrisponde a quale porta fisica sul retro del PC.
• Configurazione di Rete Iniziale di Default: Di default, OpenWRT configurerà una delle NIC rilevate (spesso la prima, es. eth0) come interfaccia logica chiamata lan, assegnandole l'indirizzo IP 192.168.1.1 e abilitando un server DHCP. Questa è la porta a cui dovrai connettere inizialmente il tuo computer per accedere alla configurazione.
• Accesso all'Interfaccia Web (LuCI):
  • Collega il tuo computer direttamente, tramite cavo Ethernet, alla porta fisica del PC OpenWRT che è stata configurata come LAN (quella con l'indirizzo 192.168.1.1).
  • Assicurati che il tuo computer sia configurato per ottenere un indirizzo IP automaticamente (DHCP). Dovrebbe ricevere un IP nella rete 192.168.1.x.
  • Apri un browser web sul tuo computer e digita http://192.168.1.1 nella barra degli indirizzi.
• Primo Accesso e Impostazione Password: Al primo accesso, LuCI ti chiederà di impostare una password per l'utente root. Questo è un passaggio critico per la sicurezza; scegli una password robusta.

Una volta impostata la password, potrai accedere all'interfaccia completa di LuCI.

2. Configurazione delle Interfacce di Rete: Associare Logica e Fisica su x86

In OpenWRT, lavori con interfacce logiche (wan, lan, ecc.) che poi associ alle tue schede di rete fisiche (NIC) o a gruppi di esse. Nel menu Network -> Interfaces, vedrai le interfacce logiche preconfigurate o che creerai.

Su hardware x86, la differenza chiave è che devi esplicitamente dire a OpenWRT quale NIC fisica utilizzare per ciascuna interfaccia logica.

• Interfacce Logiche Standard:
  • lan: Questa interfaccia logica rappresenta la tua rete locale. Di default è un bridge (br-lan) che può includere una o più NIC fisiche (le tue porte LAN). Ha l'indirizzo IP interno e gestisce il DHCP per i tuoi dispositivi.
  • wan: Questa interfaccia logica rappresenta la rete esterna (Internet). Deve essere associata alla NIC fisica collegata al tuo modem/ONT. Gestirà la connessione a Internet (es. PPPoE, DHCP Client, Static IP) e avrà l'indirizzo IP pubblico.

Esempio: Configurazione di una Connessione PPPoE sulla tua NIC WAN Designata

Supponiamo tu abbia identificato eth0 come la tua NIC LAN e eth1 come la tua NIC WAN.

1. Nel menu Network -> Interfaces, individua l'interfaccia logica chiamata wan.
   • Se non esiste, clicca sul pulsante Add new interface... e crea una nuova interfaccia chiamata wan.
   • Scegli il protocollo "PPPoE" e clicca Create interface.
2. Se wan esisteva già con un altro protocollo, clicca su Edit accanto ad essa, cambia il Protocol a "PPPoE" e clicca Switch protocol.
3. Nella scheda General Settings per l'interfaccia wan con protocollo PPPoE:
   • Inserisci il "PAP/CHAP username" e la "PAP/CHAP password" forniti dal tuo ISP.
   • Il campo "Service Name" è solitamente opzionale.
4. Associazione della NIC Fisica WAN (Specifico x86): Passa alla scheda Physical Settings.
   • Qui vedrai l'elenco delle NIC fisiche disponibili nel tuo PC (es. eth0, eth1).
   • Seleziona la checkbox accanto al nome della NIC fisica che hai deciso di usare come WAN (nel nostro esempio, eth1). Assicurati che sia l'unica interfaccia selezionata in questa sezione per la WAN.
5. Le schede Advanced Settings, Firewall Settings e DHCP Server per la WAN sono solitamente preconfigurate correttamente.
6. Clicca su Save e poi su Save & Apply.

Il PC con OpenWRT tenterà ora di connettersi a Internet tramite la NIC fisica eth1 usando le credenziali PPPoE. Puoi controllare lo stato su Status -> Overview.

Configurazione dell'Interfaccia LAN (Specifico x86):

È importante assicurarsi che l'interfaccia logica lan sia associata alle corrette NIC fisiche che vuoi usare per la tua rete interna.

1. Nel menu Network -> Interfaces, individua l'interfaccia lan (di default è un bridge, br-lan). Clicca su Edit.
2. Nella scheda Physical Settings:
   • Verifica che l'opzione Bridge interfaces sia selezionata.
   • Nella lista delle interfacce disponibili, seleziona le checkbox accanto ai nomi delle NIC fisiche che vuoi includere nella tua LAN (nel nostro esempio, eth0). Se hai più porte fisiche da usare come LAN, selezionale tutte qui (es. eth0, eth2).
3. Nella scheda General Settings, puoi modificare l'indirizzo IPv4 (IPv4 address) di OpenWRT sulla LAN (es. da 192.168.1.1 a 192.168.10.1), la maschera di rete (IPv4 netmask). Se cambi l'IP, dovrai riconnettere il tuo computer al nuovo indirizzo nel browser.
4. Nella scheda DHCP Server, puoi configurare il range di indirizzi IP che OpenWRT assegnerà ai dispositivi sulla LAN.
5. Clicca su Save e Save & Apply.

Assegnazione di NIC Fisiche alle Interfacce Logiche:

Come mostrato sopra, il passo fondamentale su x86 è mappare le tue NIC fisiche (es. eth0, eth1) alle interfacce logiche di OpenWRT (lan, wan). L'interfaccia lan è tipicamente un bridge (br-lan) che include una o più NIC fisiche per creare la rete locale. L'interfaccia wan è associata a una singola NIC fisica che si affaccia su Internet.

Una volta che un'interfaccia logica (come br-lan o pppoe-wan) è configurata e associata alle sue NIC fisiche, OpenWRT le gestirà come un'unica entità ai fini del routing e del firewall.

3. Il Firewall Integrato e la Logica delle Zone

Il firewall di OpenWRT (firewall4, basato su nftables) è un componente chiave per la sicurezza. La sua gestione è basata sul concetto di Zone, indipendentemente dall'hardware.

• Cos'è una Zona? Una zona è un raggruppamento logico di interfacce (e quindi le NIC fisiche ad esse associate) che condividono un livello di fiducia simile. Le zone definiscono le politiche di sicurezza predefinite per il traffico.
• Interazione tra Zone: La sicurezza è definita dalle regole che governano come il traffico si sposta tra le zone e come il traffico verso o dal router è gestito all'interno di ogni zona.

Le policy di default per ogni zona sono:

• Input: Cosa fare con il traffico diretto al router stesso proveniente da interfacce in questa zona.
• Output: Cosa fare con il traffico originato dal router stesso diretto verso interfacce in questa zona.
• Forward: Cosa fare con il traffico che attraversa il router da un'interfaccia in questa zona a un'interfaccia in un'altra zona.

Zone di Default e loro Associazione alle Interfacce Logiche:

Nel menu Network -> Firewall -> Zones, trovi le zone predefinite:

• lan Zone:
  • Associata all'interfaccia logica br-lan (che include le tue NIC fisiche LAN).
  • Policy: Input: ACCEPT, Output: ACCEPT, Forward: ACCEPT (per inoltro verso zone permesse). Permette ai dispositivi sulla tua LAN (sulle NIC eth0, ecc.) di accedere al router e inoltrare traffico (verso la WAN).
• wan Zone:
  • Associata all'interfaccia logica pppoe-wan (che usa la tua NIC fisica WAN, eth1).
  • Policy: Input: REJECT o DROP, Output: ACCEPT, Forward: REJECT o DROP (per inoltro verso zone non fidate). Blocca il traffico non richiesto proveniente da Internet (dalla NIC eth1) diretto al router o verso la LAN.

Regole di Traffico Inter-Zona (Inter-Zone Forwarding):

Queste regole definiscono come il traffico può spostarsi tra le zone:

• lan -> wan: Il traffico dalla zona lan (i tuoi dispositivi sulla NIC eth0) verso la zona wan (Internet tramite la NIC eth1) è permesso (Forward: ACCEPT). Viene applicato il NAT.
• wan -> lan: Il traffico dalla zona wan (Internet tramite la NIC eth1) verso la zona lan (i tuoi dispositivi sulla NIC eth0) è bloccato di default (Forward: REJECT o DROP).

In sintesi: associare le tue NIC fisiche alle interfacce logiche lan e wan, e assegnare queste interfacce alle rispettive zone lan e wan è il modo in cui il firewall di OpenWRT applica le sue regole di sicurezza al tuo specifico hardware x86.

4. Port Forwarding (NAT) e la sua Interazione con il Firewall

Il Port Forwarding (o NAT) ti consente di rendere un servizio in esecuzione su un dispositivo specifico nella tua LAN (sulle NIC fisiche LAN) accessibile da Internet (tramite la tua NIC fisica WAN e l'indirizzo IP pubblico). È necessario perché la politica di default wan -> lan blocca tutto il traffico in ingresso non richiesto.

Come Configurare il Port Forwarding (Network -> Firewall -> Port Forwards):

1. Clicca sul pulsante Add.
2. Name: Un nome descrittivo (es. "Server Web Interno").
3. Protocol: Il protocollo del servizio (TCP, UDP o Both).
4. External Zone: Scegli wan. Questo indica che il traffico di interesse arriva dalla NIC fisica WAN.
5. External Port: La porta o l'intervallo di porte sul tuo indirizzo IP pubblico WAN a cui il traffico esterno si connetterà.
6. Internal Zone: Scegli lan. Questo indica che il dispositivo di destinazione si trova sulle tue NIC fisiche LAN (nel bridge br-lan).
7. Internal IP address: L'indirizzo IP privato del server/dispositivo sulla tua LAN. Assicurati che questo dispositivo abbia un indirizzo IP statico o una prenotazione DHCP.
8. Internal Port: La porta sul dispositivo interno a cui il traffico deve essere reindirizzato. Spesso è la stessa dell'External Port.
9. Clicca Save e poi Save & Apply.

Interazione tra Port Forwarding e Firewall:

Quando crei una regola di port forwarding, OpenWRT genera automaticamente la regola firewall necessaria per permettere quel flusso di traffico specifico attraverso la zona wan verso la zona lan.

In pratica:

• La regola di port forwarding dice al router di riscrivere l'indirizzo di destinazione dei pacchetti in arrivo sulla NIC fisica WAN (zona wan) che corrispondono a External Port, dirigendoli verso l'indirizzo IP e la porta specificati nella LAN (zona lan).
• Il firewall, riconoscendo che c'è una regola di port forwarding valida per quel pacchetto, permette a questo specifico traffico (ora riscritto) di attraversare la barriera tra la zona wan e la zona lan, nonostante la politica di default wan -> lan sia bloccante.

Non è necessario creare una regola firewall "Allow" separata nella zona wan per il traffico in ingresso che viene gestito da una regola di port forwarding.

5. Altre Configurazioni Utili (Base su x86)

• Configurazione Wi-Fi (Network -> Wireless): Se il tuo hardware x86 include una scheda Wi-Fi supportata da OpenWRT, puoi configurare le tue reti wireless qui (SSID, password, sicurezza). L'interfaccia wireless dovrà essere aggiunta al bridge br-lan (per integrarla nella tua LAN) o a un bridge/interfaccia separata per una rete ospite dedicata con regole firewall specifiche.
• Cambiare la Password di Root (System -> Administration): Assicurati di aver impostato una password sicura per accedere a LuCI e via SSH.
• Aggiornare il Firmware (System -> Flash Firmware): Mantenere OpenWRT aggiornato è cruciale per la sicurezza e per beneficiare delle nuove funzionalità. Le procedure di aggiornamento su x86 possono variare (potrebbe implicare la scrittura di una nuova immagine).

Conclusioni

OpenWRT su hardware x86 ti offre un controllo granulare e prestazioni potenzialmente elevate per la tua rete domestica o di piccolo ufficio. La comprensione di come associare le tue schede di rete fisiche alle interfacce logiche di OpenWRT è il primo passo fondamentale. Successivamente, puoi sfruttare la potenza del firewall basato su zone per definire politiche di sicurezza robuste e utilizzare il port forwarding per rendere servizi interni accessibili dall'esterno, il tutto con un'interazione ben definita e automatizzata tra port mapping e regole firewall. Questa configurazione di base ti fornisce una solida base per esplorare le numerose funzionalità avanzate offerte da OpenWRT.