Critique: 6 routeurs open source astucieux

Hackers du monde, unissez-vous! Vous n'avez rien à perdre à part le micrologiciel de stock moche avec lequel vos routeurs sont livrés.

Outre les smartphones, les routeurs et les stations de base sans fil sont sans aucun doute les appareils grand public les plus piratés et modifiés par l'utilisateur. Dans de nombreux cas, les avantages sont majeurs et concrets: une palette plus large de fonctionnalités, de meilleures fonctions de routage, une sécurité plus stricte et la possibilité de configurer des détails qui ne sont normalement pas autorisés par le firmware d'origine (comme la puissance de sortie de l'antenne).

Le plus difficile est de savoir par où commencer. Si vous souhaitez acheter un routeur spécifiquement destiné à être modifié, il est préférable de travailler en arrière. Commencez par examiner les offres disponibles, choisissez l'une d'entre elles en fonction de l'ensemble de fonctionnalités et sélectionnez un appareil approprié dans la liste de compatibilité matérielle pour cette offre.

Dans cet article. J'ai rassemblé six des variétés les plus courantes de systèmes d'exploitation de réseau tiers, en mettant l'accent sur ce qu'ils vous offrent et à qui ils conviennent le mieux. Certains d'entre eux sont conçus pour du matériel embarqué ou des modèles spécifiques de routeur uniquement, d'autres comme des solutions plus indépendantes du matériel, et d'autres pour servir de dorsale pour les appliances x86. 

Clé: 1. 2. Aucune date de sortie n'a encore été fixée pour la version 3.0; les bêtas sont fournis sur une base continue. Le projet n'est plus mis à jour; diverses fourches ont continué depuis.
  DD-WRT OpenWrt / LEDE Tomate OPNsense PFSense VyOS
Première version 2005 2004/2016 2008 2015 2004 2013
Version actuelle 3.0 bêta1 17.01.4

(Octobre 2017)

1,28

(Juin 2010) 2

17,7

(Juillet 2017)

2.4.2-p1

(Déc.2017)

1.1.8

(Novembre 2017)

Types de matériel pris en charge Beaucoup Beaucoup Certains x86 / x64 uniquement x86 / x64 uniquement x86 / x64 uniquement
Public visé Utilisateurs généraux, comme firmware d'origine Utilisateurs moyennement expérimentés à avancés Utilisateurs avancés Professionnels Professionnels Professionnels
Licence Éléments gratuits et propriétaires Gratuit (GPL et autres) Éléments gratuits et propriétaires BSD Apache 2 Gratuit (GPL et autres)

DD-WRT

DD-WRT s'est avéré être un choix de micrologiciel de routeur populaire non seulement auprès des amateurs et des pirates informatiques, mais également des fabricants de routeurs. Buffalo, par exemple, a utilisé DD-WRT comme base pour bon nombre de ses offres de routeurs domestiques et prosommateurs. Le produit original a été créé en 2005 pour le routeur Linksys WRT54G, un appareil conçu pour accepter le micrologiciel basé sur Linux, et le logiciel principal est disponible sous la forme d'une offre GPL. Notez qu'il peut y avoir des différences assez importantes d'implémentation ou de présentation entre la version principale de DD-WRT et les éditions tierces spécifiques aux routeurs telles que Buffalo.

Matériel pris en charge pour DD-WRT

DD-WRT prend en charge les jeux de puces Broadcom, ADM, Atheros ou Ralink, mais sachez que tous les appareils utilisant ces jeux de puces ne sont pas automatiquement compatibles. Certains peuvent nécessiter un piratage spécifique à l'unité pour fonctionner; certains peuvent ne pas fonctionner du tout, point final. Notez également qu'un routeur plus récent ne signifie pas automatiquement un routeur plus compatible, car la production d'une version compatible avec un routeur plus récent peut prendre du temps. Les responsables de DD-WRT conservent une base de données des périphériques pris en charge, ainsi qu'une liste dans leur wiki des périphériques et des fonctionnalités, il n'est donc pas difficile de dire si un modèle donné est pris en charge ou dans quelle mesure.

Fonctionnalités DD-WRT

DD-WRT fournit une gamme de fonctionnalités puissantes que l'on ne trouve normalement pas dans les routeurs grand public, telles que la prise en charge de la création de points d'accès Wi-Fi publics via divers fournisseurs, l'utilisation de DNS dynamique (encore une fois, de plusieurs fournisseurs) et la fourniture de services OpenVPN pour clients connectés. Il est également disponible dans une gamme de versions de différentes tailles, de la version «micro» de 2 Mo qui ne prend en charge que les fonctions les plus essentielles à la version «méga» de 8 Mo qui a tout. Cela permet au micrologiciel d'être placé sur des périphériques de capacité de stockage très variable.

Limitations du DD-WRT

La version principale de DD-WRT est mise à jour  très  rarement. Si vous souhaitez des mises à jour plus fréquentes, vous devez soit opter pour une version bêta provisoire, soit choisir une version fournie par le fabricant avec des révisions régulières.

DD-WRT est le meilleur choix pour la plupart des utilisateurs. Le fait que DD-WRT soit fourni en tant que précharge de stock (bien qu'avec des mods) dans de nombreux routeurs, il est facile de mettre la main sur un routeur avec celui-ci installé et réglé spécifiquement pour fonctionner avec votre matériel, ainsi que pour le maintenir à jour.

OpenWrt / LEDE

OpenWrt est un projet de micrologiciel de routeur qui ressemble à une distribution Linux à part entière pour les systèmes embarqués. Vous pouvez télécharger les packages pour une configuration matérielle spécifique et créer le code du matériel à l'aide d'une chaîne d'outils fournie. Cela complique le processus de déploiement, mais offre une flexibilité énorme.

Pour gagner du temps, différentes versions préfabriquées d'OpenWrt sont disponibles pour les types de matériel et les plates-formes de routeur courants. Cela comprend tout, des systèmes génériques basés sur x86 aux jeux de puces Broadcom et Atheros utilisés pour alimenter de nombreux routeurs à micrologiciel ouvert. Les fabricants d'OpenWrt recommandent de commencer par une version standard, puis d'apprendre à rouler le vôtre une fois que vous avez trouvé votre pied.

Au cours des deux dernières années, le développement d'OpenWrt a connu quelques convulsions. Un projet dérivé appelé LEDE (Linux Embedded Development Environment) a bifurqué la base de code OpenWrt et a poursuivi son développement à un rythme plus rapide que l'équipe OpenWrt d'origine. En janvier 2018, cependant, les deux projets ont convenu de fusionner leurs efforts sous le nom original d'OpenWrt.

Matériel pris en charge pour OpenWrt / LEDE

En un mot: beaucoup. Plus de 50 plates-formes matérielles et 10 architectures de processeur sont prises en charge, des mini-cartes ARM aux systèmes x86-64 à part entière. Le projet fournit également un guide de l'acheteur pour vous aider à choisir le matériel adapté à vos besoins particuliers, dans le cas où vous achetez un produit spécifiquement compatible OpenWrt.

Caractéristiques pour OpenWrt / LEDE

En plus d'une large prise en charge du matériel et de la plate-forme, OpenWrt inclut la prise en charge du protocole de réseau maillé OLSR, qui vous permet de créer des réseaux ad hoc mobiles à partir de plusieurs appareils OpenWrt. De manière pratique, OpenWrt, une fois déployé, peut être modifié  sans reflasher le firmware . Les packages peuvent être ajoutés ou supprimés selon les besoins via un système de gestion de packages intégré.

Divers spin-offs d'OpenWrt sont disponibles, certains avec des scénarios d'utilisation très spécifiques. Gargoyle offre comme l'une de ses grandes fonctionnalités la possibilité de surveiller la bande passante et de définir des plafonds par hôte. Un projet désormais mort, FreeWRT, était encore plus axé sur les développeurs que les versions de base d'OpenWrt et disposait d'un générateur d'images Web pratique pour ceux qui souhaitent créer un micrologiciel FreeWRT avec un peu de conseils.

Les innovations de certaines des versions dérivées ont été réinjectées dans OpenWrt. LEDE est un exemple, mais un autre est la version Cerowrt. Cerowrt a été créé dans le cadre du projet Bufferbloat pour résoudre les problèmes de goulot d'étranglement du réseau dans les LAN et WAN. Il n'est plus maintenu, car toutes ses innovations techniques sont maintenant dans la base de code d'OpenWrt.

Utilisateurs recommandés pour OpenWrt

À l'origine, OpenWrt était destiné aux experts, aux personnes qui veulent le moins de limitations possible sur ce qu'elles peuvent faire, qui sont ambitieuses dans la mise en œuvre de matériel inhabituel et qui se sentent à l'aise avec le type de bricolage qui serait normalement nécessaire pour lancer sa propre distribution Linux. Tout cela est encore possible avec OpenWrt, mais sa fusion avec LEDE le rend un peu plus accessible et convivial.

Tomate

Conçu à l'origine comme un micrologiciel de remplacement pour les routeurs basés sur Broadcom, Tomato a attiré l'attention sur son interface graphique, ses outils de surveillance de la bande passante et d'autres fonctionnalités astucieuses de niveau professionnel et modifiables. Le développement du projet Tomato original a cessé, mais d'autres développeurs ont repris là où le projet original s'était arrêté, publiant par intermittence des mises à niveau incrémentielles.

Matériel pris en charge pour Tomato

La prise en charge matérielle est sensiblement la même qu'avec DD-WRT, même si vous devez faire très attention aux versions exactes compatibles avec le matériel particulier que vous utilisez.

Caractéristiques de la tomate

De nombreuses fonctions trouvées dans Tomato se trouvent également dans DD-WRT, telles que les contrôles QoS sophistiqués, l'accès CLI via Telnet ou SSH, Dnsmasq, etc. Cela dit, Tomato a été conçu de telle sorte que peu de changements de configuration nécessitent un redémarrage. Il y a également eu une multitude de scripts personnalisés développés par la communauté Tomato, tels que la redirection du syslog du routeur vers un disque ou un autre ordinateur, et la sauvegarde des paramètres du routeur.

La tomate elle-même n'est plus activement développée, mais elle a semé une vaste culture - jeu de mots - de spin-offs et de ramifications. Une version Tomato régulièrement et récemment mise à jour est proposée par Shibby, qui compile de nombreux changements d'autres développeurs Tomato dans un seul ensemble. Certains de ces ajouts comprenaient la prise en charge des routeurs dotés de ports USB, permettant ainsi le montage de supports amovibles, des modules QoS améliorés et des outils de surveillance client du trafic IP, la prise en charge du stockage multimédia SDHC (Secure Digital High Capacity) / MMC, le marquage VLAN 802.11Q et l'interface Web expérimentale MultiSSID. Shibby a à son tour ajouté la prise en charge des serveurs NFS, du système de fichiers HFS / HFS +, des modems USB 3G et de nombreuses autres améliorations à tous les niveaux.

Une autre version, AdvancedTomato, ajoute une interface graphique de gestion Web attrayante, bien qu'elle ne soit disponible que pour une petite sélection de routeurs.

Limitations de la tomate

La tomate et ses dérivés sont limités aux routeurs qui utilisent une sélection de puces Broadcom, comme le Linksys WRT54G «classique».

Un autre gros inconvénient de l'utilisation de Tomato est qu'il n'y a aucune garantie qu'une édition particulière continuera à recevoir des mises à jour ou qu'elle passera entre des mains compétentes si le développeur actuel décide de jeter l'éponge. Assurez-vous également de choisir la bonne édition pour le firmware de votre routeur, ce qui est devenu un peu plus difficile maintenant que chaque fourche de Tomato suit son propre chemin.

Utilisateurs recommandés pour Tomato

La tomate est la meilleure pour les utilisateurs moyennement avancés. Travailler avec Tomato est sur un pied d'égalité avec le DD-WRT: vous devez vous assurer que vous avez le bon matériel et suivre les instructions clignotantes à la lettre. Cependant, la tomate n'est pas utilisée comme précharge commerciale, alors ne vous attendez pas à la voir dans des routeurs standard à la DD-WRT.

AdvancedTomato

OPNsense et PFSense

Dans une version antérieure de cette revue, nous avons examiné les projets M0n0wall et PFSense, qui sont des plates-formes de pare-feu et de routage basées sur FreeBSD - plus proches d'une installation de système d'exploitation à part entière qu'une simple couche de firmware. M0n0wall n'est plus en développement, mais PFSense a poursuivi son développement sous l'égide de Netgate. Un projet nommé OPNsense, développé par le fabricant de matériel Decisio, est un fork de PFSense avec sa propre feuille de route.

Matériel pris en charge pour OPNsense et PFSense

OPNsense fonctionne sur du matériel 32 et 64 bits x86, avec au moins 512 Mo de RAM et 4 Go de stockage flash. Un haut degré de compatibilité avec les composants PC courants est assuré par la bibliothèque de pilotes BSD. Aussi peu que 256 Mo de RAM et 1 Go de stockage sont nécessaires pour PFSense, bien que 1 Go de RAM et plus de stockage soient recommandés.

Fonctionnalités OPNsense et PFSense

Étant donné que les deux produits sont dérivés d'une base commune, OPNsense et PFSense partagent de nombreuses fonctionnalités. Les deux prennent en charge toutes les fonctionnalités courantes du routeur, y compris la mise en forme du trafic et la qualité de service, ainsi que des fonctionnalités utiles sur les réseaux haut de gamme, telles que le marquage et l'interrogation VLAN.

La documentation OPNsense contient des détails pour faire fonctionner le logiciel sur du matériel local, dans la virtualisation et sur des fournisseurs de cloud comme Amazon Web Services. OPNsense dispose d'une interface Web sophistiquée pour configurer et gérer le produit.

Les fonctionnalités vantées d'OPNsense incluent la possibilité de choisir LibreSSL ou OpenSSL comme bibliothèque SSL utilisée dans le produit; un importateur qui vous permet de recycler les configurations de certaines versions de PFSense; et un système de plug-in qui permet l'extension de l'interface graphique. Les versions récentes de PFSense comportent une interface utilisateur Web repensée, qui remplace celle qui était une cible constante de critiques; une implémentation du projet netmap-fwd pour permettre un traitement beaucoup plus rapide des paquets; et d'autres améliorations de performances via FreeBSD.

Limitations OPNsense et PFSense

OPNsense prend uniquement en charge les jeux de puces x86 / 64; PFSense prend en charge les jeux de puces x86 / 64 et le matériel de périphérique intégré Netgate ADI.

Utilisateurs recommandés pour OPNsense et PFSense

Ceux qui réutilisent le vieux matériel PC en tant que pare-feu ou routeur devraient vérifier OPNSense ou PFSense. Des deux, PFSense a des besoins matériels légèrement plus modestes. OPNsense et PFSense ont des racines communes mais des interfaces utilisateur et des chemins de développement radicalement différents.

VyOS

VyOS est un fork de Vyatta, un système d'exploitation réseau basé sur Linux disponible à la fois dans une implémentation open source principale et une édition commerciale. L'édition open source a été supprimée après l'acquisition de Vyatta par Brocade, mais un fork de la version open source continue de vivre sous le nom de VyOS.

VyOS peut fonctionner comme une passerelle pour petite entreprise ou succursale, comme concentrateur VPN ou comme pont entre les centres de données ou entre les centres de données et les clouds.

Matériel pris en charge pour VyOS