评论:ASUSWRT路由器固件

您是否正在考虑让华硕无线网络产品?这将是一个相当长的,在某些地方的ASUSWRT固件可能会改变你的想法如何选择华硕网络产品的诸多缺点的技术审查。

我不是检讨我用于测试的路由器,高端华硕RT-AC87U,而是ASUSWRT(ASUS”‘无线接收器/发射器’)的固件。相同的固件上使用华硕最近所有的无线网络产品,但功能可用性可能从路由器不同而不同。(更多内存的路由器都提供更多的功能。)

序言:ASUSWRT是建立在运行一个标准的GNU / Linux的工具集,Linux内核。为了用户,ASUSWRT显示为一个应用程序或Web管理界面来一个最小的Linux服务器。在这次审查中,我将重点放在前端,但是当需要更多的细节将蘸一些底层程序。

Web管理界面

用户界面乍看上去前途无量!一世t has all the features you might want, and even seems quite easy to configure — assuming you know what you want. The first time you log into the web interface, you’re guided through an “Internet Setup” followed by a “Router Setup” wizard that sets you up with a basic router configuration.

ASUSWRT中的全套菜单选项

在完成初始设置后,你碰到到主管理界面,并与很多的选择呈现。我猜想,大部分客户将在这里完成,因为他们已经在网上和可能有没有必要进行任何的ASUSWRT提供的其他功能。然而,由于我的路由器花费190欧元,我想把剩下的功能测试。

每节介绍与吨的每一类不同的选择一个标签式界面。有些选项都隐藏着提示/帮助文本,如果你将鼠标悬停在选择你的鼠标光标,而是⅓的选项没有。有没有办法知道你尝试之前。

有些地方的英文翻译相当低劣。当你被要求观看一个介绍高级功能的“视频”时,你可能会笑,但当你意识到“自动连接到DNS服务器”意味着“用你的ISP广播的DNS服务器覆盖下面的DNS服务器设置”时,你可能会感到沮丧。同样地,如果你在不同的语言之间切换,你可能会注意到一些“dos”在其他语言中被翻译成“don’ts”。

我最喜欢的翻译糟糕的句子可以在父母控制设置页面找到:“阻止成人内容可以阻止儿童访问色情暴力和非法相关内容。”“无论翻译质量低劣的原因是什么,这肯定不是质量的标志。

我的一个最大的与ASUSWRT抱怨的是,您不能复制和粘贴数据的任何输入字段使用键盘。这可能是令人沮丧的,当你要的MAC地址复制到指定静态IP地址,或者从您的ISP复制和粘贴DNS设置。你也不能撤消使用好老Ctrl + Z

这里的问题是一个简单的例子,编写得很糟糕的JavaScript客户端验证过早发生的关键事件和原因所有的键盘快捷键断裂。客户端验证,因为每个开发人员都应该知道,硬而不应依赖该等资料直接提供的任何数据到后端系统还没有确认它在后端。您可以强制路由器接受输入和通过绕过Web界面,并直接递交他们到后端应用的设置也不会通过Web界面接受。

总体而言,ASUSWRT的Web界面是相当有能力,但也有例外怪异。我会到那些在未来两节的更多细节。

本地网络服务

,在我第一次购买RT-AC87U两年后,在配置LAN DHCP服务器的用户界面出现了一条新的文本:

RT-AC87U支持本地网络多达253个IP地址。

这个新的限制说你只能委托一个/ 24子网。这种限制不是在手册,产品规格表中任何地方提到,也没有在市场营销。它也是有趣的是,我已经有了路由器这一限制之前追溯介绍。

然而,没有任何这样的限制!您可以配置DHCP服务器分配的IPv4地址的IPv4的全部A类地址空间(/ 8子网)的16.7万个地址,它会高兴地给了地址,直到它运行的内存不足。我已经使用16个不同的子网审判和所有子网有路由器委托地址和子网之间有设备进行通信。

新的限制是指旧的限制,因为至少这已经在ASUSWRT并且不记录任何地方。将/ 24子网的限制仅适用于深度包检测(DPI)的工具,权力的功能,如网络地图,网络分析仪,服务质量的,和带宽监控。我将在接下来的两节更广泛地覆盖DPI和这些功能。

你也不能通过设置IPv6地址作为DNS服务器来配置路由器以使用仅支持IPv6的DNS服务器。后台完全支持它,但ASUSWRT web前端只允许您输入IPv4地址。路由器充满了这样的限制,由华硕的界面强加的,可以限制你可以做什么与其他功能的路由器。

ASUSWRT有一个简单的动态DNS客户端,将与几乎任何DynDNS的服务工作,如果华硕还没有决定硬编码10个供应商的名单。如果您的DNS提供商不在列表上,你的运气了。

在大多数其他DynDNS的客户,你必须输入用户名,密码的选项,以及应在IP地址更改通知Web地址。这也是ASUSWRT的客户是如何工作的,但你不能手动配置服务提供商的网络地址。

上有提供其他本地网络服务,包括从U盘简单的网络附加存储,流媒体和打印机的网络共享。我不会去到这些服务的任何细节,但我会更仔细一些严格接下来的两节网络相关的服务。

内置OpenVPN服务器

ASUSWRT使得一个出奇的好VPN服务器。路由器通过Internet连接到你能想到的一个VPN服务器为远程。而不是通过本地网络路由流量,你可以配置你的设备来加密所有通信,在家中发送至您的路由器。

你可能想设置你的路由器作为VPN和配置您的智能手机和其他luggable设备连接到它,而你在你家门外。你可以最有可能相信你的ISP比你更应该相信任何随机的酒店或咖啡厅免费的Wi-Fi选项。拥有即使你通常不需要使用一个VPN服务器可以是在你的安全工具区的好工具。

OpenVPN服务器通过在Web管理界面轻弹开关启用。在这之后,你可以点击“导出”,并获得.ovpn配置配置文件。你这个文件复制到你的设备,并与任何OpenVPN客户端(可用于所有主要的桌面和移动操作系统的客户端)打开它,你就大功告成了。一定要保持这个文件的安全,因为它允许您的本地家庭网络接入。

路由器运行的是最新版本的OpenVPN,采用保守的配置和安全策略。然而,.ovpn配置配置文件将当前外部IP设置为“远程”选项,即使在DynDNS主机名已配置为连接路由器的可靠方式时也是如此。这意味着如果你的ISP分配给你一个新的IP地址,配置文件将停止工作。

这对华硕来说是一个很容易解决的问题,特别是当他们已经实施了一个可能的解决方案时,但VPN服务似乎并不是优先考虑的问题。

网络管理和深度包检测

ASUSWRT配备了一些先进的网络管理和流量塑造工具,即使在只有几台设备的普通家庭中,这些工具也会非常有用。

设备和已知的网络服务可以使用质量的服务的服务,确保Chromecast的优先或其他流媒体设备在设备具有网络优先级。时间安排让你设置这一个星期的时间和天数给定的设备被允许连接到互联网。

然而,有,在使用这些服务的一个陷阱。ASUSWRT意志收集和传输有关您访问的网站的数据趋势科技,如果你使用的ASUSWRT以下任何功能:yabo亚博体育下载

  • 应用程序/流量分析
  • 带宽监控
  • 网络分析仪
  • 网络保护(AiProtection),块已知恶意软件域
  • 父母控制,包括时间安排
  • 服务质量
  • 网络历史记录

要使用任何这些功能,你会被要求同意从趋势科技啰嗦了最终用户许可协议(EULA)。在最底部的EULA中,你会发现专门[缺乏]隐私部分。下面是从最终用户许可协议的一些片段:

“[...]的特定信息(‘转发的数据’)被发送到趋势科技拥有或管控服务器进行安全扫描和如本段所描述的其他目的。这个转发的数据可能包括访问潜在的安全风险,以及网站的URL信息这被识别为潜在恶意软件的软件1062骗保和/或可执行文件或内容。转发的数据也可以包括标识为包含存储在文件中你的路由器上的个人身份信息或其他敏感数据的垃圾邮件或恶意软件的电子邮件。[...]”

[...]“趋势科技保留所有权,所有权及任何知识产权或工作的所有权益产品从它的使用和转发的数据分析产生的“。

现在,这是一个真正的无赖!大多数人不会想到他们的路由器在它们的网络流量来撬! — I mean, not beyond what is needed to route the traffic to the correct destination and back again.

EULA中还包含语言抱着路由器的用户负责通知他们的朋友,家人和家里来客人谁通过华硕路由器的任何网络活动进行记录和与趋势科技共享连接到互联网。这一条款是可笑的,我非常怀疑任何朋友,家庭成员或客人曾经被告知这种废话在人类历史的长河中。人根本就没有让他们的朋友连接到他们的无线或者借给他们自己的厕所之前签署放弃。

严格来说,你还需要使用网络映射功能时同意的最终用户许可协议。的各种设备图标,它可以识别操作系统和一些250个已知的装置还使用数据和[设备上]从趋势微量分析。该ASUSWRT固件并不强制你同意EULA您使用此功能之前,因此趋势科技和华硕似乎对这个功能的异常一致。

华硕与趋势科技的许可使得普通用户可以访问服务质量(QoS)。配置QoS规则集可能相当复杂,需要深入了解网络协议以及您希望以QoS处理的服务和应用程序。ASUSWRT的早期版本允许用户深入了解情况,手动调整QoS策略,甚至允许用户创建自己的规则。

不过,这个功能在后来的更新中被删除了,留下了540个预定义的应用程序和服务。你不能再手动将任何一项服务的优先级排在其他服务的前面,而是被限制在一个通用类别的列表上,包括:游戏、VoIP和IM、音频/视频流、网络冲浪、文件传输等等。在2000年早期,几乎所有非网页浏览或游戏的网络服务都将被归入“其他”类别。

安全

华硕发布的安全和功能更新到ASUSWRT在随机时间间隔。Updates are released on average every 10 weeks, but there was no update for over half a year in 2016. Customers are unlikely to be running the latest version of the firmware anyway, as there’s no automated updates nor a system for notifying them of any updates.

没有推送通知到移动应用程序、可以通知您的电子邮件列表、appcast(一种带有更新的RSS提要)或任何其他被通知更新的方法。用户应该定期访问路由器的网络管理界面或应用,点击“检查更新”。

缺乏任何一种更新通知的是考虑到定期的更新包含远程利用的漏洞补丁一个严重的问题。

ASUSWRT含有被大肆宣传为保障和保护工具的各种特征。麻烦的是,当然,大多数的操作系统和网络浏览器已经提供了相同的功能。(假设他们没有使用附带的网页浏览器没有这些保护措施。)

唯一稍微有用的功能,搭载了趋势科技DPI模块,提供以阻止试图用已知的僵尸网络通信的设备。

任何由于父母控制而被屏蔽的网站,或被认为是恶意的网站,或任何试图与已知僵尸网络通信的设备,都可以通过电子邮件举报。这需要您的电子邮件托管与美国在线,谷歌邮件,腾讯QQ,或163。你的路由器将作为一个标准的SMTP客户端,并使用你的电子邮件提供商发送通知。它还要求你将电子邮件密码以明文形式保存在路由器上,从而将其暴露给任何利用已知远程访问漏洞的人。这是一个比这些通知邮件所能弥补的更大的安全隐患。

远程访问和任意代码执行漏洞的数量经常出现在ASUSWRT的更新日志中,这令人担忧。相同类型的攻击在一次又一次的发布中被修正。不要误解我的意思——bug会发生的!

然而,许多问题华硕不得不多次修正会早一个安全审计过程中出现了。他们是什么样的问题,你会看到信息学的学生试图找出和利用作为训练任务的一部分。

Speaking of security audits, there’s clearly no security audits and only minimal — if any — security testing before release. Enabling the Telnet and SSH services would expose these to the public internet with no brute-force login protection.

Neither service is enabled by default, but one would expect that as part of release testing — ASUS would turn on every service and verify that they aren’t exposed to the public internet as a bare minimum!

华硕似乎并没有通过ASUSWRT有套路,也没有所需的安全文化船安全网络产品,以及节目。

华硕路由器应用

一个假科幻UI?不,它的华硕应用。

华硕路由器应用看上去确实有点像假的实体模型,用户界面的科幻电影,但它的Web界面的Android和iOS的极大简化版本。这似乎已被华硕一个单独的团队从来没有谁登录到Web管理界面,而是决定尽一切以自己的方式发展。

这种简化的界面可能是更好的为大多数用户,但作为一种先进的用户我觉得很沮丧的是,他们已经在命名和表达方面的分歧如此之大。在Web界面中,你可以从一般产品图标,以帮助一个列表分配设备的图标识别它们。

这些图标不会在应用程序中共享;相反,它鼓励用户给每台设备拍照。当然,这些照片不会显示在web界面上。

当应用程序有一个名为“无线网络连接ECO模式”有一个绿色的“生态看”图标,就可以打开和关闭的选项,Web管理界面,具有隐藏在“无线设置相同:专业:发射功率调整”。该应用程序有喜欢的,让访问的暴露在Web管理界面上的功能的子集选项列表中选择应用程序/功能。

我相信华硕将不得不给大家一个更好的产品,如果他们会采取一些沉入应用程序的设计和开发工作,并且花了它提高了Web界面来代替。使得它适合移动设备,以及潜在的包装,最多为一个应用程序似乎是一个更好的方式去。

午夜前的一分钟

一些ASUSWRT的许多功能莫名其妙地只为1439分钟了一天的1440分钟的工作。一分钟到每天的午夜,将路由器关闭一个看似随意的一系列功能,观察从用户需求一分钟的休息时间。

该wireless scheduler function allows users to disable Wi-Fi for periods of the day to preserve power, or to encourage the access point’s users to head home from work, leave the café table they’ve been occupying for hours, or maybe find their way to bed. Older firmware versions would by default enable this feature between 23:59 and 00:00 every day.

在此期间,每个无线设备断开连接,而有线设备继续正常工作。该功能在最新版本的固件中仍然存在,但默认情况下不启用。

另一项新功能,就是在默认情况下,在新固件模型是一种新的“时刻重新启动”,这也被设置为23:59选项。这个time is user-configurable, so customers who enjoy late night gaming or Netflix can find — if they dig through all their router’s options — the option and reschedule it to some more sensible time like 04:00.

“URL过滤器”防火墙规则集-内置在iptables的webstr扩展上;这意味着它只适用于未压缩和未加密的HTTP -莫名其妙地也创建了时间敏感的黑名单规则。

网址过滤器只在00:00到23:59之间有效。这是不可配置的,并且没有文档表明过滤器一天中有一分钟不活动。

VPN服务还会在午夜前一分钟启动所有客户端。

我不能完全肯定的是与午夜前一分钟回事。华硕支持一直无法给我说说为什么这个一分钟的服务站是必要的任何细节。我最好的理论是,它与内存使用,它一直在下降半夜做的,但我不能肯定地告诉什么目的可能。

结论

ASUSWRT可能不是理想的路由器固件,但它能够完成任务。Web界面需要大量的如何局域联网工程一旦你超越了最初的设置向导现有知识。什么我最关心的是整体缺乏在Web界面的质量和显然它是华硕一个宽松的安全文化。

一世建议您买华硕任何网络产品和建议,你也从其他路由器广告趋势科技安全解决方案望而却步。网络安全似乎并没有成为华硕的优先事项,而他们显然没有设置自己的一个团队来开发Web管理界面。

请务必阅读您会考虑购买任何一台路由器的服务条款和隐私权政策的条款。我一定会的!如果路由器需要你同意从第三方(或任何)在线服务的任何条款,你可以认为这是一个危险的信号。

来源

  • ASUSWRT 3.0.0.4.380_7378固件和源
  • ASUSWRT更新日志

这个评论是基于ASUSWRT 3.0.0.4.380_7378在发布并提供了对3.0.0.4.378.5134版本历史比较中发布

屏幕截图可能被压缩以更有效地利用空间,但没有进行其他修改。