Omdat ik van plan was PiHole te gaan gebruiken om bekende malware en phishingsites al op DNS level te blokkeren en zo het internet veiliger te maken voor mijn hele netwerk was ik mij over de techniek in aan het lezen. En eigenlijk vroeg ik mij af of ik ook mijn router dit werk kan laten doen. Dit bleek inmiddels te kunnen in de fork van openWRT 'LEDE'.
Hiervoor moest ik dus wel mijn geliefde chaos calmer na jaren gaan updaten. Dit moest ik eignenlijk vanwege de WPA exploit sowieso ooit nog eens een keer doen, maar van openWRT is er al jaren nooit meer een nieuwe 'stable' release uitgekomen. Mooi moment om twee vliegen in één klap te vangen dus!
De upgrade zelf was omdat LEDE gewoon een fork van openWRT was een pijnloos procces waarbij zelfs sommige settings, behalve de extra packages die ik geinstalleerd had bewaard bleven. Nadat ik het upnp gebeuren ('miniupnpc', miniupnpd en 'luci-app-upnp') weer geïnstalleerd had werkte mijn router eigenlijk als voorheen. Wat ik wel wat vreemd vond is dat in LuCI nog steeds openWRT in de linker bovenhoek staat. Maar dat zal wel komen omdat het een fork betreft. De upgrade leek dus zonder problemen te zijn verlopen!
Maar nu komt het helaas. Nadat ik voor de PiHole functionaliteit de benodigde packages ('adblock', 'luci-app-adblock' en 'libustream-openssl') had geïnstalleerd en geconfigureerd had waarbij wel aardig wat filter lijsten had geselecteerd voor het testen, waarbij ik wel 'Force Overall Sort' had aangevinkt om geheugen problemen hiermee zoveel mogelijk voor te zijn.
Na het aanzetten van de module werkt de router de eerste minuten redelijk naar behoren. Alleen merk je dat het doen van een DNS query en het opzetten van een verbinding steeds wat langer duurt. Hetzelfde geld voor de LuCI interface die wordt ook steeds trager. In LuCi valt op dat het proces
code:
1
| awk {ifNR ==1)tld =NF };while(getline){if(NF !~tld "\. "){printtld tld =NF }}printtld } /tmp/tmp.kJHahb |
75-100% CPU in gebruik heeft. Dit is net te zien vóórdat de router compleet nergens meer op reageerd.
Ik dénk dat dit de functie is die alle duplicaten uit de lijst haalt. Dus ik heb geprobeerd de router dit overnacht te laten doen. Helaas vertoonde hij na 10 uur nog steeds geen nieuwe tekenen van leven. Dus het kan ook zijn dat de lijst vóórdat of tijdens het verwijderen van de duplicaten niet in de schamele 32mb ram van deze inmiddels toch wel bejaarde router past.
Als ik het zonder de optie 'Force Overall Sort' doe dan komt de router in een reboot loop terecht waarbij hij niet te bereiken is.
Mogelijk dat SSL wat te zwaar is of dat er nog een oude instelling van chaos calmer de boel verstoord. Factory reset to the rescue dus.
Na een factory reset en het opnieuw configureren en installeren van de paketten, maar ditmaal zónder de SSL module lijkt hij vooralsnog met de standaard block lijsten niet meer in een bootloop te komen. Misschien dat óf de SSL encryptie of toch een of andere oude setting van chaos calmer de boel in de weg zat.
Ik ga nog wat experimenteren met de grootte van de lijst en als ik tegen RAM problemen hiermee aanloop het eventueel toevoegen van USB swab geheugen dmv een oude memory stick.
TLDR;
- update openWRT chaos calmer naar laatste LEDE;
- installatie miniupnpc', miniupnpd en 'luci-app-upnp'
- tot dusver probleemloos
- installatie 'adblock', 'luci-app-adblock' en 'libustream-openssl' onbruikbaar
- Force Overall Sort 100% CPU gebruik >10h lang
- zonder Force Overall Sort na 2 min reboot router
- factory reset en installatie zelfde pakketten zonder 'libustream-openssl' tot nu toe met een minimale blocklist geen problemen
- nadere expirementatie volgt
Todo:
- meer lijsten toevoegen kijken of dit voor geheugen problemen gaat zorgen
- bij geheugen problemen swab USB stick proberen
- indien dit probleemloos is for science toch het 'libustream-openssl' opnieuw proberen
De vraag:
Hebben mensen hier ervaring met een soortgelijke confuguratie op deze router. (ik heb de V1). Of heeft iedereen inmiddels dit apparaat weg gedaan.
============================
Edit:
Inmiddels werkende SSL support middels wget. Alles lijkt hiermee nu te werken!
Mijn router blokkeerd nu dus bekende phishingsites, microsoft windows spionage, bekende ransomware en bekende malware adressen! Huuray!
Voor uPNP en 'pihole' functionaltieit werkt dus op deze router de combinatie van de volgende pakketten:
'miniupnpc'
'miniupnpd'
'luci-app-upnp'
'wget'
'adblock'
'luci-app-adblock'
Ik heb overigens niet getest wat er gebeurd als ik ook ads ga blokkeren op deze manier. Dit omdat je geen websites kan whitelisten op deze manier en je blocklist waarschijnlijk aanzienlijk groter is kan je misschien toch tegen geheugen capaciteits problemen aan gaan lopen.
[
Voor 15% gewijzigd door
switchboy op 24-12-2017 12:42
]
:fill(white):strip_exif()/i/1403710016.jpeg?f=thumbmini)
:strip_exif()/i/2004585566.png?f=thumbmini)
:strip_exif()/i/1267446506.gif?f=thumbmini)
:strip_exif()/i/1295864765.gif?f=thumbmini)
:strip_exif()/u/259931/stuiterbal2.gif?f=community)
:strip_icc():strip_exif()/u/97431/S3_icon.jpg?f=community){kind=icon}
:strip_icc():strip_exif()/u/241948/crop58dd1b1aa2aef.jpeg?f=community)
) Wat is nu beter? Ze beide de zelfde naam laten hebben zodat de computer zelf een (de beste?) verbinding kiest? Of twee verschillende namen?:strip_icc():strip_exif()/u/48952/Ultraman-60x60-Ray-Animated.jpg?f=community)
:strip_exif()/u/45312/ronde_r_60x60.gif?f=community)
:strip_icc():strip_exif()/u/126804/crop60008216c7eb0_cropped.jpeg?f=community)
/u/137180/TS4YTL60R.png?f=community)
/u/256855/crop61eaa9769663e_cropped.png?f=community)
:strip_icc():strip_exif()/u/75828/sid.jpg?f=community)
/u/449509/crop58459ae75d7c3.png?f=community)
. Draadloos had ik uitgeschakeld op de router want die gebruik ik toch niet.
Via LAN is er op zo'n moment niks aan de hand. Het beperkt zich echt tot WIFI. :strip_exif()/u/65519/ava.gif?f=community)
:strip_icc():strip_exif()/u/99521/Triviumsmall2.jpg?f=community)