Aller au contenu principal

OpenWRT. Bloquer l'accès par Internet à LuCI

/images/previews/preview_openwrt-acces-routeur.png

Petite astuce facile à mettre en place permettant d'empêcher l'accès, depuis internet, à l'interface LuCi de son routeur OpenWRT.

Rappel: il est donc très important de configure un mot de passe fort et unique pour administrer son routeur.

Bloquer l'accès à LuCI via Internet

Si vous ne comptez pas administrer votre routeur via son interface web depuis Internet, mais uniquement en local depuis votre PC, voici l'astuce qui va empêcher le serveur web uhttpd d'être accessible par Internet.

Connectez vous en SSH sur votre routeur et modifiez le fichier /etc/config/uhttpd, par exemple avec "nano", puis remplacez les IPv4 0.0.0.0 par celle de votre routeur et commentez les IPv6. Dans cet exemple, le routeur a cette adresse IPv4 locale : 192.168.1.1.

Contenu modifié de /etc/config/uhttpd

config uhttpd 'main'
     list listen_http '192.168.1.1:80'
#    list listen_http '[::]:80'
     list listen_https '192.168.1.1:443'
#    list listen_https '[::]:443'

Comment modifier le fichier /etc/config/uhttpd

# Quelle est l'adresse IP locale du routeur ?
uci get network.lan.ipaddr

# Éditer le fichier de configuration de uhttpd
nano /etc/config/uhttpd

# Relancer le service uhttpd
service uhttpd restart

Si erreur SSL

Si, à la suite de ces modifications, dans votre navigateur vous avez une erreur de type :

Error code: SSL_ERROR_NO_CYPHER_OVERLAP

Il faut recontruire le cache (avec Firefox, combinez les touches CTRL+F5)

Contexte

Avoir un routeur sous OpenWRT dédié à son réseau privé est indispensable quand on veut maîtriser soi-même son réseau personnel. Toutefois, même si ça peut être utile, il n'est pas recommandé de laisser l'interface d'administration de son routeur accessible depuis son adresse IP publique.

Par défaut, n'importe qui peut tenter d'accéder à l'interface LuCI d'OpenWRT, si il connaît votre adresse IP publique.