by ·0 Comments

Pe undeva în adâncurile acestui site există un PDF din epoca dinozaurilor — Using Linux as a Router — care apare în Google Search Console pentru 192.168.4.256 cu aproape 500 de impresii pe an. Oamenii caută “linux router”, “linux as a router”, “configure linux as router” și ajung la un document scris probabil când eu configurăm routere cu floppy disk si mufa “din” pe tastatura…

Ideea în sine nu e rea. Linux poate face routing excelent dar în 2025 răspunsul corect la “ar trebui să folosesc Linux ca router acasă?” e aproape întotdeauna nu. Hai să vorbim despre când are sens și când nu.

Când Linux ca router chiar are sens

Am folosit pfSense — o distribuție BSD specializată pentru routing și firewall cu aceeași filosofie — în zeci de laboratoare de-a lungul anilor. Scenariile în care un router software pe hardware generic e alegerea corectă sunt foarte specifice:

Rețele de laborator izolate

Când construiești un lab cu mai multe rețele care nu trebuie să se vadă între ele — să zicem o rețea de management, una de producție și una de teste — ai nevoie de ceva care să controleze exact ce trafic trece între ele. Un router de raft nu îți dă granularitatea asta la un preț rezonabil. pfSense pe un VM Proxmox cu trei interfețe virtuale rezolvă problema elegant, fără hardware suplimentar.

În Proxmox, creezi bridge-uri separate pentru fiecare rețea, asignezi interfețe VM-ului pfSense și configurezi regulile de firewall exact cum ai nevoie:

# pfSense — exemplu reguli firewall prin shell
# Blochează traficul din rețeaua de test spre producție
pfctl -a "USER_RULE" -f /etc/pf.conf

# Verifici regulile active
pfctl -sr

# Verifici starea interfețelor
ifconfig vtnet0
ifconfig vtnet1

Publicarea de endpoint-uri din lab spre exterior

Ai un serviciu care rulează într-o rețea izolată și vrei să îl expui controlat spre o altă rețea sau spre internet? NAT + port forwarding configurabil granular, VPN site-to-site între lab-uri, reguli de routing bazate pe sursă sau destinație — pfSense face toate astea printr-o interfață web decentă sau direct din config.

# Verifici tabela de routing
netstat -rn

# Adaugi o rută statică spre o rețea de lab
route add -net 10.10.20.0/24 gw 192.168.1.1

# Activezi IP forwarding pe Linux vanilla
echo 1 > /proc/sys/net/ipv4/ip_forward
# Persistent în /etc/sysctl.conf:
# net.ipv4.ip_forward = 1

# Regulă NAT cu iptables pentru a masca traficul
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state \
  --state RELATED,ESTABLISHED -j ACCEPT

Scenarii enterprise sau ISP

VyOS, pfSense, OPNsense sau Linux cu FRRouting rulează pe servere dedicate în producție la ISP-uri și companii. Dacă ai nevoie de BGP, OSPF, MPLS sau routing dinamic complex, software-ul pe hardware commodity bate orice router SMB de pe raft ca funcționalitate per leu investit.

pfSense vs OPNsense vs Linux vanilla — pe scurt

pfSense (netgate.com) — bazat pe FreeBSD, cea mai matură soluție, interfață web completă, comunitate enormă, documentație excelentă. Gratuit pentru uz personal, versiunea comercială (pfSense Plus) pentru producție enterprise. Prima alegere pentru lab-uri.

OPNsense (opnsense.org) — fork pfSense din 2015, tot FreeBSD, interfață mai modernă, actualizări de securitate mai frecvente, Wireguard integrat nativ. Dacă începi de la zero azi, OPNsense e argumentabil alegerea mai bună.

Linux vanilla (iptables/nftables + iproute2) — maxim de control, zero GUI, configurezi totul din fișiere și comenzi. Are sens dacă știi ce faci sau dacă construiești ceva automatizat (Ansible, Terraform). Pentru un lab ocazional, pfSense/OPNsense sunt mult mai rapide de configurat.

De ce nu ții un PC ca router acasă

Și totuși, cu toată experiența asta cu pfSense, acasă am un TP-Link ER605 — un router dedicat de ~200 RON — și nu mă gândesc să îl înlocuiesc cu un Lenovo M715q sau orice altceva care are un ventilator.

Motivele sunt simple:

Consum de energie. Un mini-PC cu pfSense consumă între 15–30W în idle, non-stop, 24/7. ER605 consumă 8W maxim, mai puțin în practică. Diferența de 10–20W înseamnă 88–175 kWh pe an — la prețul actual al curentului în România, între 80–160 RON în plus pe factură anual, doar pentru privilegiul de a rula un router pe hardware de calculator.

Complexitate inutilă. Rețeaua de acasă nu are nevoie de BGP, OSPF sau firewall cu stateful inspection cu 50 de reguli. Are nevoie să funcționeze când dai drumul la Netflix sau când intri pe un apel video. Un router dedicat face asta și nu trebuie să îl repornești după un update de kernel.

Puncte de failure în plus. Un PC înseamnă un SSD care poate muri, un ventilator care se poate bloca, un OS care necesită update-uri și monitorizare. Routerul dedicat are firmware în flash, fără piese mobile, și rulează ani fără intervenție.

Ce folosesc acum — stack Omada

Rețeaua de acasă rulează pe un stack TP-Link Omada complet:

  • ER605 — router/gateway, dual WAN, VPN server, firewall de bază
  • Switch Omada — managed, VLAN-uri pentru separarea rețelei de homelab de cea de uz general
  • 4x AP-uri TP-Link Omada — Wi-Fi 6, roaming transparent între camere
  • Omada Controller (rulează ca VM pe Proxmox) — management centralizat pentru tot stack-ul

Avantajul unui ecosistem integrat: toate dispozitivele se văd în același panou de control, roaming-ul Wi-Fi funcționează fără să simți trecerea de la un AP la altul, VLAN-urile se configurează o dată și se propagă automat pe toate switch-urile și AP-urile.

ER605 face routing la gigabit fără transpirație, are VPN IKEv2/OpenVPN/L2TP integrat pentru acces din afară și costă cât o cină la restaurant. Nu are niciun motiv să fie înlocuit cu un PC.

Concluzie

Linux ca router în 2025 are locul lui — în lab-uri, în VM-uri Proxmox care conectează rețele izolate, în scenarii enterprise unde ai nevoie de routing dinamic complex. pfSense și OPNsense sunt unelte excelente și le recomand oricui construiește un homelab serios.

Dar pentru rețeaua de acasă — unde vrei să funcționeze totul fără să te gândești la el — un router dedicat de 150–300 RON e răspunsul corect. Mai ieftin pe termen lung, mai simplu, mai fiabil.

PDF-ul vechi din /beer/ rămâne acolo ca document istoric. Dacă ești curios cum arăta configurarea unui router Linux în era pre-pfSense, merită citit ca artifact dar nu folosit ca ghid în 2025.

Posturi din aceeași categorie:

by ·0 Comments

Septembrie 2009. Tocmai actualizasem Tomato Firmware la versiunea 1.25 pe Linksys WRT54GL. Era un firmware de înlocuire pentru routerele Broadcom — interfață mai bună, QoS avansat, monitorizare trafic, WDS, mai multe conexiuni simultane pentru P2P. Față de firmware-ul stock Linksys, diferența era ca între Windows 98 și Windows XP.

În 2025, Tomato original e mort de 15 ani. Dar ideea din spatele lui — firmware open source care deblochează potențialul hardware-ului tău de rețea — e mai relevantă ca oricând.

Ce s-a întâmplat cu Tomato original

Tomato Firmware, creat de Jonathan Zarate, a fost abandonat în 2010 la versiunea 1.28. Proiectul nu a mai primit actualizări de securitate sau funcții noi. Linksys WRT54GL, hardware-ul țintă principal, are 200MHz CPU și 16MB RAM — complet insuficient pentru rețelele moderne Wi-Fi 5/6.

Comunitatea a continuat prin fork-uri:

  • Tomato by Shibby — fork popular din 2011, abandonat în 2018
  • Advanced Tomato — interfață modernizată, bazat pe Shibby, și el inactiv
  • FreshTomato — fork activ din 2018, singurul Tomato cu dezvoltare continuă în 2025

FreshTomato — fork-ul activ în 2025

FreshTomato (freshtomato.org) este continuarea directă a tradiției Tomato cu actualizări active. Menține interfața familiară Tomato dar cu suport pentru hardware mai nou și patch-uri de securitate regulate.

Routere suportate: Linksys WRT54GL (da, încă), Netgear R7000/R6400, ASUS RT-AC68U/RT-AC87U, Buffalo WZR-HP-AG300H și alte routere Broadcom. Nu suportă hardware non-Broadcom sau routere foarte noi.

Funcții principale:

  • QoS avansat cu clasificare trafic pe aplicații
  • Monitorizare trafic detaliată per dispozitiv cu istoric
  • VPN server și client (OpenVPN)
  • VLAN-uri configurabile
  • Access restrictions granulare per dispozitiv sau orar
  • SSH și telnet access pentru scriptare
  • JFFS2 pentru stocare persistentă de scripturi și configurații

Cum instalezi: descarci imaginea pentru routerul tău de pe freshtomato.org, o încarci din interfața stock a routerului (Administration → Firmware Upgrade) sau prin TFTP dacă routerul e brick-uit. Procesul durează 5 minute dar citești instrucțiunile specifice modelului tău înainte — un flash greșit poate brick-ui routerul.

DD-WRT — alternativa mai populară

DD-WRT (dd-wrt.com) e cel mai cunoscut firmware alternativ, cu suport pentru peste 3.000 de modele de routere — mult mai larg decât FreshTomato. Proiect activ din 2005, cu build-uri regulate.

Avantaje față de FreshTomato:

  • Suport hardware mult mai larg — Broadcom, Atheros, MediaTek, Qualcomm
  • Funcții mai avansate pentru rețele complexe: OSPF, BGP, MPLS în variantele enterprise
  • Comunitate mai mare, mai multe resurse online

Dezavantaje:

  • Interfața e mai complexă și mai puțin intuitivă decât Tomato/FreshTomato
  • Build-urile sunt numeroase și confuze — trebuie să știi exact ce build pentru ce router
  • Calitatea build-urilor variază

DD-WRT e alegerea dacă ai un router non-Broadcom sau vrei funcții de rețea avansate care nu există în FreshTomato.

OpenWrt — cel mai avansat, pentru power users

OpenWrt (openwrt.org) e o distribuție Linux completă pentru routere — nu un firmware de înlocuire, ci un sistem de operare cu package manager propriu (opkg). Instalezi exact ce vrei, nimic în plus.

De ce e diferit:

  • Package manager — instalezi Wireguard, AdGuard Home, Netdata, orice pachet disponibil
  • Suport hardware enorm — peste 1.500 dispozitive, inclusiv hardware nou
  • Flexibilitate maximă — poți transforma un router în firewall, proxy, ad-blocker, VPN concentrator
  • Actualizări de securitate rapide — comunitate mare și activă

Dezavantaje:

  • Interfața LuCI e funcțională dar nu prietenoasă pentru începători
  • Configurarea inițială necesită cunoștințe Linux de bază
  • Nu toate funcțiile sunt disponibile prin GUI — unele necesită editare fișiere de configurare în terminal

OpenWrt e alegerea pentru cei care vor control total și nu se tem de linia de comandă.

Routere moderne care merită custom firmware în 2025

GL.iNet (gl-inet.com) — cea mai simplă intrare în lumea custom firmware: routerele GL.iNet vin cu OpenWrt pre-instalat și o interfață simplificată deasupra lui. GL-MT3000 (Beryl AX, ~250 RON) sau GL-AXT1800 (Slate AX, ~350 RON) sunt excelente pentru VPN travel router sau extinderea rețelei acasă. Zero configurare complicată.

Netgear R7000 (Nighthawk AC1900) — hardware puternic Broadcom, suport excelent DD-WRT și FreshTomato, disponibil second-hand la 150–250 RON. Unul din cele mai bune routere pentru custom firmware datorită CPU-ului dual-core 1GHz și 256MB RAM.

ASUS RT-AC68U / RT-AC86U — ASUS Merlin firmware (asuswrt-merlin.net) e o alternativă excelentă pentru routerele ASUS: bazat pe firmware-ul stock ASUS dar cu funcții adăugate (OpenVPN îmbunătățit, Diversion ad-blocker, scripturi). Nu necesită instalare de firmware complet nou — e mai puțin riscant.

Linksys WRT3200ACM / WRT32X — continuatorii spirituali ai WRT54GL, proiectați de la bun început pentru OpenWrt/DD-WRT. Hardware puternic, suport excelent comunitate.

De ce mai are sens custom firmware în 2025

Firmware-urile stock ale routerelor comerciale s-au îmbunătățit mult față de 2009 — dar există funcții care lipsesc aproape universal:

  • VPN server nativ — puțini routere stock oferă OpenVPN sau Wireguard server pentru accesul la rețeaua de acasă din afară. Custom firmware rezolvă asta.
  • Ad-blocking la nivel DNS — AdGuard Home sau Pi-hole instalat pe router blochează reclamele și trackerele pentru toate dispozitivele din rețea, inclusiv smart TV-uri și IoT care nu acceptă extensii de browser.
  • QoS avansat — prioritizarea traficului pentru gaming sau videoconferințe față de download-uri în fundal.
  • Monitorizare trafic per dispozitiv — cine consumă bandwidth-ul, când și cât.
  • VLAN-uri pentru IoT izolat — separi dispozitivele smart home de calculatoare și telefoane pe rețele izolate.
  • Actualizări de securitate independente — producătorii abandonează suportul routerelor vechi rapid. Custom firmware primește patch-uri de securitate mult mai mult timp.

Când NU merită custom firmware

  • Routere moderne cu firmware bun din fabrică — ASUS cu Merlin, Synology MR2200ac, routerele Firewalla. Dacă firmware-ul stock face ce ai nevoie, riscul de brick nu se justifică.
  • Nu cunoști rețelistică de bază — subneting, DHCP, DNS, NAT. Fără aceste concepte, vei configura greșit și vei rămâne fără internet.
  • Aparatul e în garanție — custom firmware anulează garanția la majoritatea producătorilor.
  • Hardware prea vechi sau prea nou — WRT54GL în 2025 e limitat de hardware, nu de firmware. Routerele foarte noi cu chip-uri exotice pot să nu aibă suport stabil.

Concluzie — 2009 vs 2025

În 2009 Tomato 1.25 pe WRT54GL era o revelație față de firmware-ul stock. În 2025, FreshTomato menține tradiția pentru hardware Broadcom clasic, DD-WRT acoperă cel mai larg spectru de hardware, iar OpenWrt e alegerea pentru cei care vor control total.

Dacă intri acum în lumea custom firmware, cel mai simplu punct de start e un router GL.iNet cu OpenWrt pre-instalat — funcționalitate maximă fără riscul de brick și fără configurare complicată de la zero.

by ·6 Comments

Martie 2009. Mi-am cumpărat un Linksys WRT54GL versiunea 1.1 pentru 250 RON. În cutie: procesor 200MHz, 16MB RAM, 4MB Flash. Am instalat Tomato WRT, am testat throughput-ul WAN-LAN și am descoperit că se blochează la 50Mbps. Concluzia de atunci: „Nu vrea cineva să cumpere un Linksys? Eu rămân cu D-Link-ul.”

În 2025, WRT54GL e un obiect de muzeu din perspectivă hardware. Dar povestea lui e mai importantă decât specificațiile — a schimbat fundamental industria routerelor și a creat mișcarea custom firmware care există și azi.

De ce WRT54GL a devenit legendar

În noiembrie 2003, Linksys a lansat WRT54G cu firmware bazat pe Linux. Un inginer a observat că codul sursă ar trebui să fie disponibil conform licenței GPL. Linksys a fost forțat legal să publice codul sursă — și odată publicat, comunitatea open source s-a apucat imediat de treabă.

În câteva luni apăruseră primele firmware-uri alternative: Sveasoft, DD-WRT, HyperWRT. Fiecare adăuga funcții pe care firmware-ul stock Linksys nu le oferea: QoS avansat, putere de emisie reglabilă, SSH, monitorizare trafic, VPN.

Linksys a observat că entuziaștii cumpărau WRT54G tocmai pentru custom firmware. În 2005 a lansat WRT54GL — versiunea „Linux” cu hardware neschimbat față de WRT54G v4, menținând 16MB RAM și 4MB Flash când versiunile noi ale lui WRT54G trecuseră la 8MB RAM pentru a reduce costurile. WRT54GL a rămas în producție până în 2016 — 11 ani — tocmai pentru că cererea din comunitatea custom firmware era constantă.

A fost primul router de consum care a demonstrat că firmware-ul open source poate face routerul mai capabil decât ce oferă producătorul. Lecția a schimbat industria.

Specificații și de ce 50Mbps era limita hardware

WRT54GL are un procesor Broadcom BCM5352 la 200MHz — procesor din 2003, proiectat pentru conexiuni de internet de maximum 10-20Mbps, cât oferea piața atunci. NAT (Network Address Translation) — procesul care permite mai multor dispozitive să partajeze o singură adresă IP publică — e o operație intensivă pentru CPU. La 200MHz, procesorul se saturează în jurul a 50Mbps.

Overclockarea la 240MHz (posibilă prin Tomato) nu rezolva problema fundamental — câștigul era marginal, 60-65Mbps în cel mai bun caz. Conexiunile de 100Mbps deveniseră standard în România în 2009 tocmai când scriam review-ul — timing perfect pentru frustrare.

16MB RAM și 4MB Flash sunt limitele care fac WRT54GL incompatibil cu firmware-urile moderne — DD-WRT și OpenWrt au depășit de mult aceste cerințe minime pentru funcționalitatea completă.

WRT54GL în 2025 — mai are sens?

Ca router principal: absolut nu. Wi-Fi 4 (802.11g, 54Mbps maxim teoretic) vs Wi-Fi 6 (9.6Gbps teoretic). Throughput de 50Mbps vs conexiuni de 1Gbps standard. Fără VLAN-uri hardware, fără suport pentru IPv6 decent, fără securitate modernă.

Ca proiect DIY sau laborator de rețelistică: poate. WRT54GL cu DD-WRT sau FreshTomato rămâne o platformă bună pentru:

  • Învățat concepte de rețelistică — QoS, VLAN, routing, firewall — fără să riști hardware scump
  • Router de backup pentru conexiuni lente (ADSL vechi, conexiuni rurale sub 50Mbps)
  • Repetor wireless sau punct de acces secundar în locații izolate
  • Proiecte embedded Linux pentru cei care vor să experimenteze

Pe eBay găsești WRT54GL la 10-20 EUR — prețul corect pentru ce oferă în 2025.

Urmașii spirituali — routere proiectate pentru custom firmware

Lecția WRT54GL a inspirat o întreagă generație de routere gândite de la început pentru comunitatea custom firmware:

Linksys WRT3200ACM / WRT32X — continuatorii oficiali ai liniei WRT, lansați în 2016-2017. Procesor dual-core 1.8GHz, 512MB RAM, 256MB Flash, Wi-Fi AC3200. Proiectate explicit pentru OpenWrt și DD-WRT, cu suport oficial din partea Linksys. Disponibile second-hand la 150-250 RON — excelente pentru custom firmware.

GL.iNet — compania chineză care a înțeles cel mai bine moștenirea WRT54GL: routere mici, cu OpenWrt pre-instalat și o interfață simplificată deasupra lui. GL-MT3000 (Beryl AX, ~250 RON) oferă Wi-Fi 6, 1Gbps throughput și OpenWrt accesibil — tot ce era WRT54GL dar din 2025. Cel mai simplu punct de intrare în lumea custom firmware.

ASUS RT-AX88U / RT-AX86U cu Merlin — ASUS Merlin firmware (asuswrt-merlin.net) adaugă funcții avansate peste firmware-ul stock ASUS fără riscul unui flash complet. OpenVPN îmbunătățit, Diversion ad-blocker, scripturi personalizate. Routere excelente cu firmware excelent.

Netgear R7000 Nighthawk — hardware Broadcom puternic, suport DD-WRT și FreshTomato excelent, disponibil second-hand la 150-200 RON. Moștenitorul direct al spiritului WRT54GL pentru comunitatea Tomato/DD-WRT.

Ce am învățat din WRT54GL — funcții acum standard

Funcțiile pentru care cumpăram WRT54GL în 2009 și le consideram avansate sunt acum standard pe orice router decent:

  • QoS — prezent pe toate routerele mid-range și high-end, inclusiv routerele ISP din România
  • Port forwarding nelimitat — standardul actual, limitele de 10 porturi ale D-Link-ului din 2009 au dispărut
  • Monitorizare trafic — inclusă în aplicațiile mobile ale routerelor moderne (ASUS Router, TP-Link Tether, Netgear Orbi)
  • Putere de emisie reglabilă — disponibilă în firmware-urile moderne, deși mai puțin necesară cu antenele mai eficiente
  • SSH pe router — standard pe OpenWrt, DD-WRT, Merlin; prezent și pe unele firmware-uri stock

Ce rămâne exclusiv custom firmware în 2025: VPN server nativ (OpenVPN/Wireguard), ad-blocking DNS integrat, VLAN configurabile granular, scripting avansat. Detalii în ghidul complet Tomato/FreshTomato/DD-WRT/OpenWrt.

Concluzie — 2009 vs 2025

În 2009 scriam frustrat că WRT54GL se blochează la 50Mbps și că rămân cu D-Link-ul. Aveam dreptate despre limitele hardware. Dar nu înțelegeam complet ce cumpărasem: nu un router, ci o platformă deschisă care a schimbat industria.

WRT54GL a demonstrat că firmware-ul open source poate transforma hardware modest în ceva mult mai capabil — și că producătorii care publică codul sursă creează comunități care le extind produsele gratuit. Lecția a dus la GL.iNet, la ASUS Merlin, la toate routerele moderne care sunt mai bune tocmai pentru că WRT54GL a existat.

Nu mai cumpăra un WRT54GL în 2025 pentru rețeaua de acasă. Dar dacă găsești unul la un târg de vechituri, merită 15 RON pentru nostalgie și un laborator de rețelistică pentru weekend.