Tomato‑Firmware auf günstigen WLAN‑Routern installieren

Frontansicht eines günstigen WLAN-Routers mit angeschlossenen Kabeln

Warum Firmware‑Tausch sinnvoll ist

Manche Router kosten nur ca. 15 US‑Dollar, andere mehrere hundert. Das liegt nicht nur an der Hardware. Die Software entscheidet, welche Funktionen verfügbar sind. Durch den Austausch der Hersteller‑Firmware gegen eine Open‑Source‑Alternative wie TomatoUSB kannst du Funktionen nachrüsten, die sonst nur teureren Geräten vorbehalten sind (VPN, detailliertes QoS, zusätzliche Dienste via USB usw.).

Kurzdefinitionen:

TomatoUSB: Open‑Source‑Firmware für Broadcom‑basierte Router.
JFFS: Flash‑Partition für zusätzliche Pakete, wenn interner Speicher verfügbar ist.

Wichtig: Nicht jeder Router wird unterstützt. Prüfe vor dem Flashen, ob dein Modell in einer kompatiblen Build‑Liste (z. B. Shibby Tomato Builds) auftaucht.

Vor dem Start — Risiken und Vorbereitung

Wichtige Hinweise:

Flashen birgt ein Restrisiko, den Router unbrauchbar zu machen (»bricken«). Lies die Hersteller‑ und Community‑Dokumentation deines Modells.
Sichere aktuelle Einstellungen, falls möglich.
Notiere die Seriennummer und originale Firmware‑Datei.
Verwende ein LAN‑Kabel bei kritischen Schritten; WLAN‑Verbindungen sind riskant während eines Flash‑Vorgangs.

Was du brauchst:

Ein kompatibler Router
Ethernet‑Kabel
Ein Computer mit SSH‑Client (PuTTY unter Windows, Terminal unter macOS/Linux)
Internetzugang für Paketinstallation

Schritt‑für‑Schritt Anleitung

Schritt 0: Kompatibilität prüfen

Suche in der Tomato‑Community nach deiner Router‑Bezeichnung. Wenn dein Modell nicht unterstützt wird, nutze Alternativen (siehe Abschnitt Alternative Ansätze).

Schritt 1: JFFS‑Partition erstellen

Wenn deine Firmware Speicherplatz für zusätzliche Pakete braucht, erstelle eine JFFS‑Partition.

Im Web‑Interface: Administration → JFFS → Enable → Format Erase

In das Textfeld kopiere und bestätige dann:

mount -o bind /jffs /opt

Warte einige Minuten. Wenn keine Fehlermeldung erscheint, starte den Router neu.

Hinweis: Wenn du stattdessen ein USB‑Laufwerk nutzen willst, kannst du dort eine Partition anlegen und diese Route wählen. Die folgenden Schritte gehen davon aus, dass /opt verfügbar ist (JFFS oder USB).

Schritt 2: Admin‑Port anpassen

Ändere unter Administration → Admin Access den Standard‑Port für die Weboberfläche (z. B. auf 8082). Das hilft, den Admin‑Zugriff getrennt vom Webserver zu betreiben.

Beispiel zum Zugriff:

https://ip_router:8082
# Standardbeispiel: https://192.168.1.1:8082

Schritt 3: SSH‑Zugriff

Verbinde dich per SSH zum Router. Unter macOS/Linux im Terminal:

ssh -l root 192.168.1.1

Benutzername: root Passwort: das Admin‑Passwort des Routers

Unter Windows: PuTTY oder ein anderes SSH‑Tool.

Schritt 4: Optware installieren

Optware ist ein Paketmanager, mit dem zusätzliche Software auf dem Router installiert werden kann. Führe folgende Befehle im SSH‑Terminal aus:

cd /tmp
wget https://tomatousb.org/local-files/tut:optware-installation/optware-install.sh -O - | tr -d '\r' > /tmp/optware-install.sh
chmod 755 /tmp/optware-install.sh
sh /tmp/optware-install.sh

Hinweis: Diese Befehle laden ein Installationsskript herunter und führen es aus. Die Dauer hängt von deiner Internetverbindung und der CPU‑Leistung des Routers ab.

Schritt 5: Basispakete installieren

Installiere grundlegende Pakete wie einen Editor, Webserver und PHP:

ipkg install nano
ipkg install lighttpd
ipkg install php-fcgi

(ipkg ist der Paketmanager, den Optware bereitstellt)

Schritt 6: lighttpd konfigurieren

Öffne die Konfigurationsdatei:

nano /opt/etc/lighttpd/lighttpd.conf

Füge oder passe folgende Zeilen an:

server.event-handler = "poll"
server.port = 80

Speichere die Datei und schließe den Editor.

Schritt 7: Webserver neu starten und Firewall anpassen

Starte den Webserver neu:

/opt/etc/init.d/S80lighttpd restart

Lege deine Webdateien unter /opt/share/www/ ab.

Wenn der Webserver vom WAN erreichbar sein soll, füge diese Regeln in Administration → Scripts → Firewall ein:

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT

Achte streng auf Sicherheitsaspekte, wenn du Dienste ins WAN öffnest (siehe Abschnitt Sicherheits‑Hardening).

Wann das Vorgehen nicht funktioniert

Router hat unzureichenden Flash‑ oder RAM‑Speicher. Viele billige Modelle besitzen nur sehr wenig Speicher und starten mit custom Firmware nicht zuverlässig.
Router‑SoC ist nicht Broadcom‑basiert oder vom Tomato‑Projekt nicht unterstützt.
Hersteller sperrt Bootloader oder Recovery‑Methoden. Manche Geräte lassen kein Fremd‑Firmware zu.

Wenn der Web‑Flasher fehlschlägt, prüfe die Dokumentation des Geräts auf Notfall‑(Emergency) oder TFTP‑Recovery‑Verfahren.

Alternative Ansätze

OpenWrt: Sehr aktiv, unterstützt viele Geräte, modularer Paketaufbau.
DD‑WRT: Ebenfalls weit verbreitet, mit vielen vorkonfigurierten Builds.

Wahlhilfe: Wenn du maximale Paketvielfalt und langfristige Updates brauchst, ist OpenWrt oft die bessere Wahl. Wenn du ein einfaches, stabiles GUI mit bekannten Addons willst, kann Tomato eine gute Option sein.

Sicherheits‑Hardening (schnelle Checkliste)

Ändere das Standardadmin‑Passwort sofort.
Deaktiviere WAN‑Adminzugriff, falls nicht nötig.
Nutze HTTPS für Administrationszugang.
Öffne Ports nur gezielt und mit Zugriffsbeschränkung (IP‑Whitelist oder VPN‑Zugang).
Halte installierte Pakete aktuell (sofern verfügbar).
Deaktiviere nicht benötigte Dienste (z. B. FTP, Telnet).

Datenschutz und rechtliche Hinweise

Wenn der Router als Web‑ oder Torrentserver fungiert, beachte Datenschutzanforderungen: keine personenbezogenen Daten unverschlüsselt öffentlich zugänglich machen. Bei Einsatz in Unternehmen prüfe interne Richtlinien und gegebenenfalls DSGVO‑Konformität.

Checkliste vor Inbetriebnahme

Admin‑Checkliste:

Kompatibilität geprüft
Backup der Originalkonfiguration erstellt
Notfall‑Recovery‑Methode notiert
JFFS oder USB als /opt verfügbar
SSH‑Zugang getestet
Basispakete installiert
Firewallregeln gesetzt

Power‑User‑Erweiterungen:

VPN‑Server einrichten (wenn Router‑Leistung es zulässt)
Transmission/Downloadserver via Optware (bei USB‑Routern)
Monitoring‑Skripte und Logrotation einrichten

Mini‑Methodologie: Vorgehensmodell in drei Phasen

Prüfen: Gerät, Speicher, Builds, Recovery‑Optionen.
Basis: Flashen, JFFS/USB, Optware, Basispakete installieren.
Härtung & Betrieb: Dienste sichern, Monitoring, Backup‑Plan.

1‑Zeilen Glossar

JFFS: Flash‑Partition für persistente Optware‑Installationen.
Optware: Paketmanager für Embedded‑Linux auf Routern.
ipkg: Paketinstallationswerkzeug von Optware.
lighttpd: Leichter Webserver, geeignet für Router‑Umgebungen.
TomatoUSB: Community‑Firmware für Broadcom‑Router.

Fazit

TomatoUSB kann günstigen Routern mächtige Funktionen hinzufügen, ist aber an Modell, Flashgröße und CPU‑Leistung gebunden. Plane die Schritte sorgfältig, sichere vorhandene Konfigurationen und härtet das System nach der Installation. Wenn dein Gerät nicht unterstützt wird, ziehe Alternativen wie OpenWrt in Betracht.