1. Samenvatting
OpenWrt is een op Linux gebaseerd besturingssysteem dat voornamelijk is ontworpen voor routers, toegangspunten, gateways voor thuisgebruik en andere ingebedde netwerkapparaten. In tegenstelling tot de typische routerfirmware van leveranciers, is OpenWrt gebouwd als een aanpasbaar besturingssysteem met een beschrijfbaar bestandssysteem, pakketbeheer, opdrachtregeltoegang, webgebaseerd beheer, firewallcontrole, VPN-ondersteuning, VLAN-ondersteuning, traffic shaping en uitgebreide serviceconfiguratie. Het OpenWrt-project beschrijft het als een Linux-besturingssysteem voor ingebedde apparaten dat statische firmware van leveranciers vervangt door een volledig beschrijfbaar bestandssysteem en pakketbeheer.
Vanaf 21 juni 2026 is de huidige stabiele OpenWrt release vermeld op de officiële downloadpagina OpenWrt 25.12.4, uitgebracht op 13 mei 2026. OpenWrt 25.12 introduceerde een grote wijziging in pakketbeheer van opkg naar apk, voegde standaard Attended Sysupgrade-integratie toe en ondersteunt meer dan 2.200 apparaten in de 25.12 serie.
2. Wat is OpenWrt
OpenWrt kan het best worden begrepen als een routergerichte Linux-distributie in plaats van alleen maar vervangende routerfirmware. Het omvat een Linux-kernel, netwerkdiensten, firewalltools, configuratiesystemen, een pakketbeheerder en optioneel webbeheer via LuCI. Het doel is om gebruikers controle te geven over apparaten die normaal gesproken worden geleverd met beperkte, door de leverancier gecontroleerde firmware.
Een normale consumentenrouterfirmware heeft meestal slechts een beperkte webinterface. OpenWrt onthult het onderliggende besturingssysteem. Gebruikers kunnen pakketten installeren, de systeemconfiguratie bewerken, services uitvoeren, firewallzones creëren, VPN-gateways bouwen, netwerken segmenteren, VLAN's configureren, verkeer monitoren en routergedrag automatiseren.
In praktische termen verandert OpenWrt compatibele hardware in een programmeerbaar netwerkapparaat.
3. Waarom OpenWrt bestaat
De meeste routerleveranciers leveren firmware die vergrendeld is, zelden wordt bijgewerkt en beperkt is tot de functies die de leverancier heeft uitgekozen. OpenWrt hanteert een andere aanpak:
| Firmware van de leverancier | OpenWrt |
|---|---|
| Meestal statisch beeld | Beschrijfbaar, pakketbeheerd systeem |
| Beperkte webinterface | Web UI, SSH, scripting en configuratiebestanden |
| Leveranciergestuurde functies | Door de gebruiker beheerde pakketten en diensten |
| Vaak korte updatelevenscyclus | Door de community onderhouden releases |
| Apparaatspecifiek gedrag | Algemeen OpenWrt-configuratiemodel voor ondersteunde apparaten |
In de eigen README van OpenWrt wordt uitgelegd dat het project gebruikers bevrijdt van door de leverancier geselecteerde applicaties en configuraties, waardoor het apparaat via pakketten kan worden aangepast.
4. Huidige releasecontext
Op de officiële downloadpagina staat momenteel OpenWrt 25.12.4 als de nieuwste stabiele release. De stabiele serie van 25.12 introduceerde een aantal belangrijke veranderingen:
| Gebied | Verandering |
|---|---|
| Pakketbeheerder | Overgeschakeld van opkg naar apk |
| Upgrades | Bijgewoonde Sysupgrade LuCI-app is standaard geïnstalleerd |
| Apparaatondersteuning | Meer dan 2.200 ondersteunde apparaten in de 25.12-serie |
| Scripts | Wi-Fi-scripts herschreven in ucode |
| Upgrade-model | Betere ondersteuning voor het opnieuw opbouwen van firmware-images met geïnstalleerde pakketten |
OpenWrt 25.12 is overgestapt van de traditionele opkg pakketbeheerder naar apk, de Alpine Package Keeper. In de release notes staat dat apk nog steeds wordt onderhouden, terwijl de OpenWrt opkg vork niet langer wordt onderhouden. In de OpenWrt pakketdocumentatie staat dat OpenWrt 25.12 en nieuwer apk gebruiken, terwijl OpenWrt 24.10 en ouder opkg gebruiken.
5. Architectuur van het kernbesturingssysteem
OpenWrt is opgebouwd uit verschillende op elkaar afgestemde systeemcomponenten.
| Onderdeel | Rol |
|---|---|
| Linux kernel | Hardwarestuurprogramma's, netwerkstack, firewall-hooks, routing, draadloze ondersteuning |
| procd | Init- en procesmanagement |
| ubus | Communicatie tussen processen en RPC-systeem |
| netifd | Netwerkinterfacebeheer-daemon |
| UCI | Uniform configuratiesysteem |
| fw4 / firewall4 | Firewallbeheer met nftables |
| dnsmasq | DNS-forwarding en DHCP-services |
| odhcpd | DHCPv6- en routeradvertentieservices |
| LuCI | Webgebaseerde beheerinterface |
| apk / opkg | Pakketbeheer, afhankelijk van de OpenWrt-versie |
In de OpenWrt-documentatie wordt procd beschreven als de procesbeheerdaemon van het project, die wordt gebruikt voor init- en daemonbeheer. ubus is het interne communicatiesysteem dat door veel OpenWrt-diensten wordt gebruikt. netifd is de configuratiedaemon voor de netwerkinterface van OpenWrt.
6. Ontwerp van bestandssysteem
Het bestandssysteem van OpenWrt is ontworpen voor ingebouwde flash-opslag. In de officiële documentatie wordt beschreven dat OpenWrt SquashFS en JFFS2 gecombineerd tot en met OverlayFS gebruikt.
Het praktijkmodel is:
| Laag | Doel |
|---|---|
| Alleen-lezen SquashFS basis | Slaat de gecomprimeerde firmware-image op |
| Beschrijfbare overlay | Slaat wijzigingen, geïnstalleerde pakketten en configuratie op |
| OverlayFS | Presenteert beide lagen als één bruikbaar rootbestandssysteem |
Dit ontwerp geeft OpenWrt een belangrijk herstelvoordeel. De basisfirmware blijft alleen-lezen, terwijl gebruikerswijzigingen live plaatsvinden in de beschrijfbare overlay. Een fabrieksreset kan de overlay verwijderen en het systeem terugbrengen naar de oorspronkelijke flitsstatus.
Een belangrijke beperking is opslagruimte. Veel routers hebben kleine flashchips. Het installeren van te veel pakketten kan de overlay vullen. De ondersteuning voor Attended Sysupgrade van OpenWrt 25.12 helpt doordat firmware-images opnieuw kunnen worden opgebouwd met geïnstalleerde pakketten geïntegreerd in SquashFS, wat in de release-opmerkingen wordt beschreven als opslagefficiënter dan het bewaren van die pakketten in overlay-opslag.
7. UCI: het configuratiesysteem van OpenWrt
OpenWrt gebruikt UCI, de Unified Configuration Interface, om de systeemconfiguratie te centraliseren. UCI slaat de configuratie op in leesbare tekstbestanden, meestal onder:
/etc/config/
In de OpenWrt-documentatie wordt UCI beschreven als een klein hulpprogramma bedoeld om de configuratie van een apparaat met OpenWrt te centraliseren. In de gebruikersdocumentatie staat dat UCI-configuratiebestanden bestaan uit secties en opties die werkelijke waarden definiëren.
Veel voorkomende UCI-bestanden zijn onder meer:
| Bestand | Doel |
|---|---|
| /etc/config/netwerk | Interfaces, bruggen, VLAN's, IP-adressen |
| /etc/config/wireless | Wi-Fi-radio's, SSID's, encryptie |
| /etc/config/firewall | Zones, regels, doorsturen, NAT |
| /etc/config/dhcp | DHCP, DNS, statische leases |
| /etc/config/system | Hostnaam, tijdzone, loggen |
| /etc/config/m² | Instellingen voor slim wachtrijbeheer |
Voorbeeld UCI-opdrachten:
uci show network
uci show wireless
uci show firewall
uci set system.@system[0].hostname='openwrt-router'
uci commit system
UCI is van belang omdat het OpenWrt een consistente configuratielaag geeft op veel hardwareplatforms. Gebruikers kunnen dezelfde concepten op verschillende routers configureren zonder de privéfirmwarestructuur van elke leverancier te leren kennen.
8. LuCI webinterface
LuCI is de webgebaseerde configuratie-interface van OpenWrt. De OpenWrt LuCI repository beschrijft LuCI als de “OpenWrt Configuratie-interface.”
LuCI biedt browsergebaseerde toegang tot algemene administratieve taken, waaronder:
- Netwerkinterfaces
- Draadloze instellingen
- Firewallzones en regels
- DHCP en DNS
- Softwarepakketten
- Systeemlogboeken
- Opnieuw opstarten en back-ups maken
- Firmware-upgrades
- Optionele servicepagina's, zoals SQM, VPN, advertentieblokkering en statistieken
LuCI is nuttig voor de meeste routerbezitters omdat het de belangrijkste functies van OpenWrt blootlegt zonder gebruik van de opdrachtregel. Gevorderde gebruikers combineren LuCI nog steeds vaak met SSH omdat niet elk pakket of elke edge-case-configuratie een volledige grafische interface heeft.
9. Pakketbeheer
Met de pakketbeheerder van OpenWrt kunnen gebruikers na de installatie functies toevoegen of verwijderen.
Voor OpenWrt 25.12 en nieuwer gebruikt u apk:
apk update
apk add luci-app-sqm
apk add wireguard-tools
apk del package-name
Voor OpenWrt 24.10 en ouder gebruikt u opkg:
opkg update
opkg install luci-app-sqm
opkg remove package-name
In de pakketdocumentatie van OpenWrt staat dat OpenWrt 25.12 en nieuwer apk gebruiken, terwijl 24.10 en ouder opkg gebruiken. In de speciale apk-documentatie wordt vermeld dat apk wordt gebruikt in OpenWrt 25.12 en nieuwer.
Pakketbeheer is een van de sterkste functies van OpenWrt, maar moet zorgvuldig worden gebruikt. Routers hebben een beperkte hoeveelheid flash- en RAM-geheugen, en kernelgerelateerde pakketten moeten overeenkomen met de actieve build. Voor grote upgrades is het Attended Sysupgrade-systeem van OpenWrt meestal veiliger dan de router als een desktop Linux-machine te behandelen en elk aanwezig pakket blindelings te upgraden.
10. Netwerkmodel
Het netwerkmodel van OpenWrt scheidt apparaten, interfaces, bruggen, firewallzones en services.
Apparaten
Een apparaat is een fysiek of virtueel netwerkobject, zoals:
eth0
eth1
br-lan
wlan0
br-lan.10
Interfaces
Een interface definieert hoe OpenWrt een apparaat gebruikt. Voorbeelden:
lan
wan
guest
iot
vpn
Bruggen
Een bridge verbindt meerdere poorten of draadloze netwerken tot één Layer 2-netwerk. Een veel voorkomende standaard is:
br-lan
VLAN's
VLAN's zorgen ervoor dat één fysiek netwerk meerdere geïsoleerde logische netwerken kan vervoeren. OpenWrt gebruikt DSA op veel moderne doelen, en de officiële DSA mini-tutorial behandelt voorbeelden zoals overbrugde LAN-poorten, meerdere overbrugde netwerken en VLAN-tagging.
DHCP en DNS
OpenWrt gebruikt standaard dnsmasq en odhcpd voor DNS-, DHCP- en DHCPv6-gerelateerde functies. In de documentatie van OpenWrt staat dat dnsmasq en odhcpd standaard DNS, DHCP en DHCPv6 bedienen.
11. Firewall-architectuur
Moderne OpenWrt-releases gebruiken firewall4, ook wel fw4 genoemd, met nftables als de backend. Volgens de firewalldocumentatie van OpenWrt gebruikt OpenWrt firewall4 met netfilter nftables. In de configuratiedocumentatie van de firewall staat ook dat OpenWrt 22.03 en later standaard wordt geleverd met firewall4.
OpenWrt firewalling is meestal georganiseerd in zones:
| Zone | Typische betekenis |
|---|---|
| LAN | Vertrouwd intern netwerk |
| wan | Internetgericht netwerk |
| gast | Geïsoleerd gastennetwerk |
| iot | Gesegmenteerd netwerk voor slimme apparaten |
| vpn | VPN-tunnelinterface |
Een typisch ontwerp van een routerfirewall zorgt ervoor dat LAN-clients WAN kunnen bereiken, ongevraagd WAN-naar-LAN-verkeer blokkeren en alleen specifieke inkomende services toestaan als de beheerder regels maakt.
In de documentatie over de beveiliging van OpenWrt staat dat OpenWrt standaard veilig is aan de WAN-kant, omdat ongevraagd verkeer niet door de firewall wordt toegelaten.
12. Draadloos netwerken
OpenWrt kan functioneren als toegangspunt, client, repeater, mesh-deelnemer of multi-SSID-router, afhankelijk van de hardware en driverondersteuning.
Belangrijke Wi-Fi-concepten zijn onder meer:
| Begrip | Betekenis |
|---|---|
| Radio | Fysieke Wi-Fi-chipset |
| SSID | Broadcast Wi-Fi-netwerknaam |
| AP-modus | Router biedt Wi-Fi-toegang |
| Client-modus | Router maakt verbinding met een ander Wi-Fi-netwerk |
| WPA2/WPA3 | Draadloze coderingsmodi |
| Landcode | Regelgevend domein dat kanalen en zendvermogen controleert |
| Meerdere SSID's | Aparte draadloze netwerken op één radio |
| Wifi voor gasten | Geïsoleerd netwerk voor niet-vertrouwde klanten |
In de OpenWrt documentatie wordt vermeld dat bij apparaten met Ethernet-poorten de draadloze verbinding om veiligheidsredenen standaard is uitgeschakeld. In de draadloze configuratiedocumentatie wordt ook vermeld dat draadloos op apparaten met Ethernet-poorten standaard is uitgeschakeld en dat LuCI naar /etc/config/wireless schrijft wanneer de draadloze instellingen worden gewijzigd.
13. Beveiligingsmodel
De kracht van OpenWrt komt voort uit transparantie, snelle patchbaarheid en beheerderscontrole. Het geeft gebruikers echter ook voldoende kracht om de router verkeerd te configureren.
Aanbevolen basislijn:
1. Stel een sterk rootwachtwoord in.
2. Stel LuCI of SSH niet bloot aan het WAN.
3. Houd beheertoegang alleen via LAN of VPN.
4. Gebruik WPA2/WPA3 met een sterk Wi-Fi-wachtwoord.
5. Schakel ongebruikte services uit.
6. Houd OpenWrt bijgewerkt.
7. Gebruik firewallzones voor scheiding van gasten en IoT.
8. Maak een back-up van de configuratie vóór grote wijzigingen.
9. Vermijd het installeren van onnodige pakketten.
10. Gebruik ondersteunde stabiele builds, geen willekeurige afbeeldingen van derden.
De standaard WAN-firewall van OpenWrt blokkeert ongevraagd inkomend verkeer, maar beheerders kunnen die houding verzwakken door services te openen, poorten door te sturen of beheer vanaf internet toe te staan.
14. Algemene OpenWrt gebruiksscenario's
14.1 Vervanging van de thuisrouter
OpenWrt kan standaardfirmware op ondersteunde routers vervangen. Veelvoorkomende redenen zijn onder meer betere updates, geavanceerde firewallregels, VPN-ondersteuning, DNS-controle, advertentieblokkering, gast-wifi, VLAN's en traffic shaping.
14.2 Toegangspunt
Een router met OpenWrt kan worden geconfigureerd als een puur toegangspunt door het routing/NAT-gedrag uit te schakelen en Wi-Fi te overbruggen naar een bestaand LAN.
14.3 Gast- en IoT-segmentatie
OpenWrt kan afzonderlijke netwerken creëren voor gasten, smart-tv's, camera's, sensoren en andere niet-vertrouwde apparaten. Dit gebeurt meestal met extra interfaces, firewallzones, DHCP-scopes en soms VLAN's.
14.4 VPN-gateway
OpenWrt heeft officiële documentatie voor zowel WireGuard server/client-instellingen als OpenVPN server/client-instellingen. Een VPN-gateway kan geselecteerde apparaten of hele netwerken door een gecodeerde tunnel leiden.
14.5 Verkeersvorming en bufferbloatcontrole
OpenWrt ondersteunt SQM, of Smart Queue Management. De SQM-documentatie beschrijft het als een geïntegreerd systeem voor planning per pakket/per stroom, actief wachtrijbeheer, verkeersvorming, snelheidsbeperking en QoS. In de SQM-documentatie wordt ook uitgelegd dat het is ontworpen om wachtrijen bij de knelpuntlink, meestal de internetverbinding, te beheren.
14.6 Advertentieblokkering op netwerkniveau
OpenWrt kan op DNS gebaseerde advertentieblokkeringspakketten uitvoeren. De OpenWrt-pakketpagina voor adblock beschrijft het als een oplossing voor het blokkeren van advertentie- en misbruikdomeinen via DNS-services zoals dnsmasq, ongebonden, benoemd of kresd.
14.7 Netwerken in laboratoria, onderzoek en kleine bedrijven
OpenWrt is nuttig voor laboratoria omdat het echte routing-, firewalling-, VLAN-, VPN-, DNS-, DHCP- en draadloze concepten in een compact systeem blootlegt. Het kan worden uitgevoerd op routers, x86-hardware en sommige computers met één board, afhankelijk van officiële ondersteuning.
15. Hardware-ondersteuning
OpenWrt-ondersteuning is hardwarespecifiek. Het exacte routermodel en de hardwarerevisie zijn van belang. Een modelnaam alleen is niet voldoende, omdat leveranciers vaak meerdere hardwarerevisies onder dezelfde productnaam uitbrengen.
De officiële OpenWrt Hardwaretabel is de belangrijkste plaats om de compatibiliteit te controleren. Het bevat ondersteunde apparaten en hardwaredetails. In de release-opmerkingen van OpenWrt 25.12 staat dat de 25.12-serie meer dan 2.200 apparaten ondersteunt.
Controleer bij het selecteren van hardware:
| Vereiste | Waarom het ertoe doet |
|---|---|
| Ondersteund doel | OpenWrt moet de chipset/platform ondersteunen |
| Flitsgrootte | Bepaalt firmware en pakketruimte |
| RAM-grootte | Heeft invloed op de stabiliteit en services |
| Wi-Fi-chipset | Bepaalt de ondersteuning van draadloze functies |
| Ondersteuning voor Ethernet-switches | Heeft invloed op het VLAN- en poortgedrag |
| Herstelmethode | Belangrijk als het knipperen mislukt |
| Hardwarerevisie | Voor verschillende revisies zijn mogelijk verschillende afbeeldingen nodig |
16. OpenWrt versus pfSense, OPNsense, DD-WRT en leveranciersfirmware
| Systeem | Beste pasvorm |
|---|---|
| OpenWrt | Ingebouwde routers, AP's, compacte Linux-netwerken, Wi-Fi-intensieve implementaties |
| pfSense | Firewallapparatuur, x86-systemen, routing/firewalling in bedrijfsstijl |
| OPNsense | x86 firewall/router-apparaten met krachtige web-UI |
| DD-WRT | Vervanging van routerfirmware met eenvoudigere geavanceerde functies |
| Firmware van de leverancier | Basis thuisgebruikers die geen maatwerk nodig hebben |
OpenWrt draait op ingebouwde routerhardware terwijl Linux netwerkfuncties beschikbaar zijn, zoals firewallregels, VLAN's, Wi-Fi-controle, VPN-pakketten, SQM en DNS-tools. pfSense en OPNsense passen meestal op grotere x86-firewallapparaten. Firmware van leveranciers is eenvoudiger, maar minder flexibel.
17. Sterke punten
De belangrijkste sterke punten van OpenWrt zijn:
- Volledige controle over het routergedrag.
- Op pakketten gebaseerde functie-uitbreiding.
- Sterke firewall- en routeringsflexibiliteit.
- Ondersteuning voor VLAN's, gastnetwerken, VPN's, SQM en DNS-controle.
- Consistent configuratiemodel op ondersteunde apparaten.
- Open-source ontwikkelingsmodel.
- Actief apparaat- en pakket-ecosysteem.
- Handig voor zowel thuisnetwerken als technische laboratoria.
Het OpenWrt-project positioneert het systeem als zowel een firmwarevervanging voor gebruikers als een raamwerk voor ontwikkelaars om applicaties te bouwen zonder een compleet firmwaresysteem helemaal opnieuw te bouwen.
18. Beperkingen
OpenWrt is niet voor elke router of gebruiker de juiste keuze.
Belangrijke beperkingen:
| Beperking | Uitleg |
|---|---|
| Hardwarecompatibiliteit varieert | Niet elke router wordt ondersteund |
| Flash/RAM kan beperkt zijn | Kleine routers kunnen mogelijk niet veel pakketten aan |
| Wi-Fi-ondersteuning is afhankelijk van stuurprogramma's | Sommige chipsets presteren beter dan andere |
| Een verkeerde configuratie kan de toegang verbreken | Slechte firewall- of netwerkinstellingen kunnen gebruikers buitensluiten |
| Leveranciersfuncties worden mogelijk niet overgedragen | Sommige standaardfirmwarefuncties zijn bedrijfseigen |
| Upgrades vereisen zorg | Grote versiesprongen kunnen het gedrag van pakketten of configuraties veranderen |
| Builds van derden kunnen riskant zijn | Niet-officiële afbeeldingen kunnen onbekende patches of verouderde pakketten bevatten |
Voor de meeste gebruikers zijn officiële stabiele OpenWrt-afbeeldingen veiliger dan snapshots of willekeurige builds van derden.
19. Aanbevolen operationele praktijken
Gebruik de volgende werkwijzen voor een stabiele OpenWrt-werking:
1. Gebruik officiële stabiele releases.
2. Controleer de apparaatondersteuning voordat u hardware koopt.
3. Maak een back-up van /etc/config.
4. Documenteer LAN IP, VLAN's, firewallzones en Wi-Fi-instellingen.
5. Installeer alleen pakketten die u daadwerkelijk nodig heeft.
6. Stel het routerbeheer niet bloot aan internet.
7. Gebruik LuCI voor routinetaken en SSH voor geavanceerd werk.
8. Gebruik indien mogelijk een bewaakte Sysupgrade.
9. Bewaar een kopie van de herstelinstructies voor uw exacte model.
10. Test wijzigingen lokaal voordat u er op afstand op vertrouwt.
OpenWrt 25.12 bevat standaard Attended Sysupgrade-integratie, waardoor apparaten firmware-images opnieuw kunnen opbouwen met geïnstalleerde pakketten en de configuratie kunnen behouden tijdens upgrades.
20. Conclusie
OpenWrt is een compleet ingebed Linux besturingssysteem voor netwerkapparaten. De waarde ervan komt voort uit het vervangen van vergrendelde leveranciersfirmware door een transparant, pakketbeheerd, configureerbaar platform. Het geeft routereigenaren controle over firewalling, routing, Wi-Fi, DNS, DHCP, VPN's, VLAN's, traffic shaping, monitoring en automatisering.
Voor basisgebruikers kan OpenWrt complexer zijn dan standaardfirmware. Voor technische gebruikers, hubeigenaren, laboratoriumbouwers, kleine netwerken en privacybewuste thuisgebruikers biedt het een niveau van controle dat gewone routerfirmware zelden biedt. De veiligste OpenWrt-implementaties maken gebruik van ondersteunde hardware, officiële stabiele releases, minimaal noodzakelijke pakketten, zorgvuldig firewallontwerp en regelmatige configuratieback-ups.