Bevrijd je TP-Link Deco M4R van TP-Links cloud — flash OpenWrt voor 100% lokale controle

Het privacyargument — waarom dit ertoe doet

Deze guide behandelt OpenWrt TP-Link Deco M4R installatie via een TFTP-exploit om de vergrendelde bootloader permanent te omzeilen..Waarom zou een hardwarefabrikant je verplichten een cloudaccount aan te maken voor een apparaat dat je netwerk nooit verlaat? TP-Link noemt dit “plug-and-play gemak.” Wat het in de praktijk betekent: je geeft lokale controle uit handen, de fabrikant verzamelt telemetrie, en je wordt continu gepusht richting een betaald HomeShield-abonnement.

De Deco M4R is capabele hardware die bij jou thuis in de muur hangt. Die zou naar jou moeten luisteren, niet naar een server in een datacenter waar je geen enkel zicht op hebt. Deze guide gebruikt een exploit op hardwareniveau om de vergrendelde TP-Link-bootloader permanent te omzeilen en de firmware volledig te vervangen. Het eindresultaat is een 100% lokaal beheerd netwerkapparaat. Geen cloudafhankelijkheid. Geen verborgen uitgaand verkeer. Geen account vereist. Nooit meer.

Dit is dezelfde filosofie die achter elke guide op deze site zit. Als je al Home Assistant op Proxmox draait of je eigen diensten self-host, is je netwerkhardware terugclaimen de logische volgende stap.

OpenWrt TP-Link Deco M4R: voor wie is deze guide bedoeld?

Community-context: Op r/openwrt noemen gebruikers die de Deco M4R flashen VLAN-tagging consequent als voornaamste reden. De standaardfirmware heeft geen VLAN-ondersteuning. Voor iedereen die IoT-apparaten, slimme thuissensoren of een gastnetwerk gebruikt, is die beperking alleen al een dealbreaker.

Vereisten en minimale hardware

Hardwarevereisten

• TP-Link Deco M4R — versie 1 of versie 2. Beide delen dezelfde hardwarearchitectuur en gebruiken identieke firmwarebestanden.
• Windows-pc of laptop — Windows 10 of Windows 11. Deze guide gebruikt Windows-specifieke stappen voor het instellen van de TFTP-server.
• UTP-netwerkkabel — directe verbinding tussen je pc en de Deco. Geen switch ertussen.
• Paperclip of simkaart-uitwerper — om de verzonken resetknop aan de onderkant van het apparaat ingedrukt te houden.

Benodigde softwaredownloads

Kritieke bestandscontrole vooraf

⚠️ WAARSCHUWING — Lees dit voordat je de router aanraakt

Het initramfs-bestand dat je downloadt via de OpenWrt Firmware Selector heeft een lange bestandsnaam met versienummer. Je moet dit bestand hernoemen naar exact initramfs-kernel.bin voordat je verdergaat. De bestandsnaam is hoofdlettergevoelig. Geen spaties. Geen versienummers toegevoegd. Geen extra tekens van welke aard dan ook.

Alle vier bestanden moeten in één map op je bureaublad staan.

Als de bestandsnaam niet klopt, mislukt de TFTP-overdracht zonder enige foutmelding. De router start OpenWrt niet op. Je ziet geen foutmelding. Hernoem het bestand nu.

Methode 1 — De snelle start (beginnerroute): flash OpenWrt via TFTP-herstel

TP-Link heeft het normale firmware-updatepad op de Deco M4R geblokkeerd. We gaan via een hardware-resetsequentie een verborgen herstelmodus activeren, waarna we een nep-firmwarebestand gebruiken om de bootloader te misleiden zodat die echte OpenWrt van je pc ophaalt. Volg elke stap op volgorde. Sla niets over.

Stap 1 — Isoleer je pc en stel een statisch IP-adres in

Je pc heeft een vast, bekend IP-adres nodig zodat de Deco die tijdens de TFTP-overdracht kan vinden. Schakel Windows Firewall volledig uit voordat je verdergaat.

1. Koppel je pc los van je thuisnetwerk. Verwijder eventuele netwerkkabels en schakel wifi uit indien van toepassing.
2. Sluit je netwerkkabel rechtstreeks aan van je pc op de Deco M4R. Geen switch. Geen hub. Alleen direct.
3. Open Windows-instellingen en ga naar Netwerk en internet → Adapteropties wijzigen.
4. Klik met de rechtermuisknop op je netwerkadapter → Eigenschappen → selecteer Internetprotocol versie 4 (TCP/IPv4) → klik op Eigenschappen.
5. Selecteer Het volgende IP-adres gebruiken en voer het volgende in:

   IP Address:    192.168.0.2
   Subnet Mask:   255.255.255.0
   Gateway:       (leeg laten)

6. Klik op OK om op te slaan. Sluit het venster met adaptereigenschappen.
7. Open Windows Defender Firewall (zoek ernaar via het startmenu).
8. Klik op Windows Defender Firewall in- of uitschakelen.
9. Zet de firewall UIT voor zowel Privénetwerken als Openbare netwerken. Klik op OK.

⚠️ WAARSCHUWING: De firewall moet volledig uitgeschakeld zijn voor beide netwerkprofielen. Gedeeltelijk uitschakelen is niet voldoende. Windows Firewall blokkeert de TFTP-overdracht. Als de firewall actief is in welk profiel dan ook, mislukt de bestandsoverdracht zonder enige foutmelding.

Stap 2 — Configureer Tftpd64 en activeer de herstelmodus

1. Open Tftpd64.
2. Klik op Browse naast “Current Directory” en selecteer de bureaubladmap met alle vier bestanden.
3. Selecteer in het dropdown-menu Server interfaces de optie 192.168.0.2.
4. Laat Tftpd64 op de achtergrond draaien. Sluit het niet.
5. Koppel het netsnoer van de Deco M4R los.
6. Steek een paperclip in het verzonken RESET-gaatje aan de onderkant van het apparaat. Houd de knop continu ingedrukt.
7. Sluit terwijl je de resetknop ingedrukt houdt het netsnoer weer aan.
8. Blijf de resetknop 10 tot 15 seconden ingedrukt houden totdat de led aan de bovenkant van het apparaat volledig donker wordt.

ℹ️ INFO: Het doven van de led bevestigt dat de Deco de herstelmodus heeft geactiveerd. Je kunt de resetpen nu loslaten. Het apparaat wacht op een TFTP-verbinding.

Stap 3 — Voer de exploit uit (de nep-firmware-injectie)

1. Open je webbrowser en ga naar http://192.168.0.1.
2. Er verschijnt een sobere TP-Link-firmware-updatepagina. Dit is de webinterface van de herstelmodus.
3. Klik op de bestandsselectieknop en kies deco_all_webfailsafe_faux_fw_tftp_v2.bin.
4. Klik op Upgrade.
5. De browser toont een foutmelding: “Upgrade Failed”.

✅ GESLAAGD: “Upgrade Failed” is het verwachte en correcte resultaat. Klik niet op opnieuw proberen. Ververs de pagina niet. Deze foutmelding betekent dat de exploit werkt zoals bedoeld. Het nep-firmwarebestand heeft zijn werk gedaan.

6. Schakel direct over naar het Tftpd64-venster op je pc. Je ziet een voortgangsbalk verschijnen terwijl de router initramfs-kernel.bin via TFTP van je pc ophaalt.
7. Wacht tot de overdracht is voltooid. De Deco herstart automatisch. De led knippert groen.

ℹ️ INFO: De router draait nu OpenWrt volledig in RAM. Dit is een tijdelijke toestand. Als de stroom uitvalt voordat stap 4 is voltooid, keert de router terug naar zijn oorspronkelijke staat en moet je opnieuw beginnen vanaf stap 2. Ga direct verder.

Stap 4 — Schrijf OpenWrt permanent naar flash (sysupgrade)

1. Ga terug naar de netwerkadapterinstellingen van Windows. Zet de IPv4-configuratie terug op Automatisch een IP-adres verkrijgen (DHCP). Klik op OK.
2. Koppel je netwerkkabel los en sluit hem opnieuw aan om een nieuw DHCP-lease van de Deco te forceren, die nu OpenWrt draait.
3. Open je browser en ga naar http://192.168.1.1.
4. Het LuCI-inlogscherm verschijnt. Log in zonder wachtwoord.
5. Ga naar System → Backup / Flash Firmware.
6. Scroll naar beneden naar het gedeelte Flash new firmware image.
7. Klik op Choose File en selecteer sysupgrade.bin.
8. Klik op Flash image.

⚠️ KRITIEKE WAARSCHUWING: Op het bevestigingsscherm zie je een selectievakje met de tekst “Keep settings and retain the current configuration.” Je moet dit vakje uitvinken. De RAM-gebaseerde OpenWrt-instantie heeft geen geldige configuratie die het bewaren waard is. Een schone lei is vereist. Als je dit aangevinkt laat, riskeer je een corrupte of onvolledige configuratie naar flash te schrijven.

9. Klik op Continue. De router schrijft OpenWrt naar zijn flashgeheugen en herstart automatisch. Dit duurt ongeveer 3 minuten. Koppel de stroom tijdens dit proces niet los.
10. OpenWrt is nu permanent geïnstalleerd op je Deco M4R.

Methode 2 — De pro-instelling: configureer als dumb access point

Architectuurkeuze — waarom een dumb AP?

Een dumb access point verzorgt alleen de wifi-radiofuncties. Alle routering, DHCP-adrestoewijzing en firewalllogica blijven bij je hoofdrouter. Dit voorkomt double-NAT-problemen die ontstaan wanneer twee apparaten op je netwerk tegelijkertijd als router proberen te fungeren. Als je al een capabele hoofdrouter hebt, is dit de juiste configuratie. De Deco wordt een schone wifi-uitbreiding zonder routeringsoverhead.

Stap 5 — Schakel routering uit en wijs een statisch LAN-IP toe

1. Log in op LuCI via http://192.168.1.1 zonder wachtwoord.
2. Ga naar Network → Interfaces.
3. Zoek de LAN-interface en klik op Edit.
4. Zet het dropdown-menu Protocol op Static address.
5. Voer in het veld IPv4 address een vrij IP-adres in binnen het subnet van je hoofdrouter, in CIDR-notatie:

   IPv4 Address:  10.10.10.252/24

ℹ️ INFO: Het achtervoegsel /24 is verplicht in moderne OpenWrt-versies. Het vervangt het afzonderlijke subnetmaskveld (255.255.255.0) uit oudere versies. Als je het IP-adres zonder /24 invoert, past OpenWrt het juiste subnetmasker niet toe. Pas het IP-bereik aan zodat het overeenkomt met je eigen netwerk. Als je hoofdrouter op 192.168.1.1 zit, gebruik dan bijvoorbeeld 192.168.1.252/24.

6. Voer in het veld IPv4 gateway het IP-adres van je hoofdrouter in (bijvoorbeeld 10.10.10.1).
7. Voer in het veld Custom DNS servers hetzelfde IP-adres van je hoofdrouter in.
8. Klik op het tabblad DHCP Server bovenaan het bewerkingspaneel van de interface.
9. Vink het vakje Ignore interface aan.

⚠️ WAARSCHUWING: Als je de DHCP-server op de Deco niet uitschakelt, ontstaan er IP-adresconflicten op je netwerk. Zowel je hoofdrouter als de Deco delen dan IP-adressen uit, en apparaten krijgen onvoorspelbare toewijzingen. Schakel DHCP altijd uit bij het configureren van een dumb AP.

10. Ga terug naar het tabblad General Settings. Zoek het veld Firewall zone en stel dit in op unspecified (laat het leeg).
11. Klik op Save and Apply.

Stap 6 — Schakel wifi-radio’s in en configureer ze

1. Ga naar Network → Wireless.
2. Je ziet twee radio-interfaces: één voor 2,4 GHz en één voor 5 GHz. Klik op Enable bij elk.
3. Klik voor elke radio op Edit en configureer het volgende onder het gedeelte Interface Configuration:

   SSID:        YourNetworkName
   Encryption:  WPA2-PSK
   Password:    YourStrongPassword

4. Klik na het configureren van elke radio op Save and Apply.
5. Sluit de LAN-poort van de Deco M4R met een netwerkkabel aan op een LAN-poort van je hoofdrouter. Gebruik niet de WAN-poort van de Deco.

Stap 7 — Geavanceerde uitbreidingen (alleen voor pro’s)

Het dumb AP is op dit punt volledig functioneel. Dit zijn de logische volgende uitbreidingen voor gebruikers die verder willen gaan.

• Bufferbloat-beheer: Installeer luci-app-sqm via System → Software. SQM (Smart Queue Management) elimineert de latentiepieken die optreden wanneer je verbinding verzadigd is. Cruciaal voor gaming en videovergaderen.
• IoT-VLAN-isolatie: Configureer een gast-VLAN om slimme thuisapparaten op een apart netwerksegment te plaatsen, volledig geïsoleerd van je persoonlijke computers en NAS. Dit is de functie die de meeste gebruikers ertoe aanzet OpenWrt te flashen.
• Netwerkbrede advertentieblokkering: Installeer het pakket adblock als Pi-hole-alternatief. DNS-gebaseerde blokkering op routerniveau dekt elk apparaat op je netwerk zonder per-apparaatconfiguratie.
• SSH-beveiliging: Schakel wachtwoordgebaseerde SSH-authenticatie uit en gebruik in plaats daarvan sleutelgebaseerde authenticatie:

  ssh-copy-id [email protected]

Configuratie en validatie — bevestig dat alles werkt

Controlelijst na het flashen

Werk deze lijst van boven naar beneden af voordat je de installatie als voltooid beschouwt.

• ☐ Browser bereikt http://192.168.1.1 (of je nieuwe statische IP) zonder fout
• ☐ LuCI-dashboard laadt en toont het OpenWrt-versienummer
• ☐ Beide wifi-radio’s zijn zichtbaar onder Network → Wireless
• ☐ Je SSID zendt uit en accepteert een WPA2-verbinding van een testapparaat
• ☐ Het testapparaat ontvangt een IP-adres van je hoofdrouter, niet van de Deco — dit bevestigt dat DHCP correct is uitgeschakeld
• ☐ ping 8.8.8.8 slaagt vanaf het testapparaat — dit bevestigt dat de upstream-routering via je hoofdrouter intact is
• ☐ Er verschijnen geen TP-Link-domeinen in je DNS-querylogs — dit bevestigt dat de cloudverbinding is verbroken

Verifieer dat er geen uitgaand TP-Link-verkeer is

Als je harde bevestiging wilt dat de Deco niet meer naar huis belt, log je via SSH in op het apparaat en voer je een pakketopname uit. Hiervoor moet het pakket tcpdump geïnstalleerd zijn (System → Software → zoek op tcpdump).

ssh [email protected]
tcpdump -i br-lan host tplinkcloud.com

ℹ️ INFO: Geen uitvoer van dit commando betekent geen verkeer naar de cloudinfrastructuur van TP-Link. De verbinding is permanent verbroken. Laat het 60 seconden draaien om zeker te zijn.

De eerlijke waarheid — eigenaardigheden, beperkingen en echte kanttekeningen

Wat je inlevert door de standaardfirmware achter je te laten

Dit is wat je opgeeft.

• Automatisch mesh-roaming: Als je meerdere Deco-apparaten hebt, is naadloos automatisch roamen daartussen verdwenen. Je kunt dit gedrag in OpenWrt repliceren met 802.11r Fast BSS Transition en 802.11k neighbor reports, maar dat vereist handmatige configuratie.
• Beheer via smartphone-app: De TP-Link Deco-app werkt niet meer. Alles wordt beheerd via de browsergebaseerde LuCI-interface. Voor de meeste self-hosters is dit een verbetering, geen verslechtering.
• Firmware-updates met één tik: OpenWrt-updates zijn een handmatig proces. Je downloadt het nieuwe sysupgrade-bestand en flasht het via LuCI. Dat kost ongeveer vijf minuten.
• HomeShield-functies: Volledig afwezig. HomeShield is een betaalde abonnementsdienst gebouwd op cloudafhankelijkheid. Het wegvallen ervan is geen verlies.

OpenWrt-specifieke beperkingen op deze hardware

• LuCI is mogelijk niet voorgeïnstalleerd: Sommige builds van de OpenWrt Firmware Selector worden zonder LuCI geleverd. Als je na het flashen naar http://192.168.1.1 gaat en niets ziet, is SSH-toegang nog steeds beschikbaar. Installeer LuCI via: opkg update && opkg install luci.
• Terugkeren naar standaardfirmware is mogelijk maar niet ondersteund: Je kunt het proces terugdraaien via de TFTP-methode met het originele TP-Link-firmwarebestand. TP-Link biedt echter geen officieel ondersteuningspad voor dit scenario. Ga verder met het besef dat OpenWrt je nieuwe permanente firmware is.
• Verificatie van de hardwareversie is verplicht: V1 en V2 delen dezelfde architectuur en firmwarebestanden, maar controleer altijd de uitvoer van de OpenWrt Firmware Selector aan de hand van de exacte hardwarerevisie op het label van je apparaat voordat je flasht.

Veelvoorkomende fouten oplossen

Fout: 192.168.0.2 verschijnt niet in het dropdown-menu van Tftpd64

Oorzaak: Windows heeft de statische IP-toewijzing nog niet verwerkt, of de Deco heeft geen stroom en de Ethernet-verbinding is inactief.

Oplossing:

• Controleer of de Deco ingeschakeld is en de netwerkkabel aan beide uiteinden goed is aangesloten voordat je Tftpd64 opent.
• Sluit Tftpd64 volledig, stel het statische IP in Windows in en open Tftpd64 opnieuw. De interface verschijnt in het dropdown-menu zodra Windows de actieve verbinding registreert.

Fout: “Upgrade Failed” verschijnt maar Tftpd64 toont geen activiteit

Oorzaak 1: Windows Defender Firewall is nog actief en blokkeert de TFTP-overdracht.

Oplossing 1: Ga terug naar de Windows Defender Firewall-instellingen en bevestig dat deze uitgeschakeld is voor zowel het privé- als het openbare netwerkprofiel. Gedeeltelijk uitschakelen is niet voldoende.

Oorzaak 2: Het initramfs-bestand is niet exact hernoemd naar initramfs-kernel.bin.

Oplossing 2: Controleer de bestandsnaam teken voor teken. Geen versieachtervoegsel. Geen afwijkende hoofdletters. Geen spaties. Hernoem het bestand en probeer opnieuw vanaf stap 2.

Fout: Geen toegang tot LuCI na het