Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #102, ИЮНЬ 2007 г.

Учимся настраивать интернет-центр

Антон Зацепин

Хакер, номер #102, стр. 024

На примере ZyXEL P-330W

Выходом в интернет из дома сейчас уже мало кого удивишь. Для владельцев домашних компьютеров это стало таким же привычным удобством, как стационарная и сотовая телефонная связь. Cо временем в семье возникает второй компьютер, потом ноутбук, КПК, IP-телефон и так далее. Очень скоро появляется желание объединить их в единую сеть, как минимум для обмена файлами, и обычно для решения этой задачи достаточно приобрести недорогой свитч (он же коммутатор), а для подключения мобильных устройств — точку доступа Wi-Fi (беспроводной коммутатор). Но намного чаще встает вопрос совместного доступа в интернет на одном аккаунте, предоставленном провайдером, и защиты домашней сети от посторонних глаз (в частности, еще и потому, что не все провайдеры приветствуют множественное подключение). Для этого потребуется более сложное решение, традиционно именуемое маршрутизатором, или роутером.

Класс домашних маршрутизаторов, изначально разработанных для организации доступа в интернет по выделенной линии Etheet (ADSL-маршрутизаторы, несмотря на схожесть, рассматривать сегодня не будем), то есть без помощи промежуточного кабельного или xDSL-модема, только-только формируется. И не в последнюю очередь именно в связи с потребностями и особенностями российского рынка услуг доступа в интернет, потому как за пределами России, например в Европе, технология Metro Etheet, или ETTH, Etheet To The Home, почти не распространена. Устройства для доступа в интернет по выделенке называют по-разному: кто - мультифункциональными роутерами, кто - комбайнами. На Западе встречается понятие «интернет-шлюз», а в наших палестинах продвигается аналогичное — «интернет-центр» (преимущественно усилиями компании ZyXEL). По сути, все это одно и то же — в основе лежит NAT-маршрутизатор чаще всего с интегрированным коммутатором, файрволом, беспроводной точкой доступа; иногда сюда добавляют функции шлюза IP-телефонии.

В этой статье мы рассмотрим основные функции и особенности интернет-центра для подключения по выделенной линии Etheet, а также их настройку на примере модели ZyXEL P-330W.

Немного теории

Интернет-центр обладает двумя типами портов — WAN и LAN. WAN — сокращение от Wide Area Network и является «выходом» во внешнюю сеть. То есть кабель, приходящий от провайдера, нужно подключать именно к этому порту. LAN — сокращение от Local Area Network, и, как следует, сюда подключается внутренняя (домашняя) сеть.

Первое, что нас должно интересовать в роутере, — будет ли он работать с нашим провайдером. В зависимости от конкретного случая провайдер может использовать различные методы для организации доступа пользователей в интернет. Иногда все, что требуется задать в настройках роутера, - это IP-адрес, маску сети и шлюз провайдера. Но возможна и другая, более сложная, ситуация с применением протоколов аутентификации PPTP/L2TP или PPPoE. PPTP весьма часто используется в районных или домовых сетях, а также некоторыми крупными провайдерами, например в сети «Корбина Телеком». В таком случае потребуется дополнительно ввести логин/пароль на аккаунт и адрес VPN-сервера авторизации. И вот здесь кроется огромная проблема. Как уже говорилось выше, на Западе с прямым провайдингом по Etheet никто особо не заморачивается, поэтому в завезенных с иностранных рынков устройствах нередко предусмотрены лишь примитивные настройки, в частности принято совмещать шлюз с VPN-сервером. Так, если у нас адрес шлюза не совпадает с адресом VPN-сервера, а отдельного поля для ввода адреса сервера не предусмотрено, то работать ничего не будет. Но даже если таковое есть, радоваться пока рано. Некоторые провайдеры располагают VPN-сервер за шлюзом. Иными словами, не в той же подсети, к которой подключены мы, а в другом сегменте.

Еще одна проблема кроется в функции статической маршрутизации. В случае использования вышеупомянутых протоколов авторизации для подключения к интернету создается два соединения: первое связывает с сетью провайдера, а второе появляется после прохождения аутентификации на VPN-сервере провайдера. Чаще всего роутер «забывает» о первом соединении при подключении интернета, и мы лишаемся доступа к сети провайдера (где находится множество полезных локальных ресурсов). Для решения этой проблемы необходимо прописать в настройках маршрутизатора (если вообще это предусмотрено производителем) статические маршруты в локальную сеть провайдера. Но и тут не все так гладко: далеко не во всех моделях домашних роутеров есть возможность указывать, через какой именно сетевой интерфейс доступен данный маршрут (как следствие, все пакеты опять-таки шлются через интернет-соединение), а иногда выбор интерфейса ограничивается значениями LAN и WAN. В последнем случае логично, конечно, выбрать WAN, но на этом сетевом интерфейсе, как уже было сказано, два соединения, и как пояснить роутеру, какое именно из них следует использовать, большой вопрос. Есть и третья значительная проблема — балансировка нагрузки между PPTP-серверами при помощи DNS.

Специфика большинства домашних роутеров, даже самых блестящих, в том, что, по замыслу производителей, они прежде всего решают задачу так называемой локальной коннективности, то есть соревнуются в надстройках над беспроводными стандартами (MIMO, Super G и т.п.), а клиентская часть WAN-интерфейса формируется по остаточному принципу. Выполнять все названные выше функции способны лишь некоторые экземпляры. Многие из них, чтобы научить правильно функционировать в наших домовых сетях, приходится перепрошивать, причем прошивки это неофициальные (следовательно, влекут потерю гарантии) и зачастую не универсальные.

Интернет-центр ZyXEL P-330W изначально разрабатывался для подключения к интернету с учетом специфики оказания услуг российскими провайдерами и домовыми сетями. Реализованная в нем фирменная технология Link Duo развязывает целый клубок проблем: позволяет работать в сетях, где используются протоколы авторизации PPTP/L2TP/PPPoE (даже в случае нахождения VPN-сервера вне пользовательского сегмента); поддерживает статическую маршрутизацию (роуты могут задаваться как вручную, так и получаться автоматически с DHCP-сервера); одновременно обеспечивает доступ как в интернет, так и к локальным ресурсам провайдера.

Настройка через web-интерфейс

По умолчанию ZyXEL P-330W присвоен IP-адрес 192.168.1.1 и запущен DHCP-сервер, который выдает пользователям LAN-сегмента адреса из этой подсети (192.168.1.0/24). Соответственно, для настройки посредством web-интерфейса следует в адресной строке браузера ввести адрес http://192.168.1.1/. Логин/пароль по умолчанию - admin/1234. Пройдя авторизацию, мы попадаем в главное меню настройки. Страница, открываемая по умолчанию (Status), содержит информацию об uptime (времени работы с момента последнего перезапуска), версии используемой прошивки, текущих настроек LAN- и WAN-портов и состоянии беспроводного подключения. Первый же пункт меню Setup Wizard позволяет ускорить процесс настройки, последовательно открывая страницы с наиболее важными параметрами. Пройдемся по ним.

Operation Mode. Здесь можно выбрать режим работы устройства. По умолчанию ZyXEL P-330W работает в режиме Gateway (в терминологии локализованной документации ZyXEL — интернет-центр с подключением по выделенной линии Etheet). В этом случае подключение к интернету осуществляется через WAN-порт. Следующий принципиальный режим — Wireless ISP, то есть становится возможным подключиться к интернету через Wi-Fi (например, через оператора Golden Wi-Fi). Все пять портов коммутатора могут быть использованы для домашних компьютеров и сетевых устройств; держать включенным комп, скажем, для работы веб-камеры, при этом уже не требуется. Поскольку устройство содержит единственный Wi-Fi приемопередатчик, уже работающий в режиме клиента, в этом режиме работы мы лишаемся функции локальной беспроводной точки доступа. Третий возможный режим — Access Point (беспроводная точка доступа) — позволяет использовать устройство исключительно в целях организации Wi-Fi сети. Все функции маршрутизации в этом случае деактивируются. И, наконец, последний режим — Wireless Bridge (беспроводной Etheet-адаптер) — позволяет использовать ZyXEL P-330W при объединении проводных сетей по Wi-Fi или для беспроводного подключения игровой приставки, имеющей только порт Etheet (можно также значительно сэкономить при беспроводном подключении сетевого принтера — оригинальные Wi-Fi модули стоят дороже универсального P-330W). В данном случае ZyXEL P-330W также выступает в роли клиента Wi-Fi; все функции маршрутизации деактивированы.

LAN. Эта страница содержит настройки подключения локального сегмента сети (LAN). Ничем особенным не выделяется; настройки DHCP-сервера позволяют активировать/деактивировать оный, задать диапазон выдаваемых клиентам IP-адресов и статические соответствия MAC-адресов IP-адресам.

WAN. Этот пункт меню содержит параметры для подключения к интернету (используется только в первых двух режимах). Предусмотрено пять возможных типов подключения: Static IP, DHCP Client, а также c авторизацией по протоколам PPPoE, PPTP и L2TP. В первом случае настройки (IP-адрес, маска, основной шлюз и адреса DNS-серверов) задаются вручную, во втором — автоматически получаются с DHCP-сервера провайдера. Оба этих варианта пригодны либо в сетях, где интернет раздается пользователям через классический NAT (без использования VPN-авторизации), либо для подключения к локальной сети без интернета. Режим с авторизацией по протоколу PPPoE может использоваться совместно с LAN ADSL-модемом. В таком случае ADSL-модем будет выступать исключительно в качестве ADSL-моста (то есть в режиме bridge), а настройки подключения (обычно это только логин и пароль) нужно будет ввести в меню. Настройки IP в случае использования протоколов PPTP/L2TP могут как задаваться вручную, так и получаться с DHCP-сервера провайдера. В последнем случае будет необходимо задать только адрес VPN-сервера (в виде IP-адреса или URL) и логин/пароль на аккаунт. Здесь же исчерпывающий выбор типа авторизации: PAP, CHAP, MSCHAP-v1 и MSCHAP-v2. Из дополнительных опцией доступно: ответ на эхо-запрос (ping) со стороны WAN-порта (по умолчанию роутер отвечает на пинги извне, но в целях безопасности можно отключить эту опцию), включение протокола UPnP (Universal Plug and Play) и возможность прохождения дополнительных VPN-туннелей (IPSec, PPTP/L2TP VPN Pass-Through). Последнее будет полезно, например, в случае подключения с одного из компьютеров в LAN-сегменте ZyXEL P-330W к корпоративной сети через интернет. В этом случае для сквозного прохождения VPN-туннеля как раз и потребуется функция VPN Pass-Through.

Раздел Password позволяет изменить пароль на учетную запись администратора, таким образом снизив вероятность несанкционированного доступа к настройкам интернет-центра.

Wireless. Довольно большой раздел отведен под настройки беспроводного соединения. В подменю Basic Settings можно выбрать режим работы Wi-Fi модуля (точка доступа или клиент), поддерживаемые стандарты Wi-Fi (IEEE 802.11b, IEEE 802.11g или смешанный режим), канальную скорость (вплоть до 54 Мбит/с), идентификатор сети SSID и частотный канал. Подраздел Advanced Settings служит для выбора: типа авторизации (открытая система, предустановленный ключ и автоматический выбор), длины преамбулы (по умолчанию используется длинная преамбула; выбор короткой преамбулы позволяет несколько повысить производительность беспроводного соединения, но делает невозможным использование канальных скоростей 1 и 2 Мбит/с, так как в этом случае устройства попросту не смогут синхронизироваться с точкой доступа), режима вещания идентификатора SSID и поддержки протокола IAPP (Inter-Access Point Protocol). Последний позволяет создавать беспроводную роуминговую сеть при использовании нескольких точек доступа/Wi-Fi роутеров с поддержкой соответствующего протокола. Собственно настройка шифрования производится в подпункте Security. Доступно: использование шифрования с WEP-ключом (64 и 128 бит), WPA, WPA2 и смешанный режим (перечислены в порядке возрастания степени защищенности). Можно задействовать как предустановленный ключ, так и авторизацию с помощью RADIUS-сервера. В случае WPA можно использовать ключи TKIP или AES. Последний вариант более предпочтителен с точки зрения безопасности, но могут возникнуть проблемы совместимости с устройствами, поддерживающими только стандарт IEEE 802.11b.

Также повысить безопасность беспроводной сети можно, зайдя в меню Trusted Stations. По сути, это ограничение доступа по MAC-адресам, по умолчанию выключенное. В случае его включения подсоединиться по Wi-Fi смогут только те адаптеры, чьи MAC-адреса будут указаны в этом списке. Кстати, тут имеется довольно полезный пункт Site Survey, который выводит список доступных Wi-Fi сетей, и, если Wi-Fi модуль интернет-центра переведен в режим клиента, можно прямо отсюда осуществить подключения к найденной Wi-Fi сети.

Advanced. Этот довольно объемный раздел меню содержит настройки: ограничения доступа, защиты от попыток DoS-атак из интернета, сервиса DynDNS (позволяющего назначить устройству символьное имя, чтобы всегда обращаться к нему независимо от смен IP-адреса), выделения в локальной сети демилитаризованной зоны DMZ, поддержки корректной работы в интернете таких приложений, как QuickTime, Battle.NET, DialPad и других, трансляции портов и статической маршрутизации. Остановимся на наиболее важных из них.

Virtual Servers. Этот пункт меню пригодится, если ты вдруг захочешь создать у себя на компьютере FTP-сервер, игровой сервер или любой другой ресурс, которым бы ты хотел поделиться с друзьями из сети или интернета. Любой сервер использует определенный номер порта и протокол, по которым он принимает входящие соединения. Например, для FTP это TCP:21, для HTTP – TCP:80, для Quake3 - TCP:27960, для Counter Strike - TCP:27015. Для того чтобы эти сервисы, поднятые на твоем компьютере, были видны пользователям сети, необходимо пробросить соответствующие порты в настройках интернет-центра. Итак, нам следует задать IP-адрес локального компьютера (на котором поднят сервер), используемый протокол (чаще всего это TCP, но бывает и UDP) и номер порта (или диапазон). В ZyXEL P-330W уже создано несколько стандартных профилей (для FTP, HTTP, E-Mail, DNS и Telnet), в которых надо указать только IP-адрес, на который следует перенаправлять соответствующие запросы.

Static Route. Об этой функции мы уже упоминали выше. Напомним, что она позволяет сохранить доступ к локальным ресурсам провайдера при использовании дополнительных протоколов авторизации (PPTP/L2TP и PPPoE). Если провайдер не раздает автоматически эти маршруты через DHCP, то все, что следует сделать, - это последовательно ввести IP назначения (это может быть и один IP-адрес, и целая сеть), маску и шлюз, через который доступен этот маршрут. Дополнительный параметр метрики (Metric) в данном случае не так важен, так как играет роль в создании приоритета при существовании двух разных маршрутов до одной и той же сети (или хоста). Всего можно задать 12 статических маршрутов. Выбора интерфейса, через который доступен заданный маршрут, тут нет, однако ZyXEL P-330W сам его корректно определяет.

Настройка через NetFriend

Полностью локализованная фирменная утилита настройки модемов и интернет-центров ZyXEL требует от пользователя минимум времени и знаний, чтобы ввести устройство в работу, однако может быть полезна не только чайникам. Из главного меню можно перейти к разделу диагностики устройства, сменить пароль или начать настройку интернет-соединения и сопутствующих режимов. Следующее меню предлагает выбрать один из четырех возможных режимов работы интернет-центра, фактически дублируя пункт web-интерфейса Operation Mode, о котором мы уже писали выше, и очень помогает неопытным пользователям, плохо разбирающимся в специфике сетевой адресации. Если выбрать первый режим (интернет-центр для выделенной линии), утилита предложит настроить собственно интернет-соединение и беспроводную сеть. Настройка Wi-Fi почти полностью аналогична тому, что имеет место в web-интерфейсе (с помощью NetFriend вдобавок реализован алгоритм выбора оптимального радиоканала с учетом текущей загруженности эфира), поэтому мы сразу перейдем к пункту настройки доступа в интернет. Нам предлагается выбрать из списка свое местонахождение, провайдера и тип подключаемой услуги. На данный момент утилита содержит настройки для подключения более чем к 30 провайдерам по всей России, включая столичного беспроводного провайдера GoldenWiFi. Поэтому велика вероятность того, что, выбрав в списке своего провайдера, ты должен будешь ввести только свой логин и пароль и фактически настройка интернет-центра на этом успешно завершится. NetFriend обязательно предложит выбрать MAC-адрес: заводской интернет-центра, либо клонированный с твоего компьютера (может пригодиться, если провайдер осуществляет привязку MAC-адресов к портам своего свитча). Если провайдера в списке обнаружить не удалось, можно вручную задать параметры подключения по аналогии с тем, как мы это делали для web-интерфейса, но зато с пошаговыми инструкциями на русском языке, контролем состояний и подключений, а также с анализом ошибок и инструкциями по их устранению. По web-интерфейсу довольно трудно понять, почему что-то не работает: надо читать заковыристые логи; а NetFriend все проанализирует и сообщит, где ошибка.

Выводы

Как видно, настройка интернет-центра (читай: доступа в интернет и домашней сети) не является непосильной задачей. Если WAN-интерфейс изначально заточен под российские реалии и есть такой софт, как NetFriend, то не надо шаманить с прошивками и статическими маршрутами, чтобы пользоваться интернетом одновременно со всех устройств и при этом иметь доступ к локальным ресурсам провайдера. Ну а техноманьякам остается возможность создавать у себя на компьютере общедоступные серверы, обеспечивать к ним доступ из интернета с помощью функции NAT и конструировать разветвленные сети посредством дополнительных режимов.

Содержание
ttfb: 116.44101142883 ms