Как раздать Интернет по квартире

Алекс, подскажите пожалуйста. Некоторое время назад вы писали в своем блоге, что вместо умершего Asus WL-500W купили RT-12. В этой статье вы пишите, что сейчас у вас RT-16. Вас RT-12 чем-то не устраивал или это просто опечатка? Спасибо.

Несколько лет пользуюсь wi-fi и не задумывался о безопасности. Сеть все время была открыта, но после этой статьи таки решил закрыть. Открыл доступные сети и обнаружил, что половина людей держит свои сети открытыми, половина закрытыми. Одно из название wifi сети было "JennyStopUsingOurIntenet" навело на мысль, что все таки правильно, что решил закрыть.

Кроме wi-fi есть еще один простой способ прокинуть сеть в удаленное место квартиры, если туда невозможно протянуть витую пару - через обычные электрические розетки. Я юзаю девайс WD Livewire:

www.wdc.com

www.thg.ru

В комплекте 2 устройства-близнеца. Втыкаешь их в 2 электрические розетки у себя дома - между ними появляется компьютерная сеть. В каждом устройстве 4 сетевых розетки - это типа хабы.

Преимущества:

- простота подключения: никаких настроек нигде делать не надо, для далекого от техники человека это может быть определяющим преимуществом;

- стабильность соединения: в отличие от wi-fi коннект не рвется;

- автоматическое шифрование канала, т.е. настраивать не надо.

Недостаток: никаких заявленных 200 Мбит/с нет в помине, есть 15-20 Мбит/с. Тестировал в разных помещениях с разным оборудованием, в т.ч. в запараллеленых розетках. Вообще-то и у wi-fi скорости очень далеки от заявляемых.

Цена: 3900 руб.

Знаю, что есть аналоги от других производителей, читал отчет о тестировании одного из них - скорость аналогично низкая.

Подключение IPTV-тюнера Билайн должно осуществляться между WiFi-рутером и провайдером. Таким образом трафик идет в свитч (Билайн дает его в комплекте), из него один провод идет в ТВ-приставку, а второй - в WiFi-рутер. В этом случае и рутер не перегружается, и ТВ не зависит от рутера.

Впрочем, если IPTV-тюнер берет потоки из Интернета, тогда, конечно, он должен идти через рутер. Например, у меня так подключен телевизор LG с Интернет-сервисами.

На то она и беспроводная, что всё транслируется в эфир. На физическом уровне нет способа отличить "честный" приемник от "злоумышленника". Защита начинается на транпортном уровне с протоколом tls.

ip адрес приемника и источника пакета входят в заголовок любого ip-пакета. Злоумышленнику не нужно ничего подбирать. Как бы этот кусок информации в беспроводной сети ему достается даром.


так в чем вопрос? Как разделить права доступа для "чужих" компьютеров и своих? Пользователь, пришедший с "черного" ip может залогинится только гостем, вот и не пускают его внутрь. Как ограничить скорость? Поставить трафик-шейпер. В нормальных операционых системах эта функциональность файрвола, в виндах отдельная программа.


А после оказывается с голой жопой на уже. Поскольку никакого понимания своих действий этот человек не имеет, то постоянно наступает на грабли в системе безопасноти. Скажем, обкрывает доступ по телнету в беспроводной сети.

Спасибо за статью.

И кстати - перед использованием девайса, если ваш уровень знаний позволяет это сделать, ПЕРЕПРОШИТЬ свежей прошивкой.

Желательно начать с официальной прошивки.

А то один хитрый девайс от Длинка встал однажды у меня в сети ПРОВАЙДЕРА DNS -сервером.

Провайдер мне потом настучал по репе.

После подключения всех устройств можно попробовать уменьшить мощность передатчика на роутере.

Если пониженной мощности будет везде хватать, то зачем лишний раз светить свою точку в эфире.

Алекс, мне кажется, в статье недостаточно подчеркнуто, что, если для содинения с интернет требуется установка дополнительного соединения (типа pppoe в стриме или pptp в билайне), то настраивать их надо именно на роутере, а не на компьютере.

Вы не представляете, сколько на профильных форумах жалоб типа: "купил роутер, настроил, но когда подключаюсь к интернет с ноута, то основной комп теряет связь", несмотря на все FAQ-и и предуперждения красными буквами.

Dir-320 проработал 2 месяца и пал смертью храбрых.

Пришлось срочно покупать из того, что в магазине было: ASUS WL-520GC.

Асусы почему-то не понимают DNS от нашего провайдера: ни в автоматическом режиме, ни в ручную прописанном, пришлось гугловский ставить. 2 часа потратил, пока допёр почему интернет не раздаётся.

Прокоменнтирую это так: статья полезная, но не до конца 😄

А именно: надо сформулировать, какие сейчас есть на рынке правильные роутеры сегмента SOHO, а их, заметим, всего три 😄

1. Dlink DIR-320 <=== WiFi b/g

2. Netgear WNR3500L <=== WiFi N

3. Asus RT-N16 <=== WiFiN, лучше не бывает 😄

Все остальное - компромиссы и недоделки. Эти три особенны тем, что под первые два есть

прошивка от vampik.ru , а для третьего есть как бы оригинал прошивки для первых двух 😄 - wl500g.googlecode.com/ И должен сказать, друзья, эти прошивки гораздо стабильнее и безглючнее всех этих dd-wrt и/или openwrt.

И последнее - не блок питания дохнет в Asus, а конкретно в блоке питания один конденсатор (в 90% случаев). Перепаиваешь на такой же или побольше/получше - сразу все опять начинает работать. Это все быстрее, чем ездить на Митино за подходящим БП.

Алекс - хотелось бы еще такую возможность рассмотреть (я сейчас так резервный канал имею, но как сосед его настроил - не представляю):
Когда компы из списка разрешенных МАС-адресов имеют полноправный доступ, одновременно же любой "посторонний" получает доступ только в инет, причем с сильно зажатой скоростью (до уровня проводного модема - сосед раздает на 33,6 кбит/с).
Сосед не колется - типа, секрет фирмы - может, хоть вы расскажете?

Отт! Грамотно изложена та информация, которую я, далекий от темы, месяц назад собирал по кусочкам в интернет. Но, таки выбрал роутер, подключил, настроил и успешно раздаю. Вышла бы чуть раньше - сэкономил бы время и нервы. Спасибо, буду кидаться ссылкой 😄

Интересуюсь, а почему при обсуждении безопасности беспроводной сети никто не упомянул возможность отключения DHCP на роутере? Насколько я понимаю, даже после обхождения всех защит подбор статического IP-адреса клиента и шлюза может оказаться нетривиальной задачей для взломщика...

Алекс, спс за статью, хотя все это и так знаю. Но есть вопрос - у ASUS RT-N16 есть USB-порт, к к-рому можно подключить внешний накопитель, а также прошиты некий примитивный torrent-клиент и какая-то простая качалка, к-рые работают без участия компа - Вы проверяли их работу? Очень хочется узнать, т.к. именно из-за этих возможностей планирую взять такой роутер.

Одновременно -- геморройно. Но можно, если нужно (сносить крышу у "честных" будет только так, но злоумышленнику то плевать). Обычно злоумышленник ждет, пока честная сетевуха отваливается и открывает новое соединение уже для своей сетевухи.


tkip -- это протокол шифрования данных по WEP, aes -- WEP2. Шифровать повторно данные смысла не имеет (будет хуже, чем однократное шифрование сильным протоколом). В известных мне рутерах tkip and aes означает выбор шифрования клиентом по желанию. То есть WPA2 + AES для систем, все клиенты которых вам известны, более сильный вариант (tkip давно скомпрометирован). А, и сверхдлинные ключи обычно менее надежны, чем короткие, но с всякими кракозябрами.

Алекс. СПАСИБО ВАМ ОГРОМНОЕ !

Вы делаете очень важную штуку - ПРОСТЫМИ СЛОВАМИ , ОЧЕНЬ ДОСТУПНО И ЯСНО - ОБЪЯСНЯЕТЕ СЛОЖНЫЕ ВЕЩИ . А это , извините, - талант, такое уметь надо. Говорю вам это без шуток и сарказма - вы молодец !



Статья хорошая. Просто и без вывертов описаны начальные установки для работы с интернетом. Кому побольше знать - велкам на почитать, кому лень читать - велкам к специалистам. Статья хороша еще и для нашего городка - у нас в роли спецов от провайдера выступают молодые люди , нахватавшиеся умных слов. но не могущие их воплотить в жизнь, мне знакомым ,после них , доводилось не раз и не два отлаживать роутеры. у меня стоит linksys WRT54GL с томато на борту, для аутентификации пользую WPA2-Enterprise (есть еще маленькая тушка с радиусом) c кодированием TKIP+AES. Отключена трансляция SSID, включен фильтр МАС адресов, ключ - фраза из творчества Леся Подерв"янського на суржике - запоминается легко, набирается на английской раскладке ,длина около 40 символов.

По поводу вскрытия сети - да. вскрывается вроде бы любая сеть, но для того, чтобы взломать мою - у злоумышленника уйдет масса времени и средств, он плюнет да и уйдет - неинтересно оно ему будет. Вокруг масса сетей попроще с WEP-кодированием и коротенькими ключиками. Попытки взлома видел - пытались подбирать ключ, глушить канал ...минут 10 - и отваливались.

спасибо Алекс, можно сказать открыли глаза 😄))

Alex, спасибо за статью и поздравляю с успешным продолжением рубрики!

Вопрос. А можно ли как-то сделать в админке роутера, чтобы при необходимости отключать раздачу интернета на некоторые компы? У меня стоит Длинк ДИР-300. Раздача по квартире по Вай-Фай. Бывает необходимо запретить интернет на комп сына школьника, и хотелось бы это делать из админки.

Есть еще одна тонкость - даже если у вас интернет по ADSL покупать, на мой взгляд, лучше все равно обычный роутер + АДСЛ-модем. Фиг его знает, куда завтра придется подключится, может быть к витой паре, может быть к телевизионному проводк - а роутер то АДСЛ.... И чего еще один роутер? Проще сменой модема проблему решать. (У меня так до сих пор АДСЛ роутер стримовский лежит, так никуда и не пригодился...).

Если ваше беспроводное соединение не шифруется, то любой спуфер слышит все ваши разговоры. А это значит, что злоумышленник знает ваши мак-адреса. Все современные сетевухи умеют подменять свой мак-адрес (это банально, мак-адрес сетевуха может сказать любой). Различить две сетевухи с одним мак-адресом внутри сети невозможно. Мак-адрес меняется ifconfig'ом (в винде -- где-то в реестре).

У самого уже не первый год стоит в углу D-Link DIR-320 с open-wrt (до этого была "прошивка от Олега"). Все работает как часы, будучи один раз настроенным. Раздает интернеты на ноуты, стационарник и на Sony PS3 - все пучком.

Про обход авторизации по МАС тоже бы послушал с удовольствием. Сам пользуюсь WPA2-PSK с паскеем 10+ символов - вроде достаточно. Не понимаю людей, которые ставят все 64 знака на паскей. Особенно хотелось бы понаблюдать, как они вводят его при подключении той же PS3, когда под рукой нет свободной USB-клавиатуры.

Алекс, а какая прошивка стоит на вашем рутере - оригинал или альтернатива одна из?

Было бы неплохо добавить, что у каждого крупного провайдера есть 4-6 "излюбленных" моделей роутеров. И имеет смысл выбирать именно среди них.

Но в принципе, согласен с azulen - для неразбирающихся в компьютерах и сетях, лучше и дешевле пригласить специалиста - из поддержки того же провайдера. Ибо нюансов куча, и роутер прекрасно работающий с Корбиной, может запросто встать под Нетбайнетом (о чем, вообщем-то в статье вскользь упомянуто).

PS. NetFriend имеет смысл ставить только совершенным новичкам - да, она (в половине случаев) сама автоматом устанавливает все параметры, но 1) весит тучу мегабайт 2) работает очень медленно 3) и самое главное, все эти параметры прекрасно ставятся через web-интерфейс. И детально описаны в инструкции. Вообще, ZyXEL молодцы - у них и инструкция прекрасная и саппорт очень оперативен.

Ваш пост был признан прекрасным и с уважением проанонсирован в дайджесте «FLASH 3.0» Мы готовы перевести на Ваш яндекс-кошелёк или телефон скромное вознаграждение в 100 рублей от фонда предпринимателя Артура Перепёлкина “V Rome”. Для этого сообщите нам, пожалуйста, необходимые цифры. Так же мы можем переадресовать Ваш гонорар в фонд «Справедливая помощь» doctor-liza.livejournal.com. Большое спасибо!

Хорошая статья. Хочу только добавить - после того как все wi-fi клиенты подключены, вполне можно запретить SSID broadcast. Будет безопаснее.

Только как предложение: может стоит упомянуть, что Windows XP поддерживает WPA2 только после ручной установки соответствующего апдейта от мелкомягких? Самое смешное - этот апдейт появился где-то во времена второго сервиспака, но не входит ни в него ни в третий сервис пак.

Upd: по поводу незащищенного соединения. Не знаю как в России, а в западной Европе главная опасность даже не в проникновении в домашнюю сеть, а в том, что если "прицепившийся" не дай Бог скачает или выложит в Интернет какой-то нелегальный контент (от музыки и видео до детского порно), то вам прийдется долго общаться с соответствующими органами, и еще не факт, что отмоетесь

Жаль эта статья не появилась где-то полгода назад))

Все доступно, как раз для новичков.

Сам пользуюсь ASUS RT-N10, за свои деньги очень хороший выбор.

Спасибо за статью. Очень доступно и подробно.

Спасибо за подробную статью!

Единственное, что не понравилось, это следующая цитата:

В таблице разрешенных MAC-адресов роутера прописываете MAC-адрес сетевых карт домашних устройств (мы выше уже говорили о том, что это такое и как узнать MAC-адрес) и включаете режим контроля MAC-адресов. Способ изрядно геморройный (надо сначала узнать эти адреса, что не всегда просто, потом их прописать) и защищает на самом примитивном уровне. Сейчас редко используется.
Только им и пользуюсь. Самый удобный способ. Работает на 1-2-3.

1. Снимаю ограничение по MAC адресам.

2. Подключаю новое устройство по Wi-Fi.

3. В программе управление роутером (у меня от DR-WRT) смотрим МАС-адреса подключённых устройств, находим новый и добавляем в список. Всё! Остаётся опять включить фильтр по MAC.

На днях подключал iPad, так наоборот вышло - под WPA-PSK он отказывался входить в сеть, а после ручного изменения настроек на WPA2-PSK все заработало. Получается, старый вид шифрования он криво поддерживает, а новый - нормально.

А лучше пригласить специалиста и все сделать нормально...

Ибо, в любом случае, дилетантство - это дилетантство. А если человека в Google забанили - ему и эта статья не поможет.

Алекс, огроменное спасибище, ибо я уже замучился разному народу в своей конторе по паре раз в месяц все это рассказывать (каждый раз новому счастливцу с новым ноутом - заново). Хотя конечно не все вопросы это снимет (а может родит и еще больше), но на основные "как это?" и "что покупать?" ответы есть.