Отвечать на ping запросы из wan. Загрузка программного обеспечения

12.04.2019

Настройка роутера Zyxel Keenetic Lite будет происходить через веб интерфейс, позволяющий провести тонкую подстройку всех необходимых параметров. Чтобы войти в веб интерфейс необходимо в любом браузере компьютера (Opera, Internet Explorer, Mozilla) в адресной строке перейти по адресу: http://192.168.1.1 (адрес маршрутизатора Zyxel Keenetic Lite по умолчанию).

Для входа в веб интерфейс потребуется ввести имя пользователя и пароль. По умолчанию: имя пользователя - admin , пароль - 1234 . Появится диалоговое окно.

Появится диалоговое окно, в котором можно увидеть общую информацию о работе основных интерфейсов маршрутизатора: LAN, WAN и беспроводного - Wi-Fi интерфейса. В поле «Система» отражается информация о степени загрузки процессора маршрутизатора, а также сведения о потреблении оперативной памяти.

В левой части страницы выбираем «Интернет» → «Подключение» .

В поле «Настройка параметров IP» необходимо активировать опцию «Автоматическая» и отметить галочкой «Получать адреса серверов DNS автоматически» .

В поле «Использовать MAC-адрес» можно занести особое значение MAC-адреса (физического адреса) для роутера Keenetic Lite. Данная опция позволяет избежать звонков в компанию в случае смены сетевого оборудования.

Вариант «По умолчанию» оставит роутер ZyXel Keenetic с «родным» MAC адресом. Вариант «Взять с компьютера» , позволит присвоить МАС-адрес сетевой карты того компьютера, с которого в данный момент настраивается маршрутизатор. Это избавит от необходимости вводить значение МАС-адреса вручную (полезно, если данный компьютер и был подключен к Интернету до установки интернет-центра). С помощью опции «Установить» ввести другое значение МАС-адреса можно вручную.

Для регистрации «родного» MAC-адрес роутера необходимо совершить звонок в компанию.

Пункт «Отвечать на Ping-запросы из Интернета» позволит маршрутизатору оставаться «видимым» для технической поддержки провайдера. Это необходимо для настройки удаленного доступа.

Авто-QoS - активирует систему приоритета полезного исходящего

TTL - Time To Leave , время жизни сетевых пакетов. При прохождении шлюза TTL уменьшается на 1. Некоторые провайдеры проверяют TTL для предотвращения использования маршрутизаторов в своей сети. Именно для таких случаев и предусмотрена настройка «Не уменьшать TTL» .

Разрешить UPnP - включает возможность автоматической настройки Интернет-приложений для их беспрепятственной работы через NAT маршрутизатора (ставим галочку!!!).

Для сохранения параметров маршрутизатора необходимо нажать кнопку «Применить» .

Проверить работоспособность можно в поле «Монитор» .

Маршрутизация (Routing)

Существуют модели, позволяющие выполнять обычную маршрутизацию (не-NAT). То есть вместо того, чтобы позволять нескольким компьютерам использовать один IP-адрес для доступа в Интернет, маршрутизатор может передавать трафик на компьютеры в локальной сети, имеющие реальные IP-адреса (выданные провайдером). Одна из ключевых функций здесь состоит в том, что компьютеры с реальными IP-адресами могут напрямую связываться со всеми другими компьютерами в Интернете. Естественно, при этом необходимо защищать каждую машину индивидуально.

Есть ещё два типа особенностей, относящихся к маршрутизации. Статическая маршрутизация требует указания информации о подключённых подсетях. Динамическая маршрутизация использует протокол RIP (Routing Information Protocol) для автоматического получения маршрутов от других устройств, использующих этот протокол.

Другие функции

Здесь мы рассмотрим все остальные функции маршрутизаторов NAT, которые нельзя отнести ни к одному из предшествующих разделов.

Блокирование запросов ping снаружи (Discard WAN ping, Stealth mode)

Одна из основных возможностей всех программ-сканеров портов - это отсылка на исследуемые адреса запроса ping и последующее ожидание ответа. Изначально запросы ping используются для диагностики связи с удалённым компьютером, но теперь ping используют и для обнаружения активных компьютеров. Вы можете блокировать запросы ping - в результате ваш маршрутизатор не будет на них отвечать.

Удалённое администрирование (Remote Administration)

При наличии этой возможности можно разрешить административный вход из внешнего сегмента (WAN или Интернет). Её очень удобно использовать в том случае, если вы часто находитесь в разъездах, и вам необходимо часто изменять настройки маршрутизатора, или если вы отвечаете за работу сразу нескольких маршрутизаторов, расположенных в разных местах. Если такой доступ недостаточно защищён, то он представляет потенциальную опасность - ведь любой злоумышленник тоже может получить доступ к вашей локальной сети, поэтому следует выбирать маршрутизаторы, обеспечивающие максимальную защиту административного доступа. Как минимум, стоит ограничить административный доступ, разрешив его только с одного IP-адреса или с группы адресов. Ещё лучше будет возможность задания номера порта, используемого для подключения к консоли администрирования - но данная функция встречается относительно редко. То есть для получения доступа злоумышленнику необходимо будет узнать не только IP-адрес маршрутизатора, но и порт, используемый консолью администрирования.

Сервер печати (Print Server)

Эта функция приобрела популярность благодаря старой линейке маршрутизаторов Barricade компании SMC. Она позволяет подключать принтер с параллельным портом к маршрутизатору, а не к компьютеру сети. Таким образом, печать не зависит от работы или доступности какого-то одного компьютера, и, кроме того, вы можете установить принтер в более удобное место. Большинство моделей с серверами печати имеют небольшое количество памяти (ограничивая размер печатаемых файлов), могут не работать с MacOS, и не поддерживают функции двунаправленной передачи данных по LPT-порту. В целом, сервер печати - вещь полезная, особенно с учётом того, что он совсем незначительно увеличивает стоимость устройства.

MTU

Этот параметр позволяет изменять параметр Maximum Transmission Unit для маршрутизатора. Наиболее интересно это может показаться для тех, кто использует соединение PPPoE, или для тех, кто пытается настроить соединение VPN, или то и другое одновременно. Необходимость изменять этот параметр вызвана настройками сетей некоторых провайдеров. Подробнее узнать о том, к чему приводят такие изменения можно на сайте speedguide.net, тем не менее, мы считаем, что вам не стоит изменять этот параметр до тех пор, пока провайдер или производитель не посоветуют это сделать.

СОДЕРЖАНИЕ

Справочник пользователя сети LDS.ua

Настройка Asus – Вариант 2

1. Предварительные данные.

Перед непосредственным подключением и настройкой роутера необходимо зайти в Личный кабинет и записать Ваш текущий MAC–адрес» .

Следует учитывать, что МАС адрес может содержать только цифры 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 и буквы латинского алфавита a, b, c, d, e, f

2. Правильное подключение.

На обратной стороне роутера имеется пять разъемов. Четыре из них подписаны LAN, один - WAN(Internet). Для правильной работы устройства необходимо подключить кабель Интернета к порту WAN, а еще одним проводом соединить один из портов LAN с разъемом сетевой карты Вашего компьютера, с которого будет производиться последующая настройка.

3. Вход в настройки роутера.

Запускаем любой браузер, где в адресной строке прописываем http://192.168.1.1 и нажимаем клавишу «Enter» . В появившемся окне в полях «User Name» и «Password» вводим admin и нажимаем клавишу «OK»

4. Настройка подключения.

В открывшемся окне переходим в раздел «Дополнительные настройки» , далее «WAN» .

В следующем окне заполняем поля:

Тип WAN подключения: PPPoE;

Ставим галочки «Получить IP автоматически» и «Подключаться к DNS автоматически»

Имя пользователя: Ваш логин пользователя ЛДС;

Пароль: Ваш пароль;

MAC Address: прописываем Ваш MAC адрес из статистики;

И в завершение сохраняем настройки «Применить» .

5. Настройка параметров Wi-Fi подключения.

Выбираем раздел «Дополнительные настройки» , а затем пункт «Беспроводная сеть» .

Заполняем поля:

SSID: придумаем имя для WiFi сети;

Канал: Auto;

Метод проверки подлинности: WPA-Auto-Personal;

Шифрование WPA: AES;

Предварительный ключ WPA: пароль для сети Wi-Fi;

«Применить» .

Заполняем поля:

Отвечать на пинг-запросы из WAN: устанавливаем в положение «Да»

Для подтвеждения изменений нажимаем кнопку «Применить» .

Настройка роутера завершена. Теперь нужно убедиться что роутер запомнил внесенные нами изменения и после отключения повторная настройка не потребуется. Перезагружаем роутер, нажимаем кнопку в верхней части экрана.

6.Загрузка программного обеспечения.

Обновление программного обеспечения роутера не является обязательной процедурой его настройки, но эту процедуру желательно выполнить, т.к. в противном случае корректная работоспособность не гарантируется.

Перед тем как начать обновление необходимо определится с версией аппаратной части (ревизия) роутера и загрузить программное обеспечение с сайта производителя. Для этого смотрим на нижнюю часть корпуса роутера, где ищем строку H/W Ver.:

После этого заходим по адресу http://support.asus.com/Download/Options.aspx , где ищем модель вашего роутера, учитывая его аппаратную часть (H/W Ver. ). Далее переходим по вкладке «Загрузить» , выбираем other в «OS» и открываем меню «Firmware»

В данном примере файл с программным обеспечением будет заархивирован (zip ). После извлечения из архива получим файл с расширением trx .

7.Обновление программного обеспечения.

Осуществляем вход в управление роутером, переходим в раздел «Дополнительные настройки» , далее нажимаем «Администрирование» , затем «Обновление микропрограммы» . В новом окне с помощью копки «Обзор» находим файл с программным обеспечением, который предварительно загрузили, после чего нажимаем «Отправить» . После обновления программного обеспечения роутер автоматически перезагрузится.

Во время обновления нельзя отключать кабель питания.

Безопасность и настройки базовой защиты роутера Tp-Link

Несмотря на то, что защита тут примитив, оставляем включенной.

Как вы можете заметить, у меня отключены все VPN, ибо мне не нужно. В данном случае это VPN-Passtrough, т е. возможность создания VPN туннеля через роутер. Если пользуетесь CISCO VPN, или просто подключаетесь по VPN к каким-либо серверам, то оставляйте включенным. Если не уверены — тоже оставляйте.

ALG (Application-level gateway) — оставляем включенным, ибо данный компонент понимает что такое FTP, TFTP и прочее, и позволяет работать с этими протоколами через NAT, за которым мы находимся.

Расширенные настройки защиты

Фактически, защита от DDoS атак. Для такого унылого роутера как Tp-Link — весьма интересная функция. «Включить фильтрацию от атак ЮМР-FLOOD» включит фильтрацию от атак ЮМР-FLOOD. Аналогично и остальные. Вкратце, роутер будет отсеивать DDoS по каждому из выбранных типов флуда, что позволит вам, в случае DDoS атаки, чувствовать себя более-менее комфортно, а роутеру не виснуть каждые 5 секунд. Насколько хорошо это реализовано в Tp-Link? Не уверен, что это знают даже его создатели. Оставляем включенным.

«Игнорировать Ping-пакеты от порта WAN» и «Запретить Ping-пакеты от порта LAN» — установив галочки, мы закроем для pinga наш роутер как из внутренней, так и из внешней сетей (роутер будет отсеивать все ICMP реквесты). Не думаю, что можно пингом положить современный роутер, а вот узнать завис он или нет — дело куда более полезное.

«Локальное управление» и «Удаленное управление». Первое дает возможность настроить до 4-х устройств, которые могут получить локальный доступ к настройкам роутера, указав MAC адреса разрешенных устройств, второе же позволяет получить доступ к роутеру из внешней сети (правда, тут уже фильтрации по MAC адресам не будет).

В удаленном управлении всего 2 строчки настроек:

Порт веб-управления (по умолчанию 80). Если же открываете удаленный доступ, не поленитесь, и выберете другой порт, 11911, например. Тогда чтобы попасть извне в настройки роутера, в адресной строке браузера будем писать http://:11911
IP-адрес удаленного управления. 0.0.0.0 — удаленный доступ закрыт, 255.255.255.255 — удаленный доступ открыт для всех, указание конкретного IP разрешит доступ только с этого IP.

Известно, что интернет-центры серии Keenetic отличаются своей надёжностью и стабильностью работы. Но иногда необходимо удалённо, внести какие-то изменения в работу локальной сети, к примеру пробросить порты, или убедиться что интернет-центр находится в глобальной сети и отвечает на (ICMP Echo-Request) запросы по протоколу ICMP, в простонародье ping запросы. Для организации удалёного доступа к интернет-центру необходимо открыть внешний доступ к WEB интерфейсу по протоколу HTTP, а для получения (ICMP Echo-Reply) ответов, или ping ответов, необходимо разрешить отвечать на ping запросы. Как это сделать описанно ниже. Инструкция релевантна для всей серии Keenetic(ов) с микропрограммой второго поколения NDMS V2.

Для демонстрации, мы организовали локальную сеть с адресным пространством 192.168.1.1 - 192.168.1.254 на основе Zyxel Keenetic LIte 2 - №1 . К данной сети подключили другой интернет-центр Zyxel Keenetic Lite 2 (ZYXEL KEENETIC LITE II) №2 с внутренним адресным пространством 192.168.0.1 - 192.168.0.254. К Keenetic(y) №2 мы и откроем внешний доступ и разрешим прохождение пинг запросов.

Zyxel Keenetic ping

Для начала, зайдем в Keenetic №2 и во вкладке Интернет/ Подключения/ Brodband connection присвоим ему статический IP 192.168.1.5. Маску подсети 255.255.255.0 и основной шлюз 192.168.1.1

Далее зайдём во вкладку Безопасность/ Межсетевой экран и создадим правило для интерфейса "Broadband connection (ISP)", так как мы подключены к Keentic(y) №1 через этот интерфейс. Чтобы создать правило, необходимо нажать кнопку "добавить правило". Во всплывшем окне разрешить прохождение пакетов по протоколу ICMP

Теперь перейдём в локальную сеть Keenetic(a) №1 и пропингуем адрес 192.168.1.5 . Для этого запустим программу cmd.exe . В WIN7 нажать WinKey+r , в всплывшем окне введём cmd.exe и нажмём ввод. В появившемся чёрном окне введём команду ping 192.168.1.5 . Утилита "ping" сообщает, что узел по данному адресу доступен и показывает время прохождения пакетов.

Zyxel Keenetic удалённый доступ

Открываем удалённый доступ. Заходим в WEB интерфейс Keenetic(а) №2 . Переходим во вкладку Безопасность/ Межсетевой экран. Выбираем закладку Трансляция сетевых адресов (NAT). Нажимаем кнопку "добавить правило". Во всплывшем окне выбираем: