Настройка wi-fi подключения через роутер

Материал из МФТИ-телеком.

[править] Оборудование, необходимое для подключения

Для подключения по Wi-Fi нужен роутер (с протоколом 802.11g), соответствующий следующим условиям:

1. Многие Wi-Fi роутеры умеют быть только сервером VPN, но для нашего случая роутер должен уметь работать как VPN-клиент.
2. Среди протоколов VPN должна быть поддержка PPTP.
3. Роутер должен поддерживать CHAP (не видел ни одной железки современной которая не умеет, но чем черт не шутит). PAP не поддерживается на нашем VPN.
4. Чтобы осталась локалка быстрая - должен поддерживать возможность задания статических маршрутов.

Таких роутеров немного. Как правило, они работают под Линукс на альтернативных прошивках.

Например, такие:

• ASUS WL-500gP с прошивкой от Олега или с прошивкой OpenWRT либо DD-WRT.
• Linksys WRR 54GS, прошитый DD-WRT 2.3.
• Linksys WRT-54GL, прошитый DD-WRT.
• Linksys WRT-150N, прошитый DD-WRT. (проверено на DD-WRT 2.4)

[править] Настройки

Далее описано, какие настройки надо указать на роутере и на вашем компьютере.

[править] Настройки роутера для новых безлимитных тарифов

(FIXME = Как настроить для новых безлимитных тарифов ? подойдёт ли роутер D-Link DI-824VUP+ ? )

на примере роутера D-Link DI-824VUP+

настройки роутера для доступа в интернет

Home -> Wan

Выбираем тип подключения Others, затем PPTP выбираем Dynamic IP

server IP/name указываем vpdn.mipt.ru

PPTP account указывае из Вашего договора (то что используется при настройках VPN подключения)

PPTP passwor указывае из Вашего договора (то что используется при настройках VPN подключения)

PPTP retrieve password повторяем пароль

настройки статической маршрутизации роутера (для одновременного доступа и в интернет и в локальную сеть)

чтобы работала сеть необходимо настроить статическую маршрутизацию

заходим в advanced ->routing

вводи следующие значения и ставим галочку ENABLE

81.5.64.0 255.255.192.0 172.18.0.1 1 AUTO
192.188.189.0 255.255.255.0 172.18.0.1 1 AUTO
192.168.80.0 255.255.252.0 172.18.0.1 1 AUTO
194.85.80.0 255.255.252.0 172.18.0.1 1 AUTO
10.0.0.0 255.0.0.0 172.18.0.1 1 AUTO
193.125.142.0 255.255.254.0 172.18.0.1 1 AUTO
172.18.0.0 255.240.0.0 172.18.0.1 1 AUTO

где 172.18.0.1 - это вроде как шлюз для доступа в локалку (может у кого-то будет он другой)

UPDATE 05.01.2009 ВНИМАНИЕ!!!! сменили IP шлюзов,теперь вместо 172.18.0.1 идёт 10.55.32.1 (по крайней мере у меня так) у меня сейчас стоит так:

194.85.80.0 255.255.252.0 10.55.32.1 1 AUTO
10.0.0.0 255.0.0.0 10.55.32.1 1 AUTO
192.188.254.0 255.255.255.0 10.55.32.1 1 AUTO

В итоге, после того как применены все изменения и PPTP соединение имеет статус "connected", и интернет и локальная сеть провайдера станут доступны одновременно ( по крайней мере у меня всё ОК ;) )

[править] Настройки для ASUS WL-500gP

Примечание: Необходима прошивка от Олега - без нее не работает.

Раздел "IP Config/WAN & LAN":

• WAN Connection Type: PPTP
• WAN Connection Speed: Auto negotiation
• Get IP automatically? Yes
• IP Address: поле недоступно
• Subnet Mask: поле недоступно
• Default Gateway: поле недоступно
• Get DNS Server automatically? Yes
• DNS Server1: поле недоступно
• DNS Server2: поле недоступно
• User Name: ваш логин
• Password: ваш пароль
• Idle Disconnect Time in seconds(option): 1800; Tx Only: unchecked
• MTU: поле недоступно
• MRU: поле недоступно
• Service Name(option): поле недоступно
• Access Concentrator Name(option): поле недоступно
• PPTP Options: None
• Additional pppd options: nomppe nomppc sync
• Enable PPPoE Relay? No
• Host Name: имя вашего роутера/вай-фай спота (любое)
• MAC Address: ваш мак-адрес
• Heart-Beat or PPTP/L2TP (VPN) Server: vpdn.mipt.ru --sync --nobuffer
• Host Name: router (или любое другое имя)
• IP Address: 192.168.1.1
• Subnet Mask: 255.255.255.0

[править] "Продвинутые" настройки роутера asus wl500gp

по большей части использовалась инструкция отсюда начальная настройка роутера

[править] прошивка

1.1) скачать свежую прошивку с http://oleg.wl500g.info/ - ссылки в конце страницы. Не перепутайте прошивки от разных устройств.

1.2) разархивировать архив, получится файл с расширением ".trx"

Эта прошивка доработанная официальная. Можно перешивать с любой официальной и обратно - ограничений нет. Гарантию перешивка не портит, только повреждение пломбы. Есть и другие неофициальные прошивки: OpenWRT, DDWRT, но они сильно отличаются от официальной.

Преимущества предлагаемой прошивки: - совместима с официальной, документация и рекомендации одинаковы - намного больше возможностей: поддержка любых провайдеров, конфигураций сетей, свой веб-сервер с PHP, торренты, кучи программ - доступ к шеллу роутера, возможность попрактиковаться в linux - стабильна и без дыр безопасности

1) Обесточить роутер. Убедившись, что на роутере горит wlan (то есть он загрузился, можно просто подождать минуту если перегружали роутер) вынуть вилку питания из розетки.

2) пока роутер обесточен, отключите сетевой шнур от WAN, выньте всё из USB портов

3) перепрошивка: включить роутер в розетку. Несколько секунд после перегрузки или включения питания НЕЛЬЗЯ выключать питание роутера - в первую секунду после подачи питания он может писать во флэш. По этой же причине вставлять шнур питания нужно быстро и чётко, а не втыкая-вытыкая его. Если nvram будет поврежден, то роутер может не загрузится. Также нельзя выключать питание роутера если вы дали команды на запись nvram явно: заливаете firmware, или дали команду "nvram commit" зайти на страницу администрирования (Роутер по-умолчанию имеет LAN адрес 192.168.1.1) Sytem Setup -> Firmware Upgrade. Нажать кнопку Browse выбрать файл с прошивкой (расширение trx). Нажать кнопу Upload. Не ошибитесь страничкой, есть еще страницы загрузки настроек settings и flashfs. Через какое-то время роутер перегрузится - обычно через 2 минуты.

4) после обновления прошивки - очистите кэш браузера, чтобы веб-оболочка не глючила В будущем, перед обновлением прошивки на более новую или внесении изменений в конфигурацию не забудьте сохранять настройки. Настройки сохраняются в 2 файлах. a) flashfs: В веб-интерфейсе выбрать System Setup-> Flashfs Management. Сохранятся в виде файла WL500g.Premium.tar.gz После обновления прошивки на новую нужно будет этот файл залить (кнопка Upload) из того же меню. b) nvram (в формате для заливки через вебинтерфейс): System Setup->Setting Management. Файл WL500g.Premium.cfg

5) Сбросьте в настройки по умолчанию, выбрав в веб-оболочке System Setup-> Factory Default

6) Смените сразу же пароль Админа. Произведите настройки роутера в веб-интерфейсе для подключения к МФТИ-телеком как здесь указано. После этого должно установится соединение с интернетом.

Если у вас что-то не получилось, то проделывать расписанное далее опасно, можно повредить роутер!

[править] настройка wireless

Wireless->Interface: выбрать канал подальше от тех, которые заняты точками соседей (посмотреть в списке сетей в Windows). Обычно ставят каналы 1,4,7,11. Если сесть на занятый канал - скорость скачет. Мощность задирать не стоит - ухудшится прием. Для шифрования выбрать WPA-PSK (WPA2-Personal)+TKIP, WEP Encryption=None, ввести ключ сети WPA Pre-Shared Key (в ASCII или HEX, преобразование стандартизовано),Key Rotation Interval=600 секунд. Тип 54G LRS (с защитой от b) Для старинных карт взломоопасный Shared key+WEP128bit при этом вводить нужноWEP Key 1 в 16ричном виде, можно еще и Passphrase так как у ASUSа нестандартное преобразование (преобразование общепринято, хотя нестандартизовано). Wireless->Access Control можно добавить MAC-адреса тех беспроводных карт которым позволено подключаться.

[править] подключение к роутеру

Запустите telnet, в Windows: Пуск -> Выполнить -> cmd -> OK, в появившемся окне ввести "telnet 192.168.1.1" (без кавычек, и, если меняли IP адрес роутера, то вместо 192.168.1.1 указать свой. Нажать Ввод (Enter). Появится приглашение: user: ввести там admin затем должно появиться: password: ввести там admin ввод пароля не отображается, это нормально. Если аутентификация прошла успешно, то появится приглашение вида: [admin@wl500gP root]$ и можно вводить команды. Проверьте доступность гейтвея провайдера (если он недоступен, то проверять настройки доступа в роутере).

Далее желательно настроить SSH-сервер, он используется для удобной и безопасной работы с роутером Дальнейшие действия можно просто скопировать в окне телнета.

в настройках указать ip-адрес роутера (по умолчанию 192.168.1.1) и тип соединения telnet имя для входа "admin", пароль если не меняли такой же. Зайдя дать команды:

mkdir -p /usr/local/etc/dropbear
dropbearkey -t dss -f /usr/local/etc/dropbear/dropbear_dss_host_key
dropbearkey -t rsa -f /usr/local/etc/dropbear/dropbear_rsa_host_key
mkdir -p /usr/local/sbin/
echo "#!/bin/sh" >> /usr/local/sbin/post-boot
cp /usr/local/sbin/post-boot /usr/local/sbin/post-firewall
cp /usr/local/sbin/post-boot /usr/local/sbin/post-mount
cp /usr/local/sbin/post-boot /usr/local/sbin/pre-shutdown
chmod +x /usr/local/sbin/p*
echo "dropbear > /dev/null 2>&1" >> /usr/local/sbin/post-boot
dropbear > /dev/null 2>&1
flashfs save
flashfs commit
flashfs enable

ps

reboot

после этого можно будет заходить по SSH с помощью программы PuTTY (напр. \\anna.campus\Soft\Network Tools\Putty\ ).Запускаем putty, указываем IP адрес, выбираем SSH и нажимаем "connect". Подтверждаем используемый ключ.

[править] смонтировать дополнительное место для хранения программ

Лучше всего купить флэшку (не меньше 9Мб) для хранения программ. Лучше с лампочкой, чтобы видеть когда роутер в нее пишет. Раздел диска вместо флэшки нежелателен - вероятность выхода из строя диска выше. Отформатировать флэшку или раздел диска в файловую систему ext3. На флэшках обычно создан единственный раздел и поменять это нельзя, в отличии от жестких дисков, которые можно самому разбить.

mke2fs -j /dev/scsi/host0/bus0/target0/lun0/part1

Если вместо флэшки используется жесткий диск большого размера, то разбить и отформатировать его лучше под Linux, можно под Knoppix, средствами роутера можно сделать, но перед форматированием нужно создать и включить своп раздел (при форматировании большого диска нужно много памяти) - возиться с этим нет смысла. Если linuxа нет, то можно роутером:

fdisk /dev/scsi/host0/bus0/target0/lun0/disc

/sbin/swapon /dev/scsi/host0/bus0/target0/lun0/part2

команда форматирования приведена выше. Своп используют, если нужно будет запускать много служб, но лучше без него, так как если USB отсоединится, то роутер повиснет. В NTFS форматировать нет смысла - ее можно только читать. При желании информацию с раздела ext3 можно будет считать под Windows бесплатной программой explore2fs.

[править] скрипты

Небольшая цитата: "Итак, моя прошивка пытается исполнить следующие файлы: * /usr/local/sbin/pre-boot - исполняется до основной инициализации, в момент, когда ещё не подгружены никакие модули ядра, но уже развёрнут flashfs и скопирован начальный образ для /etc из /usr/etc. * /usr/local/sbin/post-boot - исполняется после того, как устройство закончило загрузку и запустило все сервисы, за исключением связанных с веб-камерой и usb дисками (они запустятся примерно через 10 секунд после этого при "обработке" hot plug событий, когда АСУСовский обработчик до них доберётся) * /usr/local/sbin/post-mount - отрабатывает, когда устройство завершает монтирование usb дисков, с тем чтобы Вы могли запустить свои сервисы, которые эти диски используют * /usr/local/sbin/pre-shutdown - работает перед перезагрузкой системы * /usr/local/sbin/post-firewall - исполняется всякий раз, после того как устройство меняет внутренние правила с помощью команд iptables, с тем, чтобы Вы могли внести свои изменения в firewall"

Соответственно, создаем необходимые файлы и заполняем их полезным содержимым: (Любой исполняемый файл должен начинаться со строки #!/bin/sh особо следите при копировании текста из-под Windows, поскольку она вставляет в конце строк спецсимволы переноса каретки, из-за этого исполняемые файлы не запускаются). Для редактирования файлов пока используем vi. vi - это текстовый редактор. Для модификации файла после открытия нажмите I, после модификации нажмите ESC. Правой кнопкой мыши можно вставлять текст из клипборда. После выхода из режима редактирования нажмите :WQ, выход без сохранения - :Q!.

Итак, создаем pre-mount:

vi /usr/local/sbin/pre-mount

И заполняем его данными:

#!/bin/sh 

swapon -a 

for i in `awk '/ext3/{print($1)}' /etc/fstab` ; do 
if [ -b $i ] ; then 
grep -q $i /proc/mounts || e2fsck -p $i 2>&1 | logger -t e2fsck 
else 
logger -t fstab "$i is not attached" 
fi 
done 

pre-mount запустит e2fsck, если это окажется необходимым. На большом диске проверка будет идти часами! Если не хотите периодически (раз в 2 года при штатном режиме включения-выключения диска, а при аварийном выключении - чаще) ждать, пока диск прочекается, можете убрать проверку автоматом, но тогда надо будет хотя бы раз в полгода делать ее вручную для гарантии целостности данных.

post-mount выполняется после pre-mount:

vi /usr/local/sbin/post-mount

Содержимое:

#!/bin/sh
/opt/etc/init.d/rc.unslung start 

pre-shutdown выполняется перед штатным выключением (например командами halt и reboot)

vi /usr/local/sbin/pre-shutdown

Содержимое:

#!/bin/sh 
/opt/etc/init.d/rc.unslung stop 
sleep 10s 
for i in `cat /proc/mounts | awk '/ext3/{print($1)}'` ; do 
mount -o remount,ro $i 
done
swapoff -a 
sleep 1s

Этот скрипт перемонтирует все диски только на чтение во избежание повреждения данных при выключении. Сохраняем все изменения и перезагружаемся:

flashfs save && flashfs commit && flashfs enable && reboot

Проверяем после ребута как все замаунтилось командами "free" и "df -h". Если увиденное совпадает с ожидаемым, то идем дальше.

Приложения, устанавливаемые с помощью IPKG, записывают свои скрипты в /opt/etc/init.d. Для того, чтобы со всей этой байдой взлететь (в смысле, чтобы все, что нужно запускалось), нужно создать файл rc.unslung:

mkdir /opt/etc 
mkdir /opt/etc/init.d 

Примечание: если в результате выполнения вышеперечисленного вылезает "mkdir: Cannot create directory `/opt/etc': Read-only file system", Ваш диск не смонтирован, соответственно ищем ошибки в предыдущих действиях, и лишь после исправления идем дальше:

vi /opt/etc/init.d/rc.unslung

Содержимое:

#!/bin/sh 
# Start/stop all init scripts in /opt/etc/init.d
# starting them in numerical order and
# stopping them in reverse numerical order
#
if [ $# -ne 1 ]; then
printf "Usage: $0 {start|stop}\n" >&2
exit 1
fi

daemons=`echo $(/usr/bin/dirname $0)/S??*`
[ $1 = "stop" ] && daemons=`echo $daemons | /usr/bin/tr " " "\n" | /usr/bin/sort -r`

for i in $daemons; do

# Ignore dangling symlinks (if any).
[ ! -f "$i" ] && continue

# Write to syslog
logger -t rc.unslung "$1 service $i"

case "$i" in
*.sh)
# Source shell script for speed.
(
trap - INT QUIT TSTP
set $1
. $i
)
;;
*)
# No sh extension, so fork subprocess.
$i $1
;;
esac
done

Не забываем сделать его исполняемым:

chmod +x /opt/etc/init.d/rc.unslung 

[править] установка полезных пакетов

Теперь можно устанавливать программы. Их список http://ipkg.nslu2-linux.org/feeds/op...table/Packages Все дополнительные пакеты устанавливаются с помощью системы управления пакетами IPKG. IPKG работает с каталогом /opt на подключенном диске. Поэтому мы и делали файл /usr/local/sbin/post-boot. Логи размещаются по-умолчанию в /opt/var/log. Итак, поехали:

mkdir -p /opt/tmp/ipkg 
cd /opt/tmp/ipkg 

ipkg.sh update 
ipkg.sh install ipkg-opt 
ipkg update 

Для обновления пакетов делаем периодически:

ipkg update 
ipkg upgrade

Midnight Commander (псевдографический файловый менеджер)

Устанавливаем:

ipkg install mc

Для корректной работы MC требуются некоторые действия:

echo "export TERMINFO=/opt/share/terminfo">>/opt/etc/profile 
echo "alias mc=\"mc -c\"">>/opt/etc/profile 
chmod +x /opt/etc/profile 

Дополнительное ПО (примерный список полезных)

Устанавливаем:

ipkg install coreutils
ipkg install adduser
ipkg install findutils
ipkg install diffutils
ipkg install screen
ipkg install nano
ipkg install procps
ipkg install less
ipkg install unzip
ipkg install tar
ipkg install gzip
ipkg install unrar
ipkg install hdparm
ipkg install man
ipkg install man-pages

если установка пакетов повредит предыдущие, можно переустановить поврежденный командой

ipkg install -force-reinstall имяпакета

[править] установка слушателя RIP

дальнейшие действия описываются для случая с внешним usb-диском/флешкой, примонтированным к /opt.

1) ставим quagga

 ipkg install quagga

2) правим /opt/etc/quagga/zebra.conf:

 hostname dw.local
 password XXXXX
 enable password YYYYYY
 log file zebra.log

и /opt/etc/quagga/ripd.conf:

 hostname gw.local
 password XXXXX
 router rip
 network vlan1
 version 2
 log file ripd.log

3) (pf рулит, но приходится давиться iptables`ами..)

 echo "/usr/sbin/iptables -I INPUT 7 -p udp --dport 520 -j ACCEPT"

>> /usr/local/sbin/post-firewall

4)

 flashfs save && flashfs commit && flashfs enable && reboot

5) проверяем

 [admin@gw quagga]$ telnet localhost 2602
 Password:
 gw.local> sh ip r

ну или

 netstat -rn

[править] Настройки роутера для "старых" безлимитных тарифов

Тип соединения: PPTP
IP: 172.16... (свой в договоре)
Netmask: 255.255.0.0
Default GW: оставить пустым
DNS1: 193.125.143.173
DNS2: 192.188.189.3
Additional pppd options: nomppe nomppc
Heart-Beat Server: vpdn.mipt.ru или vpdn-2.mipt.ru

Static routes:

81.5.64.0 255.255.192.0 172.16.0.1 1 MAN
192.188.189.0 255.255.255.0 172.16.0.1 1 MAN
192.168.80.0 255.255.252.0 172.16.0.1 1 MAN
194.85.80.0 255.255.252.0 172.16.0.1 1 MAN
10.0.0.0 255.0.0.0 172.16.0.1 1 MAN
193.125.142.0 255.255.254.0 172.16.0.1 1 MAN
172.16.0.0 255.240.0.0 172.16.0.1 1 MAN

В некоторых случаях придётся проделать ещё несколько действий (FIXME: для какой это прошивки?):

Кроме того, необходимо добавить статический маршрут

в post-boot файл на Heart-Beat Server (сервер VPN):

route add -host 193.125.142.226 gw 172.16.0.1 vlan1

Файл post-boot расположен во встроенной памяти точки доступа и содержит команды,

которые выполняются после перезагрузки точки доступа. Таким образом,

данный маршрут будет активирован (добавлен в таблицу маршрутизации).

Чтобы добавить данный статический маршрут в файл post-boot выполните следующее:

1. В командной строке на вашем компьютере введите команду telnet 192.168.1.1

(укажите IP-адрес вашей точки доступа). В случае успешного терминального

подключения вам будет предложенно ввести логин и пароль (по умолчанию admin admin).

2. Затем последовательно введите в окно терминала следующие команды:

mkdir -p /usr/local/sbin/
echo "route add -host 193.125.142.226 gw 172.16.0.1 vlan1" >> /usr/local/sbin/post-boot
chmod +x /usr/local/sbin/post-boot
flashfs save
flashfs commit
flashfs enable
reboot

[править] Настройки компьютера, подключенного к роутеру

Настройки IP и DNS ставить автоматические.

[править] Дополнительно

[править] Стандарт безопасности WEP можно взломать за минуту

Немецкие исследователи из Дармштадского политехнического университета разработали новый способ взлома систем безопасности, использующих стандарт шифрования WEP.

Стандарт WEP (Wired Equivalent Privacy), использующийся в беспроводных сетях Wi-Fi, уже неоднократно подвергался критике со стороны экспертов по вопросам безопасности. Дело в том, что данный стандарт имеет серьезные уязвимости. На современных компьютерах расшифровка перехваченного пароля занимает порядка 10–20 минут, причем увеличение длины ключа не дает существенного результата. Впрочем, практический взлом систем безопасности на базе WEP до настоящего времени представлял собой достаточно сложную задачу в том случае, если ключ изменялся каждые пять минут.

Однако методика, предложенная специалистами из Германии, как сообщает ComputerWorld, сокращает время нахождения ключа буквально до одной минуты. В частности, для извлечения 104-битной последовательности достаточно осуществлять перехват пакетов данных в беспроводной сети в течение нескольких десятков секунд. Сам же процесс извлечения ключа из собранных данных занимает всего три секунды на компьютере с процессором Pentium M, работающим на тактовой частоте 1,7 ГГц.

Эрик Тьюс, один из авторов методики, подчеркивает, что теоретически найти ключ можно даже при помощи карманного компьютера или коммуникатора. Так, перехват 40 тысяч пакетов обеспечивает 50-процентную вероятность правильного нахождения ключа. А при увеличении количества анализируемых пакетов данных до 85 тысяч шансы на успех увеличиваются до 95%.

Несмотря на то, что в настоящее время существует более надежный стандарт безопасности WPA (Wi-Fi Protected Access), во многих беспроводных сетях до сих пор используется стандарт WEP. Например, исследование, проведенное в одном из немецких городов, показало, что 59% из 15 тысяч расположенных на его территории хот-спотов защищены именно посредством WEP.

Результаты проделанных работ немецкие эксперты намерены обнародовать в рамках конференции по безопасности, которая пройдет в Гамбурге в эти выходные.

Источник: http://security.compulenta.ru/313808/