Pradėjus name gyventi, pamažu jį įrenginėji, pritaikai savo poreikiams, įsirengi papildomų funkcijų, apie kurių poreikį ankščiau net nebuvai pagalvojęs. Taip jau nutiko, kad ankščiau planuotas mano namo tinklas su vienu GSM maršrutizatoriumi prasiplėtė iki didesnio skaičiaus taškų (kompiuteriai, rekuperatorius, televizoriai, NAS saugykla, kita įranga), nei palaikė mano įsigytas GSM maršrutizatorius, tad reikėjo įsigyti papildomos tinklo praplėtimo įrangos, su kuria man ankščiau gyvenime neteko susidurti. Pakolkas mano namo tinklas šiek tiek mažesnis nei šiame video, bet panašu, kad tai tik laiko klausimas :). Taigi, pradedant plėsti savo namų tinklą, pradžiai reikėjo pagilinti žinias tinklų srityje.
Taigi, pradžiai reikėjo išsiaiškinti su įrenginiais, ko man tiksliai reikia.
Maršrutizatorius (ROUTER) – tai prietaisas, vieną interneto linija padalijantis visiems vidinio tinklo įrenginiams. Jis pajungia taip, kad iš interneto matomas tik vienas pajungtas prietaisas – maršrutizatorius. Tai labai pagerina viso tinklo saugumą, nes iš išorės matomas vienas prietaisas, tad visi kenkėjai bando skanuoti maršrutizatoriaus portus, o vidinio tinklo iš išorės nei nesimato, nei nėra galimybės prie jo prieiti, plius labai dažnai maršrutizatoriuose būna įdiegtas ir firewall, kas dar labiau pagerina vidinio tinklo apsaugą nuo išorinio interneto. Mano supratimu, norint patekti į vidinį tinklą reikės pradžiai “nulaužti“ maršrutizatorių, jei maršrutizatorius naudojamas be papildomai atidarytų išorinių portų iškart prileidžiančių prie vidinio tinklo resursų. Tai neapsaugo nuo pavojų iš vidiniame tinkle pajungtų kompiuterių, bet jei vidiniame tinkle esančiais kompiuterių vartotojais pasitikima (jūsų vaikas nesusidomėjo įsilaužimais į kompiuterinius tinklus?), tai apie programinių „Firewallų“ arba „Ugnesienių“ diegimą, vidiniame tinkle esančiuose kompiuteriuose galite pamiršti. Aparatinė įranga visuomet patikimesnė už programinę įrangą. Nors kai vidiniame tinkle yra bevielio ryšio taškų, reikia turėti omenyje, kad Wi-Fi yra dar viena prieigos prie vidinio tinklo vieta. Taigi pagrindinis niuansas tas, kad maršrutizatorius/routeris tai prietaisas, vieną tinko ryšio kanalą „WAN“ padalinantis keliems įrenginiams „LAN“ , to nerodydamas išorėje esantiems įrenginiams. Dar vienas aktualus niuansas, kad internete dirbama ne su MAC adresais, o su IP adresais, tad maršrutizatorius dalina internetą adresuodamas ne pagal MAC, o pagal IP adresus, tad juos reikia suteikti ir viduje prijungtiems įrenginiams, kas daroma arba “manual“ – „rankiniu nustatymu“, arba ženkliai paprasčiau – įjungiant Dynamic Host Configuration Protocol (DHCP) serverį, kuris automatiškai visiems naujai prijungtiems prie vidinio tinklo įrenginiams suteikia naują IP adresą dažniausiai naudojamose ribose nuo 192.168.0.0 iki 192.168.255.255 nors yra ir kiti vidiniai IP adresai.
Visas tinklo skirstymas yra atliekamas pagal OSI modelį, kuris susideda iš 7 sluoksnių. Pagal jį tinklo duomenų maršrutizavimas išoriniuose įrenginiuose dažniausiai atliekamas dvejuose lygmenyse: paskirstant duomenis pagal MAC adresą (vidinis tinklas; OSI sluoksnis 2) ir pagal IP, žinučių persiuntimą ir pan. (OSI sluoksnis 3), dar kitaip vadinamas „network layer“. Šaltinis. Kalbant apie tinklo sluoksnius, manau reikėtų suprasti, kad jei kalba eina apie keitimąsi duomenimis vidiniame tinkle (Folder network sharing), tai užtenka 2 tinklo sluoksnio ir tam puikiausiai užtenka tik MAC adresus palaikančių tinklo šakotuvų, bet jei norima į tinklą įnešti internetą, tinklą reikia perkelti į 3 tinklo sluoksnį ir į tinklą pajungti IP adresaciją.
Taigi antras niuansas, kad maršrutizatorius duomenis siunčia ne pagal MAC adresus, o pagal IP adresus, todėl visam vidiniam tinklui reikalingas vienas DHCP serveris, kuris ir būna įdiegtas maršrutizatoriuje.
Dar reikėtų žinoti, kad būna maršrutizatorių su įdiegtu specifiniu prisijungimo prie interneto serverio modemu. Tada WAN lizdo išorinio tinklo pajungimui nebus, o jo vietą užims įdiegtas modemas. Jei tai bus DSL modemas, tai WAN lizdo vietoje bus telefono laidų pajungimo lizdas, jei kaip ir mano atveju, tai bus GSM modemas, tai daugiau lizdų iš vis nesimatys. Na dar gali būti ir USB lizdai įdiegti, bet čia jau nesiplėskim :).
Vidinio tinklo komutavimo įrenginiai. Pradžiai reikėtų atkreipti dėmesį į tai, kad visi vidinio tinklo komutavimo įrenginiai, dar kitaip plačiai vadinant „tinklo šakotuvais“ dirba tik su MAC adresais. Visi lizdai esantys tinklo šakotuvuose yra lygiareikšmiai, tad nėra absoliučiai jokio skirtumo, koks laidas kišamas į kokį lizdą.
Beje, net su tinklo šakotuvais galima pajungti visus vidinius įrenginius prie interneto, bet reikalas tas, kad visi įrenginiai būtų matomi interneto tiekėjui, tiems įrenginiams turėtų būti išduodami išorinio tinklo IP adresai ir atitinkamai jiems turėtų būti taikomi mokesčiai už naujų tinklo taškų pajungimą. Taipogi nebūtų jokio saugaus vidinio tinklo, jokių aparatinių ugnesienių ir pan. Nors greičiausiai jų MAC adresai nebus įtraukti į aptarnaujamų MAC sąrašą. Pagrindiniai vidinių tinklo šakotuvų tipai:
Hubai (HUB) – tai pasenę vidinio tinklo komutavimo įrenginiai, kurių greičiausiai net nerasit kur nusipirkti, nes ir tobulesni tinklo komutavimo įrenginiai gerokai atpigę (pav. 5-port 100MB komutatorius/switch`as kainuoja tik 5.57€ ar dar pigiau), ir Hub`o įsigijimas yra nepagrįstas jokiais argumentais. Šis įrenginys per vieną lizdą įėjusius signalus siunčia į visus kitus lizdus absoliučiai neatrinkinėdamas, koks MAC adresatas yra reikalingas, ir prie kokio lizdo kompiuteris su tokiu MAC adresu yra pajungtas. Taigi, vienu metu į habą gali būti paduodamas tik vienas signalas, t.y. jis negali dirbti „dupleks“ režimu (kai vienu metu gali “kalbėti“ ir “klausytis“ abu įrenginiai, kaip pavyzdį galima pateikti telefono ryšį, priešingai „single“ ryšio režimui, kai vienu metu gali „kalbėti“ tik vienas įrenginys ir kai vienas „kalba“, kiti tik „klauso“, kaip pavyzdį galima būtų paminėti radijo stoteles), kas iškart kerta per tokio įrenginio pralaidumą net komutacijai vienu metu vykstant tik tarp dviejų įrenginių. Dar vienas niuansas, kad kai vienas kompiuteris siunčia duomenis, tuo metu negali duomenų siusti absoliučiai joks kitas kompiuteris, tad vienu matu iš sakykim 8 pajungtų įrenginių gali dirbti tik vienas. Realiai jau vien išvardintų hubo darbo niuansų užtenka, kad suprasti tokio įrenginio gabumus, ir tai, kad tokio jums tikrai nereikia. Užsiminsiu tik apie tai, kad būtent hubai leidžia pajungus vieną kompiuterį atitinkamai sukonfiguruotą, įrašyti absoliučiai visus tinklu perduotus duomenis, kas daro tokį tinklą ne tik kad labai lėtu, bet ir ypatingai nesaugiu. Atėjai su kokiu nors nedideliu srautą įrašančiu įrenginiu pas klientą, įkišai jį į vieną laisvą ar atlaisvintą hubo lizdą, ir jau visus slapčiausius prisijungimo duomenis turi.
Komutatorius (SWITCH) -Pirmiausiai tai atpažįstantis, kokie MAC įrenginių adresai yra pajungti prie konkretaus lizdo, ir leidžiantis duomenis iš vieno įrenginio perduoti konkrečiam įrenginiui sukomutuodamas tik du lizdus tarpusavyje, taigi vienu metu gali veikti keli įrenginiai. Dar vienas dalykas, kad dažniausiai leidžiamas dupleks ryšio režimas, kas dar padidina ryšio greitaveiką. Kadangi komutatoriai komutuoja pagal atmintyje esančius prie kiekvieno lizdo pajungtus MAC adresus, svarbus parametras yra palaikomų MAC adresų skaičius atmintyje, bet kadangi mano tinkle nenusimato didelis įrenginių kiekis, aš į jį nekreipiau dėmesio.
Vis tik dėl atmintyje saugomi MAC adresai skirti tik aktyvios sesijos metu vykstantiems duomenų mainams komutuoti, kas leidžia stipriai pagreitinti ryšį, bet jie greitai pamirštami, ir po ilgesnės pauzės ryšio užmezgimo pradžioje, kai kreipiamasi į kitą kompiuterį, atsakančiojo kompiuterio MAC adresas yra ištransliuojamas į visą lokalų tinklą, ir tik atsakančiajam kompiuteriui atsiliepus, komutatorius jau komutuoja ryšį tik tarp šių dviejų įrenginių. Taip, kad nors duomenų srauto kitiems įrenginiams prijungtiems prie lokalaus tinklo nepavyks nukopijuoti, bet klausydamasis įrenginys gali sugaudyti absoliučiai visų lokaliame tinkle esančių įrenginių MAC adresus. Ir net jei lokaliame tinkle bus keli potinkliai pav. 192.168.1.X ir 192.168.2.X su NetMask 255.255.255.0, kurie vienas kito nematys, bet nematys OSI layer 3 sluoksnyje, o MAC adresai yra OSI layer 2 sluoksnyje ir šiame sluoksnyje nėra apribojimų uždėtų OSI layer 3 sluoksnyje.
Daugiau į įrenginių smulkmenas nesigilinau, man užteko turimos informacijos, kad galėčiau priimti tinkamus sprendimus.
Dar norėčiau atkreipti dėmesį į tai, kad yra įvairaus greičio tinklo standartų, tai seniai pamirštas ir nieko netenkinantis 10 Mb/s greičio tinklo standartas, vis dar labai paplitęs 100 Mb/s tinklo standartas ir jau gana seniai gyvuojantis bet dar ne vienvaldis 1000 Mb/s spartos (Gigabit) tinklo standartas. Yra ir dar didesnės spartos tinklo įrangos, bet privatiems poreikiams ši įranga per brangi, o ir poreikio didžiausia tikimybė kad nėra. Switch`ai leidžia prie to pat įrenginio pajungti įvairios spartos įrenginius. Vieno lėtesnio įrenginio pajungimas nesulėtins viso tinklo darbo, lėčiau vyks ryšys tik tarp įrenginių tiesiogiai tuo momentu bendraujančių su lėtesniaisiais.
Ar verta įsigyti lėtesnio ryšio standarto svičus?
Reikėtų žiūrėti, kam jie bus naudojami. Jei prie jų būs jungiami tik mažesnio greičio įrenginiai, tokie kaip pavyzdžiui IP vaizdo kameros, kurios palaiko tik 100Mb/s greitį su galimybe tiekti elektros energiją kamerų maitinimui per tą patį tinklo laidą „Power over Ethernet“ (100 Mb/s ryšiui užtikrinti naudojami tik 4 laidai (1, 2, 3 ir 6) iš 8, tad kiti 4 laidai naudojami maitinimui perduoti užmaitinant vaizdo kameras. 1000Mb/s ryšio užtikrinimui jau naudojami 8 gyslų laidai, nors kaip supratau, naujesni „PoE“ standartai leidžia maitinimą perduoti ir duomenis perduodančiais laidais). Taigi, IP kamerų pajungimui tikslingiau įsigyti 100Mb/s svičą su „PoE“ maitinimo padavimo galimybe (rekomenduojama neviršyti 50% maksimalios svičo duomenų perdavimo apkrovos, nes viršijus prasideda problemos su vaizdo perdavimu), nei statyti paprastą swičą ir kiekvienai kamerai atskirai įsigyti „PoE“ maitinimo įrenginį, bet jei ryšį planuojama organizuoti tarp kompiuterių (kurių pagrindinės plokštės jau labai seniai komplektuojamos su integruotu 1Gb/s tinklo palaikymu), NAS serverių ar tarp vaizdo transliacijai naudojamų įrenginių, manyčiau, kad tikslingiau komutavimui naudoti 1000Mb/s svičus. Atminkite, kad 100Mb/s (megabitų į sekundę) tinklas yra tik (100/8=) 12MB/s (megabaitų į sekundę) pralaidos, tad duomenys per tokį tinklą keliausi tarsi būtų vykdomas įrašas į greitą USB2 standarto atmintuką, ir tik 1000Mb/s = 125MB/s greičio tinklas, leis su NAS įrenginyje esančiais HDD (nemaišykit su SSD 🙂 ) dirbti panašiu greičiu, tarsi jie būtų tame pačiame kompiuteryje.
Man patiko, kad įsigytame 1Gb/s sviče modemo lemputės rodo kokio greičio įrenginiai yra prijungti prie konkrečių lizdų.
Taigi, pasigilinęs į šiuos aukščiau aprašytus niuansus, pradžiai ryšio praplėtimui panaudojau iš seniau turėtą „Linksys“ tinklo maršrutizatorių, kuris buvo naudojamas ankščiau, kai gyvenau bute. Jo pajungimui pasinaudojau šiame šaltinyje pateiktomis rekomendacijomis. Pagrindiniai maršrutizatoriaus pajungimo, kaip svičo principai:
Pirmiausiai reikia atjungti DHCP serverį, nes vienam vidiniame tinkle gali būti tik vienas IP adresus dalinantis servisas.
Antras dalykas, visi jungiami prietaisai ir paduodamas ryšio laidas jungiami tik prie LAN lizdų, WAN lizdą paliekant neliestu. Taip pajungtas maršrutizatorius, jei jis turi bevielio ryšio Wi-Fi funkciją, praplės tinklą ir dar viena bevielio ryšio stotele.
Konfigūruojant bevielio ryšio prisijungimo stotelę, galima nustatyti tą patį SSID pavadinimą, kaip ir pagrindinės bevielio ryšio stotelės, be to nurodyti ir tą patį slaptažodį, kad bevielio ryšio įrenginiai automatiškai persijunginėtų prie artimiausios bevielio ryšio stotelės su stipriausiu signalu, nekeldami problemų su naujų prisijungimo taškų konfigūravimu kiekvienam atskiram įrenginiui. Nors kiti pataria kaip tik naudoti skirtingus SSID pavadinimus, kad pats vartotojas galėtų pasirinkti, prie kokio Wi–Fi taško jis nori konkrečiu momentu prisijungti, taip, kad galimybių yra įvairių, o kokį variantą pasirinkti, spręsti jums. Dar gerai būtų nustatyti skirtingus kanalus, kad bevielio ryšio stotelės netrukdytų viena kitai.
Nepersidengiantys kanalai gaunasi tik 1-6-11, nes mano bevieliai maršrutizatoriai palaiko nuo 1 iki 11 kanalus.
Vis tik, pasigilinus daugiau, sužinai, kad maršrutizatoriuje gali pakeisti naudojamų dažnių diapozono dydį (2,4 GHz diapozone, tarp 20MHz ir 40Mhz, o 5GHz diapozone tarp 20MHz, 40MHz ir 80Mhz), o pasirinkus didesnį nei 20MHz, nepersidengiančių kanalų ribos šiek tiek pasikeičia. Bet kokiu atveju, pasirenkant maršrutizatoriaus kanalus, bei užduodant naudojamą dažnių diapozoną, reikėtų žinoti ne tik savo naudojamų maršrutizatorių nustatymus, bet ir visų kitų esančių aplink, pas kaimynus. Tam geriausiai padeda mobilių telefonų aplikacijos “WiFi analaizeriai“. Su jų pagalba nusistatysite radijo ryšio užimtumą ir susireguliuosite savo maršrutizatoriaus naudojamus kanalus optimaliausiai.
Taigi, dabar pas mane veikia dvi bevielio ryšio stotelės, be to dar įsigijau papildomai tris svičus. Du svičus pirkau 1Gb/s, atkreipdamas dėmesį į jų deklaruojamas mažas elektros sąnaudas. Mano įsigytas 5 kanalų svičas eikvoja iki 3,9W galios elektros, o 8 kanalų – iki 4,8W galios, be to jie turi galimybę atjungti elektros energijos tiekimą nenaudojamiems lizdams, tad elektros energijos sąnaudos turėtų būti dar mažesnės, nei deklaruotos. O trečias svičas 100 Mb/s su PoE skirtas konkrečiam tikslui :). Taigi, ne toks jau ir mažas tas mano privataus namo kompiuterinis tinklas :).
Šiai dienai tai jau šiek tiek pasenęs mano kompiuterinio tinklo vaizdas, dabar jis šiek tiek praplėstas, bet kai rašiau šį straipsnį, vidinis tinklas atrodė maždaug taip, kaip pavaizduota žemiau esančiam paveikslėlyje. Artimiausiu metu jis dar plėsis ir LAN sujungimai šiek tiek keisis, be to tikrai dasidės didesnis kiekis laidais prijungtų televizorių, kompiuterių, vaizdo stebėjimo kameros ir kita įranga, apie kurios įsigijimą šiuo metu net negalvoju. Atrodytų, kad iš bėdos galėtų užtekti ir vieno maršrutizatoriaus, pagal laidais pajungtų įrenginių skaičių, bet realiai mane riboja ir stacionariai pravestų laidų kiekis. Įrangos skaičius taškuose viršija stacionariai pravestų laidų kiekį, tad jau rašydamas straipsnį, po eilinio pirkinio, buvau priverstas plėsti savo tinklą. Be to, dar yra šis tas pajungta prie tinklo, apie ką aš nenorėčiau pasakoti plačiajai visuomenei ☺.
Portų peradresavimas (Port Forwarding)
Jei kils noras prie savo įrangos jungtis tiesiogiai iš bet kurios pasaulio vietos per internetą, pavyzdžiui prie Komfovent rekuperatoriaus, reikia įjungti portų peradresavimą („Port Forwarding“, o mano maršrutizatoriuje ši funkcija vadinasi „Virtual Server“). Tada nurodote, kokį vidinį portą norite padaryti matomą iš išorės. Konkrečiai Komfovent rekuperatorių portas pagal nutylėjimą (default) yra 502. Taigi, forwrdinus 502 portą iš vidinio tinklo į išorinį, prie savo rekuperatoriaus galėsite jungtis iš bet kurios pasaulio vietos, reikės tik žinoti savo išorinį IP, bet jį sužinoti galėsite bet kuriame „What my IP“ paslaugas teikiančiame serveryje. Forwardinti galima ir į kitą portą. Tai šiek tiek apsunkintų priėjimą prie jūsų tinklo. Portui esant standartiniam, ženkliai lengviau surasti ir nustatyti, kokie servisai šiuo momentu susirišę su internetu. Skanuojant dažniausiai imamas platesnis IP adresų diapozonas ir nurodomi tik pagrindiniai portai, taip pagreitinant atvirų portų paiešką, tad portui esant ne standartiniam, jūsų atidarytas portas gali būti ir neaptiktas.
Yra kelios problemos.
Pirma, tai jūsų IP adresas, jei papildomai to neužsakėte pas paslaugų tiekėją, tai kiekvieną kartą jungiantis prie interneto bus vis kitas, kintantis. Šią problemą galima spręsti keliais būdais:
- Užsisakyti nekintančio IP paslaugą pas paslaugų tiekėją;
- Pasinaudoti Dynamic DNS paslaugų serverio pagalba;
- Paleisti kokią nors programą, kuri nuolatos naudotų internetą.
Paprasčiausias pirmas variantas, bet jis kainuoja papildomą abonentinį mokestį. Antras variantas, jei mokamas tai jau geriau rinktis pirmąjį, o jei nemokamas, tai ir vėl, veiks ne visuomet, nes pavyzdžiui į Komfovent rekuperatoriaus valdymo apsą yra galimybė įrašyti tik IP adresą. Trečias variantas nuolatos naudos interneto srautą, bet galima pasirinkti ir nuolatos mažai srauto naudojantį servisą, bet jūsų interneto tiekėjas, dėl šio būdo naudojimo patenkintas nebus ;).
Pavyzdžiui vaizdo kameros turi „OnVif“ funkciją, leidžiančią prie kameros jungtis iš išorės ir nekreipiant dėmesio į jūsų IP adresą, firewolą ir pan. Tad tai tikrai patraukli funkcija, nes nereikia atverti vartus iš interneto į savo vidinį tinklą. Beje, tada nereikia sukti galvos ir dar dėl vienos problemos, tokios kaip paslaugų tiekėjo jungimas abonento, ne prie išorinių tinklų, bet prie vidinio tinklo.
Taigi, dar viena problema, su kuria gali tekti susidurti bandant prisijungti prie savo rekuperatoriaus per internetą. Jei internetui naudojate mobilaus ryšio operatoriaus SIM kortelę, kuri skirta mobiliam ryšiui, o ne internetui, tai jūs pajungiamas ne tiesiogiai prie interneto, o prie vidinio ryšio tiekėjo tinklo, ir vienu ir tuo pačiu IP adresu į internetą išeina labai didelis kiekis vartotojų. Taigi, kad veiktų portų peradresavimas, jums būtina įsigyti būtent interneto paslaugoms skirtą SIM kortelę. Sužinoti, prie kokio tinklo jūs esate prijungiamas, labai nesunku sužinoti maršrutizatoriaus nustatymuose pasirinkus pasijungimo informaciją rodantį meniu:
Mus domina būtent „WAN“ eilutė. Jei joje matosi išorinis adresas, kuris sutampa su rodomu „What my IP“, viskas tvarkoje, jūs jungiatės prie išorinio tinklo iškarto, bet jei adresas prasideda vidinio IP tinklo skaičiukais, kaip taisyklė 10.x.x.x, ir tie skaičiukai nesutampa su „What my IP“ rodomu, tai jūsų vidinis tinklas pasijungė prie vidinio, ryšio paslaugų tiekėjų tinklo ir portai bus peradresuoti ne į išorinį internetą, bet į vidinį ryšio paslaugų tiekėjo tinklą ir iš interneto nebus pasiekiami. Nebent ir ryšio paslaugų tiekėjas tuos pačius portus peradresuotų :), bet to tikrai nebus. Beje, Kinijoje kaip supratau, net ir internetui tiekiamos SIM kortelės jungiamos prie vidinio ryšių paslaugų tiekėjų tinklo.
Vidinio tinklo vidiniai adresai:
- 10.0.0.0 (10.0.0.0–10.255.255.255)
- 172.16.0.0/12 (172.16.0.0–172.31.255.255)
- 192.168.0.0/16 (192.168.0.0–192.168.255.255)
Beje, dėl portų peradresavimo. Prie kuo protingesnio įrenginio prisileisite iš išorės, tuo daugiau žalos gali padaryti įsilaužėlis. Teko matyti, pas draugą, kad jis buvo pasidaręs, jog iš išorės galėtų prieiti prie savo maršrutizatoriaus. Sakė, kad jis buvo nulaužtas, tai dabar sugalvojo daug sudėtingesnį slaptažodį, tad dabar į jį niekas neįsilauš. Sakau nesąmonė, nes prisijungimo ekrane matosi konkretus maršrutizatoriaus modelis. Suvedėm jį youtubėje su žodžiu “hack“ ir greitai išmetė, kaip galima į jį įsilaužti. Principas toks, kad į adreso eilutę, suvedus tam tikrą komandą, pradedama siūsti esanti firmware su visais nustatymais. Parsisiuntus firmware, ji iššifruojama su specialia iššifravimo įranga ir turime išsaugotus prisijungimo duomenis. Taigi, kad ir koks sudėtingas slaptažodis bebūtų, jis nesunkiai sužinomas ir be bruteforce slaptažodžių parinkinėjimo. Po šio yotube filmuko peržiūros, draugas priėjimą prie maršrutizatoriaus iš išorės išjungė. Turint priėjimą prie maršrutizatoriaus, turim priėjimą prie absoliučiai visų vidinio tinklo resursų.
Norint patekti prie vidinio tinklo, mano nuomone daug saugiau pasidaryti priėjimą, prie vidiniame tinkle esančio kompiuteriu su TeamViewer pagalba, o per jį, jau ir prie maršrutizatoriaus prieisite. Kas dėl Komfovet rekuperatoriaus, tai jo valdiklis „Ping2“, kuris yra pas mane, mano supratimu yra gana kvailas, tad laužimasis į jį iš išorės neturėtų duoti daug naudos. Nors vaizdo kameroms adresavimą taipogi buvau įjungęs, bet suradęs, kad jos gali transliuoti vaizdą į išorę ir „OnVif“ pagalba, peradresavimą į Dahua vaizdo kamerų portą 37777 uždariau. Kuo mažiau portų atidaryta, tuo saugiau.
Dėl TeamViewer. Taip, suinstaliavus ją, kompanija turės pilną priėjimą prie jūsų kompiuterio, bei prie kitų vidinio tinklo resursų. Taipogi priėjimą turės ir tos šalies valstybinės saugumo tarnybos. Bet labai abejotina, kad jūsų privati nuotraukų kolekcija bus paviešinta šios kompanijos ar institucijos darbuotojų, priešingai nei po eilinio įsilaužėlio įsibrovimo.
OSI sluoksniai
Kas liečia OSI sluoksnius, tai vienas Tinklų administratorius paaiškino taip, kad suprasčiau net aš, taigi:
- 1-asis OSI sluoksnis apima tinklą sudarančius laidus ir kitą aparatinę tinklo dalį.
- 2-asis OSI sluoksnis apima MAC adresaciją, kurios per akis užtenka vietiniame tinkle.
- 3-asis OSI sluoksnis apima IP adresaciją, kuri reikalinga norint išeiti iš lokalaus tinklo ribų. Yra ir daugiau, pav. ICMP, ARP, RIP, bet tai mažiau aktualu bendram suvokimui.
- 4-asis OSI sluoksnis apima TCP (su nusiųstų duomenų gavimo patvirtinimu) ar UDP (nereikalingas patvirtinimas, kad duomenys gauti, kas padidina duomenų siuntimo greitį, bet kyla rizika atsirasti klaidų) ryšio tarp dviejų tinklo įrenginių užmezgimą.
Ties šiuo sluoksniu paprastai pasibaigia tinklą palaikančios aparatinės įrangos galimybės. Sekančius OSI sluoksnius paprastai palaiko programinė įranga.
- 5-asis OSI sluoksnis apima autentikaciją autorizaciją (logon/logof)
- 6-asis OSI sluoksnis apima įvairių simbolių, (pav. ASCII simbolio „$“) keitimą į dvejetainę sistemą (konkrečiu atveju tai būtų „0010 0100“). Taip pat šis sluoksnis apima duomenų kompresiją (su duomenų praradimu arba be), bei siunčiamų duomenų šifravimą.
- -7-asis OSI sluoksnis apima įvairių programų bendravimo protokolus, tokius kaip „HTTP, HTTPs, FTP, NFS, FMTP, DHCP, SNMP, POP3, IRC, NNTP, SMPT“ ir pan.
Network mask
Konfiguruojant prie tinklo prijungto kompiuterio ar kito įrenginio tinklo nustatymus, reikia nurodyti tokius parametrus
- Įrenginio IP adresas. Įvedate IP adresą, kuriuo bus pasiekiamas konfiguruojamas įrenginys. Dažniausiai pasirenkamas vienas iš vietiniam tinklui skirtų IP adresų, nors nebūtinai.
- Subnet Mask. Apie šį parametrą plačiau pakalbėsim truputį žemiau.
- Default Gatawey. Įvedamas maršrutizatoriaus, sujungiančio vietinį tinklą su išoriniu IP adresas.
- DNS serverio adresai. Galima suvesti maršrutizatoriaus IP adresą, interneto tiekėjo deklaruotą DNS IP adresą, arba kitų servisų, pav. Google – 8.8.8.8 arba 8.8.4.4; Cloudflare – 1.1.1.1 arba 1.0.0.1. Daugiau apie tai čia.
Subnet Mask adresas yra tarsi lentelė į kurią įrenginys turi žiūrėti prieš kreipdamasis į kitą įrenginį. Jei kitas įrenginys yra tame pačiame lokaliame tinkle, į jį galima kreiptis tiesiogiai. Su Net Mask mes nustatome ribas, pagal kurias kompiuteris supranta jog įrašomas adresas yra lokaliame tinkle ir į tą įrenginį galima kreiptis tiesiogiai apeinant maršrutizatorių (Gatawey). Jei IP adresas į kurį norima kreiptis išeina už Net Mask užduotų ribų, tuomet kreipiamasi į gatawejų ir jam pavedama toliau tvarkyti maršrutą iki užduotojo IP adreso.
Taigi, su Net Mask mes apibrėžiame kokio dydžio yra lokalus tinklas.
Subnet Mask adresas yra kaip ir visi kiti IP adresai sudarytas iš 32bit sveiko skaičiaus. Kaip ir visus kitus IP adresus network mask rašome X.X.X.X formatu – keturi baitukai atskirti taškais.
8bit = 1Byte (baitas)
32bit = 4 Byte (baitai, 4*8 = 32)
Net mask mes dažniausiai matome užrašyta kaip “255.255.255.0“, tokia net mask reiškia jog lokaliame potinklyje mes galime turėti 256 adresus (tiesa praktiškai panaudojami tik 254, nes apatinis ir viršutinis potinklio adresas yra techniniai jų negalima naudoti).
Specialūs adresai:
- 169.254.0.0/16
- 224.0.0.0/4 – grupinio transliavimo (multicast) adresų sritis
- 240.0.0.0/2 – rezervuota adresų sritis
- 127.0.0.0/8 – kompiuterio adresas kreipiantis iš to paties kompiuterio.
O dabar šiek tiek praktikos.
Sakykim yra du kompiuteriai
(1). IP: 192.168.1.2
NetMask: 255.255.0.0
(2). IP: 192.168.2.2
NetMask: 255.255.255.0
Šioje situacijoje (1) kompiuterio NetMask nustatytas taip, kad (2) kompiuterio adresas patenka į nustatytas lokalaus tinklo ribas, tad matys (2) kompiuterį ir galės į jį kreiptis, bet negaus tiesioginio atsakymo, nes (2) kompiuterio NetMask užduotos per mažos ribos, į kurias nepatenka (1) kompiuteris. Antrasis kompiuteris pirmajam atsakymą perdavinės per Gatawėjų. Jei šiame tinkle bus gatawėjus, su Net Mask apimančiu abiejų kompiuterių IP adresus, tai turėtų peradresuoti užklausą teisingam adresatui, bet jei gatavėjaus NetMask per siauras, arba gatawėjaus iš vis nėra, tuomet ryšio tarp kompiuterių negalės būti. (2) kompiuteryje NetMask pakeitus iš 255.255.255.0 į 255.255.0.0 abu kompiuteriai matys vienas kitą ir puikiausiai tarpusavyje susikalbės be gatawėjaus pagalbos.
Klausimas, kam tuomet susisiaurinti „Net Mask“ aprėptį, jei nusistačius maksimalią neiškils problemų su vos ne visa naujai įsigyta įranga su skirtingais IP adresais? Privačiam asmeniui, manyčiau, kad NetMask 255.255.0.0 yra idealus, bet įmonėse su didelių apimčių tinklais stengiamasi nustatinėti NetMask maksimaliai siauros aprėpties. Tai daroma, kad pavyzdžiui per VPN apjungus kelių ofisų ar įmonių tinklus, neprasidėtų hemarojus su skirtingų lokalių tinklų adresacijos persidengimu. Įsivaizduokit koks gali būti malonumas pakeisti kokio 100 ar gerokai daugiau tinklo įrenginių adresaciją iškilus aprašytam konfliktui.
Realiai tai NetMask galima nustatyti net 0.0.0.0, bet tuomet, kad ir kokį IP adresą įrašytumėte, bus laikoma, kad tas adresas yra vidiniame tinkle ir jo peradresacijai nebus kreipiamasi į Gatawėjų o tai reiškia, kad joks išorinio interneto resursas bus nepasiekiamas.
Liteatūra:
- Kaip užtikrinti namų interneto tinklo apsaugą? – tikrai gerai šią sritį išmanančio specialisto parašytas straipsnis apie maršrutizatoriaus konfiguracijos niuansus. Nors apie daugelį iš jų ir aš užsiminiau, bet jei skaitydami mano parašytą tekstą ne viską supratot, gal ten bus aiškiau. Straipsnis irgi tik supažindinantis su svarbiausiais niuansais, kad žinoti į kurias sritis reikia pasigilinti labiau :).
- Populiariausi slaptažodžiai pasaulyje: 2018 m., dar vienas 2018 m. sąrašas,
- Populiariausi lietuviški slaptažodžiai (pasistenkite parinkti tokį slaptažodį, kad jis nesutaptų, ar nebūtų panašus į esančius šiame sąraše): 2019 m. (123456, 123456789, 123123, lopas123, samsung, qwerty, mantas, lopas, lietuva, 12345, katinas, 111111, 12345678, asasas, asilas, nesakysiu, mamyte, saulute, kaunas, 1234567, labas, guardian101, karolis, 123, 123321, kaktusas, slaptazodis, 666666, justas, 1234, kompas, 654321, karolina, vasara, 0, andrius, 1234567890, 159753, zuikis, labas123, marius, mindaugas, kaciukas, angelas, monika, nezinau, lietuva1, edgaras, katyte, killer, saulyte, maziukas, 123123123, tomukas, liutas, drakonas, kristina, 112233, asdasd, lukas, siemens, asdfghjkl, creative, gaidys, 123456a, abc123, martynas, labas1, mamyte1, deividas, motorola, password, sandra, viktorija, asdfgh, edvinas, kakalas, kamile, makaka, gabriele, klaipeda, lopeta, zalgiris, 987654321, flatron, kalakutas, lalaila, mama, naujas, qazwsxedcrfv, gintare, masina, assfuck, qwerty123, arturas, belekas, ernestas, aaaaaa, donatas, master.)
- Slaptažodžio “Bruteforce“ nulaužimui reikalingas laikas – howsecureismypassword, 6 simbolių slaptažodis nulaužiamas per sekundę, kai 12 simbolių (didžiųjų ir mažųjų raidžių, skaičių ir simbolių kratinys) užtruks iki 3000 metų! Aišku, jei tas kratinys nėra lengvai atspėjamas ar nėra aukščiau esančiam sąraše.
- Naujas „Wi-Fi“ ryšio standartų žymėjimų sąrašas:
- Wi-Fi 1: 802.11b (1999)
- Wi-Fi 2: 802.11a (1999)
- Wi-Fi 3: 802.11g (2003)
- Wi-Fi 4: 802.11n (2009)
- Wi-Fi 5: 802.11ac (2014)
- Wi-Fi 6: 802.11ax (2019)
-
Nacionalinio kibernetinio saugumo centro Saugumo pranešimai ir rekomendacijos / Naujienos pav. dėl D-Link maršrutizatorių naudojimo saugumo – nors nemanau, kad tai turėtų būti vertinama, kaip perspėjimas nepirkti D-Link įrangos. Mano supratimu, tai labai gera kainos/kokybės atžvilgiu produkcija, tik atkreipkite dėmesį į pavojų galinčius kelti nustatymus.
- Esaugumas.lt
- Kaip išlikti saugiam internete
eenamas.wordpress.com 
WIFI routeri su LAN portais kabeliui pasistatai ir ramu.
Tai pas mane pirmas prie interneto pajungtas įrenginys routeris ir yra. Problema, kad routeriai paprastai turi tik 4 LAN portus. Kadangi šiais laikais prie tinklo jungiami, ne tik kompiuteriai, bet ir rekuperatoriai, televizoriai, NAS ir pan. ir ne visi prietaisai turi belaidžio tinklo pajungimo galimybę, o jei tą patį prietaisą yra galimybė pajungti laidais, tai toks pajungimas vis tiek bus patikimesnis ir pralaidesnis (pavyzdžiui keliuose televizoriuose 4K vaizdo žiūrėjimas), viename roteryje esančių laidinio tinklo pajungimo lizdų žiauriai neužtenka.
Po mano tinklo praplėtimo veikia du roteriai su bendru 8 LAN lizdų skaičiumi (vienas iš jų su atjungtu DHCP servisu), du WiFi prieigos taškai, matomi, kaip vienas su geresniu WiFi ryšiu visame name ir dar du svičai su bendru 13 LAN lizdų skaičiumi. Taigi, dabar mano tinkle iš viso yra 21 LAN lizdas.
Su vienu maršrutizatoriumi sorry, bet aš jau neišsiverčiu.
Vat įmečiau savo tinklo dabartinę topologiją į tekstą.
tai pirkai REGO rekupui atskira plokste LAN’ui?
as tai issiverciu ir taip, nieko as tam rekupui per daug nekonfiguruoju, tik laika kas nuo karto pataisau (pasuku i prieki/atgal ziemos vasaros laikas) na ir pats laikrodis megsta atsilikti. Daugiau ten nera ka reguliuot 🙂
Dabar nauji telikai su wifi. Nors mano ir palaiko 4K dar nebandziau ziureti. Kabelines tik HD palaiko. Gal koki Netflix’a reikes pameginti.
Aš pirkau rekupą be valdymo pultelio bet su Ping – valdymo moduliu rekupo pajungimui prie tinklo, tad aš neturiu kitos galimybės valdyti rekuperatoriaus, kaip tik per tinklą. Pultelio sumontavimas kelia įvairių problemų, tokių kaip patogios vietos montavimui suradimas, laidų tampymas iki pageidaujamos montavimo vietos ir pan, o kai rekupą pajungi prie tinklo, tai jį valdyti gali su planšete ir mobiliu telefonu (labai patogus atnaujintas apssas), ar su kompiuteriu per web interfeisą, iš kur tik nori, kad ir lovoje gulėdamas. Guli, pajauti kad dūmus pradėjo iš lauko traukti, tai nesikeli iš lovos, tik paimi telefoną ir sumažini ventiliacijos intensyvumą, ar atvirkščiai, nori gaivesnio oro, ir vėl, niekur eiti nereikia. Laiko sinchronizavimas iš vis tik vieno mygtuko “Pradėti sinchronizavimą“ paspaudimo reikalaujantis veiksmas. Tikrai labai patogu, džiaugiuosi tokiu savo pasirinkimu :). O Ping modulis kainavo nebrangiai, nes iš bendros kainos minusavosi valdymo pultelio kaina, tad lyginant komplektą su valdymo pulteliu, man viršaus nedaug reikėjo sumokėti.
Televizorius mano irgi su wifi, bet laidinis ryšys daug patikimesnis. Kas dėl 4K, tai su mobiliu nueini į Youtube, į paiešką įrašai “4K“ ir perkeli vaizdą į Televizorių, o tada grožiesi detaliais gamtos vaizdais :).
Pritariu, kad laidinis ryšys tikrai patikimesnis. Ir stacionariam kompiuteriui pasirinkau tik jį. Žinoma, telefonui, nešiojamam kompiuteriui wifi daug patogiau, tačiau rimtam darbui tik laidinis.
Atgalinė nuoroda: Raspberry Pi