Afin d'afficher les paquets capturés, sélectionnez l'élément de menu Capture \\ Afficher les données capturées ou appuyez sur la touche F10, ou cliquez sur le bouton correspondant dans la barre d'outils. Cela ouvrira la fenêtre de vue du package:
Chaque ligne de cette fenêtre correspond à un paquet capturé, les paquets sont disposés dans l'ordre dans lequel ils ont été capturés (c'est-à-dire dans l'ordre dans lequel ils ont été transmis sur le réseau). Pour basculer vers le mode d'affichage du contenu d'un package, sélectionnez le package et appuyez sur Entrée, ou double-cliquez sur le package. La fenêtre sera ensuite divisée en 3 parties:
La fenêtre supérieure affiche toujours tous les packages. Fenêtre du milieu - informations détaillées sur le package sélectionné. Bas - le contenu du package sélectionné en hexadécimal.
Fenêtre supérieure affiche les informations suivantes pour chaque package:
Cadre - Le numéro de série du colis. Commence à 1.
Temps - Temps de capture des paquets. Ce paramètre a différentes significations en fonction de l'option Afficher \\ options:
Heure absolue (système)
Durée de la capture des paquets
Temps entre la fin de la capture du paquet précédent et le début de la capture du courant
Adresse MAC Src - MAC - adresse source. Il peut être affiché à la fois comme une valeur d'adresse MAC de 6 octets et comme le nom de la table d'adresses du moniteur réseau (voir p. 5)
Adr MAC Dst - MAC - adresse du destinataire. Il peut être affiché à la fois comme une valeur d'adresse MAC de 6 octets et comme le nom de la table d'adresses du moniteur réseau (voir p. 5)
Protocole Le protocole de couche supérieure qui était la source du paquet.
La description Brève description du contenu du protocole
Src Autre Addr L'adresse source au niveau de la couche réseau (généralement une adresse IP ou une adresse IPX). Le type est spécifié dans le paramètre Type Other Addr.
Dst Autre Addr L'adresse de destination au niveau de la couche réseau (généralement une adresse IP ou une adresse IPX). Le type est spécifié dans le paramètre Type Other Addr.
Tapez Autre Addr Le type d'adresse réseau (le type de protocole de couche réseau utilisé pour la transmission). Détermine le type des valeurs des deux champs précédents.
Fenêtre du milieuest basique et contient des informations détaillées sur le package. Se compose de plusieurs sections. La section supérieure - Frame - contient des informations générales sur le paquet (non contenues dans le corps du paquet), telles que l'heure, le numéro et la taille du paquet. Le nombre avec la composition des sections restantes dépendra du nombre d'en-têtes de protocole différents niveauxqui ont été utilisés dans la formation du package, c'est-à-dire à partir de la destination du package et du composant logiciel - la source du package. Chaque section correspond à son protocole, l'ordre des sections correspond à l'ordre des en-têtes dans le corps du paquet, c'est-à-dire à l'ordre de traitement des paquets. Cela correspond à son tour à l'ordre des couches dans le modèle OSI à 7 couches.
Fenêtre du basaffiche le contenu du corps du paquet en caractères hexadécimaux et ASCII. Lorsqu'une section est sélectionnée dans la fenêtre du milieu, la partie du paquet correspondant à la section sélectionnée est sélectionnée dans la fenêtre inférieure.
Table d'adressesMoniteur réseau
Pour faciliter la lecture des informations sur les paquets capturés et créer des filtres (voir section 6), chaque adresse d'ordinateur sur le réseau peut être associée à un nom symbolique, qui sera affiché dans les champs correspondants lors de l'affichage des paquets au lieu de l'adresse MAC ou de l'adresse de l'ordinateur de la couche réseau. Les informations sur ces noms symboliques et les adresses qui leur sont associées sont stockées dans la table d'adresses du Moniteur réseau. Vous pouvez afficher et modifier la table d'adresses en sélectionnant l'élément de menu Affichage \\ Adresses. La table d'adresses ressemble à ceci:
Les principaux champs de la table d'adresses sont le nom symbolique, l'adresse associée et le type d'adresse. Veuillez noter que l'adresse peut être à la fois physique et réseau, par conséquent, pour chaque nom symbolique, deux adresses de types différents peuvent être spécifiées.
La table d'adresses est générée automatiquement lors de la capture des paquets. Dans ce cas, les noms d'ordinateurs NETBIOS sont utilisés comme noms symboliques.
Il existe des entrées de table d'adresses par défaut (marquées d'un *). Ils fournissent des noms pour les adresses spéciales de la couche physique. Par exemple, le nom BROADCAST est utilisé pour les paquets de diffusion Ethernet dont l'adresse de destination est des binaires (FFFFFFFFFFFF).
Pour ajouter une adresse à la table, vous devez cliquer sur le bouton Ajouter .., après quoi une boîte de dialogue apparaîtra:
Installer des filtres pour capturer des paquets (Filtre de capture)
Lors de la résolution de problèmes spécifiques d'analyse du trafic réseau, il est généralement nécessaire de capturer non pas tous les paquets transmis sur le réseau (leur nombre peut être très important!), Mais seulement certains, c'est-à-dire des paquets qui remplissent certaines conditions. Pour cela, des filtres de capture sont installés (Filtre de capture - à ne pas confondre avec les filtres d'affichage!). Pour afficher ou modifier le filtre de capture, sélectionnez le menu Capture \\ Filtre. Une fenêtre apparaîtra montrant le filtre actuel:
Les paquets capturés peuvent être filtrés en fonction des critères suivants:
Type de protocole... Pour définir ce critère, double-cliquez sur la ligne SAP / ETYPE \u003d ... Une boîte de dialogue apparaîtra vous permettant d'activer ou de désactiver la capture de paquets d'un protocole spécifique. Par défaut, tous les protocoles sont activés pour la capture (protocoles activés):
Adresse de l'ordinateur... Pour définir ce critère, double-cliquez sur la ligne Paires d'adresses. Une boîte de dialogue apparaît et vous permet de définir les paires d'adresses entre lesquelles les paquets seront capturés. De plus, vous pouvez définir le sens de transmission des paquets capturés (Direction) - bidirectionnel ou uniquement dans le sens d'une adresse à une autre. Le nom * ANY correspond à n'importe quelle adresse de n'importe quel type. Par défaut, ce critère est configuré pour capturer tous les paquets dans toutes les directions (TOUT<->TOUT).
Associez un champ de paquet à une correspondance de modèle. Vous permet de capturer des paquets dont le contenu correspond à un modèle. Le modèle est des données binaires (hexadécimal) ou une chaîne de caractères (ASCII) et un décalage en octets depuis le début du paquet (à partir du début de la trame). Un paquet sera capturé si son contenu au décalage spécifié correspond à la séquence spécifiée de données binaires ou caractères. Par défaut, aucun modèle n'est spécifié, c'est-à-dire que tous les packages correspondent au modèle.
Les trois critères décrits ci-dessus sont combinés selon la logique "ET" (ET). Cela signifie que le paquet sera capturé s'il répond aux trois critères. Plusieurs conditions peuvent être spécifiées pour le critère de correspondance de modèle combiné dans une expression booléenne. Par exemple, le filtre suivant est conçu pour capturer des paquets contenant des données spécifiées au décalage 0x30 ou des données spécifiées au décalage 0x50 et ne contenant pas de données spécifiées au décalage 0x4.
6.3. Demande de service
1. Dans la ligne de commande, exécutez la commande ipconfig / all. Affichez et enregistrez le nom, l'adresse MAC (adresse physique) et l'adresse IP de votre ordinateur.
2. Sélectionnez l'interface de capture des paquets dans le menu Capture / Réseaux.
3. Créez un filtre conçu pour capturer les paquets transmis entre votre ordinateur et tous les autres ordinateurs du réseau dans les deux sens. Lors du choix de l'adresse de votre ordinateur dans la table d'adresses, vous devez spécifier le nom LOCAL correspondant à l'adresse physique de votre ordinateur. Enregistrez le filtre dans un fichier du même nom que votre nom d'utilisateur avec l'index 1 (par exemple 281san1.cf).
4. À l'aide du filtre créé, capturez un petit nombre de paquets (100-200). Dans ce cas, après avoir démarré la capture de paquets, vous devez lancer l'activité réseau de votre ordinateur - par exemple, lancer un navigateur Internet, un navigateur pour afficher l'environnement réseau, accéder à un lecteur réseau.
5. Basculez vers le mode d'affichage des paquets capturés.
6. Parmi le nombre total de packages (à l'exception du premier et du dernier package), sélectionnez plusieurs packages avec une structure différente (au moins 3). Dans la fenêtre centrale, ouvrez les sections Frame et Ethernet, affichez le contenu des champs.
7. Notez et organisez sous forme de tableau les informations suivantes sur les packages:
§ Adresse MAC source
§ Adresse de destination
§ Type de protocole de couche supérieure (type Ethernet)
§ Longueur totale des trames
§ Taille du champ de données du paquet Ethernet (Nombre d'octets de données restants)
§ L'ordre d'imbrication des protocoles. Par exemple, pour le paquet ci-dessus Ethernet, IP, TCP, NBT
9. Créez un filtre pour capturer les paquets qui ne contiennent pas de paquets IP. Pour ce faire, dans la fenêtre Filtre de capture, sélectionnez la ligne SAP / ETYPE et cliquez sur le bouton Modifier.
Désactivez la capture des paquets IP et cliquez sur OK.
10. Capturez les paquets (capturez au moins 3 paquets), répétez l'étape 7.
6.4. Questions de contrôle
1. Pouvez-vous utiliser le Moniteur réseau pour capturer un paquet si ni l'adresse MAC source ni l'adresse MAC de destination n'est l'adresse MAC de l'ordinateur à partir duquel vous effectuez la capture? Explique.
2. Qu'est-ce que l'adresse MAC?
3. Qu'est-ce qu'une adresse réseau?
4. Donnez une brève description de l'algorithme de transmission de paquets sur Ethernet.
5. De quels champs se compose l'en-tête de trame Ethernet?
6. Quelle est la taille de l'en-tête de trame Ethernet?
7. Après la fin de la capture, les paramètres Statistiques du réseau - cadres et Statistiques capturées - cadres ont les mêmes valeurs. Quelle conclusion peut-on tirer?
8. Qu'est-ce que l'encapsulation de paquets de différentes couches?
Travaux de laboratoire 7.Composition de la pile de protocoles TCP / IP. Etude des protocoles ARP, IP, ICMP.
7.1. introduction
La pile de protocoles TCP / IP est actuellement le moyen le plus courant d'organiser des réseaux concaténés. Sur la base de cette pile de protocoles, l'Internet mondial est organisé. C'est donc sur l'exemple de cette pile qu'il convient d'étudier les moyens de la couche réseau. Ce laboratoire fournit une brève description de la pile TCP / IP, de l'objectif et des fonctions du protocole d'interfonctionnement IP, du protocole de résolution d'adresse ARP et du protocole de message de contrôle Internet ICMP.
7.2. Caractéristiques générales de la pile de protocoles TCP / IP
Il y a 4 couches définies dans la pile TCP / IP. Chacun de ces niveaux porte une certaine charge sur la résolution de la tâche principale - l'organisation d'un
travail productif d'un réseau composite, dont certaines parties sont construites sur la base de différentes technologies de réseau.
La deuxième génération de centres Internet Zyxel Keenetic est apparue sur le marché il y a deux ans et a commencé avec trois modèles de niveaux supérieur et intermédiaire. Plus tard, ils ont été rejoints par cinq autres appareils et il y a maintenant plus d'une douzaine de modifications dans la série. De plus, les derniers nouveaux venus ne sont plus en plus, mais pour remplacer les appareils précédemment sortis.
Du point de vue de la plate-forme matérielle, Zyxel Keenetic Omni II et Keenetic Lite III ne diffèrent pas de leurs prédécesseurs. Ils sont également basés sur le SoC MediaTek MT7620N, équipé de 8 Mo de mémoire flash et 64 Mo de RAM, de ports filaires 100 Mbps et d'un point d'accès monobande 802.11b / g / n 300 Mbps. L'Omni II dispose d'un port USB 2.0 qui manque à Lite III, mais ce dernier dispose d'un commutateur de mode matériel. À partir des différences externes, vous pouvez remarquer la conception modifiée du boîtier et de l'emballage, ce qui, bien sûr, n'est pas une raison de mise à jour.
Ces appareils sont un cran plus haut que la version la plus simple de Keenetic Start. Le matériel Keenetic 4G III ne diffère pas d'eux, ce qui permet d'utiliser le port USB uniquement pour les modems. Ainsi, les informations contenues dans ce document peuvent lui être attribuées en toute sécurité. Pour résumer les caractéristiques, nous pouvons dire que Lite III est le modèle de base pour ceux qui n'ont pas besoin d'un port USB, et l'Omni II intéressera ceux qui prévoient d'utiliser non seulement des modems, mais également des lecteurs. Notez que la présence d'un port USB élargit encore considérablement la gamme des tâches résolues par le routeur.
La sortie de nouveaux produits a coïncidé avec une mise à jour majeure du micrologiciel, dont le système d'exploitation a reçu un nouveau noyau, qui a considérablement affecté l'ensemble du micrologiciel et a nécessité des efforts de mise en œuvre importants. Au moment d'écrire ces lignes, le nouveau noyau a également été utilisé dans les versions bêta pour les modèles Viva et Extra. Il est prévu que tous les appareils de la génération actuelle recevront des mises à jour similaires.
Contenu de la livraison
Dans cette génération de modèles, le fabricant a légèrement modifié le design des couvercles extérieurs des boîtes en carton et a utilisé une couleur orange vif sur les extrémités. Le reste a peu changé - une grande photo de l'appareil sur la face avant, des spécifications techniques détaillées, le contenu de l'emballage, ainsi qu'une description des possibilités et des cas d'utilisation à l'arrière. De plus, tous les textes sont entièrement localisés.
Les photos des smartphones et les logos des magasins d'applications mobiles attirent l'attention. Apparemment, la société a décidé de suivre l'exemple d'autres fabricants et a publié un utilitaire spécialisé pour la configuration des routeurs. Il est difficile de dire à quel point cette fonction est réellement demandée dans la pratique, cela dépendra beaucoup de la qualité et des capacités du programme. Mais étant donné l'adoption généralisée des appareils mobiles, cela pourrait bien s'avérer utile. Nous allons certainement en prendre connaissance dans la section correspondante.
L'ensemble de livraison des routeurs de ce segment n'a pas changé depuis longtemps, et ces modèles ne font pas exception - un routeur, une alimentation à découpage compacte externe (9 V 0,6 A pour Lite III et 12 V 1 A pour Omni II), un cordon de raccordement réseau, assez volumineux un manuel d'utilisation, une carte de garantie et un petit dépliant décrivant certains produits de l'entreprise.
Apparence
Les appareils ont reçu le même boîtier, qui diffère cependant des générations précédentes. En particulier, les antennes non amovibles sont désormais situées sur les extrémités latérales, de sorte que le routeur ne peut plus être placé sur le côté.
Les dimensions des boîtiers ont légèrement diminué et sont de 140 × 103 × 30 mm, hors câbles et antennes. Le plastique noir est à nouveau utilisé. Dans le même temps, le bas est resté brillant, les côtés ont été rendus mats et sur le couvercle supérieur, nous voyons un motif familier avec des vagues et une prédominance de brillant.
Au bas des appareils, il y a deux pieds en caoutchouc et deux trous pour le montage mural avec connecteurs vers le bas. Il y a des grilles de ventilation sur les extrémités latérales. Le modèle Keenetic Lite III a un bouton de réinitialisation caché sur la gauche. L'Omni II y ajoute un port USB 2.0 et un bouton multifonction. Sur le panneau supérieur des routeurs, il y a un gros bouton pratique pour connecter les clients à l'aide de la technologie WPS et déconnecter le point d'accès. Pour rappel, les fonctions des boutons peuvent être modifiées dans les paramètres.
À l'arrière se trouvent cinq ports réseau et une entrée d'alimentation avec un bouton. Keneetic Lite III dispose en outre d'un commutateur de mode matériel - principal, adaptateur, amplificateur, point d'accès. Il n'y a pas d'antenne ici maintenant, donc il ne peut y avoir aucune difficulté pour connecter les câbles et accéder au commutateur.
Des antennes non amovibles sont installées aux extrémités latérales. Leur mécanisme de pivotement semble être plus fiable que dans les implémentations antérieures. Les antennes mesurent plus de quinze centimètres de long, et la forme et le design du boîtier extérieur ont également légèrement changé et sont devenus plus intéressants. Bien sûr, cela n'affecte pas la vitesse, mais c'est toujours agréable.
Les voyants de fonctionnement du routeur sont situés à l'avant. Ils ont une lueur verte, sont assez informatifs et n'irritent pas avec des clignotements fréquents. Mais lorsqu'ils sont montés sur un mur, ils peuvent ne pas être visibles.
À l'exception de l'utilisation continue du brillant, il n'y a pas de commentaires sur la conception des nouveaux produits.
Configuration matérielle
En termes de configuration matérielle, les modèles ne diffèrent pas de leurs prédécesseurs. Ils sont basés sur la plate-forme populaire MediaTek MT7620N, équipée de 8 Mo de mémoire flash, 64 Mo de RAM, une unité radio intégrée au processeur prenant en charge les réseaux 802.11b / n / g dans la bande 2,4 GHz avec une vitesse de connexion maximale de 300 Mbps et un commutateur réseau pour cinq ports Fast Ethernet 100 Mbps câblés. Il convient de noter que la révision 0206 du processeur est utilisée ici.
L'Omni II dispose d'un port USB 2.0 et d'un bouton supplémentaire, tandis que le Lite III dispose d'un commutateur de mode matériel. Notez que le mode de fonctionnement de cet appareil ne peut pas être modifié via l'interface Web. Le modèle conserve quatre ensembles de paramètres indépendants (un pour chaque mode) et peut rapidement basculer entre eux.
Caractéristiques et capacités du firmware
Les produits de la série actuelle Keenetic ont un logiciel embarqué NDMS2 unifié, que nous avons déjà décrit à plusieurs reprises dans nos publications. Les différences peuvent concerner différentes configurations matérielles, telles que la présence de ports USB ou de radio double bande, ou la disponibilité de certains packages. La plupart des informations complémentaires peuvent donc être attribuées à d'autres solutions de la série.
Lorsqu'ils sont allumés pour la première fois, les appareils offrent automatiquement à l'utilisateur une assistance pour la configuration de l'accès Internet et d'autres paramètres de base. Il utilise la base de données des fournisseurs intégrée, ce qui simplifie considérablement le processus. Il est également prévu de lancer l'assistant depuis l'interface Web. Une fois l'assistant terminé, le routeur vérifie indépendamment la connexion réseau et la disponibilité des mises à jour du micrologiciel, et après l'autorisation de l'utilisateur, il peut les installer.
La conception de l'interface Web de l'appareil peut être considérée comme assez pratique, bien que, bien sûr, l'abondance des possibilités puisse être un peu déroutante par habitude. Il est également intéressant de noter que cela a l'air bien sur les écrans basse résolution, ce qui est de moins en moins courant aujourd'hui. Il n'y a pas de commentaires sur la réactivité de l'interface, ainsi que sur la traduction. Dans ce cas, il vaut la peine de considérer le russe comme langue principale et l'anglais comme langue supplémentaire. Rappelons une fois de plus que le firmware de cette série est créé par des développeurs nationaux.
Par rapport à de nombreux autres routeurs du marché, ces produits présentent quelques différences logicielles caractéristiques. En particulier, en plus de prendre en charge les connexions IPoE, PPPoE, PPTP et L2TP, vous pouvez utiliser le mode client Wi-Fi, des modems USB (dans les routeurs avec un port USB), 802.1x et un autoriseur KABiNET pour vous connecter à Internet.
Prend en charge la configuration simultanée de diverses options de connexion, y compris l'utilisation de plusieurs ports câblés, pour implémenter la fonction de redondance. Son utilisation efficace est facilitée par le module Ping Check, qui vous permet de surveiller la santé des canaux de communication. A noter également la possibilité de coupure forcée de l'alimentation du port USB en mode manuel ou automatique, ce qui améliore la fiabilité du travail avec les modems USB. La liste de compatibilité contient de nombreux modèles modernes, y compris ceux conçus pour les réseaux de quatrième génération.
Avec une adresse non permanente émise par le fournisseur, vous pouvez utiliser des clients DNS dynamiques, y compris le maître DNS national. L'accès aux services du réseau local est fourni en configurant les règles de traduction d'adresses et la prise en charge UPnP. Un niveau de protection supplémentaire pour les utilisateurs, en particulier leurs appareils mobiles, peut être réalisé grâce à la prise en charge des services SkyDNS et Yandex.DNS. Notez qu'ils peuvent désormais utiliser l'attribution de profil individuel aux clients pour utiliser les serveurs DNS du FAI.
Dans le groupe "Réseau domestique", vous pouvez modifier l'adresse locale du routeur, ainsi que configurer le serveur DHCP. Dans ce cas, vous pouvez créer plusieurs segments de réseau en les divisant par des plages d'adresses IP. Cette capacité est notamment utilisée pour desservir un réseau sans fil invité. Ici, vous pouvez également configurer un relais DHCP et désactiver NAT.
Pour travailler avec IPTV, le protocole IGMP, l'allocation de port aux décodeurs, la technologie VLAN sont prises en charge et il existe également un serveur udpxy intégré.
Les paramètres du point d'accès sans fil sont standard. Vous avez le choix entre le nom du réseau, le mode de protection, le nombre et la largeur du canal, le pays, la norme et la force du signal. Notez que les paramètres d'usine de l'appareil incluent un nom de réseau et un mot de passe individuels indiqués sur l'autocollant. Nous n'avons pas oublié le filtre d'adresse MAC, le WPS et l'implémentation du réseau sans fil invité. Notez l'absence de planning de travail et de prise en charge de l'authentification via le serveur RADIUS.
En plus des services mentionnés ci-dessus pour le filtrage des requêtes DNS, les routeurs disposent d'un filtre programmable pour les paquets entrants, dont les tables sont programmées pour chaque interface (y compris les locales) individuellement.
Les packages supplémentaires intéressants sont le serveur VPN (PPTP), ALG pour certains protocoles populaires, IPv6, module de capture de paquets, prise en charge des systèmes de fichiers NTFS et HFS +, authentification de l'utilisateur pour l'accès aux fichiers réseau, système de téléchargement de fichiers de transmission, serveur DLNA, prise en charge de certains modèles USB -modems. Beaucoup d'entre eux ne concernent que les modèles dotés d'un port USB, mais, en particulier, Lite III dispose également d'un serveur VPN. Notez que les clients VPN présents dans le firmware peuvent également être utilisés pour se connecter à des réseaux distants, pas seulement à Internet.
Les appareils disposent d'outils de surveillance et de diagnostic avancés qui permettent au support technique de résoudre plus efficacement les problèmes éventuels. En plus de la page d'état étendue, où vous pouvez trouver des informations sur les connexions, le trafic actuel, ainsi que la charge du processeur et de la RAM, vous pouvez voir la table de routage, une liste des clients du réseau local, leurs connexions actives, des données sur les périphériques sans fil (y compris les vitesses de connexion), les clés USB et les clients VPN.
Le journal des événements système est stocké sur le périphérique ou peut être envoyé à un serveur syslog externe. Il n'y a pas de fonctions spéciales pour rechercher ou définir des filtres. Il n'y a pas d'envoi d'informations par e-mail. Dans les avantages, vous pouvez noter le détail élevé des événements.
Dans les paramètres système, il y a le réglage de l'heure, la réinitialisation de la configuration, le redémarrage, la mise à jour du micrologiciel et l'installation des composants. Il permet également de choisir le mode de fonctionnement de l'appareil (sauf pour Lite III), de définir l'action des boutons sur le boîtier, de travailler avec les fichiers système (configuration, journal et firmware), de programmer les utilisateurs et de spécifier les droits aux services.
Notez que maintenant, les modes de fonctionnement utilisent des ensembles de paramètres individuels séparés et que sur Lite III, ils peuvent être modifiés à l'aide d'un commutateur matériel.
Dans certains cas, lorsque vous contactez le support technique, il peut être utile de créer un rapport avancé sur le fonctionnement de l'appareil et un module de capture de paquets réseau.
Le port USB de la gamme Keenetic est utilisé pour connecter des périphériques de stockage, des modems et des imprimantes. Dans le premier cas, des périphériques avec plusieurs partitions peuvent être utilisés, et la liste des systèmes de fichiers compatibles comprend toutes les options courantes actuelles, notamment FAT32, NTFS, EXT2, EXT3 et HFS +. En plus de l'accès via les protocoles SMB et FTP (y compris via Internet), les lecteurs peuvent être utilisés pour le téléchargement hors ligne de fichiers et la diffusion de contenu multimédia vers des récepteurs DLNA.
Au moment d'écrire ces lignes, la liste officielle de compatibilité des imprimantes comptait près de cinq cents modèles. Selon le modèle, l'impression via un réseau Windows ou en utilisant un port réseau peut être prise en charge. À l'exception de l'impression, les fonctionnalités MFP ne sont pas prises en charge.
Le constructeur accorde une grande attention au travail avec des modems pour les réseaux cellulaires - la liste de compatibilité contient une quarantaine de modèles 4G et plus de quatre-vingts UMTS GSM / 3G 2G, sans compter les options pour les réseaux 3G CDMA. De plus, le travail avec des appareils modernes est effectué dans les modes les plus productifs, ce qui vous permet d'atteindre des vitesses élevées.
Comme mentionné ci-dessus, le fabricant a introduit un utilitaire spécial Keenetic NetFriend pour les appareils mobiles basés sur Android et iOS pour la configuration initiale des routeurs.
Il a des instructions interactives intégrées, un code QR sur le corps est utilisé pour se connecter au réseau sans fil du routeur, il existe une fonction de localisation pour filtrer la liste intégrée des fournisseurs par règlement et la possibilité de configurer manuellement les paramètres. Il est dommage que la version actuelle n'implémente pas les paramètres IPTV, ne modifie pas les paramètres Wi-Fi et qu'il n'y ait pas de fonctions de surveillance et de diagnostic. D'autre part, IPTV fonctionnera immédiatement dans de nombreux cas, et le réseau sans fil est déjà configuré pour le mode sécurisé. Ainsi, dans sa forme actuelle, le programme peut être utile pour les utilisateurs novices.
Performance
Les routeurs considérés ne diffèrent que par les capacités associées à la présence d'un port USB. Donc, formellement, il serait possible de ne pas tester les performances des tâches de routage et d'accès sans fil pour les deux modèles, mais nous l'avons fait, même si nous ne nous attendions pas à de grandes différences. Les tests ont été réalisés sur notre banc standard en benchmarks synthétiques.
Si vous suivez nos publications, alors rappelez-vous peut-être que lors du test du prédécesseur, nous n'avons eu aucun commentaire en termes de vitesse de routage. Les nouveaux éléments, malgré les raisons mentionnées ci-dessus pour la mise à jour du micrologiciel et de tous les modules, ont été encore légèrement meilleurs dans les tests full-duplex. Ainsi, les modèles considérés peuvent être recommandés en toute sécurité pour un fonctionnement à des vitesses allant jusqu'à 100 Mbit / s inclus avec tout type de connexion Internet.
L'efficacité du travail avec le réseau local du fournisseur a également été préservée, comme le montre la prochaine paire de graphiques.
Comme nous l'avons écrit précédemment, ces modèles de niveau intermédiaire ont reçu dans le firmware actuel l'implémentation d'un serveur VPN fonctionnant sur le protocole PPTP. Cela vous permet d'organiser une connexion à distance sécurisée à votre réseau domestique et à d'autres scénarios utiles. Pour tester les performances dans ce mode, nous avons utilisé une connexion au routeur à partir d'un ordinateur situé dans le segment de réseau externe avec un client Windows standard. Les graphiques présentent les indicateurs moyennés sur trois scénarios (réception, transmission et réception et transmission simultanées, le tout en huit flux).
Lorsque vous travaillez sans cryptage, vous pouvez effectuer cette tâche de 75 à 100 Mbps. L'utilisation de MPPE128 réduit la vitesse à 30-40 Mbps. Comme on peut le voir, l'implémentation de ce service dans des appareils du niveau considéré a du sens.
Le point d'accès sans fil intégré aux routeurs fonctionne avec une vitesse de connexion maximale de 300 Mbps. Cependant, les performances dans ce scénario sont susceptibles d'être limitées aux ports câblés qui n'ont que des vitesses de 100 Mbps. Les routeurs ont été réglés pour des performances maximales avec un canal de 40 MHz et un cryptage WPA2-PSK. Lors des tests, nous avons utilisé l'adaptateur TP-Link TL-WDN4800 (802.11n, 2,4 et 5 GHz, jusqu'à 450 Mbps) et deux options pour placer un ordinateur avec lui - quatre mètres de ligne de vue et quatre mètres à travers un mur non capital. Un point précédemment utilisé de huit mètres à travers deux murs autres que la capitale a été supprimé de la liste en raison de fortes interférences d'un grand nombre d'appareils voisins dans la bande 2,4 GHz.
Et dans ce groupe de tests, nous voyons les résultats attendus - environ 90 Mbit / s pour la vitesse maximale de réception ou de transmission, ainsi qu'environ une fois et demie plus pour les modes full duplex. Notez que la deuxième option de placement peut donner de meilleurs résultats en raison de l'éloignement plus important du client du centre de la maison et des réseaux voisins.
Le dernier test s'applique uniquement à l'Omni II, car il dispose d'un port de stockage USB 2.0. Nous avons testé la vitesse de lecture et d'écriture sur un disque connecté avec des systèmes de fichiers NTFS, FAT32, EXT3 et HFS + de grande taille via SMB et FTP.
Dans ce test, comme le précédent, le limiteur est le port filaire de l'appareil à 100 Mbps. Les débits maximum sont donc d'environ 10 Mo / s. Il est difficile d'appeler cette option un stockage réseau à part entière, mais bien sûr, elle convient pour sauvegarder de petites quantités de données, regarder des vidéos HD à la télévision et créer un serveur FTP. Notez également que dans ce test, le nouveau produit a fonctionné plus rapidement que son prédécesseur.
conclusions
Les modèles mis à jour du Zyxel Keenetic Omni II et Keenetic Lite III, comme leurs prédécesseurs, ont laissé une impression très agréable. Les appareils sont basés sur la plate-forme MediaTek, bien adaptée au segment de masse, et présentent des caractéristiques techniques optimales - des ports réseau filaires à 100 Mbps et un point d'accès sans fil à 300 Mbps. Le modèle Omni II se distingue par la présence d'un port USB, ce qui permet de nombreux scénarios supplémentaires, et Lite III est intéressant pour le commutateur de mode matériel. Rappelons également la présence de la solution Keenetic 4G III dans la gamme, dont les caractéristiques sont proches de ces appareils.
Quant au logiciel embarqué, vous pouvez voir que le constructeur y prête encore plus d'attention que la plate-forme matérielle. Des mises à jour régulières pour l'ensemble de la ligne permettent non seulement d'améliorer la compatibilité avec les services des fournisseurs nationaux et d'élargir l'ensemble des fonctions et capacités, mais également d'augmenter les performances. Pour certaines catégories d'utilisateurs, l'inconvénient peut être ici la nature fermée du firmware et l'impossibilité d'ajouter vos propres modules logiciels. Dans le même temps, il est impossible d'installer un programme de la génération précédente sur les appareils considérés dans cet article, dans lesquels cette fonctionnalité est conservée.
Il n'y a pas de plaintes concernant la vitesse des modèles considérés. Ils peuvent être utilisés sans compromis avec tous les plans tarifaires et options de connexion sur des canaux jusqu'à 100 Mbit / s inclus. Les tests ont montré que ce sont les ports câblés qui sont souvent la limitation dans ce cas. Cependant, n'oubliez pas que les appareils Gigabit sont généralement beaucoup plus chers.
Le déplacement des antennes vers les extrémités latérales a contribué à soulager le panneau arrière. De plus, nous noterons également les boutons reprogrammables sur le boîtier et la possibilité de monter des routeurs sur le mur. L'inconvénient traditionnel est l'utilisation de la brillance.
Le plus grand nombre de vidages est actuellement enregistré à l'aide des ports SPAN. Maintenant que nous en savons beaucoup sur SPAN (à partir de l'article précédent), il est temps d'en savoir plus sur les périphériques TAP - quand et comment ils doivent être utilisés pour enregistrer un vidage et de quoi il s'agit.
TAP est l'abréviation de " Test UNEaccès Port ». ( En russe, un tel appareil s'appelle " coupleur de trafic». Cependant, pour plus de commodité, je préférerai utiliser les deux options - l'abréviation anglaise TAP et la version en langue russe - env. trad.) Le but de TAP est de vous donner accès au trafic qui passe par un canal de communication spécifique.
Lors de la capture du trafic, l'utilisation correcte de TAP est un moyen direct d'obtenir le vidage le plus précis et le plus fiable. Faites attention au mot «bien»! Oui, c'est ce que je veux dire - même avec TAP, vous pouvez obtenir un résultat incorrect si vous ne l'utilisez pas correctement. Naturellement, nous allons considérer ces points, mais pour l'instant voyons un peu plus en détail de quel type d'appareil il s'agit, comment il est utilisé.
Vous ne pouvez pas vous tromper si vous pensez à un coupleur comme une petite boîte qui s'insère dans une rupture de câble et donne accès aux données qui le traversent. Vous avez probablement entendu le terme «homme au milieu» (alias «l'homme au milieu») - c'est exactement ce que fait TAP, et au niveau physique (couche 1). «Installer dans l'espace» signifie exactement le processus physique - vous retirez le câble du port, disons le commutateur, insérez-le dans le TAP, et avec le deuxième câble supplémentaire (n'oubliez pas de le prendre avec vous!) Vous connectez le TAP au nœud d'extrémité du réseau.
À propos, le deuxième câble supplémentaire devrait être une "bascule", mais ces derniers temps, cela devient de moins en moins nécessaire, car il reste déjà peu de périphériques réseau qui ne peuvent pas s'en occuper seuls (fonction Auto MDI-X). Par conséquent, un câble direct fonctionnera également très bien dans la plupart des cas.
Travailler avec TAP / splitters
Voyons comment utiliser TAP de la manière la plus générale. Dès le début, si vous commencez à choisir exactement le robinet dont vous avez besoin, vous constaterez qu'il existe de nombreux types différents pour différentes infrastructures de réseau. Le tout premier choix à faire est optique ou cuivre. Coupleurs optiques sont souvent appelés " séparateurs«. Les fonctionnalités de TAP peuvent être assez riches et complexes, donc le choix d'un modèle spécifique peut prendre beaucoup de temps et d'efforts, surtout si vous n'avez pas suffisamment d'expérience et de connaissances sur ce qu'il faut rechercher spécifiquement. Mais ne vous inquiétez pas, je vais vous aider dans cet article. Voyons d'abord ce que tous les TAP ont en commun, quel que soit leur type.
Déconnexion / connexion réseau
Le robinet doit être installé dans l'espace entre le lien physique (à moins que nous ne parlions des «TAP virtuels» que certains fournisseurs développent pour une utilisation dans des environnements virtuels, mais c'est plus ou moins un nom marketing). La rafale signifie que vous devez survivre à au moins un cycle d'interruption de liaison. Afin de désactiver le TAP après la capture, vous devrez passer par le deuxième cycle de la même chose. D'ailleurs, la deuxième rupture de lien est l'une des raisons pour lesquelles je dois constamment acheter de nouveaux robinets pour moi-même: de temps en temps, mes clients préfèrent simplement acheter mon TAP et le laisser installé, sans le retirer du tout après la fin de l'analyse. Ainsi, évitant le besoin de rompre à nouveau le lien (et en même temps la possibilité de surveiller en permanence).
Pointe: si vous faites partie d'une équipe d'ingénieurs réseau qui conçoivent centre de données, ajoutez TAP au stade de la conception et installez initialement - très souvent, c'est le seul moyen d'avoir un robinet sur le lien principal, car avec une garantie à 100%, personne ne vous permettra de l'installer plus tard, brisant un lien aussi important et chargé, à travers lequel beaucoup de données circulent constamment. Le coût de TAP dans ce cas sera d'un ordre de grandeur inférieur au coût des commutateurs et routeurs haut de gamme, et en même temps, il sera très utile lorsqu'un dépannage est nécessaire. Et si vous choisissez une marque fiable et bien établie, vous n'avez pas à vous soucier d'un point de défaillance supplémentaire dans le système - ces robinets ont une alimentation redondante, ainsi qu'une protection pendant les pannes de courant (mode bypass automatique). Rien ne me dit plus sur le professionnalisme de l'équipe d'ingénierie réseau que le moment où je vois plusieurs robinets professionnels sur site déjà installés aux points les plus critiques du réseau.
La vérité dans les paquets
L'utilisation de TAP est le seul moyen d'obtenir une image réelle de ce qui se passe dans le lien. ROBINET exclut la possibilité de perte de paquets ou manipulation au cas où l'attaquant aurait accès à votre réseau. Rappelez-vous: un port SPAN peut "cacher" des paquets en raison d'un compromis ou simplement en raison de la congestion. Tandis que absolument impossible manipuler un séparateur duplex intégral passif, et presque impossible tous les autres types de coupleurs. Bien sûr, il convient de noter qu'il existe également des robinets gérés «sophistiqués» avec une interface Web ou CLI, et tout ce qui est contrôlé peut être manipulé. Mais - si vous choisissez le bon type de TAP, personne ne pourra vous cacher ses paquets malveillants. Par conséquent, les attaquants les plus expérimentés essaient soit de simuler un trafic normal et sans méfiance, soit de se cacher dans un grand nombre de paquets pour les rendre plus difficiles à repérer dans cette masse.
Comportement en cas de coupure de courant
Les prises qui nécessitent une alimentation pour fonctionner (presque toutes les prises en cuivre, ainsi que les prises optiques plus fonctionnelles avec agrégation de liens) ont généralement un mécanisme de protection de couche 1 (couche physique) en cas de panne de courant. C'est quelque chose comme un relais qui se ferme en cas de panne de courant et connecte la liaison en contournant le TAP (le mode bypass est activé). Un tel déclencheur - un clic - peut même être entendu lorsque vous allumez / éteignez le TAP pour le mettre sous tension.
 |
| Figure: 2 - Comportement en cas de panne de courant |
En règle générale, le temps de réponse du coupleur à un événement de panne de courant est inférieur à une seconde. Mais - néanmoins, c'est un fait plutôt désagréable, car cela peut provoquer l'interruption des sessions en cours, ainsi que le début de toute procédure de convergence du réseau. Pourtant, au minimum, cela garantira que le réseau reviendra à son état d'origine sans intervention du personnel. Gardez également à l'esprit que sans alimentation, le TAP n'exécutera plus sa fonction principale - et vous ne verrez plus le trafic sur son port moniteur. Dans ce cas, la remise sous tension du TAP provoquera à nouveau un clapet / resynchronisation de la liaison.
Conseil: si vous devez remettre sous tension le coupleur en cuivre, faites-le pendant fenêtre de serviceau moins 5 minutes, car le lien de production peut être «éteint» trop longtemps pour que certaines des connexions survivent.
Port de sortie (moniteur) - pour transmission uniquement!
Les liaisons de sortie du coupleur sont conçues pour être uniquement de transmission, c'est-à-dire qu'elles n'accepteront aucun paquet entrant. Par conséquent, le périphérique de capture (ou généralement tout autre périphérique qui se bloque sur le port du moniteur) ne peut pas transmettre de paquets au réseau, ce qui affecte les autres connexions.
 |
| Figure: 3 - Déposer un paquet sur le port moniteur |
Parfois, il y a quelqu'un qui veut que le TAP ait la capacité d'injecter des paquets dans le réseau à bord. Le plus souvent, cela s'applique au cas où l'IDS est suspendu au port du moniteur et que vous souhaitez envoyer des paquets RST à partir de celui-ci en réaction à des connexions suspectes. Mais ce n'est pas la meilleure option de mise en œuvre, dans une telle situation, il est préférable d'installer IPS en ligne sur le réseau.
Conseil: vérifiez si votre tap accepte de toute façon les paquets sur le port du moniteur. Certains fournisseurs proposent des TAP (ou ils les appellent simplement ainsi) qui ne rejettent pas les paquets entrants. Cela peut être sous la forme d'une fonction distincte, ou tranquillement, sans vous avertir. À mon avis, c'est soit inutile (IDS), soit simplement nuisible («Man on the side» / «Man in the middle» utilisant des packages construits).
Robinets duplex intégral
Vous avez peut-être déjà remarqué que dans la figure 1, le TAP est connecté d'une manière légèrement différente du port SPAN. Vous n'avez pas un lien agrégé, mais deux liens distincts. Voyons à nouveau:
Comme vous pouvez le voir, les paquets en direction de PC -\u003e switch sont envoyés à un port de moniteur, et les paquets opposés sont envoyés à un autre. Un tel coupleur est appelé un duplex plein - chaque direction de communication est redirigée vers son propre port moniteur dédié. Bien sûr, cela signifie que sur l'appareil de capture, vous aurez besoin deux ports pour obtenir un vidage complet. Cela a ses avantages, mais augmente le prix. (Il convient de noter que de nombreux commutateurs peuvent faire la même chose avec SPAN - rediriger le trafic multidirectionnel vers différents ports - environ Transl.)
Bande passante full duplex
L'enregistrement du trafic pour la réception et la transmission par deux ports signifie que vous ne subirez pas de surcharge de liaison: si, par exemple, une liaison gigabit a une vitesse de 1 Gbps pour la réception et la même chose pour la transmission, et au total 2 Gbps - TAP transmet via 1 Gbit / s via chacun des ports. Par conséquent, nous ne pouvons avoir des gouttes que sur le périphérique de capture lui-même.
Splitters
Les splitters sont des coupleurs optiques. Ils peuvent fonctionner sans électricité du tout, en utilisant simplement des éléments optiques dans la conception, comme des miroirs translucides. Et si vous craignez d'introduire un point de défaillance supplémentaire dans votre système, un séparateur est la meilleure solution.
Les miroirs translucides réfléchissent une partie du signal du câble optique vers le dispositif de capture tandis que le reste passe au récepteur. Pour ce type de répartiteur, aucune partie électrique n'est nécessaire. Les séparateurs modernes peuvent fonctionner sur des liaisons de vitesses différentes - vous n'avez pas besoin d'acheter un séparateur séparé pour la capture 1 Gbps et un autre pour 10 Gbps.
Si vous regardez le séparateur, vous pouvez voir la caractéristique "Rapport de division", c'est-à-dire le rapport ou facteur de séparation. Il s'agit du pourcentage du signal lumineux réfléchi par le miroir. Les valeurs typiques des paramètres sont - 70/30 et 50/50 , ce qui signifie, respectivement, 70% passeront à la liaison principale et 30% au port moniteur, ou, pour le deuxième exemple, 50% à chacun des ports. Un mot d'avertissement: j'ai rencontré des ingénieurs qui préféraient utiliser des séparateurs 90/10 de peur que trop de signal ne parvienne au port du moniteur et n'endommage le canal principal. Et cela peut théoriquement arriver pour les canaux longue distance. L'approche 90/10 éliminera ce développement, mais en même temps les 10% restants sont presque toujours insuffisants pour le dispositif de capture et il ne peut pas établir de connexion. Personnellement, je préfère les répartiteurs 70/30 et jusqu'à présent, je n'ai eu aucun problème avec eux.
La prochaine caractéristique à garder à l'esprit est le type de connecteur séparateur optique. Il en existe plusieurs types, les connecteurs sur le séparateur et sur la carte de capture ne coïncident pas toujours. Le plus courant actuellement est le type LC, il remplace progressivement les connecteurs de type SC plus anciens et encombrants.
Une installation correcte du séparateur est parfois aussi un problème - si vous l'avez installé, le lien principal a monté et a continué à fonctionner normalement - cela ne signifie pas que vous recevez déjà une copie du trafic sur le port du moniteur. Parce qu'il est tout à fait possible d'installer le séparateur de manière incorrecte - de sorte que la lumière tombe sur le miroir par l'arrière et, par conséquent, se reflète dans la mauvaise direction. Si cela se produit, déconnectez le câble de liaison principal et permutez les positions RX / TX des deux côtés. Eh bien, cela signifie également qu'il est préférable de planifier ces opérations dans une fenêtre de service d'au moins 15 minutes. En effet, contrairement au TAP cuivre, qui prend une minute à installer, vous devrez peut-être vous reconnecter et vérifier. Et encore une fois, n'oublions pas l'avertissement classique - Ne regarde jamais directement à la liaison optique pour vérifier un signal - la puissance du laser est suffisamment élevée pour endommager votre vue!
Fait intéressant, un séparateur optique, contrairement à un coupleur en cuivre, a trois ports, pas quatre. En effet, il utilise le même port physique pour les deux canaux du moniteur:
 |
| Fig.6 - Schéma des ports du cuivre et du TAP optique |
Vous pouvez utiliser un câble optique standard pour les deux ports du moniteur, juste à l'autre extrémité (du côté du périphérique de capture) les deux connecteurs sont connectés aux entrées de la carte, tandis que les sorties de la carte restent inutilisées.
Problème de paquet en panne
Si vous utilisez un tap duplex intégral, le périphérique de capture doit avoir 2 ports réseau libres sur une carte réseau ou deux cartes réseau. Ensuite, vous recevrez chacun des threads du moniteur sur un port séparé, et après cela, il devient nécessaire de reconstruire l'un des deux threads. Cette tâche est plus difficile qu'il n'y paraît à première vue. Beaucoup de gens supposent que les deux cartes réseau les plus courantes suffiront et qu'il ne devrait y avoir aucune difficulté. Mais en réalité, tout se passe un peu différemment. Le problème est que deux cartes réseau dans un même PC ne transmettent pas toujours instantanément les paquets capturés au logiciel de capture:
 |
| Figure 7 - Paquets hors service dans le NIC |
Comme vous pouvez le voir, les paquets réseau de la carte supérieure sont transférés vers le processus de capture plus rapidement qu'à partir de celui du bas. Cela se produit très souvent - après tout, les cartes réseau conventionnelles utilisées pour les fonctionnalités réseau de base ne sont pas conçues à l'origine pour maintenir des intervalles de micro ou nanosecondes entre les paquets. La pile réseau les triera simplement d'une manière ou d'une autre et les transférera directement vers le logiciel de capture / analyse. Le résultat peut être ennuyeux:
| Fig.8 Paquets hors service dans Wireshark |
Regardez attentivement: le paquet n ° 2 est le SYN qui est arrivé dans la décharge après le SYN-ACK. Le package n ° 3 contient «HTTP 200 OK», qui est arrivé avant la fin de la négociation et avant l'envoi de la requête GET. Certains paquets affichent un intervalle de temps négatif, ce qui est un signe certain de paquets hors service dans le vidage.
Pour cette situation, il existe une solution efficace - utilisez l'utilitaire de ligne de commande reordercap.exequi est inclus avec Wireshark et se trouve dans le dossier d'installation:
Reordercap "Out of Order Sample.pcapng" "Out of Order Sample Reordered.pcapng" 12 images, 3 dans le désordre
Le résultat ressemblera à ceci:
Si vous voulez éviter immédiatement tous ces problèmes avec le mauvais ordre de paquets, il n'y a qu'un seul moyen: une carte de capture multi-port FPGA professionnelle qui reconstruit le flux à bord avant même de l'envoyer plus loin dans la pile. C'est exactement la façon dont je l'utilise lors de la capture à partir d'un coupleur duplex intégral. J'ai plusieurs périphériques de capture, y compris quelques anciens facteurs de forme de rack Network General S6040 19 "pouvant contenir jusqu'à 4 cartes de capture duplex intégral. Je vais examiner ces cartes plus en détail dans l'un de mes prochains articles.
TAP avec agrégation de threads
Les TAP avec agrégation sont connectés au lien principal de la même manière que le full-duplex:
Mais, contrairement aux robinets duplex intégral, ils n'ont qu'un seul port de sortie de moniteur. Autrement dit, il est quelque peu similaire à un port SPAN - un tel coupleur fusionnera deux flux en un seul avant de l'envoyer à la carte de capture. Les bons points de cette approche sont les suivants: vous n'avez besoin que d'une seule carte pour capturer, et vous n'avez pas à penser à l'ordre de paquet cassé - TAP s'en chargera.
Mais cette approche pose également des problèmes. Bien sûr, c'est le problème de la surcharge du port de sortie du moniteur. En général, encore une fois à peu près le même 1Gbit / s pour la réception, pareil pour le retour ... vous comprenez. Pour éviter cette nuisance, vous pouvez utiliser un TAP avec un port de sortie qui est plus rapide que la somme des ports d'entrée. En particulier, il existe des TAP qui se connectent à un PC via USB3. En entrée, ils sont connectés de la même manière que tous les autres, et le flux de sortie est transmis via un câble USB3 (avec un taux de transfert maximum de 6 Gbps, ce qui est bien suffisant pour surveiller une liaison gigabit full-duplex à pleine charge).
Les TAP avec agrégation sont techniquement beaucoup plus compliqués que leurs homologues full-duplex, car ils sont beaucoup plus chers et commencent à partir d'environ 1000 euros. Les TAP duplex les plus simples peuvent être trouvés pour quelques centaines d'euros.
À propos de TAP pas cher
Je suis presque sûr que certains d'entre vous secouent la tête quand vous voyez les prix approximatifs des robinets, en pensant - pourquoi est-ce si cher? Eh bien ... Cela dépend de ce que vous attendez des TAP et de l'endroit où vous les utilisez. Il est possible de trouver ou de construire un coupleur vous-même pour quelques dollars ou d'acheter une option avec agrégation pour quelques centaines. La raison d'un prix aussi bas - dans ce cas, il ne peut s'agir que d'un TAP en cuivre et limité à 100 Mbps. En outre, ces TAP manquent de la plupart des fonctions. Dans mon expérience:
- ils n’ont pas de mécanisme de contournement en cas de panne de courant, ce qui limite leur utilisation (vous n’avez certainement pas besoin de le faire dans un centre de données);
- ils permettent l'injection de paquets dans le réseau.
Étant donné que l'installation d'un TAP ajoute un point de défaillance au réseau opérationnel, vous devez vous assurer qu'il existe des mécanismes de protection tels qu'une alimentation redondante ou un mode bypass (ou les deux).
19 décembre 2011 Par Henry Van Styn
dans les HOW-TOs
La capture de paquets est l'un des moyens les plus puissants d'analyser les processus réseau. Vous pouvez en apprendre beaucoup sur ce qui se passe sur le réseau en interceptant et en examinant les données brutes qui transitent par les connexions réseau. Les utilitaires modernes d'analyse du trafic vous permettent de capturer, d'interpréter et de décrire les flux de données d'une manière lisible par l'homme.
tcpdump est un outil essentiel de détection ou de détection du trafic, il offre de nombreuses capacités d'analyse et peut même exporter des champs de paquets interprétés vers d'autres programmes.
Si vous pensez que les utilitaires comme tcpdump perdent leur sens avec l'avènement des outils de cartographie comme Wireshark, détrompez-vous. Wireshark est une excellente application, mais pas un outil universel pour absolument toutes les situations. En tant que solution légère et polyvalente pour une variété d'utilisations (telles que les outils unix cat, less et hexdump), tcpdump semble beaucoup plus cool. Et sa caractéristique la plus impressionnante est sa convivialité. En tant que style de comportement, il suit une approche du concept de «commande à une ligne» pour des réponses rapides à sens unique. De plus, il peut être utilisé dans une session ssh sans avoir besoin de graphiques. Grâce à sa prise en charge des conventions de syntaxe de ligne de commande (par exemple, la sortie de sortie vers une sortie standard qui peut être redirigée), tcpdump peut être utilisé dans tous les types de pipelines pour créer des utilitaires intéressants et utiles.
Dans cet article, je vais passer en revue certaines des bases de l'utilisation de tcpdump et les bases de sa syntaxe.
Les bases
Avant de devenir un maître de l'utilisation de tcpdump, il y a quelques idées fondamentales à comprendre. Premièrement, la capture de paquets est un processus passif, elle ne modifie en aucun cas le trafic et ne diffuse rien de lui-même vers le réseau. Deuxièmement, vous ne pouvez capturer que les paquets que votre système reçoit. Si deux hôtes échangent directement des paquets et que ce trafic contourne votre ordinateur, vous ne verrez rien, quel que soit l'outil de surveillance. Troisièmement, vous ne pouvez capturer les paquets qui sont adressés à votre système que si l'interface réseau n'est pas en mode promiscuité.
Puisqu'il est supposé que vous êtes intéressé par plus que des packages pour votre système, tcpdump mettra automatiquement la première interface du système (sauf indication contraire) en mode promiscuous. Cette opération nécessite des privilèges de superutilisateur.
Anatomie des commandes tcpdump
La commande tcpdump se compose de deux parties: des options et une expression de filtre (Figure 1).
Figure 1. Exemple de commande tcpdump
L'expression du filtre détermine les paquets à capturer et les options - lesquels afficher dans la sortie, les options sont également responsables du comportement de l'utilitaire.
Options
Les options de Tcpdump suivent les conventions de ligne de commande standard, le format des options est donc flag-value. Certains indicateurs n'ont pas de valeur de paramètre car ce sont eux-mêmes des commutateurs. Par exemple, -i est suivi du nom de l'interface et -n désactive la résolution DNS.
La page de manuel décrit de nombreuses options, mais il y en a un certain nombre qui sont essentielles:
I interface: l'interface sur laquelle tcpdump écoutera le trafic;
V, -vv, -vvv: sortie verbeuse;
Q: mode silencieux;
E: en-têtes de trame de la couche de liaison d'impression (Ethernet);
N: résoudre les noms d'hôte de domaine;
T: n'imprime pas les horodatages;
N: ne résolvez pas les noms d'hôte de domaine;
S0 (ou -s 0): capture maximale, des paquets entiers sont capturés; c'est le comportement par défaut dans les versions récentes de tcpdump.
Aucune des options n'est requise. Les valeurs définies par l'utilisateur ne modifient que le comportement par défaut du programme, qui prévoit la capture sur la première interface et la sortie d'informations sur les packages sur une seule ligne.
Filtrer les expressions
Les expressions de filtre sont des tests booléens (oui / non) pour évaluer si un paquet correspond à un modèle. Tous les paquets qui ne remplissent pas les conditions spécifiées sont ignorés.
La syntaxe du filtre de paquets est puissante et transparente. Au début, il contient des mots-clés appelés "primitives", qui représentent divers classificateurs pour les paquets, tels que protocole, adresse, port ou direction. Ils peuvent être enchaînés à l'aide des opérateurs et / ou, regroupés et combinés par des règles d'héritage et triés à l'aide de la négation.
En raison des noms descriptifs des critères, les expressions de filtre ont tendance à ressembler à des constructions "auto-explicatives", ce qui les rend assez faciles à construire et à comprendre. La syntaxe complète est décrite dans la page de manuel pcap-filter, voici quelques exemples:
ARP est un protocole simple utilisé pour résoudre les adresses IP en adresses MAC sur les cartes réseau. Comme vous pouvez le voir ci-dessus, tcpdump décrit ces paquets d'une manière plutôt primitive. Les paquets DNS, en revanche, seront décrits d'une manière légèrement différente:
| IP 10.0.0.2.50435\u003e 10.0.0.1.53: 19+ A? linuxjournal.com. (34) IP 10.0.0.1.53\u003e 10.0.0.2.50435: 19 1/0/0 A 76.74.252.198 (50) |
Cela peut ne pas sembler assez clair au début, mais à mesure que vous apprenez comment fonctionnent les différentes couches de protocoles, cela aura du sens. Le DNS est un protocole beaucoup plus complexe que l'ARP, mais il fonctionne également à un niveau supérieur. Cela signifie que les packages des protocoles sous-jacents apparaissent également dans la sortie. Contrairement à ARP, qui n'est pas acheminé entre différents segments physiques du réseau, DNS est le protocole pour l'ensemble de l'Internet. La couche IP est utilisée pour acheminer ces paquets et UDP est utilisé pour le transport. Cela fait du DNS un protocole de couche 5 (IP est la couche 3, UDP est la couche 4).
Les informations de couche UDP / IP, y compris l'adresse source et le port, sont affichées sur le côté gauche de la ligne, les informations DNS spécifiques sur la droite. Bien que la syntaxe soit plutôt concise, il suffit de définir les éléments de base du DNS. Le premier paquet est une demande d'adresse pour linuxjournal.com, le deuxième paquet est une réponse donnant l'adresse 76.74.252.198. Il s'agit d'une séquence typique pour les requêtes DNS simples.
Voir la section "FORMAT DE SORTIE" du manuel tcpdump pour une description complète de tous les formats de sortie dépendant du protocole. Certains paquets de protocole s'affichent mieux dans la sortie, d'autres pires, mais les informations importantes sont généralement faciles à trouver.
Capture de la sortie dans un fichier
En plus du mode habituel d'impression des informations sur la console (sortie standard), tcpdump prend également en charge le mode d'écriture de la sortie dans un fichier. Le mode est activé par l'option -w, qui spécifie le chemin d'accès au fichier.
Lors de l'écriture dans un fichier, tcpdump utilise un format différent de celui lors de la sortie à l'écran. Il s'agit de la sortie dite brute, elle n'effectue pas l'analyse initiale du paquet. Ces fichiers peuvent ensuite être utilisés dans des programmes tiers tels que Wireshark, car le format des entrées dans le fichier correspond au format universel "pcap" (un tel fichier peut être envoyé à tcpdump avec l'option -r). Cette fonctionnalité nous permet de capturer des paquets sur une machine et de les analyser sur une autre. Par exemple, vous avez Wireshark sur votre ordinateur portable. Vous n'avez pas besoin de le connecter au réseau analysé pour analyser le fichier précédemment capturé.
Analyse des protocoles basés sur TCP
tcpdump est un renifleur de paquets, il fonctionne donc bien avec les protocoles basés sur les paquets tels que IP, UDP, DHCP, DNS et ICMP. S'il y a un "flux" ou une séquence de paquets pour établir une connexion, tcpdump ne pourra pas analyser directement ces flux et scripts de connexion. Les protocoles tels que HTTP, SMTP et IMAP ressemblent beaucoup plus à des applications interactives en termes de mise en réseau qu'à des protocoles "batch".
TCP gère tous les détails de bas niveau de manière transparente pour l'utilisateur qui sont nécessaires pour les sessions de communication dans les protocoles de session. C'est là que les données orientées flux sont encapsulées dans des paquets (segments) qui peuvent déjà être envoyés sur le réseau. Tous ces détails sont cachés sous le niveau de l'application. Par conséquent, la capture de paquets de protocoles orientés connexion nécessite des étapes supplémentaires. Étant donné que chaque segment TCP est une donnée de couche d'application, les informations le concernant ne peuvent pas être utilisées directement. Pour que cela ait un sens, vous devez récupérer complètement la session TCP (flux) à partir d'une séquence de paquets individuels. Tcpdump n'a pas cette fonctionnalité. Pour analyser les journaux de session, vous pouvez utiliser ce que j'appelle le "truc de chaîne".
L'astuce des cordes
Habituellement, lors de la capture du trafic, je veux dire l'objectif d'analyser les causes de certaines erreurs. Il n'est pas nécessaire que les données soient parfaites pour être visualisées afin de comprendre les causes de tout incident. Dans de tels cas, la rapidité de la compréhension est plus importante que toute autre chose. La prochaine astuce est l'une de mes techniques tcpdump préférées. Cela fonctionne parce que:
Les segments TCP sont généralement classés par ordre chronologique;
- les protocoles d'application basés sur du texte génèrent des paquets de chargement de texte;
- les données entourant le chargement de texte (par exemple, les en-têtes de paquets) ne sont pas du texte;
- Les utilitaires UNIX peuvent enregistrer du texte à partir de la sortie binaire des applications;
- si vous exécutez tcpdump avec l'option -w -, il générera des informations brutes sur la sortie standard.
En mettant tout cela ensemble, nous obtenons un outil pour capturer les données de session HTTP.
En outre, vous devez être conscient que la sortie peut contenir une certaine quantité de déchets. Tout excès peut être coupé avec une option de l'utilitaire strings, qui limite la longueur de la sortie de chaîne (voir man strings).
Cette astuce fonctionne plutôt bien pour tous les protocoles basés sur du texte.
Analyse HTTP et SMTP
L'astuce de chaîne de la section précédente peut vous aider à capturer des données à partir de sessions HTTP, malgré l'absence d'un analyseur de flux intégré. Les données qui en résultent peuvent être «analysées», puis de différentes manières.
Par exemple, vous vouliez vérifier la disponibilité de tous les sites avec "davepc" dans leurs noms en temps réel. Une commande exécutée sur un pare-feu aidera (en supposant l'interface interne eth1):
Ce ne sont que deux exemples simples pour illustrer les possibilités. Vous pouvez aller jusqu'à écrire un script Perl pour une analyse plus approfondie des chaînes reçues.
Ainsi, la vraie puissance de tcpdump réside dans le fait que vous souhaitez obtenir rapidement des réponses à certaines questions sans trop d'effort. Ceci est particulièrement important lors du débogage des applications réseau.
Déboguer le routage et les connexions VPN
tcpdump peut être idéal pour déboguer des choses comme les connexions VPN. Tout ce dont vous avez besoin est de comprendre sur quels hôtes quels packages apparaissent et lesquels n'apparaissent pas.
Prenons un schéma standard pour connecter deux réseaux via une connexion VPN. Réseaux 10.0.50.0/24 et 192.168.5.0/24 (Figure 2).
Figure 2. Exemple de topologie VPN
Si cela fonctionne correctement, les hôtes de différents réseaux devraient se pinguer. Si aucune réponse ping n'arrive (dans ce cas, supposons qu'elles ne viennent pas de D vers l'hôte A), nous pouvons utiliser tcpdump pour savoir où il manque quelque chose.
Si les paquets de demande vont à l'hôte C (la passerelle distante) mais pas à D, cela indique que la connexion VPN elle-même fonctionne, mais qu'il y a des problèmes de routage. Si l'hôte D reçoit des demandes mais n'envoie pas de réponses, cela peut signifier qu'ICMP est bloqué. Si des réponses sont envoyées mais n'atteignent pas C, il est possible que la passerelle par défaut sur D soit mal configurée.
Nous vous rappelons que les tentatives de répéter les actions de l'auteur peuvent entraîner la perte de la garantie de l'équipement et même son échec. Le matériel est fourni à titre informatif uniquement. Si vous comptez reproduire les étapes décrites ci-dessous, nous vous conseillons vivement de lire attentivement l'article jusqu'à la fin au moins une fois. Les éditeurs de 3DNews ne sont pas responsables des éventuelles conséquences.
⇡ Présentation
Dans les commentaires de l'un des premiers articles sur les micrologiciels alternatifs, les lecteurs ont demandé s'il y avait quelque chose de similaire pour les routeurs ZyXel. Soit le firmware officiel ZyXel est terriblement bon, soit les passionnés ne sont pas aussi actifs, mais il n'y a pas au moins d'alternative plus ou moins décente au firmware propriétaire aujourd'hui. Bien sûr, vous pouvez télécharger les codes sources du micrologiciel, le modifier, le reconstruire et le télécharger sur le routeur. Mais c'est en quelque sorte trop pour l'utilisateur moyen. D'autant plus intéressant est le tout jeune projet de nos compatriotes avec le simple nom zyxel-keenetic-packages, qui trouve son origine dans les profondeurs du forum Zyxmon. Dans ce cas, l'idée est beaucoup plus simple et élégante. Aucun clignotement du routeur n'est requis et toutes les applications supplémentaires sont lancées à partir d'un périphérique de stockage amovible - une clé USB ou un disque dur externe. De plus, lorsque le lecteur est déconnecté, l'appareil continue de fonctionner comme si de rien n'était, mais, naturellement, sans aucun "petit pain". Eh bien, dans cet article, nous examinerons l'installation et la configuration du client torrent Transmission mis à jour, du serveur DLNA et de l'accès au réseau local depuis Internet via OpenVPN.
⇡ Préparation
Tout d'abord, nous devons formater le lecteur en ext 2/3 ou NTFS. Mieux, bien sûr, dans l'ext 2/3, bien que certains naturalistes affirment que tout fonctionne bien avec NTFS. Il existe de nombreux programmes capables de formater les partitions dans le système de fichiers dont nous avons besoin: les produits Partition Magic, Paragon et Acronis, après tout, GParted Live gratuit. Si vous devez soudainement lire des données sous Windows à partir d'un tel lecteur, vous pouvez utiliser le gestionnaire de fichiers Ext2Read ou installer le pilote Ext2Fsd. De plus, dans l'interface Web du routeur, vous devez activer l'accès au disque via le réseau dans "Applications USB" → "Lecteur réseau".
Nous avons également besoin du client PuTTY SSH et du programme d'installation lui-même. Décompressons l'archive dans n'importe quel endroit pratique. Passons maintenant à notre lecteur sur le réseau: Win + R, \\\\ KEENETIC, Enter. Dans le dossier disk_a1, vous devez créer un répertoire système, et dans celui-ci un autre - bin. C'est là que vous devez copier le fichier ext_init.sh de l'archive. Ainsi, son chemin complet ressemblera à \\\\ KEENETIC \\ disk_a1 \\ system \\ bin \\ ext_init.sh. Dans le même temps, il est utile de créer un dossier de données à la racine, où tous les fichiers seront ajoutés. Vous devez maintenant déconnecter le lecteur du routeur et le reconnecter. Après quelques minutes, une entrée devrait apparaître dans les journaux ("Système" → "Journal"):
dropbear en arrière-plan
Lancez PuTTY, dans le champ Nom d'hôte, saisissez [email protected]_router_address, et dans Windows → Traduction, sélectionnez l'encodage UTF-8 et cliquez sur Ouvrir. Entrez le mot de passe - zyxel (il n'apparaît pas lors de la saisie) et appuyez sur Entrée. Nous terminons l'installation et mettons immédiatement à jour le système avec les commandes:
Finish_install.sh
mise à jour opkg
mise à niveau opkg
⇡ Réglage de la transmission
Les nouvelles applications sont installées avec la commande opkg install nom_package. Pour le moment, le nombre d'applications portées n'est pas si grand - vous pouvez en voir une liste. En principe, le wiki du projet décrit bien les principales nuances de leur installation. Cependant, il est peu probable qu'un utilisateur non préparé comprenne certains points concernant sa configuration. Alors regardons quelques exemples pour plus de clarté. Tout d'abord, considérons l'installation et la configuration d'une version plus récente du client torrent Transmission que celle préinstallée dans le firmware du routeur - 2.3 au lieu de 1.93. Installez le client et l'éditeur de texte nano avec la commande:
Opkg installer nano
opkg installer transmission-daemon transmission-web
Conseil traditionnel - au lieu de taper manuellement les commandes, copiez-les simplement à partir d'ici et cliquez avec le bouton droit dans la fenêtre PuTTTY. Par défaut, tous les nouveaux téléchargements seront enregistrés dans le dossier de transmission, c'est-à-dire de la même manière que par défaut avec le client torrent intégré au routeur. Arrêtons-le d'abord en allant dans la section "Applications USB" → "Torrents" de l'interface web du routeur, en décochant la case "Activer le client BitTorrent" et en cliquant sur "Appliquer". Modifions les paramètres de transmission avec la commande:
Nano /media/DISK_A1/system/var/transmission/settings.json
Ici, il suffit de changer quelques lignes à volonté:
Port homologue: 52400
"Rpc-authentication-required": vrai
"Rpc-password": "password"
"Rpc-port": 9091
"Rpc-username": "username"
Pour activer l'autorisation d'accéder à l'interface Web de transmission, modifiez la valeur du paramètre rpc-authentication-required de false à true. Ensuite, au lieu du nom d'utilisateur et du mot de passe, vous devrez spécifier respectivement le nom d'utilisateur et le mot de passe. Dans peer-port et rpc-port, vous devez spécifier les numéros de port qui sont utilisés pour se connecter à d'autres clients et accéder à l'interface Web du client, respectivement. Les autres paramètres n'ont pas besoin d'être modifiés. Enregistrez le fichier et quittez - F2, Y, Entrée. Pour exécuter automatiquement la transmission lorsque vous allumez le routeur, vous devez renommer l'un des scripts:
Mv /media/DISK_A1/system/etc/init.d/ K90transmissiond /media/DISK_A1/system/etc/init.d/S90transmissiond
Il doit également être légèrement corrigé:
Nano /media/DISK_A1/system/etc/init.d/S90transmissiond
Au tout début, il y a deux variables TRN_PORT et TRN_RPC_PORT. Si vous avez modifié le port homologue et le port rpc dans settings.json, leurs valeurs doivent être remplacées en conséquence dans ces variables. Vous devrez également "décommenter" (supprimer # au début de la ligne) six autres commandes comme iptables -A (ou D) INPUT -p tcp --dport $ TRN_PORT (TRN_RPC_PORT) -j ACCEPT. N'oubliez pas d'enregistrer le fichier et d'exécuter Transmission. Gardez simplement à l'esprit que maintenant son panneau de contrôle sera en anglais.
/media/DISK_A1/system/etc/init.d/S90transmissiond start
⇡ Configuration du serveur multimédia DLNA
Un service plus utile est minidlna. Avec son aide, le routeur prend en charge le protocole DLNA, de sorte que les fichiers multimédias peuvent être visionnés, par exemple, sur un téléviseur ou un décodeur. Il est beaucoup plus facile à installer et à configurer que Transmission.
Opkg installer minidlna
nano /media/DISK_A1/system/etc/minidlna.conf
Dans le fichier de configuration, vous devez modifier les paramètres media_dir, dans lesquels vous devez spécifier les dossiers dans lesquels les fichiers multimédia sont stockés. Vous pouvez éventuellement définir un filtre de type de fichier - uniquement audio (A), vidéo (V) ou images. N'oubliez pas que le dossier racine du stockage amovible est accessible sous le nom / media / DISK_A1. Voici un exemple des paramètres.
Media_dir \u003d / media / DISK_A1 / transmission /
media_dir \u003d / media / DISK_A1 / data / téléchargements
media_dir \u003d A, / media / DISK_A1 / data / Music_and_AudioBooks
media_dir \u003d V, / media / DISK_A1 / data / Films_and_Movies
media_dir \u003d P, / media / DISK_A1 / data / Photos
Il ne reste plus qu'à démarrer le serveur minidlna.
/media/DISK_A1/system/etc/init.d/S50minidlna start
Mise en placeOpenVPN
Téléchargez la distribution OpenVPN depuis le site officiel en choisissant Windows Installer dans la section. Lors de l'installation, vérifiez tous les composants. Comme la dernière fois, nous utiliserons l'autorisation de clé statique, c'est-à-dire que nous n'aurons qu'une seule connexion VPN disponible. La clé doit d'abord être générée - dans le menu principal de la section OpenVPN → Utilitaires, exécutez Générer une clé OpenVPN statique. La clé prête se trouve dans le fichier C: \\ Program Files \\ OpenVPN \\ config \\ key.txt. Renommez-le static.key et copiez-le sur le lecteur dans le dossier \\ disk_a1 \\ system \\ var. Maintenant, installons OpenVPN sur le routeur avec la commande:
Opkg installer openvpn
Créons un fichier de configuration:
Nano /media/DISK_A1/system/etc/openvpn/openvpn.conf
Et insérez-y les lignes suivantes:
Port 1194
proto udp
dev tun
secret /media/DISK_A1/system/var/static.key
ifconfig 10.8.0.1 10.8.0.2
keepalive 10 120
comp-lzo
clé persistante
persist-tun
Enregistrez le fichier (F2, Y, Entrée). Ensuite, nous peaufinerons légèrement le script de démarrage:
Nano /media/DISK_A1/system/etc/init.d/K11openvpn
Dans celui-ci, vous devez ajouter des règles iptables à la fin des sections de départ
Iptables -A INPUT -p udp --dport 1194 -j ACCEPTER
Iptables -D INPUT -p udp --dport 1194 -j ACCEPTER
Nous enregistrons ce script, le renommons pour un démarrage automatique et l'exécutons immédiatement.
Mv /media/DISK_A1/system/etc/init.d/K11openvpn /media/DISK_A1/system/etc/init.d/S11openvpn
/media/DISK_A1/system/etc/init.d/S11openvpn start
Créons maintenant un groupe de règles de pare-feu:
Nano /media/DISK_A1/system/etc/firewall.d/fw.sh
Copiez les lignes suivantes dans ce fichier:
#! / bin / sh
iptables -I FORWARD 1 --source 10.8.0.0/24 -j ACCEPTER
iptables -I FORWARD -i br0 -o tun0 -j ACCEPTER
iptables -I FORWARD -i tun0 -o br0 -j ACCEPTER
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
Après l'enregistrement, nous rendons le fichier exécutable et l'exécutons immédiatement:
Chmod + x /media/DISK_A1/system/etc/firewall.d/fw.sh
/media/DISK_A1/system/etc/firewall.d/fw.sh
Naturellement, nous devons enregistrer le nom DDNS sur notre routeur. Pour plus de détails sur l'enregistrement en utilisant DynDNS comme exemple, reportez-vous à la section «Configuration de DDNS». Via l'interface web du routeur, allez dans la section "Internet" → "Nom de domaine", cochez la case "Utiliser le DNS dynamique", remplissez les champs appropriés et cliquez sur "Appliquer". D'ailleurs, après avoir activé DDNS, vous aurez également accès à l'interface Web de transmission (http: // ddns_router_name: rpc-port), et si vous cochez la case "Autoriser l'accès à distance" et spécifiez le "Port TCP du configurateur Web", alors l'interface Web routeur. De la même manière, vous pouvez ouvrir l'accès aux fichiers sur le lecteur via FTP - cochez la case "Autoriser l'accès depuis Internet" dans la section "Applications USB" → "Serveur FTP".
Sur le client (par exemple, sur un ordinateur de bureau ou sur un ordinateur portable), vous devez également installer OpenVPN, et en même temps copier notre clé static.key, que nous avons générée précédemment, dans le dossier C: \\ Program Files \\ OpenVPN \\ easy-rsa \\ keys \\ (enfin, ou là où cela vous convient, uniquement dans les paramètres du client, vous devrez modifier le chemin d'accès). Maintenant, dans le dossier C: \\ Program Files \\ OpenVPN \\ config \\, vous devez créer un nouveau fichier texte, collez-y les lignes suivantes et renommez-le, par exemple, en router.ovpn. Veuillez noter que des doubles barres obliques (\\\\) doivent être utilisées dans le chemin du fichier secret.key, pas des barres obliques simples (\\).
Nom du routeur ddns à distance
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret "C: \\\\ Program Files \\\\ OpenVPN \\\\ easy-rsa \\\\ keys \\\\ static.key"
comp-lzo
keepalive 10120
ping-timer-rem
persist-tun
clé persistante
itinéraire 192.168.1.0 255.255.255.0
Lorsque vous double-cliquez sur le fichier ovpn, le tunnel monte vers le routeur. Vous pouvez lancer l'interface graphique OpenVPN à partir du menu principal - une icône apparaîtra dans la zone de notification, double-cliquant sur laquelle ouvrira également le tunnel. La couleur de l'icône passera du rouge au vert. Un autre double clic sur l'icône affichera la fenêtre du journal. Pour vous déconnecter du VPN, cliquez sur le bouton Déconnecter. Une fois connecté, votre réseau domestique sera à votre disposition et vous pourrez, par exemple, configurer un poste de travail distant (voir la section "Configurer TightVNC"). Vous devez également vous assurer que l'adressage sur la machine distante, sur le réseau domestique et dans le tunnel VPN est différent. Dans notre exemple, nous avons utilisé le sous-réseau 10.8.0.0 pour le tunnel et 192.168.1.0 pour le réseau domestique. Si nécessaire, corrigez les adresses dans tous les scripts et fichiers de configuration de cette section.
Conclusion
Pour le moment, ce sont peut-être toutes les applications dont il est logique de parler. Bien sûr, il existe d'autres packages dans le référentiel, mais il est peu probable qu'un utilisateur domestique veuille configurer son serveur Web sur un routeur, y installer Drupal ou, par exemple, s'embêter avec d'autres services DDNS ou monter un autre lecteur sur le réseau. Cependant, si vous le souhaitez, la configuration n'est pas si difficile. En fin de compte, ils ne vous ont pas banni de Google ou de Yandex. Pour un jeune projet, un si petit nombre de packages est normal. De plus, leur liste est progressivement reconstituée, cependant, selon l'auteur de zyxel-keenetic-packages lui-même, il n'a pas beaucoup de temps. Ainsi, les passionnés qui sont prêts à collecter de nouveaux packages et à développer un projet ne feront évidemment pas de mal. Enfin, nous vous recommandons à nouveau de vous familiariser avec le wiki et le forum, dont les liens ont été donnés au début de l'article. Alors laissez-moi prendre congé et vous souhaiter traditionnellement des expériences réussies.
PS: ZyXel, en passant, promet de publier prochainement un tout nouveau firmware officiel, qui, selon les rumeurs, aura beaucoup de choses savoureuses.
