Per visualizzare i pacchetti acquisiti, selezionare la voce di menu Cattura \\ Visualizza dati acquisiti o premere il tasto F10 o fare clic sul pulsante corrispondente nella barra degli strumenti. Questo aprirà la finestra di visualizzazione del pacchetto:
Ogni riga in questa finestra corrisponde a un pacchetto catturato, i pacchetti sono disposti nell'ordine in cui sono stati catturati (cioè nell'ordine in cui sono stati trasmessi sulla rete). Per passare alla modalità di visualizzazione del contenuto di un pacchetto, selezionare il pacchetto e premere Invio oppure fare doppio clic sul pacchetto. La finestra sarà quindi divisa in 3 parti:
La finestra in alto mostra ancora tutti i pacchetti. Finestra centrale: informazioni dettagliate sul pacchetto selezionato. In basso: il contenuto del pacchetto selezionato in esadecimale.
Finestra superiore visualizza le seguenti informazioni per ogni pacchetto:
Telaio - Il numero di serie del pacco. Inizia da 1.
Tempo - Tempo di acquisizione del pacchetto. Questo parametro ha significati diversi a seconda dell'opzione Visualizza \\ opzioni:
Tempo (di sistema) assoluto
Durata dell'acquisizione dei pacchetti
Tempo tra la fine dell'acquisizione del pacchetto precedente e l'inizio dell'acquisizione della corrente
Src MAC Addr - MAC - indirizzo sorgente. Può essere visualizzato sia come valore dell'indirizzo MAC a 6 byte che come nome della tabella degli indirizzi del monitor di rete (vedere p. 5)
Dst MAC Addr - MAC - indirizzo del destinatario. Può essere visualizzato sia come valore dell'indirizzo MAC a 6 byte, sia come nome della tabella degli indirizzi del monitor di rete (vedere p. 5)
Protocollo Il protocollo di livello superiore che era l'origine del pacchetto.
Descrizione Breve descrizione dei contenuti del protocollo
Src Altro Addr Indirizzo di origine a livello di rete (solitamente un indirizzo IP o un indirizzo IPX). Il tipo è specificato nel parametro Type Other Addr.
Dst Altro Addr L'indirizzo di destinazione a livello di rete (di solito un indirizzo IP o un indirizzo IPX). Il tipo è specificato nel parametro Type Other Addr.
Digitare Altro Addr Il tipo di indirizzo di rete (il tipo di protocollo del livello di rete utilizzato per la trasmissione). Determina il tipo dei valori dei due campi precedenti.
Finestra centraleè di base e contiene informazioni dettagliate sul pacchetto. Consiste di diverse sezioni. La sezione superiore - Frame - contiene informazioni generali sul pacchetto (non contenute nel corpo del pacchetto), come l'ora, il numero e la dimensione del pacchetto. Il numero con la composizione delle sezioni rimanenti dipenderà dal numero di intestazioni di protocollo diversi livelliche sono stati utilizzati nella formazione del pacchetto, cioè dalla destinazione del pacchetto e del componente software - l'origine del pacchetto. Ogni sezione corrisponde al suo protocollo, l'ordine delle sezioni corrisponde all'ordine delle intestazioni nel corpo del pacchetto, cioè all'ordine di elaborazione del pacchetto. Questo a sua volta corrisponde all'ordine dei livelli nel modello OSI a 7 livelli.
Finestra inferiorevisualizza il contenuto del corpo del pacchetto in caratteri esadecimali e ASCII. Quando una sezione è selezionata nella finestra centrale, la parte del pacchetto corrispondente alla sezione selezionata viene selezionata nella finestra inferiore.
Tabella degli indirizziMonitor di rete
Per facilitare la lettura delle informazioni sui pacchetti catturati e creare filtri (vedere la clausola 6), è possibile associare un nome simbolico a ciascun indirizzo di computer sulla rete, che verrà visualizzato nei campi corrispondenti durante la visualizzazione dei pacchetti invece dell'indirizzo MAC o dell'indirizzo del computer a livello di rete. Le informazioni su questi nomi simbolici e sugli indirizzi a essi associati vengono archiviate nella tabella degli indirizzi di Network Monitor. È possibile visualizzare e modificare la tabella degli indirizzi selezionando la voce di menu Visualizza \\ Indirizzi. La tabella degli indirizzi ha questo aspetto:
I campi principali della tabella degli indirizzi sono il nome simbolico, l'indirizzo associato e il tipo di indirizzo. Si noti che l'indirizzo può essere sia fisico che di rete, pertanto, per ogni nome simbolico, è possibile specificare due indirizzi di diverso tipo.
La tabella degli indirizzi viene generata automaticamente durante l'acquisizione dei pacchetti. In questo caso, i nomi dei computer NETBIOS vengono utilizzati come nomi simbolici.
Sono presenti voci della tabella degli indirizzi predefinite (contrassegnate con *). Forniscono nomi per indirizzi speciali del livello fisico. Ad esempio, il nome BROADCAST viene utilizzato per i pacchetti broadcast Ethernet il cui indirizzo di destinazione è in quelli binari (FFFFFFFFFFFF).
Per aggiungere un indirizzo alla tabella, è necessario fare clic sul pulsante Aggiungi .., dopodiché verrà visualizzata una finestra di dialogo:
Installazione di filtri per acquisire pacchetti (Cattura filtro)
Quando si risolvono problemi specifici di analisi del traffico di rete, di solito è necessario catturare non tutti i pacchetti trasmessi sulla rete (il loro numero può essere molto grande!), Ma solo alcuni, cioè pacchetti che soddisfano determinate condizioni. Per questo, vengono installati i filtri di cattura (filtro di cattura - da non confondere con i filtri di visualizzazione!). Per visualizzare o modificare il filtro di cattura, selezionare il menu Cattura \\ Filtro. Apparirà una finestra che mostra il filtro corrente:
I pacchetti acquisiti possono essere filtrati in base ai seguenti criteri:
Tipo di protocollo... Per definire questo criterio, fare doppio clic sulla riga SAP / ETYPE \u003d ... Apparirà una finestra di dialogo che consente di abilitare o disabilitare l'acquisizione di pacchetti di un protocollo specifico. Per impostazione predefinita, tutti i protocolli sono abilitati per l'acquisizione (protocolli abilitati):
Indirizzo del computer... Per definire questo criterio, fare doppio clic sulla riga Coppie di indirizzi. Viene visualizzata una finestra di dialogo che consente di definire le coppie di indirizzi tra i quali verranno catturati i pacchetti. Inoltre, è possibile definire la direzione di trasmissione dei pacchetti catturati (Direzione) - bidirezionale o solo nella direzione da un indirizzo a un altro. Il nome * ANY corrisponde a qualsiasi indirizzo di qualsiasi tipo. Per impostazione predefinita, questo criterio è configurato per acquisire tutti i pacchetti in tutte le direzioni (ANY<->QUALUNQUE).
Abbina un campo pacchetto a un modello corrisponde. Consente di acquisire pacchetti il \u200b\u200bcui contenuto corrisponde a un modello. Il modello è un dato binario (esadecimale) o una stringa di caratteri (ASCII) e un offset in byte dall'inizio del pacchetto (dall'inizio del frame). Un pacchetto verrà catturato se il suo contenuto all'offset specificato corrisponde alla sequenza specificata di dati binari o di caratteri. Per impostazione predefinita, non viene specificato alcun modello, ovvero tutti i pacchetti corrispondono al modello.
Tutti e tre i criteri sopra descritti sono combinati secondo la logica "AND" (AND). Ciò significa che il pacchetto verrà catturato se soddisfa tutti e tre i criteri. È possibile specificare più condizioni per il criterio di corrispondenza del modello combinato in un'espressione booleana. Ad esempio, il seguente filtro è progettato per acquisire pacchetti contenenti i dati specificati all'offset 0x30 o dati specificati all'offset 0x50 e non contenenti i dati specificati all'offset 0x4.
6.3. Ordine di lavoro
1. Nella riga di comando, eseguire il comando ipconfig / all. Visualizza e registra il nome, l'indirizzo MAC (indirizzo fisico) e l'indirizzo IP del tuo computer.
2. Selezionare l'interfaccia per l'acquisizione dei pacchetti dal menu Cattura / Reti.
3. Creare un filtro progettato per catturare i pacchetti trasmessi tra il computer e tutti gli altri computer sulla rete in entrambe le direzioni. Quando si sceglie l'indirizzo del computer dalla tabella degli indirizzi, è necessario specificare il nome LOCALE corrispondente all'indirizzo fisico del computer. Salva il filtro in un file con lo stesso nome del tuo nome utente con indice 1 (ad esempio 281san1.cf).
4. Utilizzando il filtro creato, catturare un piccolo numero di pacchetti (100-200). In questo caso, dopo aver avviato l'acquisizione dei pacchetti, è necessario avviare l'attività di rete del computer, ad esempio avviare un browser Internet, un browser per visualizzare l'ambiente di rete, accedere a un'unità di rete.
5. Passare alla modalità di visualizzazione dei pacchetti catturati.
6. Dal numero totale di pacchetti (eccetto il primo e l'ultimo pacchetto) selezionare più pacchetti con struttura diversa (almeno 3). Nella finestra centrale aprire le sezioni Frame ed Ethernet, visualizzare il contenuto dei campi.
7. Annotare e disporre sotto forma di tabella le seguenti informazioni sui pacchetti:
§ Indirizzo MAC di origine
§ Indirizzo di destinazione
§ Tipo di protocollo di livello superiore (tipo Ethernet)
§ Lunghezze totali del telaio
§ Dimensione del campo dati del pacchetto Ethernet (numero di byte di dati rimanenti)
§ L'ordine di annidamento dei protocolli. Ad esempio, per il pacchetto precedente Ethernet, IP, TCP, NBT
9. Creare un filtro per acquisire i pacchetti che non contengono pacchetti IP. A tale scopo, nella finestra Cattura filtro, selezionare la riga SAP / ETYPE e fare clic sul pulsante Modifica.
Disattiva l'acquisizione di pacchetti IP e fai clic su OK.
10. Cattura i pacchetti (cattura almeno 3 pacchetti), ripeti il \u200b\u200bpassaggio 7.
6.4. Domande di controllo
1. È possibile utilizzare Network Monitor per acquisire un pacchetto se né l'indirizzo MAC di origine né l'indirizzo MAC di destinazione è l'indirizzo MAC del computer da cui si sta acquisendo? Spiegare.
2. Cos'è l'indirizzo MAC?
3. Cos'è un indirizzo di rete?
4. Fornire una breve descrizione dell'algoritmo di trasmissione dei pacchetti su Ethernet.
5. Di quali campi è composta l'intestazione del frame Ethernet?
6. Qual è la dimensione dell'intestazione del frame Ethernet?
7. Dopo la fine dell'acquisizione, i parametri Statistiche di rete - frame e Statistica acquisita - frame hanno gli stessi valori. Quale conclusione si può trarre?
8. Che cos'è l'incapsulamento dei pacchetti di diversi strati?
Lavoro di laboratorio 7.Composizione dello stack del protocollo TCP / IP. Studio dei protocolli ARP, IP, ICMP.
7.1. introduzione
Lo stack del protocollo TCP / IP è attualmente il mezzo più diffuso per organizzare reti concatenate. Sulla base di questo stack di protocolli, viene organizzata l'Internet globale. Pertanto, è sull'esempio di questo stack che è consigliabile studiare i mezzi del livello di rete. Questo laboratorio fornisce una breve descrizione dello stack TCP / IP, lo scopo e le funzioni del protocollo di interoperabilità IP, il protocollo di risoluzione degli indirizzi ARP e il protocollo dei messaggi di controllo ICMP di Internet.
7.2. Caratteristiche generali dello stack del protocollo TCP / IP
Ci sono 4 livelli definiti nello stack TCP / IP. Ciascuno di questi livelli ha un certo peso sulla soluzione del compito principale: l'organizzazione di un affidabile e
lavoro produttivo di una rete composita, parti della quale sono costruite sulla base di diverse tecnologie di rete.
La seconda generazione di centri Internet Zyxel Keenetic è apparsa sul mercato due anni fa e ha iniziato con tre modelli di livello superiore e medio. Successivamente sono stati aggiunti altri cinque dispositivi e ora ci sono più di una dozzina di modifiche nella serie. Inoltre, gli ultimi nuovi arrivati \u200b\u200bnon si aggiungono più, ma sostituiscono i dispositivi rilasciati in precedenza.
In termini di piattaforma hardware, Zyxel Keenetic Omni II e Keenetic Lite III non sono diversi dai loro predecessori. Sono inoltre basati sul SoC MediaTek MT7620N, dotato di 8 MB di memoria flash e 64 MB di RAM, porte cablate da 100 Mbps e un punto di accesso a banda singola 802.11b / g / n da 300 Mbps. L'Omni II ha una porta USB 2.0 che manca al Lite III, ma quest'ultimo ha un interruttore di modalità hardware. Dalle differenze esterne, puoi notare il design modificato della custodia e della confezione, che, ovviamente, non è motivo di aggiornamento.
Questi dispositivi sono un gradino più in alto rispetto alla versione più semplice di Keenetic Start. Keenetic 4G III non differisce nemmeno nell'hardware da loro, che consente di utilizzare la porta USB solo per i modem. Quindi le informazioni in questo materiale possono essere tranquillamente attribuite a lui. Riassumendo le caratteristiche, possiamo dire che Lite III è il modello base per chi non ha bisogno di una porta USB, e l'Omni II interesserà chi ha intenzione di utilizzare non solo modem, ma anche drive. Si noti che la presenza di una porta USB amplia ancora in modo significativo la gamma di attività risolte dal router.
Il rilascio dei nuovi prodotti ha coinciso con un importante aggiornamento del firmware, il cui sistema operativo ha ricevuto un nuovo kernel, che ha influenzato in modo significativo l'intero firmware e ha richiesto notevoli sforzi di implementazione. Al momento della stesura di questo documento, il nuovo kernel è stato utilizzato anche nelle versioni beta per i modelli Viva ed Extra. Si prevede che tutti i dispositivi della generazione attuale riceveranno aggiornamenti simili.
Contenuto della consegna
In questa generazione di modelli, il produttore ha leggermente modificato il design delle coperture esterne delle scatole di cartone e ha utilizzato un colore arancione brillante alle estremità. Il resto è cambiato poco: una grande foto del dispositivo sul lato anteriore, specifiche tecniche dettagliate, set di consegna, nonché una descrizione delle possibilità e dei casi d'uso sul lato posteriore. Inoltre, tutti i testi sono completamente localizzati.
Foto di smartphone e loghi di app store per dispositivi mobili attirano l'attenzione. Apparentemente l'azienda ha deciso di seguire l'esempio di altri produttori e ha rilasciato un'utilità specializzata per la configurazione dei router. È difficile dire quanto questa funzione sia realmente richiesta nella pratica, molto dipenderà dalla qualità e dalle capacità del programma. Ma data l'adozione diffusa di dispositivi mobili, potrebbe rivelarsi utile. Lo faremo sicuramente conoscere nella sezione corrispondente.
Il set di consegna dei router in questo segmento non è cambiato da molto tempo e questi modelli non fanno eccezione: un router, un alimentatore switching compatto esterno (9 V 0,6 A per Lite III e 12 V 1 A per Omni II), un cavo patch di rete, piuttosto voluminoso un manuale utente, una scheda di garanzia e un piccolo volantino che descrive alcuni dei prodotti dell'azienda.
Aspetto
I dispositivi hanno ricevuto lo stesso alloggiamento, che, tuttavia, differisce dalle generazioni precedenti. In particolare, le antenne non rimovibili si trovano ora sulle estremità laterali, quindi ora il router non può essere posizionato su un lato.
Le dimensioni dei case sono leggermente diminuite e sono 140 × 103 × 30 mm, esclusi cavi e antenne. La plastica nera viene riutilizzata. Allo stesso tempo, il fondo è stato lasciato lucido, i lati sono stati resi opachi e sul coperchio superiore vediamo un motivo familiare con onde e una predominanza di lucentezza.
Nella parte inferiore dei dispositivi sono presenti due piedini in gomma e due fori per il montaggio a parete con connettori verso il basso. Ci sono griglie di ventilazione sulle estremità laterali. Il modello Keenetic Lite III ha un pulsante di ripristino nascosto sulla sinistra. L'Omni II aggiunge una porta USB 2.0 e un pulsante multifunzione. Sul pannello superiore dei router è presente un ampio e comodo pulsante per connettere i client utilizzando la tecnologia WPS e disconnettere il punto di accesso. Come promemoria, le funzioni dei pulsanti possono essere modificate nelle impostazioni.
Sul retro ci sono cinque porte di rete e un ingresso di alimentazione con un pulsante. Keneetic Lite III dispone inoltre di un interruttore di modalità hardware: principale, adattatore, amplificatore, punto di accesso. Non ci sono antenne qui ora, quindi non ci possono essere difficoltà con il collegamento dei cavi e l'accesso allo switch.
Le antenne non rimovibili sono installate alle estremità laterali. Il loro meccanismo di rotazione sembra essere più affidabile rispetto alle implementazioni passate. Le antenne sono lunghe più di quindici centimetri e anche la forma e il design del case esterno sono leggermente cambiati e sono diventati più interessanti. Ovviamente questo non influisce sulla velocità, ma è comunque piacevole.
Gli indicatori di funzionamento del router si trovano sul lato anteriore. Hanno un bagliore verde, sono abbastanza informativi e non irritano con frequenti ammiccamenti. Ma se montati su una parete, potrebbero non essere visibili.
Fatta eccezione per l'uso continuato del gloss, non ci sono commenti sul design dei nuovi prodotti.
Configurazione hardware
In termini di configurazione hardware, i modelli non differiscono dai loro predecessori. Si basano sulla popolare piattaforma MediaTek MT7620N, dotata di 8 MB di memoria flash, 64 MB di RAM, un'unità radio integrata nel processore che supporta reti 802.11b / n / g nella banda a 2,4 GHz con una velocità di connessione massima di 300 Mbps e uno switch di rete per cinque porte cablate Fast Ethernet da 100 Mbps. Va notato che qui viene utilizzata la revisione 0206 del processore.
L'Omni II ha una porta USB 2.0 e un pulsante aggiuntivo, mentre il Lite III dispone di un interruttore di modalità hardware. Notare che la modalità operativa di questo dispositivo non può essere modificata tramite l'interfaccia web. Il modello conserva quattro serie di impostazioni indipendenti (una per ciascuna modalità) e può passare rapidamente da una all'altra.
Caratteristiche e capacità del firmware
I prodotti dell'attuale serie Keenetic hanno un software integrato NDMS2 unificato, che abbiamo già descritto molte volte nelle nostre pubblicazioni. Le differenze possono riguardare diverse configurazioni hardware, come la presenza di porte USB o radio dual band, o la disponibilità di determinati pacchetti. Quindi la maggior parte delle ulteriori informazioni può essere attribuita ad altre soluzioni della serie.
Alla prima accensione, i dispositivi offrono automaticamente assistenza all'utente nella configurazione dell'accesso a Internet e altri parametri di base. Utilizza il database del provider integrato, che semplifica notevolmente il processo. Viene inoltre fornito per avviare l'assistente dall'interfaccia web. Dopo aver completato la procedura guidata, il router verifica autonomamente la connessione di rete e la disponibilità degli aggiornamenti per il firmware e, dopo l'autorizzazione dell'utente, può installarli.
Il design dell'interfaccia web del dispositivo può essere considerato abbastanza conveniente, anche se ovviamente l'abbondanza di possibilità può creare un po 'di confusione per abitudine. Vale anche la pena notare che sembra buono su schermi a bassa risoluzione, che è sempre meno comune oggi. Non ci sono commenti sulla reattività dell'interfaccia, così come sulla traduzione. In questo caso, vale la pena considerare il russo come lingua principale e l'inglese come lingua aggiuntiva. Ricordiamo ancora una volta che il firmware per questa serie è stato creato da sviluppatori nazionali.
Rispetto a molti altri router sul mercato, i prodotti in questione presentano diverse differenze software caratteristiche. In particolare, oltre a supportare connessioni IPoE, PPPoE, PPTP e L2TP, è possibile utilizzare la modalità client Wi-Fi, modem USB (nei router con porta USB), 802.1x e un autorizzatore KABiNET per connettersi a Internet.
Supporta la configurazione simultanea di varie opzioni di connessione, incluso l'utilizzo di più porte cablate, per implementare la funzione di ridondanza. Il suo utilizzo efficace è aiutato dal modulo Ping Check, che consente di monitorare lo stato di salute dei canali di comunicazione. Da notare anche la possibilità di spegnimento forzato dell'alimentatore della porta USB in modalità manuale o automatica, che migliora l'affidabilità del lavoro con i modem USB. L'elenco di compatibilità contiene molti modelli moderni, compresi quelli progettati per le reti di quarta generazione.
Con un indirizzo non permanente emesso dal provider, è possibile utilizzare client DNS dinamici, incluso il master DNS nazionale. L'accesso ai servizi di rete locale viene fornito configurando le regole di traduzione degli indirizzi e il supporto UPnP. Un ulteriore livello di protezione per gli utenti, in particolare i loro dispositivi mobili, può essere realizzato grazie al supporto dei servizi SkyDNS e Yandex.DNS. Notare che ora possono utilizzare l'assegnazione del profilo personalizzato ai client per utilizzare i server DNS dell'ISP.
Nel gruppo "Rete domestica" è possibile modificare l'indirizzo locale del router e configurare il server DHCP. In questo caso, puoi creare diversi segmenti di rete dividendoli per intervalli di indirizzi IP. Questa capacità viene utilizzata, in particolare, per servire una rete wireless ospite. Qui puoi anche configurare un relay DHCP e disabilitare il NAT.
Per lavorare con IPTV, il protocollo IGMP, l'allocazione delle porte agli STB, la tecnologia VLAN sono supportati e c'è anche un server udpxy integrato.
Le impostazioni del punto di accesso wireless sono standard. È possibile scegliere il nome della rete, la modalità di protezione, il numero e la larghezza del canale, il paese, lo standard e la potenza del segnale. Si noti che le impostazioni di fabbrica del dispositivo includono un nome di rete e una password individuali indicati sull'adesivo. Non abbiamo dimenticato il filtro degli indirizzi MAC, WPS e l'implementazione della rete wireless guest. Notare la mancanza di un programma di lavoro e il supporto per l'autenticazione tramite il server RADIUS.
Oltre ai servizi sopra menzionati per il filtraggio delle richieste DNS, i router dispongono di un filtro programmabile per i pacchetti in entrata, le cui tabelle sono programmate individualmente per ciascuna interfaccia (comprese quelle locali).
Ulteriori pacchetti di interesse sono server VPN (PPTP), ALG per alcuni protocolli popolari, IPv6, modulo di acquisizione dei pacchetti, supporto per file system NTFS e HFS +, autenticazione utente per l'accesso ai file di rete, sistema di download dei file di trasmissione, server DLNA, supporto per alcuni modelli USB -modem. Molti di loro sono rilevanti solo per i modelli con una porta USB, ma, in particolare, Lite III ha anche un server VPN. Si noti che i client VPN presenti nel firmware possono essere utilizzati anche per connettersi a reti remote, non solo a Internet.
I dispositivi dispongono di strumenti avanzati di monitoraggio e diagnostica, che consentono al supporto tecnico di risolvere in modo più efficace eventuali problemi. Oltre alla pagina di stato estesa, in cui è possibile trovare informazioni su connessioni, traffico corrente, carico di CPU e RAM, è possibile visualizzare la tabella di instradamento, un elenco di client di rete locale, le loro connessioni attive, dati sui dispositivi wireless (comprese le velocità di connessione), unità USB e client VPN.
Il registro degli eventi di sistema viene memorizzato sul dispositivo o può essere inviato a un server syslog esterno. Non ci sono funzioni speciali per la ricerca in esso o l'impostazione dei filtri. Non è previsto l'invio di informazioni tramite e-mail. Tra i vantaggi, puoi scrivere un alto dettaglio degli eventi.
Nei parametri di sistema sono presenti l'impostazione dell'ora, il ripristino della configurazione, il riavvio, l'aggiornamento del firmware e l'installazione dei componenti. Fornisce inoltre una scelta della modalità operativa per il dispositivo (ad eccezione di Lite III), l'impostazione dell'azione dei pulsanti sulla custodia, lavorando con i file di sistema (configurazione, log e firmware), programmando gli utenti e specificando i diritti ai servizi.
Si noti che ora le modalità operative utilizzano singoli set di impostazioni separati e su Lite III possono essere modificati con un interruttore hardware.
In alcuni casi, quando si contatta il supporto tecnico, può essere utile creare un report avanzato sul funzionamento del dispositivo e un modulo di acquisizione dei pacchetti di rete.
La porta USB della linea Keenetic viene utilizzata per collegare dispositivi di archiviazione, modem e stampanti. Nel primo caso, è possibile utilizzare dispositivi con più partizioni e l'elenco dei file system compatibili include tutte le opzioni più diffuse oggi, tra cui FAT32, NTFS, EXT2, EXT3 e HFS +. Oltre all'accesso tramite i protocolli SMB e FTP (anche tramite Internet), le unità possono essere utilizzate per il download offline di file e la trasmissione di contenuti multimediali ai ricevitori DLNA.
Al momento della stesura di questo documento, l'elenco ufficiale di compatibilità delle stampanti contava quasi cinquecento modelli. A seconda del modello, potrebbe essere supportata la stampa tramite una rete Windows o utilizzando una porta di rete. Ad eccezione della stampa, le funzionalità MFP non sono supportate.
Il produttore presta grande attenzione al lavoro con i modem per reti cellulari: l'elenco di compatibilità contiene circa quaranta modelli 4G e più di ottanta 2G GSM / 3G UMTS, senza contare le opzioni per le reti 3G CDMA. Inoltre, il lavoro con i dispositivi moderni viene eseguito nelle modalità più produttive, il che consente di raggiungere velocità elevate.
Come accennato in precedenza, il produttore ha introdotto una speciale utility Keenetic NetFriend per dispositivi mobili basati su Android e iOS per la configurazione iniziale dei router.
Ha istruzioni interattive integrate, un codice QR sul corpo viene utilizzato per connettersi alla rete wireless del router, è presente una funzione di localizzazione per filtrare l'elenco integrato di provider per regolamento e la possibilità di configurare manualmente i parametri. È un peccato che la versione attuale non implementi le impostazioni IPTV, modifichi i parametri Wi-Fi e non ci siano funzioni di monitoraggio e diagnostica. D'altra parte, l'IPTV funzionerà immediatamente in molti casi e la rete wireless è già configurata per la modalità sicura. Quindi, nella sua forma attuale, il programma può essere utile per gli utenti inesperti.
Prestazione
I router considerati differiscono solo per le capacità associate alla presenza di una porta USB. Quindi, formalmente, sarebbe stato possibile non testare le prestazioni nelle attività di routing e accesso wireless per entrambi i modelli, ma lo abbiamo comunque fatto, anche se non ci aspettavamo grandi differenze. Il test è stato effettuato sul nostro banco standard in benchmark sintetici.
Se segui le nostre pubblicazioni, forse ricorda che durante il test del predecessore non abbiamo avuto commenti in termini di velocità di routing. I nuovi elementi, nonostante i motivi sopra menzionati per l'aggiornamento del firmware e di tutti i moduli, hanno funzionato anche leggermente meglio nei test full-duplex. Quindi i modelli considerati possono essere tranquillamente consigliati per il funzionamento a velocità fino a 100 Mbit / s compreso con qualsiasi tipo di connessione Internet.
Anche l'efficienza di lavorare con la rete locale del provider è stata preservata, come si può vedere dalla prossima coppia di grafici.
Come abbiamo scritto in precedenza, questi modelli di medio livello hanno ricevuto nel firmware corrente l'implementazione di un server VPN in esecuzione sul protocollo PPTP. Ciò consente di organizzare una connessione remota sicura alla rete domestica e alcuni altri scenari utili. Per testare le prestazioni in questa modalità, abbiamo utilizzato una connessione al router da un computer situato nel segmento di rete esterna con un client Windows standard. I grafici mostrano la media degli indicatori su tre scenari (ricezione, trasmissione e ricezione e trasmissione simultanee, tutte in otto flussi).
Quando si lavora senza crittografia, è possibile ottenere in questa attività da 75 a 100 Mbps. L'uso di MPPE128 riduce la velocità a 30-40 Mbps. Come possiamo vedere, l'implementazione di questo servizio in dispositivi del livello considerato ha senso.
Il punto di accesso wireless integrato nei router funziona con una velocità di connessione massima di 300 Mbps. Tuttavia, è probabile che le prestazioni in questo scenario siano limitate alle porte cablate che hanno velocità solo di 100 Mbps. I router sono stati ottimizzati per le massime prestazioni con canale a 40 MHz e crittografia WPA2-PSK. Durante i test, abbiamo utilizzato l'adattatore TP-Link TL-WDN4800 (802.11n, 2.4 e 5 GHz, fino a 450 Mbps) e due opzioni per posizionare un computer con esso: quattro metri di linea di vista e quattro metri attraverso un muro non capitale. Un punto precedentemente utilizzato otto metri attraverso due muri non capitali è stato eliminato dall'elenco a causa di forti interferenze da un gran numero di dispositivi vicini nella banda dei 2,4 GHz.
E in questo gruppo di test vediamo i risultati attesi: circa 90 Mbit / s per la velocità massima di ricezione o trasmissione, oltre a circa una volta e mezza in più per le modalità full duplex. Si noti che la seconda opzione di posizionamento può mostrare risultati migliori a causa della maggiore distanza del cliente dal centro della casa e dalle reti limitrofe.
L'ultimo test si applica solo all'Omni II, in quanto dispone di una porta di archiviazione USB 2.0. Abbiamo verificato la velocità di lettura e scrittura su un disco connesso con file system NTFS, FAT32, EXT3 e HFS + di file di grandi dimensioni tramite i protocolli SMB e FTP.
In questo test, come il precedente, il limitatore è la porta cablata del dispositivo a 100 Mbps. Quindi le velocità massime sono di circa 10 MB / s. È difficile chiamare questa opzione un'archiviazione di rete a tutti gli effetti, ma ovviamente è adatta per il backup di piccole quantità di dati, per guardare video HD in TV e per creare un server FTP. Si noti inoltre che in questo test il nuovo prodotto si è comportato più velocemente del suo predecessore.
conclusioni
I modelli aggiornati di Zyxel Keenetic Omni II e Keenetic Lite III, come i loro predecessori, hanno lasciato un'impressione molto piacevole. I dispositivi si basano sulla piattaforma MediaTek, che ben si adatta al segmento di massa, e hanno caratteristiche tecniche ottimali: porte di rete cablate a 100 Mbps e un punto di accesso wireless a 300 Mbps. Il modello Omni II si distingue per la presenza di una porta USB, che consente molti scenari aggiuntivi, e Lite III è interessante per il cambio di modalità hardware. Ricordiamo anche la presenza nella linea della soluzione Keenetic 4G III, che si avvicina per caratteristiche a questi dispositivi.
Per quanto riguarda il software embedded, puoi vedere che il produttore ci presta ancora più attenzione rispetto alla piattaforma hardware. Aggiornamenti regolari per l'intera linea consentono non solo di migliorare la compatibilità con i servizi dei fornitori nazionali ed espandere il set di funzioni e capacità, ma anche di aumentare le prestazioni. Per alcune categorie di utenti, lo svantaggio qui potrebbe essere la natura chiusa del firmware e l'impossibilità di aggiungere i propri moduli software. Allo stesso tempo, è impossibile installare un programma della generazione precedente sui dispositivi considerati in questo articolo, in cui questa funzionalità è preservata.
Non ci sono lamentele sulla velocità dei modelli considerati. Possono essere utilizzati senza alcun compromesso con tutti i piani tariffari e le opzioni di connessione sui canali fino a 100 Mbit / s inclusi. I test hanno dimostrato che sono le porte cablate a rappresentare spesso la limitazione in questo caso. Tuttavia, non dimenticare che i dispositivi gigabit sono generalmente molto più costosi.
Spostare le antenne alle estremità laterali ha aiutato ad alleviare il pannello posteriore. Inoltre, annoteremo anche i pulsanti riprogrammabili sul case e la possibilità di montare i router sulla parete. Lo svantaggio tradizionale è l'uso del gloss.
Il maggior numero di dump viene attualmente registrato utilizzando le porte SPAN. Ora che sappiamo molto su SPAN (dall'articolo precedente), è tempo di imparare sui dispositivi TAP: quando e come dovrebbero essere usati per registrare un dump e di cosa si tratta.
TAP è l'abbreviazione di " Test UNccess Port ". ( In russo, un tale dispositivo si chiama " accoppiatore di traffico". Tuttavia, per comodità, preferirò utilizzare entrambe le opzioni - sia l'abbreviazione TAP inglese che la versione in lingua russa - ca. trad.) Lo scopo di TAP è darti accesso al traffico che passa attraverso uno specifico canale di comunicazione.
Quando si acquisisce il traffico, l'utilizzo corretto di TAP è un modo diretto per ottenere il dump più accurato e affidabile. Presta attenzione alla parola "giusto"! Sì, è quello che intendo - anche con TAP puoi ottenere un risultato errato se lo usi in modo errato. Naturalmente, prenderemo in considerazione questi punti, ma per ora vediamo più in dettaglio che tipo di dispositivo è, come viene utilizzato.
Non puoi sbagliare se pensi a un accoppiatore come a una piccola scatola che si inserisce in una rottura del cavo e fornisce l'accesso ai dati che lo attraversano. Probabilmente hai sentito il termine "uomo in mezzo" (aka "Uomo in mezzo") - questo è esattamente ciò che fa TAP, ea livello fisico (Livello 1). "Install in gap" significa esattamente il processo fisico: si estrae il cavo dalla porta, ad esempio lo switch, lo si inserisce nel TAP e con il secondo cavo aggiuntivo (non dimenticare di portarlo con sé!) Si collega il TAP al nodo finale della rete.
A proposito, il secondo cavo aggiuntivo dovrebbe essere un "flip-flop", ma ultimamente questo diventa un requisito sempre meno necessario, perché sono già rimasti pochi dispositivi di rete che non possono occuparsene da soli (funzione Auto MDI-X). Pertanto, anche un cavo diretto funzionerà bene nella maggior parte dei casi.
Lavorare con TAP / splitter
Diamo un'occhiata a come utilizzare TAP nel modo più generale. Fin dall'inizio, se inizi a scegliere esattamente quale rubinetto ti serve, scoprirai che ce ne sono molti diversi tipi per diverse infrastrutture di rete. La prima scelta da fare è ottica o rame. Accoppiatori ottici sono spesso chiamati " splitter“. La funzionalità di TAP può essere piuttosto ricca e complessa, quindi la scelta di un modello specifico può richiedere molto tempo e impegno, soprattutto se non si ha abbastanza esperienza e conoscenza di cosa cercare nello specifico. Ma non preoccuparti: ti aiuterò in questo articolo. Quindi, prima, vediamo cosa hanno in comune tutti i TAP, indipendentemente dal tipo.
Disconnessione / connessione di rete
Il rubinetto deve essere installato nello spazio tra il collegamento fisico (a meno che non si parli dei "TAP virtuali" che alcuni fornitori stanno sviluppando per l'utilizzo in ambienti virtuali, ma questo è più o meno un nome di marketing). Bursting significa che devi sopravvivere ad almeno un ciclo di interruzione del collegamento. Per disabilitare il TAP dopo l'acquisizione, dovrai eseguire il secondo ciclo dello stesso. A proposito, la seconda interruzione del collegamento è uno dei motivi per cui devo costantemente acquistare nuovi rubinetti per me stesso: di tanto in tanto i miei clienti preferiscono acquistare semplicemente il mio TAP e lasciarlo installato, senza rimuoverlo affatto dopo la fine dell'analisi. Quindi, evitando la necessità di interrompere nuovamente il collegamento (e allo stesso tempo ottenere la possibilità di monitorare costantemente).
Mancia: se fai parte di un team di ingegneri di rete che progettano banca dati, aggiungi TAP in fase di progettazione e installa inizialmente - molto spesso questo è l'unico modo per avere un tap sul link backbone, perché con una garanzia al 100%, nessuno ti permetterà di installarlo successivamente, interrompendo un link così importante e caricato, attraverso il quale fluiscono costantemente moltissimi dati. Il costo di TAP in questo caso sarà di ordini di grandezza inferiore al costo di switch e router di fascia alta e allo stesso tempo sarà molto utile quando è richiesta la risoluzione dei problemi. E se scegli un marchio affidabile e consolidato, non devi preoccuparti di un ulteriore punto di guasto nel sistema: questi rubinetti hanno un'alimentazione ridondante e una protezione durante le interruzioni di corrente (modalità di bypass automatico). Nulla mi dice di più sulla professionalità del team di ingegneri di rete rispetto al momento in cui vedo diversi rubinetti professionali in cantiere già installati nei punti più critici della rete.
La verità nei pacchetti
L'utilizzo di TAP è l'unico modo per ottenere un'immagine reale di ciò che sta accadendo nel collegamento. RUBINETTO esclude la possibilità di perdita di pacchetti o manipolazione nel caso in cui l'attaccante abbia accesso alla tua rete. Ricorda: una porta SPAN può "nascondere" i pacchetti a causa di una compromissione o semplicemente a causa della congestione. Mentre assolutamente impossibile manipolare uno splitter full duplex passivo e quasi impossibile tutti gli altri tipi di accoppiatori. Naturalmente, vale la pena notare che ci sono anche tap gestiti "fantasiosi" con un'interfaccia web o CLI e tutto ciò che è controllato può essere manipolato. Ma se scegli il tipo giusto di TAP, nessuno sarà in grado di nasconderti i propri pacchetti dannosi. Pertanto, gli aggressori più abili cercano di simulare il traffico normale e ignaro o di nascondersi in un numero enorme di pacchetti per renderli più difficili da individuare in questa massa.
Comportamento in caso di interruzioni di corrente
I rubinetti che richiedono alimentazione per funzionare (quasi tutti i rubinetti in rame, nonché i rubinetti ottici più funzionali con aggregazione di link) di solito hanno un meccanismo di protezione di livello 1 (livello fisico) per l'interruzione di corrente. Questo è qualcosa come un relè che si chiude in caso di interruzione dell'alimentazione e collega il collegamento bypassando il TAP (la modalità bypass è attivata). Un tale trigger - un clic - può essere sentito anche quando accendi / spegni il TAP per l'alimentazione.
 |
| Figura: 2 - Comportamento in caso di mancanza di alimentazione |
In genere, il tempo di risposta dell'accoppiatore a un evento di interruzione di corrente richiede meno di un secondo. Tuttavia, questo è un fatto piuttosto spiacevole, perché può causare la chiusura delle sessioni correnti, nonché l'avvio di qualsiasi procedura di convergenza di rete. Tuttavia, come minimo, ciò garantirà che la rete torni al suo stato originale senza l'intervento del personale. Inoltre, tieni presente che senza alimentazione, il TAP non svolgerà più la sua funzione principale e non vedrai più il traffico sulla sua porta monitor. In questo caso, il ripristino dell'alimentazione al TAP provocherà nuovamente la risincronizzazione / risincronizzazione del collegamento.
Consigli: se è necessario riapplicare l'alimentazione all'accoppiatore in rame, farlo durante finestra di servizioalmeno 5 minuti, perché il collegamento di produzione potrebbe essere "spento" troppo a lungo perché alcuni collegamenti sopravvivano.
Porta di uscita (monitor) - solo per trasmissione!
I collegamenti di uscita dell'accoppiatore sono progettati per essere di sola trasmissione, ovvero non accetteranno alcun pacchetto in arrivo. Pertanto, il dispositivo di acquisizione (o in generale qualsiasi altro dispositivo che si blocca sulla porta del monitor) non può trasmettere pacchetti alla rete, influenzando altre connessioni.
 |
| Figura: 3 - Rilascio di un pacchetto sulla porta del monitor |
Occasionalmente, c'è qualcuno che vuole che il TAP abbia la capacità di iniettare pacchetti nella rete a bordo. Molto spesso, questo si applica al caso in cui IDS è sospeso sulla porta del monitor e si desidera inviare pacchetti RST da essa come reazione a connessioni sospette. Ma questa non è la migliore opzione di implementazione, in una situazione del genere è meglio installare inline-IPS sulla rete.
Consigli: controlla comunque se il tuo tap sta accettando i pacchetti sulla porta del monitor. Alcuni fornitori offrono TAP (o li chiamano semplicemente così) che non scartano i pacchetti in arrivo. Questo può essere sotto forma di una funzione separata o in silenzio, senza avvisarti. A mio parere, questo è inutile (IDS) o semplicemente dannoso ("Man on the side" / "Man in the middle" utilizzando pacchetti ingegnerizzati).
Rubinetti full duplex
Avrai già notato che nella Figura 1, il TAP è collegato in un modo leggermente diverso rispetto alla porta SPAN. Non hai un link aggregato, ma due separati. Vediamo di nuovo:
Come puoi vedere, i pacchetti nella direzione di PC -\u003e switch vengono inviati a una porta del monitor e i pacchetti opposti vengono inviati a un'altra. Viene chiamato un tale accoppiatore full duplex - ogni direzione di comunicazione viene reindirizzata alla propria porta monitor dedicata. Ovviamente, questo significa che sul dispositivo di acquisizione avrai bisogno due porte per ottenere un dump completo. Questo ha i suoi vantaggi, ma aumenta il prezzo. (Va notato che molti switch possono fare lo stesso con SPAN - reindirizzare il traffico multidirezionale a porte diverse - circa Transl.)
Larghezza di banda full duplex
La registrazione del traffico per la ricezione e la trasmissione da due porte significa che non si verificherà un sovraccarico del collegamento: se, ad esempio, un collegamento gigabit ha una velocità di 1 Gbps per la ricezione e la stessa per la trasmissione, e in totale 2 Gbps - TAP trasmette via 1 Gbps attraverso ciascuna delle porte. Pertanto, possiamo avere gocce solo sul dispositivo di acquisizione stesso.
Splitter
Gli splitter sono accoppiatori ottici. Possono funzionare senza alimentazione, semplicemente utilizzando elementi ottici nel design, come specchi traslucidi. E se sei preoccupato di introdurre un ulteriore punto di errore nel tuo sistema, uno splitter è la soluzione migliore.
Gli specchi traslucidi riflettono parte del segnale dal cavo ottico verso il dispositivo di cattura mentre il resto passa al ricevitore. Per questo tipo di splitter non è necessaria alcuna parte elettrica. Gli splitter moderni possono funzionare su collegamenti di velocità diverse: non è necessario acquistare uno splitter separato per l'acquisizione da 1 Gbps e uno separato per 10 Gbps.
Se guardi lo splitter, puoi vedere la caratteristica "Rapporto di divisione", ovvero il rapporto o fattore di separazione. Questa è la percentuale del segnale luminoso riflesso dallo specchio. I valori dei parametri tipici sono: 70/30 e 50/50 , il che significa, rispettivamente, che il 70% passerà al collegamento principale e il 30% alla porta del monitor o, per il secondo esempio, il 50% a ciascuna delle porte. Un avvertimento: ho incontrato ingegneri che preferivano utilizzare splitter 90/10 per paura che troppo segnale andasse alla porta del monitor e danneggiasse il canale principale. E questo in realtà teoricamente può accadere per i canali a lunga distanza. L'approccio 90/10 eliminerà questo sviluppo, ma allo stesso tempo il restante 10% è quasi sempre insufficiente per il dispositivo di acquisizione e non può stabilire una connessione. Personalmente preferisco gli splitter 70/30 e finora non ho avuto un solo problema con loro.
La caratteristica successiva da tenere a mente è il tipo di connettore splitter ottico. Ce ne sono diversi tipi, i connettori sullo splitter e sulla scheda di acquisizione non sempre coincidono. Il più comune ora è il tipo LC, sta gradualmente sostituendo i connettori di tipo SC più vecchi e ingombranti.
Anche la corretta installazione dello splitter a volte è un problema - se lo hai installato, il collegamento principale è salito e ha continuato a funzionare normalmente - questo non significa che stai già ricevendo una copia del traffico sulla porta del monitor. Perché è del tutto possibile installare lo splitter in modo errato, in modo che la luce cada sullo specchio dal lato posteriore e, di conseguenza, si rifletta nella direzione sbagliata. In tal caso, scollegare il cavo di collegamento principale e scambiare le posizioni RX / TX su entrambi i lati. Bene, significa anche che è meglio programmare queste operazioni entro una finestra di servizio di almeno 15 minuti. Infatti, a differenza del RUBINETTO in rame, che richiede un minuto per l'installazione, potrebbe essere necessario ricollegarlo e controllare. E ancora, non dimentichiamoci del classico avvertimento: non guardare mai direttamente al collegamento ottico per verificare la presenza di un segnale: la potenza del laser è sufficientemente elevata da danneggiare la vista!
È interessante notare che uno splitter ottico, a differenza di un accoppiatore in rame, ha tre porte, non quattro. Questo perché utilizza la stessa porta fisica per entrambi i canali del monitor:
 |
| Fig.6 - Schema delle porte di rame e RUBINETTO ottico |
È possibile utilizzare un normale cavo ottico per entrambe le porte del monitor, appena all'altra estremità (dal lato del dispositivo di acquisizione) entrambi i connettori sono collegati agli ingressi della scheda, mentre le uscite della scheda rimangono inutilizzate.
Pacchetto fuori servizio problema
Se si utilizza un tocco full duplex, il dispositivo di acquisizione deve avere 2 porte di rete libere su una o due NIC. Quindi riceverai ciascuno dei thread di monitoraggio su una porta separata, dopodiché sarà necessario ricostruire uno dei due thread. Questo compito è più difficile di quanto sembri a prima vista. Molte persone presumono che le due schede di rete più comuni saranno sufficienti e non dovrebbero esserci difficoltà. Ma in realtà, tutto risulta leggermente diverso. Il problema è che due schede di rete in un PC non trasmettono sempre istantaneamente i pacchetti catturati al software di acquisizione:
 |
| Figura 7 - Pacchetti fuori servizio nella NIC |
Come puoi vedere, i pacchetti di rete dalla scheda superiore vengono trasferiti al processo di acquisizione più velocemente rispetto a quella inferiore. Ciò accade molto spesso - dopo tutto, le solite schede di rete utilizzate per le funzionalità di rete di base non sono originariamente progettate per mantenere spazi di micro o nanosecondi tra i pacchetti. Lo stack di rete li ordinerà semplicemente in qualche modo e li trasferirà direttamente al software di acquisizione / analisi. Il risultato può essere fastidioso:
| Fig. 8 Pacchetti fuori servizio in Wireshark |
Guarda attentamente: il pacchetto # 2 è il SYN arrivato nel dump dopo SYN-ACK. Il pacchetto n. 3 contiene "HTTP 200 OK", che è arrivato prima della fine dell'handshake e prima dell'invio della richiesta GET. Alcuni pacchetti mostrano un intervallo di tempo negativo, che è un segno sicuro di pacchetti fuori servizio nel dump.
Per questa situazione, esiste una soluzione efficace: utilizzare l'utilità della riga di comando reordercap.exeche è incluso con Wireshark e si trova nella cartella di installazione:
Reordercap "Out of Order Sample.pcapng" "Out of Order Sample Reordered.pcapng" 12 frame, 3 fuori ordine
Il risultato sarà simile a questo:
Se vuoi evitare immediatamente tutti questi problemi con l'ordine sbagliato dei pacchetti, c'è solo un modo: una scheda di acquisizione multiporta FPGA professionale che ricostruisce il flusso a bordo anche prima di inviarlo più avanti nello stack. Questo è esattamente il modo in cui lo uso durante l'acquisizione da un accoppiatore full duplex. Ho diversi dispositivi di acquisizione, tra cui un paio di vecchi fattori di forma rack Network General S6040 da 19 "che possono contenere fino a 4 schede di acquisizione full duplex. Prenderò in considerazione queste carte in modo più dettagliato in uno dei miei prossimi post.
TAP con aggregazione thread
I TAP con aggregazione sono collegati al collegamento principale allo stesso modo del full-duplex:
Ma a differenza dei tap full duplex, hanno solo una porta di uscita del monitor. Cioè, è in qualche modo simile a una porta SPAN: un tale accoppiatore unirà due flussi in uno prima di inviarlo alla scheda di acquisizione. I punti positivi di questo approccio sono i seguenti: hai solo bisogno di una scheda per acquisire, e non devi preoccuparti di pacchetti fuori ordine - TAP si prenderà cura di questo.
Ma ci sono anche problemi con questo approccio. Naturalmente, questo è il problema del sovraccarico della porta di uscita del monitor. In generale, ancora circa lo stesso 1 Gbit / s per la ricezione, lo stesso per il ritorno ... capisci. Per evitare questo problema, è possibile utilizzare un TAP con una porta di uscita più veloce della somma delle porte di ingresso. In particolare, ci sono TAP che si collegano a un PC tramite USB3. All'ingresso, sono collegati allo stesso modo di tutti gli altri e il flusso di output viene trasmesso tramite un cavo USB3 (con una velocità di trasferimento massima di 6 Gbps, che è abbastanza per monitorare un collegamento gigabit full duplex a pieno carico).
I TAP con aggregazione sono tecnicamente molto più complicati dei loro omologhi full-duplex, perché sono molto più costosi e partono da circa 1000 euro. I più semplici TAP full duplex possono essere trovati per un paio di centinaia di euro.
A proposito di TAP economico
Sono abbastanza sicuro che alcuni di voi scuotono la testa quando vedono i prezzi approssimativi dei rubinetti, pensando: perché è così costoso? Beh ... Dipende da cosa vuoi da TAP e da dove lo usi. C'è un'opportunità per trovare o costruire un accoppiatore per pochi dollari o acquistare un'opzione con aggregazione per un paio di centinaia. Il motivo di un prezzo così basso - in questo caso può essere solo un TAP in rame e limitato a 100 Mbps. Inoltre, questi TAP mancano della maggior parte delle funzioni. Nella mia esperienza:
- non hanno un meccanismo di bypass in caso di interruzione di corrente, il che ne limita l'utilizzo (certamente non è necessario farlo in un data center);
- consentono l'iniezione di pacchetti nella rete.
Poiché l'installazione di un TAP aggiunge un punto di errore alla rete operativa, è necessario assicurarsi che siano presenti meccanismi di protezione come un alimentatore ridondante o la modalità bypass (o entrambi).
19 dicembre 2011 Di Henry Van Styn
in HOW-TO
L'acquisizione di pacchetti è uno dei modi più potenti per analizzare i processi di rete. Puoi imparare molto su ciò che sta accadendo sulla rete intercettando ed esaminando i dati grezzi che viaggiano sulle connessioni di rete. Le moderne utilità di analisi del traffico consentono di acquisire, interpretare e descrivere i flussi di dati in modo leggibile.
tcpdump è uno strumento essenziale per lo sniffing o lo sniffing del traffico, fornisce molte funzionalità di analisi e può persino esportare campi di pacchetti interpretati in altri programmi.
Se pensi che utilità come tcpdump stiano perdendo il loro significato con l'avvento di strumenti di creazione di grafici come Wireshark, ripensaci. Wireshark è un'ottima applicazione, ma non uno strumento universale per tutte le situazioni. Essendo una soluzione leggera e versatile per una varietà di usi (come gli strumenti unix cat, less e hexdump), tcpdump sembra molto più interessante. E la sua caratteristica più impressionante è la sua usabilità. Come stile di comportamento, segue un approccio al concetto di "comando a una riga" per risposte rapide unidirezionali. Inoltre, può essere utilizzato all'interno di una sessione ssh senza la necessità di grafica. A causa del suo supporto per le convenzioni della sintassi della riga di comando (come l'output dell'output sull'output standard che può essere reindirizzato), tcpdump può essere utilizzato in tutti i tipi di pipeline per creare utilità interessanti e utili.
In questo articolo, esaminerò alcune delle basi dell'uso di tcpdump e le basi della sua sintassi.
Le basi
Prima di diventare un esperto nell'uso di tcpdump, ci sono alcune idee fondamentali da capire. In primo luogo, l'acquisizione di pacchetti è un processo passivo; non modifica in alcun modo il traffico e non trasmette nulla da se stesso alla rete. In secondo luogo, puoi acquisire solo i pacchetti ricevuti dal tuo sistema. Se due host qualsiasi scambiano pacchetti direttamente e questo traffico bypassa il tuo computer, non vedrai nulla, indipendentemente dallo strumento di monitoraggio. Terzo, è possibile acquisire pacchetti indirizzati al sistema solo se l'interfaccia di rete non è in modalità promiscua.
Dato che si presume che tu sia interessato a qualcosa di più dei semplici pacchetti per il tuo sistema, tcpdump metterà automaticamente la prima interfaccia sul sistema (se non diversamente specificato) in modalità promiscua. Questa operazione richiede i privilegi di superutente.
Anatomia dei comandi tcpdump
Il comando tcpdump è costituito da due parti: opzioni e un'espressione di filtro (Figura 1).
Figura 1. Esempio di comando tcpdump
L'espressione per il filtro determina quali pacchetti catturare e le opzioni - quali mostrare nell'output, anche le opzioni sono responsabili del comportamento dell'utilità.
Opzioni
Le opzioni di tcpdump seguono le convenzioni standard della riga di comando, quindi il formato delle opzioni è valore-flag. Alcuni flag non hanno alcun valore di parametro perché sono essi stessi switch. Ad esempio, -i è seguito dal nome dell'interfaccia e -n disattiva la risoluzione DNS.
La pagina man descrive molte opzioni, ma ce ne sono alcune essenziali:
I interface: l'interfaccia su cui tcpdump ascolterà il traffico;
V, -vv, -vvv: output dettagliato;
Q: modalità silenziosa;
E: intestazioni dei frame print link layer (Ethernet);
N: risolve i nomi host di dominio;
T: non stampa timestamp;
N: non risolve i nomi host di dominio;
S0 (o -s 0): cattura massima, vengono catturati interi pacchetti; questo è il comportamento predefinito nelle versioni recenti di tcpdump.
Nessuna delle opzioni è richiesta. I valori definiti dall'utente cambiano solo il comportamento predefinito del programma, che prevede l'acquisizione sulla prima interfaccia e l'output delle informazioni sui pacchetti su una riga.
Filtra le espressioni
Le espressioni di filtro sono test booleani (sì / no) per valutare se un pacchetto corrisponde a un modello. Tutti i pacchetti che non soddisfano le condizioni specificate vengono ignorati.
La sintassi del filtro dei pacchetti è potente e trasparente. All'inizio contiene parole chiave chiamate "primitive", che rappresentano vari classificatori per pacchetti, come protocollo, indirizzo, porta o direzione. Possono essere concatenati insieme utilizzando gli operatori e / o, raggruppati e combinati in base a regole di ereditarietà e ordinati utilizzando la negazione.
A causa dei nomi descrittivi dei criteri, le espressioni filtro tendono ad apparire come costrutti "autoesplicativi", il che le rende abbastanza facili da costruire e capire. La sintassi completa è descritta nella pagina man di pcap-filter, ecco alcuni esempi:
ARP è un semplice protocollo utilizzato per risolvere gli indirizzi IP in indirizzi MAC sulle schede di rete. Come puoi vedere sopra, tcpdump descrive questi pacchetti in modo piuttosto primitivo. I pacchetti DNS, d'altra parte, verranno descritti in modo leggermente diverso:
| IP 10.0.0.2.50435\u003e 10.0.0.1.53: 19+ A? linuxjournal.com. (34) IP 10.0.0.1.53\u003e 10.0.0.2.50435: 19 1/0/0 A 76.74.252.198 (50) |
All'inizio potrebbe non sembrare abbastanza chiaro, ma quando imparerai come funzionano i diversi livelli di protocolli, avrà senso. Il DNS è un protocollo molto più complesso di ARP, ma funziona anche a un livello superiore. Ciò significa che nell'output vengono visualizzati anche i pacchetti dei protocolli sottostanti. A differenza di ARP, che non viene instradato tra diversi segmenti di rete fisica, DNS è il protocollo per l'intera Internet. Il livello IP viene utilizzato per instradare questi pacchetti e UDP viene utilizzato per il trasporto. Ciò rende il DNS un protocollo di livello 5 (IP è di livello 3, UDP è di livello 4).
Le informazioni sul livello UDP / IP, compreso l'indirizzo di origine e la porta, vengono visualizzate sul lato sinistro della riga, le informazioni DNS specifiche sulla destra. Sebbene la sintassi sia piuttosto concisa, è sufficiente definire gli elementi di base del DNS. Il primo pacchetto è una richiesta di indirizzo per linuxjournal.com, il secondo pacchetto è una risposta che fornisce l'indirizzo 76.74.252.198. Questa è una sequenza tipica per semplici query DNS.
Vedere la sezione "OUTPUT FORMAT" di tcpdump man per una descrizione completa di tutti i formati di output dipendenti dal protocollo. Alcuni pacchetti di protocollo sono meglio visibili nell'output, altri peggio, ma le informazioni importanti di solito sono facili da trovare.
Acquisizione dell'output in un file
Oltre alla modalità normale con l'output delle informazioni alla console (output standard), tcpdump supporta anche la scrittura dell'output su un file. La modalità è attivata dall'opzione -w, che specifica il percorso del file.
Quando si scrive su un file, tcpdump utilizza un formato diverso rispetto a quando viene visualizzato sullo schermo. Questo è il cosiddetto output grezzo, non esegue l'analisi iniziale del pacchetto. Questi file possono quindi essere utilizzati in programmi di terze parti come Wireshark, perché il formato delle voci nel file corrisponde al formato universale "pcap" (tale file può essere inviato a tcpdump con l'opzione -r). Questa funzionalità ci consente di acquisire i pacchetti su una macchina e analizzarli su un'altra. Ad esempio, hai Wireshark sul tuo laptop. Non è necessario collegarlo alla rete analizzata per eseguire la scansione del file acquisito in precedenza.
Analisi di protocolli basati su TCP
tcpdump è uno sniffer di pacchetti, quindi funziona bene con protocolli basati su pacchetti come IP, UDP, DHCP, DNS e ICMP. Se c'è un "flusso" o una sequenza di pacchetti per stabilire una connessione, tcpdump non sarà in grado di analizzare direttamente tali flussi e script di connessione. I protocolli come HTTP, SMTP e IMAP sono molto più simili alle applicazioni interattive in termini di rete rispetto ai protocolli "batch".
TCP gestisce tutti i dettagli di basso livello in modo trasparente per l'utente che sono richiesti per le comunicazioni sui protocolli di sessione. È qui che i dati orientati al flusso vengono incapsulati in pacchetti (segmenti) che potrebbero già essere inviati sulla rete. Tutti questi dettagli sono nascosti sotto il livello dell'applicazione. Pertanto, l'acquisizione di pacchetti di protocolli orientati alla connessione richiede passaggi aggiuntivi. Poiché ogni segmento TCP è un pezzo di dati a livello di applicazione, le informazioni su di esso non possono essere utilizzate direttamente. Affinché ciò abbia senso, è necessario ripristinare completamente la sessione TCP (flusso) da una sequenza di singoli pacchetti. Tcpdump non dispone di questa funzionalità. Per analizzare i log di sessione, puoi usare quello che chiamo il "trucco delle stringhe".
Il trucco delle corde
Di solito quando acquisisco il traffico, intendo l'obiettivo di analizzare le cause di alcuni errori. I dati non devono essere perfetti per la visualizzazione al fine di comprendere le cause di eventuali incidenti. In questi casi, la velocità di comprensione è più importante di qualsiasi altra cosa. Il prossimo trucco è una delle mie tecniche preferite di tcpdump. Funziona perché:
I segmenti TCP sono generalmente in ordine cronologico;
- i protocolli applicativi basati su testo generano pacchetti di caricamento del testo;
- i dati che circondano il carico di testo (ad esempio, le intestazioni dei pacchetti) non sono testo;
- Le utilità UNIX possono salvare il testo dall'output binario delle applicazioni;
- se esegui tcpdump con l'opzione -w -, genererà informazioni grezze sullo standard output.
Mettendo tutto insieme, otteniamo uno strumento per acquisire i dati della sessione HTTP.
Inoltre, dovresti essere consapevole che l'output potrebbe contenere una certa quantità di spazzatura. Qualsiasi eccesso può essere tagliato con un'opzione per l'utilità delle stringhe, che limita la lunghezza dell'output della stringa (vedere man strings).
Questo trucco funziona abbastanza bene per qualsiasi protocollo basato su testo.
Analisi HTTP e SMTP
Il trucco delle stringhe della sezione precedente può aiutarti a catturare i dati dalle sessioni HTTP, nonostante la mancanza di un analizzatore di flusso integrato. I dati risultanti possono essere "analizzati" e quindi in molti modi diversi.
Ad esempio, si desidera verificare la disponibilità di tutti i siti con "davepc" nei nomi in tempo reale. Un comando in esecuzione su un firewall aiuterà (assumendo l'interfaccia interna eth1):
Questi sono solo due semplici esempi per illustrare le possibilità. Puoi arrivare al punto di scrivere uno script Perl per un'analisi più approfondita delle stringhe ricevute.
Pertanto, il vero potere di tcpdump è quando si desidera ottenere rapidamente risposte ad alcune domande senza troppi sforzi. Ciò è particolarmente importante durante il debug delle applicazioni di rete.
Eseguire il debug di routing e connessioni VPN
tcpdump può essere ottimo per eseguire il debug di cose come le connessioni VPN. Tutto ciò di cui hai bisogno è capire su quali host quali pacchetti compaiono e quali no.
Prendiamo uno schema standard per connettere due reti tramite una connessione VPN. Reti 10.0.50.0/24 e 192.168.5.0/24 (Figura 2).
Figura 2. Esempio di topologia VPN
Se funziona correttamente, gli host di reti diverse dovrebbero eseguire il ping a vicenda. Se non arrivano risposte ping (in questo caso, supponiamo che non provengano da D all'host A), possiamo usare tcpdump per scoprire dove manca qualcosa.
Se i pacchetti di richiesta vanno all'host C (il gateway remoto) ma non D, ciò indica che la connessione VPN stessa funziona, ma ci sono problemi di routing. Se l'Host D riceve richieste ma non invia risposte, potrebbe significare che ICMP è bloccato. Se le risposte vengono inviate ma non arrivano a C, è possibile che il gateway predefinito su D non sia configurato correttamente.
Ti ricordiamo che i tentativi di ripetere le azioni dell'autore possono portare alla perdita della garanzia per l'apparecchiatura e anche al suo guasto. Il materiale è fornito solo a scopo informativo. Se intendi riprodurre i passaggi descritti di seguito, ti consigliamo vivamente di leggere attentamente l'articolo fino alla fine almeno una volta. Gli editori di 3DNews non sono responsabili per eventuali conseguenze.
⇡ Introduzione
Nei commenti a uno dei primi articoli sul firmware alternativo, i lettori hanno chiesto se ci fosse qualcosa di simile per i router ZyXel. O il firmware ufficiale ZyXel è terribilmente buono, o gli appassionati non sono così attivi, ma oggi non esiste almeno un'alternativa più o meno decente al firmware proprietario. Bene, ovviamente, puoi scaricare i codici sorgente del firmware, modificarlo, ricostruirlo e caricarlo sul router. Ma questo è in qualche modo troppo per l'utente medio. Tanto più interessante è il giovanissimo progetto dei nostri compatrioti dal nome semplice zyxel-keenetic-packages, che ha avuto origine nelle profondità del forum Zyxmon. In questo caso l'idea è molto più semplice ed elegante. Non è richiesto alcun flashing del router e tutte le applicazioni aggiuntive vengono avviate da un dispositivo di archiviazione rimovibile: un'unità flash USB o un disco rigido esterno. Inoltre, quando l'unità viene scollegata, il dispositivo continua a funzionare come se nulla fosse accaduto, ma, ovviamente, senza alcun "panino". Bene, in questo articolo considereremo l'installazione e la configurazione del client Transmission torrent aggiornato, del server DLNA e l'accesso alla rete locale da Internet tramite OpenVPN.
⇡ Preparazione
Innanzitutto, dobbiamo formattare l'unità in ext 2/3 o NTFS. Meglio, ovviamente, in ext 2/3, anche se alcuni naturalisti affermano che tutto funziona bene con NTFS. Ci sono alcuni programmi in grado di formattare le partizioni nel file system di cui abbiamo bisogno: Partition Magic, Paragon e prodotti Acronis, dopotutto, GParted Live gratuito. Se improvvisamente hai bisogno di leggere con urgenza i dati in Windows da un'unità di questo tipo, puoi utilizzare il file manager Ext2Read o installare il driver Ext2Fsd. Inoltre, nell'interfaccia web del router, è necessario abilitare l'accesso al disco tramite la rete in "Applicazioni USB" → "Unità di rete".
Abbiamo anche bisogno del client SSH PuTTY e del programma di installazione stesso. Spacchettiamo l'archivio in qualsiasi posto conveniente. Ora andiamo alla nostra unità sulla rete: Win + R, \\\\ KEENETIC, Invio. Nella cartella disk_a1, è necessario creare una directory di sistema e in essa un'altra - bin. Qui è dove devi copiare il file ext_init.sh dall'archivio. Pertanto, il percorso completo sarà simile a \\\\ KEENETIC \\ disk_a1 \\ system \\ bin \\ ext_init.sh. Allo stesso tempo, è utile creare una cartella di dati alla radice, dove verranno aggiunti tutti i file. Ora è necessario scollegare l'unità dal router e ricollegarla. Dopo un paio di minuti, dovrebbe apparire una voce nei log ("Sistema" → "Registro"):
dropbear in esecuzione in background
Avvia PuTTY, nel campo Nome host, digita [email protected]_router_address e in Windows → Translation selezionare la codifica UTF-8 e fare clic su Apri. Immettere la password - zyxel (non viene visualizzata durante la digitazione) e premere Invio. Completiamo l'installazione e aggiorniamo subito il sistema con i comandi:
Finish_install.sh
aggiornamento opkg
aggiornamento opkg
⇡ Impostazione della trasmissione
Le nuove applicazioni vengono installate con il comando opkg install nome_pacchetto. Al momento, il numero di applicazioni portate non è così grande: puoi vederne un elenco. In linea di principio, il wiki del progetto descrive bene le principali sfumature della loro installazione. Tuttavia, è improbabile che un utente inesperto comprenda alcuni punti relativi alla propria configurazione. Quindi diamo un'occhiata ad alcuni esempi per chiarezza. Innanzitutto, consideriamo l'installazione e la configurazione di una versione più recente del client Transmission torrent rispetto a quella preinstallata nel firmware del router: 2.3 invece di 1.93. Installa il client e il nano text editor con il comando:
Opkg installa nano
opkg installa il daemon di trasmissione trasmissione-web
Consiglio tradizionale: invece di digitare manualmente i comandi, copiali semplicemente da qui e fai clic con il pulsante destro del mouse nella finestra di PuTTTY. Per impostazione predefinita, tutti i nuovi download verranno registrati nella cartella di trasmissione, cioè nello stesso modo in cui avviene di default con il client torrent integrato nel router. Fermiamolo prima andando nella sezione "Applicazioni USB" → "Torrent" nell'interfaccia web del router, deselezionando la casella di controllo "Abilita client BitTorrent" e facendo clic su "Applica". Modifichiamo le impostazioni di trasmissione con il comando:
Nano /media/DISK_A1/system/var/transmission/settings.json
Qui è sufficiente cambiare qualche riga a piacimento:
Porta peer: 52400
"Rpc-authentication-required": true
"Rpc-password": "password"
"Rpc-port": 9091
"Rpc-username": "nome utente"
Per abilitare l'autorizzazione ad accedere all'interfaccia web di trasmissione, modificare il valore del parametro rpc-authentication-required da false a true. Quindi, invece di nome utente e password, sarà necessario specificare rispettivamente il nome utente e la password. In peer-port e rpc-port, è necessario specificare i numeri di porta utilizzati rispettivamente per connettersi ad altri client e accedere all'interfaccia web del client. Non è necessario modificare altri parametri. Salva il file ed esci - F2, Y, Invio. Per eseguire automaticamente la trasmissione quando si accende il router, è necessario rinominare uno degli script:
Mv /media/DISK_A1/system/etc/init.d/ K90transmissiond /media/DISK_A1/system/etc/init.d/S90transmissiond
Deve anche essere leggermente corretto:
Nano /media/DISK_A1/system/etc/init.d/S90transmissiond
All'inizio ci sono due variabili TRN_PORT e TRN_RPC_PORT. Se hai modificato la porta peer e la porta rpc in settings.json, i loro valori devono essere sostituiti di conseguenza in queste variabili. Dovrai anche "decommentare" (rimuovere # all'inizio della riga) altri sei comandi come iptables -A (o D) INPUT -p tcp --dport $ TRN_PORT (TRN_RPC_PORT) -j ACCEPT. Non dimenticare di salvare il file ed eseguire Transmission. Tieni presente che ora il suo pannello di controllo sarà in inglese.
/media/DISK_A1/system/etc/init.d/S90transmissiond start
⇡ Configurazione del server multimediale DLNA
Un servizio più utile è minidlna. Con il suo aiuto, il router ha il supporto del protocollo DLNA, in modo che i file multimediali possano essere guardati, ad esempio, su una TV o un set-top box. È molto più facile da installare e configurare rispetto a Transmission.
Opkg installa minidlna
nano /media/DISK_A1/system/etc/minidlna.conf
Nel file di configurazione, è necessario modificare i parametri media_dir, in cui è necessario specificare le cartelle in cui sono archiviati i file multimediali. Facoltativamente, puoi impostare un filtro per il tipo di file: solo audio (A), video (V) o immagini. Ricorda che la cartella principale della memoria rimovibile è accessibile come / media / DISK_A1.Ecco un esempio delle impostazioni.
Media_dir \u003d / media / DISK_A1 / trasmissione /
media_dir \u003d / media / DISK_A1 / data / downloads
media_dir \u003d A, / media / DISK_A1 / data / Music_and_AudioBooks
media_dir \u003d V, / media / DISK_A1 / data / Films_and_Movies
media_dir \u003d P, / media / DISK_A1 / data / Photos
Resta solo da avviare il server minidlna.
/media/DISK_A1/system/etc/init.d/S50minidlna start
ImpostareOpenVPN
Scarica il kit di distribuzione OpenVPN dal sito Web ufficiale selezionando Windows Installer nella sezione. Durante l'installazione, controllare tutti i componenti. Come l'ultima volta, useremo l'autorizzazione della chiave statica, ovvero avremo solo una connessione VPN disponibile. La chiave deve essere prima generata: dal menu principale nella sezione OpenVPN → Utilità, esegui Genera una chiave OpenVPN statica. La chiave pronta si trova nel file C: \\ Program Files \\ OpenVPN \\ config \\ key.txt. Rinominalo static.key e copialo nell'unità nella cartella \\ disk_a1 \\ system \\ var. Adesso installiamo OpenVPN sul router con il comando:
Opkg installa openvpn
Creiamo un file di configurazione:
Nano /media/DISK_A1/system/etc/openvpn/openvpn.conf
E inserisci le seguenti righe in esso:
Porta 1194
proto udp
dev tun
secret /media/DISK_A1/system/var/static.key
ifconfig 10.8.0.1 10.8.0.2
keepalive 10120
comp-lzo
persist-key
persist-tun
Salva il file (F2, Y, Invio). Quindi modificheremo leggermente lo script di avvio:
Nano /media/DISK_A1/system/etc/init.d/K11openvpn
In esso, devi aggiungere le regole di iptables alla fine delle sezioni iniziali
Iptables -A INPUT -p udp --dport 1194 -j ACCETTA
Iptables -D INPUT -p udp --dport 1194 -j ACCETTA
Salviamo questo script, lo rinominiamo per l'avvio automatico e lo eseguiamo immediatamente.
Mv /media/DISK_A1/system/etc/init.d/K11openvpn /media/DISK_A1/system/etc/init.d/S11openvpn
/media/DISK_A1/system/etc/init.d/S11openvpn start
Ora creiamo un gruppo di regole del firewall:
Nano /media/DISK_A1/system/etc/firewall.d/fw.sh
Copia le seguenti righe in questo file:
#! / bin / sh
iptables -I FORWARD 1 --source 10.8.0.0/24 -j ACCETTA
iptables -I FORWARD -i br0 -o tun0 -j ACCETTA
iptables -I FORWARD -i tun0 -o br0 -j ACCETTA
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
Dopo il salvataggio, rendiamo il file eseguibile e lo eseguiamo immediatamente:
Chmod + x /media/DISK_A1/system/etc/firewall.d/fw.sh
/media/DISK_A1/system/etc/firewall.d/fw.sh
Naturalmente, dobbiamo registrare il nome DDNS sul nostro router. Per ulteriori informazioni sulla registrazione utilizzando l'esempio di DynDNS, vedere la sezione "Configurazione del DDNS" Attraverso l'interfaccia web del router, andare nella sezione "Internet" → "Nome di dominio", abilitare la casella di controllo "Usa DNS dinamico", compilare i campi appropriati e fare clic su "Applica". A proposito, dopo aver abilitato DDNS, avrai anche accesso all'interfaccia web di trasmissione (http: // ddns_router_name: rpc-port), e se selezioni la casella di controllo "Consenti accesso remoto" e specifichi la "porta TCP del configuratore web", quindi l'interfaccia web router. Allo stesso modo, è possibile aprire l'accesso ai file sull'unità tramite FTP - selezionare la casella "Consenti accesso da Internet" nella sezione "Applicazioni USB" → "Server FTP".
Sul client (ad esempio, su un computer dell'ufficio o su un laptop), è inoltre necessario installare OpenVPN e allo stesso tempo copiare la nostra chiave static.key, che abbiamo generato in precedenza, nella cartella C: \\ Program Files \\ OpenVPN \\ easy-rsa \\ keys \\ (beh, o ovunque sia conveniente per te, solo nelle impostazioni del client dovrai modificare il percorso ad esso). Ora, nella cartella C: \\ Programmi \\ OpenVPN \\ config \\, è necessario creare un nuovo file di testo, incollare le seguenti righe e rinominarlo, ad esempio, in router.ovpn. Tieni presente che nel percorso del file secret.key devono essere utilizzate doppie barre (\\\\), non singole barre (\\).
Ddns_router_name remoto
dev tun
ifconfig 10.8.0.2 10.8.0.1
segreto "C: \\\\ Programmi \\\\ OpenVPN \\\\ easy-rsa \\\\ keys \\\\ static.key"
comp-lzo
keepalive 10120
ping-timer-rem
persist-tun
persist-key
percorso 192.168.1.0 255.255.255.0
Quando fai doppio clic sul file ovpn, il tunnel salirà al router. Puoi avviare OpenVPN GUI dal menu principale: un'icona apparirà nell'area di notifica, facendo doppio clic su di essa si aprirà anche il tunnel. Il colore dell'icona cambierà da rosso a verde. Un altro doppio clic sull'icona mostrerà la finestra del registro. Per disconnettersi dalla VPN, fare clic sul pulsante Disconnetti. Dopo la connessione, la tua rete domestica sarà disponibile e potrai, ad esempio, configurare un desktop remoto (vedi la sezione "Configurazione di TightVNC"). È inoltre necessario assicurarsi che l'indirizzamento sulla macchina remota, sulla rete domestica e all'interno del tunnel VPN sia diverso. Nel nostro esempio, abbiamo utilizzato la sottorete 10.8.0.0 per il tunnel e 192.168.1.0 per la rete domestica. Se necessario, correggere gli indirizzi in tutti gli script e nei file di configurazione in questa sezione.
Conclusione
Al momento, queste sono, forse, tutte le applicazioni di cui ha senso parlare. Naturalmente, ci sono altri pacchetti nel repository, ma è improbabile che un utente domestico voglia configurare il proprio server web su un router, installare Drupal su di esso o, ad esempio, preoccuparsi di altri servizi DDNS o montare un'altra unità sulla rete. Tuttavia, se lo desideri, la configurazione non è così difficile. Alla fine, non sei stato bannato da Google o Yandex. Per un progetto giovane, un numero così ridotto di pacchetti è normale. Inoltre, la loro lista viene gradualmente reintegrata, tuttavia, secondo lo stesso autore di zyxel-keenetic-packages, non ha molto tempo. Quindi gli appassionati che sono pronti a raccogliere nuovi pacchetti e sviluppare un progetto ovviamente non faranno male. Infine, ti consigliamo di nuovo di familiarizzare con il wiki e il forum, i cui collegamenti sono stati forniti all'inizio dell'articolo. Allora lascia che mi congeda e tradizionalmente ti auguro esperimenti di successo.
PS: ZyXel, a proposito, promette di rilasciare presto un firmware ufficiale completamente nuovo, che, secondo le indiscrezioni, avrà molte cose gustose.
