Локальная сеть (Local Area Network, сокращенно LAN) — несколько компьютеров и гаджетов (принтеры, смартфоны, умные телевизоры), объединенных в одну сеть посредством специальных инструментов. Локальные сети часто используются в офисах, компьютерных классах, небольших организациях или отделениях крупных компаний. Локальная сеть дает большой простор для деятельности, например, создание умного дома с подключением саундбаров, телефонов, кондиционеров, умных колонок. Можно перебрасывать с телефона фотографии на компьютер без подключения по кабелю, настроить распознавание команд умной колонкой. Преимуществом является то, что локальная сеть — это закрытая система, к которой посторонний не может просто так подключиться.
Для чего нужна локальная сеть
Локальная сеть дает множество удобных функций для использования нескольких компьютеров одновременно:
- передача файлов напрямую между участниками сети;
- удаленное управление подключенными к сети принтерами, сканерами и прочими устройствами;
- доступ к интернету всех участников;
- в других случаях, когда нужна связь между несколькими компьютерами, к примеру, для игр по сети.
Что нужно для создания локальной сети
Для создания собственной LAN-сети минимальной конфигурации достаточно иметь пару компьютеров, Wi-Fi роутер и несколько кабелей:
- непосредственно сами устройства (компьютеры, принтеры и тд).
- Wi-Fi-роутер или маршрутизатор. Самое удобное устройство для создания домашней сети, поскольку Wi-Fi-роутер есть практически в каждом доме.
- Интернет-кабели с витой парой. Раньше было важно использование crossover-кабелей при соединении компьютеров напрямую, без роутеров и switch-коммутаторов. Сейчас же в них нет нужды, поскольку сетевые карты сами понимают как подключен кабель и производят автоматическую настройку.
- Switch-коммутаторы или hub-концентраторы. Служат для объединения устройств в одну сеть. Главный «транспортный узел». Необязательное, но удобное устройство, давно вытесненное Wi-Fi маршрутизаторами из обычных квартир.
- NAS (англ. Network Attached Storage). Сетевое хранилище. Представляет собой небольшой компьютер с дисковым массивом. Используется в качестве сервера и хранилища данных. Также необязательная, но удобная вещь.
Нужное оборудование у нас есть, что дальше?
Сначала необходимо определиться, каким образом будут соединяться между собой компьютеры. Если используется проводной способ подключения, то подключаем все кабели к роутеру или коммутатору и соединяем их в сеть. Существует несколько способов создания LAN-сетей.
Если используется Wi-Fi, то сначала необходимо убедиться, поддерживают ли устройства данный вид связи. Для компьютера может пригодиться отдельный Wi-Fi-адаптер, который придется отдельно докупать. В ноутбуках же он предустановлен с завода. Подключаем устройства к одному Wi-Fi-маршрутизатору.
Настройка обнаружения
Просто подключить оборудование друг к другу недостаточно, поэтому идем дальше:
- Все устройства должны находиться в одной «рабочей группе». Этот параметр легко настраивается в ОС Windows 10.
Для этого проходим по пути: Панель управления — Система и безопасность — Система — Дополнительные параметры системы — Свойства системы. В открывшемся окошке надо указать, что компьютер является членом определенной рабочей группы и дать ей название. Это действие повторить на всех остальных ПК из сети.
- При использовании Wi-Fi изменить параметр сетевого профиля в настройках сети. Для этого в настройках «Параметры Сети и Интернет» в разделе «Состояние» нужно нажать на «Изменить свойства подключения» и выбрать профиль «Частные».
- После этого настраиваем параметры общего доступа. Идем в «Центр управления сетями и общим доступом» и открываем «Изменить дополнительные параметры общего доступа». Там нужно включить сетевое обнаружение, а также доступ к файлам и принтерам.
- Не забываем включить доступ к ПК и отключить защиту паролем.
Теперь наступает важный этап работы: настроить сетевое обнаружение и общий доступ к файлам
Важно убедиться, чтобы у всех компьютеров были правильные IP-адреса. Обычно система автоматически настраивает данный параметр, но если при работе LAN появятся сбои, то нужно будет указать адреса вручную. Проверить IP можно с помощью «настроек параметров адаптера». Заходим в «Центр управления сетями и общим доступом» и оттуда нажимаем «Изменение параметров адаптера».
Нажимаем ПКМ по подключению и открываем свойства. Дальше открываем свойства IP версии 4 TCP / IPv4 (может иметь название «протокол Интернета версии 4»). IP-адрес — то, что нам нужно. Смотрим, чтобы у первого компьютера был адрес, отличный от второго. Например, для первого будет 192.168.0.100, 192.168.0.101 у второго, 192.168.0.102 у третьего и т.д. Для каждого последующего подключенного компьютера меняем последнюю цифру адреса. Стоит учесть, что у разных роутеров могут быть разные, отличные от указанных IP-адреса. На этом этапе локальная сеть уже готова и функционирует.
Заходим в раздел «Сеть» проводника. Если все подключено правильно, то мы увидим подключенные к сети устройства. Если же нет, то Windows предложит нам настроить сетевое обнаружение. Нажмите на уведомление и выберите пункт «Включить сетевое обнаружение и доступ к файлам». Стоит учесть, что брадмауэр может помешать работе LAN, и при проблемах с работой сети надо проверить параметры брадмауэра. Теперь надо только включить нужные папки и файлы для общего доступа.
Как открыть доступ к папкам?
Нажимаем ПКМ по нужной папке и заходим во вкладку «Доступ». Нажимаем «Общий доступ» и настраиваем разрешения. Для домашней локальной сети легче всего выбрать вариант «Все». Выбираем уровень доступа для остальных участников «чтение или чтение + запись».
Теперь из свойств папки заходим во вкладку безопасности. Нажимаем «Изменить» и «Добавить». Выбираем «Все» и активируем изменения. В списке разрешений для папки должна находиться группа «Все». Если нужно открыть доступ не к отдельной папке, а всему локальному диску, то нужно зайти в свойства диска, нажать «Расширенная настройка» и поставить галочку в поле «Открыть общий доступ». Командой «localhost» можно посмотреть, какие папки данного компьютера имеют общий доступ для локальной сети. Чтобы просмотреть файлы из общих папок нужно в проводнике найти раздел «Сеть» и открыть папку нужного компьютера.
Как подключить принтер в локальную сеть
В «Устройствах и принтерах» нужно выбрать принтер и нажав ПКМ перейти в свойства принтера. Во вкладке «Доступ» нажать на галочку «Общий доступ». Принтер должен отображаться иконкой, показывающей, что устройство успешно подключено к LAN.
Если нужно закрыть доступ к папке, то в свойствах надо найти пункт «Сделать недоступными». Если же нужно отключить весь компьютер от LAN, то легче всего изменить рабочую группу ПК.
Администрирование и создание локальных сетей с помощью программ
Бывают ситуации, когда необходимо сделать локальную сеть, но это физически невозможно. На помощь приходит программное обеспечение, позволяющее создавать виртуальные локальные сети. Существуют разные программы для создания администрирования локальных сетей. Расскажем о паре из них:
RAdmin
Очень удобное приложение, позволяющее работать с локальной сетью или VPN в пару кликов. Основные функции программы это: удаленное управление компьютером с просмотром удаленного рабочего стола, передача файлов. Также программа может помочь геймерам, играющим по локальной сети.
Hamachi
Пожалуй, самая популярная программа в данной категории. Может создавать виртуальные локальные сети с собственным сервером. Позволяет переписываться, передавать файлы и играть в игры по сети. Также имеет клиент для Android.
Современные домашние ПК и почти все мобильные устройства имеют возможность выходить в сеть, будь то локальная или всемирная (Интернет). Мы расскажем, как достаточно просто организовать дома локальную сеть и с ее помощью обмениваться фотками и даже печатать их на сетевом принтере.
Домашняя локальная сеть: с проводами и без
Для организации домашней сети с более чем 3 устройствами, одно должно быть настольным ПК, а два других могут быть такими же настольными, либо портативными, например, ноутбук и планшет или смартфон.
В настоящее время в домашних решениях мало кто для организации сети создает отдельный сервер, подключенный к Интернету и через свитч осуществляющий доступ в локальную сеть и Интернет. Самым оптимальным решением является обычный Wi-Fi роутер c 4 и более LAN-портами, и одним и более USB портом для подключения внешних жестких дисков.
В общем-то, в настройках роутера уже имеется все для организации локальной домашней сети. Но эта сеть будет односторонней, в которой устройства не будут иметь доступ друг к другу, а значит — не смогут обмениваться файлами. Организация доступа — это как раз то, что нам предстоит настроить.
Организация рабочей группы
Для того, чтобы все компьютеры в локальной сети видели друг друга, нужно задать им одинаковые имена для параметра «Рабочая группа». Для этого в Windows 10 нужно в меню Пуск набрать слово «Система», кликнуть по результату (Система – Панель управления) и в открывшемся окне нажать справа на ссылку «Изменить параметры».
В следующем окне нажмите на кнопку «Изменить» и задайте имя вашей сетевой рабочей группы. Оно должно быть набрано английскими буквами. Имя вашего устройства должно быть уникальным, чтобы его можно было идентифицировать в локальной сети. После применения изменений придется перезагрузить компьютер, чтобы новые настройки вступили в силу.
Затем необходимо настроить, собственно, сам доступ. Для этого откройте Панель управления, кликните по разделу «Сеть и Интернет» и перейдите в «Центр управления сетями и общим доступом». Здесь в левой части нажмите на «Изменить дополнительные параметры общего доступа».
Здесь необходимо активировать обнаружение самого компьютера и подключенных к нему принтеров для домашней (частной) сети, после чего нажать на кнопку «Сохранить изменения».
Задаем IP-адреса в локальной сети
В целом домашняя локальная сеть уже должна работать, и все подключенные у ней устройства должны обнаруживаться. Но пока они не получили динамические адреса (назначаемые системой автоматически), это не позволит вам использовать ярлыки быстрого доступа к папкам устройств, т.к. они каждый раз будут получать от системы другой адрес. Избежать этого позволит назначение каждому устройству статического IP-адреса. Это можно сделать в настройках роутера для мобильных устройств, подключенных по Wi-Fi или в Windows ПК, подключенного по витой паре.
В первую очередь нужно узнать IP-адрес нашего роутера, который обычно напечатан на наклейке в нижней части устройства. Как правило, это 192.168.0.1 или 192.168.1.1. Последняя цифра (1) указывает на порядковый номер устройства в сети и может изменяться в диапазонах от 0 до 255. Учитывая, что 0 и 1 уже зарезервированы роутером, можно использовать цифры от 2 до 255.
Чтобы назначить ПК IP-адрес в локальной сети перейдите в «Панель управления – Центр управления сетями и общим доступом – Изменение параметров адаптера» (вторая строка в левом меню). Найдите в открывшемся списке сетей ту, к которой подключен ваш ПК и через правую кнопку мыши откройте «Свойства».
Здесь нужно перейти к пункту «IP версии 4 (TCP/IPv4)» и вызвать его свойства. Именно в этом окне нужно будет задать вручную статический IP-адрес вашего компьютера и шлюза.
Для этого переключите чекбокс на «Использовать следующий IP-адрес» и укажите цифры адреса и шлюза (начните снизу вверх):
- Основной шлюз. Сюда вписывается IP-адрес маршрутизатора;
- Маска подсети. Обычно указана там же, где и адрес роутера. Чаще всего имеет значение 255.255.255.0 или 255.255.0.0;
- IP-адрес. Сюда пишем желаемый адрес нашего компьютера, который будет отличаться от адреса роутера последней цифрой.
В настройках DNS-серверов также выберите опцию «Использовать следующие адреса DNS-серверов» и в качестве предпочитаемого DNS-сервера укажите IP-адрес роутера. Альтернативный DNS указывать не обязательно. Нажмите ОК и повторите процедуру для всех других Windows-устройств в вашей локальной сети, изменяя последнюю цифру на 1 больше. Потребуется перезагрузка.
После этого все устройства будут видны в сети, и их ресурсы будут доступны для каждого из ПК, при этом вы сможете обмениваться файлами, например, через общую папку или подключенный к роутеру внешний диск. Также можно будет зарегистрировать в качестве общего сетевой принтер, подключенный по USB к одному из компьютеров в сети и в дальнейшем выполнять на нем печать (при условии, что этот ПК будет включен).
Читайте также:
- Идеальная планировка домашней сети: подключаем все устройства и расширяем диапазон Wi-Fi
Фото: компании-производители
Мудрость Бертрама Гилфойла
«Соник Уолл Соник Пойнт Эй-Си-И» вместе с «Ти-Зи 600» — самый передовой фаерволл, встроенная защита от атак, дешифратор SSL, анализатор управления приложениями и фильтрация контента.
Динеш, единственная польза от твоих жалких и вульгарных телодвижений в постели с кибертеррористкой, это то, что я наконец-то занялся нашей защитой.
Как говорит технический директор Qrator Labs Артём ximaera Гавриченков, DDoS-mitigation начинается там, где заканчиваются силы и время одного хорошего системного администратора.
В день системного администратора, который в Qrator Labs считают профессиональным праздником даже больше, чем день программиста, мы задумались — о чём таком можно было б рассказать на Хабре, с чем точно сталкивался каждый?..
Решение было найдено быстро, ведь есть такое место, где каждый человек может побыть системным администратором в любой удобный, а порой и неудачно-вынужденный, момент времени — дома.
Домашние сети — это объект гордости и особого, крайне тщательного, планирования. Если на работе мы часто хотим «побыстрее и подешевле», то дома не может быть никаких компромиссов — только самое лучшее и надежное.
Составив список из 10 вопросов, мы попросили всех коллег, потративших время хотя бы чуть большее, чем то, что требуется на распаковку роутера из коробки, отозваться и поделиться собственными историями. Насколько интересно получилось — судить вам. Мы также попросили ответить на вопросы системного администратора Хабрахабра Вадима Pas Рыбалко и сотрудника бара «Get Jerry» Александра Shoohurt Савицкого.
В комментариях мы предлагаем каждому желающему ответить на те же самые 10 вопросов — посмотрим, насколько тщательно вы относитесь к работе домашней сети, и есть ли что-то, отличающее её от сети соседа.
Внимание! Мнение сотрудников компании может не совпадать с корпоративной позицией руководства компании.
1. Сколько устройств в вашей домашней сети?
Сергей Ткачук, Qrator: 8: Десктоп, ноутбук, три смартфона, портативные консоли. Иногда добавляется электронная книга.
Алексей Старков, Qrator: Около 5.
Илья forefinger Урвачев, Qrator: Общее кол-во: 18. Из них: носимые устройства (6): 4 телефона, 2 планшета носимые ноутбуки: 2; стационарный ноутбук: 1; мультимедиа: 2 SmartTV + 1 видеорегистратор (домашнее видеонаблюдение); сетевые устройства: 2 mikroTik-a (wifi + switch); периферия: 1 сетевое МФУ + 1 телефон (a510 ip). Серверная группировка(2): border router (intel d510), multipurpose server (xeon E3-1230) — оба gentoo linux.
Андрей serenheit Лескин, Qrator: Где живу сейчас, и куда еще не все свои железки перевез, около 10.
Дмитрий Шемонаев, Qrator: Пока их 8: межсетевой экран Juniper SRX100H, точка доступа TP-Link, сервер Fujitsu, сервер Supermicro, коммутатор D-Link DES-3200, проба RIPE Atlas, ноутбук, iPhone.
Сергей Куценко, Qrator: ~8-10.
Алексей Березин, Qrator: Пять — роутер, десктоп (win10), MB Air, iPhone 5, китайский смартфон-андроид.
Вадим Рыбалко, Хабрахабр: В целом, плюс-минус постоянно два-три, иногда четыре ноутбука, где-то столько же смартфонов, несколько планшетов, AppleTV, потенциально сетевые медиаплееры либо игровая консоль. Это не считая «специализированных устройств». Плюс-минус обычная история.
Александр Савицкий, Get Jerry: В моей домашней сети около 25 устройств, из которых примерно 20 подключены постоянно.
2. Помимо полноценных десктопов и ноутбуков — какая периферия наличествует (NAS, «умные» устройства — именно подключаемая техника)?
Сергей Ткачук: Консоли и дополнительное ПО на роутере (Entware). В качестве NAS пока использую десктоп.
Алексей Старков: В роутере есть USB для подключения накопителей, но я им не пользуюсь.
Андрей Лескин: Там, где я живу сейчас — 2. Весы с аплоадом в облако и Chromecast, PlayStation, PS Vita.
Там, где я жил раньше: Все то же самое, за исключением того, что добавляется домашняя файлопомойка, где киносериалымузыкасторадж для облачного файлохранения и чего только фантазия не пожелает, подключенная напрямую к телеку.
Наконец, на даче, где была возможность продумать всё и сразу: Меньше периферии, но есть Raspberry Pi, который выступает температурным демоном и если что, верещит в почту, если в доме стало сильно холодно.
Дмитрий Шемонаев: Такого пока нет, но если появится телевизор, то он обязательно будет с Ethernet.
Сергей Куценко: Телефоны + роутер выступает в роли NAS+torrent, chromeCast.
Алексей Березин: Никакой. Не ощущаю в ней какой-то необходимости. Интернеты в
телевизоре — это что-то странное.
Вадим Рыбалко: Один двухдисковый NAS, один мини-сервер на базе тонкого клиента (по сути, полноценный компьютер), беспроводной принтер. Потенциально, пара IP-камер. Устройства «умного дома» что-то пока внимание сильно не привлекают, в силу на сегодняшний день тотальной кривости и взаимной несовместимости.
Александр Савицкий: В этот пул, помимо ноутбуков и смартфонов, входят несколько телевизоров, NAS, пара игровых консолей, пара телеприставок Apple TV и МФУ — ничего специфического.
3. Что для вас важно в ключе создания домашней сети, каковы основные требования?
Сергей Ткачук: Стабильность работы, надёжность канала (в плане потерь), полоса. Домашнюю идиллию слегка подгаживает сетевая карта Intel 7260 на ноутбуке, дико теряющая пакеты при использовании канала в 40MHz.
Алексей Старков: Удобство подключения из разных комнат, т.е. покрытие. Самих устройств малое количество, интенсивность низка, поэтому настройка не очень критична.
Илья Урвачев: Стабильный wifi, который не надо перезагружать и/или мучаться, а только настроить и забыть, возможность иметь минимальный latency в местах где может быть установлен ПК (игры, да), мультимедиа никогда не должно заикаться и фризиться, возможность подключения удаленных «офисов» (родительская квартира, дача), сделать самому и как для себя любимого (теперь нет /(d|tp)link/-ков).
Андрей Лескин: Чтобы работало и не тупило, кино можно было посмотреть с любого устройства в любом месте (иногда проблемы с FullHD и воздухом), особенно при зашумленном эфире.
Дмитрий Шемонаев: Для меня важна возможность сегментировать сеть, поэтому дома есть 3 vlan: HOME, MANAGEMENT, LAB. В состав HOME входят домашний ноутбук, айфон и пробник атласа. В MANAGEMENT входят все интерфейсы управления (свитч, IPMI, интерфейсы управления виртуальными роутерами). В LAB всякое остальное.
Сергей Куценко: 5ГГц диапазон wi-fi an/ac; WPA2; QOS; upnp.
Алексей Березин: Производительность, простота, стабильность работы. KISS же!
Вадим Рыбалко: Производительность беспроводного сегмента не так важна, как надёжность, ибо в многоквартирном доме много интерференций. Важно покрытие беспроводной сетью без «слепых зон», наличие более-менее стабильного доступа в интернет.
Александр Савицкий: Ввиду довольно большого количества устройств при создании домашней сети главным требованием для меня была способность роутера обслуживать весь этот зоопарк. Второе требование — возможность работы в сети беспроводных устройств на всей территории дома без потери качества сигнала. Третье — масштабируемость.
4. Каковы номинальные (тариф оператора) и реальные параметры подключения (скриншот измерителя скорости типа speedtest)?
Сергей Ткачук: Тариф оператора — 100M, по факту скорость не особо отличается:
Алексей Старков: Номинальный 100 Мбит/с, реально:
Илья Урвачев: 100Mbps FD — меня устраивает (если не ошибаюсь — этот тест на wifi запускался).
Андрей Лескин: Там, где я сейчас: Боль и страдание. ADSL 20/2 с отключением в полночь, speedtest показывает это же.
Там, где я был до этого: 100/100 полноценный. Если цепляться проводом к роутеру то достигало нужных значений. По воздуху — не всегда.
На даче: У всех по-разному, интернет обеспечивается свистками от мобильных операторов, зависит от погодыуровня сигналаудаленности вышки.
Дмитрий Шемонаев: 50 мегабит от Билайна и статический IP адрес. Скорость скорее соответствует тарифу.
Сергей Куценко: Безлимитный тариф от 50Мбит.
Алексей Березин: Скриншотов не будет, тариф 100МБит анлим. Работает на 100МБит анлим. Все хорошо, такой скорости хватает, оператор (2КОМ) ломается нечасто, стоит недорого.
Вадим Рыбалко: Тариф ISP 50 Мбит/с в обе стороны плюс статический публичный адрес. Реальные измерения более-менее совпадают с заявленными.
Александр Савицкий: Мой тариф подразумевает 100-мегабитное подключение, и надо отметить, что провайдер чаще всего честно отдает мне ровно сотню. Конечно, иногда, во время пиковой нагрузки, скорость может падать до 70-75% от номинальной, но это не проблема.
5. Что в вашем окружении с забитостью частот и как вы решаете данную проблему на уровне организации Wi-Fi сети?
Сергей Ткачук: В зоне 5GHz всё идеально — никого поблизости нет. В 2.4 чуть похуже, но 6-ой канал на удивление чист. С установкой роутера особо не заморачивался — лежит под «рабочим» столом, сигнала в 80% мощности антенны хватает на всю квартиру.
Алексей Старков: Прибавляю мощность. На самом деле в дальних от роутера комнатах довольно плохо, а так время от времени переключаю канал на посвободнее. Ловится около десятка разных сетей.
Илья Урвачев: Тут прям удивительный момент возникает — вокруг огромное количество сетей, но только в общем коридоре, внутри же — видны только своя и соседскую сеть. Думаю, основная причина заключается в том, что дом — монолитный и стены и перекрытия хорошо справляются с экранированием.
Андрей Лескин: Эфир на 2 ГГц забит до отказа везде, поэтому двойная AP на 2,4 и 5 ГГц. 5 ГГц эфир свободный совсем. А на даче помимо меня интернет есть только у соседа.
Дмитрий Шемонаев: Все плохо, поэтому ноутбук подключен проводом.
Сергей Куценко: *опа. ~ 40 точек доступа в видимости wi-fi; после неудачных попыток смены каналов в диапазоне 2.4 перетаскиваю все девайсы в 5ГГц диапазон.
Алексей Березин: Как и в любом многоквартирном доме из картона (панельный дом) — с утилизацией частот все плохо. В основном благодаря сидорам из рт/мгтс, ставящих бабушкам на замену телевизора и телефона новомодную цифру в виде GPON, который внезапно оказывается с включенным вай-фаем и и свистит на 200 метров вокруг. По делу — не использую диапазон 2.4ГГц совсем. 5ГГц гораздо быстрее затухает с расстоянием от источника и хуже проникает через препятствия типа стен, больше каналов в эфире — можно подобрать пустой достаточной ширины. В этом диапазоне все еще можно получить устойчивую связность на модном нынче 802.11ac. Дальше, подозреваю, и в 5ГГц будет набег дэбилов с выкрученной мощой передатчиков «шоб в моей ласточке во дворе был инторнет».
Вадим Рыбалко: Диапазон 2.4 ГГц утилизирован достаточно сильно, особенно вечерами. Надеятся на него не стоит. Диапазон 5 ГГц практически пуст, этим и пользуемся.
Александр Савицкий: В моем окружении частоты забиты неравномерно и не очень сильно: вокруг меня примерно 6-7 соседских точек Wi-Fi и все они скучкованы вокруг частот, устанавливаемых роутерами по умолчанию. 5-гигагерцевый диапазон ожидаемо практически не используется.
6. Опишите «сетап домашний»: используемые устройства, особенности настройки LAN/WAN
Сергей Ткачук: Провайдер работает с PPPoE по FTTB, от коммутатора провайдера до роутера в квартире идёт двупарная медь. На самом роутере всё скучно: DHCP с плоской адресацией (с привязкой по MAC для «своих» девайсов — все остальные получают адреса из пула «в конце» домашней /24), Dynamic DNS, иногда IPv6-туннель от Hurricane Electric.
Алексей Старков: Сетап из коробки. Роутер через pppoe связан с циской провайдера в коридоре, от него идет WiFi, конфигурация через DHCP.
Илья Урвачев: Провайдер -> d510 -> MTik switch — ядро сети, а дальше собираем в свич wifi-ap и всё остальное. Особенностей каких-то специфических пожалуй что и нету, всё есть в манах и на stackoverflow.
Тут можно было бы рассказать много боли про l2tp (и kernel support patches), но слава богу beeline от него отказывается.
Тут можно было бы рассказать много боли про всякие dlink/tp-link (конкретно те экземпляры что достались мне) которые не могут жить без регулярных ребутов или «выходят» из сети если вдруг ктото решит что-то большое скачать по локальной wifi, но теперь есть MirkoTik который этим не страдает.
Тут можно было бы написать что писать правила для iptables с NAT’он — трудно, но трудно это делается по большому счету только первый раз.
Андрей Лескин: Два ноутбука, два телефона, пара планшетов, +- железки на поизучать, chromecast, консоли. Стараюсь сделать максимально просто все: 192.168.X.0/24 с DHCP. В отдельных случаях делается static IP для конкретных железок.
Дмитрий Шемонаев: В МСЭ приходит провод от провайдера, к нему же подключен коммутатор, куда подключены все остальные устройства.
Сергей Куценко: Провайдерский роутер: 2-х диапазонный wi-fi/ac по проводу к нему подключен другой роутер (используется как NAS+torrent), все остальные девайсы подключены по wifi предпочтительно к 5ГГц.
Включен upnp для проброса портов torrent; настроен QOS приоритизируя http трафик; иногда повышая приоритет для определенных mac-адресов; иногда включаю фильтр по mac; к роутеру подключен стационарный телефон по проводу; по LAN подключена TV-приставка.
Алексей Березин: Про WAN — провайдер почти адекват. Лочит по MAC, но хоть чистый белый DHCP, без всякого PPP-жупела.
С LAN немного интереснее. До недавнего времени в качестве роутера был какой-то простецкий TP-Link — поэтому и LAN был прост. Плоская адресация на все устройства, проброс порта для RDP, применение DynDNS от no-ip.com.
Теперь, после замены роутера на Mikrotik hAP ac, появилась возможность сегментирования сети (деление по vlan для провода/беспровода, выделение виртуалочек, живущих на стационарном компе, в отдельный vlan — все со своей адресацией). Плюшки про DynDNS и и проброс портов остались. Это пока только начало, дальше буду делать всякие разные приколы с авторизациями (в основном — беспровод, EAP/TLS, не-openvpn точка входа в домашнюю сеть, возможно поддержка IPv6, баловство c VRF etc).
Вадим Рыбалко: Так как основная сфера работы — возня с Цисками и серверами, коробки а-ля «всё в одном» не совсем устраивали. В первую очередь из-за того, что нужно было роутер размещать в географическом центре квартиры. Пробовал несколько, ни одна не удовлетворила потребности и практически со всеми были нарекания к стабильности работы. В предыдущем сетапе был маршрутизатор Cisco 871 и несколько точек доступа 3COM, но они морально устарели по характеристикам производительности (но не по функционалу). В актуальном сетапе я обратил внимание на серию Unifi от Ubuquiti — это оказалось практически идеально для меня. Центром является управляемый 8-портовый (на самом деле портов 10) коммутатор Unifi. Он имеет PoE почти по всем портам. К нему подключены маршрутизатор USG, две точки доступа стандарта AC и всё остальное сетевое железо. К нему же подключён контроллер Unifi в виде небольшого устройства Unifi Cloud Key. Всё, что может питаться по PoE, питается по PoE. На балконе планируется установить уличную точку доступа с небольшой секторальной антенной для покрытия сетью части парка, где планируется проводить много времени. Но это больше fun. Открывать её для гостей не планируется в свете последних законодательных инициатив.
Александр Савицкий: Моя домашняя сеть устроена довольно просто: поскольку в дом заходит не витая пара, а оптический кабель, на входе установлен конвертер, за ним — маршрутизатор, к нему подключен неуправляемый свитч (для нескольких проводных устройств) и точка доступа Wi-Fi. К ней, помимо всех беспроводных устройств, прицеплен рипитер, к которому подключено одно проводное устройство.
Каких-то специфических настроен не делал: и маршрутизатор, и точка Wi-Fi работают на настройках, мало отличающихся от базовых.
7. Какое количество провайдеров обеспечивают доступность из вашей домашней сети, если более одного. Зачем?
Сергей Ткачук: Полтора. В случае войны или отключения электричества достаю смартфон с Yota и раздаю интернет с него на ноутбук.
Алексей Старков: Один.
Илья Урвачев: 2,5 провайдера: beeline (основной) + net-by-net (резерв, почти не используется и не оплачивается) + постоянно меня дергает МГТС со своим gpon — может быть додергают когда-нибудь.
Андрей Лескин: Там, где я сейчас — один единственный. На даче: основные мобильные операторы с интернетом. 3 штуки, что ли. Меняются по мере необходимости. Yota режет VPN, нужно подключать другой. У Beeline лимит трафика, но хорошая полоса. Megafon полоса похуже, лимитов побольше. В зависимости от потребности выбирается инструмент. Последнее время используется только билайн.
Дмитрий Шемонаев: Пока один, есть резерв в виде раздачи интернета через телефон.
Сергей Куценко: Один провайдер, в случае отключения использую Yota.
Алексей Березин: Базовый — один. Всегда есть emergency в виде интернета от ОпСоС’а.
Вадим Рыбалко: Один провайдер. Практически ни один домашний роутер не может организовать нормальный dual WAN (хотя многие имеют такую возможность). Редко когда отваливается «последняя миля», иногда просадки где-то на сети оператора или его стыках. Если не будет интернета некоторое время — не катастрофа, если чего, можно принудительно переключить трафик на LTE-маршрутизатор.
Александр Савицкий: Я пользуюсь услугами одного провайдера, хватает с лихвой.
8. Безопасность — каковы ваши основные подходы к защите устройств от компрометации или несанкционированного доступа?
Сергей Ткачук: Iptables, свежее ПО, разумные настройки софта. На ноутбуке и телефоне всё шифруется, а на десктопе важной информации нет — это машина для развлечений.
Алексей Старков: Апдейты прошивки, доступ по ssh к роутеру закрыт со стороны интернета, WPA2 для WiFi, в общем то и все.
Илья Урвачев: Со стороны провайдеров и интернетов: border с нормальным linux + iptables. Со стороны wifi: wpa2 без wps, отдельная гостевая сеть с wpa2, отдельная гостевая-гостевая сеть для соседей. Для внутренних устройств: только ipv4 и только NAT сами внутренние устройства win: только пользовательские учетки, урезанные права и прочее угнетение сами внутренние устройства: в интернет ходить могут только те устройства, которым туда надо (например принтеру или видеорегистратору в интернете делать нечего).
Андрей Лескин: Шифрованный диск, потереть ключи через 2 часа неиспользования.
— Setup FileVault2;
— Disable Fast User Switching (REVERT IT);
— Setup Firmware Password;
— sudo pmset -a destroyfvkeyonstandby 1;
— sudo pmset -a standbydelay 3600;
+ encrypted backups.
Дмитрий Шемонаев: На МСЭ снаружи открыт только ssh на сам роутер. Внешние соединения на внешний IP сбрасываются.
Сергей Куценко: WPA2 / шифрованные разделы на дисках для критичных данных.
Алексей Березин: Как у ГД. Закрыть и не пущать. Лучшая защита от компрометации — лишение возможности компрометации. Ну то есть как минимум надо обламывать все неинициированное изнутри. Ну и слава РКН и МНУ — не позволяют ходить на компрометированные URL.
Вадим Рыбалко: Снаружи всё прикрыто, кроме проброшенного порта SSH на сервер. Есть uPNP, открывающий порты приложениям, здесь удобство победило паранойю. Изнутри в интернет можно ходить без ограничений, на беспроводной сети WPA2-PSK с AES. На Unifi Cloud Key и NAS можно попасть из вне при помощи фирменных облачных сервисов.
Александр Савицкий: Я ограничивал доступ к админкам маршрутизатора и точки доступа не только сложным паролем, но и белым списком. Сама сеть Wi-Fi разделена на две: основную, доступ к которой есть только у белого списка, и гостевую с авторизацией по паролю.
9. Физическая инфраструктура: сверлили ли дырки, прятали ли провода под плинтуса и т.д. Насколько далеко вы готовы зайти в вопросе организации домашней сети: кинуть провод или затеять ремонт? Необходима аргументация.
Сергей Ткачук: Живу в съёмной квартире, поэтому мой максимум — прятать кабель в плинтус, что я и сделал. Теперь видно лишь два кусочка кабеля — от точки ввода в квартиру (на уровне щиколотки) вниз до плинтуса, и от плинтуса до роутера (спрятал за корпусом десктопа, поэтому его не видно).
Когда появится своя квартира — буду очень долго городить свою идеальную схему.
Алексей Старков: Смешная история — ремонтники завели в квартиру 3 параллельных кабеля, по одному в каждую комнату, естественно три порта в циске никто не собирался мне давать. Розетки специальные есть везде, но работает только одна — в ней роутер. К ремонту не готов, думаю повесить роутер на улице. Аргументация — ремонт только закончили, а стабильная сеть нужна мне только на работе, остально время могу потерпеть.
Илья Урвачев: Коротко — уже. Длиннее:
0) Никаких полумер — только хардкор;
1) Варианты типа валяющейся витой пары или запихивание её под плинтус — неприемлемы от слова совсем;
2) Квартира недавно пережила второй за 3 года капитальный ремонт (отдельная тема для разговора — как без бюджета самостоятельно сделать капитальный ремонт) — при каждом из них для конечных стационарных устройств (ПК/ТВ/etc) провода укладывалить в гофре в стены, вводы провайдеров передвигались;
3) Ядро сети (сервера и роутеры) разполагаются специально для этого созданной антресоли — goo.gl/photos/WbdvqrnkYeaRtW2U8, к слову — вот так делалась электрика goo.gl/photos/Z9mTV1AZTrGUiGFT7 (на двушку);
4) Обеспечения устройств на балконе (smartTV и может быть еще что-то) — прокидывать на балкон витую пару.
Андрей Лескин: Там, где я живу сейчас съемная квартира, живем без этого. Там, где я жил раньше также была съемная квартира, приходилось для NAS откопать старый роутер, который работал в режиме «беспроводной сетевой карты». То есть от NAS к нему провод, далее по воздуху до основной точки входа. А на даче на этапе прокладки электричества при строительстве также развел в каждую комнату по сетевой розетке. В мыслях сделать роуминг-сеть.
Дмитрий Шемонаев: По этому поводу не заморачивался пока, но если инфраструктура будет расти, то скорее всего она переедет в какое-то маленькое отдельное помещение, чтобы не шумела.
Сергей Куценко: Всё что не жрет полосу подключается по wifi, по проводу по возможности близко к роутеру. Исключение только TV приставка к которой по плинтусу протянута витая пара в другую комнату.
Алексей Березин: Живу на съемной квартире. Можно усверлиться, но лень и как-то незачем. Все в плинтусах, где можно. В своей ква (если появится когда-то) будет ремонт с учетом слаботочки — люблю порядок таки.
Вадим Рыбалко: В текущем сетапе сеть собрана в шкафу (временное жильё и делать много дырок не стоит). В новой квартире на стадии ремонта скрытно проложено много сетевого кабеля с запасом, для точек доступа подведён Ethernet к выводам потолочных люстр в двух помещениях. Узел связи располагается в коридоре под потолком на отдельной полке.
Александр Савицкий: Да, при организации домашней сети пришлось просверлить пару дырок и проложить кабели по коробам. Но поскольку большинство устройств в сети — беспроводные, проблема с проводами решилась малой кровью. Впрочем, если бы мне пришлось раскидывать кабели по всему жилищу, я бы сделал это при помощи оставленных еще на стадии строительства закладных в стенах и внешних коробов, так как все-таки хочется, чтобы провода не портили интерьер.
10. Чем отличается ваша домашней сеть от домашней сети соседа и почему она лучше?
Сергей Ткачук: Тем, что роутер настроен чуточку умнее, чем у соседа, а кабель аккуратно спрятан. Кроме того, роутер основан на крутом чипе и умеет Entware — меня есть «задел на будущее», если вдруг обзаведусь каналом шире, чем 100M, да и могу крутить почти любой линуксовый софт (сейчас на нём живёт личный сайт).
Алексей Старков: У меня специальные розетки в стенах, ну. А так не сильно лучше, сделано по принципу «достал из коробки — работает — не трогай».
Илья Урвачев:
— Мало кто будет дома использовать роутер x86_64 (ну да atom) на linux и упарываться всякими l2tp и засовываением его в ядро (так как лопатить трафик userspace — накладно и бессмысленно) (отдельный пример beeline);
— Мало кто будет дома делать закрытую гостевую сеть + wifi-hotspot для соседей;
— Мало кто будет дружить torrent + dlna + smarttv и обмазывать это автоматизацией;
— Мало кто будет будет ставить на балкон отдельную точку доступа (витая пара есть);
— Мало кто будет заморачиваться дома с asterisk;
— Мало кто будет обмазывать motion (который motion-project.github.io) своим web-gui (и пожалуй никто не будет его делать на html+js+nginx+ssi и чуточку на bash);
— Мало кто будет делать самостоятельно multiroom-multimedia (правда и я тоже бросил не закончив);
— Мало кто будет запиливать zabbix;
— Мало кто будет локальный gentoo mirror;
— Мало кто будет объяснять samsung мфу что надо сканы в папочки по датам на smb шаре раскладывать;
— Мало кто будет брать под торренты/файлохранилища/etc только WD-Black, а я, попробовав — настоятельно рекомендую.
Андрей Лескин: Там, где я сейчас все берут провайдерские железки, которые практически всегда Китай, который не очень хорошо работает. Выбираю адекватные железки под задачи. Очень полюбил микротики, но они не умеют в ADSL, поэтому пришлось взять Asus (в стоковой прошивке уныл, но есть прошивка энтузиастов, Tomato и прочее). Tomato даже когда-то патчил, когда к старому роутеру подключал терабайтный хард.
Там, где я жил раньше Mikrotik! Они сложнее в освоении, но, единожды настроив (понимая, что к чему), кладешь их на полку на года и забываешь. Он просто работает.
На даче я — Д’Артаньян.
Дмитрий Шемонаев: Я к соседям не заглядывал, поэтому не знаю.
Сергей Куценко: Не думаю что есть какие-то особенные отличия.
Алексей Березин: Как только вломлюсь к соседу — узнаю. Это будет второй вопрос
после «Какого хрена куришь на горшке какое-то говно?!».
Вадим Рыбалко: Наличием 5 ГГц — к счастью, попсовые роутеры не вещают в этом диапазоне (хотя с приходом в массы AC всё может измениться). При этом с точки зрения масштабируемости топология сети больше походит на сеть небольшого предприятия, чем домашнюю. Лучше охват беспроводной сети за счёт нескольких точек прямо по центру помещений под потолком.
Александр Савицкий: Моя домашняя сеть отличается от соседских тем, что в моей обслуживается в разы больше устройств, причем это обеспечивается не одним беспроводным роутером, а связкой «маршрутизатор+свитч+точка WiFi». Трудно сказать, чем она лучше, но точно знаю, что уровень безопасности соседских сетей значительно ниже моей.
Всех причастных — с праздником! Если у вас есть непростая история создания и администрирования домашней сети, занимающая отдельное место в вашем сердце — поделитесь ею в комментариях.
В конференции часто возникают вопросы о настройке сетевых накопителей и соединении нескольких устройств для совместной работы. Однако информация для начинающих редко приводится в статьях. Этой серией материалов мы решили восполнить пробел и помочь пользователям эффективно и удобно настроить свое оборудование. Он не претендует на исключительную полноту и глубину, но, надеемся, будет полезен широкому кругу пользователей.
Итак, у вас уже есть компьютер или ноутбук, но вы решили, что этого мало и пора бы обзавестись еще несколькими интересными устройствами – беспроводным роутером, сетевым накопителем, медиаплеером, IP-камерой. Идея конечно неплохая, но если вы до этого работали только с одним ПК, прочтение многочисленных инструкций займет немало времени. Да и оно может потребовать наличия определенной подготовки. Но на самом деле не все так страшно. Многие устройства имеют встроенных «помощников» для быстрой настройки, а сетевые параметры часто устанавливаются автоматически.
Общая схема
Начнем, пожалуй, с описания участников и некоторых общих терминов. Первую иллюстрацию мы взяли из описания ZyXEL NBG460. Тут можно найти ПК, сетевой накопитель и принтер, ноутбук, приставку IPTV и смартфон. Не хватает только игровой консоли и медиаплеера.
Именно роутер (также часто называемый маршрутизатором) обеспечивает соединение всех устройств в единую домашнюю локальную сеть и обеспечение ее подключения к интернету. Варианты подключения к интернету могут быть разные. Например через Ethernet («Интернет-Билайн», Net-by-Net и другие), через Wi-Fi или 3G/4G модем, по технологии ADSL через телефон («СТРИМ») или через кабельный модем («АКАДО»). Последние два варианта требуют специального модема. Он может быть выполнен в виде отдельного устройства с портом Ethernet на выходе или же встроен прямо в роутер. В этом случае последний часто имеет соответствующую приставку в названии.
Сам порт подключения «к Интернет» называется обычно «WAN» – от Wide area network. То есть для подключения к «большой» сети. А вот ПК, сетевой накопитель и другие проводные устройства находятся в локальном/домашнем сегменте сети и подключаются к портам «LAN» (Local area network). В зависимости от модели роутера их может быть разное число, чаще всего четыре.
Кроме проводных подключений по технологии Ethernet для объединения устройств могут использоваться HomePlug – сеть через стандартную электропроводку или Wi-Fi – знакомое всем беспроводное соединение (для обозначения этого сегмента сети обычно используется сочетание WLAN – Wireless LAN). Все они отличаются скоростью и другими возможностями.
| Технология | Особенности | Скорость |
| FastEthernet | Кабель (две пары), до 100 м | 100 Мбит/с |
| Gigabit Ethernet | Кабель (четыре пары), до 100 м | 1 Гбит/с |
| HomePlug* | Электропроводка, в пределах квартиры или офиса | До 200 Мбит/с |
| Wi-Fi 802.11g* | Радио, 2,4 ГГц, 150 м на открытом пространстве | 54 Мбит/с |
| Wi-Fi 802.11n* | Радио, 2,4 или 5 ГГц, 300 м на открытом пространстве | 150/300/450 Мбит/с |
| * для этих технологий дальность работы не гарантируется, поскольку существенно зависит от внешних факторов, а скорость указывается максимальная теоретическая, на практике она обычно в 2-3 раза меньше |
Отметим, что для увеличения числа проводных портов (в некоторых случаях стандартных четырех может и не хватить), необходимо использовать сетевые коммутаторы. Установив дополнительно одну модель на 8 портов, один из них вы подключаете к роутеру, а остальные семь остаются для подключения устройств. То есть общее число увеличивается на шесть, поскольку два порта требуются на соединение роутера и коммутатора. Коммутатор может быть как 100-мегабитным, так и гигабитным. Второй вариант можно использовать если у вас есть работающая сеть и устраивающий по скорости роутер с Fast Ethernet, а хочется обеспечить быструю связь настольного ПК и сетевого хранилища, не меняя роутер.
В целом сегодня если говорить про проводные порты, то конечно желательно максимально использовать гигабитные соединения (особенно если речь о проекте прокладки кабелей во время ремонта). Однако непосредственно на «скорость интернета» это не повлияет никак. Единственное, где более высокая скорость может быть оправдана – соединение по кабелю высокопроизводительных устройств (причем их должно быть именно больше одного), требующих быстрого обмена большими объемами информации.
Что касается беспроводной связи, то мы бы рекомендовали покупать сегодня роутеры с поддержкой технологии 802.11n, которая по сравнению с 802.11g показывает в 2-4 раза более высокие результаты в тестах производительности и обычно имеет лучшее покрытие.
Для провайдеров, работающих по PPPoE/PPTP/L2TP и имеющих развитую сеть собственных ресурсов будет полезной поддержка роутером одновременной работы в интернете и доступа в сеть провайдера.
Аналогичное замечание касается работы с IPTV – если это вам требуется, роутер должен ее поддерживать. Правда тут слишком много вариантов реализации сервиса и данный вопрос нужно уточнять для каждого конкретного провайдера отдельно.
Что касается общего сравнения производительности в разных режимах подключения, то в зависимости от модели и типа подключения пользователь может рассчитывать на скорости до 100 Мбит/с. В обзорах на сайте обычно приводятся цифры результатов тестов в разных режимах (не забываем, что с выходом новых прошивок они могут существенно изменяться).
На самом деле, более существенным вопросом при выборе роутера является его совместимость с конкретным провайдером. К сожалению, ответить на него тестами в лабораторных условиях невозможно. В этом случае рекомендуем обратиться к форумам и рекомендациям пользователей вашей сети, но наиболее удачным стоит признать покупку с условием проверки работоспособности в вашей конкретной квартире. Предлагаемый провайдером вариант маршрутизатора имеет в этом случае один несомненный плюс – если что-то не будет работать, то с этим будет разбираться сам провайдер. Но вот выбор устройств у них обычно меньше, сами модели менее «интересные», а стоимость выше.
Настройка роутера
В качестве примера мы используем модель интернет-центра ZyXEL NBG460N, подключаемую к провайдеру «Билайн Интернет». Перед настройкой любого устройства данного класса желательно проверить на сайте производителя наличие новой прошивки/микропрограммы. Второй важный момент – смена пароля администратора для доступа к роутеру.
Считаем, что собственно интернет у вас на нем уже настроен. Возможных конфигураций существует слишком много, и описывать их здесь не имеет смысла. Упомянем только основные вариантов:
- прямое подключение с постоянным или динамическим адресом (обычно требуется на роутере изменить MAC-адрес на внешнем интерфейсе или сообщить заводской провайдеру);
- подключение через PPPoE – требуется ввод имени и пароля;
- подключение по PPTP/L2TP – требуется указание адреса или имени сервера, имени и пароля пользователя.
В частности для оборудования ZyXEL самый простой способ настройки – запустить комплектную программу NetFriend, указать регион, название провайдера и данные аккаунта. Через несколько минут интернет у вас будет работать.
Какие следующие действия надо предпринять? Пожалуй, самым первым действием будет настройка безопасной беспроводной сети. По-умолчанию роутеры обычно имеют включенный радиоблок с открытой сетью. Это означает, что подключиться к ней сможет любой желающий и не только воспользоваться вашим каналом в интернет, но и, возможно, получить доступ к компьютерам.
Так что рекомендуем изменить имя сети на что-нибудь оригинальное и установить режим WPA2-PSK AES. Это наиболее безопасный вариант сегодня. А для оборудования 802.11n только он обеспечивает максимальную производительность. Использовать другие варианты следует только если какое-то ваше беспроводное оборудование его не поддерживает. Также не забываем, что WEP не может считаться сегодня безопасным и то, что пароль обязательно должен быть сложным – полтора десятка случайных символов. Возможные сложности с его вводом на мобильных устройствах компенсируются высоким уровнем безопасности сети. А для ноутбуков и ПК можно использовать технологию WPS для быстрого подключения – достаточно только нажать кнопку на роутере и на клиенте и через несколько секунд безопасная связь будет настроена.
Для повышения производительности 802.11n рекомендуется включить режим «40» (или «20/40») в настройках точки доступа, который означает работу на двух радиоканалах. Выбрать наиболее свободный канал можно с использованием программы inSSIDer, запускаемой на ПК с установленным беспроводным адаптером.
Обычно на роутере включен сервер DHCP. Он «раздает» настройки IP-адресов для всех подключившихся к нему устройств. Так что на них самих уже не нужно ничего специально указывать. Несмотря на то, что система работает автоматически, мы бы рекомендовали запрограммировать на роутере фиксированные соответствия MAC-IP для тех устройств, к которым впоследствии потребуется обращаться из интернет. Нужно это для того, чтобы их IP-адреса были постоянными и их можно было прописать в правила трансляции портов.
Чаще всего, диапазон адресов, который используется в домашней сети – 192.168.0.* или 192.168.1.*, где «*» – любое число от 1 (обычно у роутера) до 254. Проверить текущий адрес ПК с можно или в статусе сетевого подключения или набрав ipconfig в командной строке (для систем с Windows).
Напомним, что MAC-адрес – это физический/аппаратный идентификатор, который есть у любого сетевого устройства. Часто их даже пишут на упаковках и корпусах. Формально все они индивидуальные в мировом масштабе, однако во многих случаях их можно изменить через настройки драйвера устройства. Представляется он в виде шести байт, записываемых в формате шестнадцатеричных цифр, например 001020AABBCC или 00:10:20:AA:BB:CC.
Следующий момент, с которым стоит разобраться – постоянный/внешний/белый адрес. Эти понятия часто путают, так что навести порядок нужно обязательно. В случае использования роутера для подключения к интернету, его WAN-интерфейс имеет определенный IP-адрес. Все устройства, которые находятся за пределами вашей домашней сети видят именно этот адрес и ничего не знают про ваши внутренние устройства. Технология трансляции сетевых адресов (NAT), работающая в роутере, автоматически и прозрачно для пользователя занимается подменой внутренних адресов на внешний и обратно при передаче и приеме сетевых пакетов.
В свою очередь, этот адрес, который выдает провайдер или требуется указать в роутере во время его настройки, может быть постоянным или динамическим. Единственное отличие между этими вариантами следует из их названия.
Но наибольший интерес представляет собой вопрос о внешнем/белом адресе. Под этими терминами обычно понимают «адрес, доступный из любой точки сети Интернет». Как пример можно привести офисную мини-АТС с единственным внешним номером. Все ее абоненты могут общаться между собой через набор внутреннего номера. Вне офиса эти номера не имеют никакого смысла. Одновременно они могут звонить и на городские телефоны, но напрямую попасть к каждому конкретному из абонентов просто набором городского номера невозможно. В свою очередь, этот офис со своей мини-АТС может находиться внутри офисного здания со своей АТС и еще одним коммутатором.
По этому примеру видна одна из причин использования технологии NAT – вы можете иметь локальную сеть с доступом в интернет практически любого размера, но «потратить» только один адрес из общего глобального списка. С переходом на новую версию протокола IPv6 эта проблема возможно исчезнет, но вот когда это произойдет – пока никому неизвестно.
Казалось бы – если интернет работает и так, то зачем может понадобиться внешний адрес? Ответить на этот вопрос достаточно просто – если вы хотите иметь доступ к своей локальной сети из интернета, его использование необходимо. Например, вы планируете создать FTP-сервер, разместить на ПК Web-сервер с семейным фотоальбомом или хочется иметь доступ из офиса к файлам на домашнем сетевом накопителе. Отметим, что эти задачи можно решить и другими способами, но они существенно сложнее и дороже.
Как определить, какой адрес вам предоставил провайдер? Для начала надо посмотреть на внешний адрес роутера на соответствующей странице его Web-интерфейса, если он имеет вид 10.*.*.* или 172.(16…31).*.* или 192.168.*.*, то он однозначно «серый» и обычными способами доступа из интернета к вашей сети получить невозможно.
Второй тест, который можно провести – зайти на сайт http://www.whatismyip.com/ и сравнить адрес, который показывает этот сервис с вашим адресом на роутере. Если они совпадают, то вам повезло.
Многие провайдеры предоставляют пользователями внешний динамический адрес. В этом случае возникает еще одна проблема – адрес хотя и внешний, но не постоянный и находясь вне сети узнать его невозможно. Для ее решения нужно воспользоваться встроенным в большинство роутеров сервисом динамического DNS – он позволяет вам получить постоянное доменное имя, которое будет автоматически настраиваться на IP-адрес роутера при его изменении и именно его можно будет использовать в любой момент для доступа к своей сети.
Воспользоваться сервисом DynDNS.org можно совершенно бесплатно – одно доменное имя предоставляется всем. Для регистрации потребуется работающий адрес электронной почты.
Кроме доступа к локальной сети, внешний адрес может быть полезен для повышения эффективности работы некоторых сервисов, например программ обмена сообщениями или сетей p2p. Отметим, что здесь мы говорим только о факте наличия внешнего адреса, а использование DynDNS в этом случае не требуется. Однако некоторые действия предпринять стоит.
Речь идет о трансляции сетевых портов. Иногда это называют «проброс портов» или «открытие портов». Данная настройка позволяет внешнему адресату подключаться к определенной программе, которая находится на вашем ПК за роутером.
Напомним, что подключение к сетевым сервисам происходит с указанием IP-адреса и номера порта. Например, для HTTP это 80, для POP3 – 110 и так далее. Но если речь идет не о стандартных программах, то номера могут быть практически любые (от 1025 до 65535) и часто их можно указать в настройках самой программы.
Настройка трансляции портов позволяет передавать поступающий на внешний адрес роутера и на определенные порты запрос на ПК, расположенный в локальном сегменте. Например, можно создать на ПК Web-сервер и «пробросить» для него 80-й порт. В зависимости от модели роутера, внешние и внутренние номера могут отличаться или обязательно должны быть одинаковыми. Также стоит упомянуть, что некоторые из портов (чаще всего 80, 8080, 23, 25) блокируются «на вход» провайдером по соображениям безопасности. После настройки трансляции портов установленная на ПК программа начинает вести себя как будто она имеет прямое подключение к интернету мимо роутера. Проверить работу трансляции портов в самой программе, если такая опция предусмотрена.
Вы можете встретиться с и параметром «протокол» при настройке трансляции портов. Речь тут идет о двух протоколах внутри TCP/IP – собственно TCP и UDP. В большинстве случаев для интернет-коммуникаций используется первый. Необходимость именно UDP обычно указывается в описании программ. Если в роутере нет такого параметра, то транслируются сразу оба протокола.
Некоторые программы имеют поддержку протокола UPnP для организации автоматического открытия портов для себя. Однако с точки зрения безопасности лучше этого не делать, поскольку у «простоты» есть и обратная сторона – бесконтрольность доступа.
В некоторых случаях будет полезно также настроить и регулярную отправку логфайлов работы устройства на ваш адрес по электронной почте. Правда тут нужно понимать, что если нет подключения к интернету, то на внешний сервер ничего не отправить. Для правильного отображения даты и времени в логах, роутер имеет встроенные часы, которые можно синхронизировать через интернет.
Еще одна достаточно редко применяемая возможность – разрешения доступа к Web-интерфейсу настройки роутера из интернета. Делать это стоит только в случае крайней необходимости и не забыть при этом установить действительно сложный пароль на доступ.
После завершения настройки роутера, рекомендуется сделать резервную копию его конфигурации в файл на ПК. Тогда не придется заново повторять все описанные действия.
Итого на данный момент мы имеем:
- роутер, подключенный к интернету;
- безопасную Wi-Fi сеть;
- сервис раздачи адресов в локальной сети;
- настроенный DynDNS для доступа к сети из интернета;
- трансляцию портов для работы сервисов на ПК или других устройствах.
В следующем материале мы поговорим про настройку сетевых накопителей.
Организация домашней сети – не праздная задача. Ею должен заниматься специалист. Что нужно сделать обязательно, чтобы обезопасить себя, я вкратце расскажу в этой статье. Считайте, что это советы от человека, много лет проработавшего администратором локальной вычислительной сети.
Что приносит и уносит интернет?
Сейчас не только городской житель, но и сельский приводит немало времени в киберпространстве. От этого уже никуда не деться и от этого уже никто не откажется. Телевизор постепенно отходит на второй план, а то и вовсе исчезает из нашей жизни.
Городские многоэтажки давно подсажены на широкополосный интернет, поставляемы по витой паре в квартиры. Многие сёла, особенно в густонаселённых регионах, тоже обеспечивают такой тип доступа, где можно выбрать скорость приёма и передачи данных до 100 мегабит. В городах скорость уже предлагается уже 200 и 300 мегабит в секунду. Чем выше скорость, тем меньше возможность вернуть неверно выполненный шаг. А это влечёт за собой иногда неприятные последствия.
Высокоскоростным доступом в интернет нас обеспечили не только для нашего удобства. Обратную сторону этой медали мы не видим, а это – возможность контролировать нас и наши действия. Анонимности в интернете давно не существует. Её не было и изначально, просто ошибочно считалось, что раньше-то она была.
Всё меньше остаётся людей, которые, как говорят на сленге, просто шарят в интернете. Через интернет мы уже подключены к различным услугам и не только государственным. Мы оплачиваем услуги и товары, внося данные своих счетов, адреса и даже паспортные данные. Конечно, нам клянутся и уверяют в безопасности, надёжности и конфиденциальности всех переданных вами данных. А потом вы удивляетесь, когда вам начинают массово поступать звонки от неизвестных абонентов, предлагающих вам чёрт знает что.
Но это отдельная тема разговора, лишь косвенно касающаяся общей безопасности нашего нахождения в киберпространстве. Просто он наглядно показывает, насколько открыт этот условно защищённый от всех бед интернет. И насколько важно соблюдать элементарные правила безопасности. Что может для этого сделать каждый из нас, поговорим дальше.
Безопасность на первом месте
К нам в квартиру или в дом заходит проводочек в оболочке. Вернее, в этой оболочке должно быть как минимум 4 проводочка, а лучше, когда их 8. Это разные категории кабеля “витая пара”. Почему витая? Потому что скрученные между собой два провода, на 50% снижают утечку сигнала в эфир. Меньше потери – надёжнее связь. И меньше вероятность беспроводного подключения к вашему каналу связи сторонних устройств.
Не вдаваясь в технические тонкости, перехожу к следующему этапу. Что с этим проводом делать дальше? Обычно в услуги поставки включается оконечивание этого провода. То есть, это не просто кабель со свитыми попарно проводами, а уже установленная специальная вилка. Её можно воткнуть непосредственно в компьютер или ноутбук, выполнить инструкцию по подключению к провайдеру, и будет вам счастье. Первая часть действий называется физическим подключением, а вторая – логическим.
После физического подключения ваш компьютер договаривается с установленным в вашем доме или не вдалеке от дома, если это частный сектор, коммутатором провайдера. Когда они договорятся, обычно это доли секунды, встроенный в ваш компьютер сетевой адаптер начинает весело моргать зелёным огоньком. Форма этого договора называется протоколом. Вернее, это часть протокола. Полностью протокол будет выполнен после вашей авторизации в сети, то есть, когда вы введёте выданные вам имя и пароль для соединения. С этого момента вам доступна вся открытая информация, хранящаяся во всемирной сети. С таким же успехом хранящаяся в вашем компьютере информация может стать достоянием кого угодно.
И не обманывайтесь тем, что на вашем компьютере ничего такого нет, что могло бы заинтересовать мошенников. Уже одно то, что протокольные физические и логические адреса вашего сетевого устройства дают возможность точно определить адрес вашего проживания, уже повод задуматься. А можно ли поставить какой-то шлюз?
Конечно, можно. Только давайте усложним задачу. Даже предположим, что вы живёте один одинёшенек в своей квартире, но у вас есть смартфон. Более того, у вас может быть ещё и планшет и даже смарт телевизор с возможностью подключения к интернет по радиоканалу. А у вас лишь один провод с вилкой, который вы уже воткнули в компьютер. Как же быть? Оплачивать ежемесячно сотни рублей и иметь возможность подключить только одно устройство – не разумно. Ту мы переходим к следующему шагу.
Точка доступа
Наверняка вы слышали это выражение. В электрической сети есть понятие узел, когда в одной точке соединяются более двух проводов. В сети информационной просто соединить несколько кусков провода и развести их на два или три приёмника не получится. Здесь нужен специальный соединитель. Это электронное устройство со своим питанием, входами и выходами. Можно его упрощённо сравнить с тройником в розетке. Но тройник – это простой электрический узел. Здесь же нужно раздать сигнал на разные устройства.
Нужен расширитель. Их существует два типа. Если все устройства у вас имеют вход под информационную вилку, такую же, которую вам установил провайдер, когда завёл в дом интернет, то можно поставить простой свитч. Его задача – раздать сигнал на однотипные устройства. Он, как говорят информатизаторы, не имеет мозгов, то есть безумен. Сейчас такими устройствами почти никто не пользуется из-за сильно ограниченного функционала.
Есть более сложное устройство под названием роутер. Это уже сложное устройство с головой. Голова в данном контексте означает программно-аппаратный комплекс управления. Современные роутеры, а можно называть их по-русски – маршрутизаторы, обеспечивают полноценную точку доступа. Помимо соединения по проводу, они ещё могут передавать и принимать сигнал по радиоканалу, называемому Wi-Fi, звучит как ругательство – вай-фай. А ещё они обеспечивают передачу потокового сигнала. Это ничто иное, как телевизионный сигнал и цифровая телефония. То есть мы получаем три разнородные среды: проводную, потоковую и радиосигнал.
Возвращаясь к вопросу безопасности, первая и последняя среда передачи подлежит обязательной защите. Теперь по порядку.
- Роутер обеспечивает самостоятельное физическое и логическое соединение с провайдером. Данные аккаунта для соединения заносятся в сам роутер при его настройке.
- Роутер обеспечивает сетевой экран или шлюз, который по умолчанию не включен, нужно подключать и настраивать его параметры самостоятельно.
- Роутер защищает каналы связи по WI-Fi и ограничивает число одновременно подключенных устройств. Это тоже настраивается самостоятельно, по умолчанию радиоканал совершенно открытый.
- Роутер может на своём уровне защитить все устройства, находящиеся уже за ним, от некоторых типов атак. Это тоже настраивается вручную.
- К роутеру можно подключить сетевое хранилище – внешний диск, доступ к которому можно обеспечить всем или отдельным устройствам в домашней сети.
- Роутер ведёт протокол, который можно в текстовом виде изучить, чтобы выяснить проблемы с сетью на стороне провайдера или в домашней сети. Для специалистов эта информация важнее, чем обычное включение, выключение или перезагрузка устройств в домашней сети или самого роутера.
- Роутер может работать круглосуточно и не требует выключения на ночь или при вашем выходе из дома, скажем, в магазин.
Это далеко не полный перечень возможностей современных маршрутизаторов. Для чего я всё это перечислил? Если вы не специалист в компьютерных сетях, то вам непременно следует пригласить такого специалиста, чтобы он настроил вам ваш домашний маршрутизатор. А ещё, я об этом не написал, можно сохранить все настройки в специальный файл, который можно в случае какого-то глобального сбоя устройства подгрузить самостоятельно уже без приглашения специалиста.
По каждому из первых шести перечисленных мной пунктов можно было бы написать отдельную статью. Специалистов я из вас не сделаю, дав подробные объяснения, потому что они будут изобиловать специальными терминами. А вам оно надо? Пусть каждый занимается своим делом. Специалистов по компьютерным сетям сейчас много, поэтому лучше такового пригласить, чтобы самому не изучать эту сложную науку.
И ещё одно, что нужно вам знать. Это снова к вопросу о безопасности. Не отдавайте приглашённому специалисту что называется пароли и явки. Добросовестный специалист обязательно попросит вас самостоятельно придумать пароли для защиты радиоканала и для входа в сам маршрутизатор. Пусть даже вам при настройке и перезагрузке десять раз придётся эти пароли набирать, делайте это самостоятельно.
Подытожим всё, что я тут изложил. Поверьте, я рассказал вам о самой простейшей домашней сети с точкой доступа, обеспечивающей работу в трёх разных средах приёма и передачи информации. Я видел в своей практике разные гибридные сети с несколькими роутерами и свитчами, похожими уже не столько на домашнюю, сколько на сеть небольшой организации. И всё это ради того, чтобы максимально обезопасить себя и свои данные. Расходы окупаются, ибо скупой платит дважды.
Друзья, если вас интересуют вопросы безопасности вашей домашней сети и какие-то пункты требуют полноценного описания, то обязательно подписывайтесь на канал и напишите об этом в комментариях. Я стараюсь давать здесь материал из своих накопленных знаний о теме. Полученный мной опыт за многие десятилетия работы в крупной корпорации помогают мне ответить на ваши вопросы.
