Přístup na zákaznické WiFi routery s vypnutým remote managementem

Místo, kde žádná otázka není hloupá.
oliver.es
Příspěvky: 95
Registrován: 3 years ago

Přístup na zákaznické WiFi routery s vypnutým remote managementem

Příspěvekod oliver.es » 3 months ago

Ahoj,

řeším takovou teorii. Máme v síti stovky Wi-Fi routerů TP-Link WR841 kde je samozřejmě z důvodu bezpečnosti vypnutý remote management. Pokud bych přece jen já jako provider potřeboval na dálku v routerech zákazníků něco změnit, jsou nějaké možnosti? Např přes DHCP Option tam dostat adresu ACS serveru pro TR-069 konfiguraci? Zákazníci mají routery typicky v defaultním nastavení, maximálně mají změněné SSID a WPA klíč. Na WAN portu je DHCP client.

https://www.qacafe.com/tr-069-training/acs-discovery/
0 x

basty
Příspěvky: 1966
Registrován: 13 years ago
Kontaktovat uživatele:

Příspěvekod basty » 3 months ago

Řešili jsme dříve, nejlepší a nejjednodušší řešení je udělat z toho jen ap a nemít to jako router.
0 x

Defender
Příspěvky: 136
Registrován: 8 years ago

Příspěvekod Defender » 3 months ago

Asi tak. Pouzivame TPlinky jenom jako AP v bridgi a pro pristup se da potom jednoduse pouzit tunel udelanej pres prijimaci UBNT(mikrotik) zarizeni
1 x

dagus
Příspěvky: 1138
Registrován: 8 years ago

Příspěvekod dagus » 3 months ago

Navíc jako přidáná hodnota vidím v domácnosti zařízení, případně i další wifiny. Další věc je propustnost je někdy lepší v bridge módu.
0 x

rsaf
Příspěvky: 1001
Registrován: 12 years ago

Příspěvekod rsaf » 3 months ago

Takže co pak mají klienti jako router? Nic, Mikrotik?
0 x

Uživatelský avatar
honzam
Příspěvky: 5249
Registrován: 11 years ago

Příspěvekod honzam » 3 months ago

Klienti pak mají na výběr. Nemusejí mít nic (jen sítová karta), případně switch, AP, nebo v krajním případě i router ale pak jsou 2x za NATem.
Takže pokud vybíráš jakou wifi mikrotik tak to může být jakákoliv :)
0 x

rsaf
Příspěvky: 1001
Registrován: 12 years ago

Příspěvekod rsaf » 3 months ago

honzam píše:nebo v krajním případě i router

No to mě potěš. Systém, že klientská LAN (kde jsou zařízení výhradně v majetku klienta) leze někam do sítě ISP je prostě zhovadilost. Měl by vždy existovat jasně definovaný bod kde je rozhraní "zodpovědnosti" ISP a klienta.
0 x

Uživatelský avatar
Gemb
Příspěvky: 2083
Registrován: 3 years ago

Příspěvekod Gemb » 3 months ago

To je mile ale potom riesit to, ze si to maju ludia zapajat pre nich nelogicky do lan portu a wan je nepouzity....vacsina to nechape a nacpu si to do wan aj tak. Okrem toho pri tplinku v bridge sa ako nadialku dostanete ked to nema gateway ?
0 x

mirek.k
Příspěvky: 669
Registrován: 10 years ago

Příspěvekod mirek.k » 3 months ago

Gemb píše:To je mile ale potom riesit to, ze si to maju ludia zapajat pre nich nelogicky do lan portu a wan je nepouzity....vacsina to nechape a nacpu si to do wan aj tak. Okrem toho pri tplinku v bridge sa ako nadialku dostanete ked to nema gateway ?

Kombinací dst-nat a src-nat.
0 x

Uživatelský avatar
honzam
Příspěvky: 5249
Registrován: 11 years ago

Příspěvekod honzam » 3 months ago

rsaf píše:
honzam píše:nebo v krajním případě i router

No to mě potěš. Systém, že klientská LAN (kde jsou zařízení výhradně v majetku klienta) leze někam do sítě ISP je prostě zhovadilost. Měl by vždy existovat jasně definovaný bod kde je rozhraní "zodpovědnosti" ISP a klienta.


Proč zhovadilost? Máme to tak všude. ISP provádí NAT a DHCP. Pokud si zákazník koupí wifi od nás tak je v režimu AP. Pokud si ji koupí a nastaví sám tak ho informujeme aby ji dal do režimu AP. Pokud ji nechá v režimu Router (NAT) tak mu to bude fungovat taky.
Ohledně předávacího rozhraní - to je přeci RJ45 zásuvka kde předáváme službu ne?
Případně pokud je zákazník na bezdrátu tak předávací místo je LAN konektor v UBNT trafu.
2 x

Uživatelský avatar
Gemb
Příspěvky: 2083
Registrován: 3 years ago

Příspěvekod Gemb » 3 months ago

mirek.k píše:
Gemb píše:To je mile ale potom riesit to, ze si to maju ludia zapajat pre nich nelogicky do lan portu a wan je nepouzity....vacsina to nechape a nacpu si to do wan aj tak. Okrem toho pri tplinku v bridge sa ako nadialku dostanete ked to nema gateway ?

Kombinací dst-nat a src-nat.

A funguje ti to ked nema napr tplink 841 gateway v bridge, ma len IPcku kade sa logujes a tym to konci...u nas som to kedysi skusal a bud som robil daco blbo alebo neviem ale skratka to nefungovalo kombinaciou akou pises. Cez wan je to v pohode, tam to potiahne IP s DHCP poolu a ma to aj GW. Aktualne u nas 2x NATujeme u klienta, natuje UBNT antena ktora je v rezime router a natuje klientsky wifi router doma. Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.
0 x

mirek.k
Příspěvky: 669
Registrován: 10 years ago

Příspěvekod mirek.k » 3 months ago

Gemb píše:
mirek.k píše:
Gemb píše:To je mile ale potom riesit to, ze si to maju ludia zapajat pre nich nelogicky do lan portu a wan je nepouzity....vacsina to nechape a nacpu si to do wan aj tak. Okrem toho pri tplinku v bridge sa ako nadialku dostanete ked to nema gateway ?

Kombinací dst-nat a src-nat.

A funguje ti to ked nema napr tplink 841 gateway v bridge, ma len IPcku kade sa logujes a tym to konci...u nas som to kedysi skusal a bud som robil daco blbo alebo neviem ale skratka to nefungovalo kombinaciou akou pises. Cez wan je to v pohode, tam to potiahne IP s DHCP poolu a ma to aj GW. Aktualne u nas 2x NATujeme u klienta, natuje UBNT antena ktora je v rezime router a natuje klientsky wifi router doma. Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.


Samozřejmě:

Kód: Vybrat vše

/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-port=88 in-interface=wlan1 protocol=tcp to-addresses=TPlinkIP to-ports=80
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=TvojeIP to-addresses=MikrotikGwIP
2 x

Uživatelský avatar
Gemb
Příspěvky: 2083
Registrován: 3 years ago

Příspěvekod Gemb » 3 months ago

mirek.k píše:
Gemb píše:
mirek.k píše:Kombinací dst-nat a src-nat.

A funguje ti to ked nema napr tplink 841 gateway v bridge, ma len IPcku kade sa logujes a tym to konci...u nas som to kedysi skusal a bud som robil daco blbo alebo neviem ale skratka to nefungovalo kombinaciou akou pises. Cez wan je to v pohode, tam to potiahne IP s DHCP poolu a ma to aj GW. Aktualne u nas 2x NATujeme u klienta, natuje UBNT antena ktora je v rezime router a natuje klientsky wifi router doma. Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.


Samozřejmě:

Kód: Vybrat vše

/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-port=88 in-interface=wlan1 protocol=tcp to-addresses=TPlinkIP to-ports=80
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=TvojeIP to-addresses=MikrotikGwIP

Tak som to potom blbo mal nastavene ale bolo to tak 5 rokov dozadu kedy som s MK zacinal :D Dik.
0 x

Uživatelský avatar
hapi
Příspěvky: 12041
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 3 months ago

Gemb píše:Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.


a proto dáváme už jenom MKčka a žijeme s určitým omezením v určitých případech ale odpadla většina těhle servisů.
1 x

methernet
Příspěvky: 11
Registrován: 6 months ago

Příspěvekod methernet » 3 months ago

Gemb píše:
mirek.k píše:
Gemb píše:A funguje ti to ked nema napr tplink 841 gateway v bridge, ma len IPcku kade sa logujes a tym to konci...u nas som to kedysi skusal a bud som robil daco blbo alebo neviem ale skratka to nefungovalo kombinaciou akou pises. Cez wan je to v pohode, tam to potiahne IP s DHCP poolu a ma to aj GW. Aktualne u nas 2x NATujeme u klienta, natuje UBNT antena ktora je v rezime router a natuje klientsky wifi router doma. Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.


Samozřejmě:

Kód: Vybrat vše

/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-port=88 in-interface=wlan1 protocol=tcp to-addresses=TPlinkIP to-ports=80
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=TvojeIP to-addresses=MikrotikGwIP

Tak som to potom blbo mal nastavene ale bolo to tak 5 rokov dozadu kedy som s MK zacinal :D Dik.


Pohodlnější je podle mě se připojit na ssh přes Puttynu a vytvořit si ssh tunel do sítě klienta, do prohlížeče stačí předtím doinstalovat plugin na přepínání proxy. Během 30 sekund jsem v klientově LAN :smile:
0 x


Zpět na „Začátečnické témata“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti