Применим D-Link DIR-320 для организации беспроводного доступа в глобальную сеть через корпоративную сеть
Согласитесь, типовая задача: обеспечить доступ гостям Вашей компании в глобальную сеть (но не в Вашу сеть!), скажем – из комнаты переговоров. Решим данную банальную задачу с помощью банального же решения – D-Link DIR-320 + MS ISA Server.
Должен отметить популярность данного устройства, возможно – из-за своей бюджетности и неплохой функциональности при такой цене. Даже одноимённый домен и сайт функционируют http://dir320.ru/ (хотя информации полезной там маловато, разве что фото позаимствовал).
Из положительных моментов отмечу: имеется прошивка для данного устройства, поддерживающая Yota.
Проектируем решение
Вопрос: защищаем беспроводную сеть или нет? С точки зрения удобства гостей правильным ответом был бы ответ нет. Да, мы можем программно ограничить мощность точки доступа, чем существенно сократить радиус её действия. И этим элементом защиты мы, безусловно, воспользуемся. Но и в этом случае создавать незащищённых сетей не следует. PIN для нашей сети мы разместим в том же помещении, периодически (и об этом не стоит забывать и этим пренебрегать) будем его менять.
В принципе, ничто нам не мешает написать сценарий на powershell, который будет запускаться по расписанию, генерировать новый pin код, его прописывать в роутер через http, перезагружать роутер, сохранять pin в некий html файл, который будет транслироваться через проектор в той же комнате переговоров. И достаточно безопасно (нужен доступ к помещению), и для гостей особых проблем не создали. Но можно использовать и WPS (результат тот же, подробнее – ниже).
Естественно, целесообразно выделить для наших “условно ненадёжных” гостей отдельную подсеть (чтобы в дальнейшем по журналам проще их было ловить). И предоставим им DHCP (уж точно не стоит предлагать им настраивать tcp-ip руками). Тогда нам следует эксплуатировать наше устройство не в режиме точки доступа, а в режиме маршрутизатора.
Следует учесть тот факт, что наши гости не смогут пройти авторизацию на файрволе (в нашем случае – на ISA Server). Посему нам поможет выделенная подсеть, будем предоставлять необходимый доступ гостям на базе ip-адреса.
И последний вопрос – куда должна “смотреть” наша точка доступа? Другими словами, с точки зрения сетевой архитектуры, будет ли она отнесена к внутреннему адресному пространству, DMZ, или … Идеальным мне кажется разместить саму точку доступа в DMZ, тем самым сохранив контроль за активностью “гостей”, огранив от них внутреннее адресное пространство, и предоставив необходимый доступ к Вашим публичным ресурсам, опубликованным в DMZ.
Идея понятна, приступаем к реализации.
Реализация
Подключаем устройство
Рассмотрим внимательно само устройство. Нас не будет сейчас волновать его USB разъём (через который возможно его в инет пустить с помощью USB 3G модема, или для реализации принтсервера использовать) – в нашей задаче он не потребуется.
Обращаю внимание на разъёмы RJ-45 на задней панели маршрутизатора – их 5 и они неравнозначны! Обращаю на этот факт внимание, потому как кр…ые руки некоторых инженеров могут создать проблемы сегменту Вашей сети (а то и всей сети) из “неожиданного” появления второго DHCP сервера в сегменте. Проблема, как Вы уже догадались, нестабильна, из-за чего – сложно диагностируема.
Так вот: в выбранной нами конфигурации (режим маршрутизатора, а не точки доступа) в нашу сеть (конечно же в DMZ, если Вы её имеете) должен “смотреть” порт internet. Ни в коем случае не подключайте к Вашей сети порты LAN (1, 2, 3, 4), когда устройство работает в режиме маршрутизатора – получите второй и лишний DHCP в своей сети. Если DHCP сервер устройства активен, он отвечает только по интерфейсам LAN и wireless.
Настраиваем маршрутизатор: интерфейс internet
Как обычно – http сервер на 80ом порту нам поможет. Но для начала после подключения и первого включения зафиксируем ip адрес нашему устройству (для его internet интерфейса, подключенного к нашей сети). Как? – через резервирование на DHCP сервере. Для чего в консоли netsh для DHCP выполним следующее:
add reservedip 172.31.2.50 0024BE67DF55 "routerwifiXY-Z.lan.services.novgaro.ru" "conference room wifi router DIR-320" "DHCP"
P.S. для сохранения и переноса конфигурации DHCP сервера использую netsh файлы. Подробнее о netsh для этих целей поговорим в отдельной статье.
Естественно, ip адрес Вы указываете тот, который Вы выделите маршрутизатору в Вашей сети, и MAC адрес указываете маршрутизатора (его можно подглядеть в том числе и в консоли DHCP по времени получения аренды – оно должно совпадать со временем включения нашего устройства).
После внесения изменений в конфигурацию DHCP сервера перезагружаем наш маршрутизатор (просто выключаем и включаем его снова). Он должен получить зарезервированный нами адрес. Получил.
Следующим шагом рекомендую создать A и PTR записи в Вашей DNS зоне, в моём случае — routerwifiXY-Z.lan.services.novgaro.ru
, где X, Y и Z – идентификаторы площадки, здания и узла связи в здании.
И на следующем шаге переходим к конфигурированию нашего маршрутизатора через сервис с новым URL: http://routerwifiXY-Z.lan.services.novgaro.ru.
При настройке через консоль “Установка Интернет” выбираем настройку вручную, и оставляем получение ip адреса с DHCP сервера. Не ставим галку “работать в режиме точки доступа” (AdHoc). Будем использовать его как полноценный маршрутизатор с собственным DHCP. Потом поясню зачем. NAT, кстати, вовсе не является обязательным, если Вы пропишите маршруты.
Настраиваем маршрутизатор: прошивка
Настало время загрузить свежую прошивку ftp://ftp.dlink.com/pub. И русский language pack также прошиваем.
Настраиваем маршрутизатор: доступ администратора
Сменим учётную запись администратора (см. рисунок справа). Здесь же следует разрешить удалённое управление (с точки зрения маршрутизатора удалённое управление – управление через интерфейс internet или wireless, а не через LAN), и указать адрес сервера, с которого Вы планируете в дальнейшем администрировать Ваши маршрутизаторы.
Можно и порт (для http доступа) сменить, только есть ли смысл? Я оставил его на месте – 80.
Настроили – перезагружаем маршрутизатор и регистрируемся.
Настраиваем маршрутизатор: ограничим радиус
Снизим вероятность взлома простейшим способом – ограничим радиус действия беспроводного интерфейса снизив мощность (смотри рисунок слева). Я для себя методом проб и ошибок выбрал 25%, за территорией – уже не поймать.
Не пренебрегайте данной примитивной на первый взгляд мерой. Она достаточно эффективна.
Настраиваем маршрутизатор: время и дата
Ранее описывал публикацию собственного NTP сервера для собственных сетевых устройств. В том числе и для D-Link. Если рекомендации указанной статьи у Вас выполнены, Вам достаточно установить опцию “автоматическая синхронизация с сервером времени D-Link” и нажать – Обновить сейчас. Не забудьте сохранить настройки!
Настраиваем маршрутизатор: беспроводный интерфейс
Приступаем к настройке беспроводного интерфейса и LAN интерфейса. Мастером и в этот раз мы пользоваться не будем.
Включаем сетевой интерфейс (смотри рисунок справа).
Генерируем новый PIN код и включаем WPS. Для чего же нам может потребоваться WPS? На клиентской стороне Wi-Fi Protected Setup поддерживается Windows 7 / VISTA SP2 и старше. Обсуждаемое нами устройство снабжено специальной кнопкой для этих целей, и именно эта волшебная кнопка исключает необходимость устно передавать PIN код для WPS.
- Открываем меню “Сеть” через значок на панели задач.
В списке “доступные подключения” выбираем нашу wifi-сеть, и нажимаем кнопку “подключить”. - И сразу нажимаем и удерживаем до 30 секунд боковую кнопку на маршрутизаторе.
Маршрутизатор при этом отдаёт подключаемому устройству PIN код через беспроводный интерфейс.
Вернёмся к настройкам. Настроим DHCP сервер маршрутизатора (смотри рисунок справа). Настроили – ставим опцию “Включить DHCP сервер”, сохраняем настройки и перезагружаем маршрутизатор. Для последующего описания будем считать, что выбрали для гостевой подсети адресное пространство 192.169.100.0/24
.
Устанавливаем SSID для беспроводного интерфейса: novgaro-ru-wifiXY-Z
. Концовка уже описана выше, префикс novgaro-ru — чтобы точно отделить наши точки доступа от точек доступа соседей.
Гостевую зону не включаем – ни к чему в нашем случае. У нас и так она гостевая.
Итак – подключаем беспроводных клиентов! Осталось победить ISA Server.
Настраиваем MS ISA (TMG) Server
На данный момент мы прошли только часть пути. Теперь наши гости смогут подключиться к нашей точке доступа с помощью WPS (через кнопку либо через явный ввод PIN кода). И DHPC маршрутизатора даст им ip адрес, DNS представит. Только кто же их выпустит в глобальную сеть?
Если на передовой мы используем ISA (TMG), и при этом доступ по протоколу http требует явного разрешения, мы должны явно предоставить этот доступ нашим гостям с помощью protocol rule на ISA. Пишем разрешающее правило.
Как видно на рисунке, на странице Applies To мы предоставляем доступ для Client Address Set, в который мы предварительно включили ip адреса нашей гостевой подсети (в нашем примере 192.169.100.0/24
).
Обращаю Ваше внимание на две потенциальные ошибки: если Вы используете разрешающие правила по client address set, у Вас не должно быть запрещающих правил по этому протоколу по группам безопасности! ISA не имеет информации для отнесения гостей к той или иной группе безопасности!
Вторая потенциальная ошибка: оставлен активным HTTP redirector filter, а на Web proxy включена обязательная авторизация. В этом случае наш гость успешно выходит через маршрутизатора на ISA (TMG) Server по протоколу HTTP, и тут его заворачивает на Web proxy service фильтр HTTP redirector filter, и – давай требовать авторизацию. И наше разрешающее правило на протокол HTTP здесь просто не поможет. Поэтому – отключаем HTTP redirector filter.
P.S. Следует обратить внимание на одну тонкость: если Вы оставили активной опцию NAT на маршрутизаторе, тогда в указанный client address set Вам следует включить не диапазон адресов гостевой сети, а ip адрес Вашего маршрутизатора (DIR-320) в DMZ (в моём примере – 172.31.2.50
).
Перезапускаем службу firewall. И проверяем!
Полезная информация о безопасности в беспроводных сетях
Отзывы » (9)
RSS комментарии
Обратная ссылка
Аха. И по ИП-шникам гости получают доступ к внутренней сети через фаервол д-линка…
Нет, не получат. Я же писал — размещайте такие маршрутизаторы в DMZ.
Для D-Link DIR-320 A1/A2 в базе прошивок много разных вариантов. Хотелось бы использовать D-Link DIR-320 для поочередного подключения 3G USB модема или USB HDD. Подскажите, какую прошивку нужно скачать и установить.
И будет ли USB HDD работать с D-Link DIR-320 A1/A2??? Стоит мучаться?
USB HDD будет работать, но не на родной прошивке. Использовал DD-WRT, мой опыт работы с ней описан здесь.
Мое устройство! Отличная штуковина) А родную прошивку правильно делаете, что сносите)
Здравствуйте Сергей!Читал ваш блог и нашёл для себя много полезной информации.Но у меня произошёл не очень приятный момент с моим DIR-300 rev.А1.
Причина по которой я решил прошить DIR300 стала необходимость раздавать по портам(IP адресам) определённую скорость (необходимость шейпера), т.к. поставить сервер нет возможности.Первоначально с оригинала D-Linka поставил DD-WRT рекомендованную сайтом 13064, все отлично с настройками и нет проблем. Но позже я выясняю, что прошивка 13064 далеко не новая и шейпер корректно на ней не работает, меню в настройках DD-WRT QoS->QoS задать приоритеты MAC-адресов но ничего не работает. Рядом в этой же менюшке есть хелп «Приоритеты портов Ethernet:» но самого меню настройки нет!.По этому я через WEB интерфейс залил в него последнюю версию 18777, но в ней очень ограничено количество настроек (особенно Wi-Fi), по этому я решил откатить на чуть раннюю прошивку 18024, исходя из того, что возможно она не будет такой урезанной.Делал как и с 18777 всё через WEB интерфейс прошивки DD-WRT, подождал пока закончит бегать полоска загрузки и стал ждать пока DIR сам перегрузиться. В итоге я ждал минут 40 но так ничего и не произошло, питание не трогал.На WEB интерфейс как обычно не заходит но индикация работы есть!После стал пытаться его реанимировать!
Включается DIR300е индикация питания, пробегает тест портов, горит индикатор порта к которому подключен кабель, на Recovery Web(удержание RESET или 30/30/30) зайти не получается, пинга по 192.168.1.1, 192.168.0.1, 10.10.10.123, 192.168.20.81 и др. адресу нет ни просто при работе ни при 30/30/30, перерыл инет испробовал все варианты. Подскажите какие манипуляции помогут мне восстановить DIR. Если не затруднит по подробней!!! Спасибо!!!
Алексей » Не подскажу, с такой ситуацией не сталкивался. Но, в любом случае, программатор поможет и flash образ прошивки.
Спасибо Сергей за ответ! Может Вы подскажите по проще программатор и как я понимаю в флеш нужно будет заливать фаил linux.bin. Но тут тоже ещё возникает вопрос, по каким адресам его шить, т.к. я понимаю можно затереть загрузчик или есть файлы с полным образом (загрузчик+прошивка)?
Алексей » Не подскажу Вам программатор, самому пользоваться не пришлось. По этому вопросу лучше на iXBT обратиться.