Ce routere wireless aveti ?

[tomkaten]

Acuma pe bune, fără insolenţă, tu te pricepi la reţelistica şi ţi-e uşor s-o spui, dar unul care-şi prinde urechile in configurări de routere normale, ce şansă ar avea să configureze singur un Mikrotik sau un Ubiquity ?

Average Joe vede doar screenshotul final şi-şi zice în barbă: "Tot 933 Mbps scot şi eu cu Asusul, TP-Linkul sau D-Linkul meu".

Din perspectiva securităţii, ai dreptate, sunt incomparabile, dar nu ştiu mulţi care renunţă la comoditate pentru "blindaj".

Şi apropo, am şi o întrebare... Dacă n-ai niciun port deschis pe extern într-un router de-ăsta pentru mase, daca IP-ul tău e stealth, adică nu poate fi văzut din afară, cum ţi-ar putea executa cineva un DOS attack ? Nu e o întrebare retorică, chiar sunt curios dacă are cum să afle că e cineva conectat pe acel IP.

[mbc]

+1

[Bennedict]

@gogusrl: Dupa N incercari si nervi, mi-am dat seama ca sunt ceva probleme pe ultimele firmware-uri la diversi provideri de internet ce folosesc PPOE. Apoi mi-a venit ideea geniala sa pun TomatoUSB pt Asus N12B1 firmware pe al meu N12D1 si merge de rupe. Tot custom, DNS de la provider si tot. Nu mai sunt probleme la restart iar paginile se incarca de rup. Foarte mare diferenta fata de AsusWRT iar toate problemele au disparut.

Pe softul lui NAT-ul nu functiona cum trbuie existand conflicte la alocarea IP, DNS change, DHCP Lease, renew etc.

Iti multumesc pentru intentie.

[gogusrl]

@tomkaten trebuie in primul rand sa tii cont ca asta e un device "set and forget" adica il configurezi o data si apoi asa moare. Exista foarte multe ghiduri pe net care-ti ofera pas cu pas cum sa-ti setezi routerul si functiile de baza. Sunt forumuri de discutii, filmulete de youtube, tot ce vrei. Ce nu gasesti pe youtube e vointa si aia o iei de la alimentara cu three fiddy (vezi Offtopic)

Pe scurt bagi 1-2 h in loc de 10 mins in configurarea lui dar e one time. Eu cand mi-am luat primul mikrotik mi-a luat 45 mins sa-mi dau drumu la net in spatele routerului (declarasem ip-ul intern gresit si avea mask-ul 255.255.255.255 adica doar el se putea accesa pe el ca sa zic asa). http://serverfault.com/questions/497...ubnetting-work

Nu inteleg intrebarea 2. in primul rand daca nu accepti nici un pachet de afara atunci nu functioneaza netul. 99.999 din ce faci tu pe net necesita un acknowledge, adica confirmare de primire.

Probabil ca te referi la o situatie de genul : "l-am injurat pe unu de ma-sa si mi-a vazut ip-ul pe forum, ma pot projeta cu orice router impotriva la ce-mi poate face el si in acelasi timp sa pot sa o ard pe net ?" . Raspunsul este NU.

Pe alta parte, nu exista protectie 100% la chestii de genul asta decat sa nu te conectezi la net. ce poti face, este sa elimini chestiile usoare, de ex sa-ti cumperi usa de metal la apartament in loc de usa de lemn sau zero usa, apoi vine yala, sistem de alarma, camere video, lasers & shit.

Trebuie sa gasesti un echilibru intre no-net si virus-net. Un TP-Link, ca sa revenim la analogia de mai devreme, e ca tine cand tii de clanta daca incearca cineva in partea cealalta, pare incuiata dar daca-i fute una e peste tine. Un mikrotik e pe undeva pe la yala aia in 3 puncte unde mai repede sparge zidu. Daca vrei sistem de alarma atunci discutam deja de firewall dedicat pe langa router.

@Bennedict anunta-ma cand te muti din bermuda triangle. eu tot zic ca era o problema de tip pebcak dar se pare ca nu o sa aflam niciodata. ma bucur sa aud ca merge totul.

[Arise]

Cred că omul a întrebat simplu, dacă el are un router TP-LINK 740n ca să iasă pe net, toate exploit-urile alea cum se aplică în cazul lui din moment ce routerul nu permite acces pe wan interface, adică nu are port 80 sau 22 sau altceva deschis pe wan?

[sammurai]

Quote:

Originally Posted by gogusrl

Cum am banuit, nu negociaza cum trebuie. poti sa treci cablul printr-un switch sa vezi daca se mai intampla ?

adica cablu net -> switch -> alt cablu -> router.

Poate sa fie de la router-ul tau sau de la echipamentul rds-ului. cel mai simplu este sa testezi cu alt router (daca se poate acelasi model / fw)

Testat si cu alt router.
TP Link Archer C5.

Cade mai des decat asus-ul. Similar, daca scot si bag inapoi cablul wan o ia din loc.

[gogusrl]

Quote:

Originally Posted by Arise

Cred că omul a întrebat simplu, dacă el are un router TP-LINK 740n ca să iasă pe net, toate exploit-urile alea cum se aplică în cazul lui din moment ce routerul nu permite acces pe wan interface, adică nu are port 80 sau 22 sau altceva deschis pe wan?

Asta e problema, si daca dezactivezi tu porturile pe WAN tot tine unele deschise la care tu nu ai acces, sa nu mai zic de backdoor-uri implementate chiar de producator.

Fa un test rapid daca ai cumva un TP-Link sau asemanator la indemana. Activeaza ce vrei tu functii de firewall, pune-i un ip random pe wan si leaga-ti cablul de la comp in wan si apoi da un "Intense Scan (All Ports)" cu asta : https://nmap.org/ (compu si WAN-ul de la router trebuie sa aiba ip din aceeasi clasa).

De asemenea, daca nu gasesti nimic, nu inseamna ca nu e nimic. o metoda foarte simpla de a ascunde accesul intr-un router este https://en.wikipedia.org/wiki/Port_knocking

uite primul rezultat pe google http://forum.tp-link.com/showthread....pen-by-default

Quote:

I just bought the TD-8840T today, and am less than satisfied with the security. (even after updating the firmware to the latest version)

Most of all, Port 7547 was open and took a fair bit of work to close it. I did this by changing the port for CWMP to another port, and then port fowarding 7547 to an unused internal address.

Additionally, Port 80 was open to WAN by default also - and no settings allowed me to change it. That is just insane. I ended up forwarding port 80 to an unused internal address.

Smart chestia cu forward catre ip nefolosit.

TLDR : internetul talpa iute cum te prinde, cum te ####

edit : @sammurai , atunci e de la provider. in comp face la fel ? daca da, schimba viteza placii de de retea de la Auto Negotiation la 100 mbps Full Duplex si daca tot mai face incearca si 10 mbps Full Duplex.

In functie de "tehnicianul" pe care-l prinzi e posibil sa-ti faci niste nervi. Eu m-am luptat cu ei 3 luni sa priceapa ca seara dupa ora 10 am un 2-3% packetloss si degeaba testeaza ei intre 08-16 in timpul zilei. Bine, asta era acu 4-5 ani, poate s-au mai desteptat.

[Bennedict]

Quote:

Originally Posted by gogusrl

@tomkaten trebuie in primul rand sa tii cont ca asta e un device "set and forget" adica il configurezi o data si apoi asa moare. Exista foarte multe ghiduri pe net care-ti ofera pas cu pas cum sa-ti setezi routerul si functiile de baza. Sunt forumuri de discutii, filmulete de youtube, tot ce vrei. Ce nu gasesti pe youtube e vointa si aia o iei de la alimentara cu three fiddy (vezi Offtopic)

Pe scurt bagi 1-2 h in loc de 10 mins in configurarea lui dar e one time. Eu cand mi-am luat primul mikrotik mi-a luat 45 mins sa-mi dau drumu la net in spatele routerului (declarasem ip-ul intern gresit si avea mask-ul 255.255.255.255 adica doar el se putea accesa pe el ca sa zic asa). http://serverfault.com/questions/497...ubnetting-work

Nu inteleg intrebarea 2. in primul rand daca nu accepti nici un pachet de afara atunci nu functioneaza netul. 99.999 din ce faci tu pe net necesita un acknowledge, adica confirmare de primire.

Probabil ca te referi la o situatie de genul : "l-am injurat pe unu de ma-sa si mi-a vazut ip-ul pe forum, ma pot projeta cu orice router impotriva la ce-mi poate face el si in acelasi timp sa pot sa o ard pe net ?" . Raspunsul este NU.

Pe alta parte, nu exista protectie 100% la chestii de genul asta decat sa nu te conectezi la net. ce poti face, este sa elimini chestiile usoare, de ex sa-ti cumperi usa de metal la apartament in loc de usa de lemn sau zero usa, apoi vine yala, sistem de alarma, camere video, lasers & shit.

Trebuie sa gasesti un echilibru intre no-net si virus-net. Un TP-Link, ca sa revenim la analogia de mai devreme, e ca tine cand tii de clanta daca incearca cineva in partea cealalta, pare incuiata dar daca-i fute una e peste tine. Un mikrotik e pe undeva pe la yala aia in 3 puncte unde mai repede sparge zidu. Daca vrei sistem de alarma atunci discutam deja de firewall dedicat pe langa router.

@Bennedict anunta-ma cand te muti din bermuda triangle. eu tot zic ca era o problema de tip pebcak dar se pare ca nu o sa aflam niciodata. ma bucur sa aud ca merge totul.

Ai dreptate, e o problema ca si cu asta o ia razna.
La o cercetare mai atenta am descoperit ca provideru meu m-a legat la un switch ethernet cu management. Am incercat sa-l accesez si am si reusit, si astfel am vazut ca toate claseele ip catre WAN nu sunt puse pe static pentru fiecare client din switch ci sunt lasate pe alocare automata. Acum inteleg de ce imi dadea mie ip conflict. Se bateau clasele IP in cap: Cea a routerului meu 192.168.1.1 cu cea de pe switch care e identica. Am incercat s-o schimb si face la fel.
Acum nu stiu ce dracu sa fac ca daca ii spun providerului care-i buba el va zice ca nu il intereseaza deoarece majoritatea userilor baga cablu direct in placa de retea si fac conexiunea PPOE nefolosind routere. Asta este switch-ul
Partea nasoala e ca e CLI only iar in caz de se freaca ceva setare trebuie urcat pe stalp si legat leptop la el pt configurare ori folosita ceva cale printr-un router cu forward de la el.
Din ce-am vazut pe net daca ii dai resetare din fabrica e destul de dificil sa-l restaurezi.

[Arise]

Cred că aș putea găsi ceva TP-Link-uri cu firmware stock prin jur, dar sunt doar în rețeaua internă, nu ies prin ele. Și mă f... o lene...

Sincer nu mi se pare așa o problemă la un router consumer, cred că cel mai vulnerabile ar fi la atacuri de tip CSRF, dar problemele cred că sunt overrated.

Până nu o să intru eu pe un router și o să văd problema cu ochii mei, nu o să mă obosesc prea tare cu update-urile și patch-urile pe ele.

[gogusrl]

Stire de azi :

http://it.slashdot.org/story/15/10/0...s-under-attack

[sammurai]

Am facut sesizare la RDS.
Astept tehnicianul sa vedem ce si cum.
De cazut a cazut in orice situatie:
- cu main computer deschis
- in timpul noptii fara vreun calculator deschis
- doar cu laptopul de service deschis pentru care bag mana in foc ca nu are nici urma de virus pe el

[gogusrl]

[kretzu77]

Quote:

Originally Posted by gogusrl

@kretzu77
pentru ce ai tu nevoie se poate face doar din interfata web. Pentru ddns nu sunt sigur, tre sa ma interesez, eu am trecut pe ddns-ul rds-ului care-i foarte comod si se updateaza instant. De asemenea, si Mikrotik a inceput sa ofere ddns dar nu arata asa frumos ca RDS-ul (de ex : 513205642691.sn.mynetname.net ).

Cam greu de configurat draciile astea sincer sa fiu.
De ce ma documentez mai tare, cu atat trebuie sa citesc tone despre retelistica inainte de a ma dumiri.
E naspa rau, ca nu am timpul necesar

Cimpanzeul de mine si-a rupt capul prin documentatia ubiquity Lite

[sammurai]

Pana la urma se pare ca era ceva de la RDS. Cel putin de 3 zile nu a mai picat.

Intre timp am revenit pe Asus AC68U.

[Bennedict]

@sammurai: As pune asa ceva daca as fi in locul tau.

[kretzu77]

Pierde HW NAT cu Tomato?

[Bennedict]

Cu DD-WRT se pierde cu Tomato nu cred; E chiar mai rapid cu tomato.

YouTube

[sammurai]

Cu ce m-ar ajuta Tomato tinand cont ca il folosesc pentru home use, nimic special?

[Bennedict]

Are o groaza de chestii si mi s-a parut ca se misca mai bine cu asta decat cu asuswrt, se incarca mai repejor paginile, e mai customizabil. s.a.m.d

[Arise]

Azi a venit o echipa de la Romtelecom (Telekom, whatever) și mi-au schimbat telefonia veche cu fibră optică.
Pozarea fibrei a ieșit nesperat de bine, iar în locul routerului vechi mi-au pus un router nou HG8247H

După ce m-am lămurit ce e cu router respectiv, au cerut la support să îmi activezi porturile 3,4 pentru acces internet și să nu am surprize și full con nat.

După ce am reconfigurat DNS-urile (Doamne mulțumesc pentru DNS-urile ținute la cloudflare, update așa instant nu am mai văzut) am remarcat că merge și NAT loopback - adică pot să îmi accesez serverele din rețeaua internă de pe device-urile de pe rețeaua internă folosind numele extern al serverului) chestie care nu mergea pe fostele două routere Romtelecom HG655b și HG658.

Routerul are default password root/admin dar nu toate setările sunt accesibile. Am văzut că cei de la suport au un cont special (username: romtelecom) cu care pot accesa remote și modifica setările "mai" speciale.

Are cineva idee care ar fi parola lor secretă?