(!) Аутентификация по MAC-адресам на внешнем RADIUS-сервере в Ethernet-коммутаторах ZyXEL. Zyxel отправлять журнал на внешний сервер

(!) Syslog в ADSL-модемах P660RT2 и P660RU2 – Zyxel Russia Helpdesk

Как в ADSL-модемах P660RT2 и P660RU2 включить отправку системных журналов (логов) на сервер Syslog?

Модемы P660RT2, P660RU2, P660HT2 и P660HTW2 могут отправлять системные журналы (логи), содержащие предупреждения, системные сообщения и т.п., на специальный сервер Syslog, предназначенный для сбора и хранения системных сообщений.

Настроить отправку логов в модемах P660RT2 и P660RU2 на сервер Syslog (сервер системных журналов) можно только с помощью специальных команд.

Подключитесь к модему через telnet-соединение и в  режиме командной строки выполните следующие команды:

P660RT2> sys syslog mode onP660RT2> sys syslog server 192.168.1.33 (IP-адрес компьютера, на котором работает сервер Syslog)P660RT2> sys syslog facility 1 P660RT2> sys syslog type ffffP660RT2> sys syslog type

Приведем синтаксис и описание указанных выше команд для настройки отправки логов на сервер Syslog:

Команда	Описание
sys syslog mode [on|off]	Включить (on) или выключить (off) отправку системных сообщений на сервер Syslog.
sys syslog server [domainname|ip-address]	Указать доменное имя или IP-адрес сервера Syslog. В нашем примере 192.168.1.33 это IP-адрес компьютера, на котором установлен сервер Syslog.
sys logs syslog facility [localid]	Укажите источник сообщения. Local id - это номер источника сообщения, передаваемый в заголовке сообщения. Также эта функция дает возможность регистрировать сообщения в различных файлах на сервере Syslog. Например, Kiwi Syslog поддерживает семь файлов.
sys syslog type ffff	Укажите параметр ffff для отправки всех системных сообщений на сервер Syslog.

В модемах P660HT2 и P660HTW2 настройку отправки логов на сервер Syslog можно производить в веб-конфигураторе.

Подключитесь к веб-конфигуратору модема и зайдите в меню Maintenance (Сопровождение) > Logs (Регистрационные журналы) > закладка Log Settings (Настройки журналов).

В окне Log Settings (Настройки журналов) можно установить следующие параметры: куда модем должен отправлять журналы; расписание для отправки журналов и запись каких журналов модем должен производить.Журнальные записи отправляются по мере заполнения журнала.

Отправку системного журнала на внешний сервер Syslog нужно настраивать в разделе Syslog Logging (Системный журнал).Для активации системного журнала установите галочку в поле Active (Активировать). В поле Syslog Server IP Address (IP-адрес сервера системных журналов) введите имя сервера или IP-адрес сервера Syslog, который будет регистрировать выбранные категории сообщений. В поле Log Facility можно указать информацию об источнике сообщения. Например, устройства расположенные в месте A - будут отправлять сообщения с facility 1, а устройства расположенные в месте B - с facility 2. Тогда на Syslog-сервере, легко посмотреть, что происходит в месте A и что в месте B. Также возможно хранить логи (регистрировать сообщения) и в отдельных файлах на сервере Syslog, но это частный случай реализации Syslog-сервера.Local id - это номер источника сообщения, передаваемый в заголовке сообщения, в частном случае – номер файла на сервере.В разделе Active Log and Alert (Включить журналы и предупреждения) в столбце Log (Регистрационный журнал) выберите категории журнальных записей, которые необходимо регистрировать.Нажмите кнопку Apply (Применить), чтобы сохранить измененные настройки и выйти из этого окна.

KB-1898

kb.zyxel.ru

Настройка syslog в коммутаторах ZyXEL

Совсем надавно я описывал принцип настройки сервер syslog в OpenSUSE Теперь я хочу описать методику настройки syslog в сетевом оборудовании. В данном случае это будет коммутаторы ZyXEL. Все что для настройки потребуется — это заведомо настроенный local id на syslog сервере и немного времени для настройки коммутатора.

Немного теории.

С помощью протокола syslog устройства могут пересылать по IP-сети извещения о событиях серверам syslog, собирающим информацию о событиях. Устройства с поддержкой syslog позволяют генерировать сообщения syslog и отправлять их на сервер syslog.

Протокол Syslog определен в стандарте RFC 3164. RFC определяет формат пакета, содержание и относящуюся к системному журналу информацию в сообщениях syslog. Каждое сообщение syslog содержит определение категории (facility) и уровня важности (level). Категория syslog идентифицирует файл на сервере syslog. Уровни важности протокола syslog описаны в следующей таблице.

КОД УРОВЕНЬ ВАЖНОСТИ

0 Авария: система неработоспособна.

1 Тревога: требуются немедленные действия.

2 Критическое состояние: система находится в критическом состоянии.

3 Ошибка: обнаружена ошибка в системе.

4 Предупреждение: системой сгенерировано предупреждение.

5 Уведомление: нормальное, но важное состояние в системе.

6 Информация: информационное сообщение в журнале syslog.

7 Отладка: сообщение предназначено для отладки.

Настройка Syslog(WEB-интерфейс)

Чтобы отобразить показанный ниже экран, выберите в навигационной панели Management->Syslog. Функция syslog позволяет передавать записи системных журналов на внешний сервер syslog. На этом экране можно настроить параметры ведения системного журнала устройства.

Syslog Необходимо выбрать Active, чтобы включить syslog (ведение системного журнала) и настроить параметры syslog.

Logging Type В данном столбце отображаются имена категорий журналов, которые могут генерироваться устройством.

Active Необходимо установить данный переключатель, чтобы активировать на устройстве генерирование журнала соответствующей категории.

Facility В этом поле можно выбрать категорию журнала, чтобы записывать журналы в различные файлы на сервере syslog.

Apply Нажмите Apply, чтобы сохранить изменения в оперативной памяти коммутатора. Эти настройки будут утеряны в случае выключения коммутатора или перебоя в подаче питания, поэтому по завершении настройки необходимо нажать на ссылке Save в верхней навигационной панели для сохранения изменений в энергонезависимой памяти.

Cancel Нажмите Cancel, чтобы начать настройку на этом экране заново.

Настройка сервера Syslog(WEB-интерфейс)

Чтобы отобразить экран Syslog Setup, выберите в навигационной панели Management->Syslog. Нажмите на ссылке Syslog Server Setup. На открывшемся экране можно настроить список внешних серверов syslog.

Active Необходимо установить этот переключатель, чтобы включить на устройстве отправку журналов на сервер syslog. Можно снять выделение с переключателя, если необходимо внести запись о сервере syslog, но не отправлять на него журналы с устройства (запись можно изменить позднее).

Server Address Введите IP-адрес сервера syslog.

Log Level Необходимо выбрать уровень важности для сообщений, которые будут отправляться устройством на данный сервер syslog. Меньшие номера соответствуют более важным сообщениям системного журнала.

Add Нужно нажать кнопку Add, чтобы сохранить изменения в оперативной памяти коммутатора. Эти настройки будут утеряны в случае выключения коммутатора или перебоя в подаче питания, поэтому по завершении настройки необходимо нажать на ссылке Save в верхней навигационной панели для сохранения изменений в энергонезависимой памяти.

Cancel Начать настройку на этом экране заново.

Clear Возврат к заводским настройкам.

Index Порядковый номер записи сервера syslog. Нажатие на данный номер позволяет внести изменения в запись.

Active В данном поле отображается Yes, если устройство отправляет журналы на сервер syslog. Значение No означает, что журналы на сервер syslog устройством не отправляются.

IP Address В этом поле отображается IP-адрес сервера syslog.

Log Level В этом поле отображается уровень серьезности для сообщений, которые отправляются устройством на данный сервер syslog.

Delete Для удаления записи необходимо установить переключатель в столбце Delete этой записи и нажмите на Delete.

Cancel Начать настройку на этом экране заново.

Настройка Syslog(CLI)

В случае с настройкой syslog из командной строки необходимо выполнить команды, суть которых не имеет отличия с настройкой в Web-интерфейсе:

syslog syslog type system syslog type interface syslog type switch syslog type aaa syslog type ip syslog type system facility 1 syslog type interface facility 1 syslog type switch facility 1 syslog type aaa facility 1 syslog type ip facility 1 syslog server 192.168.1.1 level 7

Поделиться ссылкой:

worm.org.ua

Zyxel Keenetic Lite II - Keenetic

Основные возможности

• Технология Link Duo для одновременной работы в Интернете через PPTP/L2TP/PPPoE и с ресурсами серверов районной сети
• Возможность подключения к интернет-провайдерам, предоставляющим услуги на базе VLAN (IEEE 802.1Q)
• Возможность назначения нескольких дополнительных физических WAN-интерфейсов на порты встроенного коммутатора Ethernet (Multiple WAN)
• Аппаратная поддержка IP-телевидения TVport для просмотра телепередач на ресиверах IPTV и компьютерах, в том числе по Wi-Fi
• Межсетевой экран SPI с защитой от DDoS-атак
• Беспроводной интерфейс IEEE 802.11n MIMO 2x2 300 Мбит/с*
• Встроенный интернет-фильтр Яндекс.DNS
• Родителький контроль SkyDNS

 

Поддерживаемые функции и протоколы

• IPoE/PPPoE/PPTP/L2TP/802.1X
• Поддержка множественных PPP-туннелей для доступа в Интернет и подключения к виртуальным частным сетям (VPN)
• PAP/CHAP/MS-CHAP/MS-CHAP v2 
• MPPE (Auto/40/56/128)
• Полнофункциональная реализация VLAN на базе IEEE 802.1Q 
• Технология TVport 
• Технология Link Duo 
• DHCP (клиент/сервер)
• Работа со статическим адресом IP
• Двойной стек IPv4 + IPv6, работающий без дополнительных настроек. Туннель 6in4 для доступа в IPv6 из сетей IPv4 
• Механизм трансляции адресов (Full feature NAT) с поддержкой нескольких внешних IP-адресов; ; переназначение ролей сетевых интерфейсов.
• Таблица маршрутов (DHCP/ручная)
• Межсетевой экран с контролем соединений и гибкой системой правил фильтрации 
• Перенаправление портов с возможностью выбора порта назначения в локальной сети
• Переназначение ролей сетевых интерфейсов
• Автоматическое перенаправление портов (UPnP) 
• Блокировка доступа в Интернет на основании MAC-адреса, IP-адреса, TCP/UDP-портов 
• IGMPv1/IGMPv2 (IGMP proxy, IGMP snooping) 
• Транзит VPN-соединений (PPTP или L2TP)
• Клиент служб DynDNS и NO-IP 

 

Беспроводная сеть Wi-Fi

• IEEE 802.11 b/g
• IEEE 802.11n (авто 20/40 МГц, конфигурация 2x2, до 300 Мбит/с*)
• Диапазон частот - 2,4 ГГц
• Защита сети WEP/WPA-PSK/WPA2-PSK, контроль доступа по MAC-адресам
• Организация до четырех независимых беспроводных сетей на точке доступа Wi-Fi (Multiple SSID)
• Быстрая настройка WPS 
• Wi-Fi Multimedia (WMM)

 

Конструктивные особенности

• Процессор MIPS(R) 24KEc 580 МГц MediaTek MT7620N с сетевым аппаратным ускорителем
• Память DDR SDRAM 64 Мбайт
• 2 внешние антенны Wi-Fi (3 дБи, несъемные)
• 8 индикаторов состояния 
• Кнопка управления беспроводной сетью Wi-Fi
• Кнопка с назначаемой функцией (FN)
• Кнопка выключения питания
• Кнопка сброса пользовательских настроек

 

Физические параметры

• Размеры - 166 х 116 х 34 мм без учета антенн
• Масса - 0,22 кг без адаптера питания  

 

Условия эксплуатации

• Рабочий диапазон температур: от 0 до +40 °С
• Относительная влажность: от 20 до 95 % без конденсации
• Напряжение электропитания: переменное 100-240 В, 50/60 Гц

 

Диагностика и управление

• Веб-конфигуратор на русском языке
• Профессиональный интерфейс настройки через командную строку (Cisco like CLI)
• Текстовый файл конфигурации
• Возможность управления из внешней сети (веб-конфигуратор/CLI)
• Резервирование и восстановление конфигурации
• Программное обновление функций
• Системный журнал

keenetic.com

(!) Аутентификация по MAC-адресам на внешнем RADIUS-сервере в Ethernet-коммутаторах ZyXEL

Для чего в Ethernet-коммутаторах нужна аутентификация по MAC-адресам на внешнем RADIUS-сервере?

В Ethernet-коммутаторах ZyXEL существует поддержка механизма аутентификации портов RADIUS MAC Login или MAC Authentication, которая позволяет проверять права доступа клиентов к портам коммутатора с использованием внешнего RADIUS-сервера (сервера аутентификации). Коммутатор предусматривает проверку прав доступа (аутентификацию) к портам с использованием MAC-адреса (MAC-адрес будет использоваться вместо логина) и пароля клиента на внешнем RADIUS-сервере. Проверка прав доступа осуществляется с использованием протокола RADIUS (Remote Authentication Dial In User Service, RFC 2138, 2139). В Ethrenet-коммутаторе нужно заранее определить пароль, который будет использоваться для аутентификации по MAC-адресам. При подключении устройства пользователя к порту Ethernet-коммутатора, коммутатор получит MAC-адрес устройства и затем отправит этот MAC-адрес и пароль на внешний RADIUS-сервер для аутентификации пользовательского порта.

Рассмотрим более подробно как работает функция аутентификации по MAC-адресам (MAC Authentication) в Ethernet-коммутаторах ZyXEL.

При использовании аутентификации по MAC-адресам, коммутатор не запрашивает у пользователя параметров входа (как это происходит при использовании аутентификации на основе IEEE 802.1x). Параметрами входа являются MAC-адрес пользователя, подключающегося к порту коммутатора, а также пароль, настроенный на коммутаторе специально для аутентификации по MAC-адресам.

Предположим, имеется следующая схема:

Компьютер пользователя подключен к Ethernet-коммутатору, на котором включена функция MAC Authentication для аутентификации по MAC-адресу на внешнем RADIUS-сервере.

Настройку Ethernet-коммутатора будем производить через встроенный веб-конфигуратор.

1. Подключите компьютер через Ethernet-кабель к MGMT-порту коммутатора.2. По умолчанию IP-адрес на MGMT-порту  192.168.0.1/24.3. На сетевом адаптере компьютера установите IP-адрес 192.168.0.100/24.4. Откройте браузер (например, Internet Explorer) и введите в адресной строке URL-адрес http://192.168.0.1.5. По умолчанию для учетной записи администратора имя пользователя (username) и пароль (password) установлены соответственно - admin и 1234.6. После успешной авторизации вы увидите веб-конфигуратор Ethernet-коммутатора.7. Для начала нужно указать настройки сервера аутентификации (RADIUS-сервера). Зайдите в меню Advanced Application > Auth and Acct и перейдите на страницу RADIUS Server Setup, нажав на ссылку Click Here.

8. На странице RADIUS Server Setup укажите настройки RADIUS-сервера.В поле IP Address введите IP-адрес внешнего RADIUS-сервера.В поле UDP Port укажите номер порта по которому производится аутентификация на RADIUS-сервере. По умолчанию аутентификация на RADIUS-сервере производится через порт 1812. Изменять это значение не следует, за исключением тех случаев, когда об этом попросит администратор сети.В поле Shared Secret укажите пароль (до 32 алфавитно-цифровых символов), который будет служить общим ключом для внешнего RADIUS-сервера и Ethernet-коммутатора. Этот ключ не пересылается по сети. Ключ должен быть одинаковым на внешнем RADIUS-сервере и коммутаторе.

9. Затем зайдите в меню Advanced Application > Port Authentication для включения аутентификации портов. Перейдите на страницу MAC Authentication, нажав на ссылку Click Here.

10. На странице MAC Authentication установите галочку в поле Active, чтобы разрешить аутентификацию по MAC-адресам на коммутаторе.Примечание: Прежде чем приступать к настройке аутентификации по MAC-адресам на каждом порту, необходимо включить ее на коммутаторе.

В поле Name Prefix введите префикс имени, который будет добавляться ко всем MAC-адресам, отправляемым на RADIUS-сервер для аутентификации. В поле можно ввести до 32 печатных символов ASCII. Если оставить это поле пустым, то на RADIUS-сервер будет отправляться только MAC-адрес пользователя.Например, если в качестве префикса имени вы используете zy-, а MAC-адрес компьютера 00-16-01-44-19-12, то во время процедуры аутентификации, коммутатор будет отправлять zy-00-16-01-44-19-12 вместо логина на внешний RADIUS-сервер.

В поле Password введите пароль, который коммутатор будет отправлять вместе с MAC-адресом пользователя на RADIUS-сервер для аутентификации. В поле можно ввести до 32 печатных символов ASCII. В нашем примере используется пароль zyxel.

В поле Timeout укажите период времени, по прошествии которого коммутатор разрешит пользователю с MAC-адресом, отвергнутым при аутентификации, повторитьпопытку аутентификации. Максимальное значение равно 3000 секунд. Когда пользователь не проходит аутентификацию по MAC-адресу, его MAC-адрес запоминается в таблице MAC-адресов с указанием статуса запрета. Указанный в данном поле период тайм-аута представляет собой время, в течение которого такой MAC-адрес будет находиться в таблице MAC-адресов; по прошествии этого времени запись удаляется. Если указать в этом поле значение тайм-аута 0, то удаление записей из таблицы MAC-адресов не производится.

Выберите порт на Ethernet-коммутаторе, на котором вы хотите включить функцию MAC Authentication.В столбце Active напротив нужного номера порта установите галочку, чтобы разрешить аутентификацию по MAC-адресам на этом порту.

11. После настройки функции MAC Authentication в Ethernet-коммутаторе, нужно настроить RADIUS-сервер. В нашем примере используется RADIUS-сервер - WinRadius. 

Загрузите и распакуйте архивный файл, содержащий программу WinRadius, на RADIUS-сервере. Затем запустите файл WinRadius.exe.

12. После запуска программы зайдите в меню Setting > System.

В появившемся окне в поле NAS Secret укажите пароль (до 32 алфавитно-цифровых символов), который будет служить общим ключом для внешнего RADIUS-сервера и Ethernet-коммутатора. Ключ должен быть одинаковым на внешнем RADIUS-сервере и коммутаторе. В Ethernet-коммутаторе данный пароль ранее был указан в меню Advanced Application > Auth and Acct > RADIUS Server Setup в поле Shared Secret.

13. Теперь нужно создать тестовые учетные записи пользователей для проверки функции аутентификации по MAC-адресам. В программе WinRadius нажмите на значок + для добавления новой учетной записи.

14. Узнать какой MAC-адрес (физический адрес) используется на компьютере можно с помощью команды ipconfig /all, выполнив ее в режиме командной строки  операционной системы. Подробную информацию о том, как узнать физический адрес (MAC-адрес) сетевого адаптера вашего компьютера можно найти в следующей статье: «Как в Windows посмотреть настройки сетевой карты (IP-адрес, MAC-адрес и IP-адрес шлюза провайдера)?»

ВАЖНО: Пожалуйста, используйте действительный MAC-адрес вашего сетевого адаптера и не используйте тот, который указан в нашем примере.

В открывшемся окне Add user в поле User name укажите MAC-адрес с префиксом в начале (в нашем примере используется префикс имени zy-).В поле Password укажите пароль, который вы ранее указали в Ethernet-коммутаторе в меню Advanced Application > Port Authentication > MAC Authentication в поле Password. В нашем примере используется пароль zyxel.

15. В логах программы вы можете увидеть, что учетная запись пользователя была создана.

16. Теперь подключите компьютер к порту 1 Ethernet-коммутатора и выполните пинг до IP-адреса 192.168.1.100 (RADIUS-сервер). Убедитесь, что пинг проходит.

В логах WinRadius вы можете увидеть, что аутентификация была выполнена успешно.

17. Убедившись, что функция MAC Authentication работает, выполните другой тест, изменив MAC-адрес на другой (поддельный). Так как изменить User name в WinRadius изменить нельзя, то нужно удалить старый User name и создать новую учетную запись с поддельным MAC-адресом. Удалите учетную запись, нажав на значок - и указав в строке User name логин, который вы хотите удалить. В логах WinRadius вы можете увидеть, что учетная запись была удалена. Теперь отключите компьютер от Ethernet-коммутатора.

18. Cоздайте новую учетную запись с поддельным MAC-адресом. В нашем примере, в поле User name указано значение zy-11-11-11-11-11-11.

19. Снова проверим работу функции MAC Authentication. На этот раз аутентификация не должна быть выполнена.20. Подключите компьютер обратно к порту 1 Ethernet-коммутатора. Выполните пинг до IP-адреса 192.168.1.100 (RADIUS-сервер). Убедитесь, что пинг не проходит. В логах WinRADIUS вы можете увидеть сообщение о неудачной аутентификации.

kb.zyxel.ru

Настраиваем 6in4 на роутерах Zyxel Keenetic / Хабр

Ни для кого не секрет что IPv4 адресов в свободной раздаче больше нет и не будет и эта фраза скорее всего вызовет много холивара, но все таки — будущее за протоколом IPv6. На сегодняшний день не очень большое количество интернет провайдеров (имеется ввиду провайдеры домашнего интернета, а не транзитники) поддерживают полноценную работу с IPv6, но я думаю попробовать работу с новым протоколом уже хочется.

Для этого у нас есть постоянный публичный IPv4 адрес, интернет центр Zyxel Keenetic Ultra с последней версией операционной системы NDMS:v2.02, которая уже поддерживает Dual Stack и IPv6 туннельный брокер. В интернете существует множество туннельных брокеров как платные, так и бесплатные, список приводить не буду что бы не сочли за рекламу. Кому интересно как это настраивается добро пожаловать под кат

В KB Zyxel есть Инструкция для веб интерфейса роутера по настройке 6in4 туннеля, но по ней IPv6 через Wi-Fi у меня не заработал (а именно раздача IPv6 на клиента), через LAN порты я этого не проверял. По причине «бедности» этого самого web интерфейса настройку роутера мы будем проводить через cli.

Итак логинимся по telnet на наш роутер и авторизуемся с теме же учетными данными что и в web конфигураторе роутера. Если ничего не меняли в учетке (tag cli, tag http) то должно пустить. Попадаем в меню конфигурации и начинаем нашу настройку В начале идем в конфигурацию параметров системы и разрешаем передачу трафика по протоколу ipv6

(config)> system set net.ipv6.conf.all.forwarding 1 Далее создаем и настраиваем наш туннельный интерфейс(config)> interface TunnelSixInFour0 (config-if)> description 6in4_tunnel - описание туннеля (config-if)> ip remote xxx.xxx.xxx.xxx - ipv4 адрес сервера с которым устанавливаем туннель (config-if)> ipv6 address xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx - ipv6 адрес который выдал туннельный брокер, обычно идет с 64 префиксом, но здесь его указывать не нужно (config-if)> ipv6 prefix xxxx:xxxx:xxxx::/xx - ipv6 префикс который выдал туннельный брокер и который можно выделить вашим клиентам, обычно /48 (config-if)> ipv6 name-servers auto - автоматическое получение IPv6 адреса DNS-сервера который тоже обычно есть у брокера (config-if)> ipv6 force-default - маршрут по умолчанию через этот интерфейс выглядит как (::/0 | :: | TunnelSixInFour0) (config-if)> up - включаем интерфейс (config-if)> exit - выходим из контекста конфигурации интерфейса. Вот собственно этот конфиг и делает то, что указано в инструкции в KB, но этого не достаточно для работы IPv6 на клиентах. Теперь нам нужно повесить IPv6 адрес на интерфейсе который звучит как Home (Это бриджовый интерфейс который совмещает в себе правила на Wi-Fi сети и Lan). делается это следующим образом(config)> interface Bridge0 (config-if)> ipv6 address auto (config-if)> exit кому интересно вот полный конфиг интерфейса! interface Bridge0 name Home description "Home network (Wired and wireless hosts)" inherit Switch0/VLAN1 include AccessPoint include AccessPoint_5G security-level private ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx ip dhcp client dns-routes ip dhcp client name-servers igmp downstream ipv6 address auto up ! Остались последние штрихи — создание подсети, которую мы получили префиксом от провайдера и прикрепление ее к интерфейсу Bridge0(config)> ipv6 subnet 6in4_prefix - создаем подсеть (config-subnet)> bind Home - вешаем ее на наш бриджовый интерфейс (config-subnet)> number 0 - нумерация по порядку (если не напишете, создастся автоматически) (config-subnet)> mode slaac - включение slaac, анонс сети который работает через ICMPv6-RA (config-subnet)> exit можем добавить сюда еще IPv6 DNS-сервера(config)> ipv6 name-server xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx Посмотрим поднялся ли наш интерфейс(config)> show interface TunnelSixInFour0 index: 0 type: TunnelSixInFour description: 6in4_tunnel state: up link: up connected: yes mtu: 1480 tx-queue: 0 Core::Configurator: done. Посмотрим ходит ли через него трафик (config)> show interface TunnelSixInFour0 stat rxpackets: 6322 rxbytes: 751914 rxerrors: 0 rxdropped: 0 txpackets: 29599 txbytes: 1364490 txerrors: 2 txdropped: 0 Core::Configurator: done. Примерно такую картину вы можете увидеть если все хорошо. Также в веб интерфейсе вкладке Системный монитор -> IPv6 должны появится: IPv6 адрес оконечника вашего туннеля, висящий на интерфейсе TunnelSixInFour0, с действительностью infiniteIPv6 адреса ваших клиентских устройствПрефикс полученный от брокераМаршрут в интернет ::/0 с шлюзом :: и интерфейсом TunnelSixInFour0Маршруты вида xxxx:xxxx:xxxx::/64 с шлюзом :: и интерфейсом Home к вашим клиентским компьютерам Сохраним конфигурацию через веб интерфейс или cli(config)> system config-save Вот собственно настройка завершена и если на клиентском компьютере есть поддержка ipv6 протокола то ping -6 ipv6.google.com будет удачным. Можно также зайти на test-ipv6.com, спасибо agmt Еще конечно можно было бы закрутить гайки ACL, но на данном роутере IPv6 ACL не поддерживаются.

UPD. Уже неделю туннель работает нормально, обрывов не замечено, процессор роутера в загрузке 6%, память 7%, входящего трафика прошло порядка 7 гб (думаю что это Youtube, кстати при просмотре видео тормозов не возникало), единственный нюанс что у меня используется украинский брокер туннеля и яндекс с гуглом определяют мое местонахождение в Киеве, но думаю поменять это у Вас проблем не возникнет. UPD. Всё таки 6in4 а не 6to4, спасибо llivejo На этом все, строго не судите первая статья на хабре.

habr.com

Получаем полноценный Linux и сопутствующие плюшки на Zyxel Keenetic без перепрошивки

С недавного я времени стал обладателем Zyxel Keenetic. И моя симпатия к Linux не могла не дотянуться и до этого интернет-девайса. В этом топике я расскажу как можно получить полноценный root и расширить возможности Keenetic'а.

Toolchain, кросс-компиляция и много других страшных слов

Есть много способов получить root на этом устройстве, но все они связаны с перепрошивкой или компиляцией: начиная от использования unsquashfs и заканчивая компиляцией с использованием toolchain. Кстати, zyxel выложил официальный toolchain для этой версии. Его можно найти на сайте производителя.

Небольшое отступление. Скажу лишь, что если вы решили компилировать свои приложения, то лучше брать сторонний toolchain. Скачать его можно здесь. В нём отключена компиляция ядра и сборка файла прошивки и много других правок. Подробнее здесь. Компиляция приложений не входит в рамки данного топика. На хабре про это можно почитать здесь и здесь.

Надеюсь я вас достаточно напугал ссылками про toolchain и кросс-компиляцию и мы можем перейти к лёгкому варианту получения root :)

Респект и уважуха

Разыскивая инфу про героя данного топика я набрёл на топик на одном форуме. Не буду заставлять вас перечитывать всю ветку, просто опишу последовательность действий. Кстати стоит сказать огромное спасибо zyxmon'у. Чьими стараниями мы можем легко получить root и много разных вкусностей на Zyxel Keenetic. О вкусностях я расскажу дальше.

Приступим

Для получения root нам понадобится только usb флёшка или HDD. Отформатируем её в ext2 или ext3. Скачаем отсюда ext_init.sh.tar.gz или ext_init.sh.zip. Распакуем архив и разместим на нашем отформатированном носителе, в директории system/bin, файл ext_init.sh. Не забудем сделать chmod +x ext_init.sh. Далее мы просто вставляем наш usb носитель информации в девайс и ждём пока в логах не появится следующее:

root Downloading busybox root Unpacking busybox root Downloading system root Unpacking system root Generating rsa/dss keys for dropbear root Starting dropbear dropbear[4261] Running in background

Эти радостные строчки говорят что теперь мы можем зайти на наш девайт через ssh. Логин — root, пароль — zyxel.

Сразу после захода выполняем finish_install.sh в консоле. Этот скрипт создаст нам swap файл, т.к. оперативки на keenetic'е не так много. Мы должны увидеть примерно следующее:

/media/DISK_A1/system/root # finish_install.sh Creating swap file. Please wait... 128+0 records in 128+0 records out Setting up swapspace version 1, size = 134213633 bytes

Если с первого раза посыпятся ошибки — запускайте ещё раз. У меня получилось только раза с 3-го. Файл подкачки создаётся единожды — больше запускать finish_install.sh не нужно.

Не забываем сменить стандартный пароль с помощью passwd.

Плюшки

Помимо root мы получаем и большой список пакетов приложений и библиотек для keenetic. Весь список можно посмотреть здесь.

Обновить список пакетов мы можем командой opkg update, а просмотреть с помощью opkg list.

Теперь наконец мы можем поставить midnight commander: opkg install mc.

К сожалени на данный момент плюшек не так много, однако уже сейчас мы можем поставить себе lighttpd + php :) Да и установить обновлённый transmission. Особо хочу отметить minidlna, с помощью которого мы можем смотреть скачанные фильмы на телевизоре прямо с keenetic'а.

После установки minidlna стоит отредактировать путь до ваших медиа-файлов в system/etc/minidlna.conf. Далее делаем первый запуск после утановки: /media/DISK_A1/system/etc/init.d/S50minidlna start. Если у вас прошивка без INOTIFY, то добавленные файлы автоматически индексироваться не будут. Нужно сделать touch file_name.

На последок скажу что все файлы, пакеты находятся на нашем usb носителе. И после его вытаскивания и перезагрузки мы получаем опять самый обычный keenetic.

Список пакетов периодически пополняется, а если есть желающие — то могут помочь zyxmon'у с этим :)

UPD. Zyxmon начал описывать более подробно здесь.

habr.com

tunelej - Пакеты opkg для ZyXEL Keenetic

Иногда возникает необходимость доступа к разным ресурсам домашней сети в то время, когда вы находитесь на работе/даче/у друзей/в отпуске/гостевом Wi-Fi и т.д. Одно из возможных решений - использование ssh-туннелей для безопасного доступа к домашнему роутеру и ресурсам домашней LAN сети. При использовании этого варианта ВЕСЬ передаваемый трафик между клиентом и домашней сетью (включая и информацию, которая при обычных условиях передается в открытом виде) будет зашифрован с использованием выбранных на сервере dropbear алгоритмов шифрования. Это даст дополнительную защиту Ваших данных от перехвата (в гостевом Wi-Fi это сильно актуально), но и в связи с этим необходимо учитывать, что этот способ не самый лучший выбор для передачи больших объемов информации (т.к. весь передаваемый поток сначала будет подвергнут шифрованию, а после передачи - расшифровке, что повлечет повышенную нагрузку как на роутер, так и на клиентское рабочее место).

Немного теории из википедии: Большинство программ для установления соединения используют протокол TCP, который можно передавать через безопасный туннель используя протокол SSH. Так можно устанавливать множество дополнительных TCP соединений внутри одного ssh соединения. Это удобно для сокрытия соединений и шифрования протоколов, которые являются небезопасными и для обхода фаерволов. UDP соединения иногда тоже возможно туннелировать с помощью дополнительных программ, например, netcat.

Поясню мысль в слегка упрощенном виде. Большинство используемых протоколов (telnet, http, ftp, pop3, imap4, smtp, smb, rdp и т.д.) передают данные и параметры аутентификации в текстовом виде без шифрования. Это значит, что нехороший человек (впрочем, необходимо отметить, что довольно квалифицированный) может проанализировать пакеты, передающиеся по интернету в адрес роутера, и извлечь ваши логины и пароли, читать вашу почту и т.д. Именно поэтому крайне не рекомендуется открывать на интерфейсе WAN лишние порты. Все данные, передаваемые по протоколу ssh (включая явки и пароли), зашифрованы с использованием стойкой криптографии. В протоколе ssh заложена возможность создать защищенное соединение и передавать внутри него данные по незащищенным протоколам, причем извне весь траффик будет выглядеть как зашифрованный. Это и есть ssh туннели, использование которых позволяет получить доступ к ресурсам LAN путем установления защищенного соединения. Для этого требуется открыть только один порт в WAN , а именно порт на котором слушает ssh сервер (по умолчанию 22).

Что требуется:

1. Наличие внешнего (так называемого «белого») IP адреса, либо, если у вас «серый» IP адрес, то - «проброшенного» до вас провайдером одного порта. Т.н. «серые» (или «частные», «приватные») IP адреса - это адреса из диапазонов 10.0.0.0 — 10.255.255.255, 172.16.0.0 — 172.31.255.255 и 192.168.0.0 — 192.168.255.255. Кроме этого IP адрес может быть статическим, либо динамическим - тогда вам потребуется зарегистрироваться на каком-нибудь сервисе, предоставляющем доменное имя (например, http://www.dyndns.org , http://www.no-ip.com) и настроить эту учетную запись через web интерфейс роутера (Стартовая страница - Интернет - Доменное имя), чтобы обеспечить обновление вашего динамического IP адреса на выбранном сервисе. В этом случае в дальнейшем с роутером нужно будет соединяться используя полученное доменное имя.

2. ssh сервер должен быть установлен и запущен на роутере.

3. Настройки на роутере с целью доступа к ssh серверу (dropbear) из интернета.

4. Установка и настройка ssh клиента на удаленной машине, с которой мы будем подключаться через ssh туннели к домашней сети.

Установка и настройка роутера

1. Требования первого пункта по IP адресу (либо «пробросу» портов) - сугубо организационные и решаются с домашним провайдером на стадии заключения договора подключения к сети Интернет. Если провайдер не предоставляет такой услуги, то описанными в этой статье способами получить доступ из интернета к роутеру и домашней локальной сети невозможно.

2. Подробно установка системы opkg (в том числе и ssh сервера dropbear) описана в статье "Установка системы opkg." Сервер dropbear может быть запущен не только на порту по умолчанию (порт 22), но и на любом другом. Чтобы изменить порт по умолчанию (22), прослушиваемый сервером dropbear на нужный порт (например 45017), через PuTTy по ssh заходим на роутер и любым удобным способом корректируем файл /media/DISK_A1/system/etc/init.d/S10dropbear . Строка запуска dropbear в секции «start» должна выглядеть так:

$DROPBEAR -p 45017 -d $DSS -r $RSA

ВНИМАНИЕ !!! В дальнейшем везде в статье предполагаем, что dropbear у нас будет запущен на порту 45017.

Чтобы изменения вступили в силу - перегружаем роутер. После перезагрузки роутер будет доступен из домашней сети по установленному порту 45017 (не забудьте откорректировать свойства соединения в PuTTy ). Для еще бОльшей защиты и удобства возможно настроить авторизацию по приватным ключам.

3. Для настройки доступа из интернета к роутеру по ssh протоколу добавляем в автозапуск следующие строки:

iptables -I INPUT -p tcp --dport 45017 -j ACCEPT iptables -I INPUT -i lo -j ACCEPT

Первое правило позволяет роутеру принимать входящие соединения по порту 45017, второе правило необходимо для нормального хождения пакетов внутри роутера между интерфейсами. В «автозапуск» их можно добавить двумя способами:

• добавить правила в секцию start скрипта запуска dropbear /media/DISK_A1/system/etc/init.d/S10dropbear

• создать исполняемый файл /media/DISK_A1/system/etc/firewall.d/fw.sh следующего содержания:

#!/bin/sh iptables -I INPUT -p tcp --dport 45017 -j ACCEPT iptables -I INPUT -i lo -j ACCEPT

Второй способ является бОлее правильным. Главное отличие между ними:

• при корректировке скрипта запуска dropbear правила iptables добавляются каждый раз при старте ssh сервера dropbear.

• при корректировке скрипта fw.sh правила iptables добавляются каждый раз при поднятии соединения на интерфейсе роутера. Если у вас pptp, l2tp и т.п. соединение с провайдером, то используйте именно этот вариант.

Чтобы изменения вступили в силу - необходимо перегрузить роутер.

На этом настройка Zyxel Keenetic/Keenetic Giga закончена, проверяем доступность роутера по ssh из интернета и переходим к настройке удаленной машины, с которой планируем подключаться к домашней сети.

Установка и настройка клиентского компьютера

ВНИМАНИЕ !!! В дальнейшем под «клиентским компьютером» или «удаленным компьютером» предполагаем компьютер, с которого будем соединяться с роутером из интернета (ноутбук, нетбук, комп на работе и т.д.)

ВНИМАНИЕ !!! В дальнейшем предполагаем, что мы хотим получить доступ из интернета к компьютеру в локальной сети с адресом 192.168.1.39 по 80 порту (web сервер) и нашему роутеру Zyxel Keenetic с адресом на LAN интерфейсе 192.168.1.1 по порту 9091 (RPC transmission, например). В вашем случае адреса и порты могут быть другими и зависят от настроек локальной сети и приложений.

Настройка доступа на Unix клиенте

4.1 Если на удаленном компе стоит *nix, то ssh туннель может быть установлен с помощью программы ssh из состава openssh. Использование:

ssh keenetic.zapto.org -p 45017 -L8890:192.168.1.39:80 -L8891:192.168.1.1:9091

«keenetic.zapto.org -p 45017» - внешнее доменное имя (IP адрес) роутера и порт, на котором запущен dropbear. Следующая часть -L8890:192.168.1.39:80 -L8891:192.168.1.1:9091 означает, что после установки ssh соединения с роутером и до момента завершения этого соединения, локальный порт 8890 клиентского компьютера будет проброшен на 192.168.1.39:80 и локальный порт 8891 клиентского компьютера будет проброшен на 192.168.1.1:9091. При необходимости/желании иметь более продвинутые функции или GUI интерфейс - обратите внимание на программы:

• autossh - Automatically restart SSH sessions and tunnels

• remmina - The GTK+ Remote Desktop Client

• BitwiseSSHTunellier - описание здесь же ниже. Хоть и написан для работы с творением мелкомягких, но прекрасно работает под вайном и исключительно удобен.

4.2 Как более распространенный вариант, в дальнейшем предполагаем, что в качестве удаленной машины (с которой будем подключаться к домашней сети) имеем компьютер с Windows. Доступ к домашней сети возможно настроить несколькими способами.

• С помощью BitwiseTunellier или аналогичных программ.

Первый способ хорош когда соединяться с домашней сетью необходимо с компьютера, на который по каким-то причинам нежелательно ставить дополнительное программное обеспечение (используем portable версию PuTTy и запускаем ее с флешки). Второй способ более удобен при частом использовании и идеально подходит для установки на личный ноутбук/нетбук, подключаемый к интернету в отпуске/на даче/в командировке и т.д.

Настройка доступа с помощью PuTTy

Устанавливаем PuTTy, создаем соединение с роутером. При верно выполненных настройках п. 1-3 уже имеем доступ к роутеру из интернета по ssh.

Чтобы настроить доступ к другим ресурсам роутера и локальной сети идем в PuTTy в свойства соединения с роутером, далее Connections-SSH-Tunnels. Пункт «Local ports accept connections from other hosts» должен быть включен (если «галки» нет, то - ставим), Source port указываем 8890, Destination указываем 192.168.1.39:80. Жмем Add, переходим в пункт Session, сохраняем изменения в сессии соединения с роутером. Этими действиями мы добавили проброс порта 80 компьютера 192.168.1.39 из домашней сети на порт 8890 клиентского (удаленного) компьютера. Смотри скриншоты 1-3 ниже.

Аналогично настраиваем доступ к RPC transmission через ssh туннели: в PuTTY идем в свойства соединения с роутером, далее Connections-SSH-Tunnels. Пункт «Local ports accept connections from other hosts» должен быть включен (если «галки» нет, то - ставим), Source port указываем 8891, Destination указываем 192.168.1.1:9091. Жмем Add, переходим в пункт Session, сохраняем изменения в сессии соединения с роутером. Этими действиями мы добавили проброс порта 9091 роутера 192.168.1.1 из домашней сети на порт 8891 клиентского (удаленного) компьютера. Смотри скриншот 1-3 ниже.

Как это работает:

На удаленном компьютере соединяемся через PuTTy с роутером по ssh, вводим логин/пароль, окно PuTTy сворачиваем.

Запускаем на удаленном компьютере браузер, вводим в адресной строке http://127.0.0.1:8890 и попадаем на страницу 192.168.1.39:80 (web сервер).

Запускаем на удаленном компьютере браузер, вводим в адресной строке http://127.0.0.1:8891 и попадаем на страницу 192.168.1.1:9091 (RPC transmission). Если вы пользуетесь Transmission Remote GUI (или аналогичными программами), то в свойствах соединения указываем сервер 127.0.0.1 порт 8891 и попадаем на transmission роутера.

Вместо всех приведенных выше примеров локальных http туннелей можно сделать один единственный динамический туннель, при этом ssh сервер будет выполнять функции socks proxy: putty: Source port 1080, ставим галку около Dynamic, добавляем туннель, сохраняем изменения в сессии соединения PuTTy с роутером. Далее, естественно, устанавливаем ssh соединение с роутером, вводим учетные данные - все, socks proxy работает. После этого в настройках firefox (или своего браузера) указываем SOCKS5 proxy: localhost:1080 и мы внутри домашней сети (т.е. нам вообще будут доступны адреса типа http://192.168.1.1:9091 и http://192.168.1.39:80 ). Смотри скриншоты 4-5 ниже.

ВНИМАНИЕ !!! Соединения по другим портам / IP адресам настраиваются аналогично. Туннели пробрасываются только если в PuTTy (или ssh) установлено соединение с роутером. Если соединение с роутером прекращено, туннели также перестают работать. Т.е окно PuTTy или ssh (с активным ssh соединением с роутером) должно оставаться открытым все время работы приложений через туннель.

Настройка доступа с помощью BitwiseTunellier

Скачиваем и устанавливаем Bitvise SSH Client (Tunnelier). Приложение распространяется свободно для индивидуального использования, более подробно смотри EULA. Bitvise SSH Client (Tunnelier) написан под Windows, но успешно работает и в Unix системах под эмулятором wine. На вкладке «Login» заполняем внешний IP адрес (доменное имя) роутера, порт соединения, учетные данные. На вкладке «C2S forwarding» заполняем все поля (там все интуитивно понятно). Для примера:

Сохраняем правило проброса порта.

Сохраняем правило проброса порта.

SOCKS/HTTP Proxy forwarding настраивается на вкладке «Services». Сохраняем профиль, соединяемся с роутером - в результате получаем проброс 192.168.1.39:80 на 127.0.0.1:8890 и 192.168.1.1:9091 на 127.0.0.1:8891. Для автозапуска сохраненного профиля с именем Zyxel_Keenetic делаем (при необходимости - помещаем в автозагрузку) ярлык:

"C:\Program Files\Bitvise SSH Client\BvSsh.exe" -profile=C:\Progra~1\Bitvis~1\Zyxel_Keenetic.bscp -loginOnStartup

. Все возможные задаваемые из командной строки параметры выдаются по запуску

C:\Program Files\Bitvise SSH Client\BvSsh.exe -help

Источники / Полезные ссылки:

keenetic.zyxmon.org

---

• 
  183 стрелковая дивизия журнал боевых действий
• 
  Журнал управление качеством образования официальный сайт
• 
  Электронный журнал нет сити чеб ру
• 
  Интернет журнал место для шага вперед
• 
  Журнал операций по забалансовым счетам 99
• 
  Простые уроки рисования журнал официальный сайт
• 
  В каком журнале фиксируют целевой инструктаж
• 
  Вестник всероссийской гильдии протезистов ортопедов журнал
• 
  Как пользоваться кредитной картой тинькофф журнал
• 
  Журнал драгоценный свод на русском языке
• 
  Новые узоры спицами 2017 из журналов