Расширенная настройка dd-wrt
Общая информация
В статье рассмотрим ситуацию организацию связи между головным офисом некоторой компании (some company – someco) и некоторым складом.
На складе монтируется маршрутизатор поддерживающий прошивку DD-WRT. Для организации связи с головным офисом используется VPN подключение через сеть Интернет. Услуги предоставления доступа в сеть Интернет предоставляются оператором Yota. Подключение к сети Yota организуется посредством WiMAX модема Samsung SWC-U200 установленного в USB порт маршрутизатора.
Первоначальную настройку маршрутизатора рекомендуем производить через подключение по кабелю, не WiFi. По умолчанию, страница управления маршрутизатором доступна по адресу http://192.168.1.1
Настройка локальной сети
В каждом из офисов (складов) IP адреса используемые оборудованием должны быть уникальными (не повторяться). Для того чтобы это обеспечить, необходимо на вкладке «Установка -> Основные настройки» изменить IP адрес маршрутизатора. Рекомендуем изменять третью цифру после 192.168. Для каждого офиса необходимо назначать уникальную цифру. Пример экрана приведен на рисунке 1.
Рисунок 1. Назначение IP адреса маршрутизатора
После выполнения настройки необходимо нажать клавиши Сохранить и Применить. Маршрутизатор применит настройки, после чего необходимо будет зайти на страницу управления маршрутизатором по новому адресу. В нашем примере новый адрес http://192.168.2.1
Настройка беспроводной сети
Для выполнения настроек необходимо перейти на вкладку «WiFi -> Основные настройки». На данной странице необходимо указать Имя беспроводной сети (SSID). Рекомендуем в качестве имени ввести доменную часть сайта компании. В нашем примере компания имеет веб сайт www.someco.ru, поэтому в качестве имени SSID в примере используем someco.ru. В случае если ваш маршрутизатор поддерживает работ по стандарту 802.1n, то рекомендуем поле «Режим беспроводной сети» установить в значение «B и G». В других случаях значение поле «Режим беспроводной сети» рекомендуем не изменять. Пример экрана приведен на Рисунке 2.
Рисунок 2. Базовые настройки WiFi
После выполнения настройки необходимо нажать клавиши Сохранить и Применить.
Далее следует перейти на вкладку «WiFi -> Безопасность». На данной странице рекомендуем установить поле «Режим безопасности» в значение «WPA2 Personal», а поле «Алгоритм WPA» в значение «AES». В поле «Общий ключ WPA» следует указать пароль на подключение к WiFi сети, в дальнейшем его потребуется ввести на ноутбуке или компьютере. Пример экрана приведен на Рисунке 3.
Рисунок 3. Настройка безопасности WiFi
После выполнения настройки необходимо нажать клавиши Сохранить и Применить.
Настройка параметров DNS и DHCP серверов
В случае если компания имеет собственный DNS сервер до рекомендуем перейти на страницу «Службы -> Службы» и в поле «Домен LAN» наименование локального домена. Как правило оно совпадает с наименование контролера домена Active Directory. Для того чтобы с рабочих мест можно было обратится к серверам зарегистрированным в локальном DNS, следует в поле «Дополнительные опции DNSMasq» добавить строку вида «server=/someco/192.168.1.16″, где вместо someco указываем название локального домена, а вместо 192.168.1.16 указываем адрес DNS сервера который обслуживает данный домен. Если в компании имеется WINS сервер, то следует в поле «Дополнительные опции DNSMasq» добавить строку вида dhcp-option=44,192.168.1.17, где вместо адреса 192.168.1.17 следует указать адрес WINS сервера. Пример экрана приведен на рисунке 4.
Рисунок 4. Установка параметров DNS и DHCP
После выполнения настройки необходимо нажать клавиши Сохранить и Применить.
Настройка динамического DNS имени
Для обеспечения доступа к маршрутизатору из сети Интернет необходимо получение белого IP адреса в сети Yota и регистрация динамического DNS на сайте DynDNS.com или аналогичном. После того как динамическое имя было зарегистрировано можно приступить к настройке параметров маршрутизатора. Далее приводится пример для провайдера DynDNS.com.
Для установки параметров динамического DNS необходимо перейти на страницу «Установка -> DDNS» в списке провайдеров динамического DNS выбрать вашего провайдера. В нашем случае это DynDNS.com. В открывшихся полях ввести имя пользователя, пароль и имя хоста которое было зарегистрировано на сайте DynDNS.com. Пример экрана приведен на рисунке 5.
Рисунок 5. Установка параметров динамического DNS
После выполнения настройки необходимо нажать клавиши Сохранить и Применить.
Настройка доступа к консоли управления
Для обеспечения возможности управления маршрутизатором из сети Интернет необходимо перейти на страницу «Тех.обслуживание – Управление». В группе параметров «Удаленный доступ» установить поле «Управление через GUI» в значение «Включить», поле «Управление через SSH» в значение «Включить». В группе «Доступ через Web» у параметра «Инфо-сайт защищен паролем» выставляем галочку. Прочие поля рекомендуем не изменять. Пример экрана приведен на Рисунке 6.
Рисунок 6. Параметры доступа к консоли управления
После выполнения настройки необходимо нажать клавиши Сохранить и Применить.
Настройка VPN
Для обеспечения передачи данных между офисом компании и рабочими местами на складе возможно воспользоваться решением на базе технологии PPTP. В данном решение удаленный PPTP сервер должен быть сконфигурирован для работы в схеме «Site-to-Site VPN».
Для конфигурирования параметров PPTP соединения необходимо перейти на вкладку «Службы -> PPTP» и установить параметр «Опции клиента PPTP» в значение «Включить». В открывшихся полях указать адрес PPTP сервера, для примера примем pptp.someco.ru. Для обеспечения связи с офисом рекомендуем в поле «Удаленная подсеть» ввести значение 192.168.0.0, а в поле «Маска удаленной подсети» ввести значение «255.255.0.0″. Поле «NAT» рекомендуем установить в значение «Отключить». После чего следует ввести имя пользователя и пароль. Обратите внимание, что если имя пользователя содержит символ «\», то таких символов следует вводить два. Пример экрана приведен на рисунке 7.
Рисунок 7. Параметры VPN подключения
После выполнения настройки необходимо нажать клавиши Сохранить и Применить.
Предостережения
По результатам эксплуатации DD-WRT получен как положительный опыт, так в некоторых случаях и отрицательный. Хочу Вас предостеречь от использования маршрутизаторов с прошивкой DD-WRT в бизнес-центрах. Как впрочем рекомендовал бы в бизнес-центрах не использовать одиночные точки доступа. Связано это с тем что данный класс устройств неэффективно автоматически определяет наименее загруженный WiFi канал. Зачастую случаются ситуации когда две или более точек доступа различных компаний расположенных в бизнес-центре работают на одном и том же WiFi канале и конфликтуют друг с другом («глушат» друг друга). Практически это проявляется как увеличение значения ping-ов до сайтов, маршрутизатора.
Компаниям, заинтересованным в использовании WiFi в бизнес-центре, рекомендую использовать решения на базе WiFi контроллеров управляющих тремя и более точками доступа.
Также не стоит использовать VPN технологии на маршрутизаторе для организации доступа 10 и более сотрудников. Причина кроется в том что при передаче данных через VPN соединение организованом маршрутизатором сильно используется процессор и маршрутизатор макимально может передавать 5Мбит/с. Сравните с 70Мбит/с и более при обычном доступе в Интернет. При использовании VPN технологий подключаейте не более 10 рабочих мест.
Литература
Прошивка DD-WRT для Yota – В статье рассказывается о подготовке маршрутизаторов Asus к работе с прошивкой DD-WRT
@s.safarov
Не могли бы вы прояснить некоторые моменты в статье и т.п.:
1) «В каждом из офисов (складов) IP адреса используемые оборудованием должны быть уникальными… Рекомендуем изменять третью цифру…»
Предполагается, что для каждого офиса (склада) должен использоваться свой роутер?
2) «В случае если компания имеет собственный DNS сервер…»
Речь идет о головном офисе?
Предполагается, что в нем имеется доменная сеть с адресами 192.168.1.хх?
3) «Настройка динамического DNS имени»
Насколько я понимаю, для получения у Yota внешнего динамического IP адреса нужен «МАС адрес Вашего устройства (с) Yota».
Имеется ввиду WAN MAC (который виден на вкладке «Сведения о системе»)?
Он совпадает с MAC-адресом USB-модема или это какой-то другой адрес?
4) Вопрос по работе VPN
Как будет выглядеть работа склада после применения на роутере настроек PPTP?:
а) роутер установит VPN-соединение с сервером pptp.someco.ru от имени someco\\username, получив IP-адрес (WAN?LAN?) из пула 192.168.0.0-192.168.255.255
б) весь трафик от абонентов внутренней сети роутера 192.168.2.хх будет направляться на сервер pptp.someco.ru по VPN-соединению (т.е. доступ в интернет будет по-сути производиться через VPN-сервер головного офиса)?
5) Не надо ли менять тип соединения WAN?
@basilio ниже ответы на ваши вопросы
1) да, предполагается, что офисы(склады) располагаются в разных районах города, поэтому требуется на каждый офис/склад свой маршрутизатор;
2) как правило, да. Но в жизни очень прекрасно работают решения, когда этот сервер размещается в ЦОД. Адреса в головном офисе могут быть любыми, главное чтобы они были уникальными в пределах организации;
3) нет, речь о другом. Маршрутизатор периодически подключается к публичному DNS серверу и сообщает ему свой текущий IP адрес. После чего этот DNS сервер изменяет запись об имени этого маршрутизатора. Оборудование Yota для этого не задействуется;
4) следующие ответы
а) роутер установит VPN-соединение с сервером pptp.someco.ru от имени someco\\username, получив IP-адрес (для VPN интерфейса) из пула который прописан на данном VPN сервере (он может отличаться от 192.168.0.0-192.168.255.255);
б) если в качестве удаленной подсети будет прописано значение 0.0.0.0 и маска 0.0.0.0, то весь трафик пойдет через VPN соединение, в том числе трафик в сеть Интернет. Если в эти полях будут прописаны другие значения, то трафик в сеть Интернет пойдет «напрямую», в туннель пойдет только данные адресованные для сети указанной в поле «Удаленная подсеть»;
5) для организации VPN соединения тип WAN подключения менять не надо. Тип WAN подключения может потребоваться изменить в зависимости от того какой тип подключения предоставляет провайдер. Если это Yota, то тип WAN подключения менять не надо.
@s.safarov
Огромное спасибо за ответы! Очень полезная для меня информация.
Подскажите, можно ли реализовать такой вариант подключения:
а) роутер блокирует доступ из внутренней сети ко всем IP-адресам в интернете, кроме адреса VPN-сервера в головном офисе.
б) на компьютере внутренней сети создается VPN-подключение к серверу в головном офисе.
Таким образом, доступ к офисной сети и выход интернет (со склада) смогут получить только пользователи с соответствующими разрешениями на сервере головного офиса.
@basilio, да это возможно. Ваш случай «если в качестве удаленной подсети будет прописано значение 0.0.0.0 и маска 0.0.0.0, то весь трафик пойдет через VPN соединение, в том числе трафик в сеть Интернет». Политики доступа уже будут применяться установленые в центральном офисе.
@s.safarov
Да, но ведь в этом варианте роутер не является клиентом VPN.
Он просто должен блокировать все адреса кроме одного.
Как настроить такую политику блокировки?
Похоже, что через веб-интерфейс этого не сделать.
@basilio , у Вас есть три варианта:
а) залить прошивку, сделать так как написано в статье и комментариях, после чего понять как это работает;
б) обратиться к специалисту по маршрутизации в IP сетях и он пояснит как это работает;
в) таковые разъяснения могу дать я, но в рамках договора или просто платной консультации.
@s.safarov
ОК. Буду действовать последовательно, начиная с п. (а)