classic.ISPforum.cz

Ahoj,

řeším takovou teorii. Máme v síti stovky Wi-Fi routerů TP-Link WR841 kde je samozřejmě z důvodu bezpečnosti vypnutý remote management. Pokud bych přece jen já jako provider potřeboval na dálku v routerech zákazníků něco změnit, jsou nějaké možnosti? Např přes DHCP Option tam dostat adresu ACS serveru pro TR-069 konfiguraci? Zákazníci mají routery typicky v defaultním nastavení, maximálně mají změněné SSID a WPA klíč. Na WAN portu je DHCP client.

https://www.qacafe.com/tr-069-training/acs-discovery/

Řešili jsme dříve, nejlepší a nejjednodušší řešení je udělat z toho jen ap a nemít to jako router.

Asi tak. Pouzivame TPlinky jenom jako AP v bridgi a pro pristup se da potom jednoduse pouzit tunel udelanej pres prijimaci UBNT(mikrotik) zarizeni

Navíc jako přidáná hodnota vidím v domácnosti zařízení, případně i další wifiny. Další věc je propustnost je někdy lepší v bridge módu.

Takže co pak mají klienti jako router? Nic, Mikrotik?

Klienti pak mají na výběr. Nemusejí mít nic (jen sítová karta), případně switch, AP, nebo v krajním případě i router ale pak jsou 2x za NATem.
Takže pokud vybíráš jakou wifi mikrotik tak to může být jakákoliv

honzam píše:nebo v krajním případě i router

No to mě potěš. Systém, že klientská LAN (kde jsou zařízení výhradně v majetku klienta) leze někam do sítě ISP je prostě zhovadilost. Měl by vždy existovat jasně definovaný bod kde je rozhraní "zodpovědnosti" ISP a klienta.

To je mile ale potom riesit to, ze si to maju ludia zapajat pre nich nelogicky do lan portu a wan je nepouzity....vacsina to nechape a nacpu si to do wan aj tak. Okrem toho pri tplinku v bridge sa ako nadialku dostanete ked to nema gateway ?

Gemb píše:To je mile ale potom riesit to, ze si to maju ludia zapajat pre nich nelogicky do lan portu a wan je nepouzity....vacsina to nechape a nacpu si to do wan aj tak. Okrem toho pri tplinku v bridge sa ako nadialku dostanete ked to nema gateway ?

Kombinací dst-nat a src-nat.

rsaf píše:

honzam píše:nebo v krajním případě i router

No to mě potěš. Systém, že klientská LAN (kde jsou zařízení výhradně v majetku klienta) leze někam do sítě ISP je prostě zhovadilost. Měl by vždy existovat jasně definovaný bod kde je rozhraní "zodpovědnosti" ISP a klienta.

Proč zhovadilost? Máme to tak všude. ISP provádí NAT a DHCP. Pokud si zákazník koupí wifi od nás tak je v režimu AP. Pokud si ji koupí a nastaví sám tak ho informujeme aby ji dal do režimu AP. Pokud ji nechá v režimu Router (NAT) tak mu to bude fungovat taky.
Ohledně předávacího rozhraní - to je přeci RJ45 zásuvka kde předáváme službu ne?
Případně pokud je zákazník na bezdrátu tak předávací místo je LAN konektor v UBNT trafu.

mirek.k píše:

Gemb píše:To je mile ale potom riesit to, ze si to maju ludia zapajat pre nich nelogicky do lan portu a wan je nepouzity....vacsina to nechape a nacpu si to do wan aj tak. Okrem toho pri tplinku v bridge sa ako nadialku dostanete ked to nema gateway ?

Kombinací dst-nat a src-nat.

A funguje ti to ked nema napr tplink 841 gateway v bridge, ma len IPcku kade sa logujes a tym to konci...u nas som to kedysi skusal a bud som robil daco blbo alebo neviem ale skratka to nefungovalo kombinaciou akou pises. Cez wan je to v pohode, tam to potiahne IP s DHCP poolu a ma to aj GW. Aktualne u nas 2x NATujeme u klienta, natuje UBNT antena ktora je v rezime router a natuje klientsky wifi router doma. Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.

Gemb píše:

mirek.k píše:

Gemb píše:To je mile ale potom riesit to, ze si to maju ludia zapajat pre nich nelogicky do lan portu a wan je nepouzity....vacsina to nechape a nacpu si to do wan aj tak. Okrem toho pri tplinku v bridge sa ako nadialku dostanete ked to nema gateway ?

Kombinací dst-nat a src-nat.

A funguje ti to ked nema napr tplink 841 gateway v bridge, ma len IPcku kade sa logujes a tym to konci...u nas som to kedysi skusal a bud som robil daco blbo alebo neviem ale skratka to nefungovalo kombinaciou akou pises. Cez wan je to v pohode, tam to potiahne IP s DHCP poolu a ma to aj GW. Aktualne u nas 2x NATujeme u klienta, natuje UBNT antena ktora je v rezime router a natuje klientsky wifi router doma. Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.

Samozřejmě:

mirek.k píše:

Gemb píše:

mirek.k píše:Kombinací dst-nat a src-nat.

A funguje ti to ked nema napr tplink 841 gateway v bridge, ma len IPcku kade sa logujes a tym to konci...u nas som to kedysi skusal a bud som robil daco blbo alebo neviem ale skratka to nefungovalo kombinaciou akou pises. Cez wan je to v pohode, tam to potiahne IP s DHCP poolu a ma to aj GW. Aktualne u nas 2x NATujeme u klienta, natuje UBNT antena ktora je v rezime router a natuje klientsky wifi router doma. Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.

Samozřejmě:

Kód: Vybrat vše

/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-port=88 in-interface=wlan1 protocol=tcp to-addresses=TPlinkIP to-ports=80
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=TvojeIP to-addresses=MikrotikGwIP


Tak som to potom blbo mal nastavene ale bolo to tak 5 rokov dozadu kedy som s MK zacinal Dik.

Gemb píše:Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.

a proto dáváme už jenom MKčka a žijeme s určitým omezením v určitých případech ale odpadla většina těhle servisů.

Gemb píše:

mirek.k píše:

Gemb píše:A funguje ti to ked nema napr tplink 841 gateway v bridge, ma len IPcku kade sa logujes a tym to konci...u nas som to kedysi skusal a bud som robil daco blbo alebo neviem ale skratka to nefungovalo kombinaciou akou pises. Cez wan je to v pohode, tam to potiahne IP s DHCP poolu a ma to aj GW. Aktualne u nas 2x NATujeme u klienta, natuje UBNT antena ktora je v rezime router a natuje klientsky wifi router doma. Riesit tie veci okolo toho...zapnute v lan porte a wan prazdny...to ma uz nebavilo ludom vysvetlovat, aj tak si to po prvom probleme vyresetovali a pustili do wanu. Iist to ide, problem s vykonom tam nevidim, aj ked v tom bridge by to bolo lepsie.

Samozřejmě:

Kód: Vybrat vše

/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-port=88 in-interface=wlan1 protocol=tcp to-addresses=TPlinkIP to-ports=80
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=TvojeIP to-addresses=MikrotikGwIP


Tak som to potom blbo mal nastavene ale bolo to tak 5 rokov dozadu kedy som s MK zacinal Dik.

Pohodlnější je podle mě se připojit na ssh přes Puttynu a vytvořit si ssh tunel do sítě klienta, do prohlížeče stačí předtím doinstalovat plugin na přepínání proxy. Během 30 sekund jsem v klientově LAN