Přístup na zákaznické WiFi routery s vypnutým remote managementem

[honzam]

Protože chce nabídnout zákazníkovi měnit SSID a heslo a kanál z klientského portálu, protože chce nastavit IPv6, protože chce přejít na PPPoE ...
Těch důvodů je spousta a jsou legitimní. Část uživatelské základny to zvládne sama, ale po většině nemůžu chtít aby se přihlásili do administrace routeru a něco tam nastavovali. Budou zadávat IP adresu routeru do vyhledávacího pole na Seznam.cz protože ho mají jako domovskou stránku.

Přesně to jsou ty důvody proč mít přístup na router. Dost často to ušetří výjezd. Pokud mám přístup můžu router přeladit a otestovat funkčnost. Dokonce mohu BT testem měřit rychlost a další parametry. Těch výhod je spousta.
Ohledně přístupu, pokud to máš z wanu zakázané tak se tam prostě z wanu nedostaneš. Proč to tak máš vůbec nastavené? Je to nějaká sít kterou jsi koupil nebo proč to tak je?
Jedinné co mě napadá tak se souhlasem klienta se vzdáleně připojit na jeho PC a administraci si povolit

[basty]

Jakykoliv router nezapojovat do WAN, ale jen do lan. Nastavit si IP adresu lanu z sxt, vypnout dhcp. Tohle funguje na 100%. Pokud se mu resetne, da se nastavit. Jsou videt všechny pc v siti apod. Neskutecnych vyhod to ma. Ano, nejde to centralne ridit. Ale pokud mate ruzne klientske AP, tak pocitam resit nejakej TR069 apod slozite veci se vam nepodari. Pokud byste meli u vsech klientu svoje stejne routery tak budis.

[Gemb]

A ked bude mat klient verejku, to robit ako ? Ked to ma na WAN tak si riesi portforwarding sam atd, ale ked to bude v bridge tak mu to budes nastavovat na klientskej antene mk/ubnt ?

[oliver.es]

Samozřejmě nejzašší řešení je nabídnout lidem vzdálené nastavení přes TeamViewer, ale to je těžké zorganizovat. Každý může v jiný čas, musel by být celý den i večer v práci technik, který by byl připraven na žádost zákazníka mu to hned udělat, nebo nevím jak jinak to zprocesovat.

[honzam]

A ked bude mat klient verejku, to robit ako ? Ked to ma na WAN tak si riesi portforwarding sam atd, ale ked to bude v bridge tak mu to budes nastavovat na klientskej antene mk/ubnt ?

Ano port forwarding nastavujeme my jako ISP.
Má to výhody: Není toho zas tak moc, většina lidí ani neví co to je.
U základního tarifu nastavujeme max 2 porty, chceš víc tak si připlať...
Veřejnou IP na router zákazníka nastavujeme jen u garantovaných linek.

[Gemb]

A ked bude mat klient verejku, to robit ako ? Ked to ma na WAN tak si riesi portforwarding sam atd, ale ked to bude v bridge tak mu to budes nastavovat na klientskej antene mk/ubnt ?

Ano port forwarding nastavujeme my jako ISP.
Má to výhody: Není toho zas tak moc, většina lidí ani neví co to je.
U základního tarifu nastavujeme max 2 porty, chceš víc tak si připlať...
Veřejnou IP na router zákazníka nastavujeme jen u garantovaných linek.

WTF? Ak si ako zakaznik platim verejku aj keby to bolo len NATom v klientskej antene tak nechapem ten limit, ze max 2 porty....to co je potom za verejku....

[the.max]

Když jsme z nouze dali pár TePlejch-Linků (což už NIKDY neuděláme) zákošům, tak jako pojistku proti zasunutí kabelu do WANu jsem tam strčil uštíplej prázdnej ale zakrimpovanej konektor. Uštípnul jsem mu tu zajišťovací packu v místě, kde se zeslabuje. Konektor se zastrčí to routeru a vyndat jde jen za pomoci malého šroubováku, jehly nebo něčeho podobného. BFU, když ten kabel do toho WANu nenarve ani za použití fakt hrubého násilí ho prostě strčí vedle. A pro ty úplně nechápavé existuje řešení v podobě černé, nebo červené lihové fixy, ono to na těch bílejch TePlejch-Lincích je pak celkem dobře vidět.

[hapi]

A ked bude mat klient verejku, to robit ako ? Ked to ma na WAN tak si riesi portforwarding sam atd, ale ked to bude v bridge tak mu to budes nastavovat na klientskej antene mk/ubnt ?

Ano port forwarding nastavujeme my jako ISP.
Má to výhody: Není toho zas tak moc, většina lidí ani neví co to je.
U základního tarifu nastavujeme max 2 porty, chceš víc tak si připlať...
Veřejnou IP na router zákazníka nastavujeme jen u garantovaných linek.

WTF? Ak si ako zakaznik platim verejku aj keby to bolo len NATom v klientskej antene tak nechapem ten limit, ze max 2 porty....to co je potom za verejku....

jak keby bolo, u dsl to je snad jinak? Jo tam maji lehkou výhodu v tom že do routeru má zákazník přístup. A asi nemyslel max 2 porty ale že to obvykle bejvaj jenom dva porty.

[Misho]

sry za offtopic, ale mňa by zajímalo ako laika, prečo chce mať ISP prístup do klientského routeru?

Ak by som niečo také teda potreboval, tak by som osobne nasadzoval ubnt produkty. cez UNMS si vlezieš kam len chceš...

A aky UBNT wifi router by si daval klientom ? Aha on ziadny za par korun neni....ubnt u bezneho klienta je odveci kvoli cene a tych co si priplatia za unifi je malo. Pristup na klientsky router ma niekolko dovodov ale ak niesi ISP ta nepochopis. Ludia nevedia heslo na wifi, zarusena wifi, celkova funkcnost atd....

AirCube napr. ?

[basty]

A ked bude mat klient verejku, to robit ako ? Ked to ma na WAN tak si riesi portforwarding sam atd, ale ked to bude v bridge tak mu to budes nastavovat na klientskej antene mk/ubnt ?

Ano port forwarding nastavujeme my jako ISP.
Má to výhody: Není toho zas tak moc, většina lidí ani neví co to je.
U základního tarifu nastavujeme max 2 porty, chceš víc tak si připlať...
Veřejnou IP na router zákazníka nastavujeme jen u garantovaných linek.

93% lidi nevi co je IP adresa. 5% lidi co chteji verejnou, tak je to nejaka kamera, web apod. to vyresime port forw. coz je i pohledu bezpecnosti "nejlepsi" mapnout jen co je potreba. 1% co tomu trochu rozumí, tak mu treba mapnem celou verejnou na server nebo neco. a 1%, kteri si to chcou proste resit sami na routeru, tak mu tam tu verejnou mapnem s tim ze prichazi o vsechny benefity co toto reseni prinasi.
Obecne davat lidem celou verejnou, nedejboze na nejaky cinsky mrdky kamery, neaktualni routery apod... nasrat. Zpusobi vic problemu nez uzitku.

[Gemb]

A ked bude mat klient verejku, to robit ako ? Ked to ma na WAN tak si riesi portforwarding sam atd, ale ked to bude v bridge tak mu to budes nastavovat na klientskej antene mk/ubnt ?

Ano port forwarding nastavujeme my jako ISP.
Má to výhody: Není toho zas tak moc, většina lidí ani neví co to je.
U základního tarifu nastavujeme max 2 porty, chceš víc tak si připlať...
Veřejnou IP na router zákazníka nastavujeme jen u garantovaných linek.

93% lidi nevi co je IP adresa. 5% lidi co chteji verejnou, tak je to nejaka kamera, web apod. to vyresime port forw. coz je i pohledu bezpecnosti "nejlepsi" mapnout jen co je potreba. 1% co tomu trochu rozumí, tak mu treba mapnem celou verejnou na server nebo neco. a 1%, kteri si to chcou proste resit sami na routeru, tak mu tam tu verejnou mapnem s tim ze prichazi o vsechny benefity co toto reseni prinasi.
Obecne davat lidem celou verejnou, nedejboze na nejaky cinsky mrdky kamery, neaktualni routery apod... nasrat. Zpusobi vic problemu nez uzitku.

Tak teraz som to fakt nepochopil. Klient znaly alebo neznaly objednava si od teba sluzbu - verejna ip adresa a ty mu das co ? presmerujes 2 porty a jednu a tu istu verejku pouzijes u viacerych ludi ? Verejka je snad od toho aby patrila danemu ucasnikovi tvojej siete a nech si snou robi co chce ? Ked dakomu robia kamery tak dany clovek mu to aj nastavi....u nas prave ludia ktori si objednaju net s verejnou IPckou tak vedia daco viac....a ked nevedia tak to vie clovek ktory im to nastavuje. Koniec, raz si plati klient za verejku tak nech ju ma a nech si nastavi porty ake len chce. My router davame k internetu tiez a zadarmo. Patricne to nastavim pri instalacii a tym to konci, ak niekto zavola na servis, ze nieco nejde a router bol vyresetovany alebo chce nieco nastavit tak nezarucny servis, koniec. Ked sa to klientovi nepaci moze si dat vlastny router a riesit si to sam.

[honzam]

WTF? Ak si ako zakaznik platim verejku aj keby to bolo len NATom v klientskej antene tak nechapem ten limit, ze max 2 porty....to co je potom za verejku....

Ale u nás si za tu veřejku neplatí. Má ji automaticky zadarmo. Ale není na jeho zařízení nýbrž na našem routeru. Tím pádem není problém s tím když potřebuješ zákazníka přečíslovat.
Už vidím když potřebuji přečíslovat část sítě jak se domlouvám s x stovkami lidí aby si na routeru změnili veřejnou IP kterou tam od nás mají. To řešíte jak?
Takhle jsem shopný to provést na dálku a 99% uživatelů si toho ani nevšimne.
A ohledně portů, ano u tarifu za 290kč bez DPH přesměrováváme max 2 porty.

[Gemb]

WTF? Ak si ako zakaznik platim verejku aj keby to bolo len NATom v klientskej antene tak nechapem ten limit, ze max 2 porty....to co je potom za verejku....

Ale u nás si za tu veřejku neplatí. Má ji automaticky zadarmo. Ale není na jeho zařízení nýbrž na našem routeru. Tím pádem není problém s tím když potřebuješ zákazníka přečíslovat.
Už vidím když potřebuji přečíslovat část sítě jak se domlouvám s x stovkami lidí aby si na routeru změnili veřejnou IP kterou tam od nás mají. To řešíte jak?
Takhle jsem shopný to provést na dálku a 99% uživatelů si toho ani nevšimne.
A ohledně portů, ano u tarifu za 290kč bez DPH přesměrováváme max 2 porty.

Co to potom ale je "poloverejka". Vsak bud poskytujem pripojene s neverejnou IP alebo s verejnou za ktoru sa priplaca. Ziadne riesenie medzi nepoznam. Preco by som mal niekomu kto ma pripojenie s neverejnou IP otvarat nejaky port? Z dobroty ? Ked tu verejku potrebuje tak si ju plati a potom si moze otvarat porty ake chce. U tarifu za 290kc sa nebudem ani namahat s otvaranim rozhrania klientskej anteny.....
Precislovat siet ? Co to akoze je ? Preco by som mal daco precislovavat alebo menit niekde IPcky ? Ak myslis menenie verejnych IP tak je to len tvoj problem. Zaobstaraj si vlastny rozsah a nespoliehaj sa na verejky pridelene od dodavatela konektu. Ked mas svoje nic neriesis, ked nie tak bohuzial, zmenis dodavatela tak zmenis verejky

[rsaf]

a oni tplinky mají možnost konfigurace na dálku?

TR-069 podporují, ale podle toho co jsem googlil, tak DHCP Optionem se provisionovat nedají. Musí se tam ručně zadat adresa ACS serveru.

Tak pokud jsi od začátku udělal tu zásadní chybu, že jste všude zakázali remote management a teď to chcete managovat tak prostě není jiná možnost, než ty klienty objet nebo to vyřešit teamviewerem a jednou pro vždy to nastavit správně. Strávíte tím třeba rok, ale bude to udělané a bude to poučení do budoucnosti.

[honzam]

Preco by som mal daco precislovavat alebo menit niekde IPcky ? Ak myslis menenie verejnych IP tak je to len tvoj problem. Zaobstaraj si vlastny rozsah a nespoliehaj sa na verejky pridelene od dodavatela konektu. Ked mas svoje nic neriesis, ked nie tak bohuzial, zmenis dodavatela tak zmenis verejky

Nevím jak vy ale u nás se sít už několikrát přečíslovávala. Původně jsme měli adresy CDT kterých jsme se museli zbavit když jsme si pořídili vlastní AS. Poté když už máš vlastní adresy tak například někde neodhadneš počet lidí a zase přečíslovávávaš (routovaná síť). Nebo nyní - měli jsme sektory routované. Na většině sektorů bylo /28 veřejných. Nyní dáváme sektory do bridge takže zase přečíslováváš. Těch situací je prostě hodně. Takže mít adresu na klientském routeru (tplink) je z našeho pohledu jedině problém. Samozřejmě u firem je to něco jiného tam samozřejmě veřejku dáváme přímo k nim