Zte f680 настроить dns
МГТС на сегодня является крупнейшим в Москве и области провайдером услуг цифрового телевидения, IP-телефонии, доступа к интернет и др. Подключение абонентов осуществляется с применением технологий ADSL, FTTB и современной GPON , использующей волоконно-оптические линии связи до оборудования клиента.
Последняя требует установки ONT (optical network terminal) – оптического модема (роутера), например, ONT ZTE F 660, ONT ZTE F 670, ONT ZTE F 680. МГТС предоставляет все оборудование (кроме морально устаревшего ZTE F 660) предоставляет на условиях бесплатной аренды.
Заводской сброс
Иногда из-за ввода неправильных настроек или переполнения кэша роутер начинает работать некорректно. В этом случае единственный способ нормализовать его функционал – обнуление, сброс до заводских настроек. Для этого:
- перейдите в раздел «Администрирование»;
- откройте подраздел «Управление»;
- нажмите на кнопку «Восстановить по умолчанию».
Настройки сбросятся до заводских.
Второй способ обнуления устройства – удерживать кнопку Reset на боковой панели в течение 15 секунд. После сброса настроек для авторизации в веб-интерфейсе нужно вводить логин и пароль, указанные на наклейке в нижней части роутера.
Настройка облачной телефонии осуществляется в разделе «Приложения». Откройте подраздел «VoIP» и перейдите во вкладку «SIP». В сервере для регистрации и прокси укажите данные, предоставленные провайдером.
Перейдите во вкладку «Аккаунты SIP». Укажите данные учетной записи, предоставленные провайдером. Нажмите на кнопку «Применить».
Проверьте работоспособность SIP, открыв раздел «Статус» и перейдя во вкладку «Статус VoIP». Значение должно быть «Активен».
В роутерах ZTE F670 можно настроить защищенное беспроводное соединение. Эта функция настраивается для каждого диапазона отдельно. Чтобы включить WPS :
- откройте раздел «Сеть»;
- перейдите в подраздел «WLAN Radio2. 4G »;
- откройте вкладку « WPS »;
- выберите один из режимов WPS .
Оптический терминал поддерживает два метода настройки защищенных беспроводных сетей. Первый – PBC. Производители рекомендуют использовать его при наличии кнопки активации WPS на роутере и подключаемом устройстве. Для подсоединения к сети нужно по очереди нажать кнопку на девайсе и на оптическом терминале.
Если же у подключаемого устройства отсутствует кнопка WPS , выберите PIN-метод. PIN-код может создаваться на клиентском устройстве или же надо будет вводить непосредственно PIN роутера.
Подключение
Для настройки роутер МГТС GPON ZTE подключают:
- К сети провайдера через коннектор оптической линии (не обязательно если настройка ведется из локальной сети, на доступные параметры не влияет):
- В локальную сеть клиента - как минимум, обеспечить соединение с одним из устройств кабелем или работу беспроводной сети. Если ведется настройка маршрутизации (NAT), фильтрации по MAC и аналогичных функций, следует позаботиться, чтобы соответствующее оборудование было в сети, а нужные сетевые программы и сервисы запущены.
- Для настройки телефонии следует подключить аппарат к порту POTS.
Быстрая настройка
В прошивку ZTE F670 встроен «Мастер быстрой настройки». Для подключения к интернету достаточно следовать его рекомендациям:
- Выбрать регион и город предоставления услуг.
- Изменить логин и пароля для авторизации в прошивке роутера.
- Выбрать тип подключения. У Ростелекома это протокол PPPoE . Чтобы регистрация в сети прошла успешно, нужно указать логин и пароль для подключения к сети. Эти данные указаны в договоре с провайдером.
- Указать конкретный порт для IPTV .
- Ввести параметры Wi-Fi (имя сети и ключ для авторизации).
- Проверить введенные данные.
- Сохранить настройки.
Интернет заработает после автоматической перезагрузки оптического терминала.
Настройка роутера ZTE МГТС
Настройка маршрутизатора осуществляется через веб-интерфейс устройства. Доступны расширенные возможности настройки при подключении через telnet c использованием встроенной системы команд.
Чтобы зайти в роутер МГТС ZTE, клиенту необходимы IP-адрес устройства, логин и пароль учетной записи. При поставке оборудования провайдер предоставляет необходимые сведения на упаковке, в инструкции по эксплуатации, входящей в комплект.
Если абонент самостоятельно приобретает оборудование, необходимую для настройки информацию он найдет на шильдике в нижней части роутера.
Для входа в настройки пользователь:
Указанные выше данные относятся к максимально ограниченной учетной записи, в которой конечному пользователю доступен только необходимый сет настроек.
Больше полномочий можно получить, если войти в роутер МГТС ZTE с учетной записью mgts / mtsoao (логин/пароль), предназначенной для специалистов технической поддержки провайдера и настройки роутеров через личный кабинет. Абонентам, у которых установлен ZTE F680, следует помнить, что войти с этой учетной записью можно только после отключения оптической линии и перезагрузки устройства.
Опытных пользователей, желающих получить максимальный доступ, заинтересует вариант, в котором для ZTE роутера МГТС настройка производится через telnet - логин root, пароль Zte521 для F670 или серийный номер устройства (все символы заглавные) для F680.
- После удачного входа в веб-интерфейс становится доступным основное меню настроек устройства.
Изменение логина и пароля
Изменить логин и пароль на роутер ZTE МГТС пользователь может:
- В пункте «Администрирование» главного меню маршрутизатора;
- Через личный кабинет МГТС в меню «Моя сеть»;
- Обратившись в службу поддержки провайдера.
Следует понимать, что параметры пользовательской учетной записи (user/user) можно и нужно поменять из соображений безопасности. Что касается учетки mgts/mtsoao, ее трогать не рекомендуется. В противном случае возможны проблемы с доступом к роутеру в личном кабинете и для специалистов службы поддержки
Подробнее про роутер
Оптические терминалы ONT ZTE используются для маршрутизации трафика между локальной сетью клиента (LAN) и оптоволоконной сетью провайдера (WAN). При этом маршрутизатор позволяет предоставлять все услуги – широкополосный доступ, цифровое телевидение, телефония, видеонаблюдение и охранная сигнализация и др. с передачей данных по одной оптической линии без взаимного влияния (ослабления, создания помех) сигналов. Соответственно, оборудование выполняет следующие функции:
- ONT – оптического модема и маршрутизатора для подключения оборудования (локальной сети) клиента к оптическим линиям провайдера;
- Точки доступа Wi-Fi с организацией нескольких беспроводных сетей в диапазонах 2.4 и 5 ГГц, возможностью гостевого доступа;
- Коммутатора для кабельного подключения устройств клиента по Ethernet;
- Шлюза VoIP, с подключением до 2-х аналоговых телефонов к цифровым линиям;
- При подключении внешнего устройства по USB – сетевого хранилища данных, принт-сервера, файлового сервера для локальной сети.
Устройства используются для подключения в «высокоскоростных» тарифах от 200 Мбит/с до 1 Гбит/с.
Плач Ярославны
Ну и напоследок напишу почему всё это оказалось ненужным
Во-первых в какой-то момент МГТС отобрала настоящий IP и посадила всех за NAT. Почему-то в этот момент отвалился корпоративный VPN и в службе поддержки порекомендовали подключить выделенный IP.
Во-вторых после подключения выделенного IP перестал работать IPv6. Служба поддержки сообщила, что МГТС в принципе никогда и не поддерживал IPv6. Ну то есть IPv6 как-бы работает, но его работу не гарантируют. На форумах есть объяснение на эту тему - типа выделяют статический IP, но IPv6 статический выделить не могут и чтобы никого не смущать при подключении статического IP тупо обрубают v6.
Повысили тариф на 100 рубей, но это меньшее из зол, даже не в счет.
В-третьих тех поддержка МГТС ужасна. Сначала у меня был роутер sercomm rv6699 - вроде все более-менее работало. И это был не самый плохой вариант - там был telnet и доступ к iptables. Говорят его даже можно перепрошить. Был косяк - к внешнему IP адресу нельзя было достучаться из локальной сети по http и https - но это решалось удалениеми двух правил iptables. Но потом я решил назначить фиксированный канал сети WiFi 5ГГц. Канал не назначился - начал прыгать, я обратился в техподдержку и мне заменили роутер на ZTE ZXHN F680. И это оказалось полным концом. Он не пробрасывал DHCP пакеты из локальной сети в WiFi. Мою схему я использовать уже не мог. Техподдержкой был послан с заключением "в конфигурации по умолчанию странички грузятся, все остальное не наши проблемы". Думал может попробую использовать DNS от роутера, но там совсем шлак. Максимум можно настроить - 10 статических адресов в локальной сети. Статические и динамические адреса должны быть в одном диапазоне. В общем WiFi роутера не используется.
В-четрвертых у МГТС есть полный доступ к вашему роутеру. А иметь третье лицо, а вернее даже целую компанию в своей локальной сети - это как-то даже негигиенично.
Вывод - можно и МГТС, но отключать WiFi и переводить роутер в режим моста (не факт, что это можно сделать, не факт, что это не слетит после неотключаемого автообновления, не факт, что это не запретят).
Говорят, что роутер Sercomm RV6699 v4 можно перепрошить. Хотел попробовать, но не могу - у меня этого роутера больше нет - мне его заменили на ZTE ZXHN F680.
Еще говорят, что можно купить коробочку мене чем за 1.5 тыс. рублей и она будет работать бриджом - думаю это хороший вариант.
По результатам собственных изысканий родилась идея набросать небольшой Q&A по работе с некоторыми недокументированными функциями оптического терминала ZTE ZXHN F660, устанавливаемого сейчас в квартиры фирмой МГТС.
Статья расcчитана на начинающих, которые, тем не менее, уже ознакомились с Web-интерфейсом управления терминалом и знают, как делать в нем базовые вещи: смена пароля, активация SAMBA, проброс портов, настройка WLAN, настройка фильтрации, и т.д. В ней мы не будем рассматривать смену прошивки или «отвязку» от провайдера – все вещи, связанные с удаленным обновлением, настройкой VOIP, и т.д. трогать крайне не рекомендую. Оставьте провайдеру возможность выполнять свою работу и обслуживать свое устройство (оно его, а не ваше, если помните договор).
1. Есть ли уязвимость в WPS?
Для начала хочу успокоить тех, кто в интернете наткнулся на информацию о страшной дыре в безопасности WiFi-сетей – уязвимости в WPS. Это имело место быть в ранних прошивках ZXVA, но сейчас WPS не активен по умолчанию, так что бояться нечего.
2. Есть ли уязвимость в Web-интерфейсе настроек?
А вот она никуда не делась, хоть и писали о ней давно. Зайдя из внутренней сети по адресу 192.168.1.1/manager_dev_config_t.gch и нажав на кнопку “Backup Configuration” (если у вас стоит русский язык по умолчанию, то это – верхняя кнопка, просто название неправильно перевели) ЛЮБОЙ пользователь (без авторизации!) получит XML-файл со всеми настройками, включая ВСЕ пароли ко ВСЕМ интерфейсам (включая пользователя mgts к веб-интерфейсу и root к telnet). Таким образом, пуская кого-либо в свою внутреннюю сеть, вы заодно даете ему потенциальную возможность полного управления ею.
3. Как загрузить свой файл настроек?
При попытке загрузить измененный вручную XML-файл настроек, F660, не будь дурак, проверяет контрольную сумму и отвергает измененные файлы. Но есть возможность отредактировать сам файл-источник:
— штатно включаем SAMBA в web-интерфейсе
— заходим по telnet с полученным из п.2 логином и паролем
— выполняем:
— заходим проводником на \\192.168.1.1\samba\config
— редактируем (хотя бы «Блокнотом») файл db_user_cfg.xml (другие файлы не трогаем!)
— после сохранения файла перезагружаем F660.
— на случай порчи этого файла у вас есть лежащий там же файл db_backup_cfg.xml, ну и ещё кнопка Reset, которая запишет в него default-настройки.
4. Как сменить пароль к telnet?
В файле настроек (п.3) меняем параметр «TS_UPwd».
5. Как активировать FTP-доступ?
В файле настроек (п.3) меняем флаг «FtpEnable» на «1». Заодно выставляем в «1» параметр «FtpAnon» или редактируем логины/пароли раздела «FTPUser».
6. Как превратить F660 в простой локальный Web-сервер?
Допустим, на флешке у вас есть подготовленная структура сайта со стартовым INDEX.HTM в корне.
— переименовываем INDEX.HTM в setlang.gch
— вставляем флешку в F660
— заходим по telnet с полученным из п.2 логином и паролем
— выполняем:
— видим новое содержимое по адресу 192.168.1.1
— это работает только до очередной перезагрузки
7. Как сделать эти FTP- и/или Web-сервер доступными из Интернета?
Если же вы готовы обращаться извне к нестандартному порту, то просто штатно прописываете port mapping c какого-нибудь 5-значного внешнего порта на внутренний 21 (и/или 80) и в качестве адреса внутреннего компьютера указываете 192.168.1.1. НО! Делать это категорически не рекомендуется, т.к. вы оставляете свой бедный терминал один на один с жестоким внешним миром: FTP – протокол без шифрации, а значит любой сможет перехватить логин/пароль доступа к нему, про Web-сервер помним, что после перезагрузки он превращается в тыкву интерфейс настроек, открытый для всех (см п.2), наконец, нас просто легко заDOSить, все-таки F660 — железка слабая в сравнении с полноценным сервером.
8. Как заблокировать Web-интерфейс терминала, раз в нем есть уязвимость?
Из внешней сети доступа и так нет. Если пытаемся защититься от гостей, допущенных во внутреннюю сеть, то вариантов 2:
— Постоянный: Штатным механизмом «Services Control». К сожалению, он не умеет различать доступ по WiFi и по Ethernet, а блокировать только диапазон IP, оставляя доступ со «своих» адресов — ненадежно (т.к. подменить IP легче легкого), поэтому блокируем Web со ВСЕХ адресов. Но учтите, что при этом вы лишаетесь Web-интерфейса управления терминалом, и снять такую блокировку получится только сбросив настройки кнопкой Reset или ручным редактированием db_user_cfg.xml (поэтому не надо заодно блокировать и telnet, достаточно пароль ему сменить).
— Временный. Замещаем web-интерфейс по аналогии с п.6, но флешка уже не нужна: можем создать папку где-нибудь в /userconfig (он не стирается при перезагрузке терминала), поместить в неё файл setlang.gch с содержимым вроде:
Если нужно вернуть web-интерфейс управления без перезагрузки, выполняем
9. Как сделать массовую фильтрацию DNS-имен по файлу hosts?
Если записей немного, то достаточно штатного способа — в разделе Applications => DNS Service => Hosts. Настройки сохраняются при перезагрузке, но каждую нужно вводить по отдельности, и занимает она приличное место в db_user_cfg.xml. Если же у вас собственный файл на тысячи имен, можете добавить их во временный файл hosts, расположенный в /var/tmp/. (Способ получения к нему файлового доступа – по аналогии с п.3). Работает до очередной перезагрузки.
10. Как скомпилировать/запустить собственные программы на терминале?
11. Можно ли навесить свои функции на автозагрузку?
Очень настоятельно не рекомендую это делать. У F660 есть 2 печальные особенности:
1) Кнопка reset – это не полный сброс устройства, а всего лишь сигнал заменить файл настроек на дефолтный, она не поможет восстановить нарушенную процедуру загрузки.
2) Все коммуникационные интерфейсы поднимаются ближе к концу загрузки.
Сочетание этих 2 особенностей дает результат: любые проблемы в загрузке – и вы получаете «кирпич».
Перед экспериментированием с загрузкой подумайте, действительно ли оно вам нужно. У меня, к примеру, uptime устройства достигает нескольких месяцев (собственно, я смог вспомнить только 1 перезагрузку за год не по причине применения настроек), так что просто нет потребности.
Высшее образование по специальности “Информационные системы”. В сфере более 7 лет, занимается разработкой сайтов на WordPress и Tilda.
Оптический терминал ZTE ZXHN F670 изготовлен специально по заказу ПАО «Ростелеком». Он предназначен для обеспечения доступа к высокоскоростному интернету по технологии GPON. Это устройство сочетает функции роутера, Wi-Fi точки доступа, гигабитного четырехпортового коммутатора и оптического модема. Рассмотрим, как настроить роутер ZTE ZXHN F670 для Ростелеком и МГТС.
Технические характеристики роутера ZTE F660 и других моделей МГТС
Абоненты МГТС могут использовать при подключении по технологии GPON следующие модели роутеров ZTE – ZTE F660, ZTE F670, ZTE F680. F660 считается морально устаревшей моделью и больше не поставляется провайдером.
Технические характеристики двух других маршрутизаторов достаточно близки:
- Для соединения с оптической сетью провайдера используется порт SFF (соединение с WAN), с коннектором SC/APC для одномодового оптоволокна. Скорость обмена до 2.48Гбитс на прием и до 1.24 Гбит/с на передачу.
- LAN (Ethernet) – коммутатор на 4 гигабитных порта 10/100/1000 Base-T, коннекторы RJ-45.
- Wi-Fi – 2-диапазонный. В диапазоне 2.4ГГц (802.11b/g/n с возможностью использования смешанных режимов), скорость до 300 Мбит/с для F670, до 450 Мбит/с для F680. Для 802.11ac (5ГГц) – скорость для роутера F670 составляет до 866 Мбит/с, для F670- до 1.300 Мбит/с.. Используется 3 антенны – 2 на 2.4ГГц, 1 на 5 ГГц, внешние, .
- Телефония-2 порта POTS FXS с коннекторами RJ-11.
- Питание от адаптера 12В, 12.5Вт. Адаптер 240В/12В, 2А поставляется с устройством.
- Допускается эксплуатация в диапазоне температур окружающей среды от 5 до +40 градусов при влажности 5-90%.
Ручная настройка
Самостоятельно сконфигурировать Wi-Fi терминал ZTE F670 можно после авторизации в веб-интерфейсе.
Чтобы настроить интернет:
- Откройте раздел «Сеть» и перейдите во вкладку WAN .
- Укажите имя соединения.
- Поставьте галочку рядом с VLAN.
- Укажите имя пользователя и пароль, предоставленные провайдером.
- Кликните на кнопку «Изменить» для сохранения данных.
- Через 2-3 сек устройство перезагрузится. А затем автоматически подключится к интернету.
Отдельно можно настроить переключение портов. Эту функцию активируют для интернет-приложений, неспособных работать через встроенный брандмауэр. Переключение портов работает только с исходящим трафиком.
Чтобы активировать функцию:
- Перейдите в раздел «Приложения» и выберите «Переключение портов».
- Поставьте галочку напротив «Разрешить триггирование порта».
- В окне «Приложение» укажите программу, для которой задается переключение.
- В типе услуги выберите тип сервиса приложения: TCP, UDP, TCP и UDP.
- В окне «Триггирование порта» обязательно укажите порт протокола, для которого нужен доступ.
- Тип соединения с внешней сетью можно оставить по умолчанию (TCP) или выбрать UDP, TCP и UDP.
- Начальный и конечный порт WAN . Укажите диапазон портов или конкретный порт. Если приложение использует для работы один порт, укажите его в оба окна.
- Задайте таймаут использования указанного порта другим приложением.
Аналогичным образом можно настроить переадресацию портов. Для этого:
- В разделе «Приложения» найдите вкладку «Переадресация портов».
- Поставьте галочку рядом с надписью «Включить».
- Укажите протокол.
- Задайте диапазон IP-адресов внешнего маршрутизатора.
- Выберите WAN -соединение.
- Укажите WAN -порт или диапазон портов. Если порт всего один, то его указывают в начальном и в конечном значении.
- Галочка возле MAC активируется, если нужно, чтобы созданное правило работало с конкретным MAC-адресом устройства.
- Укажите LAN IP-адрес устройства.
- Задайте диапазон LAN -портов. Если порт один, его указывают в начальное и конечное значение.
- После ввода нужных значений нажмите на кнопку «Добавить». В списке отобразится новое правило.
В роутере ZTE F670 настройка Wi-Fi осуществляется в подразделе «Сеть».
Настраивать беспроводное подключение нужно отдельно для каждого диапазона.
Алгоритм в обоих случаях одинаковый:
- Перейдите на вкладку «Основной».
- Поставьте галочку рядом с «Включить беспроводной RF».
- Нажмите на кнопку «Применить».
Изменять какие-либо другие настройки на этой вкладке не потребуется.
Откройте вкладку SSID Настройки. Там укажите:
- Задайте имя сети для простой идентификации.
- Укажите максимальное количество клиентов (устройств), которые могут к ней подключиться.
- Нажмите на кнопку «Применить».
Перейдите во вкладку «Настройки безопасности» и укажите пароль для беспроводной сети в окне WPA-ключ.
Настройке аналогичным образом беспроводную сеть в диапазоне 5G.
Обновление прошивки
Ростелеком и МГТС выпускают разные прошивки для роутеров. Файл с нужным ПО надо скачивать на сайте провайдера. Обновление, независимо от версии прошивки, осуществляется по стандартному алгоритму:
- откройте раздел «Администрирование»;
- перейдите в подраздел «Управление»;
- откройте вкладку «Обновление программного обеспечения»;
- выберите разархивированный файл с прошивкой;
- нажмите на кнопку «Обновление».
Процедура установки нового ПО длится примерно 250-300 секунд. После этого роутер перезагрузится и потребуется заново ввести пароль администратора.
Нужно создать в разделе WAN новое соединение с именем и типом IPTV .
Далее нужно задать группировку интерфейсов. Для этого откройте вкладку «Привязка порта» и выберите порт, к которому будет подключена IPTV -приставка.
Настройка Wireguard VPN
Про настройку wireguard я написал в отдельной статье.
Индикаторы и разъемы
Оптический терминал ZTE ZXHN F670 выполнен в стандартном для многих роутеров белом оттенке. Пластик прочный, глянцевый, немаркий. На верхней панели и по бокам находятся вентиляционные отверстия.
На задней панели присутствуют следующие разъемы и кнопки:
- кнопка включения питания;
- разъем для подключения электропитания под постоянным током 12 В;
- USB 2.04;
- разъем для подключения телефонного коммутатора с коннектором RJ-11;
- 4 порта LAN ;
- разъем SC PON для подключения к провайдеру.
Индикаторы выведены на верхнюю панель. Во время работы горят зеленым. Всего индикаторов 14:
- электропитание от сети 220 В;
- PON – регистрация терминала в сети;
- LOS – состояние приемника оптического сигнала;
- Internet – соединение с сетью;
- LAN1– LAN4 – соединение по локальной сети;
- Phone 1-2 – подключение телефонного коммутатора;
- 2,4 GHz, 5 GHz – активна ли раздача Wi-Fi в указанном диапазоне;
- WPS – активна ли функция WPS ;
- USB – подключено ли устройство по USB.
На правой боковой панели расположено 3 кнопки:
- активации и выключения Wi-Fi;
- включения WPS ;
- кнопка Reset для возврата к заводским настройкам.
Фильтрация
Еще один способ защиты сети – фильтрация по MAC-адресам. Пользователь сможет задать диапазон устройств, которые смогут получить доступ к Wi-Fi, а какие будут блокироваться при попытке установить подключение. Чтобы настроить фильтрацию по MAC:
- перейдите во вкладку «Список контроля доступа»;
- выберите режим: разрешить или заблокировать;
- укажите mac-адрес устройства;
- нажмите на кнопку «Добавить».
Новое правило появится сразу. Если выбрать «Разрешить», устройства с указанными MAC-адресами смогут подключиться к сети, а прочие – нет. Если же выбрать «Заблокировать», то роутер сформирует черный список девайсов, которые не могут подключаться к Wi-Fi. Настраиваться эта функция также отдельно для каждого диапазона.
Смена пароля администратора
Для изменения стандартного пароля откройте раздел «Администрирование» и перейдите во вкладку «Пользователи». Потребуется указать старый и новый пароль. После ввода данных нажмите на кнопку «Применить».
О применяемой GPON технологии
GPON, которую использует МГТС при подключении абонентов, относится к наиболее современным технологиям широкополосного мультисервисного доступа. Аббревиатура расшифровывается как Gigabit Passive Optical Network (Гигабитная Пассивная Оптическая Сеть). Подразумевает установку у клиента оптического терминала ONT (модема, роутера) и прокладку до него (читай – до квартиры или дома абонента) сети с использованием оптоволокна. Скорость обмена в оптоволоконной линии и ширина канала обеспечивают одновременное подключение:
- Интернет на скорости свыше 200 Мбит/с до 1 Гбит/с;
- Цифрового телевидения;
- IP-телефонии;
- Видеонаблюдения;
- Охранной сигнализации и других услуг.
При этом даже при одновременной работе всех программ и сервисов и пиковой загрузке исключены потери скорости и взаимные помехи.
Наиболее часто в службу поддержки провайдера поступает несколко обзиъ вопросов от абонентов, использующих роутеры МГТС ZTE.
В. Можно ли настроить маршрутизатор в режим моста для использования дополнительного роутера?
О. С использующимся в настоящий момент BRASS ZTE 670 и 680 в режиме bridge не работают. Пользователям следует обратиться в службу поддержки компании для консультаций и поиска альтернативного варианта.
В. Почему скорость интернет через мобильные устройства ниже заявленной в тарифе.?
В. Почему доступны не все параметры настройки?
О. При входе на роутер с указанной провайдером учетной записью, пользователь получает возможность изменит все настройки, необходимые для обеспечения доступа в интернет и других услуг. Закрыты от него только критически важные для нормальной работы сети и оборудования настройки.
Cброс DNS кэша
Допустим вы зашли на сайт напрямую, но посмотрели и решили, что стоит зайти через tor. Просто обновить конфигурацию недостаточно - происходить кэширование DNS адресов в разных местах. Поэтому после обновления конфигурации кэши надо сбросить.
На клиенте с линуксом с systemd-resolve запускаем sudo systemd-resolve --flush-caches .
На клиенте с windows запускаем ipconfig /flushdns в командной строке с правами администратора.
Вывод
Маршрутизаторы ZTE – оборудование, служащее для подключения абонентов к оптической сети провайдера МГТС по технологии GPON. Позволяет оказывать все телекоммуникационные услуги без потери скорости и взаимного ослабления сигналов. Клиент может самостоятельно настроить все необходимые параметры.
Абонентский терминал ZTE ZXHN F680 – обсуждение
other: 2.4GHz(450Mbit\s) - 5GHz(300Mbit\s) + 4•1Gbit\s | USB:3G или 4G modem, внешний жд, принтер
Маршрутизатор ZTE ZXHN F680 поставляется в коробке с корпоративным дизайном провайдера мгтс. В поставке, сам роутер ZTE ZXHN F680 белого цвета, пластик матовый, БП, а под роутером UTP кабель CAT5e.
Содержимое коробки этого маршрутизатора ZTE ZXHN F680:
UTP кабель CAT5e 1.5m
БП на 12В и ток 1.5А.
Наклейки с серийником и паролем WiFi
Гарантийный талон и Буклет с минимальной инструкцией.
Беспроводная связь: совместима со стандартами 802.11a / b / g / n / ac.
В диапазоне 2,4 ГГц со скоростью до 450 Мбит / с.
В диапазоне 5 ГГц мы будем иметь скорость до 1300 Мбит / с.
Процессор и Ethernet: Marvell 88F6660-A0 с двухъядерным процессором с тактовой частотой 800 МГц / 1 ГГц, встроенным гигабитным коммутатором и аппаратным NAT.
RAM : SK hynix H5TQ2G63FFA PBC емкостью 256 МБ.
Flash: Micron 29F1G08ABAEA с емкостью 128 МБ
Беспроводной контроллер 2,4 ГГц: Atheros AR9381-AL1A с Wi-Fi N 3T3R на скорость 450 Мбит / с.
Беспроводные усилители 2,4 ГГц: 3 x SiGe 2620T
Беспроводной контроллер 5 ГГц : Qualcomm QCA9880-BR4A с Wi-Fi AC 3T3R макс. скорость 1300 Мбит / с.
Беспроводные усилители 5 ГГц : 3x Skywords 5003L1
Источник питания: БП на 12В и ток 1.5А.
Я ненавижу рекламу, но постоянно на нее покупаюсь. Увидел в подъезде объявление МГТС - GPON 500 мегабит за 500 рублей в месяц, настоящий IP, IPv6. Из минусов - всего лишь необходимость сверлить стену и вешать в квартире чужой роутер. Думаю надо брать - разберемся как-нибудь. (На самом деле нет, но об этом позже). Гигабитный роутер с WiFi 802.11ас (5ГГц), но без возможности модификации прошивки, установки софта и с минимальными возможностями настройки через веб-интерфейс. Задача - настроить VPN с другой сетью и прозрачное для клиентов использование ресурсов из луковой сети (The Onion Router aka TOR) с использованием своего сервера в локальной сети.
Думаю данная статья не потянет на полноценное руководство. Слишком разные возможности и потребности у людей - разное железо. Скорее некоторый указатель пути по которому можно пойти. Например для сервера можно использовать популярную малину. Возможно даже с pi-hole. Я, например, поставил недорогой x86 сервер с распаянным на материнской плате процессором, поставил ubuntu и использую его, в том числе как файловый, home assistant, веб и сервер приложений.
В общем я хотел, чтобы была возможность использовать WiFi интерфейсы роутера, а также, чтобы клиенты локальной сети получили прозрачный доступ к некоторым ресурсам через vpn или tor без дополнительной настройки на стороне клиента. И не хотелось понапрасну пропускать весь трафик через сторонний сервер - хотелось, чтобы обычный интернет трафик шел напрямую на роутер, а специальный (tor, vpn) обрабатывался сервером. Решил, что отключу на маршрутизаторе DHCP и DNS server, поставлю DHCP на свой сервер, который будет анонсировать правильные маршруты по DHCP и на котором будет крутиться dns, vpn и tor daemon. С vpn все понятно - если другая локальная сеть имеет другие адреса, то достаточно просто настроить маршрутизацию. Для прозрачного доступа к ресурсам через луковый маршрутизатор решил использовать связку dnsmasq + tor.VirtualAddrNetwork + tor.DNS. Настраиваем dnsmasq для предопределенных доменов из списка, чтобы для их разрешения он использовал tor. После этого домены из луковой сети будут иметь специфичные адреса из специального выделенного диапазона частных адресов и можно использовать обычные правила маршрутизации для перенаправления этого трафика в tor.TransPort с использованием правил iptables. Для соединения локальных сетей по vpn использовал wireguard. В другой локалке стоит обычный роутер пока с прошивкой padavan + entware.
Ключевые параметры моей конфигурации:
Локальная сеть - 192.168.2.0/24. У роутера статический белый IP
Другая локальная сеть (доступ к которой получаем через vpn) - 192.168.3.0/24
Сервер ubuntu - 192.168.2.4, имя ethernet интерфейс - enp1s0
private network (VirtualAddrNetwork) - 10.254.0.0/16
dns server (DNSPort) - 127.0.0.1:9053
transparent proxy address (TransPort) - 0.0.0.0:9040
dnscrypt-proxy (DoH) address - 127.0.0.1:9153
wireguard device network (частный диапазон IP адресов из которого назначаются адреса wireguard интерфейсам) - 10.253.1.0/24
сервер wireguard address - 10.253.1.2
android клиент - 10.253.1.10
vpn сервер другой локалки - 10.253.1.3
Сервер
Мой сервер - обычный x86 с Ubuntu 20.04 LTS.
Установливаем пакеты ( apt install ):
iptables-persistent - сохранение и восстановление правил iptables
dnsmasq - DNS + DHCP сервер
dnscrypt-proxy - DoH DNS клиент
systemd + netplan.io - были установлены по умолчанию и используются для настройки сетевого интерфейса
Настраиваем статический сетевой интерфейс - /etc/netplan/eth0-static.yaml и запускаем netplan apply для применения изменений.
Для включения маршрутизации установливаем параметры ядра:
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv6.conf.all.forwarding=1
и правим файл /etc/sysctl.conf для сохранения изменений после перезагрузки.
Настроиваем iptables - для таблицы filter установливаем default policy ACCEPT для цепочек INPUT и FORWARD - /etc/iptables/rules.v4. И перезагружаем правила netfilter-persistent start или iptables-restore < /etc/iptables/rules.v4 .
Подключение и вход
Прежде чем приступить к настройке GPON роутера ZXHN F670, нужно подключить:
- LAN -порт устройства к сетевой карте при помощи коммутационного шнура;
- кабель интернет-провайдера к оптическому разъему;
- блок питания самого устройства.
Схема подключения стандартная, только вместо WAN -кабеля используется Gigabit PON.
Для входа в меню настроек нужно открыть браузер и в адресной строке указать 192.168.1.1. Откроется страница авторизации. Вместо полного адреса роутера также можно ввести rt/. Далее необходимо указать ZTE F670 ZXHN логин и пароль администратора от Ростелекома или МГТС.
В зависимости от поставщика роутера эти комбинации могут отличаться. У MGTS обычно для авторизации используется связка user/user. В роутерах Ростелекома для авторизации используются другие пары логина и пароля:
- admin/admin;
- admin/1234;
- admin/password;
- admin без заполнения поля «пароль».
Войти в роутер ZTE F670 Ростелеком или МГТС также можно под учетной записью суперадмина. Она предназначена для инженеров сервисных центров и мастеров настройки. После авторизации под этой учетной записью в роутере можно активировать или отключить некоторые протоколы, например, TR-069.
Чтобы авторизоваться в режиме суперадмина в роутерах МГТС нужно ввести логин mgts и пароль mtsoao. В устройствах Ростелекома для активации этой учетной записи, нужно:
- Ввести логин superadmin.
- В окне пароль указать Zte521zTE@ponXXXXX, где XXXXX – последние 5 цифр серийного номера роутера.
Настройки tor
Порт для socks5 proxy - SocksPort
Запрещаем выходные ноды в некоторых странах - ExcludeExitNodes
Порт для transparent proxy - TransPort
Частный диапазон адресов из которых будут назначаться IP для серверов к которым мы будем ходить через tor - VirtualAddrNetwork
Список доменов которые мы будем резолвить через tor и которые будут иметь адреса из нашего частного диапазона (см. VirtualAddrNetwork) - AutomapHostsSuffixes - настраивается скриптом dnsmasq_reconfig.sh и сохраняется в файл /etc/tor/hosts_suffixes.cfg.
Для реализации используем dnscrypt-proxy. Для установки выполняем apt install dnscrypt-proxy .
Примечание: я немного изменил способ запуска dnscrypt-proxy потому что мне показалось, что он у меня не работал. В настройках по умолчанию он запускается через systemd.socket - то есть порт слушает systemd и запускает dnscrypt-proxy когда нужно. Я изменил конфигурацию. В моей конфигурации я запускаю dnscrypt-proxy напрямую. Порт слушает dnscrypt-proxy. Не думаю что это нужно. Для смены порта в конфигурации по умолчанию - когда dnscrypt активируется через systemd.socket надо выполнить systemctl edit dnscrypt-proxy.socket и установить
Обновление конфигурации
Добавляем домен на который хотим ходить через tor в файл /etc/dnsmasq.d/src/dns_tor_domains.txt.i
Добавляем статический адрес устройства локальной сети в файл /etc/dnsmasq.d/src/lan_hosts.csv.i
Запускаем скрипт dnsmasq_reconfig.sh, который сгеренрирует файлы настройки для dnsmasq (/etc/dnsmasq.d/ lan_hosts.cfg.i, resolv.conf.i), tor (/etc/tor/hosts_suffixes.cfg) и все перезапустит для обновления конфигурации.
Характеристики
Высокоскоростной оптический терминал поставляется со встроенной прошивкой Ростелекома. Роутер полностью русифицирован. Подойдет для офиса или большой квартиры. Обеспечивает стабильное и высокоскоростное подключение к интернету по технологии GPON.
Краткие характеристики ZTE ZXHN F670:
- 4 LAN -порта для подключения кабеля стандарта Ethernet;
- один порт SFF для подсоединения оптоволокна;
- 2 телефонных входа RJ-11, которые можно использовать для подключения внешних антенн;
- 3 антенны, обеспечивающие работы Wi-Fi в двух диапазонах – 2,4 ГГц и 5 ГГц.
Возможности устройства и встроенного ПО:
- обеспечивает стабильную передачу данных на скорости до 500 Мбит/с;
- поддерживает возможность подключения охранных систем, IPTV , VoIP-телефонии;
- может использоваться в качестве модема, маршрутизатора или беспроводной точки доступа;
- позволяет одновременно раздавать Wi-Fi сеть в двух диапазонах: 2,4 и 5 ГГц;
- поддерживает настройку принт-сервера через USB.
Настройка
После подключения маршрутизатора и входа в меню настроек пользователь получает возможности настраивать:
- Параметры локальной сети (пункт LAN). Здесь для сетей задаются IP-адрес и маска подсети, настройки DHCP, DNS-адреса (первичный и вторичный) и т.д.
- Беспроводные сети.
- Маршрутизацию и проброс портов (пункт Routing)
Настройка WiFi
Для настройки беспроводной сети следует (на примере ZTE F670):
- Перейти в окне настроек к пункту меню WLAN;
- Включить беспроводной RF, выбрать режим (для сети 2.4 ГГц, котора поддерживает 802.11 b/g/n и смешанные), задать ширину полосы для канала, номер канала, мощность сигнала (пункт Основные);
- Задать идентификатор сети (SSID), ее видимость, максимальное количество подключений (пункт SSID);
- Произвести настройку безопасности – выбрать технологию аутентификации, ключ (пароль Wi-Fi), тип шифрования.
Настройки проводятся для каждой из сетей 2.4ГГц и 5 ГГц. После завершения настроек в каждом пункте меню обязательно их сохранение.
Чтобы изменения вступили в силу, рекомендуется после окончания настройки перезагрузить маршрутизатор.
Настройки dnsmasq
В /etc/default/dnsmasq добавляем опцию для игнорирования файлов с расширением *.i.
Локальные устройства прописываем в /etc/dnsmasq.d/src/lan_hosts.csv.i для задания фиксированных IP адресов.
Домены для доступа к которым будем использовать tor прописываем в /etc/dnsmasq.d/src/dns_tor_domains.txt.i
Для анонса маршрутов используется DHCP опция classless-static-route и microsoft-classless-static-route - 249 (на всякий случай). В принципе можно было бы попробовать и не отключать DHCP сервер на роутере, а просто анонсировать дополнительные маршруты. Проблема возникла на телефоне Android Xiaomi Mi 9T. Он не использовал маршруты с DHCP, использовал только один маршрут по умолчанию. Не уверен, что на всех андроидах есть такая проблема. Пришлось для андроидов сделать специальные настройки и перенаправлять весь трафик от андроид клиентов на сервер.
Специальные настройки для android - нет маршрутов, сервер используется в качестве основного маршрутизатора.
Для примения настроек запускаем `dnsmasq_reconfig.sh` - более подробно описано в разделе "Обновление конфигурации".
Читайте также: