Какие дырки есть в роутере

Какой-бы SOHO роутер не был крутой — он с «дырами». Какая бы крутая контора не производила SOHO роутеры — они все равно с дырами.

Сначала надо оговорить, что под роутерами будут подразумеваться в большинстве своем SOHO роутеры, которые стоят в общественных местах, домах и тд. А также под «вскрытием» понимается открытие доступа к роутеру из глобальной сети и получение данных для этого доступа (об этом подробнее потом).
Итак, почти всегда (и по дефолту) роутеры закрыты для доступа из вне и как-то с ними взаимодействовать (кроме переправки сетевых пакетов) можно только из локальной (часто беспроводной) сети, то есть попасть в настройки можно только подключившись к нему через Ethernet кабель или по WiFi, если есть такая функция.

Всем, кто настраивал или пробовал залезть в настройки известно, что роутеры используют пул частных IP-адресов и назначают эти адреса всем подключившемся к ним машинам, создавая локальную сеть между этими устройствами (включая их самих), и через частный IP роутера (может быть разный, но на практике вариантов совсем мало) можно зайти в его админ панель через веб-интерфейс и настроить там, все что он предложит.

То есть у него там запущен какой-то веб-сервер, который и предлагает это сделать, можно сказать это сайт в этой локальной сети, через который можно провести настройку. Только эти настройки ограничиваются логином и паролем для защиты. Но почти всегда обычным юзерам не хочется лезть в настройки (или не приходится), и настраивающие роутеры люди, тоже не меняют пароли от настроек и они остаются дефолтными.

Задумка.

По моим наблюдениям (в моих случаях всегда, но возможно это не так) в большинстве роутеров в HTTP-заголовках ответов не было заголовка X-Frame-Options (хотя это не помеха, как выяснилось позже), то есть весь веб-интерфейс можно с легкостью подгрузить во фрейме. Но рулить содержимым < iframe > через JS мы не сможем, так как Cross Origin Policy браузеров не позволит, более того, мы даже не сможем увидеть, какой реальный адрес подгрузился во фрейме (если там был редирект) и тем более HTML-код в нем.

Несмотря на эти ограничения, пользу из ситуации все же можно вынести: можно на основе шаблонов пробовать угадать марку и модель роутера, затем через дофолтные логин/пароль для этой модели залогиниться и отправлять все HTTP-запросы в тот < iframe >, тем самым как-никак, но мы получается будем управлять роутером.

Но управлять таким образом очень сложно, неудобно и довольно велика вероятность, что кое-что кое-где может пойти не так вся цепочка действий прервется или ключевые действия не будут выполнены, поэтому идея заключается в том, что мы:

• определяем марку и модель роутера;
• подбираем для модели дефолтные логин/пароль;
• после авторизации открываем порт для внешнего доступа к роутеру;

В большинстве (в моем случае было во всех) роутерах есть функция удаленного подключения (по дефолту это порт 8080), так что нам легче всего будет после залогивания открыть его и отослать репорт на наш сервер, мол плюс один есть.

Но для эффективности я еще сделал так, что после первой попытки авторизации скрипт еще раз посылает все логины и пароли из его словаря (при нужной установке переменных в скрипте). Это работает, так как нам достаточно один раз угадать логин и пароль, далее при успешной попытке они сохраняются в cookies или в сессиях на самом роутере (опять же, так может быть не у всех, но в моем случае было всегда), и мы можем еще перепробовать пару ложных паролей (cookie не удаляться при этом) и потом уже отправлять HTTP-запросы для открытия порта.
Теперь стоит упомянуть, когда это не сработает:

• если юзер сменил дефолтные логин и пароль (и сменил не на другие дефолтные);
• если авторизация осуществляется с каптчей или какими-нибудь токенами (такое пару раз видел, но редко);

Еще сначала мне казалось, что если веб-сервер роутера будет отправлять X-Frame-Options со значениями SAMEORIGIN и тем более DENY, то наша затея тоже накрывается. Но затем я более детально вдумываясь пришел к выводу, что фрейм нам нужен только для того, чтобы при отправки POST или GET запросов у нас не происходила переадресация главной страницы.

А это значит, что нам не важно, какой будет ответ от веб-сервера, нам главное, доставить до него запрос через фрейм. А современные браузеры применяют политику Cross Origin Policy только при получении ответа от веб-сервера и уже на основе нужного заголовка решают, отдавать нам ответ во фрейм или зажать. Но в нашей ситуации достаточно только доставить запрос до веб-сервера, а к запросу эта политика не будет принята, так что в теории все должно быть нормально, что и было потом подтверждено опытным путем.

Реализация.

Определение марки и модели роутера.
Сначала долго думал, каким способом можно это сделать, учитывая, что из доступных средств у нас толко JS (можно конечно сюда и флеш с джавой приспособить, но хром сейчас, например, по умолчанию флеш на паузу ставит, да и не установлен может он быть + это нам мало что даст, по сравнению с JS’ом).

Потом придумал (и выяснил, что до меня это уже кто-то догадался), что каждый роутер при подгрузке веб-интерфейса используют каие-то картинки, css-файлы, js-файлы, которые мы в принципе без каких-либо ограничений можем запрашивать у веб-сервера роутера с нашего подгружаемого сайта. Тем самым, определив наличие/отсутствие каких-то файлов можно с относительно точной вероятностью сказать, что у юзера используется такой-то роутер и что там скорее всего стоят такие-то логин и пароль, и нам надо отправить такой-то HTTP-запрос, чтобы залогиниться и поставить настройку открытия внешнего администрирования.

Это подводит еще к моменту, что придется составлять базу «отпечатков» конфигураций файлов js/css/картинок для каждой интересующий нас модели и так же в эту базу добавлять данные, как с этой моделью работать и какие там используются пароль и логин.

Забегаю чуть вперед, можно увидеть проблему в отправке POST зарпосов в < iframe >, но благо браузеры позволяет нашим формам (< form >) через атрибут target указать, куда будем сабмититься, то есть можно указать имя нашего фрейма и все POST запросы будут отсылаться в него.
Получившийся JS код прикреплю к теме и не буду вдаваться в его подробности, лишь опишу кратко алгоритм работы:

• из базы берется элемент данных;
• проверяется его файлы один за другим;
• если файла нет на сервере, то записывается количество совпадений остальных файлов элемента данных;
• если совпали все файлы (или количество совпадений наибольшее), то берется из элемента данных инструкция и выполняется;
• если в результате перебора базы точных совпадений не было, то выбираются «победители», с наибольшим числом совпадений (их может быть несколько);
• если совпадений нет, то все заканчивается;
• далее просто для каждого «победителя» выполняются заложенные в базу команды;
• после окончания работы (если были совпадения) на сервер отправляется уведомление;

Серверная сторона может быть реализована на PHP, там будет детектиться IP юзера (это почти всегда IP роутера, если юзер не сидит через посредника) и приниматься уведомления, где уже будет связываться IP и данные для подключения и все это сохраняться.

Несколько примеров:

• Взлом роутеров ASUS
• Взлом роутеров TP LINK
• Взлом роутеров Tendra и Medialink
• Взлом роутеров D-Link через backdoor
• Взлом роутеров Linksys E-серий
• Взлом роутеров со стандартными паролями
• Взлом флагманского роутера D-Link DIR-890L
• Взлом роутеров Zyxel

Некоторые роутеры настолько ущербны, что вас даже не спасет альтернативная прошивка вроде openwrt или dd-wrt. Дыры в прошивках производители устранять не торопятся.
Интересно почему? Не потому ли, что этим пользуются спецслужбы?
Сейчас очень много говорят о попытках взлома смартфонов, краже персональных данных и все такое. А то что целую домашнюю сеть взломать можно как нефиг делать и слить от туда все что угодно — про это как-то никто особо не говорит. А между тем, в большинстве случаев у людей дома компы вообще без паролей и единственная защита перед ним от внешних атак — это роутер-сито.

По материалам сайта cryptoworld.su

Письмо это вышло более длинным только потому, что мне некогда было написать его короче.
Блез Паскаль

⇡#Предисловие

Для начала очертим, так сказать, исследуемую область. Во-первых, речь пойдёт о стационарных Wi-Fi-роутерах потребительского уровня, или, говоря иначе, класса SOHO (Small Office, Home Office). Всякие xDSL, GPON и DOCSIS остаются за бортом, так как выбор их крайне мал, да и часто такое оборудование выдаёт непосредственно провайдер. И это устройство можно переключить в режим моста, чтобы поставить за ним обычный, купленный самостоятельно SOHO-роутер.

Во-вторых, предполагается, что роутер будет использоваться в городских условиях, то есть в квартире, а не в частном доме. В-третьих, это не пошаговая инструкция, а скорее набор отдельных советов, описаний и замечаний — на что стоит обратить внимание в технических характеристиках устройства, в обзорах и обсуждениях на форумах или в комментариях.

Материал рассчитан на не слишком подготовленного пользователя, так что некоторые моменты сознательно упрощены. Здесь рассмотрены только наиболее востребованные или часто (вариации этого слова будут встречаться, простите, часто) используемые сценарии применения или функции, для которых всегда найдутся исключения. Некоторые наиболее важные функции или настройки выделены курсивом.

Наконец, это во многом «теоретический» гид, так как большинство при выборе роутера будет исходить в первую очередь из его цены. Дополнительно обратим внимание на ещё два материала, которые хоть и вышли несколько лет назад, однако актуальность свою в целом не потеряли. На них мы будем изредка ссылаться по ходу повествования.

1. Как улучшить работу домашнего Wi-Fi: советы для чайников!
2. Прошивка SOHO-роутера.

⇡#Стандарты и маркетинговые классы Wi-Fi

Начнём с тех параметров, которые большинство считает следующими по важности после цены — с классов и скоростей. В последние годы производители стали использовать для обозначения уровня устройств маркетинговые классы, иногда вынося их прямо в название. Это те самые аббревиатуры вида N450, AC2600 или AX3600, где первыми идут буквы, указывающие на максимальный поддерживаемый стандарт, а за ним следует значение суммарной скорости в мегабитах в секунду. И чем больше это число, тем — по идее — роутер быстрее. Однако всё не так просто.

В обозначении приводится канальная, или «чистая» (об этом чуть ниже), скорость беспроводного соединения, которую поддерживает роутер. Она определяется стандартом Wi-Fi, количеством потоков и их шириной. Есть ещё некоторые другие параметры, такие как величина защитного интервала или дополнительные типы модуляций, но для нас они сейчас не очень существенны.

В таблице выше даны основные характеристики современных стандартов Wi-Fi. В последней колонке приведена максимальная скорость одного канала в зависимости от его ширины (в скобках). Данные для Wi-Fi 4 (802.11n) приведены скорее для справки — роутеры с поддержкой только этого стандарта покупать нет смысла, да и встретить их в продаже всё труднее. Тем не менее надо знать, что все новые стандарты обратно совместимы со старыми

Для примера разберём ASUS RT-AX82U. В приведённых в обзоре характеристиках сказано, что у данной модели есть два 40-МГц потока 802.11ax в диапазоне 2,4 ГГц и четыре 160-МГц потока 802.11ax в диапазоне 5 ГГц: 2 × 286,8 + 4 × 1201 = 573,6 + 4804 = 5377,2 Мбит/с. Округляем до 5400, указываем стандарт AX — маркетинговый класс AX5400 готов! Правда, толку от этого немного. Во-первых, практического смысла складывать скорости двух диапазонов нет — каждое устройство в каждый момент времени подключено к роутеру только в одном диапазоне, а сами диапазоны работают независимо друг от друга.

Во-вторых, реальная скорость передачи данных отличается от канальной скорости подключения, и если первая на практике составляет где-то ⅔ от второй, то это достойный результат. Кроме того, она делится между всеми участниками процесса. Например, при обмене данными между двумя одинаковыми устройствами Wi-Fi, подключёнными к одному роутеру, каждому из них достанется только половина от реальной скорости. Это связано ещё и с тем, что Wi-Fi — исторически полудуплексная технология, то есть в каждый момент времени данные идут от одного устройства к другому только в одном направлении (либо клиент → роутер, либо роутер → клиент).

В-третьих, даже в пределах одного диапазона и одного стандарта одну и ту же канальную скорость можно получить разными способами. Например, в диапазоне 5 ГГц два потока с шириной канала 160 МГц эквивалентны четырём потокам по 80 МГц. Про это, кстати, в характеристиках роутеров и клиентских устройств производители зачастую явно не говорят, и всё это надо искать или где-то в документации, или в обзорах, или на специализированных сайтах и форумах.

Тем не менее вопрос о том, какую избрать стратегию развёртывания сети (то есть какой роутер надо брать), остаётся открытым. Исходить надо из того, какие устройства у вас есть и какие возможности Wi-Fi они поддерживают, ну и из загруженности эфира. На первый взгляд всё просто — подавляющее большинство современных устройств поддерживают либо один, либо два потока. Трёх- и четырёхпоточный Wi-Fi — это уже скорее прерогатива отдельных PCIe-адаптеров с выносным блоком антенн.

Формально роутеры с поддержкой трёх-четырёх каналов могут в каждый конкретный момент обслуживать одновременно несколько клиентских устройств при определённых условиях. Но только формально. Для современных роутеров Wi-Fi 5 (AC) производители в обязательном порядке рекламируют поддержку MU-MIMO, которая в случае роутера с четырьмя потоками позволяет, к примеру, одновременно обслуживать либо два двухпоточных устройства, либо одно трёхпоточное и одно однопоточное.

Но скромно умалчивают, что для этого и все участвующие в процессе устройства тоже должны поддерживать MU-MIMO. А таковых в «дикой природе» не так много, даже несмотря на то, что технологии этой далеко не первый год. И шанс, что у вас абсолютно все устройства будут её поддерживать, невелик. Поэтому для типовых сценариев специально брать роутер с тремя или четырьмя потоками Wi-Fi 5 практического смысла почти нет.

С Wi-Fi 6 (AX) ситуация и лучше, и хуже. В новом стандарте предусмотрена более тонкая «нарезка» внутри самих каналов, что позволяет более эффективно использовать всю полосу нескольким устройствам. Есть и другие приятные нововведения вроде возможности более экономного расхода заряда у клиентских устройств. Но проблема всё та же — чтобы воспользоваться всеми этими преимуществами роутера Wi-Fi 6, все подключаемые к нему устройства должны поддерживать Wi-Fi 6.

С шириной канала правило довольно простое. Если диапазон 5 ГГц практически пуст (например, это частный дом), то лучше взять роутер с поддержкой 160-МГц каналов или 80+80 МГц (в первом случае это просто непрерывная полоса, во втором — разбитая на две части). Если эфир забит, то, вероятнее всего, достаточно будет и 80 МГц. В этом случае никто не мешает взять и модель с 160 МГц, но роутер может сам принудительно снизить ширину до 80 МГц, если решит, что в окружающем радиоэфире слишком шумно.

Есть ещё несколько моментов. В диапазоне 5 ГГц умещается всего два непересекающихся (то есть никак не мешающих друг другу) канала шириной 160 МГц и пять — шириной 80 МГц. Поэтому шанс, что роутер найдёт в эфире пустую или хотя бы более свободную от соседских роутеров полосу в 80 МГц, намного выше. Единственная загвоздка в том, что на практике верхняя половина диапазона (каналы с 100 по 165) может не поддерживаться как роутером, так и клиентскими устройствами. В роутерах, предназначенных для продажи в России, каналы с 100 по 132 могут быть вообще недоступны.

И в этом случае остаётся только нижняя половина 5 ГГц (каналы с 36 по 64), которая с большей вероятностью не пуста. А в ней есть всего два широких канала на 80 МГц и один на 160 МГц. Тут следует уточнить, что в некоторых роутерах есть возможность одновременно задействовать обе половинки диапазона 5 ГГц для создания отдельных сетей – их обычно называют трёхдиапазонными, хотя это не совсем корректно. Это полезная опция, так как позволяет поместить в одну из двух 5-ГГц сетей наиболее требовательные к скорости/задержке или просто современные устройства.

Но и это ещё не всё — большая часть каналов в 5 ГГц, особенно в верхней половине диапазона, вынуждена по стандарту задействовать DFS (Dynamic Frequency Selection), чтобы не мешать погодным радарам и другой технике. На практике это означает вот что: роутер периодически «прислушивается» к радиоэфиру — и может переключить канал (снизить ширину) или вовсе выключить Wi-Fi, если он решит, что кому-то мешает.

Тем не менее рекомендуется как можно больше клиентских устройств переводить именно в диапазон 5 ГГц, в том числе принудительно, с помощью Band Steering/SmartConnect. Особенно те, которым требуется высокая скорость. Те же, которым она не нужна, а это, например, большинство недорогих устройств интернета вещей, лучше оставить в диапазоне 2,4 ГГц.

В городских условиях диапазон 2,4 ГГц уже давным-давно плотно забит. На работу Wi-Fi 6 в этом диапазоне рассчитывать не стоит, а выходящая за рамки стандарта, но всё же ставшая распространённой поддержка QAM-256/TurboQAM хоть и позволяет на треть увеличить «чистую» скорость канала, однако погоды уже не делает. Да и «живёт» в 2,4 ГГц не только Wi-Fi — обычная микроволновка во время работы легко «забивает» сигнал роутера, если он находится неподалёку.

Также из обоих диапазонов лучше по мере возможности изгнать устройства, поддерживающие только старые стандарты Wi-Fi. Для 5 ГГц это Wi-Fi 4 (N), для 2,4 ГГц — 802.11g (Wi-Fi 3, хотя никто его так не обозначает) и 802.11b (Wi-Fi 1). Различные ухищрения в духе Airtime Fairness не всегда помогают, так как наличие даже одного устройства старого стандарта может негативно повлиять на работу всех остальных. Очевидно, что и роутер, поддерживающий только 802.11n (Wi-Fi 4), покупать сейчас смысла нет.

Если исходить из всего вышесказанного, то на текущий момент приемлемыми для обычного пользователя будут следующие конфигурации и соответствующие им классы в порядке повышения скорости (уделяйте внимание второй части «уравнения»):

• 2 × 802.11n (40 МГц) + 2 × 802.11ac (80 МГц) = AC1200/AC1300;
• 2 × 802.11n (40 МГц) + 2 × 802.11ac (160 МГц) = AC2000/AC2100;
• 3 × 802.11n (40 МГц) + 3 × 802.11ac (80 МГц) = AC1750/AC1900;
• 2 × 802.11ac (40 МГц) + 2 × 802.11ax (80 МГц) = AX1500/AX1600;
• 2 × 802.11ax (40 МГц) + 2 × 802.11ax (80 МГц) = AX1800;
• 2 × 802.11ax (40 МГц) + 2 × 802.11ax (160 МГц) = AX3000.

Более скоростные модели массовому пользователю не очень нужны. Поскольку роутер вы покупаете минимум на два-три года, уже есть смысл присматриваться именно к AX-решениям. За время его работы и количество устройств с поддержкой Wi-Fi 6 вырастет, и новые модели роутеров подоспеют. А вот гнаться за Wi-Fi 6E пока не стоит. Клиентских устройств и роутеров для него мало, да и те по большей части премиальные.

Однако именно за Wi-Fi 6E будущее. Во-первых, он работает и в диапазоне 6 ГГц, где есть сразу семь непересекающихся каналов шириной 160 МГц (или 14 по 80 МГц), то есть в эфире гораздо более свободно. Во-вторых, отдельный диапазон автоматически подразумевает, что туда не будут попадать устройства старых стандартов, а значит, всегда будут в полном объёме доступны все преимущества 802.11ax.

⇡#Конструкция

Как это ни странно, конструкция роутера тоже важна: не с эстетической точки зрения, а с функциональной. Первым делом надо обратить внимание на габариты и ориентацию устройства — нынче даже модели среднего уровня иногда страдают склонностью к гигантизму, что может стать неожиданностью после покупки. Некоторые из них можно размещать только горизонтально, где-нибудь на столе, другие — только вертикально, третьи — и так и эдак, и даже на стену повесить можно.

Это важно сразу по нескольким причинам. Во-первых, в любом случае при установке надо следовать рекомендациям производителя, потому что для любого современного роутера важно охлаждение, то есть свободный доступ воздуха к вентиляционным отверстиям, иначе он может перегреться. Во-вторых, надо заранее продумать, насколько удобным будет подключение кабелей в месте установки устройства.

Это на рекламных постерах роутеры красиво стоят где-нибудь на тумбе или и вовсе на кофейном столике посреди комнаты, причём проводов как раз почему-то не видно, а в реальной жизни у вас и длины шнура от блока питания может не хватить, и Ethernet-кабели будут перегибаться, и до внешнего USB-устройства надо дотянуться. А если это ещё и USB 3.0, да с плохим экранированием, то изредка всё ещё можно столкнуться с проблемами в диапазоне 2,4 ГГц, хотя проблема известна почти десять лет.

В конце концов, кабели могут помешать друг другу и внешним антеннам, если таковые есть. И это в-третьих — антенны должны быть правильно ориентированы. Для внешних антенн это, как правило, вертикальное положение, и здесь надо учесть их длину, которая обычно в описании не указывается вообще. Для роутеров с внутренними антеннами правило простое — их надо размещать так, как рекомендует производитель. Например, модные сейчас «башенки» или «цилиндры» не стоит класть набок.

И отдельно ещё раз напомним, что даже если антенны у роутера съёмные, а таких становится всё меньше и меньше, то менять штатные на какие-то другие — плохая идея, если вы не до конца понимаете, что делаете и зачем. Часто рекламируются антенны, для которых заявлен более высокий коэффициент усиления, что якобы улучшит работу Wi-Fi. Напротив, более высокая чувствительность скорее приведёт к тому, что ваш роутер будет «слышать» больше соседских роутеров, меняя своё поведение в эфире.

Ещё один неочевидный при покупке, но более чем очевидный в процессе эксплуатации момент — это индикация, а точнее её расположение на корпусе, читаемость, цвет, яркость и возможность отключения вручную или по расписанию. К счастью, мода на слепящие кислотно-синие индикаторы, которые ночью способны осветить полкомнаты, постепенно уходит. А вот что не помешает, так это наличие индивидуальных индикаторов у каждого сетевого порта, которые могут иногда значительно облегчить диагностику.

Наконец, последний пункт — кнопки. Помимо кнопок сброса настроек и выключателя питания (есть не всегда), обычно есть ещё одна-две кнопки, которые могут выполнять различные функции: запуск WPS для подключения к Wi-Fi нового устройства, включение гостевой сети Wi-Fi, полное отключение Wi-Fi, регулировка или выключение индикации, безопасное извлечение USB-накопителя и так далее. Конкретный набор функций зависит от вендора и прошивки, но удобно, когда их можно назначать самостоятельно и когда хотя бы одна кнопка с наиболее часто используемой функцией расположена на корпусе в доступном месте.

⇡#Сетевые порты

Типовой роутер имеет до пяти портов RJ-45: для WAN-подключения (то есть к интернет-провайдеру) и LAN-подключений (для локальной) сети. Этого большинству пользователей достаточно. Более того, всё чаще можно видеть роутеры вообще с двумя-тремя портами, так как большая часть клиентских устройств всё равно подключается к Wi-Fi. Тем, кого это не устраивает, нужен либо внешний коммутатор (они не очень дороги), либо роутер другого класса.

Роутеры с числом портов больше пяти редки, обычно дороги и могут иметь нюансы. Например, половина портов может быть связана с остальными портами посредством одного гигабитного подключения. Такой роутер будет позиционироваться как имеющий восемь гигабитных портов — и формально производитель будет прав. Но от ситуации с внешним коммутатором это не отличается.

Все роутеры, относящиеся к перечисленным выше классам Wi-Fi, по-хорошему должны иметь гигабитные (1GbE) порты. Если это не так, лучше от такой модели отказаться. В более дорогих моделях стали встречаться порты на 2,5 Гбит/с (2.5GbE) или 5 Гбит/с (5GbE), для которых, согласно стандарту, не нужны особенные кабели (в отличие от 10GbE). Но практического смысла в 2.5/5GbE почти что нет.

Во-первых, такой порт всегда один, и обычно назначен он на WAN-подключение, хотя, как правило, его можно переключить и в LAN. Во-вторых, клиентских устройств с поддержкой хотя бы 2.5GbE пока не очень много. В-третьих, в домашних условиях сценариев использования минимум. Можно, к примеру, организовать 2.5GbE-подключение к NAS, что в теории позволит нескольким клиентам одновременно обмениваться данными с NAS на более высокой скорости, но это зависит и от производительности самого NAS.

Для той же цели альтернативным вариантом может быть агрегация, то есть объединение двух (в случае домашних роутеров) проводных подключений в одно «виртуальное» с удвоенной пропускной способностью и/или отказоустойчивостью. Этот вариант, очевидно, требует наличия двух портов и поддержки агрегации со стороны NAS. Кроме того, отличаться может и сам тип агрегации — детали о совместимости придётся искать в инструкциях к обоим устройствам.

Агрегацию не стоит путать с другой функцией, обычно называемой Dual-WAN или Multi-WAN. Хотя WAN-агрегация тоже встречается, но это уже совсем редкий случай, когда её поддержка есть со стороны интернет-провайдера. Dual-WAN же позволяет роутеру работать сразу с двумя (или более) интернет-подключениями от разных провайдеров. Чаще всего под этим подразумевается автоматическое переключение с одного интернет-канала в случае его сбоя на другой (и обратно).

Реже — распределение трафика между разными провайдерами. Под этим не стоит понимать суммирование скоростей этих интернет-каналов, так как по умолчанию роутер просто будет направлять отдельные сессии (скачивание файла, например) то к одному, то к другому провайдеру. И некоторым онлайн-сервисам это может не понравиться. Однако чаще всего можно всё-таки настроить привязку конкретных устройств или сервисов к одному из интернет-каналов, что может быть полезно в некоторых сценариях работы.

И ещё пара примечаний. Во-первых, несмотря на массовый переход к OTT, ещё есть провайдеры, ТВ-приставки которых требуют не просто наличия отдельного LAN-порта, а дополнительных настроек (IGMP). Их поддержка есть не везде, поэтому лучше заранее уточнить совместимость у провайдера. Во-вторых, в некоторых роутерах есть SFP-порт, который позволяет подключить, допустим, оптический трансивер. Некоторые провайдеры предоставляют подключение по «активной оптике». Она же полезна, когда «дотянуться» до места подключения обычным Ethernet-кабелем не получается.

Однако для работы конкретно с GPON нужен и полноценный терминал (ONT) в таком форм-факторе, и согласие провайдера зарегистрировать его на своей стороне. В этом случае пытаться найти замену штатному роутеру или терминалу от провайдера не стоит, лучше перевести его в режим моста и уже за ним поставить свой роутер по выбору.

⇡#Интернет и VPN

Производители, которые уже больше десятка лет работают на российском рынке, поддерживают специфичные для него требования некоторых провайдеров (коих становится всё меньше), требующих для интернет-подключения поддержки PPTP/L2TP или каких-то дополнительных настроек. Более «молодые» вендоры или имеют плохую поддержку данных стандартов — или не имеют её вовсе. Это надо учитывать, если у вас именно такой провайдер. Кроме того, такие подключения создают дополнительную нагрузку на роутер.

Не следует путать VPN-подключение к провайдеру со встроенными VPN-серверами, которые нужны для удалённого доступа к домашней сети или просто для защиты обмена данными при подключении к недоверенным сетям (публичный Wi-Fi). Стандартный набор обычно включает те же PPTP и L2TP (устаревшие и не слишком защищённые), а также OpenVPN (защита лучше, но скорость ниже) и, в лучшем случае, Wireguard (хорошая защита, высокая скорость, но сложнее настраивать). Иногда вендоры также предлагают свои собственные реализации VPN, включая и клиентские программы для смартфонов.

С USB-модемами 3G/4G от мобильных операторов обычно проблем нет, если для роутера заявлена их поддержка. Однако свериться со списком совместимости не повредит. Также надо учитывать, что зачастую дополнительных функций (работа с SMS, учёт трафика) может и не быть. Некоторые вендоры поддерживают использование Android-смартфона в качестве модема, но гарантий совместимости не дают. Что касается роутеров со встроенными модемами, то у них надо в первую очередь смотреть на поддержку частот вашего оператора. Плюсом для них будет наличие съёмных антенн.

Наличие различных вариантов QoS (приоритизации) в роутере — это полезная штука, даже если у вас очень быстрый интернет-канал, так как эта функция позволяет отдать приоритет определённым устройствам или приложениям. Речь не только о скорости, но и о задержке. Правда, реализация этого механизма разнится от вендора к вендору. Кто-то предлагает готовые профили или «умную» автоматическую приоритизацию, кто-то даёт лишь базовые возможности настройки. Приоритизация отличается от шейпера, то есть простого ограничителя скорости, который, впрочем, тоже может быть полезен.

Игровые роутеры в первую очередь полагаются именно на приоритизацию и отличаются от условно неигровых простотой настройки QoS для конкретных игр и устройств. Но и на «обычном» роутере чаще всего можно вручную сделать всё точно так же. В дорогих моделях можно встретить дополнительные фишки вроде выделенного LAN-порта для консоли/ПК, выделенного (третьего) диапазона Wi-Fi, встроенного клиента игрового VPN-сервиса и так далее.

Все эти функции в основном направлены на снижение задержки, но не гарантируют его. На практике задержка зависит не только от самого роутера, но и от оборудования провайдера, его подключений к Сети, удалённости серверов и массы других факторов. Это всё актуально не только для игр, но и для набравших по причине пандемии популярность сервисов видеоконференций или удалённых рабочих столов.

⇡#Mesh-системы

Поддержка mesh в контексте домашнего Wi-Fi подразумевает возможность объединения нескольких узлов — роутеров, точек доступа или репитеров — в единую систему для увеличения площади покрытия беспроводной сети. Актуальны они либо для действительно больших пространств, либо для многоуровневых пространств в несколько этажей, либо тогда, когда стены или иные препятствия между отдельными помещениями заглушают сигнал Wi-Fi.

В последние годы все крупные вендоры представили свои решения в данной области, но между собой mesh-продукты разных производителей не совместимы. Кто-то предлагает готовые комплекты из двух-трёх-четырёх устройств, кто-то позволяет объединять практические любые современные устройства под своей маркой, кто-то делает и так и так. Наиболее простым для конечного пользователя видится именно первый вариант, хотя настройка второго варианта тоже, как правило, упрощена до предела.

Самым надёжным и в большинстве случаев производительным будет объединение mesh-узлов (создание опорной сети) посредством Ethernet-кабелей. Или если не всех узлов, то хотя бы части из них. Если же они объединяются по Wi-Fi, то надо быть готовым к тому, что реальная скорость передачи данных для устройств будет зависеть от того, к какому узлу оно подключено и как этот узел связан с остальными. В большинстве конфигураций она будет ниже, чем если бы вместо mesh-сети использовался один роутер.

Если нет возможности протянуть кабель, то для подключения узлов между собой лучше использовать диапазон 5 ГГц, так как в этом случае скорость связи приоритетнее. Тут-то как раз и пригодятся упомянутые выше трёхдиапазонные роутеры, так как выделенный диапазон для опорной сети — ровно то, что нужно. Также важно, чтобы объединяемые в mesh-сеть узлы были одного класса Wi-Fi (в готовых комплектах так и есть). Ну или хотя бы организовать сеть так, чтобы наименее скоростные узлы были в конце последовательной цепочки, если это возможно.

Mesh-сети в силу своей природы порождают ещё одну проблему — переподключение устройств между узлами, особенно в зоне, где покрытие узлов пересекается. Некоторым устройствам это вообще не нужно — и хорошо, если есть возможность привязать их к конкретному узлу. В идеальном же случае и mesh-сеть, и клиентские устройства должны поддерживать стандарты 802.11k/v/r. Тогда переход между узлами будет бесшовным и практически незаметным. Вот только о поддержке этих стандартов производители роутеров пишут редко, а производители клиентских устройств — ещё реже. Хуже того, это может зависеть от версии прошивки.

На практике, вероятнее всего, у клиентских устройств будет поддержка только одного или двух стандартов — либо вообще ни одного. На этот случай у роутеров есть запасной механизм принудительного отлучения устройств от Wi-Fi, если сигнал от них становится слишком слабым. Делается это в надежде на то, что устройство само попытается подключиться к другому узлу или к другому диапазону. Правда, процесс этот может оказаться небыстрым.

Отдельно стоит отметить ещё пару моментов. Во-первых, обычные репитеры/повторители (их в продаже всё меньше) не являются полноценной заменой mesh-сетям, и их использования лучше вообще избегать. Во-вторых, в продаже можно встретить комплекты для mesh-сетей с поддержкой PLC (HomePlug AV), которые для опорной сети используют электропроводку. Их тоже лучше избегать, так как и скорость такой сети будет невелика, а стабильность её работы зависит от массы факторов, не всегда сразу очевидных.

⇡#USB-приложения

Первое правило работы с USB-портами в роутере — не стоит подключать устройства, поддержка которых не заявлена. Второе правило — не стоит подключать несколько устройств к одному порту. Если обойтись без этого решительно невозможно, то следует использовать USB-хаб c внешним блоком питания. USB-порты в роутере в целом не предназначены для запитывания каких-то мощных устройств, и лучше заранее узнать, какой ток и напряжение они могут выдавать, если эта информация предоставлена производителем.

Ну и третье правило — USB-порты лучше вообще не использовать, если есть такая возможность. Чаще всего к роутеру подключают принтер/МФУ или накопитель, но роутер не может стать полноценной заменой ни NAS, ни печатающему устройству со встроенным сетевым адаптером (проводным или Wi-Fi) и поддержкой сетевой печати. Все роутеры имеют ограниченный список поддерживаемых USB-принтеров, а в случае МФУ вообще можно надеяться только печать, но не на сканирование по сети.

Для USB-накопителей наиболее частыми поддерживаемыми функциями являются общий доступ к файлам и папкам (SMB/FTP), как локально, так и через Интернет, а также медиастриминг (DLNA) контента, не всегда совместимый со всеми ТВ и приставками, и менеджер закачек. Все они нагружают процессор и память, и хотя для современных роутеров это всё менее проблемно, на постоянную высокую производительность рассчитывать не стоит.

Отдельно стоит обратить внимание на поддерживаемые роутером файловые системы, а также на требования накопителя к питанию (и возможность подключить внешнее). Также крайне полезным будет поддержка со стороны роутера протокола SMBv2/3 (в Windows 10 старая и небезопасная версия SMBv1 по умолчанию отключена, и не надо её включать).

⇡#Безопасность и защита

Помимо описанных выше базовых и просто наиболее востребованных функций и возможностей, есть и ряд дополнительных, не менее важных, так или иначе касающихся безопасности. Так, например, поддержка дополнительных сетей Wi-Fi есть практически везде, но полезно будет иметь возможность создания нескольких, причём с изоляцией от основной домашней сети — одной гостевой и одной для устройств Интернета вещей.

Также крайне полезно иметь функцию автоматического обновления прошивки роутера или как минимум уведомления о выходе новой версии. Последние обычно доступны в мобильных приложениях-компаньонах, которые упрощают работу с роутером, хотя в них может быть представлен только ограниченный набор из наиболее часто изменяемых параметров. Приложения же могут уведомлять и о подключении новых устройств, что позволит отловить незваных гостей.

Что касается дополнительных средств защиты, то тут всё не совсем однозначно. Функция проверки настроек роутера с рекомендациями по их исправлению определённо полезна. Функции, анализирующие сетевой трафик, потенциально могут избавить от некоторых проблем, особенно в случае неподготовленных пользователей. Однако они не являются заменой защитных средств на клиентских устройствах. К тому же они могут давать дополнительную нагрузку на роутер. С другой стороны, чаще их можно встретить в более дорогих и мощных роутерах, которые с этой нагрузкой справятся. Так что если они достаются бонусом ко всем остальным возможностям, то хорошо. А если нет, то специально гнаться за ними, пожалуй, не стоит.

Родительский контроль есть везде, но реализован по-разному. Где-то можно задать только расписание, в какие часы и какие устройства смогут быть онлайн — и вручную составить список запрещённых сайтов. Где-то можно запретить доступ к определённым категориям ресурсов в Сети. И эту функцию можно использовать для контроля не только за использованием интернета детьми (они-то как раз могут её обойти), но и устройств в локальной сети.

Близкой по духу является функция использования сторонних DNS-серверов, таких как «Яндекс.DNS», SafeDNS или AdGuard DNS, которые предлагают различные варианты фильтрации доступа на уровне всей домашней сети, что очень удобно. Точнее говоря, указать-то эти DNS можно в любом роутере, но не все позволяют, к примеру, включить определённый профиль для определённых устройств или, наоборот, отключить сторонний DNS для каких-то ресурсов (в частности, сервисов самого интернет-провайдера).

Ну и последнее — если есть нужда в открытии наружу каких-то локальных ресурсов (веб-интерфейс роутера, доступ к накопителю и так далее), то для удобства практически везде можно задействовать DDNS (Dynamic DNS), сторонний или от самого производителя роутера, а для защиты такого подключения очень и очень полезно иметь корректный TLS-сертификат для DDNS-имени. Эта опция предоставляется опять же либо производителем роутера напрямую, либо — чаще всего — с помощью Let’s Encrypt. Но есть она далеко не везде.

⇡#Послесловие

Если у вас нет желания или возможности прочитать весь материал или отдельные его части, то здесь мы просуммируем все максимально тезисно:

• Актуальные классы роутеров – AC1200/AC1300, AC2000/AC2100, AC1750/AC1900, AX1500/AX1600, AX1800 и AX3000, с гигабитными портами. Чем выше класс, тем устройство обычно дороже, но это не всегда так. Предпочтительнее будет роутер с Wi-Fi 6 (AX), но и Wi-Fi 5 (AC) сейчас будет достаточно. А вот за Wi-Fi 6E гнаться пока смысла нет.
• По возможности переводите как можно больше устройств в диапазон 5 ГГц, а от устройств с поддержкой только старых стандартов (802.11a/b/g/n) избавьтесь – или перекиньте их в диапазон 2,4 ГГц.
• Обратите внимание на конструктивные особенности устройства: габариты (с антеннами, если они есть), индикаторы, кнопки, как производитель рекомендует устанавливать его и ориентировать антенны. Прикиньте, где и как будет размещён роутер, дотянутся ли до него все кабели, будет ли ему хватать вентиляции – и так далее.
• Изучите технические характеристики и документацию на предмет возможных проблем с совместимостью. Это, в частности, касается интернет-соединения с провайдером и, например, подключения ТВ-приставки.
• Совместимость с роутером важна и для USB-устройств: модемов, принтеров, накопителей. Учтите, что домашний роутер не является полноценной заменой NAS, а для принтера/МФУ предпочтительно наличие встроенного сетевого адаптера.
• Mesh-сети нужны для увеличения площади и качества покрытия беспроводной сети. для небольшой квартиры Mesh в большинстве случаев ни к чему. В целом про них полезно знать всего две вещи: а) mesh-системы разных производителей несовместимы между собой; б) если есть возможность, объединять mesh-узлы друг с другом лучше с помощью проводного подключения.
• Все неосновные возможности при выборе роутера нужно учитывать во вторую очередь. За исключением, пожалуй, только одной — функция автообновления прошивки или хотя бы уведомления о её выходе в нынешнее время весьма важна.

Напоследок можно дать еще один очень простой совет по выбору роутера: берите модель поновее от известного производителя, который давно работает на российском рынке. Это ничего не гарантирует, но повышает шансы, что устройство будет иметь достаточно современный класс Wi-Fi, более совершенное «железо» и функции, а также получит достаточной длинный срок поддержи, то есть будет получить обновления прошивки с заплатками и новыми функциями. «Большая тройка» таких производителей — и здесь мы впервые в рамках материала упомянем конкретные бренды — включает (в алфавитном порядке) ASUS, Keenetic и TP-Link.

Часто провайдеры не заморачиваются тем, чтобы довести провода в квартире до нужной точки. Тогда приходится договариваться с монтажниками, либо заниматься прокладкой интернета в квартире самостоятельно. Сделать проводку в квартире не так уж сложно, если ясна конечная цель. Здесь расскажем о том, как лучше крепить кабель к стенам в квартире или доме, как выбирать провод и как его подключать к роутеру или другому оборудованию.

Смысл выделенного канала

Обычно подключение происходит при помощи прокладки кабеля витой пары провайдером до квартиры и немного в ней. Часто вешают роутер над входной дверью или ставят на ближайший к входу шкаф. Провайдер может осуществлять прокладку провода и в квартире, но за дополнительную плату. Иногда такой услуги нет, тогда остается договариваться с монтажниками о неофициальной работе или разводить витую пару в квартире своими руками.

Ваши дальнейшие действия зависят от того, как именно подключено помещение и от чего будете дальше тянуть. Если монтажники оставили в квартире большой кусок провода, то остается протянуть интернет кабель дальше самостоятельно. Если же он воткнут в роутер, то можно тянуть второй провод от роутера или наращивать первоначальный. Во втором случае получится организовать установку маршрутизатора в нужном месте, а не рядом со входом. Возникнет слабое место в месте соединения кабеля провайдера с вашим куском провода. Так что не поскупитесь и купите нормальные соединения, вроде скотч локов, термоусадки или любого другого вида. Изолента проста, но не очень надежна в плане долговечности.

О витой паре

Витая пара используется уже больше сотни лет, пусть изначально она и выглядела немного по-другому. Вначале она применялась на американских телефонных линиях. Свое название она получила благодаря тому, что парные проводники, по которым идет сигнал, скручивались между собой на всем протяжении линии. Это защищало от помех и наводок, при этом, если уж изменения произошли, то они влияли одинаково на оба кабеля.

Витая пара и сейчас используется для построения слаботочных сетей до 24 В: телефонов, интернета, камер, сигнализации, охранных и промышленных сетей. Для дома проводники слишком тонкие, чтобы организовать электропроводку. Не выдержат большого напряжения.

Обладает следующими характеристиками:

Витая пара обеспечивает стабильный обмен данными между устройствами в квартире и интернетом на скорости 1 Гбит/с, если на всех девайсах стоят соответствующие разъемы. Хороший выбор для проведения последних нескольких десятков или сотен метров до конечного оборудования. Для больших расстояний или скоростей подключения используют оптику.

Выбор провода

Для проводки интернет-кабеля в квартире можно использовать любую витую пару. Главное, чтобы в ней этих пар было 4. Достаточно прийти в магазин и попросить «провод для интернета» и вам покажут все, что надо.

Оптимальный вариант для квартиры — неэкранированный кабель категории 5E.

Отличаются они только производителем и материалами, но большой разницы между производителями в использовании незаметно. Так что берите тот, что есть в магазине. Разве что, если берете сразу много, то покупайте в специальных коробках, там она уложена специальным образом и есть отверстие для извлечения. Это поможет быстро размотать её и с удобством переносить с места на место.

Иногда имеет смысл рассмотреть покупку экранированного провода. В первую очередь он защищает от электромагнитных излучений и убирает помехи. Так что нужно брать, если пара проходит рядом с линиями электричества или с техникой, которая генерирует такие поля. В меньшей степени плотная оболочка из фольги защищает от механических повреждений. Можно рассмотреть этот вариант, если кабель будут случайно задевать или он окажется в открытом месте.

Способы разводки и основные правила прокладки

В общем-то, нет отличий в схемах разводки интернета в квартире или частном доме. Они отличаются только тем, что окажется в конечной точке прокладки кабеля.

1. К компьютеру. Это подключение предполагает, что вы тянете свой провод прямо к конечному устройству. Это задает жесткие рамки, потому что место для компа одно, его не подвигаешь и с прокладкой не поиграешься.
2. К роутеру. В этом случае сеть тянется до маршрутизатора. Дальше он раздает беспроводной интернет. Случай попроще, потому что роутер привязан только к розетке. Выберите место так, чтобы он находился по центру дома или квартиры для равномерной раздачи интернета.
3. К маршрутизатору и дальше. В этом случае кабель провайдера втыкается в роутер, а дальше нужно развести интернет по квартире к другим проводным устройствам, которые не могут работать по вайфаю. Сложный вариант, его проблемность растет с каждым новым устройством. Если же подключается только компьютер, то проблем обычно нет. В этом случае роутер обычно ставят рядом с компьютером.

Основные правила, которые соблюдают при прокладке проводов для интернета:

1. Не делать сильных перегибов. Гнуть провод под 90 градусов – это плохая идея. Даже если не сломается сразу, то переломится с любой момент. Есть и рекомендованные значения, вроде 4 радиусов, но в домашних условиях их редко соблюдают. Главное, чтобы не было острых углов, перегибов и заломов.
2. Не класть рядом с высоковольтными линями и излучающими приборами. Если пара экранированная, то этот пункт менее важен, если же нет, то на линии возникнут помехи, мешающие нормальной передаче данных. Скорость упадет, связь пойдет с перебоями.
3. Не рекомендуется устанавливать около жарких мест, вроде батарей. Открытым способом на улице тоже прокладывать не стоит, если бывают морозы. К ним она менее чувствительна, чем к высоким температурам, но все равно лучше убрать провод в короб или под землю.

Проводка до ремонта

Сделать разводку и монтаж интернет кабеля в пустом доме – это отличная идея. Нет никаких помех, можно все распланировать от и до. В итоге выйдет красивая система, которая будет радовать глаз после заселения.

Примеры схем разводки:

Здесь несколько нюансов:

1. Нужно четко представлять, где и что будет находится в помещении.
2. Заранее выбрать места для роутера, от которого разойдутся все остальные провода.
3. Кабель прокладывают одновременно с розетками и остальными кабелями.

Можно пустить кабели в стене или убрать их в ходе ремонта под штукатурку. Популярный выбор, но делать этого не стоит. Сейчас рекомендуют все провода проводить в кабель-каналах. Это важно, потому что в случае поломки кабеля, замыкания или еще каких-то проблем их можно быстро найти и починить. С началом ремонта все каналы спрячутся, к тому же, их покупают в цвет помещений или мебели, чтобы меньше выделялись. Если таких нет, то их красят самостоятельно.

В итоге такого планирования получатся такие розетки. К ним подключается сразу телефон, телевизор, компьютер и любое устройство, которым требуется питание. Вы не окажетесь привязаны к одному месту во всем доме и в любой момент сможете переставить телевизор или компьютер. Или подключится на минутку к сети из любого места дома.

Проводка после ремонта

Провести кабель интернета по квартире после ремонта сложнее. В основном, потому что придется двигать мебель и прокладывать его так, чтобы не мешался под ногами и не бросался в глаза. Здесь вариантов два:

1. В современных плинтусах есть каналы для нескольких кабелей. Открывайте их по одному и проводите провода внутри плинтусов до места назначения. С дверными проемами будут проблемы, придется вести напрямую или вокруг двери.
2. Кабель-каналы. Закупите небольшие кабель каналы, поднимите их к потолку или спрячьте за мебелью. Потом пустите по ним все провода. Работы больше, зато выйдет симпатичнее, чем висящие провода.

Если нет совсем никаких вариантов, то оставьте роутер в прихожей и поставьте ретранслятор в нужной комнате. К нему подключите все нужные устройства. Скорость и стабильность соединения пострадают, но это может оказаться лучшим выходом.

Распиновка и подключение

После проведения кабеля его нужно подключить. Для этого потребуются разъемы RJ45 или 8P8C. Обжим витой пары подробно описан в отдельной статье. Для обжима снимите с витой пары экран и защитную оболочку. Дальше распределите пары в разъеме так, как показано на левом рисунке.

На обоих концах обжимайте по левому варианту. Правый нужен только в случае соединения компьютер-компьютер, тогда один конец обжимается по левому варианту. Для обжима есть специальный инструмент, который стоит от 500 рублей. Если не хотите покупать, то после засовывания витых пар в разъем надавите тонкой отверткой на золотистые пластинки сверху. Они должны прорезать провод, чтобы был контакт.

Вот так располагаются пары в самом разъеме и так он выглядит. Разъем вставляется в инструмент для обжима, нужно нажать на ручки и все готово. Если быстро и с усилием давить на контактные пластины тонкой отверткой, то можно добиться того же эффекта.