Netis WF 2880 - popis základního nastavení. 20160229 fw. 1.2.30905

Netis WF 2880 - popis základního nastavení 20160229 fw. 1.2.30905 1

2

Obsah 1 Specifikace...4 2 Defaultní /tovární/ nastavení...4 2.1 Výpis hodnot továrního nastavení pro fw 1.2.30905...4 2.2 Nastavení továrních hodnot...5 3 Obecná doporučení...5 4 První přihlášení...5 5 Firmware...7 6 Výběr režimu /Směrovač - Přemostění/...8 7 Nastavení v režimu Přemostění...9 7.1 Nastavení IP...9 7.2 Nastavení karty 2,4G...9 7.2.1 Nastavení filtrování MAC adres...11 7.2.2 Virtuální AP...11 7.2.3 Rozšířené nastavení WiFi...12 7.2.4 Zobrazení připojených mikrovlnných klientů...13 7.3 Nastavení karty 5GHz...13 8 Síťové služby /Nastavení USB/...14 8.1 Samba /sdílené úložiště/...14 8.2 FTP server...16 8.3 Media server...17 9 Nastavení režimu Směrovač...18 9.1 Nastavení WAN...18 9.2 Nastavení LAN...19 9.3 Nastavení IPTv...20 9.4 Rezervace IP adresy...20 10 QOS...21 11 Virtuální servery...22 12 Filtrování přístupu...22 12.1 Filtrování adres IP...23 12.2 Filtrování MAC adres...24 12.3 Filtrování domén...25 13 Nástroje pro správu /Nastavení pro režim Směrovač i Přemostění/...26 13.1 Zálohování a obnova konfigurace...26 13.2 Nastavení jména a hesla pro přístup k administraci...26 13.3 Povolení vzdálené správy...27 13.4 Reboot systému...27 13.5 Tovární /výchozí/ nastavení...28 14 Nástroje pro diagnostiku /Nastavení pro režim Směrovač i Přemostění/...29 14.1 Statistika provozu...29 14.2 ARP tabulka...29 14.3 Systémový log...30 14.4 Diagnostické nástroje ping a tracert...30 3

1 Specifikace Mikrovlnný WIRELESS Standard - IEEE 802.11b/g/n 2.4GHz; IEEE 802.11a/n/ac 5GHz Frekvenční rozsah - 2.4-2.4835GHz; 5.180-5.825GHz Vysílací výkon - 20dBm /max/ Režim rádia - AP, WDS, AP+WDS, Repeater, Client, Multiple AP Zabezpečení bezdrátové sítě - 64/128-bit WEP, WPA-PSK/WPA2-PSK (TKIP/AES), WPA/WPA2 SSID Broadcast Enable/Disable, Wireless MAC Filtering Rozhraní 1 *10/100/1000M Auto MDI/MDIX RJ45 WAN port 4 *10/100/1000M Auto MDI/MDIX RJ45 LAN port 1* USB 2.0 port LED - indikátor SYS, USB, WPS, 5G, 2.4G, WAN, LAN1~LAN4 Tlačítko - Default, WPS Anténa - 4 * externí 5dBi anténa, všesměrová Napájení - DC 12V/1A Rozměry - 145 x 155 x 35 mm Hmotnost - 285 g WAN Type - DHCP, Static IP, PPPoE, L2TP, PPTP, Dual Access, WISP Port Forwarding - Virtual Servers, Port Triggering, UPnP, DMZ, FTP Private Port QoS - WMM, Bandwidth Control Access Control - IP/MAC/Domain Filtering VPN pass-through - PPTP, L2TP, IPSEC Provozní teplota - 0 C ~ 40 C IP LAN 192.168.1.1 Konfigurační protokol http /bez autentizace/, telnet Start zařízení do plné funkčnosti může trvat až 70 sekund 2 Defaultní /tovární/ nastavení 2.1 Výpis hodnot továrního nastavení pro fw 1.2.30905 Zařízení - nastaven režim router WAN port - nastaven, aby získal IP nastavení ze serveru DHCP LAN porty - poslouchá DHCP server s IP adresou 192.168.1.1 Mikrovlnné karty - režim AP s odkrytým SSID se zapnutým ověřováním WPA/WPA2-PSK a s typem šifrování TKIPa AES. Heslo je pro obě sítě /password/. SSID je netis_2.4g_****** a netis_5g_****** kde ****** jsou poslední znaky z MAC adresy dané karty. USB - pokud je připojeno, jsou služby FTP a samba zapnuté bez ověřování. Media server je vypnutý. Konfigurační přístup - konfigurace je možná přes protokol http a Telnet. Pro konfiguraci přes protokol http je přistup bez uživatelského jména a hesla. Na WAN portu je přístup ke konfiguraci zakázán. Protokol Telnet není bez jména a hesla povolen. 4

2.2 Nastavení továrních hodnot Tovární nastavení - je možné provést zmáčknutím tlačítka /default/ na 8-10 sekund, nebo vzdáleně z konfiguračního menu zařízení /Systémové nástroje Výchozí nastavení/ obr. č. 42. 3 Obecná doporučení Nastavit jméno a heslo pro administraci. Nastavit jméno a heslo pro ostatní zapnuté síťové služby. Na mikrovlnných kartách nastavit ověřování WPA2-PSK a šifrování AES. V případě režimu router /směrovač/ nastavit statickou IP na WAN port. Nezapínat služby, které nejsou využívané. 4 První přihlášení Pro první přihlášení do administrace zařízení je nutné se buď připojit kabelem do jednoho z portů LAN, nebo přes jednu z mikrovlnných sítí viz výpis továrního nastavení a mít správně nastavené IP v počítači. Nastavení IP v počítači se provádí ve vlastnostech síťového připojení. Je možné zaškrtnout nastavení IPv4 automaticky ze serveru DHCP obr. č. 1 nebo nastavit IP adresu 192.168.1.10 a masku 255.255.255.0 staticky. Obr.1 Nastavení IP adresy na síťové kartě PC. Následně je možné do prohlížeče zadat odkaz http://192.168.1.1 Pokud je vše správně nastavené, otevře se v prohlížeči základní konfigurační obrazovka zařízení obr. č. 2 s možností výběru jazyka a základním náhledem konfigurace portu WAN a mikrovlnných karet. Toto nastavení však není dostatečné a pro podrobnější nastavení je nutné přejít do rozšířeného menu zmáčknutím tlačítka /Advanced/. 5

Obr.2 Základní obrazovka. Po přechodu do rozšířeného menu je v první záložce /Stav/ vidět aktuální konfigurace jednotlivých portů. V levém sloupci je pak nabídka pro konfiguraci jednotlivých funkcionalit obr. č. 3. Obr.3 Rozšířené menu. 6

5 Firmware Před zahájením konfigurace je vhodné provést kontrolu aktuálnosti firmwaru a případně provést upgrade na aktuální verzi. Aktuální verze firmware je ke stažení na stránkách výrobce. http://www.netis-systems. com/en/downloads/, případně na http://www.netis.cz/stazeni.html ftp://ftp.unet.cz/internet/netis/netis(wf2880_eu)-v1.2.30905.zip V zip souboru je vlastní firmware (soubor) s příponou bin. Upgrade se provádí v záložce /Systémové nástroje upgrade firmwaru/, kde je vidět i verze současného firmwaru. Pro nahrání nového firmware je nutné vybrat soubor s příponou.bin viz obr. č 4. Datum nemusí být vždy směrodatný! Po upgrade firmwaru se může stát, že po něm bude zařízení v továrním nastavení. Před upgradem již nastaveného zařízení je vhodné nejdříve provést zálohu konfigurace, kterou lze po upgradu do zařízení zpět nahrát. Do zařízení je nutné nahrát FW pouze pro model 2880! Při nahrání FW jiného modelu není možné uplatnit záruku. Obr.4 Výběr souboru s firmware. Obr.5 Upgrade firmwaru. Po upgrade firmware je možné přejít ke konfiguraci. 7

6 Výběr režimu /Směrovač - Přemostění/ Zařízení Netis 2880 je možné provozovat ve dvou režimech. Režim router /Směrovač/ - umožnuje připojit konektivitu do WAN portu a na portech LAN a WiFi (mikrovlnná karta) vytvořit překlad adres pro domácí síť. V tomto režimu je možné využít funkcionalit pro správu síťového provozu QOS, filtrování provozu a přesměrování (forwarding). Režim bridge /Přemostění/ - v režimu přemostění se chovají všechny ethernetové porty, včetně WAN portu, jako switch a mikrovlnné karty jako bridge. V tomto módu není možné využít služeb QOS, filtrování atd. IP zařízení je možné nastavit staticky nebo z DHCP. Z důvodu rozdílné nabídky menu v režimu Směrovač a Přemostění je vhodné zvolit režim před zahájením nastavování. Nastavení režimu je možné provést v záložce /Síť - provozní režimy/ obr. č. 6. Obr.6 Nastavení režimu, aktuálně nastavený režim Směrovač s rozšířeným menu. Obr.7 Provozní režim Přemostění s nastavenou statickou IP adresou. Ve verzi FW V1.2.30905 při přepnutí z režimu router do režimu přemostění nedojde k vypnutí DHCP serveru. DHCP server je nutné vypnout před změnou režimu. Dále nedojde k přiřazení WAN portu do switche. Chyby by měly být v novějších fw opraveny. 8

7 Nastavení v režimu Přemostění V režimu přemostění se chovají ethernetové porty včetně WAN portu jako switch a Mikrovlnné karty jako bridge. 7.1 Nastavení IP Při režimu Přemostění je možné nastavit IP adresu zařízení buď ze serveru DHCP nebo Staticky. Z důvodů konfigurace zařízení a přístupu na případné síťové služby je vhodné nastavit Statickou IP adresu z již existující lokální sítě obr. č. 7. 7.2 Nastavení karty 2,4G Jako vhodné doporučení se osvědčilo nastavit 2,4GHz spíše pro lepší dostupnost (připojení přes překážky, např. zdi) a 5GHz spíše pro lepší datovou propustnost. Základem je nastavení jednoznačného jména mikrovlnné sítě /SSID/, ke kterému se budou připojovat klientské stanice, dále pak nastavení zabezpečení a nastavení vhodného kanálu. Na obrázku č. 8 je vidět nastavení s ověřováním WPA2-PSK a šifrováním AES. Tento standard je od 13. března 2006 nutný pro certifikaci nového WiFi zařízení. V případě připojování nekompatibilního zařízení je možné nastavit i jiné slabší zabezpečení. Výběr kanálu je vhodné provést dle místních podmínek, ve kterých je router provozován. Skenování mikrovlnného spektra je možné po přepnutí karty do režimu klient a zmačknutí tlačítka /Vyhledávání AP/ obr. č. 9. Po proskenování se zobrazí tabulka kanálů a jejich síla obr. č. 10. Pro nastavení je vhodné použít kanál, který je v nejvolnější části mikrovlnného spektra. Obr.8 Nejčastěji používané nastavení mikrovlnné karty 2,4Ghz. 9

Obr.9 Zahájení scanu mikrovlnného spektra. Obr.10 Výsledek skenu mikrovlnného spektra. 10

7.2.1 Nastavení filtrování MAC adres Zařízení Netis 2880 umí filtrovat MAC adresy zařízení, které se připojují k jednotlivým mikrovlnným kartám. V základním nastavení je tato funkce vypnutá a je tedy možné, aby se k routeru připojilo jakékoli zařízení. Pro zvýšení bezpečnosti lze tuto funkci zapnout a povolit připojení pouze zařízení s vyjmenovanými MAC adresami obr. č. 12 nebo naopak zakázat připojení zařízení s vyjmenovanými MAC adresami. Obr.11 Vypnuté filtrování MAC adres. Obr.12 Zapnuté filtrování MAC adres, k WiFi se připojí pouze zařízení s uvedenou MAC adresou. 7.2.2 Virtuální AP Na každé kartě je možné nastavit až 3 virtuální AP. To znamená různé názvy mikrovlnných sítí s různým zabezpečením a omezením. Na následujícím obrázku č. 13 je ukázka nastavení virtuálního AP včetně nastaveného filtrování pouze pro WAN. V tomto případě klient připojený na uvedené SSID nebude moct využívat síťových služeb routeru /FTP, samba, media server/ a nebude mu umožněna komunikace se zařízeními na LAN portech. 11

Obr.13 Nastavení virtuálního SSID s omezením přístupu pouze na WAN port a nastavením ověřování. 7.2.3 Rozšířené nastavení WiFi Umožnuje nastavit některé funkce na mikrovlnných kartách. WiFi roaming se používá při nasazení více AP v jedné síti. Zapnutá izolace AP zamezí vzájemné komunikaci mezi zařízeními připojenými na jednu mikrovlnnou kartu. Obr. 14 Nejpoužívanější rozšířené nastavení s vypnutým roamingem, zapnutou izolací klientů a nastaveným maximálním vysílacím výkonem. 12

7.2.4 Zobrazení připojených mikrovlnných klientů Aktuální seznam klientů připojených na konkrétní mikrovlnnou kartu je v záložce /Seznam klientů/ obr. č. 15. Obr.15 Seznam klientů připojených na mikrovlnnou kartu 2,4GHz. 7.3 Nastavení karty 5GHz Nastavení karty v pásmu 5GHz je obdobné jako u karty 2,4GHz. Pro zvýšení přenosové kapacity je možné použít /Rádiové pásmo/ 802.11a+n+c s šířkou kanálu 40MHz obr. č. 16. Obr.16 Nastavení karty 5GHz. 13

8 Síťové služby /Nastavení USB/ Zařízení Netis 2880 umí po připojení USB disku do portu USB 2.0 s tímto diskem pracovat jako s úložištěm dat a je možné jej využít ke sdílení datového obsahu. Mezi podporované služby patří /Sdílení/, /FTP server/ a /Media Server/. Na USB disk je možné kopírovat data i přímo z PC. Podporované jsou všechny běžné souborové formáty. 8.1 Samba /sdílené úložiště/ Sdílené úložiště umožnuje sdílení souborů v lokální síti, například na stolní PC nebo notebook. V základním nastavení je služba zapnutá a není zabezpečená heslem. V zájmu zvýšení bezpečnosti je vhodné přístup ke službě zabezpečit jménem a heslem viz obr. č. 17. Obr.17 Nastavení sdílení včetně jména a hesla. Připojení disku je možné provést z PC přes procházení a připojení síťové jednotky obr. č. 18. Připojený disk je zobrazen jako adresář /sda1_dir/. Nadřazený adresář /disk1_part1/ je systémový a je možné do něho ukládat data, která se v případě restartu zařízení mohou ztratit. Při přeplnění tohoto nadřazeného adresáře /disk1_part1/ dojde k nefunkčnosti ovládacího rozhraní routeru!!! Připojený disk se hlásí pouze o velikosti 20MB. Jedná se o chyby, které budou opraveny v nových verzích firmwaru. Z uvedených důvodů je nutné pracovat pouze s adresářem /sda1_dir/. Obr.18 Připojení síťové jednotky v systému Windows. 14

Obr.19 Připojený disk v systému Windows. 15

8.2 FTP server FTP server slouží pro snadnější přenos datových souborů mezi úložištěm a připojeným mobilním zařízením různých platforem nebo stolním PC. V základním nastavení je služba zapnutá a není zabezpečená heslem. V zájmu zvýšení bezpečností je vhodné stejně jako u sdílení přístup ke službě zaheslovat obr. č. 20. Obr.20 Nastavení FTP serveru včetně jména a hesla. Pro přihlášení k FTP serveru lze využít některého z FTP klientů pro PC nebo mobilní zařízení obr. č. 21. Obr.21 Pro snadný přístup je možné použít například program Total Commander. 16

8.3 Media server Media server umožnuje sdílení obsahu z úložiště přes media protokol na mobilní zařízení různých platforem nebo stolní PC. V základním nastavení je tato služba vypnutá, zapnutí je možné v záložce / Nastaveni USB Media Server/ obr. č. 22. Obr.22 Nastavení služby Media Server. Pro přístup a přehrávání mediálních souborů je možné použít např. aplikaci DLNA Player obr. č. 23 pro systém android nebo Windows media Player obr. č. 24. Obr.23 Přístup z mobilního zařízení přes aplikaci DLNA Player. 17

Obr.24 Přístup z Windows Media Playeru. 9 Nastavení režimu Směrovač Režim Směrovač umožnuje připojit konektivitu do WAN portu, poté na porty LAN a Mikrovlnné karty vytvořit překlad adres pro domácí síť. V tomto režimu je možné využít funkcionalit pro správu síťového provozu QOS, filtrování provozu, přesměrování (Forwarding). Nastavení mikrovlnných karet a síťových služeb USB je shodné jako v režimu Přemostění. 9.1 Nastavení WAN Při režimu router je nutné správné nastavení IP na WAN portu. Nejčastěji se jedná o statickou IP adresu. Může se jednat o IP z již existující lokální sítě nebo o IP od poskytovatele internetu obr. č. 25. Obr.25 Nastavení statické IP na WAN port. 18

Režim WAN portu je možné nastavit v záložce /Upřesnit Nastavení ethernet/ ve většině případů je vhodné ponechat automatické nastavení obr. č. 26. Obr.26 Nastavení režimu WAN portu. 9.2 Nastavení LAN IP adresu pro LAN je nutné nastavit staticky, viz obr. č. 27. Rozsah IP je nutné volit z nějakého rozsahu privátních IP adres. /Pokud je předpoklad využívání služeb VPN, je vhodné volit IP s ohledem na tyto služby/. DHCP je služba pro automatické přidělování IP adres v lokální síti. Pokud je předpoklad umístění dalších zařízení se statickou IP adresou uvnitř sítě, je nutné zvolit rozsah přidělovaných IP adres tak, aby nedocházelo ke kolizi. Ve stejné záložce je zobrazení aktuálně přidělených IP adres. Obr.27 Nastavení IP pro LAN, včetně zapnutého DHCP serveru, který bude přidělovat IP adresy od 192.168.1.100 do 192.168.1.254. IP 192.168.1.2 až 192.168.1.99 je možné využít pro statické nastavení. IP 192.168.1.1 má vlastní router. 19

9.3 Nastavení IPTv Jedná se o speciální nastavení, aktivní pouze v režimu router. Toto nastavení umožnuje přijímat na portu WAN VLAN trunk a televizní VLANu propustit na uvedený port /v ukázce port 4/ obr. č. 28. Konfiguraci je vždy nutné konzultovat s poskytovatelem služeb. Obr.28 Nastavení IPTv. 9.4 Rezervace IP adresy Automatické přidělování adres je možné nastavit tak, aby konkrétní MAC adresa dostala vždy stejnou IP adresu obr. č. 29. /IP adresu je nutné nastavit z rozsahu přidělovaného DHCP serverem nastaveném v předchozím kroku/. Toto nastavení je vhodné např. pro zařízení v lokální síti, ke kterému bude přistupováno vzdáleně. Obr.29 Nastavená MAC adresa a0:88:b4:08:84:3c, zařízení s touto MAC adresou dostane od serveru DHCP vždy IP 192.168.1.105. 20

10 QOS Funkce QOS je aktivní pouze v režimu router, v základním nastavení je vypnutá. Pomocí této funkce je možné celému routeru nebo jednotlivým zařízením ve vnitřní sítí nastavovat maximální a minimální rychlost obr. č. 30. Nastavení je vázáno na konkrétní IP adresu nebo síť. Obr.30 Nastavení QOS, zařízení s IP 192.168.1.5 bude mít maximální rychlost downloadu omezenou na 1Mbps a uploadu na 512Kbps. Celková rychlost downloadu je omezena na 25Mbps a uploadu na 2Mbps. 21

11 Virtuální servery Nastavení umožňuje vzdáleně přistupovat přes router na zařízení do vnitřní sítě obr. č. 31. Důležité je, aby zařízení ve vnitřní síti mělo statickou IP adresu nebo nastavenou rezervaci v DHCP. Toto nastavení je aktivní pouze v režimu router. Obr.31 Uvedené nastavení umožní přístup do vnitřní sítě protokolem TCP na IP adresu 192.168.1.5 port 8080. 12 Filtrování přístupu Umožnuje na základě různých pravidel zakázat nebo naopak povolit IP provoz od jednotlivých klientů přes router. Nastavení je aktivní pouze v režimu router, v základním nastavení jsou všechna filtrovací pravidla vypnutá. Při nastavení časového omezení je nutné správné nastavení času na routeru, nejjednodušeji přes protokol NTP obr. č. 32. Nastavení je v záložce /Systémové nástroje nastavení času/. Obr.32 Nastavení času ze serveru NTP. 22

12.1 Filtrování adres IP Umožňuje nastavení různých omezení nebo povolení na základě IP adresy. Předpoklad pro úplnou funkčnost je statické přidělení IP adres nebo rezervace v DHCP. Omezení lze provádět na IP jak z lokální, tak veřejné sítě. V základním nastavení není služba aktivní. Obr.33 Uvedené nastavení povolí veškerý provoz ze zařízení s IP 192.168.1.101 každý den od 8 do 20 hodin. Všechen ostatní provoz přes router bude zakázán. Obr.34 Uvedené nastavení zakáže veškerý síťový provoz přes router z IP 192.168.1.101 v pracovní dny od 8 do 10 hodin. Ostatní IP adresy nebudou omezeny. 23

Obr.35 Uvedené nastavení zakáže veškerý sítový provoz přes router na cílovou IP 84.16.96.2. 12.2 Filtrování MAC adres Jedná se o filtrování na základě zdrojové MAC adresy z lokální sítě. Přístup je podobný jako u filtrování IP adres. Obr.36 Nastavení povolí pouze komunikaci ze zdrojové MAC adresy a0:88:b4:08:84:3c v sobotu a neděli, ostatní provoz přes router bude zakázán. 24

12.3 Filtrování domén Tato funkce filtruje DNS dotazy přes router. V případě použití například souboru HOST se staticky nastaveným záznamem DNS nebude filtrace DNS provoz ovlivňovat. Obr.37 Nastavení zakáže DNS dotazy přes router s obsahem seznam. 25

13 Nástroje pro správu /Nastavení pro režim Směrovač i Přemostění/ 13.1 Zálohování a obnova konfigurace V záložce /Systémové nástroje Záloha a obnova/ je možné vytvořit zálohu aktuálního nastavení do souboru. Ze stejného souboru je možné provést obnovení nastavení obr. č. 38. Obr.38 Uložení souboru se zálohou konfigurace. 13.2 Nastavení jména a hesla pro přístup k administraci V záložce /Systémové nástroje Heslo/ obr. č. 39 je možné nastavit jméno a heslo pro přístup ke konfiguraci zařízení. Z důvodů bezpečnosti je velmi důležité nepodcenit toto nastavení včetně dostatečně silného hesla. Obr.39 Nastavení jména a hesla pro konfiguraci zařízení. 26

13.3 Povolení vzdálené správy Umožňuje konfigurovat router přes WAN protokolem http na uvedeném portu obr. č. 40. Obr.40 Nastavení portu vzdálené správy přes WAN port. 13.4 Reboot systému V záložce /Systémové nástroje restart systému/ je možné provést vzdálené restartování routeru. Při restartu nedojde ke ztrátě nastavení obr. č. 41. Obr.41 Reboot systému. 27

13.5 Tovární /výchozí/ nastavení V záložce /Systémové nástroje Výchozí nastavení/ obr. č. 42 je možné provést nastavení do výchozího nastavení. Data uložená na USB zůstanou zachována. Tovární nastavení je možné provést rovněž zmáčknutím tlačítka /Default/ na zařízení po dobu 8 až 10 sekund. Obr.42 Výchozí tovární nastavení. 28

14 Nástroje pro diagnostiku /Nastavení pro režim Směrovač i Přemostění/ 14.1 Statistika provozu Zobrazuje provozní údaje zařízení včetně statistik provozu na jednotlivých rozhraních. Statistiku lze vypsat v záložce /Systémové nástroje Statistika/ obr. č. 43. Obr.43 Statistika provozu. 14.2 ARP tabulka Výpis ARP tabulky je možné provést v záložce /Upřesnit seznam ARP/ obr. č. 44. Obr.44 Výpis ARP tabulky. 29

14.3 Systémový log Zobrazuje logy systému. Log lze vypsat v záložce /Systémové nástroje Systémový protokol/ obr. č. 45. Obr.45 Log systému. 14.4 Diagnostické nástroje ping a tracert Ze zařízení je možné použít nástroje Ping a Tracert - záložka /Systémové nástroje Diagnostické nástrojel obr. č. 46. Obr.46 Příkaz Ping. 30

Netis 2880 USB - popis základního nastavení 29.2.2016 Zdeněk Svoboda COMA s.r.o. Masarykova 8 57201 Polička svoboda@unet.cz www.unet.cz 31

32