Ovo je pokusaj da se napravi malo kompletniji tekst o podesavanjima
Huawei SmartAX MT882 ADSL2+ Router-a, a sa ciljem da se racunar
vezan na njega koristi kao Web i FTP server (s tim sto je sve primenljivo i na p2p i ostalo).
Prica je donekle uproscena (tj. mnoge varijante, podvarijante i sl. su preskocene),
pa je zbog toga ponegde mozda i malo neprecizna. Ipak, nadam se da ce koristiti (bar nekom).
Za testiranje je korisceno:
1. PC povezan mreznim kablom na uredjaj i preko njega zakacen na internet.
Provajder je Telekom, paket 256/64, dinamicka IP adresa.
Na ovom racunaru je bio aktivan Web (port 80) i FTP sertver (port 21).
Takodje je bio aktivan ZoneAlarm (firewall), podesen da ne blokira saobracaj na
portovima 80 i 21.
2. Laptop modemski (dial-up vezom) zakacen na internet.
Provajder PTT.
Sa ovog racunara je pokusavan pristup Web i FTP serveru na prvom racunaru.
- Postoji nekoliko rezima rada uredjaja, a ovde ce biti reci o dva:
1. PPPoE: Po default-u, uredjaj radi u 'PPPoE' rezimu rada, tj. kao ruter.
Uredjaj se tada ponasa 'inteligentno', u smislu da mu je tada aktivan i niz drugih
funkcija kao sto su firewall, IP filtering...
2. Pure Bridge: ovo je rezim rada kada uredjaj radi slicno kao 'obican' modem - sluzi samo
da se preko njega komunicira sa provajderom, ali konektovanje i sve ostalo se prepusta
racunaru, slicno kao kod dial-up konekcija.
- Na pocetku, kada uzmete uredjaj od Telekoma, on radi u PPPoE rezimu rada i tada se,
odmah po ukljucenju, konektuje na provajdera sa username-om i password-om koji su
zabelezeni u samom uredjaju, koji ne mogu da se menjaju, a koji bi trebalo da su
prilozeni na papiru ('dokumentaciji') koja prati uredjaj kada se uzme od provajdera.
- Posle uspesnog uspostavljanja veze uredjaj dobija javnu dinamicku IP adresu.
Koja je to adresa moze da se vidi npr. otvaranjem strane
http://www.ip-adress.com/
- Osim ove adrese, uredjaj ima default lokalnu IP adresu 192.168.1.1 (kada se racunar
sa uredjajem poveze preko USB-a, ta adresa je 192.168.1.2).
- Sto se tice TCP/IP konfiguracije racunara vezanog za uredjaj, moguce su dve varijante:
1. da se adresa dobija automatski (zapravo u ovom slucaju bi to bilo od DHCP servera
u uredjaju) iz opsega koji je po default-u od 192.168.1.3 do 192.168.1.65
U ovom slucaju dobijenu adresu mozemo da vidimo komandom 'ipconfig /all' koju
kucamo u Command Prompt prozoru.
2. da se zada staticka adresa 192.168.1.X, gde bi X bila neka vrednost veca ili jednaka 3.
U principu, posto se u mnogim podesavanjima koja su ovde opisana unosi adresa racunara,
bolje je koristiti staticku IP adresu, da se ne bi desilo da u nekom trenutku racunar
dobije neku drugu dinamicku adresu u odnosu na onu koju smo unosili u podesavanjima,
pa da nesto sto je ranije radilo 'odjednom' vise nece da radi.
Ovde je na lokalnom PC racunaru koriscena staticka adresa 192.168.1.5.
- Uredjaj se konfigurise iz web browsera, pristupom preko adrese
http://192.168.1.1/
Default username je 'admin', password 'admin' posle cega se otvara pristup konfiguraciji
uredjaja.
Sada krecemo sa pricom o pristupu nasem WEB i FTP serveru. Prvo treba videti da li su
oni podignuti i da li se 'odazivaju'.
- Ako u Web browseru otvorimo
http://192.168.1.5/, trebalo bi da se zakacimo na web server
podignut na racunaru i da se otvori default strana nase web prezentacije.
- Ako u Command Prompt prozoru otkucamo komandu 'ftp 192.168.1.5' trebalo bi da nam
se odazove nas FTP server na koji se logujemo pod username/password kombinacijom koju
i inace koristimo da se logujemo na racunar.
Ovo je naravno bio pristup iz 'lokala'. Sada treba obezbediti pristup 'spolja'.
- Pristup 'spolja' treba da ide preko javne IP adrese. Uredjaj ovu adresu dobija kada
uspostavi vezu sa provajderom i ona moze da se vidi npr. na
http://www.ip-adress.com/
- Kada u browseru pokusamo da otvorimo ovu adresu, nece se pojaviti nasa web prezentacija
vec pristup konfiguraciji uredjaja, dakle kao da smo otvorili
http://192.168.1.1/
Istovremeno, isto to sa laptopa (dakle, pravi 'spoljni' pristup) uopste ne daje nikakav
odgovor. Mozemo da probamo i videcemo da ping prema toj adresi postoji, ali ne 'odaziva'
se nikakav web server sa druge strane.
Zakljucak: po defaultu, uredjaj sprecava 'spoljni' pristup kompletno, kako do svog sopstvenog
web servera tako i do web servera podignutog na racunaru. Sto se tice pristupa iz 'lokalne'
mreze, ako koristimo javnu adresu ili lokalnu 192.168.1.1 adresu, odazvace se web server
uredjaja, a nasem web serveru mozemo da pristupimo iskljucivo preko lokalne adrese 192.168.1.5
Isto se desava i kada pokusamo FTP pristup.
Postoje 3 nacina kako mozemo osloboditi pristup WEB i FTP serverima na lokalnom racunaru.
1. Prebacivanjem uredjaja da radi u 'Pure Bridge' rezimu rada.
2. Ubacivanjem adrese 192.168.1.5 u demilitarizovanu zonu (DMZ), dakle izuzimanjem od
firewall i ostalih zastita koja uredjaj po defaultu pravi prema lokalnoj mrezi.
3. Port forwarding-om portova 80 i 21.
Nacin 1 - Prebacivanje uredjaja da radi u 'Pure Bridge' rezimu rada
------------------------------------------------------------------
Preko
http://192.168.1.1/ pristupimo konfiguraciji uredjaja.
Izaberemo 'Basic->WAN Settings'.
Klik na 'olovkicu' i ulazimo u editovanje ovih parametara.
Promenimo (default) vrednost za parametar 'Mode' iz 'PPPoE' u 'Pure Bridge'.
Klik na 'Submit' i gotovo.
Posle ovoga, uredjaj je vec prebacen u ovaj rezim rada, sto moze da se vidi npr.
po tome sto nam pristup internetu vise ne radi. Ovo je medjutim samo privremeno
stanje, tj. do gasenja uredjaja. Kada se ponovo upali, radice i dalje u PPPoE rezimu.
Ako zelimo da ovo stanje bude stalno, treba snimiti promenu sa 'Tools->Save&Reboot',
gde selektujemo 'Save' i kliknemo na 'Submit'. 'Reboot' nije neophodan. Ovo sa
snimanjem vazi i za sve ostale promene koje ovde opisujem, pa necu posebno naglasavati.
Posto onemogucavanje pristupa internetu nije bio cilj ;), sada treba na racunaru
definisati nesto slicno 'dial-up' konekciji, tj. otvorimo 'Network Connections', pa
tu izaberemo 'Create a new connection'. Sada izaberemo 'Connect to the Internet'->Next->
'Set up my connection manually'->Next->'Connect using a broadband connection that
requires a user name and password' (ovo je dakle razlika u odnosu na definisanje modemske
(dial-up) konekcije)->Next->unesemo neko ime za ovu konekciju, npr. Telekom->Next->unesemo
username i password sa papira koji smo dobili uz uredjaj (da ne bude zabune,
to *nije* admin/admin koji koristimo za pristup konfiguraciji uredjaja)->Finish.
Posle toga kliknemo na ovako definisanu konekciju i pojavice se dijalog slican onom na
koji smo navikli kada koristimo modem. Klik na 'Connect' i trebalo bi da smo se zakacili
na internet.
Sada bi trebalo da je RACUNAR dobio javnu dinamicku IP adresu (ono sto je ranije
dobijao uredjaj) - ovo proverimo iz Command Prompt-a sa 'ipconfig /all'. Ujedno treba
zapamtiti ovu adresu jer cemo preko nje sada probati pristup WEB i FTP serverima.
Ako je sve u redu (i ako je pristup dozvoljen kroz firewall programe koje eventualno
imamo podignute na racunaru (ZoneAlarm, Windows XP firewall ili neki treci)), onda
bi trebalo da koriscenjem te javne adrese uspesno pristupimo i WEB i FTP serveru i sa
lokalnog racunara (ovo bas i nije 'pravi' pristup spolja) i sa laptopa (sto je 'pravi'
pristup spolja).
Probem sa ovim resenjem je sto posle svakog paljenje-gasenja/restarta racunara moramo
da vrsimo rucno rekonektovanje, za razliku od ranije varijante kada je uredjaj bio
'na netu' nevezano od stanja racunara. Doduse, mozda postoji nacin da se ovo
konektovanje radi i automatski, ali o tome neka brine onaj ko izabere ovakav nacin rada,
a smeta mu da se rucno (re)konektuje.
Napomena 1: iako smo promenili rezim rada uredjaja, pristup i konfiguracija uredjaja
je i dalje preko
http://192.168.1.1/
Napomena 2: ponekad moze da se desi da se uredjaj 'ukoci' - u tom slucaju ga ugasimo,
sacekamo par sekundi, pa ga ponovo upalimo. Stanje u kom ce se uredjaj probuditi zavisi
od toga da li smo izmene snimali ili ne.
Nacin 2 - Ubacivanjem adrese 192.168.1.5 u demilitarizovanu zonu (DMZ)
----------------------------------------------------------------------
Za slucaj da smo probali ovo iznad i da se uredjaj trenutno nalazi u 'Pure Bridge'
rezimu rada i da smo konektovani na internet preko gore opisane 'dial-up' konekcije,
onda treba diskonektovati ovu konekciju, a uredjaj vratiti u 'PPPoE' rezim rada na sledeci
nacin:
Preko
http://192.168.1.1/ pristupimo konfiguraciji uredjaja.
Izaberemo 'Basic->WAN Settings'.
Klik na 'olovkicu' i ulazimo u editovanje ovih parametara.
Postavimo vrednost za parametar 'Mode' na 'PPPoE'.
Klik na 'Submit' i gotovo.
Ubacivanje adrese 192.168.1.5 u DMZ ide ovako:
Izaberemo 'Basic->NAT'.
Selektujemo 'DMZ' (ako nije vec selektovano) i onda klik na dugme 'New'.
Tu u polja za 'Local address' unesemo 192.168.1.5 i kliknemo na 'Submit'.
Posle toga bi trebalo da u tabeli vidimo ove podatke.
Sta je rezultat ?
Trebalo bi da sa lokalnog racunara ukucavanjem javne IP adrese uredjaja (jos jednom
da ponovim, mozemo da je saznamo npr. preko
http://www.ip-adress.com/) izadjemo
na WEB odnosno FTP server uredjaja.
Ali (VRLO BITNO !!!) kada tu istu adresu ukucamo sa laptopa (dakle, zaista 'od spolja')
javljaju se WEB i FTP server sa naseg racunara, dakle upravo ono sto smo i hteli da
postignemo.
Takodje, u ovom slucaju (automatsko) konektovanje i veza ka internetu zavisi samo od
uredjaja, a ne od stanja racunara zakacenog na njega (sto je vazno ako npr. imamo vise
racunara u lokalnoj mrezi).
Drugo sto treba naglasiti je da je kompletna kontrola pristupa racunaru 'od spolja'
prepustena nama, dakle ne stiti nas firewall i ostali zastitni mehanizmi uredjaja
(sto moze da bude dobro ili lose, zavisi ko i kako gleda na stvar), tj. pristup
svim portovima tog racunara je otvoren, pa ga treba stititi nekim firewall-om na
racunaru.
Nacin 3 - Port forwarding-om portova 80 i 21
--------------------------------------------
Uredjaj treba da bude u 'PPPoE' rezimu rada, pa ako nije prebaciti ga u ovaj rezim
(opisano iznad u 'Nacin 2 - ...').
Adresa 192.168.1.5 ne treba da bude u DMZ, dakle, ako jeste (npr. zato sto smo testirali
iznad opisani Nacin 2), onda treba ponovo uci u 'Basic->NAT'.
Selektujemo 'DMZ' (ako nije vec selektovano) i onda klik na ikonicu 'kanta'
sa desne strane i 'ok' kao odgovor na kontrolno pitanje.
Posle toga bi DMZ tabela trebalo da bude prazna ('No entry').
Sad treba na istoj stranici (znaci 'Basic->NAT') selektovati opciju 'Redirect', pa onda
klik na 'New'.
U polja za 'Local address' ukucati 192.168.1.5, a u polja za 'Destination Port From',
'Destination Port To' i 'Local Port' ukucati 80.
Zatim 'Submit', pa ponoviti to isto jos jednom, samo umesto 80 na sva tri mesta
treba ukucati 21.
Rezultat: sve isto kao u prethodnom slucaju (vidi rezultat tamo), osim sto sada nije
ceo racunar (tj. svi portovi) dostupan 'od spolja', vec samo portovi 80 (http, tj. web
server) i 21 (ftp server).
Na adresi:
http://www.portforward.com/eng...882v2/SmartAX-MT882v2index.htm
moze da se nadje spisak programa i koje portove treba 'osloboditi' da bi ti programi
mogli da rade normalno.
VAZNO !!! Sledeca stvar meni nije bila ocigledna i dosta me je omela dok nisam ukapirao
sta se desava, pa je naglasavam:
Kada koristimo nacin 2 ili nacin 3 (tj. zelimo da obezbedimo pristup WEB i FTP serveru, a
da pri tom uredjaj radi kao ruter, tj. u PPPoE rezimu rada), onda pristup mora da se
proba zaista 'od spolja', a ne koriscenjem javne IP adrese uredjaja sa nekog lokalnog
racunara. Naime, sa lokalnog racunara preko ove javne adrese 'izlazimo' na WEB odnosno
FTP server samog uredjaja. Ovo moze da zbuni, tj. da pogresno zakljucimo da nismo uspeli
sa podesavanjima.
Jos jedna beleska, koja mozda i nije nesto posebno korisna:
Ako zelimo da omogucimo pristup konfiguraciji uredjaja 'od spolja' (sto po defaultu)
nije moguce (tj. pristup je moguc iskljucivo sa racunara iz lokalne mreze i to ili
preko 192.168.1.1 ili preko javne IP adrese koju je uredjaj dobio pri konektovanju)
onda treba otvoriti 'Advanced->IP filter' i tu postaviti 'Security Level' na 'None'
(ne zaboravi klik na 'Submit'). U ovom slucaju medjutim, mora da bude iskljucen
port forwarding za port 80 (inace ce da nam se i dalje javlja nas WEB server), a i
adresa 192.168.1.5 ne sme da bude u DMZ.
Pretpostavljam da je ovo iskljucivanje Security Levela malo 'drasticno' resenje, i da
slicno moze da se dobije i sitnijim 'modifikacijama' definisanih pravila iz tabele
koja se vidi ispod, ali na to nisam trosio vreme.
U svakom slucaju, ako bas resite da pustite pristup konfigurisanju uredjaja 'od spolja',
onda bar promenite default password 'admin' korisniku, preko 'Tools->System Management'
opcije.
I jos nesto, kada se na neki od gornjih nacina 'otvori' pristup lokalnom racunaru,
koriscenjem Hamachi-ja mozete da pravite Virtual Private Network sa drugim racunarima
(npr. onim na poslu), ili u slicne svrhe mozete da koristite TeamViewer. Tako da onda
lokalni racunar mozete da 'preuzmete' i kontroliste sa udaljenih racunara,
razmenjujete fajlove i sl. A u ovom slucaju vam nije ni potrebno da znate onu dinamicku
javnu adresu uredjaja.