Linksys WAG200G - brak WAN, internet w trybie bridge

[PeterQ 0]

Witam,

 

Niedługo zamierzam zmienić dostawcę internetowego. Aktualnie siedzę na internecie z Netii na łączach ADSL, czyli łącze po słynnym "miedziaku" jak w neostaradzie. Dostawca gwarantuje mi prędkość 1 Mb/s, a każdy wie jaki to internet na dzisiejsze czas - śmiech na sali. W rzeczywistości leci 2 Mb/s, ale to niewiele zmienia. Jakiś czas temu mam nowe możliwości w postaci radiówki i za tą samą kwotę abonamentu będę mógł skorzystać z internetu 20 Mb/s. Rozmawiałem już z monterem i temat zszedł na kwestię podłączenia. Posiadam router Linksys WAG200G, który posiada wejście WAN tylko w postaci wtyku RJ-11 z racji modemu ADSL. Czytałem już w internecie na forum Linksysa, że nie istnieje opcja w oprogramowaniu, aby "przełączyć" jedno ze złącz LAN w tryb WAN, jak to ma miejsce w nowszych konstrukcjach. Zmiana oprogramowania na nieoryginalne nie wchodzi w grę ze względu na bezpieczeństwo. Monter twierdzi, że uda mu się puścić internet za pomocą tego routera w trybie bridge, podłączając się do wejścia LAN. W związku z tym, że moja wiedza na temat sieci jest mała, mam kilka pytań.

 

 

1) Czy router w trybie bridge nie zrobi się problematyczny? DHCP będzie wyłączone. Czy będę mógł łączyć się przez wi-fi jak do tej pory, czy będę musiał przypisywać każdy sprzęt ręcznie w konfiguracji routera?

2) Czy moja sieć LAN będzie bezpieczna, jeśli router będzie pracował w trybie bridge? Nie chcę aby ktoś miał dostęp z zewnątrz do mojej sieci LAN i ustawień routera.

3) Co zyskam jeśli zakupię nowy router z wejściem WAN na RJ-45? Zainteresował mnie Asus RN-12+.

 

 

Proszę o poradę co zrobić? Czy zaufać monterowi i puścić internet za pomocą starego routera w trybie bridge, czy zakupić nowy router z wejściem WAN RJ-45? Zależy mi na bezpieczeństwie sieci takim, jakie aktualnie oferuje Linksys WAG200G podłączony przez ADSL.

 

Pozdrawiam.

[Greg666 0]

Kup zwykły router z WAN RJ-45 i bez sensu kombinować. Poza tym ten router to już zabytek.

[Andy. 2]

Zależy mi na bezpieczeństwie sieci takim, jakie aktualnie oferuje Linksys WAG200G podłączony przez ADSL.

 

O jakim bezpieczeństwie mówisz w przypadku urządzenia, które ostatnią aktualizację dostało o ile pamiętam 10 lat temu?

[Qwinto 413]

Linksys WAG200G z wyłączonym serwerem DHCP i wykorzystaniem tylko portów LAN powoduje że działa to jako zwykły switch Fast Ethernet i Accesspoint czyli WiFi. Z routerem nie ma wtedy nic wspólnego. Jeśli dostawca internetu radiowego w swojej konfiguracji udostępni na wyjściu sieć prywatną (adresy z klasy pryawtnej, DHCP) to ten Linksys ma sens. Jeśli nie, to potrzeba router, który to zrobi (np. wspomniany Asus RN-12+).

 

Ad1. Troszkę błędne myślenie, bo bridge byłby wtedy kiedy ten Linksys robiłby tylko za modem ADSL. W Twoim przypadku to będzie zwykły switch z Accesspointem.

Ad2. Jak wyżej, bezpieczeństwo będzie na takim samym poziomie jak teraz.

Ad3. Zyskasz nowszy sprzęt, ciutkę szybsze WiFi (150Mbps vs 300Mbps).

[Greg666 0]

Ad2. Jak wyżej, bezpieczeństwo będzie na takim samym poziomie jak teraz.

Jeżeli ma firmware z przed mniej więcej 10 lat to router nawet w trybie AP i switcha moze być podatny na ataki. Moim zdaniem to bez sensu.

[Qwinto 413]

Jeżeli ma firmware z przed mniej więcej 10 lat to router nawet w trybie AP i switcha moze być podatny na ataki. Moim zdaniem to bez sensu.

Jakie ataki? Wiesz co piszesz czy nie bardzo?

[Greg666 0]

Jakie ataki? Wiesz co piszesz czy nie bardzo?

Przez AP nikt się nie włamie na router?

[Qwinto 413]

Przez AP nikt się nie włamie na router?

Jak? Przez słabe hasło? Tak samo może się włamać na nowym sprzęcie. Wszędzie masz WPA2 i szyfrowanie TKIP + AES...

[Greg666 0]

Niedługo mają w nowych routerach wdrożyć WPA 3, ASUS mi odpisał na maila, że od 1 maja najpierw aktualizacje do modeli z najwyższej półki na WPA3, Apple podobno w macOS i iOS w tegorocznej nowej wersji we wrześniu ma dodać obsługę WPA3. Ten Linksys na 1000% tego nie dostanie.

[Andy. 2]

Dziwne, że tak zwlekają - u mnie w Synology WPA3 jest od października zeszłego roku.

[Qwinto 413]

Niedługo mają w nowych routerach wdrożyć WPA 3, ASUS mi odpisał na maila, że od 1 maja najpierw aktualizacje do modeli z najwyższej półki na WPA3, Apple podobno w macOS i iOS w tegorocznej nowej wersji we wrześniu ma dodać obsługę WPA3. Ten Linksys na 1000% tego nie dostanie.

Już wdrażają. Ten Linksys nie będzie miał WPA3 tak samo jak obecnie posiadane urządzenia autora wątku więc można go dalej spokojnie używać... Póki co decydowana większość urządzeń obsługuje WPA2.

[narmiak 386]

Niedługo mają w nowych routerach wdrożyć WPA 3, ASUS mi odpisał na maila, że od 1 maja najpierw aktualizacje do modeli z najwyższej półki na WPA3, Apple podobno w macOS i iOS w tegorocznej nowej wersji we wrześniu ma dodać obsługę WPA3. Ten Linksys na 1000% tego nie dostanie.

Czyli nie będzie podatny na atak Dragonblood tak jak twój super router za dużo pieniędzy po aktualizacji do WPA3? Jaka szkoda...

Stare routery z silnym hasłem i bez WPS są bezpieczniejsze niż nie jeden nowy, bo w wielu nowych WPS nie wyłączysz nawet, jeżeli oprogramowanie mówi, że to zrobiłeś. Ba. Ten WPS ma zaszyty w oprogramowaniu PIN, ktorego nie da się zmienić, więc jak ktoś raz złamie zabezpieczenie, to możesz ustawiać hasło jakie tylko sobie życzysz a i tak będzie ono bezużyteczne.

Edytowane 13 Kwietnia 2019 przez narmiak

[Greg666 0]

Czyli nie będzie podatny na atak Dragonblood tak jak twój super router za dużo pieniędzy po aktualizacji do WPA3? Jaka szkoda...

Stare routery z silnym hasłem i bez WPS są bezpieczniejsze niż nie jeden nowy, bo w wielu nowych WPS nie wyłączysz nawet, jeżeli oprogramowanie mówi, że to zrobiłeś. Ba. Ten WPS ma zaszyty w oprogramowaniu PIN, ktorego nie da się zmienić, więc jak ktoś raz złamie zabezpieczenie, to możesz ustawiać hasło jakie tylko sobie życzysz a i tak będzie ono bezużyteczne.

Z takim podejściem to co drugi router mozna powiedziec, że to szmelc.

[PeterQ 0]

Byłem nastawiony na Asus'a RT-N12+, jednak czytałem, że włączony WPS nie jest dobrym pomysłem. Osobiście nie jest mi on do niczego potrzebny. Czy ktoś wie, czy w tym routerze można go wyłączyć? Jak już wspominałem zależy mi na bezpieczeństwie za rozsądną cenę. Może jakieś inne propozycje (sprzęt z wejściem WAN na RJ-45)?

 

P.S. Przy okazji mam kilka pytań:

 

1) Co to jest VPN Passthrough? Czy zaleca się jego wyłączenie ze względów bezpieczeństwa?

2) Co to jest IGMP Proxy? Czy zaleca się jego wyłączenie ze względów bezpieczeństwa?

Edytowane 23 Kwietnia 2019 przez PeterQ

[Greg666 0]

Nie odbierz tego źle, ale ja zawsze powtarzam z przymróżeniem oka, że jak komuś zależy na bezpieczeństwie to niech wyłączy w ogóle internet bo się popada w straszną depresję. Haker jak będzie chciał do kogoś się włamac i tak znajdzie sposób chodźby nie wiem jakie funkcje mieć w routerze

[PeterQ 0]

Nie odbierz tego źle, ale ja zawsze powtarzam z przymróżeniem oka, że jak komuś zależy na bezpieczeństwie to niech wyłączy w ogóle internet bo się popada w straszną depresję. Haker jak będzie chciał do kogoś się włamac i tak znajdzie sposób chodźby nie wiem jakie funkcje mieć w routerze

 

Jak napisałem wcześniej chodzi mi o "podstawowe" bezpieczeństwo. Mam świadomość zagrożeń... Żadne oprogramowanie nie zastąpi myślenia użytkownika. Trzeba uważać co się robi. Jednak chciałbym zakupić router z dobrą "bazą", który spełni moje oczekiwania. Brak WPS też będzie atutem. Nie chciałbym kupić pierwszego, lepszego urządzenia albo kupić gorszy sprzęt od aktualnego Linksysa WAG200G...

[Greg666 0]

Tyle, że aktualny nie był i nie jest wcale dobry jeśli chodzi o bezpieczeństwo.

 

 

Popatrz na routery Asusa z funkcją zabezpieczającą Ai Protect z Trend Micro.

 

Jeszcze jedno te wszystkie zabezpieczenia w routerze maja tylko sens jak masz od dostawcy Publiczne IP, zmienne bądź stałe. Jeśli dostawca w standardowej ofercie daje IP wewnętrzne jak np. mobilni T-Mobile, Orange, Plus to to nie ma sensu bo jesteś wtedy za NAT-em i w pewnym sensie za routerem dostawcy i nawet profesjonalne zabezpieczenia są bez sensu bo one musza mieć dostep do portów, a to tylko przy publicznym IP.

[PeterQ 0]

Chciałbym jeszcze się zapytać o kilka rzeczy. Dokopałem się do instrukcji obsługi mojego routera i znalazłem takie informacje: "Bridge Mode Only: If you are using your Gateway as a bridge, which makes the Gateway act like a stand-alone modem, select Bridge Mode Only. All NAT and routing settings are disabled in this mode.". Jestem zielony jeśli chodzi o sieć, ale dowiedziałem się z pewnego poradnika, że NAT poprawia bezpieczeństwo sieci, a w tym trybie jest to wyłączone. Druga sprawa, która mnie martwi, to czy jeśli dostawca internetu wepnie się w wejście LAN w routerze, to czy czasami nie będzie miał możliwości logowania się do mojego routera (oczywiście o ile będzie znał dane logowania) i czy będzie "widział" podłączone urządzenia w mojej sieci LAN (jak wiadomo sieć LAN nie posiada hasła, wi-fi to co innego). Nie otrzymałem jednoznacznej odpowiedzi, także z góry dziękuję za pomoc. Rozważę zakup nowego routera, ale chciałbym się jeszcze upewnić jak działa router z wyłączoną funkcją kierowania ruchem sieciowym. Nie za bardzo rozumiem jaka jest różnica z powodu braku wiedzy. Może ktoś wskaże mi jakąś literaturę? Chętnie zdobyłbym wiedzę w tym temacie.

Edytowane 1 Maja 2019 przez PeterQ

[Greg666 0]

Bridge mode to tryb mostu czyli działa sam modem ADSL i jeden port LAN. Może działać tez WiFi.

Edytowane 1 Maja 2019 przez Greg666

[Qwinto 413]

Rozwinę troszkę temat, bo przedpiśca wyjaśnił trochę enigmatycznie. Mając urządzenie typu combo (popularnie zwane routerem) masz w jednej obudowie modem ADSL, router, switch i Accesspoint (funkcje uszeregowane w/g kolejności wchodzenia sygnału). Włączając funkcje bridge zostawiasz działający tylko modem. I dalej musisz podłączyć kolejny router bo inaczej nie podepniesz więcej niż jednego urządzenia. To dlatego że operator (w rozwiązaniach domowych) udostępnia tylko jeden adres IP. Żeby obejść ten problem służy właśnie translacja adresów (NAT). Umożliwia ona stworzenie podsieci prywatnej, która będzie wychodziła przez ten jeden adres od operatora na świat. W tej prywatnej podsieci możesz mieć do 254 urządzeń, a najprościej ilość można zwiększyć przez dodanie kolejnego routera. Można też to zrobić bardziej profesjonalnie, ale to zwiększa koszt rozwiązania. Tak to wygląda ogólnie.

 

Na załączonym obrazku masz zasadę translacji adresów. W przypadku dostarczenia Internetu linią telefoniczną masz przed routerem dodatkowo modem.

[PeterQ 0]

Rozwinę troszkę temat, bo przedpiśca wyjaśnił trochę enigmatycznie. Mając urządzenie typu combo (popularnie zwane routerem) masz w jednej obudowie modem ADSL, router, switch i Accesspoint (funkcje uszeregowane w/g kolejności wchodzenia sygnału). Włączając funkcje bridge zostawiasz działający tylko modem. I dalej musisz podłączyć kolejny router bo inaczej nie podepniesz więcej niż jednego urządzenia. To dlatego że operator (w rozwiązaniach domowych) udostępnia tylko jeden adres IP. Żeby obejść ten problem służy właśnie translacja adresów (NAT). Umożliwia ona stworzenie podsieci prywatnej, która będzie wychodziła przez ten jeden adres od operatora na świat. W tej prywatnej podsieci możesz mieć do 254 urządzeń, a najprościej ilość można zwiększyć przez dodanie kolejnego routera. Można też to zrobić bardziej profesjonalnie, ale to zwiększa koszt rozwiązania. Tak to wygląda ogólnie.

 

Na załączonym obrazku masz zasadę translacji adresów. W przypadku dostarczenia Internetu linią telefoniczną masz przed routerem dodatkowo modem.

 

Dziękuję bardzo za rozjaśnienie sprawy! Czyli jak rozumiem, dostawca musiałby dostarczyć mi prywatny adres IP (urządzenie NAT po stronie dostawcy internetu), ponieważ Linksys WAG200G działa tylko jako switch. Nawet nie wiem czy jest taka możliwość i czy jest to bezpieczne rozwiązanie. Ciekawa sprawa.

Edytowane 3 Maja 2019 przez PeterQ

[Qwinto 413]

Dziękuję bardzo za rozjaśnienie sprawy!

Chyba słabo rozjaśniłem (patrz niżej)

 

Czyli jak rozumiem, dostawca musiałby dostarczyć mi prywatny adres IP (urządzenie NAT po stronie dostawcy internetu), ponieważ Linksys WAG200G działa tylko jako switch. Nawet nie wiem czy jest taka możliwość i czy jest to bezpieczne rozwiązanie. Ciekawa sprawa.

Dostawca zawsze oferuje jakiś adres, dlatego właśnie można podłączyć bezpośrednio zawsze tylko jedno urządzenie.

Linksys WAG200G zawsze robi za modem jeśli podłączasz go do linii ADSL (telefonicznej). Jeśli masz już zainstalowany główny router to możesz używać Linksysa WAG200G jako switch, wcześniej wyłączając w nim usługę DHCP i podłączając kablem Ethernet do głównego routera.

[Greg666 0]

Chyba słabo rozjaśniłem (patrz niżej)

 

 

Dostawca zawsze oferuje jakiś adres, dlatego właśnie można podłączyć bezpośrednio zawsze tylko jedno urządzenie.

Linksys WAG200G zawsze robi za modem jeśli podłączasz go do linii ADSL (telefonicznej). Jeśli masz już zainstalowany główny router to możesz używać Linksysa WAG200G jako switch, wcześniej wyłączając w nim usługę DHCP i podłączając kablem Ethernet do głównego routera.

To ja jeszcze tak dla większego rozjaśnienia dodam, że switch podłączamy do głównego routera w sposób następujący: kabel Ethernet RJ-45 (końcówka) w routerze głównym podłączamy pod port LAN, a w switchu pod LAM1, a następnie pozostałe urządzenia od LAN2 do LAN4 (najczęściej), chociaż Switch może mieć więcej portów. Router główny to np. modem / router światłowodowy od dostawcy. Chcąc np. mieć kontrolę na swoim routerze bez modemu jakiegokolwiek nad usługa to urządzenie dostawcy, np. modem jakiś powinno się ustawić w tryb Mostu (ang. Bridge Mode). Bez tego mamy NAT na swoim routerze i urządzeniu dostawcy czyli podwójny. Jeśli chcemy odblokować porty do gier lub jakiejś usługi sieciowej to dostawca musi oferowac IP publiczne. Jeżeli sprawdzając na stronie jakiejś co pokazuje IP mamy inne niż w routerze swoim kiedy urządzenie dostawcy jest w trybie mostu to mamy do czynienia z IP prywatnym, czyli jeszcze jestesmy za NAT-em operatora i wtedy nie otworzymy żadnych portów.

[PeterQ 0]

U mnie sprawa trochę inaczej wygląda. Dostawca rozsyła sieć Wi-fi w okolicy i mój net pójdzie dokładnie taką drogą:

 

Urządzenie rozgłaszające sieć Wi-fi operatora --> antena zewnętrzna --> adapter POE z dwoma wejściami (POE i LAN) --> x

 

x- mam na myśli brak urządzenia, ponieważ przy podpisywaniu umowy mogę wziąć sprzęt od dostawcy (czego chcę uniknąć, ponieważ przez to zwiększy się cena za abonament miesięczny).

 

W miejsce x muszę zapewnić sobie urządzenie. Myślałem, że mogę wykorzystać Linksysa WAG200G, ale nie mam pojęcia czy to w ogóle się uda. Na jednym z forów polecali takie urządzenie przed Linksysem (linksys robiłby tylko jako switch): "Access Point MikroTik hAP lite Classic RB941-2nD", ale nie mam wiedzy na temat sieci i pewnie będzie problem z konfiguracją.

[Qwinto 413]

Zmienia to troszkę sytuację, ale nie wiele. Zapytaj ISP (dostawca internetu) czy w punkcie "x" masz swoją sieć prywatną czy nie (Adres prywatny). Jeśli tak, to WAG200G'a można użyć jako switch + Access Point (ustawiasz mu adres w sieci jaką daje router w antenie na dachu, wyłączasz na nim DHCP i działa). Często operatorzy radiowi ustawiają od razu sieć prywatną u klienta. Natomiast jeśli w puncie "x" nie ma sieci prywatnej, potrzebujesz własny router. Wspomniany RB941-2nD jest OK, ale możesz sobie nie poradzić z jego konfiguracją. Proponowałbym jakikolwiek router z gigabitowymi portami Ethernet i z WiFi w klasie co najmniej AC1200 (np. coś z tej listy).

Edytowane 7 Maja 2019 przez Qwinto