Mikrotik настройка простого Firewall
Сегодня хочу поподробнее раскрыть тему защиты роутеров популярной латвийской марки. Речь пойдет о базовой настройке Firewall в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.
Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Курс стоящий, все подробности читайте по ссылке.
Данная статья является частью единого цикла статьей про Mikrotik.
Введение
Долгое время у меня была опубликована статья про простую настройку файрвола на микротик. Там были перечислены базовые правила для ограничения доступа к роутеру, и тем не менее, статья собрала более 200 тыс. просмотров. Потом была вторая версия статьи, в которой тем не менее были неточности.
Некоторое время назад я обновил и актуализировал статью про базовую настройку mikrotik. В комментариях многие люди пеняли мне на то, что я совсем не уделил внимание настройке фаервола. Мне не захотелось мешать все в кучу, поэтому я пишу отдельную подробную статью на эту тему, а в настройке роутера оставлю ссылку на нее.
Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.
| 192.168.88.1 | локальный адрес микротика |
| bridge1-lan | название бриджа, в который объединены все интерфейсы для локальной сети |
| ether1-wan | интерфейс для внешнего подключения WAN |
| 192.168.88.0/24 | локальная сеть, которую обслуживает микротик |
Default firewall в Mikrotik
Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall.
Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:
>> ip firewall export file=rules
Вот список стандартных правил:
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
В принципе, по приведенным комментариям примерно понятно, что тут происходит.
Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.
Если же вы хотите получше разобраться в устройстве firewall и попробовать настроить его самостоятельно, то давайте разбираться дальше вместе.
Firewall и базовая настройка безопасности
Давайте теперь немного порассуждаем, зачем нужен файрвол и какие вопросы он решает. Причем не только в контексте микротика, а вообще. Сейчас каждый доморощенный админ рассказывает, как важно всегда настраивать firewall, иногда даже не понимая, для чего он нужен. Лично я не сторонник создания лишних сущностей, поэтому там где межсетевой экран не нужен, я его не настраиваю.
Сетевой экран позволяет настраивать доступ как к самому шлюзу, так и к ресурсам за ним. Допустим, у вас не запущено никаких сервисов на роутере, и нет никакого доступа извне в локальную сеть. У вас есть какая-то служба на шлюзе, с помощью которой к нему подключаются и управляют (ssh, winbox, http и т.д.), причем ограничение доступа к этой службе настраивать не планируется. Вопрос — зачем вам в таком случае настраивать фаервол? Что он будет ограничивать и какие правила туда писать? В таком случае вам будет достаточно отключить все сервисы на роутере, которые слушают подключения из вне и все.
На самом деле такой кейс очень популярный дома или в мелких организациях, где нет постоянного админа. Просто настроен какой-то роутер, поднят NAT и все. Я понимаю, что не правильно не настраивать ограничения на доступ к управлению, но я рассказываю, как часто бывает. То есть firewall должен решать конкретную задачу по ограничению доступа к ресурсам, а не существовать просто так, чтобы был.
Еще популярны случаи, когда настроена куча правил, а в конце все равно стоит accept для всех подключений. Такие ляпы я сам иногда делал, когда отлаживал где-то работу сервиса и забывал потом вернуть обратно ограничения. Фаервол вроде настроен, но реально его нет. Если отключить — ничего не изменится.
К чему я все это написал? К тому, что прежде чем настраивать firewall, надо определиться с тем, для чего мы это делаем. Какие разрешения или ограничения и для кого мы будем вводить. После этого можно переходить к настройке.
В своем примере я буду настраивать межсетевой экран на микротике, находясь в локальной сети. Вам всегда советую поступать так же. Есть старая админская примета — удаленная настройка файрвола к дальнему пути.
Safe Mode
У Mikrotik есть интересное средство в виде Safe Mode, которое позволяет относительно безопасно настраивать Firewall удаленно. Суть его очень простая. Вы включаете этот режим через соответствующую настройку.
Далее, если вы некорректно выйдете из этого режима, то все созданные вами настройки будут отменены. Корректным выходом из режима является ручное его отключение через ту же настройку. Таким образом, если во время настройки фаервола у вас пропала связь из-за неверного правила или по какой-то другой причине, Микротик откатит обратно сделанные вами изменения и вы сможете снова подключиться к роутеру.
В терминале этот режим включается комбинацией клавиш CTRL+X. Время ожидания, перед откатом изменений максимум 9 минут (время TCP timeout). Подробнее об этом режиме можно почитать в официальной документации.
Порядок расположения правил в Firewall
Перед началом настройки firewall в mikrotik, отдельно остановлюсь на одном очень важном моменте — порядке расположения правил. Многие, да и я сам ранее, не придавал большого значения этому, так как не сталкивался с высокими нагрузками на сетевое оборудование. Если нагрузки нет, то разницу не замечаешь. Тем не менее, лучше ее понимать.
Пакеты проходят по списку правил по порядку, сверху вниз. Если пакет соответствует какому-то правилу, то он прекращает движение по цепочке. Из этого следует важный вывод — первыми в цепочке должны быть правила, которые охватывают максимальный объем трафика, чтобы он дальше не обрабатывался устройством. Примером такого правила является разрешение пакетов уже установленных (established) или связанных (related) соединений, которые ранее были разрешены каким-то правилом. Повторно проверять по всем правилам их не нужно. Сделаем такое правило для цепочки
Я сначала приведу это правило в виде команды для терминала, который вы можете открыть через winbox. Введите это правило через консоль, а потом уже изучите через визуальное представление. Переходим в соответствующий раздел IP -> Firewall и добавляем правило. Рекомендую всегда ставить комментарии для правил. Так их проще анализировать.
/ip firewall filter add action=accept chain=input comment="accept establish & related" connection-state=established,related
В дефолтном правиле фаервола сюда же добавлены untracked подключения.
Я не стал их добавлять, так как обычно не использую данную возможность. Untracked — это пакеты, не отслеживаемые connection tracker. То есть идущие мимо многих функций фаервола. В конце статьи я отдельно расскажу об этой возможности.
Цепочки правил
Первое правило фаервола для цепочки input мы уже написали, но при этом я забыл немного рассказать о существующих цепочках правил в микротиковском фаерволе. Они наследуются из линуксового фаервола iptables. По сути, в mikrotik работает именно он.
- Input — пакеты, отправленные на сам роутер. Если вы подключаетесь к нему по ssh или winbox, пакеты попадают как раз в эту цепочку.
- Forward — транзитные пакеты, идущие через маршрутизатор. Например, в локальную сеть за ним, или из нее. Все запросы в интернет через маршрутизатор микротик будут попадать в цепочку forward.
- Output — пакеты, отправленные с маршрутизатора. Например, микротик синхронизирует время с внешними ntp серверами.
Эти запросы будут попадать в цепочку output.
Эти запросы будут попадать в цепочку output.При составлении правил firewall нет смысла пытаться как-то перемешивать правила из разных цепочек. Они все равно будут читаться по порядку в соответствии с той цепочкой, в которую попадает пакет. Поэтому я обычно сначала описываю все правила для input, потом для forward и в конце, в случае необходимости, для output.
Примеры готовых правил
Двигаемся дальше. Одно правило у нас есть, рисуем следующее. Отбрасываем все неверные (Invalid) пакеты. Это чистой воды паразитный трафик. Его пакеты не являются частью ни одного из отслеживаемых соединений. Поэтому чем раньше мы их отбросим, тем меньше они будут нагружать дальше фаервол проверками.
add action=drop chain=input comment="drop invalid" connection-state=invalid
Дальше не буду приводить скрины, очень хлопотно их под каждое правило делать, да и нет смысла. Просто вставляйте через консоль правила и изучайте их сами в winbox. Разрешаем icmp трафик, чтобы можно было пинговать роутер.
add action=accept chain=input comment="accept ICMP" protocol=icmp
Соответственно, если хотите его заблокировать, то вместо action=accept сделайте drop, или просто не пишите правило, если в конце у вас будет полная блокировка всего, что не разрешено явно.
Дальше я обычно разрешаю подключаться к портам, отвечающим за управление роутером (ssh, winbox, https) с доверенных ip адресов. Подробно этот вопрос я рассмотрю отдельно ниже, поэтому пока это правило пропустим.
Создаем заключительное правило для цепочки input, которое будет блокировать все запросы, пришедшие не из локальной сети. В моем примере у меня локальная сеть подключена к бриджу bridge1-lan. В него входят все порты, подключенные в локалку.
add action=drop chain=input comment="drop all not from lan" in-interface=!bridge1-lan
В этом правиле я использовал отрицание !bridge1-lan, то есть все, что не относится к указанному бриджу.
На текущий момент мы запретили все запросы из вне к роутеру, кроме пингов.
При этом доступ из локальной сети полный. Настроим теперь правила для транзитного трафика цепочки forward. Здесь по аналогии с input первыми идут правила для established, related, invalid пакетов.
add action=accept chain=forward comment="accept established,related" connection-state=established,related add action=drop chain=forward comment="drop invalid" connection-state=invalid
Теперь запретим все запросы из внешней сети, связь с которой через интерфейс ether1-wan к локальной сети.
add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
Что такое dstnat мы рассмотрим чуть позже, когда будем разбираться с NAT. На этом список базовых правил закончен. Дальше немного пояснений на тему того, что у нас получилось.
Важное замечание, о котором я забыл упомянуть. По умолчанию, в Mikrotik Firewall нормально открытый. Это значит, все, что не запрещено явно, разрешено.
На текущий момент у нас запрещены все входящие соединения, кроме пинга. При этом разрешены все запросы из локальной сети во внешнюю, так как мы не указали никаких блокирующих правил для этого, а значит, все открыто. Покажу для примера, что нужно сделать, чтобы запретить все запросы из локалки и разрешить, к примеру, только http и https трафик.
Для этого мы сначала создаем разрешающее правило для 80 и 443 портов. Если используете внешний DNS сервер для запросов из сети, не забудьте разрешить еще и 53 порт UDP, иначе dns запросы не будут проходить и страницы загружаться не будут, даже если разрешить http трафик.
add action=accept chain=forward comment="accept http & https from LAN" dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp add action=accept chain=forward comment="accept dns from lan" dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
Разрешил http и dns трафик, так как в моем тестовом окружении используется внешний dns сервер.
Теперь блокируем все остальные запросы по цепочке forward из локальной сети.
add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge1-lan out-interface=ether1-wan
Когда я писал статью, завис минут на 10 и не мог понять, почему не работает разрешающее правило для http. Я его несколько раз проверил, все верно было. Тут и ошибиться негде, но страницы из интернета не грузились в браузере. Чтобы разобраться, я просто включил логирование для последнего запрещающего правила.
После того, как сделал это, увидел, что у меня блокируется dns трафик по 53-му порту. После этого сделал для него разрешение и все заработало как надо.
Забыл предупредить. Если вы с нуля настраиваете фаервол в микротик, то доступа в интернет из локальной сети у вас еще нет. Для этого нужно настроить NAT, чем мы займемся в следующем разделе. Так что пока отложите тестирование правил и вернитесь к ним, когда настроите NAT.
Когда у вас что-то не получается, смело включайте логирование запрещающих правил и вы быстро поймете в чем проблема.
Это универсальный совет для настройки любого фаервола. Только не забудьте в конце отладки отключить логирование. Иногда я это забывал сделать. Если использовалось какое-то хранилище для логов, оно быстро забивалось, так как в блокирующие правила попадает очень много запросов.
Итак, мы настроили базовый нормально закрытый firewall в микротике. У нас запрещено все, что не разрешено явно, в том числе и для трафика из локальной сети. Скажу честно, я редко так делал, потому что хлопотно постоянно что-то открывать из локальной сети (skype, teamviewer и т.д.). В общем случае, если нет повышенных требований безопасности, в этом нет необходимости. Блокирование не разрешенного трафика можно включать в случае необходимости.
Итоговый список правил, которые получились:
/ip firewall filter add action=accept chain=input comment="accept establish & related" connection-state=established,related add action=drop chain=input comment="drop invalid" connection-state=invalid add action=accept chain=input comment="accept ICMP" protocol=icmp add action=drop chain=input comment="drop all not from lan" in-interface=!bridge1-lan add action=accept chain=forward comment="accept established,related" connection-state=established,related add action=drop chain=forward comment="drop invalid" connection-state=invalid add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan add action=accept chain=forward comment="accept http & https from LAN" dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp add action=accept chain=forward comment="accept dns from LAN" dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge1-lan out-interface=ether1-wan
Пока у нас еще не настроен выход в интернет для локальной сети.
Сделаем это далее, настроив NAT.
Настройка NAT в микротик
С натом в микротике есть один важный нюанс, о котором я не знал, пока не прочитал презентацию одного из сотрудников, которую я в итоге перевел — My «holy war» against masquerade. Я всегда и везде использовал masquerade для настройки NAT. К тому же это действие предлагается и в дефолтной конфигурации. По своей сути masquerade — частный случай src-nat, который следует использовать в том случае, если у вас не постоянный ip адрес на внешнем интерфейсе. Причем, в некоторых случаях с masquerade могут быть проблемы. Какие именно — описаны в презентации.
Таким образом, если у вас постоянный ip адрес, то для NAT используйте src-nat, если динамический — masquerade. Разница в настройках минимальна.
Для того, чтобы пользователи локальной сети, которую обслуживает роутер на микротике, смогли получить доступ в интернет, настроим на mikrotik NAT. Для этого идем в раздел IP -> Firewall, вкладка NAT и добавляем простое правило.
/ip firewall nat add action=src-nat chain=srcnat out-interface=ether1-wan to-addresses=10.20.1.20
Переназначение LAN в WAN на Dlink 2640u
Чтобы использовать LAN порт, как WAN не обязательно сидеть за мануалами или прошивать ADSL-модем, лишаясь гарантии. Между тем, у нас появляется резервный канал, который можно использовать при важных задач, не терпящих перебоев в сети.
Для чего это может пригодиться? Не секрет, что провайдеры с подозрением относятся к большой генерации трафика, особенно если он относится к «почтовому» (smtp, pop3). Рассылка sms через интернет тоже может попасть в категорию «спам». Даже при перезагрузке роутера (смена IP-адреса) не гарантирует блокировки со стороны провайдера. Поэтому второй канал здесь придется весьма кстати.
Если вы решили сменить провайдера — с Ростелекома уйти на ТТК. Оба провайдера сейчас не выдают оборудование бесплатно — вам потребуется дополнительный роутер для работы с ТТК, т.к. стандартный ADSL-модем не имеет интерфейса WAN RJ-45.
У вас есть два варианта — либо покупать роутер, типа DIR 300 или 620, либо перенастроить один из четырех LAN-портов в направление WAN. Наш способ отличается тем, что мы не будем использовать специальные прошивки, вроде DD-WRT или OpenWRT, а выполним все действия на стандартной прошивке (на примере Dlink 2640 nru)
Старая прошивка
Переключите провод от модема до компьютера в LAN2 перед началом настроек! Заходим в настройки модема. По адресу 192.168.1.1. Находим пункт «Дополнительно» и выбираем «Группирование интерфейсов». В пункте Ethernet WAN Port ставим точку на порт, который хотим задействовать под WAN соединение, например, LAN1:
У некоторых модемов верхнее меню находится в левом столбце — они идентичны:
Теперь нужно настроить этот WAN-порт. Допустим, у вас провайдер использует PPPoE авторизацию (по логину и паролю). Так работает, например, ТТК.
Для этого заходим во вкладку «Сеть» и выбираем «WAN». Нажимаем кнопку «Добавить»:
Далее ставим следующие настройки:
Имя — WAN PPPoE
Тип соединения — PPPoE
Физический интерфейс — LAN1
PPP имя пользователя — Здесь пишите ваш логин для доступа в интернет
Без авторизации — галочки стоять НЕ должно
Пароль — ваш пароль для доступа в интернет
Подтверждение пароля — повторяем пароль
MTU — 1492
Остальные настройки остаются по умолчанию!
Теперь вставляйте ваш ethernet-кабель в LAN1 и можно работать.
Новая прошивка
Переключите провод от модема до компьютера в LAN2 перед началом настроек!. Переходим в Расширенные настройки:
Далее в разделе «Дополнительно» кликаем на «Группирование интерфейсов»:
Далее щелкаем на иконку LAN1:
Ниже (прокрутите мышкой, если не видно) в меню ставим галочку на пункте «Сделать WAN-ом»:
Далее, по аналогии с первой прошивкой, настраиваем PPPoE соединение на нашем новом WAN-порте.
Все вопросы пишите в комментарии.
OpenWrt, переназначение порта через веб-интерфейс
Иногда приносят роутеры с нерабочим WAN-портом с просьбой сделать из них рабочие, после перепрошивки на OpenWrt приходится методом тыка вспоминать как же переназначить порт. Наконец решился сделать для себя заметку, также надеюсь еще кому пригодится.
Итак, процесс:
1. Включаем кабель от компьютера в тот порт, из которого будем делать WAN
2. Идём в Network => Interfaces. Удаляем интерфейс WAN
3. Идём в Network => Switch. Смотрим какой порт активен (в моём случае Port 4)
4. Добавляем влан (жмём кнопку Add), делаем как показано на картинке, жмём кнопку Save, после чего переключаем кабель в другой порт
5. Идём в Network => Interfaces. Заходим в редактирование интерфейса LAN
6.
В закладке Physical Settings убираем галочку с Ethernet Adapter: «eth0» (lan) и ставим напротив VLAN Interface: «eth0.2». Жмём Save & Apply
7. Идём в Network -> Interfaces. Создаём новый интерфейс (кнопка Add new interface…)
8. Обзываем его как-нибудь, например WAN4, выбираем тип подключения, ставим галочку напротив VLAN Interface: «eth0.1», жмём Submit
9. В открывшемся окне переходим на вкладку Firewall Settings, ставим галочку напротив wan. Нажимаем Save & Apply
10. Идём в Network -> Firewall. В разделе Zones выставляем значения как показано на скриншоте, жмём Save & Apply
Готово, задача выполнена
Что такое порт WAN? (с рисунками)
Большинство сетей состоят из двух основных зон — локальной сети (LAN) и глобальной сети (WAN).
ЛВС — это внутренняя сеть, будь то дом с двумя компьютерами или многоэтажное офисное здание с тысячами, не имеет значения. WAN — это сеть за пределами LAN; это и другие внутренние сети, и полноценный интернет. Порт WAN — это портал, через который информация передается между LAN и WAN.
Большинство пользователей найдут порт WAN на сетевом маршрутизаторе. Обычный домашний маршрутизатор имеет один порт WAN и четыре порта LAN. Некоторые маршрутизаторы называют их восходящим каналом (для порта WAN) и проводными соединениями (для портов LAN). Этот порт принимает информацию из высокоскоростного Интернет-источника, такого как кабельный модем, и разделяет ее на несколько машин в домашней сети. Хотя большинство домашних маршрутизаторов имеют четыре порта LAN, их может быть как минимум ноль, так и неограниченное количество, хотя редко бывает больше восьми.
Все эти пять портов выглядят как прямоугольные отверстия на задней панели устройства.Каждый из них предназначен для подключения сетевого кабеля. Порт WAN обычно располагается отдельно от других портов, чтобы его было легче идентифицировать, но в остальном он выглядит так же, как порты LAN.
Важное различие между двумя типами портов находится внутри маршрутизатора.
Порт WAN принимает информацию из внешней сети или Интернета. Информация фильтруется через внутренний межсетевой экран маршрутизатора и систему маршрутизации. Затем информация отправляется в соответствующий порт LAN или по беспроводному соединению с беспроводным источником.
В дополнение к возможностям маршрутизации и межсетевого экрана маршрутизаторы также включают функции коммутации.Это позволяет компьютерам, подключенным через порты LAN, связываться друг с другом только. Эта функция переключения позволяет обойти стандартный брандмауэр маршрутизатора, и все компьютеры находятся в одной сети. Пользователи могут использовать эту функцию для подключения нескольких маршрутизаторов друг к другу, чтобы увеличить размер своей сети.
Если бы они соединяли несколько маршрутизаторов вместе с помощью порта WAN, у них могло бы быть несколько внутренних сетей, работающих независимо друг от друга.
Например, высокоскоростная информация поступает на один маршрутизатор, и этот маршрутизатор затем имеет соединения из своих портов LAN с тремя другими маршрутизаторами, где он подключается к их портам WAN. Эти внутренние сети будут содержать независимую информацию и связаны друг с другом не больше, чем с сетью в другом здании.
Что такое порт WLAN? (с изображением)
Беспроводная локальная сеть доступа (WLAN) — это ограниченная локальная беспроводная сеть.Порт WLAN — это устройство, позволяющее компьютерам подключаться к WLAN. По сути, порт WLAN — это разновидность маршрутизатора. Разница между этими устройствами и стандартным маршрутизатором обычно заключается в проводных портах. Большинство маршрутизаторов имеют по крайней мере два проводных порта для стандартных сетевых подключений, в то время как порт WLAN обычно не имеет ни одного.
Единственный способ подключиться к одному из этих устройств — через беспроводное соединение.
Чтобы понять, что такое порт WLAN и чем он не является, необходимо знать несколько сетевых терминов. Локальная сеть доступа (LAN) — это сеть, существующая в доме или офисе, к которой подключаются все вычислительные устройства. Глобальная сеть (WAN) — это сеть за пределами LAN, часто просто Интернет в целом. Маршрутизатор позволяет компьютерным устройствам пользователя подключаться к сети; это в основном центр системы. Наконец, беспроводной маршрутизатор содержит как порты для физического подключения устройств, таких как компьютеры и игровые консоли, так и беспроводных систем, таких как ноутбуки и некоторые мобильные телефоны.
В большинстве случаев беспроводной или проводной маршрутизатор будет иметь как минимум два проводных порта, но их может быть намного больше.
Поскольку вычислительные устройства все больше переходят на беспроводные соединения, эти порты используются меньше. Некоторые компании-производители маршрутизаторов начали производить маршрутизаторы, у которых вообще нет проводных портов; они разрешают подключение только к беспроводным системам.Эти устройства имеют несколько имен, одно из которых — порт WLAN.
В общем, порт WLAN точно такой же, как и у стандартного маршрутизатора, за исключением проводных соединений. Он будет выполнять все функции маршрутизации и предоставлять базовый брандмауэр, как пользователь ожидает от стандартного маршрутизатора.Самая большая разница в первоначальном подключении. Многие стандартные маршрутизаторы требуют проводного подключения для выполнения процессов начальной настройки; поскольку в данном случае это невозможно, это не требуется.
Есть небольшая путаница относительно этих устройств, в основном из-за сходства между WLAN и WAN.Все маршрутизаторы, независимо от типа, имеют порт WAN. Во многих случаях он обозначается как «WAN», но иногда он будет иметь менее техническое название, например «Интернет-порт» или «порт восходящей связи». Независимо от названия, это порт WAN. Порт WAN соединяет маршрутизатор с большей сетью, обычно через модем, предоставленный поставщиком услуг Интернета.
Путаница возникает из-за того, что люди путают два имени.Порт WLAN, также известный как беспроводной маршрутизатор, имеет порт WAN, соединение с Интернетом.
Проводной маршрутизатор также имеет порт WAN, независимо от того, является он беспроводным или нет.
Что такое WAN? (с рисунками)
Глобальная сеть (WAN) — это сеть, охватывающая большую географическую область, наиболее распространенным примером которой является Интернет.Это контрастирует с меньшими локальными сетями (LAN) и городских сетей (MAN) . ЛВС — это домашние или офисные сети, в то время как MAN может охватывать кампус или обслуживать жителей города, например, в общегородской беспроводной сети или сети Wi-Fi.
WAN или глобальная сеть — это тип сети, охватывающий большую географическую область.
Интернет — это общедоступная глобальная сеть, но есть много способов создать бизнес-модель или частную версию. Частная сеть — это, по сути, две или более LAN, подключенных друг к другу. Например, компания с офисами в Лос-Анджелесе, Техасе и Нью-Йорке может иметь локальную сеть в каждом офисе. Через выделенные телефонные линии все три локальные сети могут связываться друг с другом, образуя глобальную сеть.
Общегородские беспроводные сети или сети Wi-Fi считаются MAN или городскими сетями. Маршрутизаторы используются для прямого обмена данными между локальными сетями, подключенными к глобальной сети. Маршрутизатор, установленный на выделенной линии, считывает «конверты» или заголовки каждого пакета данных, проходящего через глобальную сеть, и отправляет их в соответствующую локальную сеть.
Когда пакет прибывает в LAN, устройство, называемое коммутатором , отправляет пакет данных на правильный компьютер.Следовательно, WAN действует как интерфейс между локальными сетями для междугородной связи. Тот, который работает на выделенной линии, является частным, так как на линии нет общедоступного трафика.
Поскольку арендованные линии дороги, многие предприятия, которым требуется глобальная сеть, вместо этого используют поставщика услуг Интернета (ISP) для предоставления доступа. В этом случае каждая локальная сеть в глобальной сети обменивается данными через учетную запись стандартной цифровой абонентской линии (DSL). Учетная запись DSL Internet использует существующую телефонную линию, одновременно используя эту линию с телефоном.
Глобальная сеть на основе DSL использует общедоступные Интернет-линии. Чтобы защитить его от вторжений, настроена виртуальная частная сеть (VPN). При использовании VPN весь трафик остается зашифрованным на маршруте через Интернет и расшифровывается только в месте назначения. Это называется «туннелирование», потому что глобальная сеть создает безопасный канал через публичное пространство. Брандмауэры также блокируют вторжение хакеров. Этот тип, пожалуй, самый популярный, поскольку он рентабелен и имеет большие преимущества.Он работает с высокими скоростями передачи и является «всегда активным» соединением, обеспечивая круглосуточную безотказную работу глобальной сети.
Самый дешевый тип WAN использует Интернет через модем удаленного доступа.
Это не так популярно, поскольку цена DSL снизилась достаточно, чтобы стать конкурентоспособной с учетными записями удаленного доступа. Модем коммутируемого доступа работает только со скоростью 56 килобит в секунду (кбит / с), в то время как стандартное соединение DSL примерно в 20 раз быстрее.Коммутируемое соединение также не может совместно использовать телефонную связь. Наконец, коммутируемое соединение — это не постоянное соединение. Когда офисы находятся в разных часовых поясах, это может эффективно сократить время безотказной работы.
WAN — отличный способ для компаний использовать географически удаленные ресурсы и централизовать производительность.Выделенная линия или доступная по цене сеть на основе DSL позволяет сотрудникам, работникам на местах и руководству полный или ограниченный доступ к соответствующим данным 24 часа в сутки, семь дней в неделю.
Учитывая незначительную стоимость DSL сегодня, это часто имеет смысл для бизнеса.
Что такое WAN-порт и для чего он используется на вашем маршрутизаторе
Что такое WAN-порт и для чего он на самом деле используется? Это дополнительный порт Ethernet на задней панели маршрутизатора, который нельзя использовать для пятого компьютера. Порты WAN и LAN часто упоминаются в руководстве к маршрутизатору или в руководствах в Интернете, и эти порты можно найти практически на любом маршрутизаторе. Нет сомнений в том, что эти мелочи существуют не просто так.
Что такое WAN-порт?
WAN означает глобальную сеть.
WAN-порт — это восходящий канал в Интернет. В то время как LAN-порты (локальная сеть) будут подключаться к вашему компьютеру и другим устройствам, WAN-порт должен быть подключен к стене или модему, предоставленному вашим интернет-провайдером. Без подключения кабеля к WAN-порту ваша сеть не будет подключена к Интернету, и вы не сможете смотреть видео с милыми котиками или последний выпуск Карточного домика на Netflix.
Это был быстрый ответ. Но, как и во всем остальном, это всегда что-то большее, и сегодня я подумал, что мы собираемся побаловаться темой WAN, LAN и того, что вы можете сделать с этим портом на задней панели маршрутизатора.
Разница между LAN и WAN
Важно, чтобы вы сначала узнали разницу между LAN и WAN, так как оба этих термина будут указаны на задней стороне маршрутизатора. Обычно на задней панели маршрутизатора имеется пять сетевых портов, четыре из которых помечены как LAN, а один — WAN.
LAN означает локальную сеть и означает, что это сеть компьютеров, которые соединены друг с другом.
В вашей квартире или в вашем доме есть собственная сеть — LAN. По сути, все частные сети — это локальные сети.В локальной сети вы можете обмениваться ресурсами друг с другом, такими как принтеры или файлы, или вы можете подключаться к другим компьютерам или устройствам. Ваш маршрутизатор и все, что за ним стоит, — это локальная сеть.
WAN означает глобальную сеть. Это немного сложнее, поскольку глобальные сети могут быть как частными, так и общедоступными. Частные глобальные сети часто используются компаниями для соединения своих офисов. В каждом офисе может быть локальная сеть, которая совместно использует принтеры и тому подобное локально, но глобальная сеть, которая соединяет все локальные сети вместе, чтобы компания могла делиться файлами со всеми.
WAN соединяют локальные сети через Интернет, и поскольку ни один бизнес не хочет, чтобы их трафик передавался через Интернет в незашифрованном виде, они используют туннели VPN для создания безопасных соединений между каждой локальной сетью.
Когда туннель VPN (виртуальная частная сеть) настроен в обоих местах, трафик через туннели является частным, и неавторизованные пользователи не могут его видеть.
Для домашних пользователей WAN не должна быть такой сложной. Это более известный способ подключения Интернета к вашему дому и маршрутизатору.Как я описал выше, компании подключают небольшие офисы к головному офису через глобальную сеть, и для домашних пользователей это то же самое, но вместо этого для ISP (провайдера Интернет-услуг). Интернет-провайдер подключает локальные сети домашних пользователей к их глобальной сети, тем самым предоставляя всем локальным сетям доступ к сети.
Но для ясности: интернет-провайдеры не объединяют локальные сети вместе, они разделяют их. Ваш сосед не может печатать на вашем принтере или видеть ваши файлы.
Почему маршрутизатор необходим для соединений WAN
Порт WAN на задней панели маршрутизатора — это исходящее соединение с Интернетом, это то, что мы уже рассмотрели.
Ваш маршрутизатор будет перенаправлять весь интернет-трафик через этот порт, как входящий, так и исходящий. Поскольку весь трафик проходит через один порт, каждый пакет будет выглядеть одинаково для других серверов и устройств в Интернете. Это означает, что какое бы устройство вы ни использовали, оно будет иметь один и тот же IP-адрес вне сети.
Когда пакет возвращается на этот IP-адрес (IP-адрес, назначенный вашим интернет-провайдером), ваш маршрутизатор должен узнать, какое устройство сделало запрос, и перенаправить этот пакет на это устройство.Маршрутизатор, по сути, берет пакеты, приходящие из WAN-порта, и перенаправляет их на разные LAN-порты или по беспроводной сети.
Если вы пропустите маршрутизатор и напрямую подключите своего провайдера к компьютеру, то только этот компьютер будет иметь доступ в Интернет, а никакое другое устройство в вашем доме. Если вы возьмете коммутатор и используете его в качестве маршрутизатора, это тоже не сработает, поскольку коммутатор не предназначен для перевода входящих и исходящих пакетов в Интернет.
Когда НЕ использовать WAN-порт
Бывают случаи, когда вам не следует использовать WAN-порт на маршрутизаторе.В основном, это когда вам по какой-либо причине необходимо подключить второй маршрутизатор к той же сети. В большинстве случаев это связано с тем, что вы сами приобрели маршрутизатор, а ваш интернет-провайдер также предлагает маршрутизатор. Для их подключения очень важно не использовать WAN-порт на втором маршрутизаторе, так как он не будет разделять с ним LAN. Помните, что вы пытаетесь подключить устройство в своей локальной сети, а это значит, что вместо этого следует использовать LAN-порт.
Если вы хотите узнать больше о соединении двух маршрутизаторов или узнать, как это сделать, я настоятельно рекомендую вам ознакомиться с моим руководством по соединению двух маршрутизаторов, которое вы можете найти здесь.
Не путайте WAN с WLAN
Распространенное заблуждение, связанное со всеми аббревиатурами, заключается в том, что WAN прядями для беспроводной сети.
Поскольку LAN — такое распространенное (ну, не очень редкое) слово, с 90-х и начала 2000-х годов, когда друзья собирались вместе, чтобы играть в игры, люди знали, что это такое и что это означает локальная сеть. Когда слышишь WAN, первая мысль тогда — Wireless, что понятно.
Однако, как вы теперь знаете, это очень неправильно. На самом деле, нет ничего, что называется беспроводной сетью.Вместо этого это WLAN, беспроводная локальная сеть. Итак, если вы уже знали LAN, вы можете просто поставить перед ним букву W, когда говорите о беспроводной связи. Это не должно быть сложнее. Это смешало бы WLAN с WAN, могло произойти очень интересных разговоров …
Можно ли использовать порт WAN как порт LAN?
Иногда, когда WAN-порт не используется (например, если у вас есть второй маршрутизатор, который вместо этого использует LAN-порт), было бы неплохо использовать его как LAN-порт.Хотя я согласен, что это было бы хорошо, это невозможно. Хотя порты выглядят одинаково, у них совершенно разные функции.