Jump to content
Калькуляторы

SNR-CPE поддержка, опыт эксплуапации, регрессии, результаты тестирования, общие вопросы

Здравствуйте.

Подскажите пожалуйста, как на роутере настроить два влана. Первый влан под интернет, второй отдается телевидению. Оба vlan подаются на wan port с tagg.

 

 

 

Текущая версия прошивки:

SNR-CPE-MD1-5GHZ-MT-3.3.7.RU.04082015

 

 

Спасибо.

Share this post


Link to post
Share on other sites

Всегда начинаем с обновления софта на актуальный, на текущий момент 5.0.19 (при обновлении с такой древности сброс кнопкой и настройка с нуля руками обязательна), в нём есть отдельный раздел под настройку доп сервисов в VLAN`ах.

 

Т.е. под TV выделяем отдельный порт и грим снимать тэги, так же по желанию можем брать мультикаст оттуда.

 

С VLAN под интернет всё несколько сложнее. Дело в том, что на текущий момент архитектурно не предусмотрено использование VLAN как WAN т.к. теряем сразу один из ключевых плюсов платформы (аппаратную обработку NAT). Костыли с vlan swap решено не тянуть.

 

Т.е. поддержка VLAN ограничена на данный момент схемами с доп сервисами + MBSSID в отдельный VLAN + VLAN Isolated LAN/WLAN + VLAN Bridge. Интернет взять с тегированного влана штатными средствами пока не выйдет.

 

В перспективе (при отсутствии других задач) возможно такая схема будет добавлена, но пока вот так.

 

Схема с интернетом одетом в тег до user CPE на данный момент себя почти изжила у операторов, и вланы обычно приземляют на домовых свитчах per user или per house. Т.е. обычно на стороне пользователя никаких вланов нет вовсе, в худшем случае до юзера доходят вланы с SIP/IPTV (именно такие схемы и поддерживаются в полном объёме).

 

Мы не стараемся поддержать всё и сразу любой ценой (часто ценой надёжности) в одном месте дабы не плодить тараканов и потенциальные проблемы, отсюда и не желание городить софт бриджи для вланов со стороны WAN со сломом логики аппаратного оффлоада и/или по сути костылями со свопом тэгов.

Share this post


Link to post
Share on other sites

Давно кстати хотел спросить - возможно ли подключить двух провайдеров? Я почему спрашиваю: дело в том, что когда человек на IXBT пытался это сделать в RTNL, то он выделял второй WAN в отдельный VLAN

config-vlan.sh 2 23111
vconfig add eth2 3
ifconfig eth2.3 ла-ла-ла

А как с этим дело обстоит в MT-ветке?

Share this post


Link to post
Share on other sites

DualWan не планируется. Как конфигурить вланы руками так же можно посмотреть в сырцах. Просто нарулить доп влан и руками на нём что-то поднять проблем нет. См /etc/init.d/vlan и всё тот же config-vlan.sh.

Share this post


Link to post
Share on other sites

Здравствуйте! В сети небольшой организации 20 компьютеров, подключение к интернету идет через роутер SNR-CPE-W4N Rev. M (прошивка 5.0.19.RU.09022017). Необходимо заблокировать доступ к некоторым сайтам (особенно к соцсетям). Сделать это желательно именно средствами роутера с возможностью администрирования (то есть, блокировать сайты не для всей сети а для определенных ip или mac адресов, указывать время блокировки).

Подобная функция реализована в роутерах Tplink. Дома пробовал настраивать на модели TL-WR743ND - все работает как надо. Есть инструкция по настройке Пример настройки.

Как такое сделать на роутере SNR???

С версией прошивки за апрель 2016 г. фильтр содержимого работал некорректно. Например, одноклассников блокирует только если в строке браузера писать "ok.ru, если же зайти через поисковик по ссылке https://ok.ru/ - пропускает. К тому же нет никаких дополнительных настроек и правил блокировки.

После обновления прошивки до версии 5.0.19.RU.09022017, эта функция не работает вообще.

Я понимаю, что это не востребовано, но может есть старая прошивка или еще какие-нибудь варианты настройки этого роутера?

Edited by fasterwinny

Share this post


Link to post
Share on other sites

Посмотрел, вроде понятно. Надо будет на практике попробовать. Единственное пока непонятное - Dual RGMII. Это на 7621 надо будет использовать?

Share this post


Link to post
Share on other sites

Хорошо. Спасибо за разъяснения!

Share this post


Link to post
Share on other sites

1) https фильтровать возможности нет и не было, оно шифровано внутри и инспекция невозможна по определению

2) если перестало работать то это регрессия - проверю, но что-то мне подсказывает...

 

Нормальной блокировки получить не выйдет именно по причине https. Если блокировать на уровне dns то никто не мешает юзверю зайти используя ip или использовать сторонние DNS. Если блокировать с инспекцией пакетов то https фильтровать не выйдет. Если блокировать фаерволом на уровне IP то придётся отслеживать все IP и не менялись ли они (делается в настройках фаервола).

 

То на что вы ссылаетесь в tp-link это тупо блокировка на уровне встроенного DNS сервера. Т.е. для обхода достаточно юзверю забить внешний DNS в настройках и всё потечёт как ни в чём не бывало. Т.е. тупо защита от дурака реализуемая добавлением записей в hosts на роутере (т.е. например можно отредактировать функцию в gen_hosts /etc/init.d/dnsserver добавив туда строки вида echo "127.0.0.1 домен" >> /etc/hosts после echo "$lan_ipaddr gateway.lo" >> /etc/hosts).

 

Ну и вишенка на торт. Ставим тот же fast proxy в chrome (например) и хоть заблокируйся. Так же достаточно будет включить режим экономии трафика и вот уже блокировкой и не пахнет.

 

Дело не в невостребованности, а в бессмысленности решения административных вопросов техническими средствами ибо обходятся такие методы на раз. Но на тему регрессии посмотрю, хотя на эту тему там ничего не менялось уже с полгода-год.

 

P.S. Если обновлялись с совсем древнего ПО то обязательно выполнить сброс кнопкой reset и настроит вручную. Некоторое время назад пришлось сильно поменять набор полей и внести серьёзные изменения в логику работы инита. Т.е. RWFS и дефолты должны быть актуальные, т.е. вам будет проще сбросить и настроить с нуля и вероятно регрессия уже не повториться.

Share this post


Link to post
Share on other sites

Здравствуйте, приобрели партию роутеров SNR-CPE-W4N (rev.M), из 10 роутеров - 3 почему то "из коробки" работают в режиме бриджа, при этом сброс кнопкой reset (удерживаем 10-15сек.) помогает только с 3-5 раза, т.е. устройство начинает работать в режиме шлюза и становится доступно по адресу 192.168.1.1. Двум помог reset, а третий после второго reset кнопкой перестал загружаться вообще, т.е. из индикации на нем горит только питание. Вопрос может не по адресу, но все же, в чем может быть проблема? С предыдущими партиями вообще никаких проблем не было, а тут 3 из 10 не работают как надо, причем это я ещё остальные не проверял из партии.

И ещё, как я понимаю, после полной загрузки устройства, второй индикатор "шестеренка" должен гореть? (а тут он медленно мигает)

Edited by Frost616

Share this post


Link to post
Share on other sites

Здравствуйте

Резет всегда работает однообразно, возможно вы не додержали его или не успели нажать в момент загрузки. Уточните у курирующего вас менеджера, возможно у вас был специальный заказ, и в него по предзаказу была загружена кастомная(это всегда обсуждается) конфигурация\прошивка, так же рекомендую обозначить менеджеру проблему более подробно, с указанием даты заказа, и версии ПО на проблемных роутерах. Восстановить роутер который перестал загружаться можно руководствуясь документацией по восстановлению http://shop.nag.ru/article/firmware-recovery-snr-cpe-w4n-revmcpe-md1

Share this post


Link to post
Share on other sites

После обновления прошивки до версии 5.0.19.RU.09022017, эта функция не работает вообще.

 

Пробуйте https://sourceforge.net/projects/wive-ng/files/wive-ng-mt/test-only/ , регрессия должна починиться, но как и ранее https с помощью инспекции пакетов выборочно блокировать не выйдет. Для https либо в форвард цепочке в настройках фаервола перечисляем все адреса ресурса и трафик по ним дропаем, либо как выше говорил правим скриптик и дропаем на уровне DNS не забыв в настройках фаервола включить принудительный редирект всех DNS запросов от клиентов на локальный DNS сервер роутера (Redirect all DNS to local server). Позже (когда будет время) вытащим такую возможность в web. Но опять таки всё это обходиться.

Share this post


Link to post
Share on other sites

Спрашивал на хоботе в ветке "RTNL для домохозяев" (но ветка похоже почила).

Спрошу и здесь (прежде чем идти в магаз за Зухелем).

В шабашке стоит SNR-CPE-W4N-MT (4.9.10.RU.26122016)

Поставили задачу: сделать на нем гостевую вафлю, дабы гости из нее НЕ лазили по общей папке сервака.

Включил Multiple SSID поставил всевозможные крыжи изоляции - самба сервака гостям по прежнему доступна.

Share this post


Link to post
Share on other sites

Наверно лучше сделать это через отдельный изолированный vlan для гостевой сети, конфигурируется это на вкладке Network settings - vlan setup - WLAN/LAN VLAN Settings

ну и на всякий случай рекомендую обновить ПО до актуальной версии, актуальное ПО в свою очередь можно взять с сайта https://sourceforge.net/projects/wive-ng/files/wive-ng-mt/ после обновления лучше всего сделать сброс конфигурации до заводской.

Share this post


Link to post
Share on other sites

Спрашивал на хоботе в ветке "RTNL для домохозяев" (но ветка похоже почила).

Спрошу и здесь (прежде чем идти в магаз за Зухелем).

В шабашке стоит SNR-CPE-W4N-MT (4.9.10.RU.26122016)

Поставили задачу: сделать на нем гостевую вафлю, дабы гости из нее НЕ лазили по общей папке сервака.

Включил Multiple SSID поставил всевозможные крыжи изоляции - самба сервака гостям по прежнему доступна.

 

Изоляция в настройках wireless работает закономерно между клиентами/BSSID одной AP (на уровне драйвера). Если нужна полноценно изолированная подсеть, то да, самое простое решение выделить MBSSID под неё в отдельный влан. Можно было бы конечно затянуть в прошивку ebtables и фильтрануть им по нужному интерфейсу все пакеты кроме пакетов в адрес шлюза, но это потеря производительности + лишнее место на флэше и всё ради крайне редкого для рынка куда мы ориентируемся кейза.

 

Чуть позже сделаем возможность повесить на отдельный MBSSID локальный captive портал с изоляцией от локальной сети, в ToDo есть, но пока не в приоритете.

 

Но а вообще бы я бы рекомендовал не держать гостевую сеть и рабочую на одной физ железяке. Повиснет на гостя какой-нить полудохлый клиент и все (а не только гости) будут курить. Радиомодуль-то один.

 

Лучше тут сделать схему вида MD1 на шлюзе и для рабочих клиентов (какраз увеличить ёмкость за счёт 2х диапазонов). На нём настраиваем isolated vlan для гостевой АП (как раз полностью изолируется от всего кроме как в сторону инета), W4N настраиваем в режиме AP + VLAN и приземляем на нём всё это дело.

 

Ессно не забывая растащить 2.4ГГц диапазон по каналам на 1 и 11й что бы не мешали друг другу. В особо страшных случаях ограничиваем полосу 20МГцами для 2.4.

Share this post


Link to post
Share on other sites

SNR-CPE-AP1 отличается только исполнением?

дальнобойсть при прочих равных поменьше будет, так?

Share this post


Link to post
Share on other sites

Наличием POE, только одним портом, соответственно нет режима роутера впринципе. Это именно потолочная точка, spot.

 

Причём тут дальнобойность я ХЗ, если подразумевается монтаж на потолке для покрытия заданного "пятна". Т.е. минимально фонить по сторонам (если так упрощённо).

 

Если разместить не на потолке, а на мачте вертикально, то по диаграмме будет очень похоже на сектор. Но рассчитано оно на применение indor с целью достаточно плотного размещения АП с нарезкой по зонам обслуживания, что бы хотя бы непосредственно друг другу в ухо не дули (отраженка понятно, что будет всегда).

 

Т.е. отличия:

1) POE

2) Один порт

3) Потолочное исполнение

4) Антенны подобраны так что бы обеспечить максимально чёткую зону обслуживания из коробки без всяких антеннабоксов, кастрюль и прочих извращений

Share this post


Link to post
Share on other sites

Причём тут дальнобойность я ХЗ, если подразумевается монтаж на потолке для покрытия заданного "пятна"

да это я о своём думаю )

 

тут у нас задача покрыть склад, потолки ой как высокие, решили взять обычные точки.

Edited by edo

Share this post


Link to post
Share on other sites

Ну на складе великого трафика не надо, да и клиентов немного думаю будет. Надо смотреть как разместить просто. Какое помещение и т.д. Возможно оптимально будет именно что несколько потолочек. Омни антенны всё ж насобирают кучу левого гогна летающего в 2.4 (далеко не только wifi). Прикидывать надо хотя бы глазками.

Share this post


Link to post
Share on other sites

Подскажите будет ли прошивка с возможностью работы с вышками Ростелеком в Сельской местности RTWiFi.

На TP-LINK и ubiquiti появились.

Это бы расширило круг покупателей ваших устройств!

Share this post


Link to post
Share on other sites

WPA Enterprise в режиме APCLI в ближайшее время не планируется. Да и не занимаемся мы розницей что бы пользователи РТК в сельской местности хоть как-то повлияли на распространённость.

 

Да и outdoor`ов у нас тоже нет...

 

Операторам и корпорастам сиё нужно как зайцу стоп сигнал. Поверьте есть множество более актуальных задач нежели обеспечение клиентов РТК возможностью работать с непонятными АП в сельской местности. Проще говоря мы туда не метим. Так что только в свободное время когда-нить может дойдут руки. На полях записал.

 

А за tp-link могу только порадоваться. Аж вытащить 1,5 настройки wpa_supplicant (используемого с atheros на котором построены эти точки) осилили (и то в терминологии запутались судя по роже). ;) У нас реализация всего этого бедлама на уровне драйвера, потому финт ушами не пройдёт.

 

P.S. Кому очень сильно надо на нашем железе подобное может с успехом зашить LEDE. Правда лишиться сделанного нами функционала, потеряет в производительности и стабильности.

Share this post


Link to post
Share on other sites

Есть желание перейти с WR-300NU на SNR-CPE-W4N (rev.M), но останавливает отсутствие USB и соответственно возможности подключить принтер.

Модели с USB возможны/планируются?

Есть ли возможность самому припаять этот USB? (фото внутренностей не нашел)

Share this post


Link to post
Share on other sites

C USB будут позже на 7621 и возможно одна моделька на 7620. Разводка под USB на текущих платах есть. Софт только если сами переконфигурить осилите и упихать доп компоненты и поддержку USB в ядре на 8Мб флэша который сейчас забит почти под завязку.

 

Переходить с однобэнда на однобэнд тайного смысла немного. Если и планировать переход то как минимум на MD1.

Share this post


Link to post
Share on other sites

По неосторожности воткнул блок питания на 5 вольт от другого роутера. Удивило, что он работает как ни в чем не бывало. Родной блок кстати вышел из строя без причины.

Edited by Mobiky

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now