WISP Client Router

D-Link DAP-1160

OvisLink WL-5460AP v2

Velice zajímavou funkcí je WISP Router, funkce, kterou má D-Link i OvisLink. Využívá se v situaci, kdy vám poskytovatel internetu bezdrátovou cestou dovoluje použít jen jedno zařízení a tedy jednu IP adresu, zatímco vy si k tomu potřebujete připojit celou domácí síť. Na to už de-facto potřebujete vlastní router a tím se v takovém momentě stává APčko, které v tu chvíli vytváří NAT, dovede dynamicky poskytovat IP adresy (dělá DHCP server), případně je možné nastavit také předávání portů a nechybí ani možnost nastavit si IP adresu jednoho vnitřního zařízení, na které APčko dělá portforwarding všech portů (tuto vlastnost oba shodně označují jako demilitarizovanou zónu).

D-Link DAP-1160

Nastavením D-Linku DAP-1160 do režimu WISP Client Router se zpřístupní další možnosti nastavení v sekci „Advanced“. D-Link se totiž umí v tomto stavu chovat i jako firewall. Nejenže blokuje příchozí komunikaci (z principu fungování NATu, který vnitřní síť před vnější skrývá za jedinou IP adresou), ale také můžete některé TCP/UDP porty zakázat, čímž lze omezit počítačům uvnitř přístup k některým službám venku.

„Parental Control“ pak funguje i jako omezovač prohlížení určitých webů podle jejich adresy, přičemž pokusy přístupu na takové stránky kromě tichého blokování i zaznamenává (tichým blokováním míníme chování, kdy se v prohlížeči místo žádané stránky, která je na seznamu blokovaných, neobjeví žádná informace o zablokování, ale standardní chyba prohlížeče, jakoby byl server prostě nedostupný).

Narazili jsme však na jeden dosti velký „bug“, v konfiguraci „Port Forwarding“ a „Port Filter“ udělali vývojáři jednu chybičku, která by chtěla hodně rychle opravit, jinak činí tyto služby v podstatě nepoužitelné. Číslo portu lze totiž zadat pouze třímístné, což je dost závažná chyba, portů je totiž podstatně více než tisíc, přesně 65 536 (některé z toho jsou rezervované, mnohé mají již obecně daný význam a další jsou volně použitelné, více viz www.iana.org/assignments/port-numbers). Vtip je také v tom, že mezi předdefinovanými aplikacemi je jedna s číslem portu 1720, což se samo zadá bez problémů, ale přepsat to na vlastní čtyřmístné číslo nelze.

Při tvorbě tohoto firmwaru měli vývojáři nejspíše zkrat, opravdu napevno nastavili maximální počet zadatelných znaků na tři, jak ukazuje zdrojový HTML kód stránky:

Lze to obejít několika fintami, například pokud je v APčku zapnuta funkce UPnP, dá se to nastavit přímo v systému, pokud to podporuje (Windows XP to podporují, novější Windows jistě také, u ostatních, se přiznám, že nevím). To si ale ukážeme později. Druhá finta spočívá v úpravě HTML kódu konfigurační stránky – průměrně zdatný webmaster si ji prostě uloží na disk do počítače, patřičně upraví (příslušné limity zdvihne z 3 na 5, ohlídá si absolutní cesty v odkazech a skriptech, uloží, spustí přímo z disku, nastaví požadované parametry a uloží). Kdo by to byl řekl – opravdu to pak funguje. Finta zmíněného řešení spočívá v tom, že upravený kód lze použít i opakovaně (pokud se nezmění IP adresa APčka, jinak to chce zase předělat). Rozhodně však nejde o uživatelsky přívětivé řešení a stále platí, že ve firmwaru je to závažný nedostatek.

OvisLink WL-5460AP v2

OvisLink má v tomto režimu však jinou zajímavou funkci, kterou jsme zase nenalezli u D-Linku. Tou je možnost nadefinovat použití speciálních aplikací tak, aby byl libovolný počítač za určitých okolností zvenčí přístupný pro jejich využití a mohl být přímo kontaktován.

Některé aplikace jsou již předdefinovány, ale není problém přidat další. Funguje to docela zajímavě, iniciátorem takového „dovoleného“ přístupu musí být vždy počítač uvnitř vnitřní sítě LAN, což udělá tak, že se počítači, kterému chce dovolit přímý přístup, připojí na jeho TCP/UDP port, který je v APčku (přesněji WISP Routeru) nadefinován jako „Trigger port“ (něco jako spouštěcí port). WISP router na to zareaguje tak, že pro daný počítač otevře porty nadefinované jako „Incoming“ a komunikaci na nich přímo směruje na vnitřní počítač, který si o spojení řekl. Vzdálený počítač pak ve skutečnosti komunikuje s WISP routerem (s jeho adresou), který předávání zajišťuje, vzdálený počítač se totiž přímo na adresu vnitřního počítače za NATem pochopitelně nedostane.

My jsme si vyzkoušeli jednu takovou situaci, kterou se vám pokusíme předvést na následujícím videu. Počítač „venku“ (192.168.22.11) se potřeboval dostat na plochu počítače „uvnitř“ (172.17.10.40) pomocí protokolu pro vzdálené připojení plochy (RDP). Ten má číslo portu 3389, který jsme nastavili jako počáteční i koncový „Incoming port“ a pro inicializaci („trigger“) jsme pro jednoduchost použili port 445, který se používá pro komunikaci na síti Microsoft Windows. Za normálních okolností se tedy počítač „venku“ do počítače „uvnitř“ nedostane. Jakmile však počítač „uvnitř“ naváže komunikaci s počítačem „venku“ na „trigger“ portu 445 (což ve Windows XP prakticky znamená pokusit se na něj připojit v průzkumníku), může počítač „venku“ kontaktovat počítač „uvnitř“ tím, že se zkusí připojit na plochu WISP Routeru (192.168.22.14), jediného zařízení, které je „venku“ vidět. WISP Router tuto komunikaci směruje na počítač „uvnitř“, protože si takové spojení vyžádal patřičným „trigger“ portem a dojde tím opravdu ke připojení počítače „venku“ na plochu počítače „uvnitř“. Toto spojení pak trvá, dokud není ukončeno. Po jeho ukončení se lze ještě chvilku připojit, než vyprší nějaká časová prodleva ve WISP routeru, který pak záměr spojit se zapomene a už se pak připojit nelze, muselo by opět dojít k „vybuzení“ WISP routeru připojením „vnitřního“ počítače na počítač „venku“ na daném „trigger“ portu.

Pro pořádek ještě doplníme, že IP adresa WISP routeru je „uvnitř“ sítě 172.17.10.1. Sluší se též zmínit, že WISP router dovnitř opravdu pustí jen ten počítač, od kterého si vnitřní počítač komunikaci žádá, nevyžádaný se tam touto cestou nedostane ani omylem.

To, co má D-Link jako „Port Forwarding“, má OvisLink pod pojmem „Virtual Servers“. Funkce je prakticky stejná, dané porty kontaktované zvenčí se směrují na definované počítače ve vnitřní síti.

Když už jsme zmínili chybu D-Linku, musíme také pohanit OvisLink. Jeho firmware sice dokáže hodně a dá se říci, že v tuto chvíli více než D-Linkův, ale vývojáři u OvisLinku asi také neměli zrovna dobrou motivaci, když firmware sestavovali. Obsahuje totiž dost much, které konfiguraci dvakrát neusnadňují, za všechny jmenujme velice jednoduchý způsob, jak dostat OvisLink do stavu, kdy už jej nebudete schopni konfigurovat ani z jedné, ani z druhé strany (míněné ze strany LAN, nebo Wi-Fi, a to ani když budete mít konfiguraci přes Wi-Fi povolenou). Níže uvedený obrázek ukazuje stav, kdy je schopen vnitřní DHCP server vyplodit fantasticky nesmyslnou konfiguraci (IP adresy přiděluje z úplně jiného rozsahu, než sám je, stejně špatně nastavuje i bránu a ačkoli si v tomto stavu v režimu WISP bere po Wi-Fi z dalšího DHCP adresu, nelze jej na ní kontaktovat i přes ujištění, že mu ji DHCP server opravdu dal).

Pak nezbývá nic jiného než dlouhý restart, který uvede APčko do továrního nastavení (čili smaže veškerou konfiguraci) a začít všechno nastavovat znovu a tentokrát trochu opatrněji (pochopitelně je tu možnost konfiguraci do souboru uložit a zase ji zpět nahrát). A takovýchto zvláštností je v OvisLinku několik (třeba v některých režimech jakmile nastavíte WPA2 šifrování a heslo, najednou to nemůžete už nijak změnit, jedině nastavit zase jiné šifrování). Co si budeme povídat, v obou firmwarech jsou nedostatky, je jen otázka, které mají vliv na pohodlnost konfigurace a které na samotnou funkčnost.