Comments 134
У меня такой "безлимитный" интернет, как резерв работает. TTL зафиксирован на модеме, а на роутере постоянно работает VPN. Только вот при малейшей нагрузке на сеть пинг подрастает до 1000+, а соединение постоянно начинает рваться. Это из за низкого уровня сигнала (2 из 5 палки) или опсос детектирует vpn и режет для трафика приоритет?
Вероятно, передатчик телефона захлебывается. У меня в глуши 4G с одной полоской работает лучше чем 3G с четырьмя и дает 7 мбит довнлоада. Но аплоад не выдерживает совсем, топчется в районе 1 мбита.
Передатчик телефона не имеет к делу прямого отношения. Другими словами, он здесь не причём.
А кто имеет? Если снять мой телефон с чердака и выйти 20 метров в чистое поле - там, где нет затенения ветками - аплоад вырастает в несколько раз, точных цифр не назову. При этом довнлоад увеличивается незначительно.
Если же подняться из речной долины вверх, получаем следующую картину:
Мы сейчас говорим про L1, поэтому для его оценки нам необходимы параметры (их статические и динамические значения) именно от сети LTE или 3G. У вас в доме может модем работать через одну вышку, а в поле уже через другую. И это самое простое, что там есть. На деле net monitor даст детальную раскладку и почву для технического разбора ситуации с вариативностью Upload.
Хорошо, я прямо сейчас экспериментировал.
Замеры в доме
Замеры во дворе в пятне уверенного обслуживания
Аплоад вырос в 8 раз, а довнлоад в 1.5 раза. Судя по Cell ID вышка не переключалась. Буду рад, если подскажете нормальный софт чтобы снять все показатели сети на андроиде.
У вас здесь все ясно. На первом скрине принимаемый уровень сигнала от вышки -112. Это край, слишком слабо. То, что вышка ваш модем не услышит - это связанные вещи. Ваш модем постоянно повторяет передачи, скорее всего. Увеличение мощности вашего передатчика - это линейный способ. И не достаточно эффективный. Это только теоретически, если бы было такое возможно.
Вам нужен софт, интегрированный именно в телефон, а не в андроид. Так, iPhone предоставляет очень детальную информацию: 3001#12345#
Дом
Двор
Из азарта повторил замеры с той же симкой на телефоне LG с нормальным инженерным меню. Я это к чему - за городом можно запросто попасть в условия с очень уверенным приемом, но с крайне плохой передачей. В этих условиях можно смотреть 4К видосы на ютубе, но любая нагрузка на output сразу "окирпичивает" интернет.
Не знаю как на счет мощности, но если худо-бедно сделать передачу направленной - например, покрутить телефон над плоской металлической поверхностью - аплоад растёт в пару раз. Пару лет назад, когда на моей местности едва ловил 2G с космической скоростью 16 кбит/c, я так выкручивался.
Парсер сожрал кусок номера, тем, кто придёт сюда в будущем — номер *3001#12345#*
Где-то я слышал, что эти полоски к интернет соединению не относятся. Насколько это правда не знаю, но помню, что у себя видел пропадание интернет соединения при всех полосках, т.е. с лте на н+ перебирало соединение и вообще значок интрнета пропадал
Здесь надо читать спецификации к работе телефонов. Там все не так просто. 3 или 4 палки - это не уровень сигнала в "чистом" виде (дБм). Это результат обработки многих параметров и построение на их снове вторичных параметров.
Я тоже замечаю, что количество полосок с качеством интернет-соединения слабо соотносится. У меня одна полоска LTE (и то пропадающая, благо телефон был залочен на LTE) работала лучше, чем 5 полосок 3G. Я больше ориентируюсь на значение RSRP, и для меня загадка как -110 dBm могут давать 40 мбит довнлоада.
В вашем ситуации не скажешь в чем причина длинного пинга. Сам по себе длинный пинг в сети может происходить по разным причинам. Ведь причина может крыться даже не на клиентской, но и на провайдерской части, например одинаковый MAC на разных устройствах в рамках общего L2.
Мой опыт говорит о том, что в "дикой природе" ещё не встречался мобильный провайдер, смотрящий в L4.
YOTA на тарифах без раздачи смотрит DNS запросы. Если устройство не WinPhone и находит среди запросов хосты виндовых обновлений то блокирует интернеты.
Могу предположить, что от региона могут быть различия. А вы сами тестировали, действительно ли смотрят ?
да, в случае люмий хватает только TTL
Нек-ые модели Люмий можно перешить на Андроид )
android4lumia.github.io
youtu.be/_OW88UTTDug
обновления M$ решаются либо отказом от M$ (мой выбор) либо заворачиванием трафика до серверов M$ в тот же VPN.
и кстати yota перестали резать скорость до серверов M$ потому что туда не только виндоапдейт ломится и многим это мешало работат
Для поездок mAP lite выглядит интереснее.
Но, при всей моей любви к MikroTik, с дешевыми их железками у меня крайне негативный опыт:
- в hAP mini/lite очень слабое железо и без Fasttrack'а им тяжело (а от VPN'а не стоит ждать больше 10-20 мбит/с)
- WLAN трафик идёт через CPU и при беспроводных нагрузках он может подвиснуть
- иногда роутер просто падает с OOM при том что конфиг стандарный QuickSet'овский. Отключал DNS сервер — разницы нет. Где ещё может утекать память я не представляю.
Цена низкая, отсюда и слабое железо. Это всем понятно. А что такое ООМ, раскройте пожалуйста.
Для поездок mAP lite выглядит интереснее
Для поездок железки аля тплинк MR3020-v3 выглядят еще интересней (или подобные варианты) - вполне производительный проц*, openwrt, небольшие габариты при аналогичной стоимости. Жаль, китайцы перестали провавать nexx-3200: MT7620n, 802.11n, 2 сотых порта, питание с usb и все это в 65x45x22 мм за небольшие деньги.
*самым "пробивным" среди популярных протоколов является openvpn, tcp на 443 работает почти везде, а для него нужен проц.
Неплохая железка, но хотелось бы что-то вроде NanoPi R4S с WLAN модулем.
NanoPi R4S с WLAN
Как походный роутер, это уже будет громозко, плюс энергопотребление. Плюс цена.
Я например, с удовольствием в начале пандемии накупил бы ведро nexx-3200 (они продавались по $12-16 на али), на них накатывается openwrt, преднастройка и раздаются сотрудникам для удаленки - подключиться и пробосить тоннель (плюс еще резервирование ethernet/4G).
Есть конкретные претензии к QuickSet?
смотри правила файервола
дефолт
в том числе IPv6 (если он есть)
выключен. как и все лишние пакеты
сервисы и МАС-Server
web и mac-winbox. MAC Server выключен (насколько это возможно)
Тип подключения к Инету?
IPoE
В сервисах только web и winbox?
включены только они
MAC Server можно только забиндить на интерфейс-лист.
выставлен в "none"
Что в IP -> Firewall -> Service Ports?
Neighbours -> Discovery settings что указано?
не трогал, всё включено
Web Proxy включен?
выключен
SW и FW последние?
сейчас ROS 7.1.1, но то же самое и на Stable, и на Long-Term было. хотя ROS 7 явно менее стабильна (ожидаемо)
Сервис порты выключить,
выключу
вискавери забиндить на LAN интерфейс лист.
из листа discovery исключён ether1, так что уже
Routerboot обновить соответственно.
не забываю :)
В 7.1.1 IPv6 есть. Нужно смотреть файервол
IPv6 выключен
Profile что показывает?
в какой момент? в среднем по больнице на SPI и management. В моменты затупа сложно что-то отследить нормально, потому что одно ядро в 100% долбится. А утечки памяти вообще не знаю каким образом отследить
Да, хотелось бы услышать чем плох QuickSet? На первый взгляд, он ничем не хужа, а местами даже лучше базовых настроек у других вендоров.
hAP ac2 каждые две недели приходилось ребутать, т.к. утекала память.
В моём случае оказалось из-за опции "Use DoH Server". Причем, проявлялось как минимум в диапазоне версий 6.40-6.49.
Ну вы тогда критикуя - предложите? Выше человек предложил тп линк. Чем вы пользуетесь, когда из гостиницы нужен впн?
Можно сделать решение любой сложности и на разных платформах. Материалы из статьи дают короткую инструкцию как это сделать при не значительных финансовых затратах.
Сходите, посмотрите сколько нынче малина стоит, удивитесь.
Я бы назвал свой вариант не костыльным, а походным.
Зачем вообще тратить 1500 на hAP если можно сделать на своем "походном" ноутбуке виртуалку с тем же функционалом и тупо пропускать трафик ноутбука через нее? Тот же MikroTik CHR или лучше вообще что-нибудь маловесное, типа Alpine.
Решение с роутером позволяет разрешить проблему с раздачей интернета для всего семейства сразу. Телефонов, PlayStation, компов и т.д. А делать или не делать - это выбор человека.
Для "походных" условий использую модем Huawei + TP-Link TL-MR3020 + Powerbank.
Весь интернет маршрутизируется в VPN в домашнюю сеть для скрытия трафика от мобильного оператора, а также для доступа в домашним сервисам.
Настроена фиксация TTL, роутер прошит в WRT, модем - в режиме HiLink.
Данная связка работает стабильно уже три года, места в сумке занимает совсем немного.
Спасибо за предложенный и испытанный на практике вариант реализации подобного решения. Мой вариант кроме этого позволяет использовать личный телефон для раздачи интернета. Итого: не нужны вторая симкарта и отдельный модем.
зачем что то делать с ttl если весь трафик идет через впн?
Мне для путешествий понравился модем https://www.gl-inet.com/products/gl-e750/ со сладким для русского уха названием Mudi.
Есть LTE модем, внутри OpenWRT (можно сделать любую магию с TTL и прочим), батарея на 5Ач.
Стоит, конечно, подороже микротика, но он того стоит ?
Действительно, hap mini позволяет соединить два аналогичных устройства по powerline, но для этого обоим нужно купить специальный сетевой адаптер от mikrotik, напоминающий обычную micro usb зарядку, за 2 000 руб одна штучка. И получается, что какой-нибудь powerline от tplink за 2 500 руб, где сразу комплект из 2 штук, и дешевле и не ограничен применением, т.к. на выходе обычные ethernet порты.
Использовать микротик только для изменения TTL и раздачи wifi - это слишком. У микротика действительно есть "уникальные" функции, вроде поднятия нескольких соединений и управление маршрутизацией, что позволяет, например, купить самое дешёвое устройство, будь то hap mini, hap lite, или даже миниатюрный map lite и где-нить в офисе, дома, просто подключить его в сеть, с доступом к сети Интернет, и получить полноценный, защищённый доступ в данную локальную сеть из другого места, без дополнительных настроек.
Ещё ipv6 отслеживают
От Йоты на Маке мне помогают такие 2 строчки:
sudo sysctl -w net.inet.ip.ttl=65
networksetup -setv6off Wi-Fi
Спасибо за статью, даже захотел прикупить себе такой микротик, начального уровня.
А вообще, что касается темы, я думал, что уже давно можно без каких либо проблем купить безлимитную раздачу у своего провайдера за копейки. На yota я плачУ 100 рублей в месяц за раздачу (но торренты не качаю).
МТС как- то вычисляет раздачу помимо TTL. Модем прошит под Hilink, симка татарская смарт 275 в месяц. Ttl на винде изменен, обновления отключены. Скорость загрузки еле до 1.5мбс дотягивает, аплоад вообще мизерный, сайты через раз открываются. Еще и тариф в тыкву превратился осенью, только 40 гигов трафика оставили, потом инет работает только до личного кабинета МТС. Торренты только через ТОR- Vidalia работают. Доступен тариф для ноутбука задорого, но там заявлена скорость до 20мбс, а это на деле 2-3 всего. В доме только у МТС нормальный прием, одним словом беда с инетом в 10 минутах от центра города((
У МТС входящий ТТЛ надо ещё править ... Можно встретить когда они шлют на вход трафик с ТТЛ равный 1
И настройте все как в статье, с туннелированием всего трафика в vpn, и тогда никто не увидит локалку за вашим роутером.
Зачем все заворачивать в впн? Излишний маразм к добру не доводит. Достаточно заворачивать только то что отследит опос.
Классифицировать трафик на открытый и закрытый на роутере - это задача, при решении которой не избежны ошибки, которые могут привести к блокировке. При этом когда они возникнут, разбираться со сложившейся ситуацией может абсолютно не хотеться.
Если! Творить о МТС то это как правило просто понижение скорости до 1 мбита. Сказать что опос не понимает для чего впн трафик служит тоже будет не верно. Хоть и прямых доказательств у него не будет. И дойдя до например 100 Гб трафика он все равно прикуёт к вам свое внимание и порежет скорость как бы вы не старались скрыть. Поэтому хождение обычных https соединений хоть как то размоет трафик впн. А разбить трафик на https и прочий решается на уровне банального фильтра tcp 443 и инвертируем фильтр. Не забываем что хождение трафика через условный впн так же скажется на занижении скорости доступа к ресурсам. И разрешая хождению трафика https напрямую улучшит качество жизни. При желании можно подключить bgp с адресами которые ркн заблокировал и их целеком завернуть в впн
Однако про запрет раздачи трафика никогда не слышал. Правда мои поездки ограничены странами ЕС (если не считать РФ, но тут у меня не возникает нужды в раздаче мобильного интернета), да и роуминговый трафик не безлимитный а ограниченный контрактом (безлимитный он в стране проживания, а в ЕС он очень даже ограничен — у меня и членов моей семьи это 22 Гб в месяц, чего в общем-то вполне достаточно)
Интересно, т.е. за пределами страны проживания мобильный трафик ограничивается объемом в 22 Гб в месяц. Но работает без ограничений на территории всех стран ЕС или присутствует какая-либо сегментация?
У жены и дочери одинаковые тарифные планы, которые включают в себя безлимитный трафик со скоростью до 200 MBit/s (если доступна сеть 5G как я полагаю) на территории стран северной Европы и балтийских стран. На остальной территории ЕС доступен трафик в объеме 22 Гб в месяц без дополнительной платы, с максимальной скоростью до 200 MBit/s если таковая доступна (в том смысле, что она должна быть не хуже чем в домашнем регионе или лучшая из возможных если недоступна та, что в домашнем регионе — это в теории, на практике — всем плевать). По исчерпании лимита за использование интернета будет начисляться 1 евро в день с лимитом 1 Gb, по исчепании которого скорость доступа упадет до 128 Kb/s до конца дня
Это ограничение действительно для всей территории ЕС (за исключением стран сев. Европы и стран балтии) без учета внутренних национальных границ и не зависит от конкретного оператора предоставляющего роуминговые услуги (поэтому я иногда вручную перебираю доступых сотовых операторов, не доверяя автоматическому выбору)
Похожие правила действуют и в отношении голосовых звонков и СМС. Только есть нюанс о котором путешественники иногда забывают — связь предоставляется на услових аналогичных тем, что предоставляет домашний регион. т.е. если я приехал в какую нибудь Испанию, и звоню на местный номер телефона, я буду платить за роуминг ровно столько-же, сколько заплатил бы, если бы звонил из домашнего региона (поэтому в таких случаях логично пользоваться услурами IP телефонии. Хотя в большинстве случаев плата за роуминг давно уже стала достаточно низкой, чтобы как-то переживать из-за нее). А вот если я звоню по номеру домашнего региона, то этот звонок будет мне стоить столько-же сколько стоил бы дома (т.е. ни сколько, если в рамках лимитов предоплаченного контракта), даже если я звоню члену семьи который находится на территории Испании вместе со мной или в любой другой стране ЕС
Только есть нюанс о котором путешественники иногда забывают
Таки опять ошибся — раньше так и было, но сейчас я глянул и убедился, что дополнительной платы за роуминг при голосовых вызовах на территории ЕС. Но есть оплата международного вызова (т.е. звонки оплачиваются на условиях домашнего региона — в точности) — большинство стран ЕС это чуть меньше 24 центов в минуту кажется
имеется на борту работающая технология Powerline, которая позволяет использовать специализированные сетевые адаптеры для построения проводных LAN на основе связанных электрических линий (проводов, несущих ток 220 вольт, спрятанных в стенах и потолках наших домов)
В пределах одной фазы работает такая сеть.
в уже далёком 2005 году это называлось лозунгом, вроде такого: «Раздаём интернет прямо из розетки»!
Местные радиолюбители сказали бы спасибо (нет).
Полезная статья, спасибо.
@olegtsss подскажите пожалуйста:
172.20.10.1 - что вот это за адрес к какой он сети относится? Я правильно понимаю что это у вас шлюз про провайдера
192.168.15.0/24 - это сеть внутри vpn?
Зачем такие заморочки с роутером это же его чемто питать надо. Хотя ничего удивительного, если в статье предлогают снять номера в отеле только ради того, чтобы создать локалку по отельной электросети и зарубиться по ней, как в старые добрые времена конца 90х начала нулевых. Ну тогда давайте уже нольмодемный кабель прокинем через окно, чтобы хозяин отеля совсем обалдел. Ночь в компьютерном клубе дешевле чем несколько номеров в отеле и там уже все настроено, а тут пол ночи будешь только линк устанавливать и разбирать отельную проводку на скрутках синей изолентой.
Ладно, чего это я. А,вот. Если уж оно все заворачивается на впн то можно попробовать Shadowsocks клиент со включенным встроенным socks5 проксиком на телефоне - раздавателе и тот же Shadowsocks на получателях, настроенный на проксик раздавателя. Соединение по мобильной точке вайфай с раздавателя например. Траффик получателей также завернется на впн только роутер таскать с собой не нужно, по идее должно работать а на практике не проверял именно с опсосами. Проверял именно этот способ при расшаривании платного впн для одной машины на много,чтобы не переплачивать за впн для каждой машины - работает, провайдер впн не догадался,провайдер предоставлял через шадовсокс :)
Socks - это не vpn. Предназначен для других задач. Не имеет шифрования. Требует настройку на серверной и клиентской сторон. Т.е. на каждом устройстве в вашем LAN.
Так socks в локалке работает там шифрование и не надо. Это просто проксик. А ss, который во внешку там шифрование есть. Проксик да, на каждом устройстве надо настраивать.
В моем случае vpn-ом надо обойти GFW и ss для этого подходит, а socks проксик чтобы раздавать ss на вторую машину уже в локалке. Может оно так и для обхода провайдерских ограничений работать будет.
Proxy не подойдёт, так как ограничение работает в основном на основе анализа TTL.
А ну может, да заметит. Не знаю, не лазил еще туда. По идее снаружи будет виден только туннель SS - одно соединение и всё и ttl вызывать подозрений не должен. Хотя... Надо попробовать, но пока не могу - в Китае щас пока, не в РФ.
Необходимо корректировать TTL "внешней обертки" proxy соединения.
А если анализ только ttl тогда еще проще - винде просто прописать в реестре нужный TTL и нагло раздавать через мобильную точку доступа телефона. И не надо никаких vpn и proxy мудрить.
Вы если почитаете внимательно материалы статьи и комментарии к ней, то увидите, что proxy нам не подходит, vpn решает задачи, не связанные с TTL, а ваше предложение не подходит , так как требует донастройки клиентской части (телефоны, компы, другие устройства).
Ну если у вас задача перепродавать этот трафик в публичном месте, то да, не подходит не удобно каждому клиенту настраивать. Но хотя ваша задача - продать роутеры и хостинг на ruvds это из текста статьи и так ясно, даже при чтении по диагонали и через слово.С технической же точки зрения можно обойтись и без роутера и впн, что и собственно мне для себя и требовалось мне узнать.
Сформулирую для вас задачу статьи в явном виде: разобрать способ обнаружения раздачи интернета устройствам в LAN, применяемый операторами связи, и продемонстрировать способы защиты своей LAN от подобного рода детектирования на оборудовании MikroTik, в условиях ограниченного бюджета.
Следовательно, то, как именно вы определили задачу статьи, является не верным. Возможно, вы сделали такой вывод потому, что читали материалы по диаганоли и, соответственно, не в полной мере.
Для чего нужен роутер и vpn достаточно подробно рассмотрено. Кроме того имеется, много комментариев, в которых читатели добавили собственные мысли на эту тему.
Ну хорошо, как скажите, я почитал побольше и повнимательнее по диагонали. У вас в соседнем посте оказывается написано, что это блог компании ruvds :) И вы таки после этого утверждаете что я не прав?
Ладно я все понимаю, сам продавец :)
Вами не верно определена задача статьи по причинам, указанным в моем комментарии выше. Вы верно видите, что статья опубликована в корпоративном блоге.
Но на самом деле лучше решить с провайдером вопрос и платить столько сколько нужно за шаринг. И вообще не задаваться вопросом из серии как обмануть провайдера и как украсть у него трафик. Дело в том, что провайдер все это знает и понимает, там не дураки сидят и если он увидит что тарифный план не приносит прибыли или тем более убыточен, то он его закроет и все. В этом случае даже для мобильников халява кончится.
TTL фиксировать можно и на рутованном андроидофоне.
недавно пришлось заморочиться с временным подключением всей домашней сети к интернету через hotspot в телефоне. для openwrt мне помогло добавить в firewall > custom rules:
iptables -t mangle -I POSTROUTING -o wlan1 -j TTL --ttl-set 65
(wlan1 это интерфейс подключенный клиентом к телефону) и интернет сразу шустрее стал
А это после прохождения курсов у кого, выдают hap Mini бесплатно?
А как насчет LTE cat 6 ? Имеет смысл?
Автор несколько ошибся. При подключении mikrotik в качестве клиента wi-fi можно настроить его так что виртуальный интерфейс slave будет клиентом, а физический будет раздавать wi-fi локальный. Тогда всегда можно будет зацепиться на роутер по беспроводу. А нюанс состоит в том, что на виртуальном интерфейсе он не может искать сеть изменяя каналы. Поэтому необходимо, сначала выяснить канал, на котором работает wi-fi, к которому мы собираемся подключиться mikrotik’ом, и уже жёстко выставив этот канал цепляться виртуальным интерфейсом к этой сети. Так, например mAPL не имеет только один wlan интерфейс, и если вы используете его как походный, заранее не зная параметров сети, к которой будете подключаться, и планируете его использовать без проводо (ethernet-кабеля), то этот вариант для вас единственный подходящий.
Я всегда с собой беру…