Управление роутерами: маленькие радости техподдержки



    В Европе, США и многих других странах провайдерами очень часто используются управляемые абонентские устройства, на которые по специальному интерфейсу может быть отправлена новая прошивка, либо на которых можно посмотреть настройки удалённо.

    Расскажу про наш опыт и то, какое облегчение испытали сотрудники второй линии поддержки. Начнём с того, что у нас закончились диалоги в духе: «А горит ли у вас верхняя зелёная лампочка?».

    Будни поддержки


    Раньше звонок в поддержку начинался с вопросов о том, горят ли на устройстве лампочки, потом – с попыток понять, что за операционная система (уровня «какого цвета у вас интернет») и не менее интересных попыток объяснить пользователю, где и как посмотреть статусы устройства, а потом продиктовать их.

    Затем по этим мучительно «выжатым» данным ставился дифференциальный диагноз (как правило, не самый точный), проблема начинала решаться голосом. Сеанс «секса по телефону» продолжался: теперь нужно было чтобы пользователь сделал правильные действия в нужном порядке. Если повезёт – диагноз был верным, и всё заработает. Если нет, например, в случае физического повреждения роутера – мы зря промучили пользователя 20 минут, потратили и его время, и своё – и на выходе ничего толкового. «Возможно, вам стоит обратиться в сервис-центр».

    Теперь всё немного иначе. Если устройство поддерживает TR-069 (протокол управления абонентским оборудованием) и имеет прошивку, готовую отвечать нашему авторизованному серверу, абоненту достаточно просто сказать, что у него проблема. Дальше, как правило, сотрудник поддержки просто вызывает роутер и смотрит его статусы и конфигурацию.

    Например, очень частый случай – когда у пользователя «тормоза» из-за зашумлённости диапазона 2,4 ГГц. В Москве запросто на том же канале может оказаться от 3 до 5 соседей – во дворе в каждом окне будет по роутеру. Часто достаточно просто сменить канал – и абонент снова счастлив. Представьте теперь, как это выглядело бы без возможности управлять устройством: зайти в настройки, раздел wi-fi, потом выбрать канал, потом ожидать чуда.

    Второй практический случай – удалённая диагностика устройства. Если железка убилась или экзотически глючит, то можно сделать быстрое заключение об этом, посмотреть логи для более детального анализа и уже точно сказать, что мучить её дальше бесполезно.

    Часто звонят по поводу того, что no-name девайсы на Android не коннектятся. Проблема известная, но, опять же, пользователя что и как волнует в последнюю очередь. Ему хочется лечь на диван и посмотреть фильм.

    Поскольку наш сервер – это, фактически, дополнительный канал авторизации под админом, решаются и традиционные бытовые проблемы. Вы не поверите, но очень многие пользователи банально не могут нажать кнопку reset на роутере. Случается и такое, что абонент поменял пароль админа на 1234567, а сосед его угадал – поддержка поставит новый. Забыл пароль своей домашней сети – меняем. Сейчас, по ряду причин, мы открываем Wi-Fi и говорим, как поставить новый пароль. Естественно, у части юзеров уже всё решено к этому моменту, и о безопасности они задумываются мало. Учитывая возрастающее количество обращений за забытыми паролями, будем в будущем вместо открытия ставить новый криптостойкий, высылая его по SMS так, чтобы видел только конечный абонент.

    Обновление прошивки


    Раньше надо было воткнуться в устройство физически, чтобы обновить его прошивку. Либо скачать апдейт и отдать его через домашнюю сеть (руками или же с помощью вспомогательного ПО на компьютере абонента). Централизованное обновление прошивок превращалось в историю, длящуюся не меньше пары лет… не всегда оканчивающуюся успехом.

    Сегодня ACS – сервера автоматического конфигурирования — имеют возможность «забросить» прошивку на конечное устройство и обновить его в нужный момент без участия абонента. PROFIT!

    Как только производитель выпускает новую версию или мы дорабатываем какие-то настройки, софт автоматически проходит по всей базе роутеров и ставит их в очередь на обновление. В период наименьшей статистической активности (для города в целом, как правило – около 4:00 утра) прошивка заливается на конечное устройство. Даже если абонент в этот момент находится в сети, он получает только разрыв на несколько секунд, когда устройство перезагружается. Весь функционал, настроенный клиентом, не затрагивается.

    Раньше изменение MTU была достаточно нетривиальной задачей. Сейчас всё это решается одним администратором – и вся сеть через несколько дней использует новые параметры. Такой подход очень полезен, потому что, например, скоро мы собираемся переводить часть сети на IPoE – и возможность не обходить каждый дом очень даже радует. Большая часть клиентов вообще ничего не заметит (ну, разве что те, кто играют в сетевые игры, порадуются немного уменьшившемуся пингу).

    Это функционал доступен для брендированных роутеров SmartBox. Все последующие брендированные роутеры, также будут поддерживать удаленное управление.

    В России такой функционал собирается использовать Ростелеком, по моим данным, МГТС давно использует часть функционала в виду исторического ADSL-наследия.

    Вот список городов, где мы уже используем такое решение:
    Архангельск
    Астрахань
    Брянск
    Владивосток
    Волгоград
    Воронеж
    Екатеринбург
    Иваново
    Иркутск
    Казань
    Калининград
    Калуга
    Кемерово
    Кострома
    Краснодар
    Красноярск
    Курск
    Липецк
    Москва
    Нижний Новгород
    Омск
    Орел
    Пермь
    Пятигорск
    Ростов-на-Дону
    Самара
    Санкт-Петербург
    Саратов
    Смоленск
    Сочи
    Ставрополь
    Тверь
    Тольятти
    Томск
    Тула
    Тюмень
    Ульяновск
    Уфа
    Хабаровск
    Череповец
    Ярославль
    Казань и Южно-Сахалинск – в процессе внедрения в эксплуатацию.


    Архитектура решения


    Мы выбрали решение от компании Friendly Technologies. Ядро платформы – сервер автоматического конфигурирования. Он связывается с абонентским оборудованием и конфигурирует его, используя ACS API (в частности, выставляет интерфейс для внешних приложений — Портал инициализации, Программное обеспечение оперативной поддержки, Управление взаимоотношениями с клиентами и так далее). Консоль управления дает администратору возможность управлять деятельностью сервера автоматического конфигурирования, добавлять новые типы абонентского оборудования, осуществлять контроль и диагностику абонентского оборудования по протоколу TR-069, высылать предупреждения о возможной ошибке и иные сигналы, отчеты и т.д. Рядом – вспомогательные сервисы авторизации, управления, трансфера данных, база данных, сервисы авторизации и так далее.

    Всё это (устройства и центральные сервера) находятся в отдельной виртуальной сети, основное оборудование которой установлено на ГВЦ (главном вычислительном центре) в Москве.

    Производитель устройства первый раз накатывает на заводе прошивку, которая позволяет устройству войти в эту сеть и подсоединиться к управляющему серверу. Затем устройство каждый раз получает новую прошивку, в том числе, модифицирующую параметры соединения.

    Это означает, что, теоретически, вы можете перешить наше устройство опенсорсной прошивкой без связки с нашим сервером (и не позволяет конфигуировать его удалённо), либо же, наоборот, перешить свой устройство совместимой с нашей подсетью прошивкой. Но пока опенсорсных вариантов ни того, ни другого нет.

    Ещё одно важное преимущество такой виртуализации и размещения в ГВЦ – это плотная связь с сервисами сотовой телефонии. В частности, личным кабинетом абонента. Скоро можно будет зайти в свой личный кабинет с сотового телефона, настроить оттуда роутер (точнее, передать настройки серверу конфигурирования, которые он, в свою очередь, передаст роутеру), обновить пароль прямо там или закрыть доступ ребёнку. Для многих абонентов это в разы удобнее и понятнее, чем стандартные вшитые веб-интерфейсы администрирования роутеров или управление устройством с помощью специального ПО на компьютере.

    Comments 102

      +9
      Вы обронили IPoE в своей статье! Когда это будет реализовано? От вас клиенты уходят из-за вашего L2TP!
        0
        IPoE уже реализуем. Запуск планируется в первом полугодии 2015.
          0
          По поводу IPoE: предполагаю что произойдет отказ от двух IP на клиента (серого и белого) в пользу одного белого, сохранятся ли у нас преимущества высокоскоростного локального обмена? Насколько я знаю, сейчас локальный трафик да же за микрорайонный узел не уходит. А с IPoE?
          Сам абонент Корбины еще.
            0
            IPoE реализован уже давно у Онлайм (Ростелек) у них реализован локальный доступ через определенную политику шейпинга для «своих IP» другими словами — при переходе на IPoE локалка в нынешнем понимании должна перестать существовать, возможно будет только более скоростной доступ на некоторые диапазоны IP
              0
              недавно подключился к Онлайму. Получаю IP адрес, кажется, по DHCP. Белый. У меня IPoE?
            0
            Запуск для кого? Как оказаться в первых рядах счастливых пользователей?
            0
            Для тех, кто в танке: чем так плох L2TP, что бы из-за него стоило менять качественного по другим параметрам провайдера (у меня не билайн, но тоже L2TP)?
              +5
              Некоторым роутерам не хватаем мощности для обработки L2TP на скоростях порядка 90-100 мегабит, которые сегодня весьма распространены.
                0
                Такая ситуация наблюдалась до начала 2013, сейчас практически у каждого OEM-производителя есть в линейке модели поддерживающие скорости 90-100Mbps в L2TP за адекватную цену.
                • UFO just landed and posted this here
                  +3
                  «Некоторым» роутерам — это в общем-то любым с нестандартной ОС =) В т.ч. и макоси.
                  Ядерного модуля l2tp нормального так и не сделали, а в userspace уж очень оно тупит.

                  Правда, справедливости ради такая проблема наблюдается исключительно в билайне — так то протокол l2tp шустрый, но в билайне что-то накрутили так, что нагрузка на cpu конечного устройства возрастает в десяток раз (если сравнивать с l2tp-сервером, настроенным по первому попавшемуся мануалу в сети).
                  +1
                  Некоторые сетевые устройства вообще не поддерживают L2TP.
                    +5
                    Сама технология «локалка + vpn в инет» называется dual access.
                    Её реализация от корбилайна (l2tp) имеет ряд костылей, заточеных на windows клиента (и, возможно, на самые распространенные роутеры).
                    Шаг в сторону и начинаются грабли.
                    Во первых, не сказать, чтобы все роутеры поддерживали dual access.
                    Например, есть страница по настройке dual access в wiki openwrt.
                    Что характерно, её написал пользователь корбины (даже в одном скрипте осталось «tunnel_name=corbina»).
                    По результатам полетов, он предложил свои патчи в апстрим openwrt, на что ему сказали «это проблема только этого провайдера, у остальных все работает без этих патчей».

                    Содержимое патчей и скриптов в двух словах:
                    a) надо уметь распознать все маршруты, которые присылаются по dhcp (а часть присылается не совсем корректно)
                    б) при подключении по l2tp надо уметь заменить один дефолтный маршрут на другой, плюс прописать отдельный маршрут до l2tp сервера по старому маршруту (a tp.internet.beeline.ru резолвится в несколько ip адресов. Не угадал — нет связи до l2tp сервера).

                    Если у вас в качестве роутера сервер, вам нужно сделать все это самому.
                    Конечно, все это побеждаемо, но ощущение искуственно созданных грабель остается.

                    Ниже уже сказали про скорость на l2tp.
                    Одна из причин — одна из реализаций l2tp в linux, xl2tpd по умолчанию работает на скоростях до 12Мбит/с.
                    Насколько я понял, там даже в исходнике драйвера есть константа максимальной скорости 10000000 (или какая-то похожая).
                    Т.е. даже быстрый роутер может выдавать небольшую скорость, если не повезло с прошивкой.
                    И без перепрошивания с этим ничего не сделаешь.

                    Ну и иногда, в часы наибольшей нагрузки (20-22 часа), если ребутнуть роутер он может очень не сразу подключиться к l2tp серверу опять.
                    Хотя ip связь есть.
                    Раньше похожая фигня была с dhcp.
                      0
                      Я использовал xl2tpd от xelerance, правда не с билайном, а с акадо, но там сейчас точно нет подобных ограничений, у меня было 60-70 мегабит.
                    • UFO just landed and posted this here
                        0
                        Zyxel Keenetic отлично работает с Билайном, зря вы.
                        • UFO just landed and posted this here
                            0
                            ДС, Keenetic Giga II, аптайм несколько месяцев, до этого ребутал только при обновлении. Вообще никаких проблем. Скорость правда не то, чтобы фонтан при заявленных 100 Мбит/с получаю в районе 50-70 Мбит/с.
                            • UFO just landed and posted this here
                            0
                            Не справляется, я из него свои 80 mbps смог выжать только отключив wifi, QoS, весь файрвол и вообще всё, что потенциально могло жрать cpu.
                        0
                        Ээ, глупый вопрос — а чем плох L2TP? Тем, что грузит роутер?
                        Только что подключился к билайну на тариф 100Мбит, Speedtest.net показывает 90-80 Мбит в обе стороны.

                        Тьфу, был уже такой вопрос, просмотрел комменты, но сразу не заметил. Извиняюсь.
                          0
                          В свое время была волна, когда провайдеры организовывали биллинг через VPN — если доступ оплачен, то определенному логину доступен выход в Интернет. Это упрощало массовый контроль оплаты, а также предоставление дополнительных услуг.

                          Все это вызывает много ограничений:

                          При смене устройства, подключенного к сети, его надо дополнительно настраивать (IPoE, например, автоматически подхватывает настройки). Для большинства пользователей — это огромная проблема.

                          Сам трафик проходит по сути ненужную обработку сначала роутером, потом железом провайдера, что увеличивает latency при доступе к ресурсам. К тому же, если пользовательский роутер слабый — тарифную скорость получить нереально (больше 20-30мбит/с на старых модельках). В случае с IPoE (и родственными технологиями) — этих проблем нет, трафик почти напрямую улетает в Интернет.

                          В случае с IPoE железу напрямую присваивается внешний белый IP адрес (если такая услуга подключена), а в случае с VPN самой железке присваивается внутрисетевой IP, а VPN уже выдает внешний белый — это вызывает лишние проблемы при поднятии домашних серверов и т.д.

                          Был бы этот VPN доступен извне (например, сидя в Макдоналдс на халявном открытом WiFi, подключиться к своему провайдеру по VPN с шифрованием и без опаски любые приватные операции выполнять) — был бы хоть какой-то смысл. Но и этого нет. Даже шифрования часто нет.
                            0
                            Ну и плюс самое логичное — чем меньше уровней надо пройти от клиента до Интернета — тем надежнее, тем проще резервировать и т.д.
                              0
                              Учитывая современное состояние кабельных линий (щитки открыты настежь), возможность подключиться к чужому проводу и без авторизации получить доступ привлечет халявщиков с куском витухи и изолентой.

                              Поднятие домашних серверов нарушает TOS многих провайдеров (сами TOS я не обсуждаю, при заключении договора клиент под ним подписался, подтвердив, что сервер под диваном держать не будет). Хотите иметь дома сервер — извольте прикупить специальный тариф.

                              «Ненужность» шифрования последней мили — также очень спорный вопрос, особенно если у провайдера задействованы хабы вместо коммутаторов, сливающие весь трафик соседям для анализа.
                                0
                                Подождите — а как будет по Вашему эта халява реализована? Ethernet — это связь точка-точка же, нельзя посредине врезаться в кабель и работать. Разве что отрезать клиента и подключить себя — но это вскроется в первую же попытку захода легитимного пользователя в сеть. Злоумышленник может, конечно, успеть сделать свои дела… Но, по-моему, есть куда более удобные и анонимные способы.

                                Многие провайдеры на клиентские серверы закрывают глаза — во всяком случае, пока нет солидного (действительно солидного) трафика. А держать домашнюю страницу, да игровой сервер (а в моем случае еще личный VPN и принт серверы) — никто не запрещает, никто не станет из-за этого терять клиента и репутацию. Однако провайдерский VPN существенно все это (особенно для начинающих) может осложнить.
                                Справедливости ради надо сказать, что у Билайн VPN работал без лишних проблем в этом плане, когда я был их клиентом около 4 лет назад.
                                Ну и плюс услуга аренды внешнего белого IP адреса как бы намекает на потенциальное применение)))

                                В том случае, если шифрование нужно — лучше пользоваться SSL, а также сторонними VPN и прочими технологиями. Защищать последнюю милю, оставляя сам по себе трафик открытым… очень спорно, Вы это тоже подметили)
                                Очень маловероятно, что найдется сосед, желающий сниффить трафик и потом какие-то противоправные действия предпринимать — довольно «палевно».
                                  0
                                  Так этсамое, очень просто — в кабеле четыре пары, для работы на скоростях менее гигабита используются две. Соответственно по двум парам халявщик пускает интернет к себе домой, там заводит в хаб и культурно к нему подключается, а по двум другим отправляет интернет в провод к истинному владельцу. Можно еще миллион вариантов насочинять, вплоть до подвешивания wi-fi точки на кабель.

                                  По поводу защиты последней мили — это слабый принцип неуловимого Джо. Передаваемые данные в общем случае гораздо интересней тем, кто ближе знает их владельца.
                                    –1
                                    Угу, 4 пары, пара на приём, пара на передачу, пара на Power-over-ethernet (контакты справа) и пара для аналогового телефона (контакты в центре).

                                    В лучшем случае халявщик может получить немного халявного постоянного тока :)
                                    • UFO just landed and posted this here
                                        0
                                        Блин, не так понял :) Спс.
                                      0
                                      С другой стороны можно же какой нибудь мини свитч в коробас в кориоре втиснуть, не?
                                        0
                                        Наверняка, как-нибудь можно. Если подскажите как, буду благодарен
                                          0
                                          Доступ в иннет по IPoE можно ограничить по MAC адресу. Хоть 10 свитчей поставьте, у Вас доступа в иннет не будет. Билайн на сколько мне известно хабы(не свитчи! RTFM) не использует, и кто их сейчас использует...(хотя MAC адрес я подделывал у себя в сети, но и vpn сервер подменял спокойно)
                                            0
                                            От ограничения по MAC толку ровно ноль — он прекрасно воруется из абонентского провода и клонируется, зато хлопот он добавляет изрядно — всякий раз при необходимости поменять устройство абонентам придется идти на поклон к техподдержке (и слушать нцать минут мамми-блю с обрезкой всего, что выше 4кГц).

                                            Есть кстати абоненты, которые не покупают роутер (не знают, что это такое), так они просто переставляют провод в нужный компьютер. Разумеется, это дикость, но не выдавать же интернет только тем, у кого есть CCENT

                                            Правильно организованный VPN (с привязкой клиента к конкретному сертификату сервера) будет защищен от MiTM в любом виде.
                                              0
                                              Именно клонированием мака и решается проблема звонка в техподдержку при смене устройства. Так быстрее.
                                  • UFO just landed and posted this here
                                +6
                                Хорошо, что у вашего бэкдора хотя бы название есть. Хоть какая-то надежда есть на то, что им не сможет воспользоваться никто, кроме сотрудников Билайн.
                                  +2
                                  Я бы не называл это бэкдором — это перенос зоны ответственности провайдера на Wi-Fi роутер. То есть брандмауэр теперь должен быть поднят на всех устройствах, а локальный трафик придется шифровать.

                                  А если честно, большинство этих пластиковых коробочек с неопенсорсной прошивкой — потенциальные бэкдоры. Опенсорсную прошивку хоть можно проскроллить изучить и самостоятельно собрать.
                                    0
                                    > должен быть поднят
                                    > придется шифровать
                                    А в реальности с этим как? Подозреваю, что никак.
                                      0
                                      Ну у Windows брандмауэр обычно поднят (качество его работы — вопрос отдельный), у популярных дистрибутивов Linux — аналогично. В Mac OS тоже что-то такое есть.
                                      Что до локального обмена файлами, так чаще приходится видеть более страшные (с точки зрения «первого отдела») вещи, вроде слива фоточек в дропбокс (или другое какое облако), чтобы они появились на соседней машине. Но тут хотя бы бэкдору в роутере ничего не достанется — обмен (у дропбокса во всяком случае) идет с использованием TLS.

                                      Решение, лежащее на поверхности — рассматривать провайдерскую Wi-Fi сеть как филиал Интернета у вас дома и поднять OpenVPN.

                                      Или же пользоваться «принципом неуловимости Джо» и ничего не делать.
                                        0
                                        С переходом на IPv6, у всех будут нормальные адреса. Поэтому шифрование трафика приложений будет становиться обязательной вещью. Тоже хотел сначала начать писать в комментариях, что вот, бэкдоры уже у вас дома, с контролем над трафиком и прочим, но опять же, что делать им, когда юзеры реально «не бум бум». Соображающий пользователь, естественно, будет ставить собственный прошитый в ОпенВрт роутер, да еще и с cjdns.

                                        Кстати, я бы на месте провайдеров, немного бы побольше денег закладывал на роутер (чтобы было достаточно памяти и мощности процессора) и ставил бы попутно cjdns на такие роутеры. Там, где высокая плотность жизни, собиралась бы меш-сеть и большая часть тяжелого п2п трафика шла бы не через дорогие аплинки, а через меш (все равно клиент домашней сети платит не за трафик). Ну и пользователь получает IPv6 адрес, по которому даже не обязательно ставить бекдорв роутер для техподдержки — просто попросить клиента сказать логин и пароль (на коробочке, если сам не знает) и зайти нормально в админку. (:
                                          0
                                          cjdns требует неплохой CPU на роутере, реально мы сможем его увидеть на CPE где-то ближе к 2016г, но это не плохо — протокол будет утвержден и не будет так часто изменяться
                                          • UFO just landed and posted this here
                                              0
                                              Вы даже не представляете уровень скраденности опсосов. То что вы предлагаете здравое и интересное решение, только ничего такого не будет.


                                              Описка прямо в точку — скраденность и есть!

                                            0
                                            > Решение, лежащее на поверхности — рассматривать провайдерскую Wi-Fi сеть как филиал Интернета у вас дома и поднять OpenVPN
                                            С телефоном и «умным домом» сделать это несколько проблематично. Хочется всё-таки доверенную сеть иметь, хотя бы у себя дома.
                                              +1
                                              А что вам мешает использовать собственный роутер? У меня дома тоже провайдер дает свой роутер (он же модем DOCSIS), за которым я просто поставил свой роутер со всем, что мне надо (5ГГц, сетевой диск).
                                                0
                                                а двойной NAT не мешает?
                                                  0
                                                  Если не стоит задача скрыть количество устройств в домашней сети, то второй NAT не и нужен. Нужен только брандмауэр.
                                                    0
                                                    Просто провайдер может дать железку, которая умеет только NATить, и тогда свой роутер без двойного NAT уже не подключишь (а это проблемы с SIP и т.д.). Или имеется в виду, что натить будет провайдерский роутер, а на своем только фаервол промежуточный?
                                                    0
                                                    По счастью, в моём случае на провайдерском роутере можно включить режим тупого модема, без всякой маршрутизации, то есть nat будет только от моего роутера. Если такой возможности нет, то gbg уже ответил.
                                                      0
                                                      Просто провайдер может дать железку, которая умеет только NATить, и тогда свой роутер без двойного NAT уже не подключишь (а это проблемы с SIP и т.д.). Или имеется в виду, что натить будет провайдерский роутер, а на своем только фаервол промежуточный?
                                                        0
                                                        Если провайдерский роутер хоть чуть чуть вам подконтролен/управляем, то на своём настраиваете всё по максимуму, а на провайдерском всё отключаете.
                                                        Если же он вам неподконтролен, то да, свой настраиваете по ситуации. Например, как вы и сказали, промежуточным фаерволом, без 2го NAT.
                                                0
                                                отказ от l2tp и pptp идет зачастую из-за принудительного шифрования трафика и доп обертки пакетов
                                                Тот же старенький D-link DIR-300 на IPoE выдает 70-90 Мбит/сек, а при PPTP/L2TP 10-40 Мбит/сек (по опыту и раньше на их сайте это было)

                                                Сейчас сайт Dlink пишет
                                                Фактическая скорость передачи данных
                                                • IPoE: Upstream: 94 mbps/ Downstream: 93 mbps *
                                                • PPPOE: Upstream: 93 mbps/ Downstream: 91 mbps *
                                                • PPTP: Upstream: 83 mbps/ Downstream: 69 mbps *
                                                • L2TP: Upstream: 91 mbps/ Downstream: 91 mbps *
                                                * Актуально для версии ПО 2.5.4.

                                                Но не верьте всему что пишут.

                                                А по поводу статьи. Делаем ARP пинг на устройство, и ни какие лампочки искать не нужно.
                                                Ответил — хорошо
                                                «наш» ответил — еще лучше.
                                                Всё остальное — дело техники и уровня технической поддержки. (10 лет работы в тех поддержке, 8 лет управление/создание отделов техподдержки в разных организациях, все интернет провайдеры)
                                                Опять же. Я бы не стал перепрошивать чужой роутер по сети… :)
                                                Да и зоопарк оборудования очень большой.
                                                А так молодцы, если реально «выпрямляет» статистику среднего времени разговора, то это очень хорошо.
                                                +3
                                                Проще свой роутер поставить. Не представлю, как можно отдать под чужой контроль ядро своей домашней сети.
                                                  +2
                                                  Так это решение в первую очередь нацелено на дремучих казуалов, которым просто хочется дома иметь интернетики. Энтузиастам от IT понятное дело придется раскошелится на собственный роутер.

                                                  Было бы идеально, если от навязываемого девайса было бы можно банально отписаться (с возвратом копеечки — так и вовсе мечта!), чтобы не городить гирлянду из коробочек.
                                                    +1
                                                    А они его принудительно ставят?! Блин. Я бы к такому провайдеру просто не пошёл. Домашний периметр это святое. Так, глядишь, начнут тариф менять по количеству занятых внутри портов.
                                                    • UFO just landed and posted this here
                                                        0
                                                        Угу, конкретно в моем случае у билайна все так и было. Пришел монтажник, поставил роутер, ушел. Роутер самый мусорный длинковский, пароли дефолтные, имя аксесс поинта — номер квартиры, и так далее.
                                                        Ну и вис этот роутер раз в неделю гарантированно. Поставил зухель — проблемы кончились.
                                                        +2
                                                        Представьте себя на месте оператора, у которого хотя бы сто тысяч пользователей-гуманитариев.
                                                        Для гика можно предложить такие решения:
                                                        * ставить за операторским роутером сразу еще один свой.
                                                        * предложить специальный тариф с премиум-суппортом для желающих пользоваться своим роутером, потому что затраты времени квалифицированных специалистов на поддержку такой схемы будут выше.
                                                        Вряд ли много людей согласятся на второй вариант.
                                                          0
                                                          Просто провайдер может дать железку, которая умеет только NATить, и тогда свой роутер без двойного NAT уже не подключишь (а это проблемы с SIP и т.д.). Или имеется в виду, что натить будет провайдерский роутер, а на своем только фаервол промежуточный?
                                                          +1
                                                          У меня никто принудительно ничего не ставил. Сам выбрал модельку, сам купил где захотел, сам настроил и сам поставил.
                                                          0
                                                          Брендированный роутер брать никто не заставляет, по большей части они расходятся вместе с IPTV-приставками. Роутер — опция.
                                                          • UFO just landed and posted this here
                                                              0
                                                              Навязывание, это когда, предположим, на определенный тариф подключают ТОЛЬКО через брендированный провайдерский роутер. В указанных вами случаях это самая настоящая опция.

                                                              А VPN, на самом-то деле, для упрощения биллинга был введен. Корбиной еще, да и с PPTP. Билайну оно в наследство досталось.
                                                          +1
                                                          «Ядро моей сети» видит два подключенных внешних канала от внешних провайдеров, делает магию с фаерволами итд-итп. На роутере это реализовать можно, но зачем, когда есть x86 машина пятилетней давности.

                                                          Соответственно, два ISPшных роутера поднасрать машинкам внутри сети особо не смогут. (Хотя в случае отказа линуксовой машины сценарий понятен — воткнуть второй хвост от роутеров во вторую сетевую на одном из внутренних хостов).

                                                          Роутеры, в целом, это удобно. Не надо мыть мозг техподдержке рассказами про линукс и как я конфигурил xl2tpd, как пакеты лились, можно позвонить родителям и узнать о статусе лампочек на роутере (после чего переслать в техподдержку). Пусть даже и с бекдором. Просто нужен +1 уровень изоляции )
                                                            0
                                                            Просто ведь провайдер может дать железку, которая умеет только NATить, и тогда свой роутер без двойного NAT уже не подключишь (а это проблемы с SIP и т.д.). Или имеется в виду, что натить будет провайдерский роутер, а на своем только фаервол промежуточный?
                                                        0
                                                        Любой новый способ коммуникации воспринимается как источник потенциальной угрозы. TR-069 весьма распространен среди зарубежных ISP и пользуются они им уже достаточно давно, по их опыту инцидентов с проникновением третьих лиц не было. Как правило, защита домашней сети гораздо слабее защиты подобных каналов.
                                                          0
                                                          В этом всё и дело: защита домашней сети слабее, поэтому каждый дополнительный бэкдор в роутере ставит её под удар.
                                                            +2
                                                            Распространены, у меня как раз такой «blackbox» и стоит дома, но вот не все доводы «как в Европе» хороши.
                                                            Пришлось сдувать пыль со своего WL-500gp и отгораживаться от провайдеровского бекдора, а из их блекбокса выкрутить внешнюю антену (ибо отключить wifi нельзя, даже чтобы пароль на wifi сменить надо звонить провайдеру и ждать пока «все операторы сейчас заняты», я уже молчу про белый список Mac адресов, каналы и прочие прелести). Нет уж, увольте.
                                                            Я понимаю, что очень большой процент пользователей не понимает в чем тут проблема, но стоит признать, что некоторые сотрудники техподдержки их достойны…
                                                          +4
                                                          Насколько велика вероятность перехвата управления клиентским устройством? Как центральный сервер и роутер опознают друг друга?
                                                          Wiki говорит что есть SSL TLS без особых подробностей.

                                                          p.s. цитаты 395552 и 398500 распознал, спасибо
                                                            0
                                                            Маловероятна, по Европе — случаев не было, либо мы о них никогда не узнаем. Используется ряд достаточно действенных мер как по организации сети, так и по криптографии, делающих эту точку куда более защищённой, чем остальные звенья цепи.
                                                              0
                                                              Очень легко написать клиента cwmp и, узнав у соседа серийный номер CPE, получить от ACS sip пароль. Как реализована защита от таких действий?
                                                              0
                                                              Как правило TR-069 используется, если провайдер выдает свои устройства, в которых кастомная прошивка и явным образом указан адрес TR-069 сервера, с которым будет работать устройство.
                                                                0
                                                                В вашей сети подменить адрес «с которым будет работать устройство» не проблема, учтите.
                                                                  0
                                                                  Ну если можно подменить адрес и сертификаты — думаю tr-069 это самая меньшая проблема пользователя
                                                                    +1
                                                                    Сертификат подменить нельзя.
                                                                    Только как бы оно не прожевало самоподписанный, всяко может быть.
                                                              0
                                                              Пользуюсь интернетом от Билайн, но роутер поставил свой, «родной» не устроил по функциональности. Переход на IPoE просто выбросит меня из сети без предупреждения?
                                                                +1
                                                                Маловероятно. Переход PPTP-->L2TP был достаточно долгим. Предполагаю что на IPoE будут переводить так же как на L2TP: новых абонентов сразу, старых предупреждать при смене тарифа в ЛК (Новый тариф «такой-то» доступен только на IPoE! Инструкция по настройке help.internet.beeline.ru)
                                                                  0
                                                                  Конкретно, как будем предупреждать, сейчас не скажу, но в целом — всё так.
                                                                  +2
                                                                  Обычно на домашних роутерах есть NAT как на L2TP (или любое другое соединение), так и на WAN. Если вам обрубят сессию и принудительно отдадут новый адрес на WAN, то вы заметите только обрыв текущих сессий (игровой например) и дальнейшее успешное их переподключение. По крайней мере у меня так получалось =).
                                                                  А вот в случае специфичных настроек возможно связь с внешним миром и потеряется.
                                                                  0
                                                                  у меня новый 806А длинк тоже умеет tr-069 — можно ручками прописать настройки сервера acs, но мой ISP это не использует.
                                                                  А сам по себе протокол очень интересный,
                                                                    0
                                                                    Сейчас у многих CPE стала появляться поддержка TR-069, но как правило без оптимизации Data model на CPE функционал стокового TR-069 клиента весьма скромен.
                                                                    +1
                                                                    Ожидал увидеть подробности технической реализации. Может как-нибудь в другой раз?
                                                                      0
                                                                      Вполне может быть, но самое интересное может подвергнуться цензуре со стороны нашей службы безопасности.
                                                                        0
                                                                        Что потенциально «секретного» может быть в общем-то открытых технологиях? Пароли и явки открывать никому и не надо, а подробности технической реализации — действительно очень хотелось бы увидеть.
                                                                          0
                                                                          Протокол CWMP, конечно открытый. Но вот реализация ACS — это уже коммерческий проект и каждый его реализует по-своему.
                                                                      0
                                                                      Штука неплохая, факт, но до Orange Livebox ей как до Луны.
                                                                      Что жаль, ибо функциональности лайвбокса мне в нашей стране реально не хватает (если что, это возможность воткнуть в устройство аналоговый домашний телефон и попрощаться с МГТС, гигабитные порты и гарантировнно совместимые wifi-экстендеры, работающие через powerline)
                                                                      У Оранжа еще и телеприставка с обалденным функционалом есть, тоже чудесно совмещаемая с их лайвбоксом, но там в основном французский контент, что несколько огорчает )))
                                                                        0
                                                                        а зачем ныне аналоговый телефон?
                                                                        преобразовывать цифру в аналог, чтобы в базе DECT этот дурацкий аналог опять преобразовался в цифру, был доставлен на трубку и ещё раз преобразовался в аналог?
                                                                        уже давно полно SIP DECT на любой вкус
                                                                          0
                                                                          Лет 20 назад, до засилья уплотняющего оборудования и мобильников, стационарный проводной телефон был неубиваемым стратегическим объектом — могло отключится электропитание по всему району, но АТС продолжали работать от собственных дизелей.

                                                                          Сейчас эту функцию может с натяжкой выполнять мобильник. Натяжка потому, что хоть БС и могут быть запитаны от мобильных генераторов, но сама трубка требует питания. А стационарный аппарат получает питание по линии и работает, пока линия цела и жива АТС.

                                                                          Это основные аргументы в пользу проводного телефона, с прямой медной линией до АТС.
                                                                        +1
                                                                        Если что, IPoE — это просто интернет по ethernet.
                                                                          0
                                                                          Лисица в мясорубке подключена к интернету?
                                                                            +1
                                                                            Так как матом ругаться нельзя на Хабре, то мой комментарий, относительно интернета от Билайн, останется пустым.
                                                                              +3
                                                                              не путайте техническую информацию и услугу.
                                                                              +1
                                                                              У соседа стоит ваш билайн-роутер. Во первых в нем по умолчанию отключен удаленный доступ (в админке есть пункт), во вторых по умолчанию оставлен WPS (который отдал мне пароль в течении 5-и минут, без каких либо намеков на блокировку перебора), в третьих не включен upnp, в четвертых пароли от админки по умолчанию.
                                                                              Ну что сказать, использую как резервный канал…
                                                                                0
                                                                                лучается и такое, что абонент поменял пароль админа на 1234567, а сосед его угадал – поддержка поставит новый. Забыл пароль своей домашней сети – меняем. Сейчас, по ряду причин, мы открываем Wi-Fi и говорим, как поставить новый пароль. Естественно, у части юзеров уже всё решено к этому моменту, и о безопасности они задумываются мало. Учитывая возрастающее количество обращений за забытыми паролями, будем в будущем вместо открытия ставить новый криптостойкий, высылая его по SMS так, чтобы видел только конечный абонент.

                                                                                Т.е. пока можно позвонить в саппорт билайна, представиться соседом, сказать «я дурак, забыл пароль» и получить доступ в его домашнюю сеть?
                                                                                  0
                                                                                  Не совсем верно, наши операторы сперва удостоверяться, что к обращается именно тот человек, за которого себя выдает.
                                                                                • UFO just landed and posted this here
                                                                                    +3
                                                                                    Мой поставщик услуг связи экономит на зарплатах работников саппорта. Это вызывает массу проблем ввиду низкой квалификации таких кадров. А кроме квалификации, разумеется, и морально-этические нормы дают слабину. Отсюда вопрос: можно ли доверять такие технологии людям, которые не постесняются сунуть нос в домашнюю сеть абонента? Чем меньше город, тем больше вероятность соседства работников оператора связи и абонетов, а значит есть возможность перехода бытовых конфликтов в сетевые, вторжения обиженного работника ТП в домашнюю сеть абонента и пакостничество. Где защита от злоупотребления технологией?
                                                                                    • UFO just landed and posted this here
                                                                                      0
                                                                                      за последние 10+ лет, с корбиной и билайном на трех адресах, еще ни разу причиной проблем не были мои роутеры.
                                                                                      но каждый раз я выслушивал от поддержки «а какие лампочки у вас горят? а у вас роутер не сертифицированный на работу в нашей сети. а попробуйте перезагрузить роутер.»
                                                                                        0
                                                                                        остается надеятся, что с TR-069 они сразу узнают, что роутер недоступен, и отправят монтажника воткнуть отключенный по ошибке RJ-45.
                                                                                        +2
                                                                                        никто_не_читает_теги ))

                                                                                        Вы рискуете массово обновлять прошивку в 4 АМ? Вообще-то в крупных городах на это время попадают ремонтно-профилактические работы у электриков. Не придётся ли нанимать инженеров только для того, чтобы оживлять все эти кирпичи?
                                                                                          +1
                                                                                          Ну вообще есть способы организации прошивки, при которых такого не случится. Например, запись в другую область памяти, а потом атомарное изменение указателя, что грузить (в следующий раз будет перезаписываться область, которую в этот раз не трогали). При сбое просто останется старая версия. Также они могут для отдельных районов смещать время, зная расписание плановых отключений (хотя бывают аварии, которые нельзя предугадать). Но это всё мои предположения про идеальный мир, в реальности всё может быть плохо.

                                                                                        Only users with full accounts can post comments. Log in, please.