Комментарии 35
Вообще repeater это плохо. Очень уж сильно он снижает производительность, причем не только того, кто подключен через него, но и сети от которой вы кормитесь — тоже. Так как он работает на той же частоте, что и родительская сеть, при пересылке через него он занимает частоту дважды — при приеме и при передаче. Т.е. снижает пропускную способность вдвое. А безопасность, кстати, в данном случае равна безопасности той открытой сети через которую пойдут ваши данные. В общем любой в радиусе действия CafeAP без какого либо труда получит ваши данные. Так что все это зря.
Данные посланные в интернет — да. Они пойдут через открытую сеть и их можно отловить. А те которые внутри моей подсети (у меня там шара есть)? Разве они будут светится?
В пределах вашей шифрованной сети — не будут светиться, да. А вот все ваши пароли от сайтов/почты/аськи можно поснифать очень и очень легко.
Я так как-то поснифал данные из сети, которая была километрах в 5-ти от меня. Вот пренебрег народ безопасностью. Я не из злого умысла, мне просто интересно было. Вытянул потом адрес электронной почты из какого-то письма со спамом и на него отправил сообщение о такой неприятной возможности. А кто-то может и просто сменить пароли… Не пренебрегайте этим.
Я так как-то поснифал данные из сети, которая была километрах в 5-ти от меня. Вот пренебрег народ безопасностью. Я не из злого умысла, мне просто интересно было. Вытянул потом адрес электронной почты из какого-то письма со спамом и на него отправил сообщение о такой неприятной возможности. А кто-то может и просто сменить пароли… Не пренебрегайте этим.
> А вот все ваши пароли от сайтов/почты/аськи можно поснифать очень и очень легко.
Во-первых не все, а те которые передаются в виде, уязвимом для атаки MiM. Еcли вы еще не используете ssl/tls, то это ваше дело.
Во-вторых публичная сеть не более опасна чем любая недоверенная среда передачи данных.
В-третьих, данная схема все таки обеспечивает защиту в виде прикрытия внутреннего периметра, просто человек похоже не знает как это принято называть.
Во-первых не все, а те которые передаются в виде, уязвимом для атаки MiM. Еcли вы еще не используете ssl/tls, то это ваше дело.
Во-вторых публичная сеть не более опасна чем любая недоверенная среда передачи данных.
В-третьих, данная схема все таки обеспечивает защиту в виде прикрытия внутреннего периметра, просто человек похоже не знает как это принято называть.
>>а те которые передаются в виде, уязвимом для атаки MiM
Я всегда думал, что MiM (это тот который MITM?) это в случае когда тот самый, который посередине — видоизменяет сообщения. Возможно просто прослушка тоже сюда относится, не силен в терминологии.
>>Еcли вы еще не используете ssl/tls, то это ваше дело.
Много кто не использует ssl. И да, это, конечно, мое дело.
>>публичная сеть не более опасна чем любая недоверенная среда передачи данных
Опасность открытой сети заключается в том, что кто угодно находящийся в непосредственной близости от этой сети может совершенно свободно и абсолютно незаметно получить ваши данные. Не останется никаких ни логов, ни следов доступа к этой самой среде передачи. Просто человек с ноутбуком в кафе получит ваши данные и все. Именно об этом я и говорю.
И еще мне кажется, что как раз от этого автор защититься и хотел.
Я всегда думал, что MiM (это тот который MITM?) это в случае когда тот самый, который посередине — видоизменяет сообщения. Возможно просто прослушка тоже сюда относится, не силен в терминологии.
>>Еcли вы еще не используете ssl/tls, то это ваше дело.
Много кто не использует ssl. И да, это, конечно, мое дело.
>>публичная сеть не более опасна чем любая недоверенная среда передачи данных
Опасность открытой сети заключается в том, что кто угодно находящийся в непосредственной близости от этой сети может совершенно свободно и абсолютно незаметно получить ваши данные. Не останется никаких ни логов, ни следов доступа к этой самой среде передачи. Просто человек с ноутбуком в кафе получит ваши данные и все. Именно об этом я и говорю.
И еще мне кажется, что как раз от этого автор защититься и хотел.
Я хотел защитить только данные витающие в пределах моей подсети. И я действительно незнал как это принято называть.
Те данные которые передаются в интернет меня не сильно волнуют, так как я только торрентом пользовался и еще пару раз в i2p заходил.
Кстати, а ведь gmail работает через https. Разве его нельзя использовать в такой ситуации?
Те данные которые передаются в интернет меня не сильно волнуют, так как я только торрентом пользовался и еще пару раз в i2p заходил.
Кстати, а ведь gmail работает через https. Разве его нельзя использовать в такой ситуации?
Если поверх поднять шифрованный VPN, то вполне себе ничего ;)
По поводу скорости. Изначально была идея подключить к роутеру usb Wi-Fi адаптер TP-Link WN722N, чтобы он был соединен с CafeAP и был в bridge с WAN роутера. Потом я от этой идеи отказался в виду большого количества трудностей и остановился на идее с виртуальным адаптером.
В теории ASUS WL500gP может обеспечить подключение usb wi-fi но как это реализовать?
В теории ASUS WL500gP может обеспечить подключение usb wi-fi но как это реализовать?
Эх. Я вот такую девайсину нечаянно убил. Дважды. Первый раз не выдержал 30/30/30 — ребутнул где-то в середине перепрошивки. Перемучачками завёл её в режим аварийной перепрошивки, восстановил, зашил DD-WRT снова. Работала без проблем долго, потом решил поднять там туннель. Туннель поднял, всё работало. А потом как-то полез менять настройки DNS. Поменял, нажал сохранить — и всё сдохло. Сколько не игрался с перемычками с тех пор — ничего не помогало. Так и лежит на полочке :(
Не совсем понял, как общаются между собой устройства подключенные к репитеру — напрямую через репитер или через удалённую точку доступа?
Пример: На одном конце квартиры точка доступа (роутер) и подключенные к нему проводами комп и NAS, на другом — медиаплеер играющий контент с компа и NAS-a, подключен к роутеру по WiFi. Днём играет хорошо, вечером начинаются тормоза — в зоне видимости больше двух десятков сетей, эфир забит. Думаю переставить NAS к медиаплееру и подключить их проводом к вайфай-репитеру.
Собственно, вопрос: будут они (медиаплеер и NAS) общаться между собой напрямую по проводу (так как к репитеру они будут подключены проводами) или связь будет идти через вайфай-роутер (т.е. репитер — это просто тупо «удлинитель»?
Пример: На одном конце квартиры точка доступа (роутер) и подключенные к нему проводами комп и NAS, на другом — медиаплеер играющий контент с компа и NAS-a, подключен к роутеру по WiFi. Днём играет хорошо, вечером начинаются тормоза — в зоне видимости больше двух десятков сетей, эфир забит. Думаю переставить NAS к медиаплееру и подключить их проводом к вайфай-репитеру.
Собственно, вопрос: будут они (медиаплеер и NAS) общаться между собой напрямую по проводу (так как к репитеру они будут подключены проводами) или связь будет идти через вайфай-роутер (т.е. репитер — это просто тупо «удлинитель»?
Если сделаете как в первой части (подключаемся к CafeAP) то медиаплеер и NAS будут общаться напрямую. Они будут в пределах одной подсети
Если как во второй части (про FriendAP) то функция DHCP будет лежать на роутере, который «на-одном-конце-квартиры», но скорость, возможно, будет как по проводу. Попробуйте.
Если как во второй части (про FriendAP) то функция DHCP будет лежать на роутере, который «на-одном-конце-квартиры», но скорость, возможно, будет как по проводу. Попробуйте.
«Можно из Wi-Fi роутера сделать репитер, но тогда домашняя сеть оказывается открытой для других. „
А почему нельзя настроить ваш роутер в режиме клиента? Он будет ловить бесплатный wi-fi, но подключиться к нему можно будет только с помощью ключа который вы установите. Вот к примеру обычный ТП-линк с этой функцией справляется на ура. По ссылке пример настроек: www.tp-link.com/simulator/TL-WR743ND/Index.htm (раздел “Quick Setup» / AP Client Router — WISP Client Router)
Если открытая сеть будет восприниматься как подключенная через WAN, а моя личная сеть будет отдельная и со своим паролем, то да — это то, что мне было нужно, и здорово что TP-Link это реализовали.
Режимы client и client bridge в DD-WRT исключают возможность создать свою отдельную беспроводную сеть.
Режимы client и client bridge в DD-WRT исключают возможность создать свою отдельную беспроводную сеть.
Да именно так и будет. Я как раз недавно таким образом и настроил. Этот роутер даже сам определяет в процессе настройки список доступных сетей. Остается только подсоединиться и настроить. Один нюанс айпишник вашего роутера должен совпадать с айпишником раздающего роутера. А в настройках вашего роутера уже ставите необходимое шифрование и ключ. Настройка — минут 10.
Именно так, что сам не раз делал уже на практике.
В результате копаний Интернета и бесед на форуме было найдено решение как брать Интернет из открытой беспроводной сети и раздавать его в закрытой сети с шифрованием.
Зачем все это?
Вы же теряете скорость на роутере со всеми этими параноидальными защитами.
Вот зачем Вам подминать ссид?
Вы что, не знаете свои мак-адреса?
Можно ведь сделать открытую сеть, без ссида, с доступом только определенных маков и имен девайсов.
Пусть снифают на здоровье-то…
Зачем все это?
Вы же теряете скорость на роутере со всеми этими параноидальными защитами.
Вот зачем Вам подминать ссид?
Вы что, не знаете свои мак-адреса?
Можно ведь сделать открытую сеть, без ссида, с доступом только определенных маков и имен девайсов.
Пусть снифают на здоровье-то…
Что мешает мне, злоумышленнику, подслушать МАС, и когда он выключит свой комп, подключиться к его сети?
И?
Какой Вам толк от работающего роутера с залоченной админкой?
Вам же снифать нужно трафик.
А его нет, т.к. девайс выключен.
А когда включен — повторюсь еще разок — гмейл и стим (это самые стремные сервисы) работают по хттпс.
Поюзаете на халяву инет?
Да ради Бога.
Просто тема, имхо, немного жлобская.
Как заюзать фришный вайфай и при этом окопаться шифрами в своем огороде.
Вам будет не странен тот факт, на той стороне можно слушать Вас так же?
Если, конечно, не поднят впн.
Какой Вам толк от работающего роутера с залоченной админкой?
Вам же снифать нужно трафик.
А его нет, т.к. девайс выключен.
А когда включен — повторюсь еще разок — гмейл и стим (это самые стремные сервисы) работают по хттпс.
Поюзаете на халяву инет?
Да ради Бога.
Просто тема, имхо, немного жлобская.
Как заюзать фришный вайфай и при этом окопаться шифрами в своем огороде.
Вам будет не странен тот факт, на той стороне можно слушать Вас так же?
Если, конечно, не поднят впн.
У меня в домашней сети не один комп, а еще NAS с медиасервером, на которые я не хочу пускать кого попало. Это раз.
Через любой халявный wifi можно подключаться с любыми преступными целями, ответственность понесет владелец точки доступа. Это два.
Через любой халявный wifi можно подключаться с любыми преступными целями, ответственность понесет владелец точки доступа. Это два.
Ну НАС ведь можно настроить и на авторизацию по юзеру.
Самба ведь есть.
А насчет прикола с ответственностью — я не знаю как там в РФ, но в Украине такого бреда нет.
Никто бы не ставил ни фри, ни платный вай-фай, ни в кафе, кинотеатрах и прочая.
Т.к. работаю в такой сфере, которая предоставляет народу доступ к сети и у нас случались взломы, покупка и прочая. Обеп реагирует довольно быстро, но к нам претензий нет, т.к. мы лишь дали возможность подключиться.
Работаем уже почти 10 лет — и ни разу толком не было серьезных наездов.
А по Вашей схеме Макдональдс и кинотеатры уже давно бы убрали сеть — так дешевле.
Самба ведь есть.
А насчет прикола с ответственностью — я не знаю как там в РФ, но в Украине такого бреда нет.
Никто бы не ставил ни фри, ни платный вай-фай, ни в кафе, кинотеатрах и прочая.
Т.к. работаю в такой сфере, которая предоставляет народу доступ к сети и у нас случались взломы, покупка и прочая. Обеп реагирует довольно быстро, но к нам претензий нет, т.к. мы лишь дали возможность подключиться.
Работаем уже почти 10 лет — и ни разу толком не было серьезных наездов.
А по Вашей схеме Макдональдс и кинотеатры уже давно бы убрали сеть — так дешевле.
Да, на всех внутренних сервисах должна быть аутентификация, хотя это и затрудняет их использование. Но что мешает ломать эту систему неспеша, когда доступ уже есть, например, тем же брутфорсом?
В кафе настроена регистрация подключающихся к беспроводной сети, они могут доказать, что это сделал кто-то из их клиентов. А у домашних пользователей есть такое?
В кафе настроена регистрация подключающихся к беспроводной сети, они могут доказать, что это сделал кто-то из их клиентов. А у домашних пользователей есть такое?
MAC адреса легко изменяются на оборудовании.
ИМХО это похоже на веру в то, что наличие госномера на авто защити авто от угона.
ИМХО это похоже на веру в то, что наличие госномера на авто защити авто от угона.
Так никто ж не спорит.
У меня в доме 16 сетей. ± 2.
Найдите среди них мою. Та, что в хайде. И также найдите устройство, которое к нему коннектится.
С учетом того, что доступ к незабвенному линксису врт54гл (админке) идет только по хттпс и только по кабелю.
А когда найдете — выципите что-то интересное, с учетом того, что гмейл и стим работают по хттпс.
Вот эта повсевместная параноя иногда бесит. До мозга костей.
У меня в доме 16 сетей. ± 2.
Найдите среди них мою. Та, что в хайде. И также найдите устройство, которое к нему коннектится.
С учетом того, что доступ к незабвенному линксису врт54гл (админке) идет только по хттпс и только по кабелю.
А когда найдете — выципите что-то интересное, с учетом того, что гмейл и стим работают по хттпс.
Вот эта повсевместная параноя иногда бесит. До мозга костей.
Лучше пользоваться client bridge, пропускная способность канала ввиду явных физических особенностей вайфая. А ноуты по кабелю цеплять. У самого так был проброшен канал. Единственный непонятный факт был обноружен — все клиенты, которые были за роутером, который находился в качетстве client bridge, видны для тех, кто за роутером точкой как адреса с одним маком.
Спасибо. Очень пригодилась.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как объединить две Wi-Fi сети, или работа роутера в режимах repeater и repeater bridge