Cisco 1111 настройка usb модема

Обновлено: 05.07.2024

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname <. >
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

! временная зона GMT+2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168. 1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168. 1 192.168. 99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168. 0 255.255.255.0
default-router 192.168. 1
dns-server 192.168. 1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address . 255.255.255.
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 .

Настройка NAT

! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside

! на локальном интерфейсе
interface Vlan1
ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168. any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

Отключение ненужных сервисов

UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо Fedia)

Тематику cisco на хабре нельзя назвать популярной, зачастую интересные статьи остаются почти незамеченными. Но нас приятно удивил ажиотаж вокруг нашей предыдущей публикации. Больше тысячи человек добавили её в избранное, и это определённо говорит о том, что продолжение необходимо.
Кроме того, много людей, имеющих опыт реального планирования и строительства сетей, делали очень правильные замечания по резервированию. Дело в том, что предложенная в прошлый раз схема сети — это макет, лаборатория, на который мы будем отрабатывать и понимать технологии, поэтому такими вещами мы не озадачивались. В реальной же жизни, особенно, если вы оператор связи/провайдер, необходимы различные схемы резервирования: VRRP, STP, Link Aggregation, протоколы динамической маршрутизации.
Все замечания мы постараемся учесть и в конце цикла, вероятно, рассмотрим то, как сеть должна строиться, чтобы через полгода после запуска инженеру не было мучительно больно.

Сегодня же мы обратимся к части немного скучной, но важной для начинающих: как подключиться, поставить или сбросить пароль, войти по telnet. Также рассмотрим существующие программы — эмуляторы ciscо и интерфейс оборудования.
Как и обещали, в этот раз всё по-взрослому: с видео.

Под катом то же в текстовой и чуть более подробной форме.
Итак, вот они приехали — заветные коробки с надписью Cisco на борту.

Среда

Начнём с того, в какой среде будем работать.

В данный момент есть два известных пакета программ, позволяющих моделировать сеть, построенную на оборудовании Cisco:

б) Распространяемый по лицензии GNU GPL симулятор GNS3. В этом пакете необходимо загружать настоящие образы Cisco IOS. С одной стороны это плюс – вы работаете с настоящим интерфейсом cisco и ограничены лишь своей фантазией, существующими стандартами и производительностью рабочей станции, с другой, во-первых, эти IOS ещё нужно суметь достать, во-вторых, это более сложный продукт для понимания, и в-третьих, в нём есть только маршрутизаторы и «типа» коммутаторы.

Я считаю, что для знакомства с принципами лучше начать всё же с Packet Tracer'a, а потом переходить на тяжёлую артиллерию по мере надобности. Все мы не дети малые, где взять то, что нам нужно, рассказывать не будем.

Способы подключения

Telnet/ssh
Терминальное подключение с рабочей станции через консольный кабель
Web-интерфейс (Cisco SDM).

Последний вариант даже не упоминайте в приличном обществе. Даже если вы адепт мыши и браузера, очень не советую.
На своём примере при работе с другим оборудованием я сталкивался с тем, что настроенное через веб не работает. Хоть ты тресни, но не работает. А у того же длинка вообще был баг в одной версии прошивки для свичей: если изменить настройки VLAN в веб-интерфейсе из под линукс, то свич становится недоступным для управления. Это официально признанная проблема).Телнет – стандартная, всем известная утилита, как и ssh. Для доступа к cisco по этим протоколам нужно настроить пароли доступа, об этом позже. Возможность использования ssh зависит от лицензии IOS.

Управление по консоли

Ну вот принесли вы маршрутизатор, распечатали, питание на него дали. Он томно зашумел кулерами, подмигивает вам светодиодами своих портов. А чего дальше-то делать?
Воспользуемся один из древнейших и нестареющих способов управления практически любым умным устройством: консоль. Для этого вам нужен компьютер, само устройство и подходящий кабель.
Тут каждый вендор на что горазд. Какие только разъёмы они не используют: RJ-45, DB-9 папа, DB-9 мама, DB-9 с нестандартной распиновкой, DB-25.
У циски используется разъём RJ-45 на стороне устройства и DB-9 мама (для подключения к COM-порту) на стороне ПК.
Консольный порт выглядит так:

Всегда выделен голубым цветом. С недавних пор стало возможным управление по USB.
А это консольный кабель cisco:

Раньше он поставлялся в каждой коробке, теперь зачастую стоит отдельных денег. В принципе подходит аналогичный кабель от HP.
Проблема в том, что современные ПК зачастую не имеют COM-порта. На выручку приходят частоиспользуемые конвертеры USB-to-COM:

Либо редкоиспользуемые для этих целей конвертеры RS232-Ethernet

После того, как вы воткнули кабель, определили номер COM-порта, для подключения можно использовать Hyperterminal или Putty в Виндоус и Minicom в Линукс.

Управление через консоль доступно сразу, а вот для телнета нужно установить пароль. Как это сделать?
Обратимся к PT.
Начнём с создания маршрутизатора: выбираем его на панели внизу и переносим на рабочее пространство. Даём какое-нибудь название

Что бы вы делали, если бы это был самый взаправдашний железный маршрутизатор? Взяли бы консольный кабель и подключились им в него и в компьютер. То же самое сделаем и тут:

Кликом по компьютеру вызываем окно настройки, в котором нас интересует вкладка Desktop. Далее выбираем Terminal, где нам даётся выбор параметров

Впрочем, все параметры по умолчанию нас устраивают, и менять их особо смысла нет.

Если в энергонезависимой памяти устройства отсутствует конфигурационный файл (startup-config), а так оно и будет при первом включении нового железа, нас встретит Initial Configuration Dialog prompt:

Вкратце, это такой визард, позволяющий шаг за шагом настроить основные параметры устройства (hostname, пароли, интерфейсы). Но это неинтересно, поэтому отвечаем no и видим приглашение

Это стандартное совершенно для любой линейки cisco приглашение, которое характеризует пользовательский режим, в котором можно просматривать некоторую статистику и проводить самые простые операции вроде пинга. Ввод знака вопроса покажет список доступных команд:

Грубо говоря, это режим для сетевого оператора, инженера первой линии техподдержки, чтобы он ничего там не повредил, не напортачил и лишнего не узнал.
Гораздо большие возможности предоставляет режим с говорящим названием привилегированный. Попасть в него можно, введя команду >enable. Теперь приглашение выглядит так:

Прежде, чем приступать к настройке, упомянем несколько полезностей при работе с cisco CLI, которые могут сильно упростить жизнь:

— Используйте клавишу Tab и знак вопроса. По нажатию Tab сокращенная команда дописывается до полной, а знак вопроса, следующий за командой, выводит список дальнейших возможностей и небольшую справку по ним (попробуйте сами в PT).

— Используйте горячие клавиши в консоли:

Ctrl+A — Передвинуть курсор на начало строки
Ctrl+E — Передвинуть курсор на конец строки
Курсорные Up, Down — Перемещение по истории команд
Ctrl+W — Стереть предыдущее слово
Ctrl+U — Стереть всю линию
Ctrl+C — Выход из режима конфигурирования
Ctrl+Z — Применить текущую команду и выйти из режима конфигурирования
Ctrl+Shift+6 — Остановка длительных процессов (так называемый escape sequence)

— Используйте фильтрацию вывода команды. Бывает, что команда выводит много информации, в которой нужно долго копаться, чтобы найти определённое слово, например.
Облегчаем работу с помощью фильтрации: после команды ставим |, пишем вид фильтрации и, собственно, искомое слово(или его часть). Виды фильтрации (ака модификаторы вывода):

begin — вывод всех строк, начиная с той, где нашлось слово,
section — вывод секций конфигурационного файла, в которых встречается слово,
include — вывод строк, где встречается слово,
exclude — вывод строк, где НЕ встречается слово.

В режиме глобальной конфигурации не выполняются довольно нужные порой команды других режимов (тот же show running-config, ping, etc.). Но есть такая полезная штука, как do. Благодаря ей мы можем, не выходя из режима конфигурирования, выполнять эти самые команды, просто добавляя перед ними do. Примерно так:

Настройка доступа по Telnet

Из этого-то режима мы и настроим интерфейс для подключения компьютера через telnet:
Команда для перехода в режим конфигурации интерфейса FastEthernet 0/0:

По умолчанию все интерфейсы отключены (состояние administratively down). Включаем интерфейс:

shutdown — означает “выключить интерфейс”. Соответственно, если вы хотите отменить действие команды, то используйте слово no перед ней. Это правило общее для CLI и применимо к большинству команд.

Подключаемся. Для этого надо использовать кроссоверный кабель. (Хотя в реальной жизни это зачастую уже необязательно – все карточки умеют понимать приём/передачу, однако встречаются ещё маршрутизаторы, порты которых не поднимаются при использовании неправильного типа кабеля — так что будьте внимательны)

Настраиваем IP-адрес компьютера через Desktop.

И пробуем подключиться, выбрав Command Prompt в панели Desktop:

Как и ожидалось, циска не пускает без пароля. В реальной жизни обычно выдаёт фразу “Password required, but none set”

Пароли

Подключение по telnet или ssh называется виртуальным терминалом (vt) и настраивается следующим образом:

0 4 — это 5 пользовательских виртуальных терминалов=telnet сессий.
Этого уже достаточно, чтобы попасть в пользовательский режим, но недостаточно для привилегированного:

Настроим пароль для enable-режима:

Чем отличается secret от password? Примерно тем же, чем ssh от telnet. При настройке secret пароль хранится в зашифрованном виде в конфигурационном файле, а password – в открытом. Поэтому рекомендуется использование secret.
Если вы всё-таки задаёте пароль командой password, то следует применить так же service password-encryption, тогда ваш пароль в конфигурационном файле будет зашифрован:

Один мой знакомый рассказал мне историю:
Стоял он как-то курил возле одного из своих узлов, находящемся в жилом доме. С сумкой для инструментов, ноутбук в руках. Вдруг подходит двое алкашей с пакетом и предлагают купить, раскрывая пакет и показывая какой-то свич. Просят 500 рублей. Ну он купил. По меткам и модели свича парень сделал вывод какому провайдеру он принадлежит. Пришёл домой, начал ковырять — телнет закрыт, консоль запаролена. Слил конфиг по snmp. Пароли в открытом виде хранятся, имя с головой выдаёт провайдера. С их админом он знаком лично, позвонил ему вместо “Здрасьти” выдал логин и пароль в трубку. Слышно было, как скрипел мозг первые секунд 20: везде аксес-листы, авторизация, привязка к мак-адресу. Как?! В общем, всё хорошо, что хорошо кончается.

Немного об этом можно почитать здесь. Ну или чуть более по-русски, тут.

Первая команда служит для активации новой модели ААА (Authentication, Authorization, Accounting). Это нужно для того, чтобы была возможность использовать для аунтетификации на устройстве RADIUS или TACACS сервер. Если отдельно это не настроено, то будет использоваться локальная база пользователей, задаваемая командой username.

Будьте внимательны: приоритет команды aaa new-model выше, чем команд виртуальных терминалов и поэтому даже несмотря на то, что у вас настроен password в режиме line vty, если у вас не будет пользователей в локальной базе, зайти на устройство удалённо уже не получится.

Теперь при подключении маршрутизатор запросит имя пользователя и соответствующий ему пароль.

При более глубокой настройке line vty существует одна опасность.
Есть такой параметр: access-class. Его настройка позволяет ограничить IP-адреса, с которых возможно подключение. И вот однажды я, как умная маша, решил заняться безопасностью в сети и на всём почти оборудование понаставил эти аксес-листы, чтобы комар не пролетел. В один прекрасный момент пришлось выехать в поле и в тот день я проклял свою аккуратность – никуда не мог достучаться – малейшей лазейки не оставил. В общем будьте с этой командой внимательны или оставляйте для себя лазейки.
При работе с access-list'ами и прочими опасными вещами, неправильная настройка которых может лишить вас доступа к устройству, можно использовать замечательную команду reload in min, где min время в минутах. Эта команда перезагрузит устройство по истечении указанного времени, если ее не прервать командой reload cancel. Т.е. схема работы такова: вы удаленно копаете что-то, что может в теории (закон Мерфи не забываем) прервать ваш сеанс связи с устройством. Сохраняем текущий (рабочий) конфиг в startup-config (он используется при загрузке), ставим reload in 15, вводим ключевую команду, относительно которой у нас сомнения ;-), и получаем обрыв связи, худшие опасения оправдались. Ждем 15 минут, устройство перегружается с рабочим конфигом, коннект — вуаля, связь есть. Либо (если связь не прервалась) проверяем, что все работает, и делаем reload cancel.

Если вы хотите ограничить паролем доступ через консольный порт, вам понадобятся команды

Privilege Level

Ещё один важный момент, которому в статьях уделяют мало внимания: privelege level.
Как понятно из латинского звучания — это уровень прав пользователя. Всего существует 16 уровней: 0-15.
privilege level 0 — это команды disable, enable, exit, help и logout, которые работают во всех режимах
privilege level 1 — Это команды пользовательского режима, то есть как только вы попадаете на циску и увидите приглашение Router> вы имеете уровень 1.
privilege level 15 — Это команды привилегированного режима, вроде, как root в Unix'ах

Пример1

Все уровни со 2 по 14 настраиваются вручную. То есть, например, вы можете дать добро пользователю с privelege level 2 на выполнение команды show running-config

Пример2

Настроить права для конкретного пользователя поможет уже упомянутая прежде команда username

В первой строке назначаем уровень прав пользователю, во второй команду, разрешенную для этого уровня, в третьей задаём пароль для входа в привилегированный режим с этим уровнем.

После этого из пользовательского режима вы можете выполнить команду enable 2 и введя пароль l2poorpass попасть в привилегированный режим, в котором будут доступны все команды уровня 1 + команды уровня 2.

Для чего это может быть нужно? В российских реалиях практически ни для чего, потому что обычно на устройство нужно заходить инженерам сразу с полными правами. Ну разве что 15-й уровень ставят, чтобы двойную аутентификацию не проходить. А все другие уровни опять же для того, чтобы персонал младшего состава (техподдержка, например) мог зайти и промониторить какие-то параметры или настроить некритичную функцию.

Нельзя не упомянуть о том, что telnet — протокол незащищённый и передаёт пароль и данные в открытом виде. С помощью любого анализатора пакетов можно вычислить пароль.
Поэтому крайне рекомендуем использовать ssh — любые устройства cisco с не самой урезанной прошивкой способны выступать ssh-сервером.
Следующий набор команд позволит вам включить ssh и отключить доступ по telnet:

Имя хоста должно отличаться от Router, обязательно должно быть задано имя домена. Третьей строкой генерируется ключ и далее разрешается только ssh. Длина ключа должна быть более 768 бит, если вы желаете использовать ssh версии 2, а вы желаете этого. Всё.

Ещё одно финальное внимание новичкам: не забывайте о команде write memory — это сохранение текущей конфигурации. Впрочем, достаточно два раза обжечься, забыв сохранить, чтобы навсегда заработать иммунитет к этому — кто кодил по ночам или писал курсовую, тот поймёт.

Используя PT, мы будем настраивать оборудование не через терминал или телнет, а непосредственно через CLI устройства, которое вызывается кликом по иконке роутера — так удобнее:

Ну и на сладенькое: сброс пароля

Если вы этого не сделаете, то вся ваша конфигурация будет актуальна до первого ребута) И хорошо, если это устройство стоит рядом, и вы вспомните, что накосячили. Мне не повезло)

В следующей статье мы обратимся к вланам и локальной сети. Обязательно к прочтению:
OSI.
VLAN

На днях наши специалисты решали следующую задачку: необходимо было подключить локальную сеть через маршрутизатор Cisco 886G. Казалось бы, что здесь может быть интересного: стандартная настройка без каких-либо премудростей. Ан нет. Подключение к Интернету должно было осуществляться через 3G модем. Для указанной модели маршрутизатора Cisco модуль назывался PCEX-3G-HSPA.

Вставляется модуль при выключенном маршрутизаторе, то есть «на холодную», и после запуска маршрутизатора определяется автоматически без каких-либо дополнительных телодвижений. Однако настройка модуля PCEX-3G-HSPA вызвала определенные затруднения, так как, хоть информация по настройке сотового (Cellular) интерфейса и существует, она не адаптирована под наши реалии. Более того, вся найденные документы были исключительно на английском языке, что, безусловно, не является удобным для всех администраторов.

Как же все было на самом деле?

Собственно, сама задача была сформулирована следующим образом: необходимо обеспечить подключение локальной сети к Интернету через беспроводное соединение (3G от velcom). В дополнение к этому необходимо было настроить на указанном маршрутизаторе Cisco DHCP-сервер для удобства работы локальной сети. Схема подключения выглядит следующим образом:

Сначала настроим корпоративную сеть. На маршрутизаторе Cisco 886G встроен коммутатор на 4 порта. Так как у нас небольшая сеть, то делить устройства на подсети не будем и нам будет достаточно одного VLAN. Указанные команды можно вводить не в полном объеме, однако мы их приводим, для целостной картины настройки.

Здесь никаких хитростей нет, просто указываем раздавать IP-адреса из подсети, в которой находится интерфейс Vlan 1, с указанием шлюза по умолчанию на наш маршрутизатор. В качестве DNS-сервера был указан IP-адрес DNS-сервера компании Google.
Дальше простые вещи заканчиваются и начинаются не очень простые: сама настройка беспроводного 3G соединения. Немного поясним принцип работы данного соединения: самое главное – это модемное соединение. Это значит, что оно не всегда находится в активном (up) состоянии, а его необходимо активировать и деактивировать. Теоретически, оно, как и ADSL-соединение, может быть всегда активно. Но есть одно «НО» — Интернет-трафик у сотовых операторов ОЧЕНЬ дорогой, соответственно без лишней необходимости лучше соединение не держать поднятым. Потому что небольшое количество служебного трафика постоянно курсирующего между нашим маршрутизатором и точкой доступа оператора может в итоге вылиться в довольно большой объем. Зачем платить лишнее?
Но вернемся к самой настройке. Для начала необходимо создать профиль 3G-модема. Для этого необходимо знать имя пользователь, пароль и точку подключения. Узнать эту информацию можно следующими путями: позвонить оператору или посмотреть в Интернете. Так как мы настраивали 3G от velcom, то всю интересующую информацию мы нашли на их сайте. Ссылка довольна полезная, так как здесь, помимо связки логин/пароль и точка доступа, можно узнать номер дозвона для модема, который нам, безусловно, будет необходим.
Профиль 3G-модема создаем следующей командой:

Посмотреть созданный профиль, можно следующей командой:

Profile 1 = INACTIVE
--------
PDP Type = IPv4
Access Point Name (APN) = vmi.velcom.by
Authentication = CHAP
Username: vmi, Password: vmi

Дальше создаем скрипт для модема, по которому он будет дозваниваться. Называть его можно как угодно, но для удобства мы назовем его velcom (так как к velcom’у и подсоединяемся). Здесь нам и пригодиться номер дозвона, который мы смотрели на сайте velcom.

Команда “modem InOut” означает, что модем будет работать в режиме и приема, и передачи, а команда“script dialer velcom” привязывает к линейному интерфейсу созданный скрипт.
Как уже писалось выше, беспроводное сотовое соединение – это модемное соединение. Потому, подобно тому, как IPSec VPN туннель поднимается только тогда, когда есть определенный полезный трафик (по английскому – interesting traffic), наш 3G-модем будет дозваниваться и устанавливать соединение только при наличии определенного полезного трафика. Для этого создадим список доступа (Access-list) и привяжем его к группе дозвона:

По сути, остается настроить сам беспроводной сотовый (Cellular) интерфейс. Для этого необходимо применить следующие команды:

Поясним данную часть настройки. Используемый протокол канального уровня – PPP, IP-адрес мы получаем от провайдера. Команды, которые начинаются на “dialer” связаны с процессом дозвона. Обратим внимание, что “dialer group” должна совпадать с группой, указанной в dialer-list. Последняя команда указывает на то, что от провайдера также необходимо получать адреса DNS-серверов.
По логике вещей, уже соединение должно было бы заработать, так как все параметры уже указаны. Но ничего не происходило, интерфейс даже не предпринимал попыток перейти в активное состояние. Думаем, что у Вас, коллеги, возникнет та же проблема. И заключается она в следующем: маршрутизатор просто не знает куда отправлять пакеты, так как в таблице маршрутизации, кроме указания нашей локальной сети, нет ничего. В том числе там нет и маршрута по умолчанию, который бы обрабатывал все пакеты, не попадающие под какие-то конкретные маршруты. Создадим его:

На шаг мы стали ближе, однако успеха пока не добились. На консоли мы будем видеть, что интерфейс периодически переходит в активное (up) состояние, однако IP-адреса не получает. Затем он перезагружается и процесс повторяется. К сожалению, на момент написания статьи самого маршрутизатора Cisco 886G c 3G-модемом у нас уже не было и привести лог дебага не представляется возможным. Однако именно он помог нашим специалистам решить проблему. Она заключалась в том, что маршрутизатор не проходил аутентификацию (для нахождения проблемы понадобилось использовать команды debug ppp negotiation и debug ppp packets). Поиски по сайту Cisco и другим источникам дали определенные результаты. Мы обнаружили, что в настройке Cellular интерфейса необходимо было добавить команды:

Узнать, что же это за имя пользователя и пароль для chap-аутентификации не удалось. Потому, после нескольких безуспешных попыток что-то придумать, мы решили просто еще раз ввести здесь имя пользователя и пароль, которые были обнаружены на сайте velcom. То есть сделали следующие итерации:

Ура! Интерфейс перешел в активное состояние и получил IP-адрес, соответственно мы получили доступ в Интернет. На данном этапе у наших специалистов возникло подозрение, что созданный изначально профиль не был применен. Однако проверить это уже не представляется возможным, так как этот маршрутизатор Cisco уже активно эксплуатируется заказчиком. Тем не менее, основная часть задачи выполнена – беспроводное 3G-соединение с оператором velcom было установлено, и доступ в Интернет был обеспечен. Остается настроить NAT:

Собственно, вот и все. Мы получили полностью рабочий маршрутизатор для выполнения обеспечения беспроводного 3G-доступа в Интернет. Безусловно, стоит усилить безопасность сети по средствам использования списков доступа и/или фаервола (например, инструмент IOS Cisco — Context-Based Access Control – CBAC), но это уже находится за рамками поставленной задачи. Надеемся, данная статья будет полезна тем, кто столкнется с подобной проблемой.

Что мы имеем и что будем делать для создания всей сети:

Роутер TP-link TL-WR842ND v.1
USB модем HUAWEI E3372 (E3372h-153)
ПК =)

После успешной перепрошивки роутер будет доступен по адресу 192.168.1.1 (на стоковой прошивке он работает по адресу 192.168.0.1). При первоначальном входе не будет задан пароль пользователя root. Его настроим потом.

Для начала идем Сеть -> Wi-Fi -> Беспроводная сеть radio0 -> Поиск.

Подключаем роутер к любой точке где есть интернет.

Я подключил к своему мобильному телефону раздающему интернет по wi-fi. Сохраняем и применяем настройки подключения.

Далее идем в Система -> Software

Далее сохраняем и применяем все настройки в меню интерфейсов.

После этого интернет с USB модема должен раздаваться через роутер. Настройка завершена! Остальные настройки (задание пароля на Wi-fi сеть и т.д.), выполняйте под свои нужды =) После отключения роутера от своей сети Wi-Fi клиент-соединение, можно удалить.

Ну и напоследок небольшой тест:

По скриншоту видно, что я использовал сим карту от Теле2, скорость средненькая. Предположу, что качество сигнала было не очень хорошее, либо проблема в USB порте самого роутера, на сколько знаю в нем встроен USB 1.1, пропускная способность которого 15-20 Мб\с..

Пакеты установлены, в журнале ядра видит подключенный HUAWEI E3372, но к сожалению не появляется интерфейс eth2, есть только eth0 (пишет что это lan), eth1 (пишет это wan) и все 🙁

Модем в cdc режиме.

но к сожалению не появляется интерфейс eth2

Я не про USB_WAN интерфейс, а про eth2

Создавать его руками, а не выбирать в готовый интерфейсах?

Вложения:

после установки всех драйверов, нужно перезагрузить роутер, с подключенным usb модемом, скорей всего у вас из-за этого не появился eth2

к сожалению я первым делом это сделал и уже еще 3 раза перегружал

Вот что в логах есть:

ifconfig не показывает интерфейсов с mac адресом модема 🙁

а ifconfig -a, что показывает, суть в том, что тут два варианта, либо сам интерфейс выключен (что странно), лбо модем не определился как дополнительный интерфейс.
p.s. что за модель роутера кстати, и какую версию openwrt поставили?
p.ss. подпись не трогай я поправлю ссылку на никнейм, только возможно надо будет пароль задать занова, т.к. скинется на пустой

Читайте также: