Configurando o modem ADSL
Configurando o modem ADSL
Quase todos os modems ADSL vendidos atualmente podem ser configurados como roteador, compartilhando a conexão entre os micros da rede local, sem a necessidade de usar um micro com duas placas de rede para isso.
Em geral os modems ADSL fazem um bom trabalho, eles não oferecem opções mais avançadas, como, por exemplo, incluir um proxy transparente, para fazer cache das páginas e arquivos acessados e, assim, melhorar a velocidade de acesso, mas são capazes de fazer o arroz com feijão, como bloquear tentativas de acesso vindas da internet e redirecionar portas para micros da rede local.
As vantagens de usar o modem configurado como roteador são:
1- Não é preciso usar o pppoeconf para se conectar, nem configurar o compartilhamento da conexão. A conexão é estabelecida pelo próprio modem, basta ligá-lo no hub e configurar os demais PCs para obterem a configuração da rede via DHCP.
2- O modem fica com as portas de entrada, de forma que qualquer tipo de ataque proveniente da internet é bloqueado pelo próprio modem, antes de chegar nos micros da rede local. O modem serve como uma camada adicional de proteção.
As desvantagens são:
1- Como as portas de entrada ficam com o modem, é preciso configurar o redirecionamento de portas para que você possa usar qualquer servidor ou programa que precise de portas de entrada. Um exemplo clássico é o bittorrent, que precisa que pelo menos uma das portas entre a 6881 e a 6889 esteja aberta.
2- Ao contrário dos servidores Linux, os modems ADSL não costumam receber atualizações de segurança. Não é impossível que uma brecha de segurança no próprio modem permita que alguém de fora altere a configuração de redirecionamento de portas (por exemplo) e assim consiga ter acesso aos micros da sua rede local. Alguns modems permitem inclusive a instalação de programas adicionais. Do ponto de vista da segurança, um servidor Linux atualizado e bem configurado é mais seguro.
O modem ADSL pode ser configurado através de uma interface de configuração, que fica acessível apenas a partir da rede local. Em primeiro lugar, crie a comunicação física entre o PC e o modem, ligando-os através do cabo cross que acompanha o modem ou usando um hub.
O modem vem de fábrica com um endereço IP padrão, como, por exemplo, 10.0.0.138 ou 192.168.1.1 e uma senha de acesso simples, como "1234" ou "admin". A configuração padrão varia de modem para modem, por isso é importante ter em mãos o manual do seu.
Geralmente, as operadoras alteram as senhas dos modems, para impedir que o usuário o reconfigure para trabalhar como roteador. Nesse caso, você vai ter o trabalho de pesquisar na web quais as senhas usadas pela operadora e testar uma a uma até achar a usada no seu modem, uma dor de cabeça a mais.
Dependendo do modem, o utilitário de configuração pode ser acessado de duas formas: via telnet (como no Parks Prestige) ou por meio de uma página web acessível pelo navegador (como na maioria dos modelos novos).
Os modems vêm sempre configurados de fábrica em modo bridge, em que a configuração da conexão (login, senha, etc.) é feita no PC. Isso facilita a vida dos fabricantes em termos de suporte. Basta instalar o programa de discagem e conectar.
Ao configurar o modem roteador você precisa fornecer a configuração da rede local, o endereço IP usado pelo modem e a faixa de endereços que serão atribuídos via DHCP para os clientes da rede local, os endereços dos servidores DNS do provedor, seu login e senha de acesso e os códigos VPI/VCI usados pela operadora.
Os valores VPI/VCI usados atualmente no Brasil são:
Telefonica (Speedy): VCI 35, VPI 8
Telemar (Velox): VPI 0, VCI 33
Brasil Telecom: VPI 0, VCI 35
Brasil Telecom (no RS): VPI 1, VCI 32
GVT: VPI 0, VCI 35
Você pode confirmar esses valores ligando para o suporte técnico. É fácil obter estas informações.
Vamos a um exemplo de configuração, usando um modem ZyXEL Parks Prestige. Este é um modelo da velha guarda, que é acessível via Telnet. O IP padrão de fábrica é 192.168.1.1, de forma que para ter acesso a ele você deve configurar seu PC para usar um IP qualquer na faixa 192.168.1.x. A senha padrão é "1234" ou "adminttd". O telnet pode ser usado tanto a partir do terminal, no Linux, quanto a partir do prompt do MS-DOS, no Windows. Para isso use o comando:
$ telnet 192.168.1.1
Em primeiro lugar, antes de conectar na internet ou configurar qualquer coisa, altere a senha de acesso na opção "23. System Password".
De volta à tela inicial, comece acessando a opção "1. General Setup" e mude a opção "Route IP" para "Yes". É aqui que configuramos o modem para trabalhar como roteador. Mantenha a opção "Bridge" como "Yes". Pressione Enter para confirmar a alteração e voltar ao menu inicial.
Quase todos os modems ADSL vendidos atualmente podem ser configurados como roteador, compartilhando a conexão entre os micros da rede local, sem a necessidade de usar um micro com duas placas de rede para isso.
Em geral os modems ADSL fazem um bom trabalho, eles não oferecem opções mais avançadas, como, por exemplo, incluir um proxy transparente, para fazer cache das páginas e arquivos acessados e, assim, melhorar a velocidade de acesso, mas são capazes de fazer o arroz com feijão, como bloquear tentativas de acesso vindas da internet e redirecionar portas para micros da rede local.
As vantagens de usar o modem configurado como roteador são:
1- Não é preciso usar o pppoeconf para se conectar, nem configurar o compartilhamento da conexão. A conexão é estabelecida pelo próprio modem, basta ligá-lo no hub e configurar os demais PCs para obterem a configuração da rede via DHCP.
2- O modem fica com as portas de entrada, de forma que qualquer tipo de ataque proveniente da internet é bloqueado pelo próprio modem, antes de chegar nos micros da rede local. O modem serve como uma camada adicional de proteção.
As desvantagens são:
1- Como as portas de entrada ficam com o modem, é preciso configurar o redirecionamento de portas para que você possa usar qualquer servidor ou programa que precise de portas de entrada. Um exemplo clássico é o bittorrent, que precisa que pelo menos uma das portas entre a 6881 e a 6889 esteja aberta.
2- Ao contrário dos servidores Linux, os modems ADSL não costumam receber atualizações de segurança. Não é impossível que uma brecha de segurança no próprio modem permita que alguém de fora altere a configuração de redirecionamento de portas (por exemplo) e assim consiga ter acesso aos micros da sua rede local. Alguns modems permitem inclusive a instalação de programas adicionais. Do ponto de vista da segurança, um servidor Linux atualizado e bem configurado é mais seguro.
O modem ADSL pode ser configurado através de uma interface de configuração, que fica acessível apenas a partir da rede local. Em primeiro lugar, crie a comunicação física entre o PC e o modem, ligando-os através do cabo cross que acompanha o modem ou usando um hub.
O modem vem de fábrica com um endereço IP padrão, como, por exemplo, 10.0.0.138 ou 192.168.1.1 e uma senha de acesso simples, como "1234" ou "admin". A configuração padrão varia de modem para modem, por isso é importante ter em mãos o manual do seu.
Geralmente, as operadoras alteram as senhas dos modems, para impedir que o usuário o reconfigure para trabalhar como roteador. Nesse caso, você vai ter o trabalho de pesquisar na web quais as senhas usadas pela operadora e testar uma a uma até achar a usada no seu modem, uma dor de cabeça a mais.
Dependendo do modem, o utilitário de configuração pode ser acessado de duas formas: via telnet (como no Parks Prestige) ou por meio de uma página web acessível pelo navegador (como na maioria dos modelos novos).
Os modems vêm sempre configurados de fábrica em modo bridge, em que a configuração da conexão (login, senha, etc.) é feita no PC. Isso facilita a vida dos fabricantes em termos de suporte. Basta instalar o programa de discagem e conectar.
Ao configurar o modem roteador você precisa fornecer a configuração da rede local, o endereço IP usado pelo modem e a faixa de endereços que serão atribuídos via DHCP para os clientes da rede local, os endereços dos servidores DNS do provedor, seu login e senha de acesso e os códigos VPI/VCI usados pela operadora.
Os valores VPI/VCI usados atualmente no Brasil são:
Telefonica (Speedy): VCI 35, VPI 8
Telemar (Velox): VPI 0, VCI 33
Brasil Telecom: VPI 0, VCI 35
Brasil Telecom (no RS): VPI 1, VCI 32
GVT: VPI 0, VCI 35
Você pode confirmar esses valores ligando para o suporte técnico. É fácil obter estas informações.
Vamos a um exemplo de configuração, usando um modem ZyXEL Parks Prestige. Este é um modelo da velha guarda, que é acessível via Telnet. O IP padrão de fábrica é 192.168.1.1, de forma que para ter acesso a ele você deve configurar seu PC para usar um IP qualquer na faixa 192.168.1.x. A senha padrão é "1234" ou "adminttd". O telnet pode ser usado tanto a partir do terminal, no Linux, quanto a partir do prompt do MS-DOS, no Windows. Para isso use o comando:
$ telnet 192.168.1.1
Em primeiro lugar, antes de conectar na internet ou configurar qualquer coisa, altere a senha de acesso na opção "23. System Password".
De volta à tela inicial, comece acessando a opção "1. General Setup" e mude a opção "Route IP" para "Yes". É aqui que configuramos o modem para trabalhar como roteador. Mantenha a opção "Bridge" como "Yes". Pressione Enter para confirmar a alteração e voltar ao menu inicial.
Acesse agora a opção "3. Ethernet Setup" e, dentro dela, a opção "2. TCP/IP and DHCP Setup". Aqui vai toda a configuração relacionada à rede local.
Na opção "DHCP Setup" configuramos o servidor DHCP incluído no modem, que vai atribuir os endereços para os PCs da rede interna. A opção "Client IP Pool Starting Address=" indica o primeiro endereço IP que será atribuído (os números abaixo deste ficam reservados para micros com IP fixo) e o número máximo de clientes que receberão endereços IP (Size of Client IP Pool), que deve ser compatível com o número de micros na sua rede. Não faz mal usar um valor alto aqui, só não vale colocar cinco endereços em uma rede com 20 micros ;).
Em seguida são incluídos os endereços dos servidores DNS que serão fornecidos aos clientes. Normalmente você usa os servidores DNS do provedor, mas, caso você tenha configurado um servidor DNS local (veremos como fazer isso mais adiante), você pode usá-lo aqui.
Nas opções "IP Address" e "IP Subnet Mask" vai o endereço IP e a máscara que serão usados pelo próprio modem. Lembre-se que, ao configurar o modem para compartilhar a conexão, o endereço IP do modem passa a ser o gateway padrão da rede.
Na opção "DHCP Setup" configuramos o servidor DHCP incluído no modem, que vai atribuir os endereços para os PCs da rede interna. A opção "Client IP Pool Starting Address=" indica o primeiro endereço IP que será atribuído (os números abaixo deste ficam reservados para micros com IP fixo) e o número máximo de clientes que receberão endereços IP (Size of Client IP Pool), que deve ser compatível com o número de micros na sua rede. Não faz mal usar um valor alto aqui, só não vale colocar cinco endereços em uma rede com 20 micros ;).
Em seguida são incluídos os endereços dos servidores DNS que serão fornecidos aos clientes. Normalmente você usa os servidores DNS do provedor, mas, caso você tenha configurado um servidor DNS local (veremos como fazer isso mais adiante), você pode usá-lo aqui.
Nas opções "IP Address" e "IP Subnet Mask" vai o endereço IP e a máscara que serão usados pelo próprio modem. Lembre-se que, ao configurar o modem para compartilhar a conexão, o endereço IP do modem passa a ser o gateway padrão da rede.
De volta ao menu principal, acesse agora a opção "4. Internet Access Setup". Aqui vão as informações sobre o provedor de acesso, que o modem usará para estabelecer a conexão. As opções " ISP's Name" e "Service Name" são apenas para seu controle, caso tenha configurada mais de uma conexão. Pode usar os nomes que quiser.
O importante mesmo são as opções "Encapsulation" (no Brasil é quase sempre usado PPPoE; a opção RCF é usada em algumas instalações antigas, com IP fixo) e "Multiplexing", que no Brasil fica sempre como "LLC-based". Na opção "IP Address Assignment" use a opção "Dynamic" se você usa um plano residencial, com IP dinâmico ou "Static" se usa um plano empresarial, com IP fixo. Neste segundo caso, forneça também o IP usado. Não se esqueça de incluir também os códigos VPI e VCI usados pela operadora, além do login e senha de acesso.
O importante mesmo são as opções "Encapsulation" (no Brasil é quase sempre usado PPPoE; a opção RCF é usada em algumas instalações antigas, com IP fixo) e "Multiplexing", que no Brasil fica sempre como "LLC-based". Na opção "IP Address Assignment" use a opção "Dynamic" se você usa um plano residencial, com IP dinâmico ou "Static" se usa um plano empresarial, com IP fixo. Neste segundo caso, forneça também o IP usado. Não se esqueça de incluir também os códigos VPI e VCI usados pela operadora, além do login e senha de acesso.
Para configurar o redirecionamento de portas para os micros da rede local (port forwarding), acesse a opção "15. SUA Server Setup", onde você define a porta e o endereço da rede local para onde ela será redirecionada.
Por exemplo, para permitir que o micro 192.168.1.30 fique acessível via SSH, basta redirecionar a porta 22 para ele. Quando alguém tentar acessar a porta 22 do endereço IP de internet, atribuído ao modem, cairá no servidor aberto no micro da rede local.
Você pode direcionar portas diferentes para endereço IP diferentes, mas nunca direcionar a mesma porta para mais de um endereço ao mesmo tempo. Uma limitação deste modem é que ele permite configurar o redirecionamento de apenas 8 portas simultaneamente.
Por exemplo, para permitir que o micro 192.168.1.30 fique acessível via SSH, basta redirecionar a porta 22 para ele. Quando alguém tentar acessar a porta 22 do endereço IP de internet, atribuído ao modem, cairá no servidor aberto no micro da rede local.
Você pode direcionar portas diferentes para endereço IP diferentes, mas nunca direcionar a mesma porta para mais de um endereço ao mesmo tempo. Uma limitação deste modem é que ele permite configurar o redirecionamento de apenas 8 portas simultaneamente.
As operadoras quase sempre bloqueiam as portas 21 e 80 (ftp e http), para impedir que os assinantes dos planos residenciais mantenham servidores. Mas, você pode alterar a porta usada na configuração do Apache ou do Proftpd para 8080 e 2121, por exemplo, para burlar esta limitação. Para verificar seu endereço IP atual, acesse o http://myipaddress.com ou o http://www.whatismyip.com.
Você pode ver uma lista de portas de entrada usadas por vários programas e jogos no: http://www.portforward.com/cports.htm.
Um segundo exemplo é o modem D-Link DSL 500G, que utiliza uma interface de configuração via navegador.
O endereço padrão do modem é 10.1.1.1, login "admin", senha "admin". Para acessá-lo, configure seu micro para utilizar o endereço 10.1.1.2, com máscara 255.0.0.0 (ou outro dentro da mesma faixa) e acesse a url: http://10.1.1.1.
Para compartilhar a conexão, acesse a opção "Home > Quick Configuration", onde vão as informações de acesso. Em "Connection Type" escolha "PPPoE LCC", deixe a opção "Bridge" como "Disabled", a opção "Default route" como "Enabled" e mantenha a opção "use DNS" como "Enable", preenchendo os dois campos com os endereços DNS do provedor. Não se esqueça de fornecer seu login e senha de acesso dentro da seção "PPP", além dos códigos VPI e VCI do seu provedor.
Acesse agora a seção "Services > NAT", onde é ativado o compartilhamento da conexão. No campo "NAT Options" selecione a opção "Nat Global Info" e marque a opção "Enable". Para que a configuração entre em vigor, acesse a opção "Admin > Commit & Reboot".
Você pode ver uma lista de portas de entrada usadas por vários programas e jogos no: http://www.portforward.com/cports.htm.
Um segundo exemplo é o modem D-Link DSL 500G, que utiliza uma interface de configuração via navegador.
O endereço padrão do modem é 10.1.1.1, login "admin", senha "admin". Para acessá-lo, configure seu micro para utilizar o endereço 10.1.1.2, com máscara 255.0.0.0 (ou outro dentro da mesma faixa) e acesse a url: http://10.1.1.1.
Para compartilhar a conexão, acesse a opção "Home > Quick Configuration", onde vão as informações de acesso. Em "Connection Type" escolha "PPPoE LCC", deixe a opção "Bridge" como "Disabled", a opção "Default route" como "Enabled" e mantenha a opção "use DNS" como "Enable", preenchendo os dois campos com os endereços DNS do provedor. Não se esqueça de fornecer seu login e senha de acesso dentro da seção "PPP", além dos códigos VPI e VCI do seu provedor.
Acesse agora a seção "Services > NAT", onde é ativado o compartilhamento da conexão. No campo "NAT Options" selecione a opção "Nat Global Info" e marque a opção "Enable". Para que a configuração entre em vigor, acesse a opção "Admin > Commit & Reboot".
Para configurar o roteamento de portas, acesse a opção "Services > NAT". Dentro da página, selecione a opção "NAT Rule Entry" na caixa de seleção e clique no botão "Add". Ao contrário do Parks 600, este modem já permite direcionar um número indefinido de portas, basta usar um número de identificação diferente para cada regra.
Por padrão já existe uma regra, com o número "1". Ao adicionar uma nova regra, você deve usar o número "2", depois "3" e assim por diante. O número de identificação é informado na opção "Rule ID".
Para fazer redirecionamento de portas, use a opção RDR em "Rule Flavor". Indique o endereço da estação que receberá a porta nas opções "Local Address From" e "Local Address To" (o mesmo endereço nas duas opções) e a porta que será redirecionada nas opções "Destination Port From", "Destination Port To" e "Local Port".
Este modem permite também redirecionar uma porta para outra porta, de número diferente na estação. Você pode, por exemplo, direcionar a porta 2222 no roteador para a porta 22 da estação 192.168.0.10 e a porta 2223 do roteador para a porta 22 da estação 192.168.0.11. Ou seja, você poderia acessar (via Internet) os servidores SSH habilitados nas duas estações (e na mesma porta em ambas) através de diferentes portas do roteador.
Neste caso, você informa a porta do roteador nas opções "Destination Port From" e "Destination Port To", além da porta da estação que receberá o redirecionamento na opção "Local Port".
Por padrão já existe uma regra, com o número "1". Ao adicionar uma nova regra, você deve usar o número "2", depois "3" e assim por diante. O número de identificação é informado na opção "Rule ID".
Para fazer redirecionamento de portas, use a opção RDR em "Rule Flavor". Indique o endereço da estação que receberá a porta nas opções "Local Address From" e "Local Address To" (o mesmo endereço nas duas opções) e a porta que será redirecionada nas opções "Destination Port From", "Destination Port To" e "Local Port".
Este modem permite também redirecionar uma porta para outra porta, de número diferente na estação. Você pode, por exemplo, direcionar a porta 2222 no roteador para a porta 22 da estação 192.168.0.10 e a porta 2223 do roteador para a porta 22 da estação 192.168.0.11. Ou seja, você poderia acessar (via Internet) os servidores SSH habilitados nas duas estações (e na mesma porta em ambas) através de diferentes portas do roteador.
Neste caso, você informa a porta do roteador nas opções "Destination Port From" e "Destination Port To", além da porta da estação que receberá o redirecionamento na opção "Local Port".
Para que as regras entrem em vigor, é necessário reiniciar o modem, através da opção "Admin > Commit & Reboot".
Uma observação importante sobre a interface de administração do 500G e alguns outros modelos da D-Link é que, embora não utilize ActiveX nem nenhum outro recurso especial, a interface de administração não funciona corretamente em todos os navegadores. Para ser mais exato, ela funciona corretamente apenas em algumas versões do IE e do Opera. No Firefox, Mozilla, Konqueror e também nas versões mais recentes do IE, aparecem erros diversos.
No Firefox, por exemplo, a Interface demora absurdamente para abrir e, ainda assim, não é carregada completamente. Uma configuração que ajuda é acessar o "about:config" (esta opção dá acesso às opções avançadas de configuração do navegador, digite na barra de endereços) e alterar a opção "network.http.version" de "1.1" para "1.0". Depois da modificação, a interface passa a funcionar normalmente, mas a opção de redirecionar portas ainda continua retornando um erro de "função não suportada".
Um atenuante para o problema é que a configuração do modem pode ser acessada a partir de qualquer micro ligado ao hub, incluindo máquinas virtuais do VMware. Isso permite testar diferentes navegadores e sistemas operacionais que você tenha em mãos, até encontrar um navegador que funcione perfeitamente. Eu, por exemplo, usei o IE 5 de uma instalação do Windows 2000 dentro de uma máquina virtual do VMware. Felizmente, estes problemas crônicos do Dlink 500G não são comuns em outros modems.
Um terceiro exemplo é um modem Kayomi LP-AL2011P (que é, na verdade, um Conexant Hasbani). Nele, a configuração básica vai dentro da seção "WAN", onde você define os valores VPI e VCI do provedor, o tipo de encapsulamento (escolha "PPPoE LCC), além do login e senha de acesso:
Uma observação importante sobre a interface de administração do 500G e alguns outros modelos da D-Link é que, embora não utilize ActiveX nem nenhum outro recurso especial, a interface de administração não funciona corretamente em todos os navegadores. Para ser mais exato, ela funciona corretamente apenas em algumas versões do IE e do Opera. No Firefox, Mozilla, Konqueror e também nas versões mais recentes do IE, aparecem erros diversos.
No Firefox, por exemplo, a Interface demora absurdamente para abrir e, ainda assim, não é carregada completamente. Uma configuração que ajuda é acessar o "about:config" (esta opção dá acesso às opções avançadas de configuração do navegador, digite na barra de endereços) e alterar a opção "network.http.version" de "1.1" para "1.0". Depois da modificação, a interface passa a funcionar normalmente, mas a opção de redirecionar portas ainda continua retornando um erro de "função não suportada".
Um atenuante para o problema é que a configuração do modem pode ser acessada a partir de qualquer micro ligado ao hub, incluindo máquinas virtuais do VMware. Isso permite testar diferentes navegadores e sistemas operacionais que você tenha em mãos, até encontrar um navegador que funcione perfeitamente. Eu, por exemplo, usei o IE 5 de uma instalação do Windows 2000 dentro de uma máquina virtual do VMware. Felizmente, estes problemas crônicos do Dlink 500G não são comuns em outros modems.
Um terceiro exemplo é um modem Kayomi LP-AL2011P (que é, na verdade, um Conexant Hasbani). Nele, a configuração básica vai dentro da seção "WAN", onde você define os valores VPI e VCI do provedor, o tipo de encapsulamento (escolha "PPPoE LCC), além do login e senha de acesso:
Note que a porta do micro na rede local, para onde é feito o forwarding, não precisa necessariamente ser a mesma que a porta externa. Você pode fazer com que a porta 22 externa seja direcionada para a porta 2222 do micro 192.168.1.2, por exemplo.
Depois de terminar, use a opção "Save Settings" no menu. Este modem precisa de um soft-reset para ativar as alterações.
Postar um comentário