Menu

Opravdovým šéfem sítě

Opravdovým šéfem sítě

Nastavit správně domácí router není o nic složitější než uvařit bujabézu: i když to není jednoduché, se správným receptem to zvládne každý. My jsme připravili kuchařku pro domácí routery.
VRATISLAV KLEGA

Výrobci se snaží ušetřit spotřebitelům práci – proto jsou dnešní routery nachystané tak, že je stačí zapojit do zásuvky, stisknout jedno tlačítko, a Wi-Fi síť funguje. Tento postup nejvíce připomíná přípravu instantní polévky. Kdo si chce pochutnat na výborné francouzské bujabéze, ten si musí dát trochu práce. A kdo chce mít optimální síť, ten si musí s nastavením pohrát. Ukážeme vám, jak dosáhnout dokonalého výsledku.

Najít router

Všechny dnešní routery mají webové rozhraní. Pomocí nich je konfigurace velmi jednoduchá, ale řada uživatelů se k webovému rozhraní vůbec nedostane, protože router připojí a síť funguje. Zkušený uživatel se ale takto nechová.
Do webového rozhraní se dostanete tak, že spustíte webový prohlížeč a do řádku zadáte IP adresu routeru. Jak ji zjistit? Metod je hned několik. Velké množství routerů má svou IP adresu napsanou na spodní části na štítku – hledejte pojmenovaní jako "Default IP", "Router IP" apod. Rozhodně ji najdete také v návodu k routeru. A co dělat, když se vám nechce vstávat od PC? Řešení je jednoduché. Spusťte ve Windows příkazovou řádku (cmd) a zadejte příkaz
ipconfig
Vypíše se konfigurace sítě. Mezi mnoha položkami uvidíte řádek "Výchozí brána ". Za tímto řádkem bude IP adresa vašeho domácího routeru. V 95 % případů se tato IP adresa shoduje s webovým rozhraním routeru, takže právě tuto IP adresu zadáte do internetového prohlížeče. Bude ve tvaru například "192.168.1.1".

Přihlášení

Přivítá vás webové rozhraní routeru, bude chtít znát uživatelské jméno a heslo. Přihlašovací jméno mají téměř všichni výrobci shodné: "admin". Heslo se liší nejen výrobce od výrobce, ale také různé modely mají různá hesla. ZyXEL používá "1234", Netgear používá "password", u D-Linků je třeba nechat políčko pro heslo nevyplněné. To ale nemusí platit pro všechny modely. Nejjednodušší je zadat do Googlu model vašeho routeru a za něj frázi "default password". Jeden z prvních pěti odkazů určitě povede k požadované informaci.
Nyní už uvidíte samotné konfigurační rozhraní routeru. To má každý výrobce jiné a jiné je také u každého modelu routeru. Výhodou je, že názvy a položky v menu jsou si velmi podobné. U některých routerů se po přihlášení může zobrazit "Wizard" nebo-li průvodce nastavením. Toho ale potřebovat nebudete, takže hledejte tlačítka jako "Exit Wizard", případně se vyskočení může jmenovat "Expert mode" nebo nějak podobně.

Nastavení WAN

WAN port je ten, ze kterého vede kabel k vašemu poskytovali internetu. Pokud internet funguje, není vlastně třeba zde vůbec nic měnit. Nejčastěji se setkáte s tím, že WAN port je v režimu DHCP klienta. To znamená, že router u poskytovatele přiděluje vašemu zařízení IP adresu. Ta může být veřejná i privátní, může se pokaždé měnit, nebo může být stejná. U WAN portu toho není moc co nastavovat. Některé routery nabízí možnost zvolit jméno, to ale nemá smysl.
U WAN portu se dost obvykle nastavuje také DNS server. Ten může být poskytován automaticky providerem, nebo si jej můžete zvolit ručně. DNS převádí doménová jména serverů na IP adresy. Když do řádku v prohlížeči zadáte třeba seznam.cz, DNS server převede název na IP adresu 77.75.76.3. Do prohlížeče tedy pak můžete klidně zadat tuto IP adresu a ušetříte si požadavek na DNS server, který trvá několik milisekund. Pokud se vám stává, že "nefunguje internet", často je chyba na straně DNS serveru. Poznáte to tak, že služby jako Skype fungují, ale oblíbený server otevřít nelze. Pokud ale zadáte do prohlížeče jeho IP adresu, je vše v pořádku.
V tom případě je vhodné, když se nespoléháte jen na DNS poskytovatele, ale jako sekundární DNS server zadáte nějaký veřejně dostupný DNS. Doporučit můžeme server na adrese 8.8.8.8, což je veřejně dostupný DNS server Googlu. A ten funguje stále.
K dispozici bývá také funkce pro nastavení MAC adresy portu. MAC adresa je unikátní označení každého síťového prvku. Někteří provideři (dříve to dělalo třeba UPC, později přestalo) umožní připojit k jejich kabelu jen jedno konkrétní zařízení – to identifikuje právě podle MAC adresy. Pokud byste chtěli připojit router, museli byste u providera žádat o změnu. Jinou možností je, že router zkopíruje MAC adresu toho konkrétního zařízení. Buď ji můžete naklonovat tím, že zařízení připojíte k routeru a ukážete na jeho IP adresu, nebo je možné MAC adresu zadat ručně. Na původně registrovaném zařízení zadejte v příkazovém řádku "ipconfig -all" a na řádku Fyzická adresa uvidíte MAC adresu, kterou je třeba opsat.

Nastavení LAN

LAN porty jsou většinou ty čtyři, ke kterým připojujete počítač, notebook, síťovou tiskárnu, síťový disk či jiná síťová zařízení. Standardně mívají LAN porty aktivovaný DHCP server, tedy automaticky přidělí IP adresu novému zařízení v síti. To je velmi komfortní, protože to funguje zcela automaticky. Pokud u některého zařízení nechcete DHCP používat, třeba z důvodu, že chcete, aby mělo stále stejnou IP adresu, nebo zařízení DHCP nepodporuje, nic se neděje – IP adresu je možné nastavit ručně. Jen je třeba, aby byla z rozsahu sítě, který DHCP server přiděluje. Co to znamená, to najdete v samostatném rámečku o IP adresách.

Bezdrátová část

Každého asi nejvíce zajímá nastavení bezdrátové Wi-Fi – protože jsou s ní také často největší potíže. Jak tedy udělat Wi-Fi dokonalou?
REŽIM: V praxi se setkáte celkem se čtyřmi standardy Wi-Fi: 802.11a/b/g/n. Zařízení "b/g" jsou starší, dnes už se až na výjimky nevyrábí, probíhá jejich doprodej. Nenabízí ani velkou přenosovou rychlost, ani propustnost, jsou citlivá na kvalitu signálu, často mají výpadky. Režim "n" je ve všem lepší. Nabízí vyšší propustnost i dosah, je lépe odolný proti rušení i výpadkům. Standard "a" pak pracuje v režimu 5 GHz, ten je téměř nezarušený, ale také je jen velmi málo zařízení, která 802.11a podporují. Co tedy zvolit? Pokud už nemáte žádná stará zařízení, která nemají 802.11n, můžete nechat běžet Wi-Fi jen v tomto režimu. Chcete-li mít jistotu kompatibility, že se vám připojí i starší smartphone či notebook, ponechte volbu "g/n", případně "b/g/n", pokud router první možnost nenabízí. Je-li router vybaven i "áčkovou" Wi-Fi, většinou pro ni nabízí vlastní síť, s vlastním názvem a šifrováním. Taková síť se obvykle používá pro domácí přehrávače, kde je třeba trvalý a dostatečný výkon, třeba při streamování videa.
SSID: Neboli název sítě. Sem zadejte sekvenci znaků, podle které poznáte název sítě. Obvykle se síť jmenuje po majiteli, aby bylo zřejmé, k jaké síti se to vlastně připojujete. S tím souvisí i to, že routery umí SSID skrýt. Buď to bývá označeno jako "Hide SSID" neboli "skryj SSID", případně "Broadcast SSID", tedy naopak "vysílej název sítě". Pokud je SSID skryto, musíte při připojování znát přesný název sítě, jinak se k ní nepřipojíte. Je to taková lehká forma obrany před hackery a hledači sítí.
VOLBA KANÁLU: Pokud to router umožňuje, ponechte volbu na hodnotě "Auto". Je-li v okolí více Wi-Fi síti, navzájem se ruší. Rušení lze zamezit tak, že každá Wi-Fi pracuje na svém vlastním kanále, s dostatečným odstupem. Pokud má router možnost automatické volby kanálů, mění frekvenci tak, aby byl přenos co nejméně rušen. Vybíráte-li kanály ručně, doporučujeme vyhnout se kanálům 12 a 13. Řada zařízení si s nimi neporadí a pak budete marně zjišťovat, proč váš notebook nevidí Wi-Fi síť. Volba kanálu je základním předpokladem pro stabilitu sítě.
ŠÍŘKA KANÁLU: Na výběr máte 20 nebo 40 MHz. Rychlost 20 MHz umí u 802.11n nabídnout maximálně 150 Mb/s, 40 MHz pak až 300 Mb/s. Je tedy zřejmé, že větší šířka kanálu znamená lepší propustnost. Hodnota nemá vliv na dosah signálu. 40 MHz je tedy lepší volbou, ale jen teoreticky – zasahuje totiž do více sousedních kanálů, a pokud jsou tyto zarušené jinými sítěmi, vzroste chybovost přenosu, což je samozřejmě nežádoucí.
WMM: Většina routerů tuto funkci nabízí, často bývá ovšem opomíjena. O co se jedná? WMM je zkratka pro Wi-Fi Multimedia. Bezdrátový přenos není vhodný pro náročné aplikace, kde je důležité minimální zpoždění nebo vysoká propustnost dat. Proto vznikl WMM, který automaticky upravuje prioritu přenosu. Telefonujete přes Wi-Fi pomocí technologie VoIP? Router to pozná a dá vám naprostou prioritu, aby měl hovor dostatečnou šířku pásma a bylo minimalizováno zpoždění. To samé platí pro streamování videa. WMM se zkrátka snaží minimalizovat chybovost Wi-Fi sítí. Pokud má váš router WMM certifikaci, doporučujeme funkci aktivovat.
FRAGMENT THRESHOLD: Když Wi-Fi přenáší pakety, může je rozdělit. Hodnota fragment threshold označuje, jak velký paket má být již rozdělen, obvykle je možné nastavit hodnotu od 256 do 2 346 bajtů. Proč vůbec pakety dělit? Pokud není v okolí žádná síť, bude přenos bez rušení a bez potíží budou pakety procházet. Takže mohou být velké. Režie přenosu (myšleny hlavičky paketů, které nepřenáší žádná data, pouze obsahují informace o paketu) pak tvoří zanedbatelnou část přenosu – ten je rychlý. Jenže pokud bychom stejně velké pakety použili ve velmi zarušeném prostředí, každý druhý nebo třetí paket by byl poškozen a musel by se poslat znovu. Pokud se ale pakety rozdělí na malé (nízká hodnota fragmentace), bude se muset znovu posílat třeba jen každý dvacátý paket. Nevýhodou je, že hlavičky paketů, tedy režie přenosu, tvoří velmi významnou část přenášených dat. Hodnotu doporučujeme nastavit vysokou a snižovat ji v případě, že je přenos pomalý, s velkými ztrátami.
RTS/CTS THRESHOLD: Pokud je v síti málo Wi-Fi klientů, kteří komunikují ve stejném okamžiku (5 a méně), ponechte RTS na maximální hodnotě, tedy 2 347, tím je funkce RTS deaktivována. Jestliže naopak máte více klientů, kteří komunikují přes Wi-Fi ve stejném okamžiku, hodnotu snižte, třeba cca na 1 000. Znamená to, že klienti čekají, až jim AP dovolí komunikovat, a nevysílají jeden přes druhého. To přináší do sítě sice zpoždění, ale větší pořádek. Důležité je, že router i všichni klienti musí mít nastavenu stejnou hodnotu!
BEACON INTERVAL: Udává, jak často se vysílá interval pro udržení spojení. Pokud vám spojení často vypadává, tuto hodnotu snižte. Bude to samozřejmě za cenu snížení propustnosti sítě.
PREAMBLE TYPE: Na výběr jsou hodnoty Long nebo Short. Toto nastavení udává, jak dlouhý je CRC. Nastavit Long, nebo Short? Pokud provozujete Wi-Fi ve značně zarušeném prostředí, měla by být hodnota Long. To sníží přenosovou rychlost, ale také ztráty paketů. Nemáte-li v okolí sítě, které se ruší, nastavte Short. Dosáhnete vyšší přenosové rychlosti i minimalizujete zpoždění paketů.

Šifrování Wi-Fi

Kdo má otevřenou a nezabezpečenou síť, ten si koleduje o problémy. Wi-Fi byste měli mít vždy šifrovanou.
WEP: Jedná se o nejprimitivnější způsob zabezpečení Wi-Fi sítě, i začínající hacker dokáže WEP prolomit během několika sekund. Je to lepší než zcela otevřená síť, pokud ale nemáte nějaký závažný důvod, tak se zabezpečení WEP vyhněte.
WPA: To je modernější způsob zabezpečení. Profesionální hacker jej prolomí za pár minut, ale takových po ulici mnoho nechodí a navíc potřebuje dostatečně výkonný hardware. WPA nabízí dva režimy: TKIP (Temporal Key Integrity Protocol) a AES (Advanced Encryption Standard). Za mnohem bezpečnější je považován právě AES, pokud tedy nemáte důvod volit TKIP, zvolte AES. Toto šifrování funguje na základě předsdíleného klíče neboli jednoduše hesla. Méně příjemnou variantou je, že si zapamatujete 64 znaků v šestnáctkové soustavě (číslice 0–9 a písmena A–F). Druhou možností je, že použijete tzv. "passphrase", což je vlastně heslo, ze kterého se klíč vygeneruje. Toto heslo musí být dlouhé minimálně osm znaků.
WPA2: Rozdíly mezi WPA a WPA2 nejsou velké. Zjednodušeně by se dalo říct, že WPA s AES je to samé co WPA2. U WPA2 není povoleno používat TKIP (to neznamená, že se tak neděje, řada zařízení totiž pochází ještě z doby před certifikací WPA2). Nevýhodou WPA2 jsou vyšší nároky na výkon. Pokud tedy v síti používáte zařízení, která nepřekypují výkonem, třeba smartphony, bude vhodnější zvolit WPA. WPA2 AES je doposud považován za bezpečný.

Firewall

Všechny dnešní routery jsou vybavené firewally, byť to nejsou žádné zázraky. Co obvykle nabízí?
FILTROVÁNÍ PORTŮ: Nechcete, aby ve vaší síti někdo stahoval soubory z FTP serverů? Pak zapněte "Port Filtering" a do Port Range zadejte 21 – 22. A pravidlo přidejte či aktivujte. Pomocí filtrování portů lze zakázat přístup prakticky ke všem internetovým a síťovým službám, stačí vědět, jaké porty vyfiltrovat. Stačí do Googlu zadat "přehled portů", a najdete dlouhé seznamy čísel portů.
PŘEDÁVÁNÍ PORTŮ: Když je počítač za domácím routerem, je z internetu jen složitě dostupný. Občas je ale třeba, aby bylo možné přistupovat k počítači a nějaké jeho službě i přes router a tzv. překlad adres. K tomu slouží předávání portů neboli port forwarding. Do konfigurace zadáte, které porty chcete předávat a na kterou IP adresu počítače, a potvrdíte. Předávání portů hodně často potřebují také on-line hry. Najít, které porty je třeba nechat předat, je velmi jednoduché – stačí zadat název programu do Googlu a za něj přidat "port forwarding".
DMZ: Demilitarizovaná zóna má u domácích routerů trochu jiný význam, než je tomu v profesionální síťařině. Domácí routery vlastně nedělají nic jiného než že na IP adresu DMZ, kterou zadáte v konfiguraci, přeloží veškeré porty. Co to znamená? I když máte počítač skrytý za routerem, bude prakticky stejně viditelný, jako by byl přístupný z internetu – router bude v podstatě transparentní. To umožňuje snadněji konfigurovat serverové služby, ale také je to zdrojem rizika, protože hackeři se do počítače mohou jednodušeji dostat.

Aktuální

Tak jako se aktualizuje operační systém, tak je třeba čas od času aktualizovat také router. Výrobci vypouští aktualizace maximálně párkrát do roka, ale doporučujeme čas od času zkontrolovat, jestli není k dispozici nová verze firmwaru. Lepší routery umí kontrolovat verzi firmwaru přímo z webového rozhraní, u těch obyčejnějších musíte zajít na stránky výrobce a zde hledat v části Support.
VRATISLAV.KLEGA@CHIP.CZ


IP adresa, maska, multicast atd.
Příliš mnoho zkratek a složitostí? Vše jednoduše vysvětlíme.
IP ADRESA je číslo sloužící k identifikaci počítače v síti. Celou dobu zde uvažujeme IPv4, na IPv6 doma nenarazíte. IP adresa se skládá ze čtyř osmibitových čísel – každé z čísel nabývá hodnoty od 0 do 255. První až třetí číslo většinou udává adresu sítě, poslední číslo obvykle udává adresu počítače. Zda to tak je, to určuje tzv. maska sítě. Jak to funguje? IP adresy i maska pracují ve dvoubitových zápisech. Takže adresa 192.168.1.10 vypadá ve dvojkovém zápisu takto: 11000000.10101000.00000001.00001010
MASKA SÍTĚ pak ukazuje, co je adresa sítě a co už je adresa počítačů. Typická maska, která se používá u domácích routerů, má hodnotu 255.255.255.0. Když si toto číslo převedeme do dvojkové soustavy, získáme následující hodnoty: 11111111.11111111.11111111.00000000 Nyní stačí obě dvojková čísla vynásobit mezi sebou a tím dostanete adresu sítě. Násobí se každé číslo zvlášť, výsledek vypadá takto: 11000000.10101000.00000001.00000000 Toto je adresa konkrétní sítě, třeba té vaší domácí. V desítkové soustavě má přehlednější zápis, a to ve tvaru 192.168.1.0.
Toto není IP adresa, ale je to adresa sítě – nemůže ji mít žádný počítač nebo router. Bývá zvykem (nikoliv pravidlem), že první IP adresu v síti má směrovač, nebo chcete-li router. Také pozor na poslední adresu – 192.168.1.255. To je tzv. multicast. Pokud zavoláte tuto IP adresu, voláte zároveň úplně všechny IP adresy této sítě, tedy z rozsahu 192.168.1.1 – 254. Asi tušíte, že takový multicast dá routeru pořádně zabrat, protože je to on, který musí pakety rozeslat všem.
LOCALHOST Existuje speciální rozsah adres, který začíná číslem 127, obvykle se tedy používá 127.0.0.1, což není IP adresa žádného počítače v síti, ale je to adresa toho počítače, na kterém právě pracujete. Je to vlastně smyčka, při které se požadavek odešle zpět na ten samý počítač. Chcete třeba vědět, zda neběží na vašem PC webový server? Jednoduše do prohlížeče zadáte 127.0.0.1. Nebo chcete vědět, jak vypadá sdílení vašeho FTP? Opět bude stačit tato adresa s příslušným číslem portu.
VEŘEJNÉ × SOUKROMÉ IP ADRESY
Pokud máte domácí router, všechny IP adresy ve vaší síti jsou tzv. neveřejné, soukromé či privátní. Tzn. že nikdo z internetu se na ně nedostane a neuvidí je. Které adresy to jsou? Jsou to sítě 10.0.0.0, 192.168.0.0 a 172.16.0.0. Pokud vaše IP adresa spadá do těchto sítí, je neveřejná. Mimo je pak v předchozím odstavci zmíněný localhost a také síť 169.254.0.0, která se nazývá zeroconf. Máte-li tuto IP adresu, na 99 % to znamená, že síť nemáte nakonfigurovanou a něco je špatně.


Jak zabezpečit router
K zabezpečení routeru je třeba udělat tři věci. Pak se do něj nikdo nedostane.
1) Změňte si přístupové heslo k routeru. Ve webovém rozhraní uvidíte položku Management, ve které se spravuje nastavení routeru. Zde bude položka Password, ve které bude možné změnit heslo k přístupu k routeru. Je třeba jednou zadat staré heslo a dvakrát nové.
2) Zabezpečte si Wi-Fi. Minimem je ochrana WPA AES. Přes zabezpečenou Wi-Fi se nikdo nebude moci připojit k vašemu routeru.
3) Zakažte přístup do konfigurace routeru z WAN portu. Většinou se funkce nazývá "Web Server Access on WAN".


Jak funguje WPS
WPS neboli Wi-Fi Protected Setup zvyšuje bezpečnost bezdrátových sítí. Bezpečně připojit nové Wi-Fi zařízení umí i nezkušený uživatel. Jak to funguje? WPS pracuje ve dvou režimech.
PEC
Push Button je nejjednodušší metoda, jak připojit bezdrátové zařízení k Wi-Fi routeru. Název Push Button napovídá: Na routeru stisknete WPS tlačítko a během několika sekund stisknete toto tlačítko také na svém Wi-Fi zařízení. Obě zařízení si navzájem vymění kódy a šifrované spojení je hotové. Bez pamatování hesel.
PIN
Druhá metoda používá PIN kód. WPS router má většinou na sobě cedulku s osmimístným PIN kódem. Ten je třeba zadat na klientovi, pak se opět vymění klíče. Ve webových rozhraních routeru je obvykle možné PIN kód změnit. Metoda pomocí PIN kódu je komfortní především u zařízení, která nemají alfanumerickou klávesnici, ale jen číselnou - PIN se skládá pouze z čísel.

Foto:  WPS: V nastavení routeru stačí aktivovat, že povolujete připojení kliknutím.
Foto:  Kliknutí: Na Wi-Fi klientovi pak také stačí stisknout jediné tlačítko.Foto: Vlastní DNS: Pokud mají DNS servery vašeho providera výpadky, použijte vlastní, třeba ty od Googlu.
Foto: Režim Wi-Fi: Máte-li doma už jen "enková" zařízení, můžete ponechat běžet jen "n".
Foto: Šifrování: Kombinace WPA2 a AES nabídne nejlepší možnou úroveň zabezpečení.