unixforum.org

Всем здравствуйте!

Купил usb модем huawei e369. Купил карту sim для него от оператора мтс. Подключил тарифный план: безлимитный интернет (интернет-super за 450 руб/мес).Живу в Н.Новгороде, если что.

Настроил модем с помощью pppconfig. Все работает, все здорово, все хорошо.
ОС-Debian(jessie/sid-unstable).

Вопрос: как настроить сжатие интернет трафика и mppe шифрование, и возможно ли это вообще? И нужно ли это делать?

На всякий случай напишу, что настраивал я данный модем тремя разными способами (использовал три разные программы):
-pppconfig;
-wvdial;
-network-manager-gnome;

Через все программы успешно (почти) настроил и в сеть интернет соответсвенно вышел.
Но через pppconfig мне больше понравилось+не надо ставить gnome и network-manager.

А wvdial ругалась на строку инициализации, если вписать APN оператора. Так-что от wvdial
я отказался.

Через pppconfig настраивал по этой статье:ссылка

Только настройки: APN, номер дозвона до оператора, логин/пароль я ввел другие и не ставил никаких драйверов с модема.

Для начала нужно понять поддерживается-ли сжатие на стороне провайдера. Кажется при установлении соединения его участники передают список поддерживаемых опций. Думаю если при установлении соединения включить вывод отладочной информации то нужна инфа там будет.
Хотя можно просто попробовать его включить и посмотреть работает-ли, достаточно одной строчки в конфиге ppp (кажется bsdcomp, но не поручусь, посмотри man ppp)

Попробуйте добавить в /etc/ppp/peers/provider опцию require-mppe и посмотрите, что из этого выйдет.

Да забыл написать, что если в network-manager-gmome в параметрах подключения к беспроводной сети я ставил использовать mppe шифрование, требовать 128 битное mppe шифрование, использовать mppc сжатие;

то выдавался запрос на ввод пароля, я его вводил, но сеть установить так и не удалось.

А такие методы аутентификации как chap,eap и т.д; ипользовать сжатие заголовков tcp/ip и т.д; я оставил; связь устанавливалась и в интернет я выходил.

igor@igor писал(а): ↑

10.07.2013 00:11

сеть установить так и не удалось

Значит провайдер этого не поддерживает. Для верности можете уточнить... если пробьётесь через первый уровень ТП.

Bizdelnick писал(а): ↑

10.07.2013 00:09

Попробуйте добавить в /etc/ppp/peers/provider опцию require-mppe и посмотрите, что из этого выйдет.

Я добавлял соединение не устанавливалось. Ждал минуты 2-3 наверное.
А без этой опции и без опции require-mppe-128 за 15-20 cек. соединение устанавливалось.

Упоминание шифрования я не заметил. Честно говоря не уверен что от mppe в данном случае будет хоть какой-то прок. Может быть будет лучше поднять нормальный шифрованный тоннель на какой-то свой хост (домашний комп, или веб-хостинг с доступом по ssh)?

То есть лучше позвонить оператору/провайдеру. И Спросить про шифрование.?

Нет я просто подумал,что где то я неправильно что-то делаю.

А для организации такого шифрования больше никакого оборудования не требуется?

Какого «такого»? В общем случае для шифрования никакое дополнительное железо не требуется, хотя бывают исключения (когда нужно шифровать очень много и очень быстро есть смысл использовать специализированное железо, но у вас явно не тот случай).

MrClon писал(а): ↑

10.07.2013 00:19

Упоминание шифрования я не заметил. Честно говоря не уверен что от mppe в данном случае будет хоть какой-то прок. Может быть будет лучше поднять нормальный шифрованный тоннель на какой-то свой хост (домашний комп, или веб-хостинг с доступом по ssh)?

Дело в том что я раньше этого не делал. Опыта у меня в этом 0 и знаний маловато про построение сетей и т.д. А модем usb я взял для ноутбука.

P.S. разумеется для создания шифрованного тоннеля к своему серверу нужно иметь свой сервер. В прочем как я уже сказал можно ограничиться дешёвым веб-хостингом и ssh-тоннелем.

MrClon писал(а): ↑

10.07.2013 00:25

Какого «такого»? В общем случае для шифрования никакое дополнительное железо не требуется, хотя бывают исключения (когда нужно шифровать очень много и очень быстро есть смысл использовать специализированное железо, но у вас явно не тот случай).

Нет я просто уточнил на всякий случай.

MrClon писал(а): ↑

10.07.2013 00:28

P.S. разумеется для создания шифрованного тоннеля к своему серверу нужно иметь свой сервер. В прочем как я уже сказал можно ограничиться дешёвым веб-хостингом и ssh-тоннелем.

Спазибо за предложение. Но я лучше оставлю эту затею на потом, на будущее.





А вот в сжатии трафика смысл имеется?

Не уверен. Возможно для медленных соединений смысл есть.

Нет, все-таки сжатие постараюсь настроить, с ним-со сжатием по-лучше будет.
man почитаю, попбробую. Тем более, если уж в nm работало

Вобщем вроде-бы настроил я сжатие (правда не знаю правильно или нет, но надеюсь, что правильно).

Сделал так:
добавил в /etc/ppp/peers/mts следующие значения:

deflate 15,15
bsdcomp 15,15

Соединение есть, в интернет выход есть. Выше 15 значения nr,nt поднимать не стал.

А вот про включение сжатия заголовков tcp/ip в мане не нашел (или не увидел).
Отключение есть: novj

Значит сжатие заголовков tcp/ip включено и используется как я понял?

Далее я перенастроил arno-iptables-firewall:

указал внешним интерфейсом ppp0, и на всякий случай прописал шаблон интерфейсов ppp+:

Перестраховался (надеюсь это не страшно);

А также запретил dhcp на внешних интерфейсках;

Хотя ip адреc каждый раз новый (но это на выход в сеть никак не повлияло).

Далее прописал ppp0 в /etc/network/interfaces, но при перезагрузке системы шла ругань: от arno-iptables-firewall -интерфейс ppp0 не найден.

Потом я закомментировал настройки интерфейса ppp0 в /etc/network/interfaces.

Поднимаю так интерфейс ppp0 и соединение соответственно: pon mts;

далее nmap -v APN полученный ip -

nmap выводит, что все просканированные 1000 портов закрыты;

значит я в принципе сделал все правильно.

Ну и соответственно ругань при перезагрузке от arno-iptables-firewall остается (но я думаю это не критично, потому что сначала влючаю ноут, потом подсоединяю сам модем, поднимаю соединение, и правила фаервола начинают работать-вывод nmap это подтверждает). Если нужны какие-либо выводы из консоли, то предоставлю.

Всем привет снова!

Вообщем решил я не продолжать эксперименты с шифрованием. Оператору/провайдеру я тоже решил не звонить.

Попробовал правда сделать следующее: в /etc/ppp/peers/mts прописывал следующие значения-
require-eap
require-mschap
require-mschap-v2
requre-chap

как в мане pppd написано, но шла ругань, все я это естеественно удалил.




Оставил настройки, созданные через pppconfig ( только добавил опции deflate, и bsdcomp).

Вот еще что заметил:

если в файл /etc/chatscripts/mts в строку инициализации модема:

#modeminit

Не добавлять APN оператора, то соединение устанавливается быстрее.

Но я все же добавил (как и положено):

#modeminit
'' ATZ,"IP","internet.mts.ru"'

Ну и принастройке pppconfig метод аутентификации выбрал chap как и писал ранеее



И вот вопрос: такая настройка более/менее правильная? В плане безопасности?

На сколько я понимаю у тебя логин:пароль для доступа в сеть mts:mts? Настройки аутентификации влияют на то как эти логин и пароль будут передаваться серверу. Но учитывая что ни и так общеизвестны, какой в этом смысл в их безопасной передаче?

MrClon писал(а): ↑

11.07.2013 20:44

На сколько я понимаю у тебя логин:пароль для доступа в сеть mts:mts? Настройки аутентификации влияют на то как эти логин и пароль будут передаваться серверу. Но учитывая что ни и так общеизвестны, какой в этом смысл в их безопасной передаче?

Именно они родные. Что меня сильно удивило, что в комплекте с картой sim ничего кроме номера абонента не было, даже договор не заполненный (брал в ближайшем связном).

А все остальное: номер дозвона, логин/пароль, apn, узнал из nm. На сайте мтс я посмотрел, уточнил и т.д.

Я как-то хотел более правильней что-ли настроить? или как-то так?

Ну вообщем всем спасибо за участие в теме!