26 Senaste redigerad av E Kafeman (2018-06-19 13:21:13)

Sv: 4G router som backup till fiber, samma gateway ip?

Nmap är något av standard-verktyg som finns installerat i de flesta Linux-routrar.
Om man är hacker så är nmap mindre penetrering än vad ping är.
Ping ger informationen om det finns en aktiv webb-server.
Nmap ger bara om det finns en öppen port i goggels router. Om det finns en server bakom routern har man inte tagit reda på.
Med nmap testas om din lokala nätverksförbindelse kan nå Googles "router".
Med Ping testas även om Googles webserver har problem. Om den skulle ha det är då dum anledning att du ska byta anslutning lokalt. Googles server lär ändå ha samma problem.

Att somliga routrar har watchdog som kan boota om egna routern eller byta inkommande nätverksport om ping till någon mer välkänd webserver inte fungerar är enkelt att förstå men är inte alltid bästa sättet att fixa problemet, om det skulle ligga på Googles sida eller vem nu webbservern tillhör.

Ping är praktiskt då det är ett sätt att kolla om det går kontakta en viss server och ger även hur lång tid ping-kommunikationen tog.
Att det kan luras ibland pga t.ex. mellan-cachning kan vara värt det ändå, då det oftast stämmer.
Jag använder mej själv av liknande kod för att just fjärrövervaka att en av mina egna servrar i USA svarar på anrop.
Blir svarstiden onormal åt något håll eller helt uteblir så skickar mitt script ett SMS till mej från dator som står hemma.
Anledningen till den extra övervakningen är att en programvara som jag skrivit för antenn-design, för att programvaran ska kunna startas måste den få en licens av servern (www.antune.net) vid varje uppstart. Det är många kommersiella företag som är beroende av att denna programvara fungerar, då de annars inte kan designa några antenner den dagen ;-)
Därför är övervakningen rätt intensiv.

Detta är inte reklam för att vem som ska ladda hem programvaran, den är helt ointressant om man inte har tillgång till VNA (Vektor Nätverks Analysator) eller andra motsvarande  mätinstrument, som man dessutom är skicklig på att använda.

27

Sv: 4G router som backup till fiber, samma gateway ip?

Tack för de ingående förklaringarna. Men innehåller allt som jag kan pinga i mitt lokala nätverk verkligen en server? 

Jag har undrat om det är något som AVM finner mindre tilltalande med ping-metoden för att byta anslutning eftersom de inte infört funktionen i 6890-routern som kombinerar xDSL och 3G/4G. Dilemmat kan vara att det är så enkelt att pinga och många känner till det. Möjligen kan en funktion som bygger på nmap vara mer svårförståelig för användare som ska ställa in routern.

Jag ska fråga internationella försäljningschefen som jag har lite kontakt med och dessutom beställa hem en 6890 router.

LTE testare på 4G 2600, 1800, 900, 800 med Fritzbox AVM 6890, AVM6840, AVM6842, AVM 6820 och AVM 7590/7490/7390 samt diverse mifis från ZTE och Netgear. Några huaweimodem på hyllan.

28

Sv: 4G router som backup till fiber, samma gateway ip?

Den som ska svara på ett ping måste förstå ICMP "Internet Control Message Protocol". Ping är en del av denna strukturen.
Det är normalt endast en server av något slag som som kan svara på ping.
Alla IP-adresser i ditt nätverk som svarar på ett ping bör således innehålla en server men motsatsen är inte alltid sann.
Det går inte dra slutsatsen att inget svar på ping -> här finns ingen server.
Ping-funktionen går ofta i serverkonfigurationen stänga av. Även om svar på ping uteblir kan servern ändå finnas där.

Om man tillverkar en produkt typ en router, som är default intställd på att automatiskt ständigt pinga någon annans server, så kan det bli avsevärd last på den servern om kanske 10-20.000 routrar samtidigt börjar pinga en och samma server.
Servern kan i princip riskera haverera av överlasten alternativt inte ha tid att leverera web-sidor då svarandet på alla ping tar all dess tid.
Större servrar typ google tål trafiken men kan mycket väl närsom stänga av svar på ping.
Många större servrar stänger av ping rutin-mässigt numera som ett led i att minska ingångsvägar för överbelastnings-attacker. Om du provar att pinga msb.se så blir det inget svar alls. Det betyder inte att servern är nere utan man har medvetet stängt av funktionen.

För AVM blir det en värderings-fråga om de ska förse routrarna med funktion som kräver att andra server-ägare får betala en del av räkningen.

Det är ungefär samma som med dynamisk IP. Många routrar har funktionen att anropa en yttre webb-tjänst för att få reda på sin aktuella IP och vid behov uppdatera en DNS-tjänst så att routern blir nåbar under ett fast namn.
De som står för webbtjänsten att leverera din routers aktuell IP vill på ett eller annat sätt ha betalt för server-tjänsten.
Flera router-tillverkare har gjort avtal att få ha sådan funktion i routern gratis via tjänster typ www.dyn.com.
Således betalar Asus/DLINK/Netgear till dyn.com för att få använda dessa som funktion i routern.
Nackdelen är att man får nöja sej med något kryptiska server-namn om man vill anropa tjänster som finns innanför routern utifrån.

Det är ok för tillverkaren av routern att ha för-installerade funktioner i routern så länge de inte förlitar sej på att någon annans server ska stå för en del av funktionen och kostnaden.

Ur förenklat slutanvändar-perspektiv kan "goggle" räcka som konfiguration oavsett metod typ ping eller nmap.

29

Sv: 4G router som backup till fiber, samma gateway ip?

Men med nmap så krävs inget svar från den portscannade adressen och det uppstår inget belastningsproblem?

LTE testare på 4G 2600, 1800, 900, 800 med Fritzbox AVM 6890, AVM6840, AVM6842, AVM 6820 och AVM 7590/7490/7390 samt diverse mifis från ZTE och Netgear. Några huaweimodem på hyllan.

30

Sv: 4G router som backup till fiber, samma gateway ip?

Belastningen är betydligt mindre vid nmap än ping men även nmap kräver att routern utför något.

En server sitter normalt på nätverket innanför routern. Ett ping måste därför vidarebefordras av routern till servern som besvarar pinget. Det aktiverar sedan routern för andra gången när svaret levereras från servern.
Det kräver lite jobb för routern två gånger samt för datorservern som fanns bakom.

Vid nmap är det bara routerns brandvägg som behöver utföra något arbete. Utöver nmap finns många funktioner som på liknande sätt anropas per port-basis. Som exempel så är det helt olika hemsidor hos mej om man anropar www.xxx.se alternativt www.xxx.se:81.
81 anger ett portnummer som routern vet hur det ska hanteras. I mitt fall skickas den trafiken till en helt annan dator. När det inte angavs något portnummer är det detsamma som underförstått port 80, dvs www.xxx.se:80.

Vid portförfrågan är det routern eller dess brandvägg som står för svars-responsen som kan vara en av följande:
Accept
Reject
Drop
Vad som ska svaras går sätta efter en mängd olika regler i routern för varje enskild port.
Min router laddar varje vecka hem en lista med oönskade IP-adresser, för sådana som är kända att hacka IP-telefoni.
Vill inte att dessa IP-adresser ska kunna nå min telefonväxel som finns innanför routern. De är därför blockerade från port 5060 genom att de ges svaret "Drop" vid anrop.
Vid Drop och Reject sker i routern tekniskt samma sak men Drop är lite speciell, då den är "inget svar alls" till den yttre anroparen. Den som anropat väntar tills dennes egna timeout inträffar eftersom något svar från routern aldrig kommer.
Hade man blockerat oönskade IP-numret genom "Reject" hade de omedelbart fått svaret att porten var stängd för dom.
Vid Drop får de sitta och vänta någon sekund på timeout, vilket gör massiva attacker med mängder av anrop lite svårare.

Vid svaret Accept innebär det att man får bekräftelse på att porten var öppen och något hände.
Detta något kan vara väldigt olika saker, allt från att väcka en hel dator som finns någonstans bakom brandväggen till att man i routern endast sätter porten till "Log".
Det enda som händer vid Log är just att trafiken loggas såsom accepterad. Anropande dator får inga mer svar.
Detta är också en form av fjärr-övervakning som inte kräver så mycket data-utbyte. Fjärr-datorn får svaret att dess anrop  är loggat och du kan i loggen se vilka datorer som när var hur ropade hem senast.

Jag inte är särskilt kunnig inom detta med nätverk och protokoll så det kan absolut vara på sin plats att dubbelkolla alla påståenden.
Det jag kan är till stor del sådant som man varit tvungen att googla fram för att utföra just de funktioner jag har behov av.
Om möjligt stjäl jag andras script och utgår från dessa för att skapa min egna variant.
Även om just min kompott av prylar och behov för dessa på mitt lokala nätverk är unik så finns många med snarlika behov, vars erfarenheter man kan nyttja.

Om du har tillgång till ett kommando-fönster i routerns interface eller kan kan logga in i din router med t.ex. Putty kan du där prova att skriva "iptables -L -v" Då kan du se vilka regler för anrop till portar som är uppsatta i just din router samt hur stor trafiken varit för just denna funktionen.

När jag går in i min router och skriver detta kommando just nu,  så ser jag att det på tre dagar varit 198 av script blockerade försök att nå min IP-telefon.
Det är hackningsförsök där man inte ens kommit åt att testa olika använda-identiteter.
Ett fåtal ej blockerade IP-adresser har kommit ett steg längre men har stoppats genom att andra delar av deras anrop gör att de klassas som oönskade.
Antalet försök per dygn är normal-lågt.

31

Sv: 4G router som backup till fiber, samma gateway ip?

Urk vad mycket intrångsförsök. Tack för den ingående redogörelsen. Jag noterar att du inte gör anspråk på stor expertis inom nätverksområdet men jag ställer ändå frågan om vilken metod du nu efter denna diskussion finner lämpligast ur uppförandesynpunkt på nätet för att kolla att en internetförbindelse finns. Finns det ändå bättre än nmap om man inte vill belasta nätet? Sett i stort förekommer det väl en enorm mängd portscanning på nätet bl a för hackningsförsök så nmap mot enstaka portar för att kolla internetförbindelse kanske vore en marginell företeelse även om många skulle använda funktionen.

LTE testare på 4G 2600, 1800, 900, 800 med Fritzbox AVM 6890, AVM6840, AVM6842, AVM 6820 och AVM 7590/7490/7390 samt diverse mifis från ZTE och Netgear. Några huaweimodem på hyllan.

32 Senaste redigerad av E Kafeman (2018-06-21 02:49:06)

Sv: 4G router som backup till fiber, samma gateway ip?

Det är försvinnande marginella laster det handlar om ifall man kör sin egna port scanner eller ping mot en större server.
Inte ens om man låter 100 andra routrar köra mjukvaran som man plitat ihop blir det någon nämnvärd last.
Det kan börja närma sej något om man har 1000 eller 10.000 st routrar som kör något helt synkroniserat så att alla anrop kommer till en bättre router/server exakt samtidigt.

Min router klarar i teorin 256 samtidiga pågående anrop utan att bli blockerad. Om den i praktiken klarar 50 anrop är det nog bra.
Routerns totala process-tid för att göra rätt åtgärd vid anrop av nmap är kanske en 50-del av vad ping kräver.
Risken för resursbrist i routern pga många samtidigt pågående anrop minskar om varje enskild händelse tar kortare tid att utföra, så även där har nmap som verktyg en fördel relativt ping.

För att minska problemet att själv riskera få timeout på en tjänst som körs regelbundet så startas den aldrig vid jämna timslag eller midnatt. Det är så många andra som har sin router att starta om vid midnatt till söndag så det skulle jag aldrig göra. Vänta några minuter kan göra stor skillnad.

Omstart varje vecka är enklast lösning som man får räkna med, det finns inga routrar som är immuna mot mindre optimalt skrivna program och i synnerhet Linux-routrar som driftas aktivt har i princip exakt samma mjukvaruversioner med tillhörande buggar och problem.
De flesta routrar har egna städprocedurer för den fasta grund-programvaran så kör du routern utan massa tillägg så behövs knappast omstart mer än så ofta som den ändå råkar få strömavbrott.

Det förekommer en mängd automatiserade intrångsförsök på nätet.
De som scannar på nätet har även de ett intresse av att scanna av så många ip-adresser och portar som möjligt för att snabbast möjligt finna offer.
Typiskt så scannas en sekvens av ip-adresser för en specifik som är öppen, vilket skvallrar om att det finns möjliga attackvägar för just det man är ute efter. För IP-telefoni så är det främst port 5060. Port 21 är är ingång för en FTP-attack som kan ge full kontroll över en dator.
Man skannar därför endast efter just den porten man är intresserad för att hinna med så många ip-adresser som möjligt. Anta att det är just port 5060 man söker efter.
När man sedan hittat en möjligt öppen port på en ip-adress så byter man till programvara som är specialiserad på att hacka sej igenom aktuell mjukvara som finns bakom porten. När det är klart kommer tredje raketsteget, en programvara som analyser vilken typ av ip-telefon det är frågan om och med den kunskapen kan instruerar din ip-telefon att ringa till ett betalnummer för 200kr/min. Den som hackat din dator äger givetvis även betalnummret. Normalt får denna betala hälften av inkomsten till landets tele-administratör men det kan bli en bra slant ändå.
I många länder är det satt en max-gräns hur mycket man får debitera per minut. I Sverige tar det därför längre tid att tömma ett konto men om du ringer till ett telefonnummer i Övre Volta kan pengarna ticka på kvickt.
Det finns massor av varianter på detta.
Det senaste som jag obekräftat hört om, är att man nöjer sej med vittja kontot på någon krona samt att man sparar alla inloggningsuppgifter så att det går lätt att återkomma.
På det viset töms inte kontot direkt och du hinner fylla på ditt egna konto många gånger utan att ana att någon tar någon krona i veckan.
IP-telefoni står högt i kurs bland de som söker av internet på bred front just därför att det är lätt att omsätta i pengar.

De som hackar på detta viset är sällan något vidare kunniga. De har laddat hem färdiga programvaror som gör jobbet åt dom utan att de begriper riktigt hur det går till.
Behöver du en programvara som tar dej förbi lösenord finns massor att välja på.
Dessa är inte programvaror som man hittar på suspekta websaiter utan ofta helt öppna verktyg som undan för undan förbättras av  de som är djupare kunniga på sådant. Inte sällan folk från universitets-världen.
Ett välkänt exempel: http://www.openwall.com/john/
Se även utbudet som erbjuds på denna site under menyvalet "Products". ;-)
Så här kan en typisk pågående attack se ut från attackerarens sida:  https://youtu.be/6L05BLAN5dA

Med en hygglig programvara hinner denna med 10 intrångsförsök per sekund.
Jag har haft upp till 3000 intrångsförsök per timme men då har det varit attack från ett nätverk av datorer.
Det har drabbat mej kanske en gång om året.
Nu är jag på många sätt extra lockande, då mer intelligenta analyser som somliga scannande mjukvara gör ser att att på domänet www.xxx.se även finns registrerat tillägget sip.xxx.se och det finns inte bara en ip-telefon på adressen utan det finns en omfattande telefon-växel med många vägar in och ut. Därmed kan mer pengar väntas hittas.
Annan variant: https://youtu.be/mavwngM52Tc

Slutligen, vilken metod använder jag själv, nmap eller ping för att kolla om yttre nätet är tillgängligt?
Svaret är att jag kör inget av dom på min hem-adress där jag sitter bakom fiber alternativt 4G med dynamiskt tilldelad ip.
Eftersom jag ändå måste kolla om DNS-servern måste uppdateras med min senaste ip-adress har jag skrivit ett program gör allt löpande underhålls-arbete. Ett kombi-verktyg för många ändamål.
En av de sakerna den ska göra är att anropa yttre tjänst som svarar vilket IP jag har. Vill göra anropet till server som för dagen fungerar bra, dvs går snabbt och kostar liten tid för min programvara att utföra.
Vid en första uppstart av routern går därför min programvara igenom en lista med sådana tjänster, kollar om de ger samma svar, hur lång tid det tar osv. Summerat ser resultatet se ut så här i denna veckans logg-fil:

http://myip.dnsomatic.com/    14
http://www.ipchicken.com/    16
http://ip.telize.com/    25
http://myexternalip.com/raw    26
http://ipinfo.io/json    27
http://www.icanhazip.com/    44
http://checkip.dyndns.com/    56

Listan är direkt inklippt från min router, så resultaten ska vara aktuella men alla adresserna är inte nåbara via webbläsare.
Siffran efter adressen anger hur många ms anropet tog och samtliga adresser är fria att testas för den som vill veta sitt ip.
Tar anropet mindre än 10 mS eller mer än 100 ms kommer adressen inte med i listan och används ej.
I kvarvarande listan används adressen med snabbaste svarstiden för att fortsättningsvis var 5:e minut kolla om min ip-adress är aktuell.
Vid varje anrop kollas så att anrops-tiderna ligger inom satta gränserna. Om inte så uppdateras hela listan på nytt.
Vem som är snabbast i listan varierar så även om det är obetydligt så sprider jag lasten mellan olika servrar.

Returnerat svar på vilken ip-adress routern har är också är en indikator på om  internetförbindelsen fungerar.
Det kan bli problem med just den server som anropas, men gör då på samma sätt och kör om anropen till alla servrar i listan.
Det är först när alla servrar i listan ej svarar, eller ligger utom tidsintervallet,  som routern eventuellt startas om.
Att samtliga servrar i listan får för höga svarstider beror oftast på att arbetsminnet börjar bli förbrukat i egna routern men även där hjälper omstart. Gör dock den kollen att det inte är något pågående telefonsamtal. Pågår samtal väntas med omstarten 30 minuter.
Nu är det opraktiskt om man jobbar med något, uppkopplad till internet, och routern envisas med att starta precis som jag kopplat upp mej till en kund-dator. Därför har jag satt upp undantag i min programvara för att viss trafik inte får vara pågående när routern vill starta om. Den får då vänta till senare.

Nu kör jag ytterligare lite andra programvaror i routern som har att göra med reklam-blockering, ip-TV, spegling av servrar mellan yttre platser på nätet mm som gör att  jag även försett routern med extra fläkt för att den inte ska gå för varm.
Reklam-blockeringen är inte total men den tar bort kanske 90% av reklamen vilket gör vanlig surfning lite mer uthärdlig.
Där finns även lite mindre simpla men praktiska saker jag snabb-hackat ihop. typ att domänet a översätts till www.aftonbladet.se. Det räcker med att skriva bokstaven a i webbläsarens adressfält så blir det automatiskt aftonbladet.
c blir www.cnn.com och v blir www.vaxjobladet.se. Simpelt men bekvämt när man vant sej. Fungerar i alla webbläsare som finns innanför nätverket.
Har även satt upp en IP-telefon i routern som kan användas via webbläsaren. Den är dock av säkerhetskäl begränsad så det går bara ringa till ett utvalt antal telefon-nummer.
Det går att nå dessa interna router-tjänster utifrån om man ansluter till routern via routerns VPN. Det är en programvara som jag inte ändrat något på utöver att jag fyllt i konfigurations-data.

Med Dremeln har jag skurit upp ett stort hål på routern för en 120 mm fläkt. Mitt program kollar routerns CPU om den blir värmare än 40 grader. I så fall startas fläkten och får gå till temperaturen sjunker under 35 grader.
Eftersom CPU normalt trots fläkt ligger på 40-45 grader så stannar sällan fläkten. Det är 12 Volts fläkt men i routern matas den med 5 Volt vilket gör den ljudlös och förhoppningsvis ger både router och fläkt lång livslängd.
Som hårddisk används en USB-sticka. Inte optimalt men tillräckligt bra för mina behov. Man får tänka på att större filer tar lite tid att läsa in. Större spärr-lista bör man därför hålla i minnet när den väl är inläst.

Inget av detta ovan är nödvändiga router-funktioner. Det fungerade på olika sätt ändå förut. Men det ger lite förslag på vad man kan göra för att låta routern göra lite mera nytta än att bara köra fabriks-installerade fasta funktioner.
Och som sagt jag kör detta ovan utan större kunskaper och det har slagit fel ett antal gånger, men jag lär mej på vägen. wink

33

Sv: 4G router som backup till fiber, samma gateway ip?

Tack för den intressanta redogörelsen. Du säger att du inte är någon expert. Men experimenterar man och lär sig något nytt var dag så blir den kumulativa effekten med tiden enorm kunskap på många områden och det har du. Jag känner bara en till som samlat på sig så mycket spridd kunskap om elektronik och han har inte gått någon ingenjörsutbildning, bara drivits av ett mycket stort intresse av att lösa tekniska problem. Glad midsommar. Jag måste lämna ämnet nu för sonen har bjudit in femtio pers till sommarstället och förlitar sig på att pappa ordnar det mesta så att han kan komma samtidigt med de tjugofem som ska sova över. Försöker...

LTE testare på 4G 2600, 1800, 900, 800 med Fritzbox AVM 6890, AVM6840, AVM6842, AVM 6820 och AVM 7590/7490/7390 samt diverse mifis från ZTE och Netgear. Några huaweimodem på hyllan.

34

Sv: 4G router som backup till fiber, samma gateway ip?

Servern tog helgledigt innan jag fick iväg midsommar-hälsningen eller så är jag ett år i förväg till nästa midsommar med min hälsing.

I dag (Söndags var det) är det den öländska trefaldiga pizza-söndagen. Helgen firas bäst i Köpingsvik där många troende samlas.
All pizza kostar där idag tre gånger så mycket och tre gånger så många pizzor säljs idag jämfört med en vanlig söndag.
I Färjestaden försöker man kontra med kroppkakor men det upplevs som exotisk mat för de som är uppfödda på svensk husmans såsom pizza.

Hoppas du nu får några veckors stärkande frid i lagom ute-temperatur.

35

Sv: 4G router som backup till fiber, samma gateway ip?

Hej igen. Utetemperaturen är knappast lagom men annars är det bra. Konstaterade nu att AVM routern 6890 som funkar som avancerad router för fiber bakom tjänstefördelare/mediakonverter plus VDSL modem och LTE modem nu börjar få bättre funktioner för fail over test över WAN - ingången. De har valt arp request hellre än ping eller nmap. Chefen för marknaden utanför Tyskland skickar mig en 6890 och beta på firmware för test. Återkommer

LTE testare på 4G 2600, 1800, 900, 800 med Fritzbox AVM 6890, AVM6840, AVM6842, AVM 6820 och AVM 7590/7490/7390 samt diverse mifis från ZTE och Netgear. Några huaweimodem på hyllan.