Lonicera Resort & Spa 5*

Доброго времени суток всем, и опять с вами я, Dan.

Поговорим про интернет в отеле Lonicera.

Приятно осознавать то, что интернет в отеле бесплатный, и это огромный плюс отелю, даже несмотря на то, что каждому отдыхающему клиенту предоставляется канал в 128 kbit/s, авторизация элементарно проста.

Ширина канала в 128 kbit/s вполне позволяет нормально серфить в инете, использовать любые сетевые пейджеры и полноценно гонять видео через скайп. НО организация NAT на базе аппаратного прокси сервера Mikrotik Hotspot накладывает ряд ограничений на более гибкую конфигурацию сервера.

Как мне показалось, кэширования нет, ограничение полосы пропускания больше похоже на работу полисера, нежели нормального шейпера. По dhcp, в качестве первичного dns сервера, прописывается адрес шлюза, выполняя ретрансляцию доменных запросов, в данном случае 172.16.0.1. Но помимо основного, прописываются и два дополнительных - 195.175.39.39 и 195.175.39.40.

Для себя я решил вопрос просто – в качестве основного и единственного dns я прописал гугловский – 8.8.8.8, он всегда работает надёжно и быстро в любой точке земного шара … ;)

Wi-fi в отеле покрывает всю территорию отеля, благодаря установленным на крышах корпусов нескольких wi-fi ретрансляторов. Локальная сеть работает достаточно стабильно и без серьёзных задержек. Не могу точно судить о загрузке местного прокси сервера, но проблемы в ретрансляции запросов есть.

Эта проблема так же решилась достаточно просто, я поднял vpn туннель до своего домашнего сервера в Питере, что сделало работу интернета, в целом, более стабильной, и выделенный мне канал в 128 kbit/s, стал практически постоянным.

Но на нестабильность местного интернета влияет не только организация nat, но и проблемы у канальных провайдеров. Выполним простой трейс до любого ресурса:

Трассировка маршрута к nix.ru [91.233.230.48]

с максимальным числом прыжков 30:

1 1 ms 1 ms 3 ms 172.16.0.1

2 3 ms 8 ms 8 ms 192.168.1.1

3 16 ms 15 ms 14 ms 95.9.108.1.static.ttnet.com.tr [95.9.108.1]

4 * 22 ms 15 ms 81.212.77.153.static.turktelekom.com.tr [81.212.77.153]

5 19 ms 13 ms 18 ms antlya-2-2-antlya-3-3.turktelekom.com.tr [81.212.201.121]

6 23 ms 26 ms 22 ms uls-2-1-antlya-2-2.turktelekom.com.tr [81.212.205.141]

7 29 ms 25 ms 27 ms uls-2-3-uls-2-1.turktelekom.com.tr [81.212.197.198]

8 97 ms 87 ms 86 ms ms-col-3-uls-2-3.turktelekom.com.tr [212.156.102.105]

9 96 ms 139 ms 82 ms adm-b5-link.telia.net [213.248.76.77]

10 91 ms 83 ms 88 ms adm-bb1-link.telia.net [80.91.253.187]

11 82 ms 81 ms 216 ms hbg-bb1-link.telia.net [213.155.130.227]

12 124 ms 98 ms 117 ms s-bb1-link.telia.net [80.91.245.48]

13 150 ms 123 ms 150 ms mow-b3-link.telia.net [80.91.251.222]

14 372 ms 122 ms 132 ms 80.239.195.227

15 122 ms 128 ms 123 ms ncc-9.gige.msk.macomnet.net [195.128.64.74]

16 290 ms 143 ms 145 ms www.nix.ru [91.233.230.48]

17 154 ms 147 ms 127 ms www.nix.ru [91.233.230.48]

Трассировка завершена.

Как мы видим основные задержки icmp запросов начинаются на территории telia.

Возможно, по договору выделен узкий канал, который не в состоянии на сегодняшний момент обеспечить необходимую пропускную способность, либо проблемы у самого магистрального провайдера – достаточно написать abuse магистральщикам.

Поднятый vpn туннель задержек не меняет, но стабильность добавляет.

Трассировка маршрута к nix.ru [91.233.230.48]

с максимальным числом прыжков 30:

1 247 ms 160 ms 135 ms 172.16.0.1

2 162 ms 194 ms 155 ms a1.terabita.ru [212.116.114.1]

3 127 ms 175 ms 157 ms 10.160.1.2

4 164 ms 145 ms 125 ms gw-terabita.612.ptspb.ru [85.235.192.197]

5 143 ms 125 ms 162 ms adelaida.citytelecom.ru [194.226.100.132]

6 140 ms * 141 ms 217.65.1.173

7 153 ms 159 ms 136 ms mastertel-gw.citytelecom.ru [89.188.100.226]

8 146 ms 146 ms 205 ms 8m-br1.ibgp.mastertel.ru [217.67.176.237]

9 * * * Превышен интервал ожидания для запроса.

10 147 ms 129 ms 139 ms www.nix.ru [91.233.230.48]

Трассировка завершена.

Немного о безопасности:

Хочется отметить, что локальная сеть в отеле небезопасна, полностью открытому SMB протоколу, т.е., говоря простым языком, как только вы подключились к точке доступа, вас видят все и вы видите всех в стандартном сетевом окружении, не говоря уже о специальном программном обеспечении, которое предоставляет значительно больше возможностей.

Редко кто из пользователей держит свои учётные записи под паролем, а многие не ставят пароль даже на учётную запись администратора, что позволяет свободно получить доступ в ваш компьютер и рыться там, как у себя дома, полагаю, это никому не понравится.

Самый простой способ защитить себя от “пионерского” взлома:

1. прописать пароли на все учётные записи в системе.

2. в службах отключить службу “сервер” или в свойствах сетевого подключения снять галочки с “Клиент для сетей Microsoft” и ”Служба доступа к файлам и принтерам”, которые по умолчанию всегда активны.

Администрации отеля предлагаю:

1. Отказаться от аппаратного прокси сервера и поднять нормально организованный NAT на FreeBSD, что скорее всего будет дешевле, значительно надёжнее и гибче по настройкам и изменению функциональности.

2. По возможности решить вопрос с задержками на территории магистрального провайдера telia.

3. Отказаться от использования SOHO оборудования для работы всего отеля, коим на данный момент является ваш шлюз на базе TP-LINK TD-8840T ... :) это железо, являясь ADSL-маршрутизатором, не предназначено для таких нагрузок, работая по простой телефонной линии, тем более, что эта модель уже давно снята с производства.

4. В целях увеличения безопасности для клиентов отеля, полностью закрыть SMB протокол по портам 137/tcp, 137/udp, 138/udp, 139/tcp, 445/tcp, 445/udp.

5. Мне не очень понятно зачем маской открыта вся подсеть 172.16.0.0/16 на 65 535 адресов? Тут просто физически столько быть не может. Вполне достаточно 172.16.0.0/22 - 255.255.252.0 на 1 000 адресов.

А так, в целом, впечатления от работы местного интернета вполне нормальные.

P. S. Кстати, система авторизации Mikrotik Hotspot достаточно легко обходится, тема старая и в интернете очень много об этом написано. ;)

С уважением ваш турист со стажем, Даниил.