Configure Alcatel SpeedTouch Pro for DHCP Spoofing

	Quick Links
	: Knowledge Base : Active Directory : Cisco and Routing : Exchange Server : Virtualization : Windows Server 2008 : Windows Vista : What's New? : Forums : Forums Archive : Sponsor us : Feedback : עברית
	Petri Email Digest
	Our biweekly emails will keep you up to date on our latest news and articles straight to your inbox! Email Address: Privacy Policy
	Most Popular Articles
	: PST File Repair with ScanPST : Forgot the Administrator's Password? : How to Write ISO Files : How to Change the Serial in Windows XP : Install Windows XP Pro : Disable UAC in Windows Vista : How to Install Active Directory on Windows 2003 : How to Install Windows Vista : Home Network Setup : How to Setup a VLAN on a Cisco Switch
	Read More
	Computer Training
	Top-Rated Windows, Exchange, Cisco CCNA & Virtualization Video Training courses. Products feature Instructor-Led Videos & Lab Books!
	: Windows Vista Training : Learn DNS : Active Directory Training : Small Business Server 2003 : MCSE Training : Exchange Server 2007 : Cisco CCNA : ISA Server 2004 Training : CWNA Wireless Training : Windows Home Server Videos : Windows Server Training : Cisco CCNP Training : VMware Server Training : VMware ESX Server Training : A+ Training : Sharepoint Server 2007 : Comptia Network+ Training : Free IT Training
	Read More
	Sponsored Ad

	Microsoft MVP Program
	Author is a Windows Server System - Exchange Server MVP
	Read More

מאת: דניאל פטרי

איך להפוך מודם ADSL של חברת Alcatel לעבודה ברשת ללא NAT?

מסמך זה מתאר כיצד ניתן להפוך מודם ADSL מסוג Alcatel SpeedTouch Pro לעבודה ללא פונקציית ה- NAT הפנימית המוגדרת כברירת מחדל. תהליך זה נקרא גם DHCP Spoofing. בעקבות שינוי זה תוכלו להתחבר לאינטרנט באמצעות נתב דרך המודם, ותוכלו לקבל את כתובת ה- IP מספק האינטרנט על הנתב עצמו, ולא על המודם כמקודם.

שיטה זו תעבוד במידה ומתקיימים אחד או יותר מהתנאים הבאים:

המודם מחובר לאינטרנט, ואליו מחובר מחשב אחד בודד.
המודם מחובר לאינטרנט, ואליו מחובר נתב בעל יכולות NAT. הנתב מחובר לרכזת או למתג ואליו מחוברים מחשבים נוספים.
המודם מחובר לאינטרנט, ואליו מחובר שרת בעל יכולות NAT כדוגמת Windows 2000 Server + RRAS. השרת מוגדר עם כרטיס רשת נוסף ואליו מחוברים מחשב נוסף.
המודם מחובר לאינטרנט, ואליו מחובר שרת בעל יכולות NAT כדוגמת Windows 2000 Server + RRAS. השרת השרת מוגדר עם כרטיס רשת נוסף דרכו הוא מחובר לרכזת או למתג. אל הרכזת או המתג מחוברים מחשבים נוספים.

המודם יפסיק לתפקד בתור נתב בעל יכולות NAT, מה שאומר שתיאלצו להגדיר שרת או נתב אחר שעליו יופעל שירות ה- NAT. ללא הגדרה כזו לא תוכלו לגלוש לאינטרנט מהמחשבים האחרים ברשת.

"אז למה זה טוב?" אתם שואלים בוודאי. ובכן התשובה פשוטה. לעיתים יש תוכנות שיסרבו לעבור דרך NAT המוגדר חיצונית מהשרת (כדוגמת תוכנות מדיה ושיתוף וידאו מסויימות), או אולי אתם עצמכם מעוניינים להגדיר את ה- NAT על נתב או שרת פנימי שלכם ואתם לא מעוניינים להפעיל את השירות הזה על המודם עצמו.

יש לשים לב שהפעולה תעבוד אך ורק על מודם PRO או במודם ששודרג ל- PRO: Upgrade from Alcatel SpeedTouch Home to Pro - Hebrew.

הגדרת הרשת לאחר השינוי:

                                      אינטרנט
                                           |
                                           |
                                       מפצל
                                           |
                                           |
                                           |
                                           |
                                  מודם אלקטל
                                           |
                                    10.0.0.138
                                           |
                                           |
                                           |
                           כתובת אמיתית מספק האינטרנט    212.143.143.12
                                           |
                          נתב או שרת מוגדר כנתב
                                           |
                                    192.168.0.1
                                           |
                                           |
                                           |
                                           |
                                           |
    PC1--------------------------רכזת / מתג----------------------------PC4
192.168.0.101              /             \                          192.168.0.104
                                   /                 \
                                 /                     \
                                |                       |
                                |                       |
                                |                       |
                                |                       |
                              PC2                    PC3
                     192.168.0.102        192.168.0.103

כבל ה- ADSL נכנס למפצל
מודם ה- ADSL מחובר למפצל
מודם ה- ADSL מוגדר כ- PRO
ה- NAT מבוטל במודם
כבל הרשת מחובר למודם ולנתב / שרת שמוגדר כנתב + NAT
הנתב/שרת מחובר לרכזת / מתג
כל המחשבים מחוברים לרכזת / מתג

כל השינויים מתבצעים ברמת התוכנה ללא כל שינוי ברמת החומרה.

למידע נוסף אודות המודם נא לקרוא את המדריך המסופק ע"י חברת Alcatel כאן. קיראו את המדריך במלואו לפני שאתם רצים לבכות לי על משהו שהתקלקל.

אזהרת אבטחה

ללא מנגנון ה- NAT שעל המודם אתם חשופים הרבה יותר לפגיעות מצד גורמים זדוניים באינטרנט. אני לא בא לומר שה- NAT הוא זה שיגן או הגן עליכם, אבל מה שבטוח הוא שהורדתם עוד רובד ממנגנון ההגנה שלכם. אם אתם לא מבינים מה זה אומר אולי כדאי שתקראו קצת בנושא. בכל מקרה זיכרו שאתם חייבים להגן ולהקשיח את הרשת שלכם ובמיוחד את המחשב / שרת שמחובר ישירות אל המודם כיוון שהוא יהווה את מטרת ההתקפה הראשונית של כל פורץ מחוצ'קן ממוצע.

אזהרה ואי-נטילת אחריות

ההנחיות שיכתבו כאן אינן הנחיות לביצוע פעולות שיועדו על ידי יצרני המודם למשתמשים ביתיים. אמנם השיטה נבדקה על ידי באופן אישי ועל-ידי מספר רב של צרכנים ברחבי הארץ והעולם, ואין סיבה שהיא לא תעבוד, אבל אינני יכול להבטיח שאפילו אם תעשו הכל בדיוק לפי איך שכתבתי זה יעבוד. השינויים שתעשו הם על אחריותכם בלבד. כל נזק שיגרם, בין אם זה למודם עצמו או לכל ציוד אחר, בגלל השימוש במידע זה, הינו על אחריותכם בלבד. קחו בחשבון שבזק עלולה לסרב לספק לכם תמיכה באם יוודע לה ששיניתם את הגדרות המודם, ואחריות המודם תפוג ברגע שתבצעו את השינוי המתואר כאן. אם אתם לא מבינים מה אתם קוראים כאן - עיצרו עכשיו!

זיכרו: לא אני ולא בזק ולא אף אחד אחר יתמוך בכם או בתקלות שאתם עלולים לגרום במידה ותמשיכו בביצוע הפעולה! אין (אבל באמת אין) שום טעם לכתוב לי מכתבים ולא לבקש עזרה. אני אומר זאת לא בגלל שאני אנטיפט ואגואיסט סוציומטי (אולי אני כן...) אלא פשוט בגלל העובדה שאין לי ולא יהיה לי זמן לענות לעשרות מכתבי זעקה לעזרה, חלקם כתובים בשגיאות כתיב אומללות, חלקם כתובים בלי לספק את המידע המינימלי הנדרש לצורך תמיכה (מה שגורם לי להצטרך לנחש או לחזור ולשאול שאלות במקום להתעסק בעזרה עצמה), ורובם כתובים בשפה ישראלית טיפוסית - משהו בסגנון "אחי, אתה חייב לעזור לי, יש לי בעיה במסנג'ר, אחי אתה היחיד שיכול לעזור לי בבקשה תודה אחי פצצה"... במילים אחרות - חפשו את החברים שלכם.

שידרוג המודם ל- Pro

עליכם ראשית לשדרג את המודם שלכם ל- Pro (אם עדיין לא עשיתם זאת). קראו על השידרוג במאמר הבא:Upgrade from Alcatel SpeedTouch Home to Pro - Hebrew .

הגדרת המודם

תצטרכו להתנתק מחיבור ה- ADSL שלכם כדי לבצע את הפעולות הבאות, אז אולי זה הזמן להדפיס את המסך הזה.

פתחו דפדפן והקישו את הכתובת http://10.0.0.138.

תקבלו מסך כזה:

לכו לתפריט ה- PPTP ומחקו את כל מה שכתוב שם. לחצו על Apply ואז על Save all.

לכו לתפריט ה- PPP ומחקו את כל מה שכתוב שם. לחצו על Apply ואז על Save all.

כנסו לתפריט ה- Phone Book ומחקו את כל מה שכתוב שם. לחצו על Apply ואז על Save all.

כנסו לתפריט ה- CIP Interfaces ומחקו את כל השורות. לחצו על Apply ואז על Save all.

כנסו לתפריט ה- Bridging Ports ומחקו את כל השורות. לחצו על Apply ואז על Save all.

כנסו לתפריט ה- Phone Book וצרו שורה חדשה בשם DHCP_SPOOF עם הערכים הבאים:

Name 'DHCP_SPOOF'
VPI=8
VCI=48
Type=ppp

לחצו על כפתור ההוספה, ואז לחצו על Apply ואז על Save all.

לכו לתפריט ה- PPP. צרו ערך חדש ובחרו באפשרות הראשונה את DHCP_SPOOF. בסוג החיבור צריך שהיה כתוב vc-mux.

הוסיפו את החיבור ושימרו את ההגדרות.

שימו לב שמצב ה- State יופיע Down, ולא Up או Trying כמו בהגדרות הרגילות:

כעת עליכם להכניס פרטים לחיבור החדש שיצרתם. ליחצו על Config בשורה של החיבור החדש. בדף שיפתח מלאו את ההגדרות בהתאם לנתונים הבאים:

User=username@Iisp (CAPITAL 'I' and the name of your ISP)
Password= (provided by your ISP)
Connection Sharing = Everybody
Destination networks = All networks
Specific network =
Address translation (NAT-PAT) = NOT selected
Primary DNS and Secondary DNS = (provided by ISP)

Local IP and Remote IP = none
Mode = DIAL-IN
Idle time limit =
LCP echo = selected
PAP =
ACCOMP = selected

לשים לב לא לסמן NAT ובסוג חיבור במקום ALWAYS-ON לשים DIAL-IN.

לחצו על Apply ואז על Save all.

חיזרו לתפריט ה- PPP. שימו לב שמצב ה- State ימשיך להופיע כ- Down עד אשר לא תגדירו את הנתב שלכם לבקש כתובת IP באופן אוטומטי. לאחר מכן מצב ה- State צריך להפוך ל- Up. אם הוא Trying אז לא הגדרתם משהו נכון. חיזרו ובידקו את ההגדרות שלכם.

תוכלו גם ללכת לתפריט ה- PPP Dial-in Connections ולראות את השורה שלכם שם. תוכלו גם לנסות לבצע חיוג באופן ידני רק כדי לדעת אם החייגן עובד כשורה ואם ה- State עובר ל- Up.

לכו לתפריט ה- DHCP וסמנו DHCP Server.

באותו תפריט היכנסו לכפתור Advanced. בתפריט Advanced יש לסמן DHCP spoofing. באותו תפריט שנו את הערך של Timeout waiting for PPP linkup indication מ- 4 ל- 10. לחצו על Apply ואז על Save all.

לכו לתפריט ה- DNS וסמנו Server Active.

לחצו על Apply ואז על Save all.

הגדרת התחנה / נתב / שרת עם תוכנת הניתוב

אם מדובר בתחנה אחת המחוברת ישירות אל המודם אז בכרטיס הרשת הגדירו את פרוטוקול ה- TCP/IP (אמור להיות מוגדר, לא?) והגדירו לכרטיס לבקש כתובת IP אוטומטית (כל מערכת הפעלה והסימון שלה, אני מניח שתסתדרו). הנה כמה צילומי מסך לאלה שחלו במחלת השיכחה:

אם מדובר בתחנה שהיא Stand Alone אז מגדירים גם את ה- DNS לקבל אוטומטית (או שמגדירים אותו ידנית לכתובת ה- IP הפנימית של המודם - 10.0.0.138).

אם מדובר בתחנה שהיא שרת ועליו מותקן Active Directory אז ברור שלא תוכלו להשתמש ב- DNS של המודם, ולכן תצטרכו להתקין DNS על השרת עצמו (אמור להיות כבר מותקן, שהרי מדובר בשרת שהוא DC, לא?), להגדיר את השרת לפנות לעצמו לצורך תרגום שמות, ואת ה- DNS להגדיר כ- Forwarder אל ה- DNS של ספק האינטרנט. ראה טיפים קשורים:

No Forwarding or Root Hints on Windows 2000 DNS server?

How to Install Active Directory on Windows 2000

How to Install Active Directory on Windows 2000 (for idiots)

How to Install a Replica DC in an Existing AD Domain on Windows 2000

אם מדובר בנתב אז בחיבור ה- WAN, זה שמחובר אל המודם, מגדירים לקבל כתובת IP אוטומטית ובזה נגמר הסיפור. בחיבור ה- LAN, זה שמחובר אל הרכזת או המתג, מגדירים כתובת IP מסוג פרטי, למשל 192.168.0.1 עם Subnet Mask מתאים (במקרה זה - 255.255.255.0). אין צורך להגדיר שם את ה- DNS.

לכל תחנות העבודה מגדירים כתובת IP ידנית באותו טווח כמו של הנתב, ואת הכתובת הפנימית של הנתב - 192.168.0.1 בתור ה- Default Gateway שלהם. ניתן כמובן לשלב שרת DHCP פנימי או על הנתב עצמו שיחלק את הכתובות, הכל בהתאם למקובל.

גם כאן כמו מקודם - אם יש AD חייבים להתקין ולהגדיר שרת DNS פנימי, וכל התחנות מחוייבות לפנות אל אותו שרת. לכן את שרת ה- DNS נגדיר כ- Forwarder אל ספק האינטרנט וניתן לו לבצע גם תרגום פנימי וגם תרגום חיצוני עבור האינטרנט. אם אין AD - ניתן להגדיר את כל התחנות שיפנו אל ה- DNS של ספק האינטרנט (או אפילו אל המודם עצמו, שהרי הוא משמש כ- DNS Proxy במקרה זה).

הגדרת שרת עם תוכנת ניתוב מתבצעת בהתאם למקובל (לא זה המקום להסביר על תוכנות ניתוב), וגם שם ניתן כתובות IP לשרת כמו שנתנו לנתב בדוגמה הקודמת. תחנות העבודה מוגדרות בצורה זהה.

בדיקת ההגדרות

הבדיקה הטובה ביותר היא השאלה האם תחנה מסוגלת לגלוש באינטרנט ולשלוח ולקבל דואר. אם כן - הכל תקין.

אם לא יכולות להיות לכך מספר סיבות, אבל ראשית נבדוק את ההגדרות שלנו ונבדוק האם כעת החיבור שנקרא DHCP_SPOOF מופיע כ- UP ולא כ- Down או Trying. אם כן, נבדוק האם הוקצתה כתובת IP נכונה לנתב או לתחנה הבודדת המחוברת אל המודם.

בממשק ה- WEB של המודם לכו לתפריט ה- DHCP והיכנסו לכפתור Advanced.

בחלק התחתון של המסך מופיע חלק שנקרא DHCP Lease Table. ראה האם הוקצתה כתובת IP חוקית מספק האינטרנט, והאם נראה שאכן הנתב או התחנה הבודדת קיבלו אותה (לפי ה- MAC). בידקו גם בתחנה או בנתב עצמו האם הכתובת הזו הוקצתה לו.

אם כן יופי. אם לא יש לכם בעיה בהגדרות המודם או החיבור בין המודם לנתב או לתחנה הבודדת.

בעיות ידועות

במצב עבודה עם DHCP Spoofing יש סכנה מוחשים של ניתוקים חוזרים ונשנים מהאינטרנט. במצב SPOOF מה שקורה הוא שהנתב/מחשב שמחובר למודם אמור לקבל כתובת IP מהמודם, שבתורו לוקח כתובת IP מהספק. אם הנתב/מחשב קיבל כתובת אז הכל תקין.

אבל במידה וחל נתק לספק (בגלל בזק למשל) אז המודם לא מקבל כתובת ולא יכול לתת אותה לנתב/מחשב. הנתב/מחשב מבקש את הכתובת שוב ושוב, אבל המודם לא מסוגל לתת לו אותה אז אחרי TIMEOUT מסויים המודם יתן לו כתובת מטווח פנימי, נגיד 10.0.0.5. הנתב/מחשב יהיה מבסוט כי מבחינתו הוא קיבל כתובת, אבל בעצם הכתובת הזו שווה לתחת.

עכשיו הנתב/מחשב תקוע עם כתובת דפוקה והוא לא יוזם בקשת כתובת חדשה אל המודם, אלא אם אתה נכנס וגורם לו לבקש. לכל נתב יש כלים ייחודיים או ממשק WEB שונה, אבל במחשב אפשר להיכנס לשורת פקודה ולהקיש ipconfig /renew כדי לגרום לחידוש כתובת.

במצב BRIDGE (המתואר כאןConfigure Alcatel SpeedTouch ADSL to Act as a Transparent Bridge - Hebrew ) זה לא יקרה. המחשב/נתב מבקש כתובת ומחכה עד שיקבל. כמובן שאם יש נתק בבזק למשל אז אין מה לעשות, אבל מבחינתנו אין מצב שהוא יקבל כתובת פיקטיבית מהמודם רק כדי לסתום לו את הפה. מצד שני, במצב BRIDGE אתה חייב חייגן על המחשב המחובר או על הנתב עצמו, מה שלא צריך במצב SPOOF.

בשורה תחתונה - נסו את זה בעצמכם. אם מצא חן, תעבדו כך. אם לא, נסו תצורה אחרת.

back

Page updated: 07-01-2009

Sponsored Ads

Copyright © 1998 Daniel Petri Ltd. No portion may be reproduced without my written permission. Microsoft, MS-DOS, Windows, Windows 2000, Windows XP, Windows Server 2003, Windows NT, Windows 98, Windows 95 are either registered trademarks or trademarks of Microsoft Corporation in the U.S.A. and other countries. All other names are registered trademarks of their respective companies. Should any right be infringed, it is totally unintentional. Send me an e-mail and I will promptly and gladly rectify it. All external sites will open in a new browser. Petri.co.il does not endorse external sites and is not responsible for their content. For broken links, site problems - please send Feedback.