Как отключить провайдеру возможность удаленного доступа к маршрутиризатору?

Поставь такую штуку: https://www.avito.ru/sankt-peterburg/tovary_dlya_kompyutera/sfp_gpon_onu_stick_rostelekom_mgts_mts_ma5671a_3002790685 и выбери роутер какой хочешь

Как отключить криворуким доступ извне, чтобы они не перезагружали мне роутер?

Роутер чей? Твой, или «их»? Я так подозреваю, что «их», да ещё и прошивка по «них» поди какая-то. Покупай свой, тогда лазить не будут.

Да, они мне про это говорили и оно даже есть на сайте у них: https://shop.idc.md/catalog/internet-oborudovanie/net-equipment/

Проблема в том, что я не понял, где у меня такое в городе купить (подозреваю, что нигде)

А как гуглить такие роутеры с поддержкой этой штуки?

Хороший вопрос и у меня уже есть ответ, они мне прямо сказали, что роутер МОЙ и чинить его и разбираться с ним должен Я.

Тот управляемый с openwrt внутри.

Они ставят такие gpon роутеры huawei

У тебя есть 2.5 варианта:

1. Купить/взять в аренду их терминал

2а) Купить на вторичке любой подходящий по деньгам.

2б) Купить сторонний PON-мост, сторонний ONT, который может переводиться мост или сторонний SFP ONU. Выше, например, указали SFP модуль, его надо вставлять в свой роутер с SFP-портом и настраивать и роутер и ONU. Но SFP ONU дико греются, именно поэтому на них колхозят радиаторы.

Как отключить криворуким доступ извне, чтобы они не перезагружали мне роутер?

Никак. В GPON это не роутер, а ONT(Optical Network Terminal), полностью управляемый провайдером по неотключаемому OMCI. Даже если поставишь свой ONT, то им всё равно смогут частично управлять, пытаться отправлять в reboot, пытаться обнулять конфиг и пытаться загрузить дефолтный конфиг и некоторые сторонние ONT это будут позволять делать.

Вобще, если я правильно понял, то ТС пишет про скорость линка между его ПК и GPON-терминалом. И утверждает, что сотрудники провайдера ограничивают скорость этого линка. У этого GPON хуавей вобще есть такая настройка?

Судя по том, что то линк на 100 Мбит переключается, то wifi отключается, просто подыхает этот хуавей (или его блок питания) и ТСу нужно думать как его заменить, а не как обрезать доступ провайдеру.

У тебя по тарифу то сколько?

вместо 150 мегабит стало в районе 80

Между чем и чем? Чем мерял?

поднялся гигабит

Между чем и чем?

и у меня линк 100 мегабит

Ну, ты понел…

Опиши схему как у тебя сеть устроена от оптоволокна до твоего компа

А по существу вопроса - разве в самом роутере нет учетных записей админа, техподдержки и гостя? По любому же стоит сменить пароли.

Или хотя бы ограничить диапазон адресов, с которых можно входить на данный роутер.

Эм, могу ошибаться, но в том же микротике при использовании GPON ONU модуля провайдер может максимум потушить/перезапустить только этот модуль и не имеет доступа далее в сам роутер и его конфиги.

Какие еще я могу использовать инструменты для мониторинга своего коннекта, чтобы выяснить кто виноват?

перманентный iperf на сервер в сетке провайдера )

GPON лучшая технология для разводки деревенских лохов оверселла

1G (1,25G точнее) делится на таймслоты, в которых клиентский ONU на пассивном разветвителе может послать/принять свой бит.

Зото у МЕНЯ ОПТИКА!

Вобще, если я правильно понял, то ТС пишет про скорость линка между его ПК и GPON-терминалом.

Там полно вариантов, в порте контакты замялись, в кабель иголку ткнули, обрыв в одной паре, подсохли электролиты в БП, вспучились электролиты в БП и т.д.

И утверждает, что сотрудники провайдера ограничивают скорость этого линка

:)) Это я комментировать не буду, иначе ТС обидится :)

У этого GPON хуавей вобще есть такая настройка?

Я уже не помню, у меня когда-то был 8245h, но за 5 лет я его веб-морду забыл. Теоретически, есть.

Эм, могу ошибаться, но в том же микротике при использовании GPON ONU модуля провайдер может максимум потушить/перезапустить только этот модуль и не имеет доступа далее в сам роутер и его конфиги.

Причём тут мокротык? Я про провайдерские ONT написал.

Вы там же выше писали про «свой роутер с SFP-портом» и видимо я вас не правильно понял. Про провайдерские ONT все понятно - нет пути.

Вы там же выше писали про «свой роутер с SFP-портом» и видимо я вас не правильно понял.

Да, всё правильно. GPON SFP ONU представляет собой маленький роутер даже с веб-мордой. Его то и смогут теоретически отправлять в reboot/reset. И вроде как зафильтровать пользователю OMCI-команды нельзя.

И, кстати, в протоколе OMCI есть весёлая опция «посмотреть в LAN-порты». В случае мокротыка + SFP ONU (или самой распространённой схемы "провайдерский ONT переведён в бридж, за ним стоит пользовательский ethernet-роутер) он сможет максимум посмотреть в sfp-интерфейс мокротыка (/в сеть между бриджом и роутером). А в случае провайдерских ONT - напрямую в локалку :)

что скорость сильно упала, вместо 150 мегабит стало в районе 80

Это оператор проапгрейдил вашу ветку в stage two ))))

Вывод ethtool <ifname> со стороны ПК какой?

Будто цепь свичей на эзернет или варианты dsl лучше. Пон хотя бы не коротит и не наводит.

Сто лет назад у меня был какой-то Хуавей, там можно было дампнутт конфиг, изменить настройки вплоть до номера телефона и залить обратно. Я просто админский пароль сменил и включил бридж - там реально нечего настраивать было.

Будто цепь свичей на эзернет … лучше.

Несомненно лучше 10G на дом, чем 1,25G на весь квартал ))

Будто цепь свичей на эзернет или варианты dsl лучше. Пон хотя бы не коротит и не наводит.

Цепь свичей core<->edge<->access ГОРАЗДО лучше. Но дороже. В строительстве. И в эксплуатации. Поэтому в деревне пон. Зато хоть честный терабит у клиента.

BTW, в ж0пе пона тоже свичи. А сдуру можно и X пон сломать.

и включил бридж

только так это и можно использовать. Как мудем к своему роутеру )

Я вообще упоролся и развернул софтварный маршрутизатор. На борту isc-dhcp-server, dns, vlan, nftables, frr (не до конца ещё настроен), openvpn. На нём же стоит контроллер omada и 2 вафляй тплинковвские точки в бесшовном роуминге.
Да, пришлось заморочиться, но это того стоит.
Надо вообще от готовых аппаратных решений уходить. Времена нынче не те, чтоб….. Имхо

контроллер omada и 2 вафляй тплинковвские точки

брат китаец любит тебя )

брат китаец любит тебя )

Нихао! Йоп-та! =)
Я живу во Владивостоке. Мы в Суйфыньхэ на выходные гоняем пивасика попить

2 вафляй тплинковвские точки в бесшовном роуминге.

Не хватает только камеры и умной колонки еще.

Не хватает только камеры и умной колонки еще.

Когда я слышу прилагательное - «умная» к технике, сразу скептицизм возникает. Не доверяю я такому. Может потому что в юности терминатора насмотрелся…=) У меня 2-х кассетный магнитофон до сих пор с надписями на кнопках пуск, стоп, перемотка и т.д….=)

«умная» к технике, сразу скептицизм возникает

а от «контроллер omada и 2 вафляй тплинковвские точки» не возникает?

любит

нефритовым стержнем, ага )))

У меня в квартире docsis. И я страдаю. Не, кабель в порядке, но Ростелеком вместо симметричного гигабита занимает канал ненужным ТВ.

Купи максимально тупой ONT который только в SFU может работать (eltex ntu-1 например), на них нет tr-069, за ним поставь любой роутер по своему желанию. SFP-ONU не советую, они перегреваются и начинаются отвалы и проседания по скорости

а от «контроллер omada и 2 вафляй тплинковвские точки» не возникает?

Ну ты сравнил оборудование, которому сказали делать что-то одно и оборудование, которое «умное» =)

У меня в квартире docsis. И я страдаю.

Вообще это АТМ, натянутый телками на сетки ТВ-копирастов. Почти SDH )

Но сочувствую. Когда кинули кат5е, я плакал )

Ростелеком вместо симметричного гигабита занимает канал ненужным ТВ.

Там сроду ничего симметричного не было, а выше 2.0 они вроде не прыгали.

Я тут видел прекрасное. GPON-розетка оптическая от Ростелекома, айпишник прям как раньше, белый, но динамический, плавает раз в сутки. Ради эксперимента посмотрел свой внешний айпишник и попытался в него зайти — и попал в админку этого гпон-хуавея. Логинпас там, конечно же, админ-админ практически.

В общем, хорошо, что я всегда ставлю за поделками провайдера свой роутер, доступы к которому есть только у меня. Хотя когда это чудо мне настраивал мастер ростелекома, он попросил у меня доступ к вайфаю с моего роутера (и был послан), чтобы «посмотреть скорость сети» (но был удостоин просто скриншота спидтеста), а потом и доступ в админку роутера (и был послан еще раз, так как не смог ответить, нафейхоа ему нужен доступ в роутер, который за их оборудованием и ни коим образом не влияет на его работу).

Ради эксперимента посмотрел свой внешний айпишник и попытался в него зайти — и попал в админку этого гпон-хуавея.

Заходил не из внутренней сети за этим девайсом?

Нет, снаружи. Потом, кстати, это исправили (либо просто сеть переконфигурировали), но ощущения остались такие себе.

Вообще я этой ситуации не удивился особо. Во времена, когда ростелеком был еще авангардом, у меня было подключени ADSL. И там была точно такая же ситуация — мой домашний роутер был всегда доступен снаружи, разве что айпишник менялся раз в сутки. Я этим спокойно пользовался, прикрутив dyndns, и ходил с работы на домашний сервер за файликами и прочим нужным.

Я не понял, почему это «GPON-розетка» то? :)

Потому что именно так эту штуку называют операторы Ростелекома и пришедший от них мастер :)

УЖАС!!!

Не, ну сам по себе белый адрес — норма. Сейчас как-то уже принято у многих провайдеров, что если CGNAT, то дают IPv6. Ростелеком, как я понимаю, идёт к этому, но не следил, как у них с запуском IPv6 глобально.

И там была точно такая же ситуация — мой домашний роутер был всегда доступен снаружи, разве что айпишник менялся раз в сутки. Я этим спокойно пользовался, прикрутив dyndns, и ходил с работы на домашний сервер за файликами и прочим нужным.

Это норма. Не норма - доступ веб-морды извне :)

Я своего провайдера так чморил, лет 5-6 назад у них какой-то служебный порт был открыт снаружи, там API открытый торчал голой задницей во весь интернет. Закрыли быстро и всем :)

Не норма - доступ веб-морды извне :)

Отож. Но тут, возможно, косяк в самой этой китайской «розетке», что она морду наружу светит. У меня вон в Кинетике вроде кнопка щас есть, мол, если хотите, то можно наружу вывесить админку, но подумайте 20 раз, надо ли оно вам. А там либо админы так настроили, либо просто эта шайтан-коробка по-другому не умеет.

Но тут, возможно, косяк в самой этой китайской «розетке», что она морду наружу светит.

Там обычный linux с iptables/ntf унутре, настраиваемый через tr-069. Одмины просто продолбались 99%

Судя по тому, что у меня 100/11, это DOCSIS3. А значит, без замены оборудования, могут дать людям 400/100 или хотя бы 150/100, но вместо этого показывают протухшие каналы (после ухода западных смысла в кабельном в России нет). Тем более что на 400/100 у них будут работать IPTV приставки.

Судя по тому, что у меня 100/11, это DOCSIS3.

Это тариф или спидометр?

Думаю, там все сильно зависит от состояния кабельной сети.

Типа как VDSL на лапше, обещали 300, а дай Бог 30 и то потухнет то погаснет.

И тариф, и спидометр. Пол-сотни HD каналов тоже говорят о хорошем состоянии - я их ещё и покупал до ухода discovery и fox.

И тариф, и спидометр. Пол-сотни HD каналов тоже говорят о хорошем состоянии - я их ещё и покупал до ухода discovery и fox.

в чем они гонят кстати щас, в мп4, или все еще аналог?

Mpeg2 SD и Mpeg4 HD вроде. Я уже давно торрент-тв смотрю.

алиэкспресс?

А у тебя в городе нет провайдеров, предлагающих подключение по обычной витой паре? Зачем всё это извращение?