Uživatelské nástroje

Nástroje pro tento web


Tohle je uživatelská dokumentace. Novou oficiální dokumentaci najdeš na https://docs.turris.cz/.

Webové rozhraní Foris

I když je router zařízení, které nevyžaduje každodenní pozornost, je nutné ho na začátku používání nakonfigurovat. Pro tyto účely obsahuje router Turris webové rozhraní Foris, jehož součástí je také průvodce prvním spuštěním, který vám s těmito úkony pomůže. Dokud neprojdete základním nastavením routeru, nebude na počítačích v síti LAN fungovat připojení do internetu.

Pokud konfigurujete router Turris 1.0 nebo Turris 1.1, v některých bodech se nastavení odlišuje. Routery Turris 1.0 a Turris 1.1 jsou v tomto návodu souhrnně označovány jako původní router Turris. Shrnutí rozdílů naleznete na konci stránci v oddílu o odlišnostech v nastavení.

Informace, které se týkají prvního spuštění, platí také v případě, že jste svůj router resetovali do továrního nastavení.

Pokud jste reset do továrního nastavení provedli a máte zálohu funkční konfigurace vašeho routeru, není nutné provádět nastavení znovu, ale je možné tuto zálohu obnovit. Klikněte na tlačítko Přeskočit průvodce v horní části obrazovky a na stránce Údržba můžete tuto zálohu obnovit.

První spuštění

Pro přístup do konfiguračního rozhraní Foris musíte být připojeni do jedné sítě s routerem Turris. Při prvním spuštění se můžete připojit pouze kabelem – WiFi síť lze následně povolit v konfiguračním rozhraní.

Před samotným zahájením konfigurace vašeho routeru se ujistěte, že jsou kabely správně zapojeny:

  • kabel z portu označeného WAN vede do vašeho modemu, nadřazeného routeru nebo libovolného zařízení od vašeho poskytovatele
  • kabel z libovolného portu LAN vede do vašeho počítače

Ve vašem webovém prohlížeči otevřete adresu http://192.168.1.1/. Tato adresa se přirozeně týká prvního spuštění a routerů s ponechanou výchozí konfigurací LAN. Pokud jste nastavení LAN měnili, musíte použít adresu, kterou jste routeru nastavili.

Na zmíněné adrese vás uvítá následující obrazovka:

 Uvítací obrazovka |

Z této obrazovky pokračujte stisknutím tlačítka Zahájit instalaci.

Samotný průvodce je velmi dobře komentovaný a je zbytečné se opakovat, proto si nyní ve stručnosti projdeme jednotlivé kroky průvodce pouze s doplňujícím komentářem:

Heslo

Zde si zvolte heslo pro přístup ke konfiguračnímu rozhraní Foris. Pokud zatrhnete volbu Používat stejné heslo pro pokročilé nastavení, tak se stejné heslo nastaví i pro přístup k pokročilému konfiguračnímu rozhraní LuCI a do terminálu uživatele root přístupného přes SSH.

Pokud nepotřebujete nastavovat žádné pokročilé funkce, doporučujeme heslo do LuCI a SSH nastavit až v momentě, kdy ho budete skutečně potřebovat. (Heslo se dá později nastavit v rozhraní Foris na stránce Pokročilé nastavení.)

WAN

Na této stránce se nastavuje způsob připojení routeru Turris k internetu (k nadřazené infrastruktuře). Ve většině případů by měla být dostačující volba DHCP (automatická konfigurace). Pokud to není váš případ, měli byste dostat všechny potřebné údaje od svého poskytovatele – tedy požadovanou statickou adresu, výchozí bránu pro vaše připojení apod.

Pokud se připojujete přes xDSL, budete potřebovat DSL modem. Jako modem může posloužit váš starý router, který je možné přepnout do bridge módu. Bohužel není možné poskytnout jednoznačný návod, protože tento postup je specifický pro každé zařízení a je nutné si postup dohledat. Alternativně je možné připojit router Turris přímo do vašeho starého routeru, který vytáčení DSL připojení zajistí sám – v tom případě bude dostačující volba pro nastavení WAN položka DHCP (automatická konfigurace) (ačkoliv toto řešení není ideální).

Jak bylo řečeno, není možné poskytnout jednoznačný návod pro všechna zařízení. Je nutné si dohledat návod pro konkrétní zařízení, které vlastníte.

Pokud se vám povede najít návod pro nějaké zařízení neváhejte a poskytněte ho ostatním uživatelům prostřednictvím naší komunitní dokumentace.

Prozatím jsme posbírali tyto návody:

  • Comtrend VR-3026e, který distribuuje jeden z největších českých poskytovatelů internetu. (Návod zde).

Pro případ, že se připojujete k internetu méně obvyklou cestou (např. situace, kdy se samotný router připojuje jako WiFi klient), přichystali jsme pro vás podrobnější návody.

Test připojení

V tomto kroku se testuje správnost vašeho nastavení WAN. Pokud připojení nebude fungovat, překontrolujte, zda všechny kabely vedou tam, kam mají a jsou řádně zapojeny. Poté zkontrolujte vaše nastavení WAN a test zopakujte. Pokud problémy přetrvávají, může vám pomoci stránka věnovaná řešení problémů.

Nastavení regionu

Pro to, aby router zobrazoval informace o času ve správném časovém pásmu, je nutné nastavit, ve kterém regionu router chcete používat. Pokud vám tedy nevyhovuje středoevropské časové pásmo, které je v routeru nastaveno jako výchozí, můžete ho změnit v tomto kroku.

Synchronizace času

Ačkoliv to může vypadat neobvykle, je pro správnou funkci routeru Turris nutné mít nastavený přesný čas.

Projekt Turris si klade za cíl poskytnou zabezpečení odpovídající dnešnímu stavu techniky. Jednou z těchto technologií je DNSSEC, který pomocí asymetrické kryptografie podepisuje všechny záznamy a tím zajišťuje, že odpověď na vámi požadovaný dotaz nebyla nikde po cestě podvržena. Platnost klíčů je časově omezena a proto je nutné mít při validaci i informace o správném čase.

Pokud by se z nějakého důvodu automatická synchronizace času nezdařila, bude vám nabídnuta možnost nastavit čas ručně, nebo synchronizace s časem ve vašem počítači.

Kontrola aktualizací

Dalším prvkem zabezpečení, který projekt Turris přináší, jsou i automatické aktualizace programového vybavení. Na domácí routery je v dnešní době vedena velká spousta úspěšných útoků. Nejčastější příčinou je obvykle zastaralý firmware, který většinou nebyl aktualizovaný ani jednou od zahájení provozu zařízení. Proto jsme se s tímto rozhodli uživatelům pomoci a aktualizace softwaru se provádějí automaticky.

Přestože je možné u routeru Turris Omnia je automatické aktualizace vypnout, důrazně doporučujeme ponechat je zapnuté. Ať už je ponecháte zapnuté nebo je vypnete, pokud v budoucnu budete chtít své rozhodnutí změnit, formulář pro aktivaci a deaktivaci aktualizací naleznete v rozhraní Foris na stránce Updater.

Zejména u původního routeru Turris stažení a nainstalování aktualizací chvíli trvá – hlavní příčinnou je fakt, že se nestahují pouze aktualizace aktuálně dostupných programů, ale také spousta nových programů, které kvůli omezené kapacitě paměti nebylo možné připravit již z výroby.

V případě, že kontrola aktualizací selže, nemusíte se obávat – router sám pravidelně kontroluje a instaluje aktualizace.

LAN

V tomto kroku nastavujete rozsah IP adres, které se mají propagovat do vaší sítě. Pokud nemáte žádné speciální požadavky, neváhejte a klikněte na tlačítko Další.

Pokud chcete volit pokročilejší volby, jako je velikost podsítě apod., odkážeme vás na pokročilé rozhraní LuCI.

Pokud změníte lokální IP adresu routeru (a tím pádem i rozsah adres v lokální síti) musíte počítat s tím, že po uložení hodnot nebude možné stránku načíst, protože prohlížená (tedy původní) adresa tou dobou bude nedostupná. Rozhraní Foris by vám mělo nabídnout odkaz na nové umístění, případně budete muset ve webovém prohlížeči změnit adresu ručně.

Zároveň bude nutné změnit IP adresu vašeho počítače. Pokud jste si nechali přidělit IP adresu DHCP serverem a neumíte obnovu adresy zajistit ve vašem operačním systému, tak odpojte požadované zařízení od sítě a během chvilky ho znovu připojte.

Wi-Fi

Tento krok vám umožňuje povolit síť WiFi. Naše rozhraní, opět v zájmu co nejvyšší úrovně bezpečnosti, neumožňuje nastavit jiný typ zabezpečení než WPA2.

Dále si můžete zvolit, zda má být WiFi dostupná v pásmu 2,4 GHz nebo 5 GHz. Pásmo 5 GHz bývá obvykle méně rušené a proto na něm lze dosahovat rychlejšího a stabilnějšího připojení – bohužel starší zařízení neumí v tomto pásmu komunikovat.

Router Turris Omnia má na rozdíl od původního routeru Turris standardně nainstalovány dvě Wi-Fi karty. Díky tomu můžete používat obě pásma zároveň – to se hodí například pokud chcete pro novější zařízení používat standard 802.11ac v pásmu 5 GHz a pro starší zařízení řežim 802.11g (případně 802.11n) v pásmu 2,4 GHz. Pokud chcete, aby router komunikoval v modernějším režimu 802.11ac, je také nutné vybrat příslušnou volbu z roletky Režim 802.11n/ac.

Další informace k základnímu nastavení Wi-Fi a Wi-Fi pro hosty naleznete v příslušných článcích.


Administrační rozhraní

Webové rozhraní Foris není jen průvodce prvním nastavením, kterého jsme si představili výše, ale také rozhraní pro základní údržbu routeru a pro změny základního nastavení, které jste mohli nastavit v průvodci.

Nyní si projdeme všechny stránky, které obsahuje administrační rozhraní navíc oproti průvodci prvním spuštěním – ostatní možnosti nastavení jsou popsány v předchozí sekci věnované průvodci prvním spuštěním.

Do administračního rozhraní se dostanete stejným způsobem jako do průvodce. Pokud jste průvodcem úspěšně prošli, budete se muset přihlásit heslem, které jste si pro rozhraní Foris nastavili. Budete-li mít někdy problémy s heslem, lze nalézt pomoc na stránce věnované řešení problémů.

Přihlašovací stránka vypadá takto:

Stránky navíc oproti krokům v průvodci jsou tyto:

DNS

Na této stránce naleznete nastavení forwardování a test připojení.

Router Turris používá vlastní DNS resolver s podporou DNSSEC. Ten je schopen pracovat jak naprosto samostatně, tak s využitím DNS resolveru poskytovatele, skrze který je prováděno tzv. forwardování. V sítích, kde správně funguje DNS resolver poskytovatele, je výhodnější jej používat, protože to většinou vede k rychlejší odezvě. Pokud však tento způsob nefunguje, je nutné použít variantu bez forwardování. Forwardování může být nefunkční v případě, že váš poskytovatel nepodporuje DNSSEC a má špatně nastavené servery.

U routeru Turris Omnia je možné validaci adres pomocí DNSSEC vypnout. Provozování routeru v tomto režimu však nedoporučujeme, bez technologie DNSSEC se můžete snadno stát obětí podvrhnutí překladu DNS záznamů.

Test připojení slouží k otestování jednotlivých složek vašeho připojení a mimo jiné obsahuje i test samotného DNS a zabezpečení DNSSEC. S pomocí tohoto testu lze také ověřit nastavení forwardování.

Pokročilé nastavení

Pokročilé nastavení umožňuje změnit heslo do LuCI a SSH a případně ho poprvé nastavit, pokud jste tak neučinili v prvním kroku průvodce.

Údržba

Stránka údržba obsahuje několik užitečných funkcí pro správu a údržbu vašeho routeru Turris.

Nastavení upozornění

Router vás může informovat zasíláním emailových zpráv např. o restartu zařízení, případných problémech s routerem nebo o instalaci aktualizací. Pokud máte o zasílání informací zájem, povolte nejprve tuto možnost v položce Zasílat upozornění, vyplňte vaši emailovou adresu do pole Adresát a zvolte si, jaký typ upozornění chcete dostávat.

Pro fungování upozornění je potřeba nakonfigurovat odchozí SMTP server, ze kterého se zprávy mají odesílat. Zde musíme upozornit na to, že je možné heslo z konfiguračních souborů získat v čitelném formátu. Proto byste neměli používat schránku, kterou obvykle používáte pro příchozí poštu. Můžete například svému routeru založit jeho vlastní schránku u některého z oblíbených poskytovatelů emailu zdarma.

Alternativně je možné použít server z infrastruktury Projektu Turris, v tom případě stačí vybrat u položky Poskytovatel SMTP volbu Turris – v tomto případě postačuje nastavit odchozí adresu. Počet emailů, které lze takto zaslat, je na serveru limitovaný, ale při běžném použití notifikační služby pro informace o aktualizacích by nemělo dojít k překročení tohoto limitu.

Automatické restarty

Router Turris má funkci automatických aktualizací. Téměř všechny aktualizace se mohou provést nepostřehnutelně, vyjma aktualizace jádra operačního systému, která vyžaduje restart zařízení. Touto konfigurační volbou se dá nastavit, aby restart proběhl v dobu, která vás bude nejméně obtěžovat.

Záloha a obnova nastavení

Celou konfiguraci routeru si můžete stáhnout v podobě jednoho zkomprimovaného souboru. Pokud byste později (např. kvůli nějaké chybě) museli router resetovat do továrního nastavení, můžete tuto zálohu obnovit a ušetřit si tak práci s opětovným nastavováním. Užitečným tipem pro vás může být, abyste si udělali zálohu bezprostředně po prvním nastavení.

Záloha obsahuje pouze adresář /etc/config, který obsahuje veškerou konfiguraci, kterou jste schopni nastavit z rozhraní Foris a naprostou většinu nastavení, kterou nastavujete v rozhraní LuCI.

Mějte tento fakt na mysli, pokud jste provedli některé administrátorské zásahy přímo přes SSH.

Restart

Kliknutí na tlačítko Restart má stejný efekt jako krátké zmáčknutí červeného hardwarového tlačítka na zadní straně routeru. Restart zařízení z uživatelského rozhraní je pro operační systém routeru šetrnější. Router se restartuje, což má za následek krátký výpadek služeb (kolem půl minuty). Všechna nastavení zůstanou zachována. Pokud chcete router dostat do stavu, v jakém byl při prvním spuštění, naleznete návod na stránce řešení problémů .

Updater

Na rozdíl od původního routeru Turris, u routeru Turris Omnia je možné automatické aktualizace aktivovat či deaktivovat. Pokud jsou automatické aktualizace aktivní, lze pomocí Updateru – aplikace, která udržuje software na routeru aktuální – také instalovat různé seznamy balíčků. Pomocí nich lze snadno nainstalovat sadu balíčků, které usnadňují použití routeru například jako síťové úložiště (NAS) nebo umožňují k routeru připojit tiskárnu. Balíčky budou nainstalovány krátce po vybrání požadovaných položek na této stránce a kliknutí na tlačítko Uložit změny.

Sběr dat

S routerem Turris Omnia je možné se zapojit do výzkumného projektu Project:Turris a přispět tak do výzkumu svými daty. Na oplátku získáte na portálu Turris statistiky o vašem připojení a útocích na váš router. Zároveň vás budeme kontaktovat v případě, že některá z analýz odhalí potenciální nebezpečí ve vaší síti. Pro aktivaci sběru dat musíte mít aktivní automatické aktualizace.

Routery pod projektem CTI - „Cyber Threat Intelligence (VH20172021022)“ jsou přednastaveny ke sběru dat. Není třeba router registrovat.

Pokud máte sběr dat zapnutý, lze na této stránce upravit jeho nastavení – kromě vypnutí emulace služeb (tzv. minipotů, které emulují služby, jenž se snaží útočníci v internetu napadnout) si můžete zvolit, zda povolíte sběr přihlašovacích údajů, která se snažili útočníci zadat.

O routeru

Tato stránka obsahuje informace o verzi hardwaru a jádra operačního systému, sériové číslo zařízení a další provozní a technické informace.

U původní routeru Turris zde můžete opětovně získat registrační kód, pokud jste měli problémy s registrací během prvního spuštění.

Rozdíly v nastavení routerů Turris 1.0 a 1.1

Nastavení routerů Turris 1.0 a Turris 1.1, které byly distribuovány v rámci výzkumného projektu Turris, se v některých bodech mírně liší. Jedná se zejména o tyto rozdíly:

  • Není možné vypnout automatické aktualizace. To zejména z toho důvodu, že je nutné udržovat aktuální software, který zajišťuje dat.
  • Sběr dat není možné vypnout, lze pouze vypnout některé emulované služby (tzv. minipoty).

Registrace

Po zapojení a úspěšném nastavení vašeho nového routeru si ještě musíte router zaregistrovat na stránce projektu, kde se vyžaduje zadání šestnáctimístného kódu, který naleznete v posledním kroku průvodce. K jeho získání je potřebné připojení k internetu. Selže-li komunikace se serverem, jste o tom informováni a v tom případě tento kód můžete kdykoliv získat na stránce O routeru.

Registraci je nutné udělat jenom jednou na začátku používání routeru. I když vás router po obnovení továrního nastavení vybízí k zaregistrování, pokud jste registraci již provedli, není nutné ji opakovat. Opětovný pokus o registraci by pak skončil s chybou.