průvodce digitální domácností / přináší DigiZone.cz

Jak instalovat router a zabezpečit síť

Pomůžeme vám při prvních krůčcích, při propojení modemu a nového směrovače, i ve více než základním nastavení zabezpečení vaší Wi-Fi sítě.

Bohužel neexistuje jednotný postup instalace a konfigurace síťového routeru (směrovače), který by byl uplatnitelný krok za krokem pro všechna zařízení všech značek. Pro modelový příklad jsme si vybrali bezdrátový router Asus RT-AC68U, jehož podrobná recenze zde vyšla nedávno. Je vhodným srdcem i mozkem moderní počítačové sítě pro náročné uživatele. 

Tento článek jsme ovšem nepřipravovali jen s ohledem na zájemce o jmenovaný router. Kde to bylo jen trochu možné, snažili jsme se zapracovat obecné informace, které se hodí každému laikovi, jenž potřebuje zapojit nový směrovač, zprovoznit domácí počítačovou síť a nakonfigurovat její adekvátní zabezpečení.

Rozbalení a příprava

Obsah balení Asus RT-AC68U neskrývá žádné překvapení. Kromě samotného zařízení je v něm napájecí adaptér do elektrické sítě, propojovací síťový kabel s běžnými koncovkami RJ-45, instalační médium, český manuál a trojice antén pro Wi-Fi. Právě antény mohou přece jen balení odlišovat od jiných modelů.

Některé routery totiž mají antény integrované podobně jako současné mobilní telefony. Viz třeba D-Link DIR-868L, který jsme recenzovali před několika měsíci. Asus RT-AC68U má však trojici odnímatelných externích antén, které je eventuálně možné nahradit jinými. V tomto případě lze ale bez problémů použít všesměrové antény dodané výrobcem.


Zdroj: Asus

Obsah balení routeru Asus RT-AC68U

Stačí je přišroubovat ke zlaceným konektorům (R SMA), které má Asus RT-AC68U na své horní straně. Umístění konektorů není pevně dáno žádným standardem. Většina bezdrátových směrovačů je má na zadní straně, ale najdou se i modely, které je mají z boku. 

Bezdrátové routery s integrovanými anténami pak obvykle vůbec konektory pro připojení externí antény nemají.

Po našroubování antén lze použít přibalený síťový kabel s koncovkami RJ-45 k připojení routeru k počítači pro úvodní konfiguraci. Později lze směrovač přepojit podle finální potřeby, ale pro úvodní konfiguraci je v tomto případě nezbytné připojení k počítači kabelem. Některé jiné routery se obejdou bez počítače, protože si vystačí s mobilní aplikací pro telefon či tablet.

Kabel zapojte do ethernetového rozhraní počítače a do rozhraní LAN na routeru. Ta bývají obvykle celkem čtyři. V tomto případě je jedno, do kterého z nich kabel připojíte, ale některé routery pro úvodní konfiguraci vyžadují připojení do rozhraní označeného jako LAN 1, tak raději obecně používejte ten. Do rozhraní WAN patří kabel vedoucí od modemu (viz dále).

Nakonec do směrovače připojte napájecí kabel a opačný konec zastrčte do elektrické zásuvky. Nezapomeňte router zapnout tlačítkem On/Off, které se až na několik výjimek nachází vždy na zadní straně. Postupně se začnou rozsvěcovat různé kontrolky.  Asus RT-AC68U je má na přední straně. Jinak konstruované modely je budou mít zřejmě na vrchní straně.

Propojení směrovače s modemem

Nejčastějšími dodavateli služeb pro přístup k internetu pro domácnosti jsou v České republice telekomunikační operátoři O2 a UPC, kteří využívají DSL technologii. Primárním důvodem je z celorepublikového pohledu dobrá dostupnost jejich služeb. O2 a UPC svým zákazníkům poskytují modem, ale ve skutečnosti jde o bezdrátový router kombinovaný s modemem.

Pokud vám však nevyhovuje a chcete použít jiný směrovač, nemusíte nutně vybírat z modelů s rovněž integrovaným modemem pro vámi užívanou technologii připojení (např. ADSL či VDSL). Stávající zařízení od poskytovatele připojení lze použít skutečně pouze jako modem. Postup je jednoduchý. Nejdříve z modemu odpojte všechny kabely zapojené do rozhraní LAN.

Následně běžným síťovým kabelem s koncovkami RJ-45 propojte libovolný port LAN na dosud používaném zařízení s rozhraním WAN na nově instalovaném routeru. Role jsou pak rozděleny jasně. Dosavadní zařízení coby modem zprostředkovává internetové připojení pro nový směrovač, který bude nyní středobodem vaší počítačové sítě.

Začínáme s konfigurací

Zapněte počítač, ke kterému jste alespoň provizorně připojili svůj nový router. Teď se další postup může lišit model od modelu. V některých případech s konfigurací pomůže průvodce na přiloženém instalačním CD/DVD. S routerem Asus RT-AC68U stačí spustit webový prohlížeč, kde se též objeví rychlý průvodce konfigurací.

Pokud jste Asus RT-AC68U či podobný router připojovali k internetu výše popsaným způsobem, můžete narazit na následující chybové hlášení. Problém je v tom, že původní modem a nový router mají přednastavenu stejnou IP adresu. V našem příkladu jde o 192.168.1.1. Asus RT-AC68U se naštěstí umí snadno přizpůsobit automatickou změnou IP adresy například na 192.168.2.1.


Autor: Jiří Macich ml.

Drobný problém na úvod: řešení konfliktu IP adres mezi novým routerem a dosavadním modemem.

Stačí jen kliknout na tlačítko Další. Router během několika sekund provede změnu své IP adresy, aby odstranil konflikt s IP adresou modemu. Pak se již v okně webového prohlížeče objeví rychlý konfigurační průvodce, který umožní nastavit skutečně jen to nejnutnější. Asus RT-AC68U má celou webovou administraci lokalizovanou do češtiny, což bohužel stále neplatí napříč trhem.


Autor: Jiří Macich ml.

Na úvod konfigurace se lze nezřídka seznámit s výhodami routeru.

Na úvod se router „pochlubí“ některými svými přednostmi. Kliknutím na tlačítko Další se posunete konečně k prvnímu ze tří kroků průvodce úvodním nastavení. Asus RT-AC68U chce nejdříve změnit výchozí (tzv. tovární) přihlašovací údaje pro přístup k webové administraci, kdy uživatelské jméno i heslo zní shodně admin. To je obvyklé přednastavení, ale objevují se i různé kombinace.

Tovární přihlašovací údaje najdete v manuálu. Někdy též bývají dodány na zvláštní kartičce nebo jsou uvedeny na výrobním štítku routeru (vzadu či zespodu). Každopádně je doporučujeme změnit. Jedním z důvodů jsou záškodnické programy, které se z napadeného počítače v síti snaží za použití všeobecně známých továrních přihlašovacích údajů změnit klíčová nastavení routeru.


Autor: Jiří Macich ml.

Průvodce úvodní konfigurací v prvním kroku nejdříve trvá na změně továrního přístupového jména a hesla.

Po zadání uživatelského jména a hesla, které se pro kontrolu obvykle zadává do dvou různých kolonek, můžete kliknout na tlačítko Další. Při našem připojení k internetu přes modem kombinovaný s routerem od poskytovatele připojení Asus RT-AC68U automaticky přeskočí druhý krok průvodce pro konfiguraci připojení k internetu. Je totiž nakonfigurováno automaticky.

Zbývá třetí a nejdůležitější krok, kde můžete zadat název (SSID) své bezdrátové sítě a heslo nutné pro přístup k ní. Náš modelový router je dvoupásmový, takže lze nastavit síť v tradičním pásmu 2,4 GHz i v pásmu 5 GHz. 

Obecně se doporučuje vybrat takový název sítě, který nemůže vést k identifikaci jejího vlastníka, resp. provozovatele. 


Autor: Jiří Macich ml.

Třetí krok průvodce úvodní konfigurací je nejdůležitější, protože se zde nastavuje zabezpečení Wi-Fi sítě.

Dalším doporučením je zvolit co možná nejsilnější (nejdelší, nejkomplikovanější) přístupové heslo resp. síťový klíč. Obojí je ochrana proti „nezvaným hostům“ v síti, kteří by zneužili přesahu jejího Wi-Fi signálu mimo váš byt či dům k sousedům či na veřejné prostranství.  

Spolehlivý klíč (heslo) by měl být tvořen náhodnou změtí malých a velkých písmen spolu s číslicemi. Čím více znaků, tím lépe.

Pokud nezadáte síťový klíč, který je někdy označovaný anglickým termínem pre-shared key (PSK), bezdrátová síť bude volně přístupná. Jestliže ale síťový klíč zadáte, router Asus RT-AC68U zvolí nejvyšší možné zabezpečení Wi-Fi sítě pomocí šifrování přenášených dat. Přesah sítě pak nepředstavuje už tak velký problém, protože pro přístup k síti je nutné zadat klíč (heslo).

Nastavení názvu sítě (SSID) a síťového klíče (PSK) uložte tlačítkem Použít. Zobrazí se stránka s rekapitulací předchozích voleb nastavení. Uvidíte zde právě nastavené SSID a PSK pro síť v pásmech 2,4 GHz a 5 GHz, informaci o automatické konfiguraci internetového připojení (sekce WAN) a IP adresu směrovače (sekce LAN).


Autor: Jiří Macich ml.

Průvodce úvodní konfigurací obvykle končí shrnutím všech zvolených či ponechaných nastavení.

To je ta, kterou jsme měnili v úvodu kvůli konfliktu s IP adresou modemu. Zapamatujte si ji, protože jejím zadáním do webového prohlížeče se vždy dostanete do administračního rozhraní routeru. Zde můžete kromě změny konfigurace sledovat stav sítě. Teď ale nejprve řádně ukončete průvodce úvodním nastavením kliknutím na tlačítko Další.

První pohled na administraci

Po dokončení úvodní konfigurace nebo kdykoliv po zadání IP adresy routeru do webového prohlížeče je již dostupné plnohodnotné administrační rozhraní. Vždy je nutné zadat uživatelské jméno a heslo zvolené v prvním kroku průvodce základní konfigurací. Kdybyste tyto údaje někdy náhodou zapomněli, lze router resetovat do továrního nastavení.


Autor: Jiří Macich ml.

Pro přístup k webové administraci je třeba zadat uživatelské jméno a heslo zvolené v úvodu počáteční konfigurace.

Asus RT-AC68U má tlačítko pro obnovení továrního nastavení na zadní straně ukryté v žebrování odvádějícím generované teplo do okolního prostředí. Pro jeho stisknutí je nutný nějaký tenký předmět, jako je třeba hrot tužky. 

To proto, abyste tlačítko nestiskli omylem, protože s obnovou továrního nastavení ztratíte veškerou vlastní konfiguraci routeru.

Po úspěšném přihlášení se objeví úvodní stránka webového administračního rozhraní, kde Asus RT-AC68U zobrazuje tzv. mapu sítě, tedy nákres, jak jsou jednotlivá zařízení připojená k síti. Vpravo na úvodní stránce je sloupec Stav systému, kde vidíte některá aktuální nastavení a můžete je rovnou odsud rychle změnit.


Autor: Jiří Macich ml.

Úvodní stránka administrace routeru Asus RT-AC66U poskytuje mapu sítě, přehled důležitých nastavení a možnost jejich rychlé změny.

Navigaci v administračním rozhraní má každá značka routerů jinou. Mění se také v průběhu let, jak výrobci do novějších modelů nasazují i novější software (resp. firmware). V tomto případě hlavní navigaci tvoří sloupec vlevo, odkud se můžete dostat do jednotlivých sekcí. Malá lišta s odkazy nahoře pak slouží pro navigaci uvnitř jednotlivých sekcí mezi kartami.

Pokročilé nastavení Wi-Fi

Chcete-li změnit výchozí nastavení Wi-Fi sítě, posunujte stránku dolů, dokud v levém sloupečku Pokročilá nastavení neuvidíte tlačítko Bezdrátová. Kliknutím na něj se ocitnete v sekci Bezdrátová – Obecné. Zde lze překonfigurovat bezdrátovou síť včetně jejího základního zabezpečení, ale výchozí nastavení se jeví velmi rozumně.

Je zvoleno silné zabezpečení kombinující WPA2 s šifrou AES, což je nejlepší možná kombinace. 

Některá starší zařízení ovšem při takto vysoké úrovni zabezpečení nemusí být schopna úspěšného připojení do sítě. Pokud se s takovou situací setkáte, místo AES zvolte šifru TKIP. 

V kombinaci s WPA2 je to druhá nejlepší možnost konvenčního zabezpečení šifrováním.


Autor: Jiří Macich ml.

Na kartě „Bezdrátová – obecné“ není víceméně co na nastavení Wi-Fi sítě měnit. Zabezpečení je přednastaveno na vysokou úroveň.

Z menu v kolonce Způsob přihlášení si mj. můžete vybrat mezi WPA2 Personal a WPA Enterprise. Domácnostem doporučujeme WPA2 Personal, kdy se jako autentizační prvek používá síťový klíč (pre-shared key). Ten uživatel před bezdrátovým připojením do sítě musí znát. Někdy se tento způsob zabezpečení označujete také jako WPA2-PSK.

Pokud bychom oproti výchozímu stavu na kartě Bezdrátová – Obecné měli dopročuti nějaké nastavení změnit, tak by to bylo tzv. skrytí SSID. Pak se na většině zařízení vaše Wi-Fi síť nezobrazí mezi těmi dostupnými. Pro připojení k síti je třeba znát také její název, který je nutné „vyťukat“ manuálně, což je další podpůrný bezpečnostní prvek.

Přesuňme se nyní na kartu Bezdrátová – WPS, kde lze konfigurovat technologii Wi-Fi Protected Setup umožňující rychlé připojení zařízení do sítě bez zadávání složitého klíče (hesla). I když to zní lákavě, doporučujeme spíše podporu této technologie vypnout. Jinak kdokoliv (např. návštěva), kdo získá fyzický přístup k routeru, může do sítě proniknout stisknutím WPS tlačítka.


Autor: Jiří Macich ml.

Na kartě „Bezdrátová – WPS“ doporučujeme raději pro všechny případy vypnout podporu technologie Wi-Fi Protected Setup

Problematičtější je ale přihlašování přes PIN, které technologie Wi-Fi Protected Setup zahrnuje a router Asus RT-AC68U podporuje. V tomto případě není nutný fyzický přístup k routeru. Stačí být v dosahu sítě, k němuž se samozřejmě počítá i přesah do vámi kontrolovaných prostor. Problém je v tom, že u některých routerů lze PIN prolomit tzv. hrubou silou, tedy stylem pokus – omyl.

I s pomocí automatizovaných nástrojů to sice zabere nějaký čas, ale je to potenciálně slabé místo zabezpečení sítě, které devalvuje kombinaci WPA2 + TKIP + složitější síťový klíč (PSK). Náročnější uživatelé mohou také přejít na kartu Bezdrátová – Filtr bezdrátového připojení MAC. Zde lze totiž povolit přístup do bezdrátové sítě jen konkrétním zařízením.

Směrovač je identifikuje pomocí jejich jedinečné MAC adresy, které se též někdy říká fyzická či hardwarová adresa. Některé routery MAC filtraci podporují nejen pro bezdrátové připojení, ale také pro kabelové připojení, které je jinak prakticky nechráněno před zneužitím. Ovšem Asus RT-AC68U umí na základě MAC adresy omezovat přístup jen k bezdrátové síti.


Autor: Jiří Macich ml.

V případě routeru Asus RT-AC66U lze MAC filtraci použít jen na bezdrátově připojovaná zařízení.

Pro osobní počítače je konfigurace jednoduchá. Stačí se přes Wi-Fi přihlásit k administraci routeru. Na kartě Bezdrátová – Filtr bezdrátového připojení MAC je pak automaticky detekovaná jejich MAC adresa, takže není třeba ji svépomocí zjišťovat a opisovat. To ale nemusí platit o mobilních zařízeních, kde MAC adresa bývá uvedena v sekci O zařízení či Bezdrátová připojení a tak podobně (viz manuál).

Bezpečná síť pro hosty

Pokud hodláte návštěvám umožnit přístup k internetu z jejich zařízení prostřednictvím vašeho routeru, můžete využít funkce Guest Network. Ta vytvoří separátní Wi-Fi síť s vlastním nastavením zabezpečení, která umožní sdílet přístup k internetu, ale nedovolí návštěvám přístup z jejich zařízení do vaší hlavní sítě. K té tedy nemusíte ani sdělovat přístupové heslo (klíč).

Pro aktivaci a další nastavení této funkce v levém sloupečku Obecné klikněte na položku Hostovaná síť. Asus RT-AC68U podporuje až šest sítí pro hosty: tři v pásmu 2,4 GHz a tři v pásmu 5 GHz. Pro potřeby domácnosti by ale mělo stačit nastavit v každém pásmu jen jednu síť. Výrobce podporou více sítí pro hosty myslel spíše na potřeby firem.


Autor: Jiří Macich ml.

Nastavení sítě pro návštěvy je velmi jednoduché a přitom umožní předcházet trapným situacím, kdy hostům odmítnete umožnit připojení k Internetu z obavy o soukromí.

Asus RT-AC68U ve výchozím nastavení ponechává síť pro hosty otevřenou, takže pro přístup k ní není nutné zadávat heslo. To doporučujeme změnit. Případný narušitel by sice neměl proniknout do vaší lokální sítě, ale získá přístup k vašemu internetovému připojení. Přinejhorším ho může zneužít pro trestnou činnost, kdy orgány činné v trestním řízení stopy zavedou k vám.

CIF17

Tolik k základnímu nastavení. 

Konfigurace nového routeru by měla být vždy především o zabezpečení. Zejména při používání Wi-Fi sítě, která může být kvůli přesahu mimo kontrolované prostory (váš byt, dům či pozemek) při nedostatečném zabezpečení potenciálním rizikem. Proto zde o bezpečnosti Wi-Fi určitě nyní nečtete naposled.

Anketa

Co je podle vašeho názoru resp. vaší zkušenosti největší překážkou při úvodní konfiguraci routeru?

Jirka Macich

Jiří Macich ml.

Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká. S redakcí DigiZone.cz spolupracuje řadu let. Píše o technologických tématech a nyní také moderuje zdejší diskuse a fórum.