U.S. Robotics Secure Storage Router Pro: скоростной маршрутизатор с VPN и файловым сервером – THG.RU

Введение

Всего лишь за несколько лет широкополосные маршрутизаторы перешли из категории медленных, дорогих ($300 и выше) устройств со сложной настройкой и небольшим набором функций в категорию удобных, (почти) самонастраивающихся полнофункциональных продуктов, которые сегодня можно купить даже дешевле $50. Вы можете прекрасно себе представить, что подобное падение цен сделало с производителями, которые сегодня пытаются лезть из кожи вон, чтобы дать потребителям дополнительные функции и получить с них дополнительные деньги.

Одной из таких функций является конечная точка VPN, и надо признать её успех в деле выколачивания денег из кошельков потребителей. Однако U.S. Robotics USR8200 Secure Storage Router Pro обеспечивает ещё одно “ценное предложение”. Впрочем, посмотрим, насколько оно будет успешным.

Базовые функции и внутреннее строение

8200 имеет стандартный для USR пластиковый корпус угольно-чёрного цвета, близкий к внешнему виду других широкополосных сетевых продуктов. Однако 8200 имеет большее основание – чуть больше 22 см по ширине и 14 см в длину. Но корпус выполнен таким образом, что на него можно установить другие устройства USR с меньшей площадью основания.

Все светодиоды расположены на передней панели и видны под широким углом обзора. Индикаторы включают Питание/PWR, WAN, USB1, USB2, 1394(Firewire) и Связь/Активность/Скорость / Link/Activity/Speed для всех четырёх коммутируемых портов 10/100 LAN, которые находятся на задней части маршрутизатора.

Сзади также расположены порт 10/100 WAN, гнездо питания и клавиша Сброс/Заводские настройки / Reset/Reset-to-Factory. Привычного переключателя Normal/Uplink или дополнительного порта Uplink здесь нет, поскольку все порты WAN и LAN имеют автоматическое определение MDI / MDI-X. То есть они сами разбираются, что в них подключено, а также какой кабель используется: с прямой или перекрёстной обжимкой.

Наш предварительный образец поставлялся без фирменной упаковки, однако в комплект поставки входит кабель UTP, печатный плакат по быстрой установке и CD. В дополнение к HTML-руководству пользователя на CD также присутствуют демо-версии Norton Internet Security и утилиты мониторинга скорости широкополосного соединения. В руководстве приведены все необходимые сведения, однако нам не слишком понравилась скудность информации по должной конфигурации брандмауэра 8200.

8200 базируется на сетевом процессоре Intel IXP422 с 16 Мбайт флэш-памяти и 64 Мбайт DRAM, а в качестве операционной системы используется Jungo OpenRG, которая, по данным USR, базируется на ядре Linux версии 2.4.19. Контроллеры VIA VT6202 и 6307S обеспечивают работу интерфейсов Hi-Speed USB и FireWire соответственно. Обратите внимание, что IXP422 поддерживает встроенное аппаратное ускорение для алгоритмов шифрования SHA-1, MD5, DES, 3DES, AES, используемых туннелями IPsec.

USR планирует выпустить SDK, чтобы дать возможность третьим разработчикам выпускать дополнительные продукты, однако пока инженеры компании работают над механизмами обеспечения надёжности, чтобы проблемные модули не смогли повлиять на работу остальных компонентов маршрутизатора.

Как показало наше тестирование производительности, комбинация IXP422 и OpenRG обеспечивает достаточную мощь, но позднее мы ещё остановимся на этом более подробно.

Настройка и администрирование

По умолчанию 8200 имеет IP-адрес 192.168.1.1, а встроенный chiefP-сервер LAN включён. Так что если ваш клиентский компьютер настроен на автоматическое получение IP-адреса, вы сможете сразу же подключиться к web-интерфейсу администрирования.

Приятно отметить, что 8200 сразу же заставляет задать пароль администратора. Да, конечно, вы всегда можете ввести пароль, который можно будет легко угадать, но, по крайней мере, задать пустой пароль вы не сможете. Да и к тому же, у маршрутизатора нет известного всем пароля по умолчанию, который некоторые пользователи любят оставлять, как есть.

Подключение по WAN настраивается через Мастера подключения/Connection Wizard на экране Сетевые подключения/Network Connections. Конечно, можно понять, что USR пытается облегчить настройку для не столь продвинутых в компьютерных делах пользователей, однако нам навигация по этой секции показалась не такой интуитивной.

Первый экран достаточно прост, на нём следует выбрать варианты: Подключение к Интернету/Internet Connection, Подключение к VPN через Интернет/Connect to a Virtual Private Network over the Internet и Расширенное подключение/Advanced Connection. При выборе Подключение к Интернету/Internet Connection (Рис. 1), варианты просты и понятны, однако пользоваться ими не так удобно, поскольку окна Мастера не предлагают опций по конфигурации.

Рис. 1. Подключение к Интернету/Internet Connection.

Чтобы всё ещё больше запутать, общие опции протокола Point-to-Point Protocol over Ethernet (PPPoE) находятся в секции Расширенная конфигурация/Advanced Configuration вместе с Мастерами настройки Сетевого моста/Network Bridging, PPTP и IPsec. Просмотр HTML-руководства пользователя во многих случаях бесполезен, поскольку в нём часто даются ответы на вопрос “что?” относительно каждой функции, и при этом вы ничего не узнаете о том, “почему?”, “как?” и “когда?”.

В любом случае, мы полагаем, что маршрутизатор поддерживает наиболее распространённые конфигурации WAN, но мы не смогли найти конфигурацию имени домена или узла, и, как мы предполагаем, аутентификация SingTel RAS и BigPond не поддерживается.

В целом, интерфейс администрирования имеет хорошую отзывчивость, и мы не смогли найти каких-либо настроек, требующих долгих циклов перезагрузки для применения параметров. Однако если вам захочется перезапустить 8200, то придётся подождать около минуты. Но, по крайней мере, при возвращении маршрутизатора к жизни страница администрирования будет обновлена. Маршрутизатор автоматически проверяет сервер времени NTP (впрочем, вы не можете задать свой сервер) для получения правильного времени при подключении к Интернету.

Поддерживается несколько одновременных входов администратора, при этом никаких предупреждений не выдаётся. Удалённое администрирование через Telnet (вы получите доступ к интерфейсу командной строки OpenRG) и HTTP может быть включено или выключено с выбором портов только 80 или 8080 для HTTP и 23 или 8023 для Telnet. Вы также можете включить/отключить входящие запросы SNMP, ping и traceroute. Всё, что мы упомянули, по умолчанию отключено. К сожалению, у маршрутизатора отсутствует возможность ограничивать доступ к функциям удалённого администрирования, однако большим плюсом является возможность доступа к интерфейсу администрирования при подключении по VPN.

Карта сети

Основной момент, на который следует обратить внимание при рассмотрении настройки 8200, это страница Дом/Home / Карта сети/Network Map, показанная на Рис. 2.

Рис. 2. Карта сети/Network Map

Поначалу мы подумали, что перед нами просто вычурный способ демонстрации событий, происходящих на маршрутизаторе. Однако на большинство объектов можно “кликнуть” и получить соответствующий экран администрирования.

К тому же, вы видите всю информацию, касающуюся, скажем, клиента PUTTI. У каждого клиента отображается список всех открытых портов. В дополнение к портам, открытым с помощью функций DMZ или Локальные серверы/Local Servers, также отображаются порты, автоматически открытые с помощью прохождения UPnP NAT! Вообще, неплохо было бы, чтобы продукты запрашивали разрешение перед автоматическим открытием портов, однако, по меньшей мере, 8200 демонстрирует некоторые ослабления безопасности, связанные с прохождением UPnP NAT.

В самом начале нам очень понравилась карта сети и интерфейс в целом. Однако после нескольких дней работы с 8200, мы несколько подустали от них. Мы часто ловили себя на том, что пытаемся попасть в нужную страницу конфигурации, и просто проматываем все остальные страницы. Установка функций брандмауэра оказалась весьма утомительной, тем более что у вас нет никакой возможности привязать группе клиентов LAN одни и те же правила.

Функции брандмауэра

Когда мы начали разбираться в конфигурации брандмауэра 8200, то обнаружили, что Карта сети/Network Map не отображает настройки Управления доступом/Access Control (фильтры по портам/службам). С этим вполне можно смириться, однако мы обнаружили, что закладка Управление доступом/Access Control не отражает рабочие настройки закладки Безопасность/Security > Общие/General, что действительно плохо.

Закладка Безопасность/Security предлагает воспользоваться тремя уровнями безопасности: Максимальным/Maximum, Обычным/Typical и Минимальным/Minimum (Рис. 3).

Рис. 3. Общие уровни безопасности.

Уровень Максимальный/Maximum позволяет всем клиентам использовать только службы Telnet, FTP, HTTP, HTTPS, DNS, IMAP, POP3 и SMTP, причём этот уровень активирован по умолчанию. Мы столкнулись с этим ещё в самом начале, когда обнаружили, что используемая нами программа SSH не работает – причём на странице Управление доступом/Access Control ничего не было специально указано. Смена уровня на Обычный/Typical решила эту проблему.

Однако нас несколько удивило наличие уровня Минимальный/Minimum, да и само название. Поскольку при его активации брандмауэр 8200 полностью отключается, а все исходящие и входящие трафики свободно проходят, лучше было бы назвать этот уровень Отсутствие безопасности/No Security и выводить соответствующее предупреждение при его выборе. Хотя USR и не первой реализует модель правил безопасности на основе правил и служб, но, как мы полагаем, эта компания уникальна в предоставлении правила Принимать всё/Accept All для входящего трафика, которое выключает защиту брандмауэра 8200.

Рис. 4. Управление доступом/Access Control.

В любом случае, если вы желаете настроить управление доступом, то 8200 сильно облегчает вашу задачу, предоставляя расширенный список готовых фильтров, рядом с которыми можно просто ставить галочку (Рис. 4). Однако ситуация усложняется, поскольку фильтры можно указать либо для всей LAN, либо для одного IP-адреса (или имени компьютера) в одно время. По крайней мере, вы сможете редактировать и временно отключать правила, однако вы не сможете активировать их по расписанию, чтобы они работали в определённые дни или моменты времени.

Настройка перенаправления входящих портов (Локальные серверы/Local Servers) выглядит и работает подобно Управлению доступом/Access Controls, за исключением того, что у вас отсутствует опция “вся LAN”. Как и в случае с Управлением доступом/Access Controls, вы не можете указать расписание. Привязка портов по событию (trigger) не поддерживается, однако для локальных серверов присутствует “Loopback”.

Если простые опции фильтрации вам не подходят, и вы обладаете достаточным опытом в настройке брандмауэров, то можете перейти к настройке функций Расширенной фильтрации/Advanced Filtering.

Рис. 5. Расширенная фильтрация/Advanced Filtering.

На Рис. 5 показаны доступные наборы правил, а на Рис. 6 – некоторые настройки для каждого набора. Хорошей новостью будет то, что у вас есть возможность конфигурации брандмауэра на профессиональном уровне.

Рис. 6. Правила расширенной фильтрации.

Плохой новостью будет то, что вы сами должны разобраться, как работать с этим мощнейшим инструментом и какие наборы правил будут действовать. HTML-руководство пользователя ничем вам не поможет, и (на момент выхода обзора) никакой помощи при настройке не выдаётся.

Закончить рассмотрение возможностей брандмауэра мы бы хотели функцией Запрещения/Restrictions. Она представляет собой простейшую фильтрацию URL, однако на Рис. 7 показана проблема, связанная с реализацией USR.

Рис. 7. Запрещения/Restrictions.

Ссылка Новая запись/New Entry на этой странице позволяет ввести вам только IP-адреса или URL, которые могут быть разрешены в IP-адресах. Вы не можете ввести просто слова или маски URL, к примеру, *.yahoo.com. На Рис. 7 показано, что два web-сайта, имена которых мы разрешили в IP-адресах, отличаются для корня и www. Так что блокировка www.whitehouse.gov не помешает пользователю перейти на сайт whitehouse.gov.

Другим ограничением Запрещений/Restrictions будет то, что они действуют для всех пользователей LAN, и вы не сможете выделить “доверенного пользователя”. Также не поддерживаются опции для блокировки прокси, аплетов Java, Active X и Cookies.

VPN

Совет: если вы являетесь новичком в деле VPN, ознакомьтесь с нашим VPN FAQ и секцией VPN Links & Tools (на английском).

8200 имеет богатые возможности по поддержке VPN, учитывая возможность как прохождения IPsec и PPTP, так и организацию конечной точки. Однако у нас возникла проблема использования всей этой мощи, и нам не помогли ни Мастер подключения, ни руководство пользователя.

Мастер подключения/Connection Wizard имеет достаточно понятные опции протокола Point-to-Point Tunneling Protocol и сервера Point-to-Point Tunneling Protocol Server, позволяющие 8200 подключать всех клиентов LAN к удалённому шлюзу PPTP или подключаться отдельным пользователям через PPTP, соответственно. Но Мастер запрашивает лишь простейшие настройки, так что вам придётся перейти к экрану Расширенных/Advanced настроек (Рис. 8) для изменения параметров или, по крайней мере, для того, чтобы понять, как настроить клиента PPTP.

Рис. 8. Расширенные настройки PPTP.

Как только вы настроите сервер PPTP, вам следует посетить страницу Пользователи/Users (подробнее о ней позже), чтобы настроить учётные записи для каждого пользователя, который будет подключаться к серверу PPTP.

Однако настройка IPsec не так легка. Мастер подключения/Connection Wizard обеспечивает только опции Сеть-Сеть/Network-to-Network и Шлюз-Шлюз/Gateway-to-Gateway, ни одна из которых, похоже, не предусматривает нашего желания подключиться по туннелю IPsec с помощью клиента WinXP IPsec. Так что мы просто выбрали опцию, завершили работу Мастера, а затем перешли на страницу Настройки/Settings (Рис. 9) для их конфигурирования.

Рис. 9. Настройки IPsec.

Хотя настройки, как будто, обеспечивают все необходимые опции, ввод удалённой конечной точки и удалённой подсети класса C (192.168.3.X) выдал ошибку. Мы смогли успешно “поднять” туннель, когда перешли на использование Linksys USBVPN1, подключённого к нашему ноутбуку, вместо работы через клиент IPsec.

Похоже, что 8200 предоставляет богатый выбор опций по подключению, некоторые из которых показаны на Рис. 10, включая возможность использования протокола Заголовок с аутентификацией/Authentication Header (AH) во время фазы 2 переговоров, что не всегда присутствует у устройств IPsec подобного класса. Но, опять же, вам лучше знать все настройки VPN назубок, поскольку Мастер и документация в комплекте поставки вам вряд ли помогут.

Рис. 10. Настройки обмена ключей IPsec во время фазы 1.

Производительность VPN

Однако, как только мы завершили настройку, мы были приятно удивлены пропускной способностью. На Рис. 11 показан составной график пропускной способности PPTP Chariot, в направлениях локальный-удалённый (Local-to-Remote) и удалённый-локальный (Remote-to-Local).

Рис. 11. Пропускная способность PPTP.

Клиентом PPTP был ноутбук на 1 ГГц Celeron с операционной системой WinXP и встроенным адаптером Microsoft PPTP. Обратите внимание, что результаты были получены без влияния какого-либо дополнительного трафика, идущего через маршрутизатор, и, помимо Chariot и конечных точек программы, на тестовых машинах не было ничего установлено. Производительность для PPTP туннеля, который использует меньшую вычислительную нагрузку по сравнению с IPsec, составила 8-9 Мбит/с, что можно назвать впечатляющим результатом!

Но поскольку вряд ли ваша сеть будет настроена подобным образом, мы провели второй тест, показанный на Рис. 12.

Рис. 12. Тест на две пары – PPTP, LAN/WAN

Этот тест использовал две пары компьютеров, при этом у каждой пары одна машина находилась на стороне LAN, а другая – на стороне WAN. Мы настроили скрипт Chariot на отсылку данных через нормальное соединение LAN-WAN для одной пары, и через туннель PPTP в направлении удалённый-локальный (Retmoe-to-Local) для другой пары. Как показывают результаты, 8200 вполне способен справиться с одновременной поддержкой NAT и PPTP, выдавая неплохую пропускную способность.

С негативной точки зрения следует отметить, что отключение сеанса PPTP со стороны нашего клиента WinXP Home каждый раз подвешивало 8200, и нам приходилось производить “холодный” перезапуск маршрутизатора.

Поскольку мы не смогли получить туннель IPsec, работающий напрямую от клиента XP, мы не смогли протестировать пропускную способность IPsec. USR сообщила нам, что компания протестировала больше 150 одновременных подключений IPsec с “типичными сценариями пропускной способности”, и не встретила каких-либо падений пропускной способности. Компания также “максимизировала” число подключений PPTP и не столкнулась с проблемами производительности.

Как сообщает USR, единственным ограничением на число подключений является количество IP-адресов в подсети класса C – 254. Так что, если вы не занимаетесь перекачкой огромных файлов через несколько туннелей IPsec, то, похоже, вы не встретите каких-либо проблем с производительностью VPN у 8200.

Результаты теста производительности PPTP VPN

[С детальным описанием методики тестирования можно ознакомиться здесь.]

Журналирование и прочие функции

Учитывая все возможности, поддерживаемые 8200, журналирование поражает своей скудностью. Пользователю предлагаются раздельные журналы Безопасность/Security и Системный/System, которые можно очистить, но нельзя сохранить в файл. Большинство интересной информации записывается в Системный/System журнал, включая множество системных сообщений Linux. Но этот поток также страдает избыточной информационной перегрузкой, типа побайтовых сообщений, генерируемых нашим тестовым подключением PPTP.

Устройство не поддерживает журналирование syslog или “ловушки” SNMP для захвата информационных потоков, однако журналы всё же можно отсылать по электронной почте, если вы включите соответствующую функцию и введёте адрес и SMTP-сервер. Мы включили указанную функцию, после чего в нашем ящике показались журналы, но их содержимое оказалось не таким полезным.

В целом, в этом направлении USR следует провести дополнительную работу, чтобы обеспечить лучший доступ к информации журнала, а также добавить журнал трафика web-сайта.

Список дополнительных функций немал, и мы обнаружили некоторые функции, которые не имеют разумных объяснений в руководстве. Среди того, что мы поняли, присутствуют:

• вы можете устанавливать неограниченное число статических маршрутов
• поддерживаются протоколы динамической маршрутизации RIP 1 и 2, а также многоадресная передача (multicasting)
• вы можете заставить 8200 автоматически проверять наличие обновления прошивки и либо осуществлять автоматическое обновление, либо отсылать соответствующее сообщение по электронной почте

И, конечно, не будем забывать про функции файл-сервера 8200, которые мы рассмотрим в следующем разделе.

Хранилище и доступ к файлам

Инновацией 8200 для сетей SOHO/SMB является поддержка файлового сервера SMB и FTP, организованного на базе внешних жёстких дисков с интерфейсами USB 2.0 или IEEE 1394 (FireWire). Как сообщила нам USR, 8200 поддерживает подключение до 30 дисков, однако к встроенным портам вы сможете подключить только два-три привода USB и один FireWire.

Рис. 13. Информация о диске.

Как только вы подключите привод и запустите 8200, на экране настройки появится значок диска (см Рис. 2), который, при нажатии на него, выведет экран Информация о диске/Disk Information, показанный на Рис. 13. Он предоставляет все необходимые функции, включая возможность создавать, форматировать, проверять и удалять разделы, а также монтировать/демонтировать привод целиком.

8200 использует протокол SAMBA, базирующийся на протоколе SMB (Server Message Block). Это означает, что к файлам 8200 можно получить доступ практически из любой ОС.

Учётные записи и права доступа определяются на странице Advanced/Расширенные > Users/Пользователи (Рис. 14), которая, как вы можете видеть, не слишком усложнена.

Рис. 14. Настройки учётной записи.

Вы можете управлять правами пользователя на чтение/запись только по отношению ко всем ресурсам – никакой возможности разграничить доступ по каталогам или даже разделам не предоставляется. Все другие пользовательские настройки видны на иллюстрации, включая управление доступом через PPTP, если сервер PPTP активен.

Управление доступом через сервер FTP контролируется на странице Advanced/Расширенные > FTP (Рис. 15).

Рис. 15. Сервер FTP.

Опять же, здесь нет ничего сложного.

Как нам кажется, USR следует доработать доступ к файлам и FTP, а также исправить ошибки (похоже, что мы смогли получить доступ к тем ресурсам, к которым не должны были бы) и обеспечить лучшее управление доступом. Обратите внимание, что наша версия прошивки не позволяла управлять доступом к файлам по SMB и FTP раздельно.

Производительность маршрутизации

Результаты теста производительности представлены следующей таблицей:

[С детальным описанием методики тестирования можно ознакомиться здесь.]

Примечание по тестированию: Все тесты проводились с конечной точкой LAN, расположенной в DMZ

Ничего особого по результатам сказать нельзя, кроме того, что они чертовски впечатлили нас, и 8200 оказался чемпионом по пропускной способности среди всех маршрутизаторов, протестированных нами!

Мы также провели тесты потока UDP на 1 Мбит/с, и 8200 ни разу не запнулся, потеряв 0% данных.

Заключение

В целом, у нас осталось смешанное впечатление по 8200. С положительной точки зрения отметить высокую производительность маршрутизации и VPN, которая превосходит все другие продукты, попадавшие к нам в руки. Также упомянем и богатый набор функций, однако простота доступа к ним и ясность документации оставляют желать лучшего, учитывая текущее руководство пользователя.

Нам хотелось бы сравнить 8200 с плохо обработанным бриллиантом, которому потребуется одна или две доработки прошивки с целью исправления ошибок и добавления функций, прежде чем он засияет в полную силу. Поскольку этот продукт также является пионером в своей категории, пройдёт некоторое время, прежде чем он найдёт свою целевую аудиторию. Его цена в $250 на момент публикации статьи оставит равнодушным строителей домашних сетей, однако она вполне доступна для малого бизнеса даже с условием добавления цены внешнего привода, что составит не меньше $100.

И в конце всё же возникает вопрос: насколько привлекательной является покупка комбинации маршрутизатора с PPTP и IPsec конечной точкой VPN, с опциональным режимом файлового сервера/FTP без возможности ограничения доступа на уровне файлов или папок? Как мы полагаем, определённый смысл в выпуске подобного продукта есть, но USR требуется провести его доработку.