Вітання усім.

Після невдалої спроби використання бюджетного обладнання від dlink  було вирішено замінити безпровідний рутер на такий, що буде спроможний безперебійно працювати в умовах:

• - кількість безпровідних терміналів більше 10
• - повноцінна підтримка wpa2 криптування
• - робота в просторі з наявністю більше 5 сусідніх мереж wifi
• - можливість повноцінної фільтрації по mac адресах та захист від можливих зламів

Для цього було обрано модель Asus WL-566gM WiFi Router 240MIMO

Чим мені він сподобався ще до самого факту купівлі

• Наявність трьох антен
• Заявлена внутрішня багатоканальність
• Одночасна підтримка різностандартних протоколів від a до g із можливістю одночасної підтримки кількох систем криптування
• розвинута система фільтрації і захисту від зламів
• наявність достатнього файрволу по IP mac тощо
• дуже розвинута система конфігурування згідно документації на пристрій

Пристрій на момент купівлі знаходився в середній ціновій категорії і складав 640грн ( ~ 130$ ).

Після придбання виявилось, що пристрій побудовано на системі linux embedded ( вбудований лінукс ), що остаточно підкріпило впевненість у правильності вибору.

Пристрій було придбано на заміну Dlink Di-624 rev C , що вимагало від нього достатнього гнучкості для простоти міграції без необхідності переконфігурування клієнтських машин. Забігаючи наперед, скажу, що перехід відбувся дуже і дуже швидко і без лишнього мінінгіту.

В комплектації до пристрою входить

• 3 антени
• 1 півтораметровий пачкорд
• блок живлення

Швидка покрокова настройка Quick Setup

 

 Найпростіший метод інсталяції - Покрокова швидка Quick Setup

 

Першим пунктом - вибір часової зони. Образив Асус нашого брата і не дописав 4 літери в список зони. Ну але як є.

Далі - вибір типу звязку з інтернет провайдером зі сторони мережевого порта WAN. Вибравши відповідний до Вашого тип, подальші кроки будуть різними, тому я опишу всі етапи інсталяції.

Вибір складається із 5 пунктів (опишу лише 4 8)) ):

1. Автоматичне налагодження DHCP
2. ADSL звязок аутентифікацією через користувач-пароль - PPPoE
3. ADSL користувач-пароль-IP - PPTP ( відомий як VPN )
4. ADSL із статичною IP адресою (підозрюю, що найбільш вживане у випадку виділених ліній)

Якщо обрали пункт 2 - вказуєм необхідні параметри (користувач-пароль) 

Додаткові параметри ідентифікації ( опціонально у випадку, якщо даний рутер буде виконувати роль сполучення із інтернетом локального веб-сервера із відповідним доменним ім'ям)

Наступним кроком після вибраного  пункта 4 (ADSL із статичною IP адресою) з'являється наступне вікно. Тут вказуєм:

• з'єднання DHCP чи статично
• якщо статично - вказуєм надану IP адресу провайдером, маску підмережі та шлюз по-замовчуванню.
• вказуєм доступні DNS сервери

Наступним кроком - налагодження безпровідної мережі(сюди ж входить і вбудований чотирипортовий провідний концентратор).

Вказуєм:

• SSID - ім'я безпровідної мережі(ідентифікатор), саме це ім'я буде видимим для клієнтів Вашої безпровідної мережі і до нього будут ьпривязуватись відповідні опції
• Рівень безпеки(більше нижче)
• Пароль мережі
• додаткові паролі у випадку використання режиму WEP криптування ( не рекомендую ) та номер використовуваного зараз ключа WEP із списка

При виборі High або Extra режиму Вам необхідно ввести пароль-фразу (раджу мінімум 10 цифрово-символьних знаків), Цей пароль Вам необхідно буде вводити у випадку підключення кожного безпровідного клієнта.

Тут я відобразив можливі варіанти режиму безпеки:

• Низький - без криптування, може згодитись мабуть лише в рідких випадках, для прикладу, в інтернет-кафе
• Середній - 2 режими 64 та 128 біт ключ WEP, ці режими мають "захист від дурня", але в серйозних випадках використовувати не раджу.
• І два високих рівня безпеки - це режим із підтримкою одночасно WPA-PSK + WPA2-PSK криптування з ключем, та окремо лише WPA2-PSK режиму(Extra)

 

Після натискання кнопки Finish і при умові коректно введених даних рутер wl566gm перезавантажиться і приблизно через 30 секунд Ваша мережа повністю роботоздатна.

*****************************

Додаткові можливості налагодження

Вибір каналу, на якому буде працювати Ваша безпровідна мережа. Що було мною особисто відзначено, що вказавши номер мережі замість режиму Auto швидкість підключення клієнтів і швидкість появи мережі після перезавантаження рутера майже вдвічі вища. Рекомендації щодо вибор уномеру каналу дуже прості. Кожен канал відповідає за окрему частоту радіозвязку в діапазоні біля 2.4 ГГц радіочастоти. Чим менша цифра - тим частота нижча, чим більша - тим вища. Якщо в районі видимості ваших клієнтів наявні певні мережі, то для вибору номеру Вашої мережі проаналізуйте номери їхніх і виберіть рівновіддалений від наявних мереж номер. В такому випадку гарантується більш якісний та швидкий зв'язок.

Приклад. В моєму випадку були наявними мережі із номером 1, 4, 6. Я вибрав мережу 13, бо її частота є найвищою. Якщо ж будуть мережі із номерами 1, 2 і 12, то найоптимальнішим буде вибрати номер в районі 7. Хоча ніякого злочину не буде, якщо ви залишите цей вибір на користь wl566gm.

Наступною опцією є вибір стандарту підтримуваної мережі. В випадку wl566gm є можливість встановити автоматичний режим, режим лише 54G (54 мегабіта в секунду 802.11g) та режим лише 802.11b. В автоматичному режимі жодних збоїв в мене не спостерілагося.

Якщо у Вас в мережі використовується сервер Radius - для цього є відповідна закладка в Панелі Адміністрування Asus wl566gm.

Дуже важливою і рекомендованою є можливість налагодження доступу до мережі методом заборони або дозволу певних MAC адрес. В даного маршрутизатора є два варіанти - режим заборони МАС адрес зі списку та режим дозволу. Найбільш хорошим методом буде режим дозволу, в якому доступ буде надаватись виключно клієнтам із списку, а всім іншим - заборона. Звичайно в наш час змінити МАС адресу не складає проблеми, але при умові знання необхідної!. У разі, якщо зловмисник не знає необхідної адреси - дуже складно її підібрати, що безумовно буде відмічено у відповідних статистичних даних, як результат такої атаки.

Розширені параметри налагодження безпровідної мережі для Asus wl566gm

На картинці нижче можна побачити специфічні опції, які можуть бути корисними в певних випадках:

• Приховування SSID ідентифікатора мережі ( не всі клієнти підтримують роботу в такому режимі ) - корисно вимкнути після повного налагодження всіх клієнтів для підвищення безпеки. В цьому випадку Ваша мережа не буде видимою для сканерів.
• Зміна швидкості роботи безпровідної мережі (в умовах використання різнобійних адаптерів від відомих і невідомих виробників може бути необхідним обмежити примусово  швидкість роботи мережі для можливості роботи всього в цілому, або в випадках реальної потреби обмеження швидкості для специфічних випадків)
• Обов'язковий параметр для можливості підключення клієнта.
• Розширені параметри пакетів мережі (RTS threshold , Fragmentation threshold , DTIM Interval , Beacon Interval) (ці параметри будуть корисними в умовах дуже поганого звязку та великої віддаленості клієнтів від рутера)
• Можливість повного відключення безпровідної мережі ( Enable radio ) та можливітсть роботи лише по певним дням тижня! ( в параноідальних випадках можна вимкнути роботу пристрою на вихідні, щоб без Вашої присутності не намагались зламати мережевий ключ )
• QoS менеджер ( рівномірна роздача мережі всім клієнтам )
• Також є автоматичний параметр Network Density , в якому прописані певні стандартні значення, які можуть покращити доступність Вашої мережі в умовах наявності великої кількості сусідніх безпровідних мереж.

Вибір швидкостей із стандарту 802.11 від a до g  8))))

 Налагодження рутера в режимі DHCP сервера

Всі параметри для цього знаходяться в розділі "IP Config" закладка "DHCP Server" панелі адміністрування. Загалом нічого нового ви тут не знайдете, якщо вже мали справу з DHCP. Якщо ж ні - коротко напишу по функціям.

DHCP сервер - це сервер автоматичної роздачі IP адрес клієнтам, які намагаються підключитись до мережі, що обслуговується цим сервером. Це не обов'язково фізичний комп'ютер, але це точно спеціальна сервіс-програма, яка відповідає на спеціальні запити від клієнтів та роздає параметри їм для успішного підключення, в разі, якщо клієнт відповідає певним вимогам, які задані в опціях DHCP сервера.

У випадку wl566 цей сервіс налагоджується дуже просто.

• Вказуєм чи потрібен нам режим DHCP Server
• Вказуєм, або пропускаєм назву доменного імені, в якому будемо роздавати ІР адреси
• Вказуєм стартову та кінцеву межу ( пул ) адрес, в межах яких серверу дозволено роздавати адреси
• Вказуєм час, по закінченню якого ІР адреса стає недійсною і вимагає від клієнта обновити її на сервері.
• Вказуєм шлюз по замовчуванню, який буде передаватись клієнтам.
• Вказуєм при потребі DNS та WINS сервери, які також будуть використовуватись клієнтами

Крім того тут є можливість (іноді вона є дійсно необхідною), фізичної привязки ІР адреси до МАС адреси. В цьому випадку одному тиому ж самому клієнту завжди буде віддаватись одна і та ж сама ІР адреса.

У разі необхідності вказування додаткових маршрутів в закладці Route все дуже наглядно реалізовано.

В закладці Miscellaneous є додаткові опції для мережі:

• віддалений сервер логування ( syslog ) - дуже зручно, якщо в мережі присутній єиний сервер syslog на якому консолідуються всі логи з мережі. Вказавши тут відповідну адресу всі логи системи будуть перенапрявлятись.
• часовий пояс
• NTP сервер ( сервер для точної синхронізації часу )
• DDNS опції - дозволяють налагодити відправку спеціальних пакетів синхронізації із зовнішнім DNS сервером у разі ,якщо Ваша WAN ( зовнішня "біла" ) адреса роздається Вашим провайдером по DHCP. В такому випадку Ви зможетесь гарантовано доступитись до сервісів вашого рутера через доменне ім'я.

Закладка Port Trigger , а по простому - прокидування портів , також наявні в цій моделі. Суть роботи - сервіс забезпечує пересилку запитів по вхідним TCP або UDP портам на вказані у таблиці , яку Ви собі забажаєте. Дуже зручно, наприклад, для можливості доступу ззовні до внутрішнього вебсервера, або до внутрішніх сервісів мережі.

В наступній вкладці маємо опції, що стосуються віртуального сервера. Це щось схоже на попередній сервіс, але в даному випадку присутні готові заготовки для найбільш поширених сервісів, які можуть бути використаними Вам в внутрішній локальній мережі із можливістю доступу до них ззовні.  

Дуже часто використовувана та необхідна функція - Demilitary Zone - можливість вказати локальну ІР адресу, на яку буде перенаправлятись весь без виключення вхідний трафік, що приходить безпосередньо на рутер ( не той, що прямує через NAT ). В цьому випадку стає можливим засвітити ззовні адресу без обмежень в функціональності в обидві сторони. В моєму випадку таку функцію взяв на себе внутрішній FreeBSD сервер, на якому крутяться певні інтернет служби.

Наступна закладка - базові опції мережевого екрану. Основна функція тут - можливість увімкнення доступу до адміністративної панелі із боку WAN із можливістю вказати певний порт, на якому вона буде доступною.

Наступна вкладка - головний сторож мережі - пакетний фільтр, в якому є можливість дозволити-заборонити проходження через рутер пакетів з певної адреси і з певним портом.

Тут все просто - є проблема із шкідливим трафіком - вичисляєм його параметри та формуєм табличку - и тишина. 8)

Улюблена злими адмінами та мозоль в **** для користувачів - функціональність блокування доступу з локальної мережі методом фільтрації певних інтернет адрес, імен та ключових слів. Для прикладу ввівши нижче слово microsoft - зайти з локальної мережі на вебсайт відомої буржуйської компанії буде дуже і дуже проблематично.

Наступна закладка - серйозна сервісна можливість обмеження швидкості та гарантована пропускна здатність, що дозволяє дуже тонко обмежити швидкість роботи непотрібних сервісів, надати гарантовану пропускну полосу для роботи скажімо звукопередавальних сервісів, електронної пошти і всього, що душа забажає. Тут є можливість обмежувати як вхідний так і вихідний трафік, як цілком весь трафік, так і лише певний по деяким портам та ІР адресам.

Наступні закладки мають характер загальносистемних

Зміна пароля адміністратора - дуже і дуже рекомендую це зробити, бо я вже зустрічався із повідомленнями в мережі, що той чи інший користувач не розуміє куди дівається його гроші на рахунку за інтернет.

Кожен поважаючий себе адміністратор повинен володіти резервною копією і даний рутер підтримує таку функціональність. Все банально - файл із повною конфігурацією зберігається в файл.

Інша сторона медалі - відновлення заводських параметрів, або значень по замовчуванню, Якщо щось намутили із опціями і не можете повернутись назад - використовуйте цю закладку в панелі керування.

Зміна прошивки - також не проблема, головне пам'ятати про техніку безпеки:

• Не вимикати живлення, поки процес не завершиться
• Прошивати лише через кабельне з'єднання
• Перед прошиванням перевіряти відповідність файлу прошивки оригіналу (контрольна сума)

 

Додаткові можливості логування та статистики можна побачити на скріншотах

• Статус загальний wl566gm
• Статус безпровідної мережі по підключеним клієнтам
  
• Статус DHCP сервера

• Таблиці маршрутів

Невеличкий висновок

 Пристрій дуже приємно здивував стабільністю роботи в умовах наявності сусідніх шести безпровідних мереж. Швидкість передачі між клієнтами суб'єктивно відповідає заявленим 54 мегабітам в секунду, по крайній мірі в офісі з 10 клієнтів і досить великим документообміном та обміном графічними дизайнерськими файлами питання повільної мережі не стоїть.

За більше ніж рік окрім перевірки логів питань по роботоздатності пристрою не виникало.