Интернет-роутер Compex NetPassage 16


Компания Compex — довольно известный на нашем рынке производитель сетевого оборудования. Сегодня мы рассмотрим устройство класса «интернет маршрутизатор» (Broadband Internet Gateway), а именно — Compex NetPassage 16.

О том, что такое интернет маршрутизатор и принципах его работы было рассказано в предыдущей статье. Вкратце — это устройство позволяет подключить небольшую офисную (или домашнюю) сеть к Интернет через один IP адрес, выданный провайдером. Другими словами, подключаем эту коробочку к кабельному (аналоговому) модему или Ethernet-интерфейсу провайдера с одной стороны, к остальным портам устройства подключаем компьютеры локальной сети напрямую или через коммутаторы. После чего тратим 10-15 минут на настройку маршрутизатора через WEB интерфейс и забываем о нем.

В результате получаем почти беспроблемный доступ в Интернет и тихое и незаметное устройство, которое этот доступ обеспечивает. Конечно, у всего хорошего есть и обратная сторона медали, плюсы и минусы «маршрутизаторов из коробки » были рассмотрены в предыдущей статье.

В комплект поставки NetPassage 16 входят:

  • Печатная документация на английском, в которой кратко расписаны этапы конфигурирования маршрутизатора.
  • Внешний блок питания, состоящий из двух частей — самого БП с кабелем и разъемом для подсоединения к гнезду питания маршрутизатора и кабеля с вилкой в силовую разетку (не евро) с одной стороны, и разъемом типа «мама» для подсоединению к блоку БП с другой. В собранном состоянии корпус БП находится в центре конструкции, что по моему мнению не очень удобно.
  • Интерфейсный нуль-модемный кабель для подключения к устройству напрямую через консоль.
  • Диск с полной документацией на устройство на английском языке (хотя некоторые моменты там, касающиеся отдельных особенностей NAT расписаны достаточно туманно) Так же на диске находятся пару утилит для помощи в конфигурировании устройства (а точнее установления его IP адреса) и утилита для аварийного восстановления прошивки.
  • Две пластиковые ножки для установки маршрутизатора в вертикальном положении.

Само устройство имеет пластиковый корпус с несколько зализанными формами. На передней панели (сверху) расположены следующие индикаторы:

  • индикатор питания;
  • двухцветный WAN индикатор, при подключении кабельного или ADSL модема он загорается оранжевым цветом, а при активности в беспроводной сети мерцает зеленым;
  • диагностический индикатор, загорающийся при наличии проблем с устройством;
  • WLAN — сигнализирует о наличии клиентов в беспроводной сети и передачи данных в ней (мерцанием);
  • индикатор CONN загорается желтым при установлении соединения с WAN портом (при динамическом IP адресе), мерцание индикатора означает о неудачном установлении соединения, а быстрое мерцание — о неисправности прошивки устройства;
  • четыре (по одному на порт) двухцветных индикатора портов встроенного 4х-портового коммутатора, зеленый цвет которых означает скорость порта в 10 МБит, оранжевый — 100 МБит, а мерцание — наличие передачи данных.

На задней панели устройства расположены

  • Разъем питания.
  • Четыре Fast Ethernet порта (10/100 МБит) с автодетектированием подключения прямого или кросс кабеля. Порты служат для подсоединения устройств из локальной сети (коммутаторов, концентраторов или компьютеров напрямую).
  • Последовательный порт RS232 для подключения внешнего аналогового V.90 модема или для консольного управления устройством через прилагаемый в комплекте нуль-модемный кабель.
  • Порт WAN 10-BaseT типа (10 Мбит) для подключения кабельных модемов или Ethernet сети.
  • Кнопка Reset для сброса всех параметров маршрутизавтора в стандартные значения.

На боковой поверхности устройства расположен PCMCIA type II слот для подключения беспроводной карты.

    

С нижней стороны имеются отверстия для крепления корпуса на стену и резиновые ножки для горизонтальной установки. Кроме этого, установив пластиковые лапки, устройство можно установить вертикально.


Спецификации маршрутизатора.

  • Процессор — Samsung S3C4510B RISC процессор с частотой 50 МГц;
  • 4 МБ SDRAM ОЗУ, работающие на частоте 50 МГц,
    1 МБ Flash с возможностью обновления прошивки через TFTP
  • LAN интерфейсы (внутренние):
    встроенный FastEthernet коммутатор на четыре 10/100 Мбит порта с автоматическим определением прямого и кросс подключений,
    один PCMCIA type II слот для подключения беспроводной карты 802.11b (11Мбит);
  • один 10Мбит WAN порт (внешний);
  • последовательный порт для подключения аналогового модема или консольного управления;
  • возможность резервного канала по аналоговому модему (при падении основного),
    возможность балансировки трафика при наличии нескольких Compex NP16 устройств в одной сети (по данным производителя);
  • технология доступа в Интернет — NAT с возможностью перенаправления портов или адресов внутрь LAN и одного DMZ хоста,
    возможность прямого канала (без модификации адреса в NAT блоке) для заданных IP адресов из LAN;
  • автоматический пропуск VPN клиентских протоколов IPSEC и PPTP сквозь NAT;
  • DHCP сервер c резервацией IP адресов по MAC адресам;
  • статический роутинг с программируемой таблицей или динамический RIP1 и RIP2;
  • два типа файрвола:
    первый — бесплатный, но абсолютно не гибкий и практически ничего не умеющий;
    второй — для активации требуется ключ, за который требуется заплатить дополнительную сумму на сайте компании, зато довольно гибок и удобен
    возможность временной привязки правил;
  • возможность синхронизации внутреннего времени с NTP-серверами;
  • использование 64/128 бит WEP шифрования в беспроводном сегменте
    , а так же возможность создания псевдо-VLAN для отдельных компьютеров или их групп;
  • управление через WEB-интерфейс, telnet (командная строка) или управление через консольный порт;
  • возможность бекапа (сохранения) и загрузки конфигурации;
  • возможность обновлять прошивку устройства через TFTP сервер;
  • заявленная скорость передачи данных между LAN и WAN интерфейсами — 6 Мбит
  • размеры — 180 мм × 145 мм × 33 мм
  • вес — 0,8 Кг (с учетом веса блока питания)

Вид изнутри

Элементы на печатной плате довольно плотно упакованы. В качестве основного вычислительного устройства используется уже знакомый нам RISC-процессор Samsung S3C4510. Он работает на частоте 50 МГц.

    

В качестве интегрированного коммутатора используется микроконтроллер Marvell 88E6050. Это пятипортовый 10/100 Мбит коммутатор с автоопределением полярности на каждом порту. Контроллер обладает 1 Мбит (256 Кбайт) буферной памяти и памятью для 1К MAC адресов. То есть довольно стандартный коммутатор. Четыре его порта используются под Ethernet интерфейсы локальной сети, а последний, вероятно, для соединения с интерфейсом беспроводной сети.

    

На WAN интерфейсе роутера установлен стандартный 10 Мбит контроллер Ethernet Realtek RTL8019AS. В качестве оперативной памяти используются две микросхемы Hynix с максимальной рабочей частотой 143 МГц и общим объемом 2 Мбайта. В данном случае, память работает на частоте процессора (50 МГц).

Конфигурирование

Настройка роутера возможна как через WEB, так и через Telnet/Консольный интерфейсы. Последний дает возможность конфигурировать роутер, подключенный через COM-порт к компьютеру (без участия TCP/IP).

   

Telnet интерфейс довольно гибок и позволяет получить доступ ко многим опциям конфигурации. При неправильном вводе команд или неправильных параметрах, выдаются подсказки. Так же помощь можно получить по любой команде принудительно. К сожалению, в поставляемой с устройством документацией, описание консольных команд отсутствует. Возможно, разработчики посчитали, что тот, кому подобный интерфейс понадобится, и так разберутся с командами, благо встроенный мини-хелп присутствует.


WEB интерфейс конфигурирования довольно нагляден. После ввода в браузере адреса 192.168.168.1 (адрес LAN интерфейса по умолчанию) и авторизации по паролю, мы попадаем в меню, состоящее из большого числа пунктов.


В верхних меню устанавливаются адреса и типы LAN и WAN интерфейсов, DNS сервера, шлюза по умолчанию и настройки встроенного DHCP сервера. WAN интерфейс может быть установлен в один из следующих типов

  • Статический адрес;
  • Динамический адрес;
  • PPP over Internet;
  • PPTP;
  • и другие не распространенные у нас типы

Интересным способом задается MAC адрес на WAN интерфейсе. Вручную его невозможно прописать не только в WEB интерфейсе, но и в консоли. Для его изменения следует сменить тип WAN интерфейса на динамический IP, тогда внизу появится еще одна менюшка, позволяющая сдублировать MAC адрес сетевого адаптера компьютера, с которого вы подключились к роутеру. Это конечно удобно, но не всегда.

Перенаправление DNS позволяет поднять «собственный DNS сервер» прямо на роутере.

   

При подключении беспроводной карты, в меню появляется еще один пункт, касающийся режима работы беспроводной сети. Роутер может работать как в качестве клиента, так и в качестве точки доступа. Кроме того, хотя возможно дело было в отсутствии клиентов в беспроводном сегменте, но я не нашел в меню не раздела по выставлению WEP шифрования, не возможности задания псевдо-VLAN.


Раздел NAT позволяет включить или отключить трансляцию адресов, а так же задать IP адрес DMZ зоны или перенаправлять внешние порты внутрь локальной сети (для создания так называемых «виртуальных серверов»). Перенаправления трафика во-внутрь локальной сети можно так же осуществлять по IP адресам, если провайдер выделил вам несколько IP адресов, то их можно перенаправлять во внутреннюю сеть (меняя их при этом на адреса компьютеров из локальной сети).

   
Еще одной интересной возможностью является статическая трансляция адресов из внутренний сети без их изменения. Опция по умолчанию отключена и может потребоваться, если пользователь имеет ноутбук с реальным IP адресом, из группы адресов, выданных провайдером и он не хочет переконфигурировать его для работы через роутер. Механизм статической трансляции адресов на роутере позволит получить доступ в Интернет с ноутбука без изменения IP адреса последнего.

   

Меню роутинга позволяет задать дополнительные маршруты, а так же активировать протоколы RIP динамического роутинга.

Опция «Paraller Broadband» довольно загадочна. Судя по документации, она позволяет балансировать нагрузку интернет трафика при подключении нескольких Compex NetPassage 16 устройств в одной локальной сети. При этом ограничений на типа подключения нет (один может быть подсоединен к DSL линии, второй — через обыкновенный Ethernet). Реально проверить работоспособность этой опции не получилось, так как в наличии у нас оказался лишь один роутер.

   

В устройство встроена возможность синхронизации времени с внешними NTP серверами. Точное время может понадобится для работоспособности некоторых правил файрвола.


Встроенный файрвол обладает двумя особенностями. Во-первых, роутере два разных файрвола. Первый из них малофункционален и абсолютно не гибок. Он позволяет фильтровать только по исходящим из локальной сети IP адресам и по портам назначения, не поддерживает разделения пакетов по протоколам. Да в общем то, кроме вышенаписанного и привязки действия правил ко времени, он больше ничего не умеет.

Второй файрвол, довольно гибок, позволяет работать с различными протоколами, с IP адресами и портами источника и получателя, позволяет назначать разные политики, а так же имеет еще много дополнительных интересных опций. Все бы хорошо, да есть одно но. Он платный, для его активации необходимо купить ключ на сайте производителя примерно за 25$ (на момент публикации статьи). То есть файрвол не входит в стоимость самого маршрутизатора, вот такой неприятный сюрприз.

8e6 Internet Filtering представляет собой средство категорирования сайтов в Интернет. Сайты делятся на категории:

  • Бизнес
  • ISPs
  • Обучение

Категории хранятся на внешнем сервере и соответственно можно разрешить доступ с роутера только к категорированным сайтам. Для нашей страны это средство практически бесполезно, хотя подобный сервис позволяет задать URL-ы роутеру вручную.

Все настройки роутера можно сохранить на файле на диске (удаленного компьютера) или восстановить в дальнейшем.

Тестирование производительности.

Методика тестирования была описана в этой статье.

Результаты Iperf.
Программа генерирует однонаправленный TCP-трафик, поэтому смоделированы все три возможные ситуации.

4,4
Тип передачи Направление передачи Скорость, Мбит/сек
Однонаправленный трафик. Из внешней сети во внутреннюю 5,0
Однонаправленный трафик. Из внутренней сети во внешнюю
Двунаправленный трафик. В обе стороны 3,8(извне) и
4,4(изнутри)

Скорость передачи данных хоть и не достигает заявленного уровня, но все равно довольно высока и ее будет достаточно для большинства пользователей.

Результаты netPIPE.
Программа генерирует трафик методом «Ping Pong». Поэтому скорость передачи данных будет одинакова вне зависимости от того, с какой стороны находится клиент netPIPE, а с какой — сервер. Максимальная пиковая скорость передачи — 4,14 Мбит/сек

И тут скорость ниже заявленной, но все же довольно высокая.


Тестирование безопасности.

Для этого теста был использован распространяемый сканер сетевой безопасности Nessus версии 2.0.7. У роутера восстанавливались настройки по умолчанию (т.е. NAT — включен, 80 и 23 порты — не закрыты и т.д.) Сканировался внешний WAN-порт всеми доступными плагинами из списка.

На время сканирования, запускался пинг изнутри LAN до внешнего хоста на WAN интерфейсе. В процессе сканирования портов некоторые ping-пакеты терялись (возможно роутер не справлялся с нагрузкой). Подобная пару раз встречались и при сканировании устройства плагинами, а в самом конце сканирования, роутер просто ушел в перезагрузку.

В итоге, несколько уязвимостей было найдено, одна из которых довольно серьезна (по классификации Nessus). Полный отчет Nessus лежит тут.

Выводы

С моей точки зрения, серьезным недостатком является платный файрвол, то есть стоимость полнофункционального устройства (с файрволом) будет выше, чем та, что заявлена в прайс-листе. Ну и конечно не радует возможность полностью отключить сеть от Интернет, атакуя этот роутер (что будет приводить к его постоянным перезагрузкам). Последнее, полагаю, придет в голову немногим.

В остальном Compex NP16 является неплохим решением для организации доступа в Интернет из локальной сети. А наличие WAN интерфейса, позволяет, подключив Wireless-сетевую карту (не входящую в комплект поставки) организовать доступ во вне и для беспроводных устройств.

Плюсы

  • Неплохая производительность;
  • Возможность подключения беспроводных клиентов;
  • Многофункциональный NAT;
Минусы
  • Поставляемый в комплекте файрвол малофункционален;
  • Функциональный файрвол, хоть и входит формально в комплект, но требует покупки;
  • Отсутствие возможности вручную указать нужный MAC адрес на интерфейсах;
  • Наличие нескольких уязвимостей при атаке извне.

 

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.