В статье рассматривается беспроводной роутер Compex NetPassage 26G.
Устройство, на мой взгляд, имеет достаточно стильный внешний вид. Функциональные возможности: точка доступа стандарта IEEE 802.11g, 4-х портовый коммутатор 10/100, NAT-роутер с возможностью фильтрации пакетов, принт-сервер или сервер веб-камеры.
На роутере расположены следующие индикаторы:
- индикатор питания
- индикаторы активности портов USB
- индикатор активности беспроводных клиентов
- индикатор активности на порте WAN
- индикаторы активности на каждом из 4-х LAN портов
На задней панели расположены:
- 4×LAN порта
- 1×WAN порт
- 2×USB порта
- разъем питания
- кнопка Reset (сброс параметров).
В комплект входит: БП, роутер, метровый патчкорд, диск с утилитами и описанием, инструкция на четырех языках (включая русский).
Вид изнутри
После открытия устройства привлекает внимание беспроводная PCMCIA — карточка Compex iWavePort WL54G, вставленная в соответствующий разъем на плате, которая и отвечает за работу беспроводной части нашего роутера.
Сердце роутера — процессор Samsung S3C2510 (частота процессора: 166 МГц, 2 10/100 — Ethernet контроллера, поддержка PCI/PCMCIA — шины, поддержка шины USB), за автоопределение на портах коммутатора отвечает микросхема LB 40ST1041AX, также на плате расположены 4 Мб DRAM памяти (48LC2M32B2TG-6), работающей на частоте 166 Мгц, и 2 Мб flash-памяти (29LV160ABTC-70). Что находится под радиатором выяснить не удалось, так как он намертво приклеен к чипу.
Краткие характеристики адаптера iWavePort WL54G:
Поддерживаемые стандарты беспроводной связи: 802.11g, 802.11b. Поддерживаемая архитектура: Infrastructure & AdHoc. Безопасность: WPA, WEP (64/128 bit).
Спецификации устройства:
| корпус | пластиковый, допускается горизонтальная установка и подвес на стену | |||
| проводной сегмент | ||||
| WAN | количество портов | 1 | ||
| auto MDI/MDI-X | да | |||
| типы поддерживаемых соединений | фиксированный IP | да | ||
| динамический IP | да | |||
| PPPoE | да | |||
| PPTP | нет | |||
| L2TP | нет | |||
| IPSec | нет | |||
| LAN | количество портов | 4 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейсов | нет | |||
| возможность задания размера MTU вручную | нет | |||
| Беспроводной сегмент | ||||
| антенна | количество | 1 | ||
| тип | одна внешняя дипольная | |||
| возможность замены антенны/тип коннектора | нет | |||
| поддерживаемые стандарты и скорости | 802.11b | 11, 5, 2, 1 Mbit/sec | ||
| 802.11g | 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec | |||
| расширения протокола 802.11g | нет | |||
| возможность ручного задания скорости | нет | |||
| выходная мощность | что-то общее | ?? | ||
| 802.11b @11Mbit/s | ?? | |||
| 802.11g @54Mbit/s | ?? | |||
| чувствительность приемника | 802.11b @11Mbit/s | ?? | ||
| 802.11g @54Mbit/s | ?? | |||
| работа с другой AP | поддержка WDS (мост) | да | ||
| поддержка WDS + AP | да | |||
| возможность работы в режиме клиента | да | |||
| wireless repeater (повторитель) | да | |||
| безопасность | блокировка широковещательного SSID | да | ||
| привязка к MAC адресам | да | |||
| WEP шифрование | 64/128bit ASCII или HEX ключи | |||
| WPA шифрование | нет | |||
| WPA-PSK (pre-shared key) | нет | |||
| основные возможности | ||||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
| собственная утилита | нет | |||
| telnet | нет | |||
| ssh | нет | |||
| COM-порт | нет | |||
| SNMP | нет | |||
| возможность сохранения и загрузки конфигурации | да | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
| возможности NAT | one-to-many NAT (стандартный) | да | ||
| one-to-one NAT | нет | |||
| возможность отключения NAT (работа в режиме роутера) | да | |||
| VPN pass through | IPSec | да | ||
| PPTP | да | |||
| PPPoE | нет | |||
| L2TP | нет | |||
| Traffic shaping (ограничение трафика) | нет | |||
| DNS | встроенный DNS-сервер (dns-relay) | нет | ||
| поддержка динамического DNS | нет | |||
| внутренние часы | присутствуют, возможно ручное задание времени | |||
| синхронизация часов | да | |||
| встроенные утилиты | ICMP ping | нет | ||
| traceroute | нет | |||
| resolving | нет | |||
| логирование событий | да, файрвол | |||
| логирование исполнения правил файрвола | да | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | нет | |||
| отправка на email | нет | |||
| SNMP | поддержка SNMP Read | нет | ||
| поддержка SNMP Write | нет | |||
| поддержка SNMP Traps | нет | |||
| Роутинг | ||||
| статический (задания записей вручную) | на WAN интерфейсе | да | ||
| на LAN интерфейсе | да | |||
| динамический роутинг | да, STP | |||
| возможности встроенных фильтров и файрвола | ||||
| поддержка SPI (Stateful Packet Inspection) | да | |||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да, с указанием направления | ||
| на WLAN-WAN сегменте | да, совмещен с LAN-WAN | |||
| на LAN-WLAN сегменте | нет | |||
| типы фильтров | с учетом SPI | нет | ||
| по MAC адресу | нет | |||
| по source IP адресу | да, в том числе по диапазону | |||
| по destination IP адресу | да, в том числе по диапазону | |||
| по протоколу | да, TCP/UDP/ICMP/IGMP//* | |||
| по source порту | да, в том числе по диапазону | |||
| по destionation порту | да, в том числе по диапазону | |||
| привязка ко времени | нет | |||
| по URL-у | да | |||
| по домену | да(совмещен с URL) | |||
| работа со службами списков URL для блокировки | нет | |||
| тип действия | allow | да | ||
| deny | да | |||
| log | нет | |||
| поддержка спец. приложений (netmeeting, quicktime, etc) | да — Port Forwarding (HTTP, FTP, POP3, NETMEETING) | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | да | |||
| возможность задания DMZ | да | |||
| дополнительная информация | ||||
| версия прошивки | 1.26 от 12/20/2004 | |||
| дополнительные порты | 2 × USB 1.1 | |||
| встроенный print-server | да, usb принтеры | |||
| встроенный ftp-server | нет | |||
| поддержка работы с WEB-камерой | да | |||
| питание | внешний БП, 7.5VDC, 2A | |||
Конфигурирование
Конфигурация устройства осуществляется через WEB — интерфейс. Скриншоты его основных настроек показаны в таблице.
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
 |  |  |  |
Из особенностей конфигурации хочется отметить невозможность прямого задания MAC-адреса на WAN интерфейсе, включение/выключение автоопределения полярности на портах на WAN интерфейсе (выключение автоопределения бывает полезно, когда устройства не могут найти друг друга), возможность выбора скорости соединения на WAN интерфейсе (ограничена всего двумя режимами: 100 Мбит/с полный дуплекс или 10 Мбит/с полудуплекс; возможность выбрать 10 Мбит/с с полным дуплексом отсутствует), а также присутствие дополнительных режимов беспроводной связи (Mixed, Mixed Long, .11b WIFI), о которых ничего не сказано в документации. Осмелюсь предположить, что Mixed режим — как другое название .11b+g режима. Файрвол позволяет задавать гибкие правила фильтрации и вести подробный log-журнал, но возможность использования для этого внешнего log-сервера отсутствует. Протоколирование по отдельным правилам не предусмотрено. Также присутствует возможность фильтрации пакетов на LAN — интерфейсе и фильтрация по URL. Добавлена возможность создания Wireless Pseudo VLAN (беспроводная псевдо-виртуальная сеть), которая позволяет скрыть компьютеры беспроводного сегмента друг от друга (разделение по узлам) или объединить их в изолированные группы (разделение по группам, до 32 групп).
Беспроводная псевдо-виртуальная сеть:
- разделение по узлам:
- разделение по группам:
Тестирование производительности
Тестирование производительности проводного и беспроводного сегмента производилось отдельно.
Тестирование беспроводного сегмента:
Тестирование проходит в 3 этапа:
- Тест LAN — WLAN — одна карточка
- Тест LAN — WLAN — две карточки
- Тест WLAN — WLAN — две карточки, режим Infrastructure
Тест LAN — WLAN одна карточка — тест точки доступа: трафик гонялся между компьютером с беспроводной сетевой картой и компьютером локального (LAN) сегмента. Скорость соединения выставлялась в режим Auto для 802.11g и 802.11b. Для тестирования использовалась беспроводная сетевая карта Gigabyte 802.11g PCI WLAN Card. Тест производился с помощью Chariot NetIQ. Расстояние между точками не превышало пяти метров.
Сокращения:
- Card — сетевая карта
- AP — точка доступа
- fdx — генерация данных в обоих направлениях
Предельная скорость: 20,5 мбит/с — обычная скорость для 11g режима (на рекорды не претендует). Распределение скоростей в полнодуплексном режиме весьма необычное: скорость от точки доступа в 2 раза ниже скорости к точке доступа (мне всегда казалось, что точка доступа должна отдавать больше чем принимать, а вообще правильнее, если скорости равны).
Предельная скорость: 6,3 мбит/с — очень неплохо для .11b режима, а распределение скоростей такое же, как и в тесте .11g режима, что опять же не поддается логическому объяснению.
Тест LAN — WLAN две карточки — тест точки доступа: трафик гонялся между компьютером в LAN-сегменте и двумя беспроводными адаптерами в режиме Infrastructure (сначала обе карточки гнали трафик в одну сторону, потом обе в другую, а потом обе в обе стороны). Скорость соединения выставлялась в режим Auto для 802.11g и 802.11b. Для тестирования использовалась беспроводная сетевая карта Gigabyte 802.11g PCI WLAN Card и TrendNET TEW-401PCplus PC Card. Тест производился с помощью Chariot NetIQ. Расстояние между точками не превышало пяти метров.
В случае использования 11g режима устройство показывает достаточно высокую скорость передачи, на графике нет особых всплесков. Скорость соединения постоянно держалась на 54 Мбит/с.
Теперь взглянем на результаты того же теста в 11b режиме:
При использовании 11b режима устройство вроде ведет себя стабильно (неизвестно как долго). Скорость соединения установилась в 11 Мбит/с. Все показали весьма неплохую скорость для 11b режима. Максимальная скорость — при полнодуплексной передаче обеих карт составила 5.3 Мбит/с.
Тест WLAN — WLAN — две карточки, режим Infrastructure: трафик гонялся между сетевыми карточками с использованием точки доступа. Для тестирования использовалась беспроводная сетевая карта Gigabyte 802.11g PCI WLAN Card и TrendNET TEW-401PCplus PC Card. Скорость выставлялась в режим Auto для 11g и 11b режимов. Тест производился с помощью Chariot NetIQ. Расстояние между точками не превышало пяти метров.
Сокращения:
- TN — сетевая карточка TrendNET TEW-401PCplus PC Card
- GB — сетевая карточка Gigabyte 802.11g PCI WLAN Card
Видно, что по сравнению с максимальной скоростью беспроводного сегмента, полученной в тесте WLAN — LAN на полном дуплексе, скорости упали почти в 2 раза. 
Здесь тоже наблюдается двукратное снижение производительности. Причина этого опять же не ясна, но она точно кроется не в выборе стандарта связи (11b или 11g).
Также хочу отметить, что при достаточно длительной работе устройства я стал натыкаться на зависание беспроводной части. Точка доступа просто переставала работать — сетевые карточки теряли соединение (при этом в некоторых случаях они видели наличие сети, но повторно подключиться не могли). Чем вызвано такое поведение — мне неизвестно, но я подозреваю, что дело в обыкновенном перегреве — через некоторое время довольно сильно нагревается вся поверхность устройства.
Тестирование проводного сегмента:
Тестирование производилось по этой методике
Максимальная скорость: 21 Мбит/с — а вот это уже действительно мало. Можно, конечно, сослаться на то, что сейчас очень мало пользователей с каналом в интернет более 10 Мбит/с, но зато тем, у кого канал более 19 Мбит/с это устройство явно не подойдет. Вполне нормальное распределение скоростей в полнодуплексном режиме — обычно люди больше качают, чем отдают. На графиках много резких падений скорости на короткие промежутки времени, что, возможно, говорит о практически полной загрузке процессора.
Результаты NetPIPE:
Максимальная скорость передачи 20,9 Мбит/с, никаких значительных отклонений в графике, на мой взгляд, нет.
Тест безопасности
Для теста безопасности была использована Nessus 2.3.0 с последним обновлением списка плагинов. Тест безопасности проходил в 2 этапа:
- удаленное управление отключено
- удаленное управление включено
- удаленное управление отключено: сокращенный, полный
- удаленное управление включено: сокращенный, полный
В случае отключенного удаленного управления Nessus находит критическую ICMP — уязвимость: ICMP Etherleak, но чтобы ею воспользоваться, необходимо находиться в одном физическом сегменте с атакуемой машиной, что само по себе маловероятно. Поэтому в целом безопасность остается на высоком уровне.
В случае включенного удаленного управления обнаруживаются другие уязвимости (в частности, принимает пакеты с установленными SYN и FIN флагами, что часто предшествует хакерским атакам), роутер начинает перезагружаться, работает нестабильно, так что мне не удалось провести тест безопасности до конца (в результаты я включил те уязвимости, которые NESSUS успел найти).
Выводы:
Данное устройство не является высокопроизводительным и безопасным устройством, зависания его беспроводной части вообще вводят в смятение. В web — интерфейсе роутера пугает наличие непонятных режимов никак не описанных в документации. На мой взгляд, устройство больше подходит для соединения проводных сегментов (LAN — WAN), будем надеяться с выходом новых прошивок это изменится.
Плюсы:
- Многофункциональный NAT
- Гибкость настройки файрвола и фильтров.
- Русская документация
- Возможность отключения автоопределения полярности на WAN интерфейсе
- Возможность задания скорости и режима дуплекса на WAN интерфейсе, но выбор ограничен двумя вариантами
Минусы:
- Наличие в интерфейсе настройки пунктов, не описанных в документации
- Низкая скорость работы LAN-WAN перехода (ниже, чем скорость беспроводного сегмента)
- Нестабильная работа во время проведения атаки на WAN порт (только при включенном удаленном управлении)
- Периодические зависания беспроводного сегмента
- Низкая скорость между беспроводными точками в режиме Infrastructure
- Отсутствие возможности ведения логов по отдельным правилам
- Отсутствие возможности отправки логов на внешний log-сервер
- Отсутствие WPA шифрования в беспроводном сегменте
