Беспроводной мультимедиа-сервер и VPN роутер OvisLink WMU-9000VPN



В этой статье рассматривается беспроводной роутер OvisLink WMU-9000VPN с поддержкой VPN.

Функциональные возможности: точка доступа стандарта IEEE 802.11g, 4-х портовый коммутатор 10/100, NAT-роутер с возможностью фильтрации пакетов, принт-сервер или сервер веб-камеры, FTP-сервер, VPN-сервер, E-mail мониторинг.

На роутере расположены следующие индикаторы:

  • индикатор питания
  • индикатор статуса
  • индикатор PPPoE
  • индикаторы E-mail мониторинга
  • индикатор активности беспроводного соединения
  • индикаторы активности на порте WAN
  • индикаторы активности на каждом из 4-х LAN портов

На задней панели расположены:

  • 4 × LAN порта
  • 1 × WAN порт
  • 4 × USB порта
  • разъем питания
  • кнопка Reset (сброс параметров).

В комплект входит: БП, роутер, метровый патчкорд, диск с утилитами и описанием, инструкция на 6-и языках (без русского).


Вид изнутри

Процессор: MIPS, частота 170 МГц, Brecis 2006 (на протяжении всего периода написания статьи сайт компании BRECIS был недоступен, поэтому дополнительной информации о процессоре нет)
Память:

  • 8 Мб Flash памяти
  • 32 Мб SDRAM памяти (2 микросхемы M12L128168A-7T по 16 Мб)

USB интерфейс реализован через 4-портовый USB 2.0 хост-контроллер (VIA VT6212).
Что находится под радиатором осталось неизвестным, так как радиатор припаян к самой плате, но, судя по разводке на плате, — это Ethernet-свитч.
Автоопределение полярности на портах LAN и WAN осуществляется микросхемами HN1664C и NH2064C.

Беспроводной интерфейс реализован при помощи mini-PCI карты на чипах компании Intersil, но сейчас она этими решениями уже не занимается. То подразделение, что занималось, куплено компанией Conexant. К сожалению, ни на сайте Intersil.com, ни на Conexant.com упоминаний об этих решениях (поиск по индексам) не обнаружено.

Также привлекает внимание очень большая длина антенного кабеля.

Спецификации устройства:

корпус пластиковый, допускается горизонтальная установка или подвес на стену
проводной сегмент
WAN количество портов 1
auto MDI/MDI-X да
типы поддерживаемых соединений фиксированный IP да
динамический IP да
PPPoE да
PPTP да
L2TP да
IPSec нет
LAN количество портов 4
auto MDI/MDI-X да
ручное блокирование интерфейсов нет
возможность задания размера MTU вручную да, на WAN интерфейсе
Беспроводной сегмент
антенна количество 1
тип одна внешняя дипольная
возможность замены антенны/тип коннектора есть/r-SMA
принудительное задание номера рабочей антенны -
поддерживаемые стандарты и скорости 802.11b 11, 5, 2, 1 Mbit/sec
802.11g 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
расширения протокола 802.11g да, TurboMode
возможность ручного задания скорости нет
выходная мощность средняя ??
802.11b @11Mbit/s ??
802.11g @54Mbit/s ??
чувствительность приемника 802.11b @11Mbit/s ??
802.11g @54Mbit/s ??
работа с другой AP поддержка WDS (мост) нет
поддержка WDS + AP нет
возможность работы в режиме клиента нет
wireless repeater (повторитель) нет
безопасность блокировка широковещательного SSID да
привязка к MAC адресам да
WEP шифрование 64/128bit
WPA шифрование нет
WPA-PSK (pre-shared key) нет
802.1x нет
основные возможности
конфигурирование устройства и настройка клиентов администрирование WEB-интерфейс да
собственная утилита нет
telnet нет
ssh нет
COM-порт нет
SNMP нет
возможность сохранения и загрузки конфигурации да
встроенный DHCP сервер да
поддержка UPnP да
метод организации доступа в Интернет Network Address Translation (NAT-технология) да
возможности NAT one-to-many NAT (стандартный) да
one-to-one NAT нет
возможность отключения NAT (работа в режиме роутера) нет
Встроенные VPN-сервера IPSec да
PPTP да
L2TP нет
VPN pass through IPSec нет
PPTP нет
PPPoE нет
L2TP нет
Traffic shaping (ограничение трафика) нет
DNS встроенный DNS-сервер (dns-relay) нет
поддержка динамического DNS да, 2 заранее предопределенных сервера
внутренние часы присутствуют
синхронизация часов да, 6 предопределенных серверов синхронизации, задание собственного сервера невозможно
встроенные утилиты ICMP ping да
traceroute да
resolving нет
логирование событий да, системные события, файрвол, трафик, фильтр содержимого
логирование исполнения правил файрвола да
способы хранения внутри устройства да
на внешнем Syslog сервере нет
отправка на email нет
SNMP поддержка SNMP Read нет
поддержка SNMP Write нет
поддержка SNMP Traps нет
Роутинг
статический (задания записей вручную) на WAN интерфейсе да
на LAN интерфейсе да
динамический роутинг на WAN интерфейсе возможность отключения  
RIPv1 нет
RIPv2 нет
на LAN интерфейсе возможность отключения  
RIPv1 нет
RIPv2 нет
возможности VPN
сервер IPSec виды туннелей Gateway--Gateway да
remote user access да
типы аутентификации pre shared key да
сертификаты нет
алгоритмы хеширования SHA1 да
MD5 да
алгоритмы шифрования DES нет
3DES да
AES да, 128bit
сервер PPTP да
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection) да, но без возможности использования в правилах
наличие фильтров/файрвола на LAN-WAN сегменте да, с указанием направления
на WLAN-WAN сегменте да, совмещен с LAN-WAN
на LAN-WLAN сегменте нет
типы фильтров с учетом SPI нет
по MAC адресу да
по source IP адресу да
по destination IP адресу нет
по source протоколу да, TCP/UDP/ICMP
по destination протоколу нет
по source порту нет
по destination порту да
привязка ко времени нет
по URL-у да
по домену да
работа со службами списков URL для блокировки нет
тип действия allow да
deny да
log нет
поддержка спец. приложений (netmeeting, quicktime etc) да
виртуальные сервера возможность создания да
задания различных public/private портов для виртуального сервера да
возможность задания DMZ да
дополнительная информация
версия прошивки 1.01.042 от 3 Sep 2004
дополнительные порты 4 × USB 2.0
1 × PS/2 Power for USB Storage
встроенный print-server да, usb принтеры
встроенный ftp-server с хранением данных на внешнем USB-FLASH или HDD носителе, но работает малая часть заявленных функций
поддержка работы с WEB-камерой довольно много возможностей, в том числе motion-detect
питание внешний БП, 5VDC, 2A

 

Конфигурирование

Конфигурация устройства осуществляется через WEB-интерфейс. Скриншоты его основных настроек показаны в таблице.

Из особенностей конфигурации хочется отметить отсутствие конфигурации файрвола по адресу назначения, отсутствие возможности работы в режиме роутера (без NAT), возможность сохранения подробных логов, разделенных по группам с помощью цветового выделения, но без возможности хранения на внешнем лог-сервере, большие возможности по работе с веб-камерой (детектор движения, запись изображения, включение по расписанию, отправка по e-mail), но камеру можно подключать только через USB, возможность настройки QoS (Quality of Service — ограничение скорости трафика в зависимости от назначенного приоритета). Также добавлены индикаторы почтового мониторинга (mail monitoring).

Служба мониторинга почты (mail monitoring) позволяет проверять входящую почту на сервере на предмет наличия писем с определенных адресов — если вы ждете важное письмо, что эти индикаторы покажут вам наличие этого письма в вашем почтовом ящике. Так можно задать проверку почты от шести отправителей в шести почтовых ящиках.

Присутствуют возможности отключения (Kick) пользователя, зашедшего через веб-интерфейс на роутер. Я, правда, не вижу в этом смысла, так как все пользователи заходят как администраторы и, следовательно, все пользователи могут Kick'ать друг друга.
Интерфейс рассчитан под следующие браузеры: Mozilla 1.0, Netscape 7.0, IE 6.0. При использовании других браузеров интерфейс может отображаться некорректно и/или не работать вовсе (мне не удалось пройтись по иерархии настроек через Opera 7.11 — не работает само меню).

В случае построения VPN c использованием устройства в качестве PPTP сервера отсутствует возможность шифрования трафика.

Возможность NAT Loopback: в случае использования виртуальных серверов, которые имеют 2 адреса: внутренний и внешний, все пользователи локального сегмента должны обращаться к нему по внутреннему адресу, а все пользователи из WAN-пространства — по внешнему адресу, что создает некоторые неудобства. При включении этой функции вы можете обращаться к виртуальному серверу по внешнему адресу из локального сегмента (все ваши запросы будут перенаправляться на виртуальный сервер абсолютно прозрачно для вас).

Есть одна возможность, суть которой мне не удалось понять: IP Sharing. В руководстве по ней написано 2 абзаца:
The host has to have public IP in order to communicate with others on the Internet. Because of the fact of insufficient IP addresses, ISP provides dynamic IP address. Dynamic IP address means that the IP address is different every time you log in. For those who needs a static IP, higher has to be paid. Most home users or SOHOs use either one of them.
Since a public IP addresses is required to communicate with others on the Internet, IP sharing capability is required if there are more than one servers. To wish to connect to the Internet. NAT (Network Address Translation) will do the address translation between LAN and WAN. Please enable IP Sharing capability for situation described above.

Тестирование производительности

Тестирование производительности проводного и беспроводного сегмента производилось отдельно.

Тестирование беспроводного сегмента:

Тестирование проходит в 3 этапа:

  • Тест LAN — WLAN — одна карточка
  • Тест LAN — WLAN — две карточки
  • Тест WLAN — WLAN — две карточки, режим Infrastructure

Тест LAN — WLAN одна карточка &mdsah; тест точки доступа: трафик гонялся между компьютером с беспроводной сетевой картой и компьютером локального (LAN) сегмента. Скорость соединения выставлялась в режим Auto для 802.11b и 802.11g. Для тестирования использовалась беспроводная сетевая карта OvisLink WL-8000 PCI WLAN Card. Тест производился с помощью Chariot NetIQ. Расстояние между точками не превышало пяти метров.

Сокращения:

  • Card &mdsah; сетевая карта
  • AP &mdsah; точка доступа
  • fdx &mdsah; генерация трафика в обоих направлениях
Результаты теста для 802.11b режима:

Предельная скорость: 6.0 Мбит/с — хорошая скорость для 11b режима. Распределение скоростей в полнодуплексном режиме весьма необычное: скорость от точки доступа в 2 раза ниже скорости к точке доступа (мне всегда казалось, что точка доступа должна отдавать больше, чем принимать, а вообще правильнее если скорости равны).

Результаты теста для 802.11g режима:

Предельная скорость: 21.1 Мбит/с — очень невысокая скорость для .11g режима, скорость от точки доступа опять же ниже скорости к точке доступа (на этот раз хотя бы не в 2 раза).

Тест LAN — WLAN 2 карточки — тест точки доступа: трафик гонялся между компьютером в LAN-сегменте и двумя беспроводными адаптерами (сначала обе карточки гнали трафик в одну сторону, потом обе в другую, а потом обе в обе стороны). Скорость соединения выставлялась в режим Auto mode для 802.11b и 802.11g. Для тестирования использовались беспроводные сетевые карты OvisLink WL-8000PCI WLAN Card и OvisLink WL-8000PCM WLAN Card. Тест производился с помощью Chariot NetIQ. Расстояние между точками не превышало пяти метров.

Сокращения:

  • AP — точка доступа
  • Cards — сетевые карты
  • fdx — генерация трафика в обоих направлениях

Результаты теста в .11b режиме:

Максимальная скорость: 6,6 Мбит/с. Странно изменяется распределение: при одной сетевой карте скорость от точки доступа к карте была ниже, чем от карты к точке доступа; здесь же, при использовании двух сетевых карт, наблюдается обратная картина.

Результаты теста в .11g режиме:

Максимальная скорость 25,7 Мбит/с. Видно, что максимальная скорость повысилась по сравнению со скоростью в тесте с одной беспроводной карточкой. Скорость от карточек к точке доступа в полном дуплексе сильно упала (в 3 раза ниже скорости в обратном направлении), а график скорости варьируется в широких пределах на протяжении всего теста.

Тест WLAN — WLAN режим Infrastructure — трафик гоняется между беспроводными сетевыми картами через точку доступа (режим Infrastructure). Скорость соединения устанавливается в Auto mode. Тест проводился для двух режимов: 802.11b; 802.11g. Для тестирования использовались беспроводные сетевые карты OvisLink WL-8000PCI WLAN Card и OvisLink WL-8000PCM WLAN Card. Тест производился с помощью Chariot NetIQ. Расстояние между точками не превышало пяти метров.

Сокращения:

  • CardPCI — сетевая карта OvisLink WL-8000PCI
  • CardPC — сетевая карта OvisLink WL-8000PCM
  • fdx — генерация трафика в обоих направлениях

Результаты теста для .11b режима:

Результаты теста для .11g режима:

В обоих тестах наблюдается тенденция: скорость трафика от PCI карты к PC карте выше, чем скорость в обратном направлении. Скорость вполне нормальная как для .11b так и для .11g режимов

Тестирование проводного сегмента:
Тестирование производилось по этой методике

Максимальная скорость: 31,2 Мбит/с — в полном дуплексе, что является очень неплохим результатом, а вот скорость в полудуплексном режиме разочаровывает: скорость WAN -> LAN составляет всего 16 Мбит/с, что является очень низким показателем, и говорит о слабости процессора. Есть вероятность, что VPN сервер обслуживается этим же процессором и, следовательно, будет работать крайне медленно (возможно, из-за этого отсутствует шифрование PPTP). Остальные показатели не вызывают нареканий.

Результаты NetPIPE:

Максимальная скорость передачи 35.9 Мбит/с: проявляется небольшое падение скорости при размере пакетов 35-40 Кбайт, других аномалий в графике, на мой взгляд, нет.

Тестирование VPN:

О том как устанавливать соединения с VPN-сервером в ОС Windows XP описано здесь, а о результатах тестирования производительности VPN-сервера рассматриваемого устройства — здесь.

Обзор дополнительных возможностей:

Веб-камера: устройство работает с USB — камерами определенных моделей (ссылка на их список доступна на сайте производителя). Самой камеры в наличии не было, поэтому ее не удалось протестировать.

FTP — сервер: FTP-сервер на базе USB 2.0 показывает высокую производительность и поддерживает имена файлов на кириллице, но только в случае их закачки через FTP. Если USB — накопитель подключить напрямую к компьютеру, то все имена файлов, записанных по FTP через роутер и имеющих кириллические названия, превратятся в нечитаемый набор символов. Примерно то же самое произойдет если все это сделать наоборот. Скорость варьируется в пределах 3,7 — 4,2 Мбайт/с, что явно доказывает, что используются возможности шины USB 2.0, так как скорость USB 1.1 составляет 12 Мбит/с (1,5 Мбайт/с).

VPN-сервер: о возможностях работы устройства в качестве сервера VPN будет рассказано в одной из следующих статей.

Тест безопасности

Во время тестирования удаленное управление было включено на 80-м порту, перезагрузок и зависаний роутера не происходило. Замечу, что по умолчанию удаленное управление на WAN интерфейсе отключено.

Результаты NESSUS’а:

Nessus находит две критические уязвимости:
ICMP Etherleak — уязвимость, но чтобы ею воспользоваться, необходимо находиться в одном физическом сегменте с атакуемой машиной, что само по себе маловероятно.
TCP — уязвимость ASPrunner веб-сервера, которая позволяет атакующему получить более высокие привилегии доступа к информации сервера. Если веб-сервер отключен — уязвимости нет.
Nessus также находит уязвимость средней степени риска: обработка пакетов с SYN и FIN флагами (такие пакеты являются одновременно устанавливающими и завершающими соединения и часто используются злоумышленником для "разведки" перед атакой).
По этим результатам можно судить, что роутер не обеспечивает достаточного уровня безопасности.

Также хочу отметить, что при отключении функции WAN Protection злоумышленник может попасть в LAN сегмент, так как устройство начинает работать в режиме роутера (в направлении WAN->LAN) и пропускает пакеты во внутреннюю сеть, что является очень серьезной уязвимостью, поэтому эта опция должна быть всегда включена. Возможно, с появлением новой версии прошивки это будет исправлено.

Доступность:

OvisLink WMU-9000VPN Н/Д(0)

Выводы:
Беспроводной роутер обладает очень невысокой производительностью проводного сегмента в полудуплексе для подобного типа устройств, недостаточно хорошо реализована защита, отсутствует WPA шифрование, правила файрвола задаются только по IP-адресу или MAC-адресу отправителя, и каждое правило осуществляет фильтрацию только по одному протоколу (TCP/UDP/ICMP). Все это существенно снижает возможности файрвола.

Плюсы:

  • Поддержка символов кириллицы на FTP — сервере (правда, без переносимости: если файл с кириллическим именем записан через FTP, то и прочитан он, с тем же именем, может быть только через FTP)
  • Богатые возможности фильтрации по содержимому
  • Богатые возможности работы с веб-камерой
  • Возможность mail-мониторинга
  • Ведение подробных логов с разделением на группы
  • Добавлена возможность NAT loopback

Минусы:

  • Отсутствие WPA шифрования в беспроводном сегменте
  • Низкая скорость передачи WAN -> LAN
  • При включении удаленного администрирования обнаруживается серьезная уязвимость в безопасности
  • Отсутствие шифрования при использовании в качестве PPTP VPN сервера
  • Поддерживаются не все браузеры для администрирования через веб-интерфейс
  • Отсутствие возможности подключить внешние списки фильтрации
  • Отсутствие возможности хранения логов на внешнем лог-сервере
  • Отсутствие возможности ручного задания скорости беспроводного сегмента
  • Возможность проникновения во внутреннюю сеть за NAT при отключении опции WAN Protection

 

Оборудование предоставлено компанией АК-Цент Микросистемс

 

 




Дополнительно

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.