Routery

Opcje konfiguracyjne

Główne okno interfejsu prezentuje w graficzny sposób wygląd domowej sieci LAN a także status routera. Cały interfejs zarządzania można logicznie podzielić na 3 sekcje:

  • zarządzanie siecią LAN, WAN i WiFi
  • usługi bezpieczeństwa i administracji
  • zarządzanie portami USB i usługami dodatkowymi.

Przed eksploracją wszystkich podmenu warto na chwilę zatrzymać się przy sekcji WAN. Typowe routery domowe oferują zazwyczaj możliwość podłączenia poprzez port Ethernet do infrastruktury sieciowej operatora ISP (poprzez modem, gniazdko sieciowe, czy dodatkowy punkt kliencki). Jest to wygodne rozwiązanie, które umożliwia szybkie zestawienie połączenia internetowego, utworzenie domowej sieci LAN, a także współdzielenie zasobów lokalnych. Profesjonalne routery dla MSP czy korporacji oferują znacznie więcej możliwości, wśród najważniejszych warto wymienić dwie: łącze WAN pracujące w trybie failover lub load balancing. Pierwsza funkcja pozwala na uruchomienie i zestawienie dodatkowego łącza zapasowego dla głównego łącza WAN. Łącze zapasowe może pochodzić od innego operatora czy też poprowadzone inną trasą kablową. W przypadku awarii łącza głównego, router przełącza się na łącze zapasowe. Z kolei load balanacing to nic innego jak równoważenie obciążenia łącz pozwalające na rozłożenie ruchu sieciowego na dwa niezależne łącza. Co ciekawe w przypadku Asusa RT-N18U mamy do dyspozycji obydwie te możliwości i to pozwalające na dość spore możliwości konfiguracyjne.

By uruchomić funkcję Dual WAN w RT-N18U w pierwszej kolejności powinniśmy zestawić połączenie WAN. Jego konfiguracja jest oczywiście zależna od posiadanej infrastruktury internetowej – statyczny lub dynamiczny adres IP, podłączenie do modemu z funkcją PPPoE lub zestawienie tunelu VPN L2TP lub PPTP, ale również WAN poprzez modem 3G/4G. Co ciekawe ten niedrogi router Asus pozwala także na podłączanie do sieci w której został uruchomiony standard 802.1x pozwalający na dodatkowe uwierzytelnienie podłączanego urządzenia – co jest zazwyczaj domeną sieci korporacyjnych.

Oczywiście możemy poprzestać na konfiguracji jednego łącza WAN. Jednak w przypadku chęci wykorzystania możliwości routera możemy pokusić się o konfigurację łącza zapasowego lub równoważenia łącza. W przypadku Asusa RT-N18U nie jest to czynność skomplikowana. Choć tu również konfiguracja jest zależna od ustawień i priorytetów łącza WAN. Jednak główna idea połączenia poprzez port WAN Ethernet jest niezmienna i zobrazowana na poniższym schemacie.

W przypadku konfiguracji łącza Ethernet jako głównego łącza WAN możemy dodatkowo uruchomić modem 3G/4G jako łącze zapasowe lub łącze równoważące obciążenie łącza głównego. Listę kompatybilnych modemów USB 3G/4G można znaleźć na stronie producenta pod adresem: http://www.asus.com/event/networks_3G4G_support/#RT

W przypadku łącza zapasowego całość objaśnia poniższa grafika. W dużym skrócie – gdy zawiedzie główne łącze WAN komunikacja jest przełączana na łącze zapasowe, które w przypadku Asusa w zależności od ustawień może stanowić port Ethernet lub modem USB 3G/4G lub odwrotnie.

Z kolei równoważenie obciążenia pozwala na rozłożenie ruchu sieciowego do i  z internetu na dwa niezależne łącza.

By uruchomić funkcjonalność łącza zapasowego lub równoważenia łącza należy przejść do zakładki WAN – Dual WAN i włączyć funkcję Dostępny Dual WAN. W kolejnych pozycjach ustawiamy główne połączenie WAN, a także połączenie zapasowe. Kolejnym elementem jest ustawienie funkcjonalności Tryb Dual WAN – Przełączanie awaryjne lub Balans ładowania.

W przypadku łącza awaryjnego należy ustawić wszystkie parametry połączenia w zakładce WAN – uwierzytelnianie, numer, itd. Podobnie należy uczynić w przypadku konfiguracji głównego łącza WAN (adresacja IP, maska podsieci, brama). Następnie w zakładce Dual WAN wybrać główną sieć WAN, sieć pomocniczą oraz ustawić tryb Przełączanie awaryjne. Dodatkowo w sekcji Ping Time Watch Dog możemy określić sposób przełączania łącza. Watch Dog będzie monitorował czas odpowiedzi na zapytanie ping do hosta w internecie. Jeśli przez określony czas nie będzie odpowiedzi przychodzącej do głównego łącza WAN nastąpi przełączenie awaryjne. Ustawienie interwałów odpowiedzi, opóźnienia czy też przywrócenia połączenia głównego łącza WAN – od tych parametrów zależne jest przełączenie z głównego na łącze pomocnicze i odwrotnie. W przypadku standardowych ustawień połączenie następuję w ciągu około 40-50 sekund. Powrót do głównego łącza WAN jest znacznie szybszy ponieważ router nieustanne sprawdza główne łącze WAN.

Nieco inaczej wygląda ustawienie równoważenia obciążenia, które również znaleźć można m.in. w Asus RT-AC68U. W tym przypadku definiujemy główną sieć WAN oraz pomocniczą sieć WAN. Ważnym elementem jest balans ładowania. To nic innego jak stosunek transmisji danych przez jedno i przez drugie łącze. Nie oznacza to, że przepustowość obydwu łącz się sumuje. Jest ono rozkładane pomiędzy dwa niezależne połączenia w stosunku zdefiniowanym w sekcji „Konfiguracja balansu ładowania”. By nie zdawać się na mechanizmy automatyzacji warto w tym miejscu włączyć routing i samodzielnie ustawić dany ruch sieciowy na poszczególne interfejsy. Na poniższym zrzucie ekranu zastosowano przeniesienie ruchu sieciowego związanego z obsługa poczty (IMAP Google) na drugie łącze WAN.

W takim przypadku ruch wychodzący (poczta wysyłana) będzie kierowana przez łącze pomocnicze (USB 3G) zaś reszta ruchu będzie kierowana przez łącze główne. Oczywiście powyższy przykład utworzenia reguł routingu to jeden z prostszych obrazów kierowania i kształtowania ruchu sieciowego. W Asusie możemy utworzyć do 32 reguł pozwalających na przeniesienie ruchu do określonych hostów zewnętrznych poprzez obydwa interfejsy sieciowe.

Omawiając funkcje łącza WAN nie należy zapominać o wsparciu dla usług DDNS. Usługa dynamicznego systemu nazw domenowych pozwala na zdalne połączenie z routerem i siecią LAN, przy użyciu przyjaznej nazwy domenowej nawet w przypadku gdy dysponujemy łączem o zmiennym adresie IP. Asus oddaje nam do dyspozycji własny system DDNS a także usług dyndns, TZO, Zoneedit, dnsomatic, tunnelbroker oraz no-ip. Jak widać to pokaźny zestaw usługodawców.

W sekcji Port Trigger oraz Port Forwarding możemy ustawić przekierowania portów i zezwolić na dostęp zdalny do sieci LAN do określonych usług lub komputerów. W sekcji Port Forwarding ustawiamy sztywne reguły przekierowania ruchu na danym porcie, do danego hosta w sieci LAN oraz na dany port wewnątrz sieci. Z kolei Port Trigger to funkcjonalność pozwalająca na czasowe otwieranie portów w momencie gdy któryś z hostów w sieci lub aplikacja zażąda do niego dostępu.

Oczywiście producent nie zapomniał również o możliwości konfiguracji strefy DMZ oraz możliwości blokowania ruchu VPN czy VoiP.

Funkcje sieci lokalnej zostały zgromadzone w panelu LAN. Całość została podzielona na 5 zakładek. W pierwszej (LAN IP) ustawiamy adresację IP routera oraz maskę podsieci. Tym samym definiujemy jaki będzie zakres adresacji serwera DHCP, który możemy uruchomić w kolejnej zakładce. Znajdziemy tu typowe ustawienia znane z podobnych konstrukcji: zakres adresacji IP przydzielany przez serwer, czas dzierżawy, ustawienia serwera WINS, DNS. Dodatkowo możemy określić statyczne adresy IP dla określonych komputerów bazując na ich adresach MAC. W przypadku tworzenia zaawansowanej sieci LAN z kilkoma podsieciami oraz routerami warto zajrzeć do zakładki Route i skonfigurować routing statyczny. Pozwoli on na kierowanie ruchu zgodnie z zasadami routingu, a także komunikację bezpośrednią pomiędzy sieciami lub sieciami, a internetem. W zakładce IPTV mamy możliwość konfiguracji funkcji multicastingu, obsługi VoIP oraz parametrów związany z IPTV i podłączeniem urządzeń typu STB. W ostatniej zakładce Switch Control możemy włączyć obsługę ramek Jumbo oraz sprzętową akcelerację NAT.

Sekcja odpowiedzialna za transmisję bezprzewodową znajduje się w panelu Wireless. W zakładce Wireless – Ogólne można skonfigurować podstawowe elementy sievi bezprzewodowej. Przede wszystkim określając nazwę sieci WiFi, możliwość jej ukrycia, ustawienie trybu pracy, kanału i jego szerokości, a także trybu autoryzacji do sieci. Choć RT-N18U należy do klasy routerów domowych to producent prócz szyfrowania WPA/WPA2-Personal zaimplementował również korporacyjny tryb szyfrowania WPA/WPA2-Enterprise wraz z możliwością autoryzacji na serwerze Radius, którego konfiguracja dostępna jest w zakładce Ustawienia RADIUS.

Funkcje ochrony sieci bezprzewodowej prócz szyfrowania można rozszerzyć o filtrowanie adresów MAC urządzeń podłączonych do sieci WiFi. Ustawienia realizowane są na zasadzie zezwól/odmów a router oferuje możliwość dopisania do 64 adresów MAC.

Prócz funkcji dostępu do sieci poprzez uwierzytelnienie hasłem router został wyposażony w mechanizm WPS. Pozwala on na szybkie połączenie do sieci bezprzewodowej bez konieczności podawania hasła lub też ustawiania parametrów połączenia. W Asusie RT-N18U możemy wykorzystać zarówno sprzętowe połączenie WPS (PBC) – naciśnięcie przycisku WPS na routerze i na kliencie lub też podanie kodu PIN. Oczywiście w każdej chwili mechanizm WPS może zostać wyłączony.

Podczas ustawiania parametrów sieci bezprzewodowej warto zerknąć na zakładkę Professional. To miejsce precyzyjnego dostosowywania właściwości sieci WiFi. Możemy tu włączyć lub wyłączyć radio opierając ten proces o harmonogramy a także izolować klientów sieci bezprzewodowej (brak wzajemnej widoczności). Ciekawą opcją, która powinna pomóc w komunikacji w infrastrukturze, w której znajduje się wiele punktów dostępowych to tzw. Przełącznik przesyłania. Pozwala on nieco sprawniej zarządzać roamingowaniem klientów sieci bezprzewodowej w przypadku zaniku sygnału jednego punktu dostępowego i płynnego przełączenia do drugiego. Możemy tu także włączyć Turbo QAM  - modulację 256-QAM MCS 8/9 czy też funkcje kształtowania wiązki - Beamforming (o ile klient wspiera tą funkcjonalność). Mamy możliwość płynnej regulacji mocy transmisji.

Ciekawie została rozwiązania funkcja sieci gościnnej. W RT-N18U mamy możliwość utworzenia nie jednej (jak to ma miejsce w większości routerów) a aż 3 sieci gościnnych. Każda z nich może mieć odrębne SSID, hasło a także restrykcje. Mówiąc o restrykcjach mamy na myśli możliwość ograniczenia czasu połączenia z siecią WiFi (parametr Czas dostępu), a także ustawienia pozwalające lub zabraniające dostępu do internetu.

W domowej sieci LAN, w której obecnych jest klika urządzeń, a także kilku użytkowników każdy z nich może w inny sposób wykorzystywać łącze internetowe do własnych celów. By nie dochodziło do przypadków, w których jeden użytkownik lub jedno urządzenie zajmuje całe dostępne pasmo internetowe warto zaimplementować i ustawić mechanizm priorytetowania QoS. Asus RT-N18U kryje tę opcję w panelu Menadżer ruchu i oferuje dwa typy priorytetowania QoS – jeden z nich to tryb automatyczny, w którym router sam dopasowuje wyższy priorytet dla gier online, przeglądania WWW a niższy np. dla sieci P2P. Wystarczy tylko podać maksymalną szybkość pobierania i wysyłania danych do i z internetu.

Dodatkowo możemy sami precyzyjnie dopasować reguły QoS. Odbywa się to w dwóch krokach. W pierwszym definiujemy na podstawie przepustowości łącza Download/Upload minimalną i maksymalną wartość pobierania oraz wysyłania dla każdego z priorytetów. W kolejnym etapie ustalone priorytety przydzielamy do poszczególnych usług sieciowych i portów.

Mając zdefiniowanie zabezpieczenia sieci LAN, WiFi a także system kolejkowania i priorytetowania ruchu warto doprecyzować zasady dostępu do internetu. W Asusie RT-N18U najprościej jest to wykonać wykorzystując aplet Kontrola rodzicielska. Funkcja pozwala na zastosowanie ograniczeń czasowych związanych z dostępem do sieci. Opiera się na wskazaniu urządzeń o określonym adresie IP i adresie MAC. W następnym kroku definiujemy ramy czasowe zezwalające na dostęp do sieci.

By zwiększyć bezpieczeństwo warto także włączyć zaporę sieciową w sekcji Firewall oraz Firewall IPv6 (zapora dla protokołu IPv6) i uzupełnić funkcje kontroli rodzicielskiej o filtrowanie adresów URL, słów kluczowych oraz usług sieciowych. Filtrowanie URL pozwala na blokowanie stron, których użytkownik nie może oglądać. Blokada będzie dotyczyć wszystkich komputerów podłączonych do routera. Na podobnej zasadzie działa filtrowanie słów kluczowych – router będzie blokował strony zawierające słowa występujące na liście routera. Z kolei filtrowanie usług sieciowych pozwala bardziej precyzyjniej dopasować blokowane witryny oraz usługi. Dodatkowym ułatwieniem jest możliwość założenia blokady czasowej – np. dopasowując ją do blokady kontroli rodzicielskiej.

Funkcja, którą z pewnością docenią użytkownicy dostępu zdalnego i prywatności jest wbudowana w router rola serwera VPN. Asus został wyposażony w obsługę protokołu PPTP oraz OpenVPN z obsługą maksymalnie 10 klientów. Uruchomienie serwera VPN wymaga publicznego adresu IP, a sama konfiguracja usługi jest bardzo prosta. Asus dość sprytnie skonstruował interfejs konfiguracyjny, w którym dla obydwu systemów VPN prezentuje tylko podstawowe ustawienia. W przypadku protokołu PPTP nie będą konieczne niemal żadne dodatkowe konfiguracje niż te występujące w klientach Windows, Mac OS czy iOS lub Android. W przypadku serwera OpenVPN Asus udostępnia linki pozwalające na szybką instalację klientów OpenVPN. Kliknięcie w menu ustawień zaawansowanych pozwala bardziej precyzyjnie dostosować funkcje VPN. Są to między innymi funkcje szyfrowania, rozgłaszania VPN, a także opcje związane z ustawieniem adresów DNS i WINS dla klientów VPN, czy też zakres adresów IP przydzielanych dla hostów VPN.

W specyficznych przypadkach gdzie dostawca internetu stosuje prywatną klasę adresową IP (jednak z przydzielanym publicznym adresem IP) router może wyświetlać komunikat:

„Router sieci bezprzewodowej aktualnie wykorzystuje prywatny adres IP WAN (192.168.x.x, 10,x,x,x lub 172.16.x.x). Przed uruchomieniem serwera VPN należy skonfigurować usługę DDNS.”

Nie ma się czym jednak przejmować – uruchomienie VPN nie będzie problemem. Niestety tak łatwo nie pójdzie z uruchomieniem usługi DDNS pozwalającej na łatwiejszą konfigurację VPN. Router uparcie wyświetla komunikat o błędnym (pochodzącym z prywatnej klasy adresowej) adresie IP.  

Choć Asus RT-N18U jest rozwiązaniem przeznaczonym do użytku domowego to producent zdecydował się na zaimplementowanie naprawdę bogatego zestawu narzędzi administracyjnych, pozwalających na pełniejszą kontrolę routera i sieci LAN. Znajdziemy tu kilka standardowych funkcji jak aktualizacja routera, zapis konfiguracji czy też ustawienia serwera czasu. Dostępne są również funkcje zdalnej administracji - interfejs routera pozwala na konfigurację do 4 adresów IP, które będą mogły zarządzać urządzeniem a także włączenie telnetu i dostępu do konsoli.

Bardzo rozbudowaną sekcję stanowi zakładka Logi systemowe. Router prezentuje szczegółowe dane dotyczące pracy i zdarzeń. Dodatkowa zakładka Wireless Log informuje o aspektach sieci bezprzewodowej. Prócz tego dostępne są logi systemowe protokołu IPv6, dzierżawy DHCP, routingu, przekierowań portów oraz aktywnych połączeń.

Zestaw logów systemowych wzbogacony został o Monitor ruchu, który na bieżąco pokazuje statystyki dla portu WAN, sieci LAN oraz sieci bezprzewodowej. Router został wyposażony w proste narzędzia diagnostyczne pozwalające na analizę działania sieci i połączeń sieciowych – netsat, ping oraz możliwość wybudzenia komputerów w sieci LAN poprzez WoL.