QIS (Quick Internet Setup) umożliwia podstawową konfigurację routera. Możemy oczywiście pominąć ten krok i uruchomić przeglądarkę internetową, wpisać domyślny adres routera 192.168.1.1 i ręcznie skonfigurować wszystkie parametry. My jednak wykorzystamy QIS, by pokazać, że konfiguracja urządzenia nie musi być trudna.
Po przejściu pierwszych dwóch kroków, które mają charakter informacyjny ustawiamy login oraz hasło administratora.
W kolejnym kroku decydujemy czy Asus będzie pełnił rolę routera, czy też punktu dostępowego. To oznacza: czy sam będzie kierował ruchem sieciowym, czy będzie dołączony do istniejącej infrastruktury sieciowej, tworząc dostęp do sieci bezprzewodowej. W przypadku wyboru opcji Punkt dostępowy należy pamiętać, że w takim ustawieniu Asus będzie miał domyślnie wyłączony firewall oraz m.in. NAT.
Przechodzimy teraz do konfiguracji łącza internetowego. Do dyspozycji mamy możliwość podłączenia i pobrania automatycznie adresu IP WAN, nadanie adresu statycznego, PPPoE - konfiguracja stosowana przez niektórych lokalnych dostawców ISP, PPTP oraz L2TP, czyli utworzenie tunelu VPN do innej sieci.
W zależności od konfiguracji łącza z poprzedniego kroku w następnym etapie będziemy ustawiać adresację IP, maskę i bramę lub też wprowadzać dane uwierzytelniające PPPoE lub VPN.
Router Asusa ma bardzo inteligentny mechanizm sprawdzania łącza WAN. Gdy źle podłączymy okablowanie lub wpiszemy złe ustawienia, router przed zaakceptowaniem sprawdzi ich poprawność. W przypadku wykrycia usterki powiadomi nas odpowiednim komunikatem.
Na załączonym przykładzie przypadkowo do portu WAN został podłączony przewód od jednej z końcówek sieci lokalnej. Na koniec pozostaje ustawienie sieci bezprzewodowej 2,4 oraz 5 GHz. Wpisujemy ich nazwy, a także hasła do połączenia. Domyślnie router pozwala na ustawienie szyfrowania WPA. Warto zmienić zabezpieczenia na silniejsze WPA2, logując się do panelu WWW.
Po uwierzytelnieniu się na stronie WWW wita nas przyjaźnie wyglądający panel administracyjny ASUSWRT z „mapą sieci”. Kolorowe ikonki i język polski ułatwiają konfigurację i orientację w elementach strony. Menu wygląda logicznie i przejrzyście. Jednak bogaty zestaw informacji może wprowadzić w zagubienie nawet doświadczonego użytkownika. Panel jest podzielony na 3 elementy - Quick Internet Setup - kreator znany z tekstu powyżej, Ustawienia Ogólne, a także Ustawienia Zaawansowane. Najpierw warto ustawić najważniejsze parametry routera, a następnie zapoznać się z bardziej zaawansowanymi i dodatkowymi funkcjami.
Ciekawe i zaawansowane
Zaczniemy tradycyjnie od zapoznania się z ciekawszymi i bardziej zaawansowanymi funkcjami łącza WAN. W zależności od ustawień, menu może wyglądać nieco inaczej. My prezentujemy typowe ustawienie ze stałym adrsem IP WAN. To obok pobierania adresu z operatorskiego serwera DHCP dość często spotykana metoda w sieciach lokalnych operatorów ISP.
RT-N66U wspiera również uwierzytelnianie poprzez protokół 802.1x i uwierzytelnianie EAP-MD5 (nazwa użytkownika oraz hasło). Rzadko jest on stosowany w łączach operatorów lokalnych. To jedna z prostszych a jednocześnie najmniej bezpiecznych (brak szyfrowania) możliwości uwierzytelnienia abonentów w sieci lokalnej. Bardzo często w roli serwera uwierzytelniającego występuje serwer RADIUS.
Kolejnym elementem, na który warto zwrócić uwagę jest port triggering oraz port forwarding. Port triggering to mechanizm umożliwiający tymczasowe przekierowanie określonego portu na czas transmisji danych, gdy proces lub urządzenie w sieci lokalnej chce mieć do niego dostęp. To wygodny mechanizm w przypadku gier sieciowych czy komunikacji VoIP. Dla przykładu klient w sieci LAN wysyła pakiet poprzez port 123. Reguła port trigger mówi, że w przypadku pojawienia się ruchu na tym porcie router powinien otworzyć port 456. Dane zostaną przesłane do komputera wysyłającego pakiet poprzez port 123. Po zakończeniu transmisji port 456 zostaje zamknięty.
Triggering a forwarding
Jaka jest różnica pomiędzy triggering a forwarding? Pierwsza zasadnicza to - w przypadku przekierowania - port jest otwarty na stałe. Druga w przypadku przekierowań to konieczność zdefiniowania stałych adresów IP docelowych hostów, na które przekierowane są porty (opcją jest DHCP z rezerwacją adresów). W Asusie mamy do dyspozycji obie opcje. Jedynym minusem jest brak możliwości wpisywania zakresu portów LAN forwarding. Jest to szczególnie uciążliwe przy konfiguracji specyficznych usług, które wykorzystują określony zakres portów.
Asus oferuje również strefę DMZ, czyli wydzieloną część sieci lokalnej. Dostęp do serwerów umieszczonych w strefie zdemilitaryzowanej jest możliwy z internetu. Często w tej strefie uruchomione są serwery WWW, DNS lub usługi mail.
Funkcja DDNS jest doskonale znana użytkownikom, którzy chcą połączyć się do sieci mającej zmienny publiczny adres IP. W przypadku Asusa mamy do dyspozycji kilka możliwości ustawienia usługi Dynamic Domain Name System: dyndns.com, asuscomm.com, tzo.com, zoneedit.com.
Trochę myląca może być zakładka Okienko NAT, w której dostępne są opcje związane z PPTP, L2TP, IPSec, id. To nic innego jak opcje dotyczące obsługi VPN pass-through, która umożliwia połączenie do zdalnej bramy VPN (np. w firmie) poprzez domowy router. Asus obsługuje 3 popularne mechanizmy pass-through:
- VPN pass-through IPSec
- VPN pass-through for PPTP
- VPN pass-through for L2TP
- ... a także RSTP oraz PPPoE Relay (ustanawianie indywidualnych połączeń PPPoE przechodzących przez NAT)
W sekcji LAN znajdziemy typowe ustawienia związane z adresacją IP, a także uruchomionym serwerem DHCP. Funkcja dynamicznego przydzielania adresów została wzbogacona o opcję statycznego przydzielania adresów na podstawie adresów MAC. To wygodne rozwiązanie, gdy w istniejącej sieci nie chcemy wprowadzać ręcznej konfiguracji, a jedynie niektóre hosty powinny zachować ten sam adres IP. W interfejsie WWW Asusa musimy niestety ręcznie wprowadzać każdy adres MAC karty sieciowej. Zabrakło mi możliwości dodania adresu MAC wprost z Mapy sieci, gdzie wyszczególnieni są klienci sieci LAN.
Z kolei opcja Jumbo Frame z pewnością przyda się osobom mającym gigabitową infrastrukturę sieciową LAN. By w pełni skorzystać z tej funkcji, opcja Jumbo Frames powinna zostać włączona także na komputerze docelowym. W przypadku rozbudowanej sieci również jej szkielet powinien być oparty na przełącznikach gigabitowych, które obsługują Jumbo Frames. Czy warto włączyć Jumbo Frame? Tak, jeśli w sieci wykorzystujemy klastry, serwery kopii zapasowych (zwiększenie MTU pozwala przyśpieszyć transfer), serwery NFS (bloki danych 8192 bajtów). Jumbo Frames z pewnością nie będą dobrym rozwiązaniem w sieciach, gdzie w głównej mierze wykorzystuje się aplikacje, które wymagają małego opóźnienia w przekazywaniu pakietów danych (standardowa ramka 1500 bajtów w sieci gigabit ethernet jest przekazywana w czasie 12 ms, ramka 9000 bajtów - już w 72 ms).
W zakładce IPTV w sekcji LAN możemy także skonfigurować ustawienia związane z szeroko pojętym streamingiem i usługami głosowymi. To między innymi UDP Proxy (konwersja strumieni UDP multicast do HTTP unicast), routing pakietów multicast - wysyłanie jednego pakietu do wielu odbiorców (oszczędność łącza). Jest to szczególnie ważne gdy strumień danych jest przekazywany przez router i niezbyt wydajne łącze WAN. Włączenie routingu multicast uruchamia także protokoły RTP (wykorzystywane m.in. dla VoIP), a także RSTP (wykorzystywane w VoD).
Router oferuje także obsługę protokołu TCP/IP w wersji 6 zwanym potocznie IPv6. Ustawienia protokołu, a także tuneli 6to4, czy też ustawienie natywnej adresacji IPv6 dokonamy w sekcji IPv6 w Ustawieniach Zaawansowanych
Elementem wydajnej i zaawansowanej sieci komputerowej jest także protokół VPN. To w dużym skrócie stworzenie tunelu w sieci internet, przez który odbywa się ruch sieciowy w ramach sieci lokalnej. Asus RT-N66U pozwala na uruchomienie serwera VPN z pomocą protokołu komunikacyjnego PPTP. Uwierzytelnianie zdalnych połączeń odbywa się poprzez protokoły CHAP, MS-CHAP czy PAP. W przypadku Asusa otrzymujemy zestaw typowych ustawień dla konfiguracji serwera VPN: DNS-y, WINS-y, zakres adresacji IP dla zdalnych klientów, a także kreator do zakładania użytkowników VPN.
Przyjazny i prosty interfejs pozwala na konfigurację bezpiecznego połączenia pomiędzy zdanym klientem a domową siecią. Do czego można wykorzystać VPN w Asusie? Możliwości jest bardzo wiele. Od zestawienia tunelu VPN omijającego ograniczenia sieci, do której jesteśmy podłączeni, poprzez zarządzanie domową siecią LAN z dowolnego miejsca na świecie, czy też np. obsługę urządzeń sieciowych (podgląd kamer, drukowanie, podgląd serwera).
Ustawienia sieci bezprzewodowej dokonujemy w sekcji Wireless i przeprowadzamy oddzielnie dla modułu 2,4 oraz 5 GHz. Ustawiamy nazwę SSID sieci. Możemy także ją ukryć oraz ustawić szyfrowanie: WPA (Personal, Enterprise), WPA2 oraz uwierzytelnianie Radius.
Dodatkowymi elementami jest możliwość ustawienia odpowiedniego kanału (domyślnie stosowane jest ustawienie Auto), pasma kanału (20 MHz, 20/40 MHz lub 40 MHz), a także konfiguracja trybu bezprzewodowego. Tryb bezprzewodowy pozwala na określenie, jaki typ klientów sieci bezprzewodowej będzie miał możliwość podłączenia do naszej sieci WiFi: auto - klienci 802.11bgn, legacy - klienci 802.11bgn, jednak klienci 802.11n będą działać z maksymalną prędkością 54 Mbps, oraz ustawienie „n only” - możliwość podłączenia tylko klientów wyposażonych w karty sieciowe wspierające standard 802.11n.
Asus zastosował jeszcze jedną możliwość, wprowadzając funkcjonalność b/g protection. To ustawienie umożliwia funkcjonowanie klientów 802.11n z pełną szybkością oraz możliwość podłączenia klientów w starszych standardach b oraz g.
Szybka możliwość łączenia się z zabezpieczoną siecią bezprzewodową to z pewnością marzenie każdego użytkownika sieci domowej. O ile przyłączanie już skonfigurowanego urządzenia to tylko kwestia uruchomienia komputera, o tyle nowe urządzenia zazwyczaj wymagają dodatkowej konfiguracji. Pomocnym narzędziem jest mechanizm WPS (Wi-Fi Protected Setup) - ułatwia bezpieczne i szybkie połączenie z siecią WiFi. Asus RT-N66U oferuje uwierzytelnianie poprzez kod PIN oraz przycisk WPS (zlokalizowany z tyłu). Mechanizm WPS możemy skonfigurować oddzielnie dla sieci 2,4 oraz 5 GHz.
Ważnym elementem jest również możliwość rozszerzenia zasięgu pracy sieci bezprzewodowej. Jest to ważne, gdy chcemy pokryć zasięgiem znaczną powierzchnię lub piętrowy budynek. Asus przychodzi tu z pomocą obsługując tryb WDS. Konfiguracja mechanizmu WDS przebiega identycznie, jak w przypadku innych tego typu konstrukcji. Ustalamy kanał oraz częstotliwość, dodajemy adres MAC odległych punktów dostępowych rozszerzających zasięg. Nieco więcej o konfiguracji tego typu funkcji opowiemy w dalszej części tekstu.
W Asusie zwiększając bezpieczeństwo możemy także filtrować klientów WiFI po adresie MAC oraz ustawiać dodatkowe parametry uwierzytelniania i logowania RADIUS. Więcej ciekawych opcji związanych z siecią bezprzewodową znajdziemy w sekcji Professional. Zarówno dla pasma 2,4 jak i 5 GHz możemy ustalić harmonogram włączenia radia, izolację AP (brak widoczności podłączonych do sieci klientów), prędkość Multicast, fragmentację RTS, a także ustawić moc radia 2,4 oraz 5 GHz.
Niezwykle przydatną funkcją nowoczesnych i wydajnych routerów jest sieć gościnna. To rozwiązanie, które pozwala na przyłączenie niezaufanych, sporadycznych klientów sieci WiFi (np. znajomych) i udostępnienie im internetu bez konieczności podawania hasła do sieci domowej. W przypadku Asusa możemy utworzyć do 6 sieci gościnnych: 3 dla 2,4 GHz oraz kolejne 3 dla 5 GHz. Każda z nich może być dowolnie modyfikowana wraz z wprowadzaniem restrykcji połączeń. Tak skonfigurowana sieć gościnna bez problemu może służyć jako brama dostępowa do internetu z blokadą możliwości przeglądania zasobów sieci lokalnej.
Ważnym aspektem jest również bezpieczeństwo sieci lokalnej. Oprócz zabezpieczenia łącza WiFi Asus dysponuje zaporą sieciową SPI, a także systemem wykrywania ataków DoS. Dodatkowo w opcjach zapory możemy ustawić typ logowania pakietów przychodzących z internetu, udostępnić możliwość dostępu do GUI interfejsu spoza sieci LAN oraz włączyć lub wyłączyć odpowiedź na ping z sieci WAN.
Dodatkową opcją jest możliwość filtrowania dresów URL, czyli zablokowanie dostępu do poszczególnych stron. To czego zabrakło mi w filtrze, to jasny i wyraźny komunikat podczas ładowania strony, że została zablokowana na poziomie routera - sieci domowej. Przeglądarka cały czas próbuje załadować stronę. Oprócz blokowania adresów URL możemy także ustawić blokadę usług sieciowych na specyficzne porty lub usługi. Opierając się na harmonogramie definiujemy blokadę dla portów sieciowych, dni tygodnia oraz godzin blokady. Dodatkowo możemy stworzyć czarną oraz białą listę - w zależności od tego, co chcemy filtrować.
