Routery

Ustawienia zaawansowane

Główna zakładka Advanced stanowi bardzo rozbudowaną sekcję ustawień, które znacząco rozszerzają możliwości DIR-865L. Można je podzielić na 3 kategorie: przekierowanie portów, bezpieczeństwo oraz kontrola. To co warto docenić w D-Linku to bardzo precyzyjne mozliwości definiowania opcji związanych z aspektami Port Forwarding. D-Link już dawno opracował pewien standard dotyczący przkierowania i jest to jeden z najbardziej przejrzystych mechanizmów jakie można znaleźć w routerach. Podzielił przekierowanie portów na dwie części. Pierwsza z nich to Port Forwarding. Jest to typowy mechanizm przekierowania portów pozwalający na utworzenie do 24 reguł przekierowań dla protokółów TCP i UDP. Przekierowanie portów możemy wykonać „jeden do jednego” - czyli otwierając publiczny port otwieramy taki sam wewnętrzny port w sieci LAN. Mechanizm przekierowania możemy dodatkowo doprecyzować stosując harmonogramy. I tu po raz kolejny duży plus dla D-Linka. Czasowe otwieranie portów jest doskonałą opcją nieco zwiększającą bezpieczeństwo i ograniczającą dostęp do naszej sieci. Dodatkowo przy użyciu funkcji Inbound Filter możemy zdefiniować zakres publicznych adresów IP lub podsieci, które będą posiadać dostęp do przekierowanych portów. To kolejny mechanizm zabezpieczający router i sieć domową.

Dużo lepszą funkcją związaną z przekierowaniem portów jest Virtual Server. Podobnie jak w Port Forwarding możemy zdefiniować do 24 reguł. Różnica polega jednak na tym, że w Virtual Server możemy zdefiniować przekierowanie różnych portów zewnętrznych na różne porty wewnętrzne w sieci LAN.

D-Link DIR 865L - konfiguracja

Ostatnią funckją związaną z dostępem do określonych portów jest port triggering, która w D-Linku kryje się pod określeniem Application Rules. Port Forwarding i Virtual Server pozwalają na stałe otworzyć określone porty dla określonych komputerów w sieci (poza wyjątkami objętymi harmonogramami). W przypadku niektórych aplikacji i usług zachodzi potrzeba krótkotrwałego otworzenia dużego zakresu; czasami losowych; portów. Ich otwarcie konieczne jest tylko w określonych przypadkach transmisji danych. Później działająca aplikacja nie potrzebuje dostępu do tych portów. I tu z pomocą przychodzi Application Rules. Opcja pozwala na zdefiniowanie wpisów, które umożliwią aplikacji żądającej dostępu przepuszczenie ruchu sieciowego.

Znacząco zostały rozbudowane funkcje bezpieczeństwa w DIR-865L. Mamy zatem do dyspozycji Network Filter - mechanizm zezwalający lub zabraniający dostępu do sieci internet dla określonych komputerów. Kontrola dostępu odbywa się na poziomie adresów MAC. Nie jest to może zbyt wyrafinowany mechanizm, który jest prosty do obejścia. Jednak w warunkach domowych jest na tyle skuteczny by uniemożliwić np. dziecku dostęp do sieci internet. Funkcja jest tym bardziej przydatna, że podobnie jak w przypadku Port Forwardin i Virtual Server możemy definiować dostęp na podstawie harmonogramów.

Kolejnym mechanizmem zabezpieczającym jest Access Control. Pozwala on na utworzenie reguł blokad dostępu do określonych stron dla określonych komputerów w sieci lokalnej. Funkcję Access Control należy ściśle połączyć z kolejnym mechanizmem bezpieczeństwa jakim jest Website Filter. To dzięki niemu zdefiniujemy adresy stron dozwolonych lub zabronionych. Z kolei Access Control doprecyzuje warunki kontroli dostępu do stron. 

Kończąc prezentację kontroli dostępu warto jeszcze cofnąć się do zakładki Setup i wybrać opcję Parental Control. Mamy w niej do dyspozycji możliwość użycia zewnętrznych usług związanych z DNS pozwalających na doprecyzowanie stron internetowych, które uznamy za potencjalnie bezpieczne lub niebezpieczne. Router pozwala na stosowanie 4 różnego rodzaju konfiguracji: 

  • Advanced DNS - usługa oparta o OpenDNS i wprowadzająca adres DNS tego operatora
  • OpneDNS FamilyShield - również usługa OpenDNS, która nie pozwala otworzyć stron o tematyce erotycznej czy blokująca strony phishingowe.
  • OpenDNS Parental Controls - tp bardzo rozbudowana usługa wymagająca założenia bezpłatnego konta na stronie opendns.com. Po podłączeniu naszego routera do konta OpenDNS mamy możliwość samodzielnego utworzenia reguł zabezpieczeń kontroli rodzicielskiej. Mamy w niej wpływ nie tylko na konfigurację blokowania zawartości stron internetowych. Usługa chroni również przed złośliwym oprogramowaniem czy phishingiem. Dodatkowym atutem usługi jest możliwość przeglądania raportów z odwiedzanych stron, prób wejścia na blokowane strony czy też graficznych statystyk ruchu sieciowego.
  • Static IP or Obtain Automatically From ISP - czyli adresy DNS wpisane ręcznie lub otrzymane od operatora ISP.

O ile w wielu routerach ustawienie blokady na określone adresy DNS kończyło się zazwyczaj zwykłym błędem o braku strony internetowej o tyle użycie usług Parental Control wyraźnie informuje dlaczego nie można wyświetlić strony internetowej. 

W sekcji Firewall Settings możemy aktywować zaporę sieciową SPI. Mechanizm SPI filtruje pakiety przechodzące przez router zapamiętując jego parametry. Jeśli, któryś z pakietów nie odpowiada określonym parametrom jest blokowany przez zaporę. Dodatkową opcją zwiększającą bezpieczeństwo jest aktywacja Enable anti-spoof checking, która chroni przed atakami typu spoofing (fałszowanie źródłowego adresu IP). W sekcji zapory sieciowej możemy również zdefiniować jeden adres IP w sieci, który będzie należał do strefy DMZ. Dodatkowo możemy zdecydować czy router będzie przepuszczał ruch sieciowy VPN - te ustawienia zdefiniujemy w sekcji ALG Configuration. Oddzielne ustawienia zapory sieciowej dla protokołu IPv6 znajdziemy w zakładce IPv6 Firewall. 

Jeszcze jedną wartościową funkcją, która wyróżnia routery D-Link jest rozbudowany silnik QOS. DIR-865L posiada dwa rodzaje mechanizmu QoS: Strict Priority Queue(SPQ) oraz Weighted Fair Queue(WFQ). Strict Priority Queue, który kształtuje ruch internetowy za pomocą priorytetów kolejkowania ruchu przydzielając określonemu ustawieniu odpowiednią rangę (Queue ID 1 - najwyższa, Queue ID 4 - najniższa). W przypadku Weighted Fair Queue ruch jest kształtowany na podstawie procentowej klasyfikacji prędkości łącza internetowego dla każdej z kolejek. WFQ możemy dla przykładu ustawić ruch dla streamingu mediów na poziomie 80% a pozostałe usługi rozdzielić na 20%. Dobierając odpowiednie wartości możemy bardzo precyzyjnie zdefiniować usługi, które będą posiadać wysoki priorytet oraz obniżyć ważność aplikacjom, które zapychają łącze internetowe.

Opcje zgromadzone w sekcji Advanced Network są bardziej szczegółowymi parametrami, które możemy zdefiniować by nieco poprawić transmisję danych w sieci oraz jej bezpieczeństwo. Możemy tu zatem włączyć funkcję Universal Plug and Play dla urządzeń sieciowych - Enable UPnP IGD (Internet Gateway Device). Zezwolić na odpowiedź routera na ping z sieci WAN, ustawić prędkość portu WAN czy też aktywować przesyłanie wielowątkowego obrazu i dźwięki z sieci WAN (Enable IPv4 Multiast Steams oraz Enable IPv6 Multicast Streams).

W sekcji Advanced znalazły się jeszcze dwie zakładki związane z funkcjonowaniem sieci bezprzewodowych. W Advanced Wireless zebrano ustawienia dotyczące mocy nadawania sieci 2,4 oraz 5 GHz. Dla każdej z nich możemy również ustawić WLAN Partition pozwalając na izolowanie klientów bezprzewodowych. Podłączone hosty nie będą się widzieć wzajemnie. Ciekawą funkcją jest HT 20/40 Coexistence, która pozwala na zmniejszenie zakłóceń pochodzących od innych sieci bezprzewodowych. Jeśli sieć pracuje w paśmie 40 MHz i w okolicy istnieje inna sieć, której kanał pokrywa się z naszą siecią powodując zakłócenia to router automatycznie przełączy długość pasma na 20 MHz.

Jak wspomnieliśmy na wstępie router posiada sprzętowy przycisk WPS, który znacznie ułatwia podłączenie i konfigurację nowych klientów bezprzewodowych. Mechanizm Wi-Fi Protected Setup pozwala podłączyć urządzenia bez konieczności znajomości nazwy sieci, zabezpieczeń czy hasła. Wystarczy nacisnąć przycisk sprzętowy na routerze i karcie sieciowej lub też połączyć się z siecią przy użyciu numeru PIN.

Niezwykle użyteczną opcją związaną z dostępem bezprzewodowym są tzw. sieci gościnne. Usługi tego typu pozwalają na podłączenie do naszej sieci WiFi znajomych czy gości, którzy przyjdą do nas do domu. W przypadku sieci gościnnych konfigurujemy wydzieloną oddzielną nazwę SSID oraz oddzielne zabezpieczenia i hasło. Dzięki temu nie musimy podawać hasła i rodzaju zabezpieczeń do naszej sieci domowej a jednie do sieci gościnnej. Dodatkowo w sieciach gościnnych możemy izolować klientów i zabraniać im przeglądania zasobów naszej sieci domowej. W DIR-865L możemy zdefiniować 2 sieci gościnne. Jedną dla pasma 2,4 GHz a drugą dla 5 GHz. Po zatwierdzeniu zmian sieci gościnne pojawią się w eterze. Funkcja Enable Routing Between Zones pozwala na przeglądanie otoczenia sieciowego naszej sieci domowej.