С развитием сетевых технологий настройка VPN роутера стала одной из задач общего комплекса обеспечения безопасности домашних сетей и сетей малых офисов — так называемый SOHO сегмент (Small office Home Office). Организация безопасной передачи данных посредством небезопасных каналов использовалась человечеством с давних веков. Как гарантировать конфиденциальность и целостность информации, если она передается методами, не вызывающими доверия? Этот вопрос решен давно: шифрованием сообщения.

Настройка VPN сервера на каждом конкретном роутере может отличаться.

Принимающая и передающая стороны заранее договариваются о системе шифрования/дешифрования сообщений, после чего можно использовать даже ненадежные каналы обмена. Информация будет недоступна для посторонних глаз или ушей. Аналогичную задачу в компьютерных сетях решает технология, получившая обобщенное название VPN (аббревиатура от Virtual Private Network). Ее суть упрощенно можно охарактеризовать следующим образом:

1. Один компьютер (условно называемый клиентом), имеющий подключение к глобальной сети Интернет, желает получить доступ к ресурсам другого компьютера.
2. Второй компьютер (условно называемый сервером) и имеющий подключение к Интернет, готов предоставить свои ресурсы (например, папки с фотографиями, музыкой или фильмами), но ресурсы эти он готов предоставлять только ограниченному кругу лиц (правильней говоря, ограниченному и заранее определенному количеству конкретных компьютеров).

Как ограничить доступ

Организовать ограничение доступа можно, например, с помощью закрытия папок общего доступа специальными логинами и паролями. Но, как гласит народная мудрость, замки — они от честных людей. Обладая специальными навыками, можно взломать такие замки и получить несанкционированный доступ ко всем ресурсам, выставленным в Интернет. Хорошо подготовленные команды хакеров (специалистов по взлому) постоянно сканируют компьютерные сети на предмет таких «расшаренных» папок. Более правильное решение — организовать VPN:

Настройка VPN необходима для обеспечения безопасности домашних и офисных сетей.

1. На клиентской машине устанавливается специальное программное обеспечение, называемое VPN-клиент, которое умеет зашифровать исходящие команды и запросы, используя современную систему открытых и закрытых ключей.
2. На сервере устанавливается специальное программное обеспечение — VPN-сервер, который используя те же, заранее оговоренные открытые и закрытые ключи, умеет дешифровать запросы и команды, поступающие из небезопасной сети под названием Интернет.
3. Ответы на полученные запросы от клиента серверная часть шифрует таким же методом и отправляет обратно на клиентскую машину, где принимаемая информация дешифруется.

Современные роутеры с vpn сервером — маршрутизаторы, они позволяют на аппаратном уровне поддерживать сети, работающие с применением технологии VPN. Как правило, такие маршрутизаторы поддерживают несколько протоколов, наиболее распространенные из них:

• PPTP (Point to Point tunneling protocol) — организация защищенного соединения достигается созданием специального логического тоннеля;
• L2TP (Layer 2 Tunneling Protocol) — организация защищенного соединения осуществляется также созданием специального тоннеля и является развитием протокола PPTP;
• IPsec — надстройка на существующих протоколах.

Маршрутизатор, поддерживающий технологию впн, условно можно разделить на 2 типа, имеющие встроенный VPN-сервер, и те, которые его не имеют, но могут пропускать через себя шифрованные информационные потоки. Если роутер не имеет встроенного сервера, то в его настройках присутствует специальная закладка, как правило, в разделе Security/VPN:

• PPTP pass-through;
• L2TP pass-through;
• IPsec pass-through.

Установкой “птички” в соответствующем «чекбоксе» разрешается или запрещается проход таких секретных пакетов через маршрутизатор.

В этом случае предполагается, что роль VPN-сервера выполняет какой-либо из компьютеров, расположенных во внутренней сети, а задача маршрутизатора — обеспечить пропуск в одну и во вторую сторону шифрованных пакетов. Более сложные маршрутизаторы имеют в своей реализации встроенный VPN-сервер, позволяя предоставлять доступ к устройствам внутренней сети (домашнему медиа-серверу, внешнему накопителю и т.д) по защищенному каналу извне. Более сложное применение — объединение нескольких территориально разделенных сетей в единую логическую структуру.

https://сайт/

Например, в компании имеются несколько филиалов, расположенных в разных городах. Выставлять на всеобщее обозрение компьютер финансового директора было бы верхом легкомыслия. Настроенное соответствующим образом соедениние между роутерами в каждом из офисов объединяет территориально разрозненные компьютеры в единую логическую сеть, защищенную от вторжения извне.

Как производится настройка VPN сервера

Настройка VPN сервера на каждом конкретном роутере может отличаться, но состоит из следующей последовательности шагов:

1. Вход в административную панель, авторизация, после чего необходимо проверить все существующие настройки и сделать полный backup на случай неудачи в настройках.
2. Обновление существующей прошивки. Это всегда не лишняя операция, более свежие версии, как правило, более работоспособны.
3. Выбор в главном меню закладки VPN-сервер, выбрать тип протокола, это может быть PPTP либо L2TP. В зависимости от выбранного типа протокола будут немного отличаться и настройки. Но в любом случае необходимо будет указать пул адресов, диапазон IP-адресов из внутренней сети, которые будут раздаваться клиентам, подключенным по VPN.
4. Необходимо указать логин и пароль, на основании которых будут построены ключи для шифрования.
5. Следующий параметр — условия шифрования MPPE-128 (или более сложный). Усложнение условий шифрования повышает криптостойкость соединения, но на шифрование/дешифровку тратятся дополнительные ресурсы, что снижает общую скорость соединения.
6. Настройка L2TP имеет ту же последовательность шагов и принципиально не отличается.
7. После сохранения и перезагрузки роутера серверная часть настроена.

https://сайт/

Плюсы VPN соединений

Дополнительные плюсы использования VPN-роутеров и соединений. Далее необходимо настраивать клиент, то есть то программное обеспечение, которое будет общаться с сервером. Соответствующие клиенты имеются для разных операционных платформ, их настройка подробно описана в соответствующей документации.Один раз настроив такой доступ к домашней компьютерной сети, можно совершенно безопасно получать доступ к домашнему файловому хранилищу из любой точки, поддерживающей интернет с вашего устройства (будь-то ноутбук, планшет или просто смартфон). При этом можно совершенно не опасаться, что кто-то будет анализировать трафик и пытаться взломать пароли к вашей почте или клиент-банку. А это очень важно в местах, где присутствуют открытые каналы доступа к Интернету — Макдональдс, крупные супермаркеты, аэропорты и другие.

Компания 3COM, выпускающая сетевое оборудование, в 2010-м году была выкуплена более крупным производителем «железа» под названием Hewlett Packard. Тем не менее, на просторах нашей страны – и сейчас встречается изготовленный фирмой 3COM роутер под названием «Office Connect 11g router».

Более точно название модели звучит, как 3CRWER100-75. Это сетевое устройство – снабжено микросхемой Wi-Fi на 54 Мбит/с. Еще, существует версия 3CRWER200-75, с «удвоенной» относительно младшей модели скоростью Wi-Fi. Как выполнить настройку – рассмотрим подробнее.

Роутер модели 3CRWER100-75

Внешне 100-мегабитный сетевой роутер, выпускаемый под маркой 3COM, выглядит довольно внушительно. При установке, рекомендуется направлять его антенны перпендикулярно друг другу (буквой «V»). Так – получим устойчивую связь с любым мобильным устройством.

На задней стенке, здесь обнаруживается стандартный набор портов. Это 4 LAN-разъема, и один разъем WAN. Хотя, последний называется «Cable/DSL», но он – не перенесет подключения к телефонной линии:

Задняя панель роутера

К разъему Power – надо подключать блок питания, рассчитанный на 12 Вольт (мощностью 15 Ватт или больше). Рядом с разъемом мы видим индикатор питания (почему-то, он называется «OK»). Переходим к настройке базовых функций: Интернет-подключения и сети Wi-Fi.

Действия, выполняемые до настройки

Аппаратные подключения

Прежде всего, необходимо подключить роутер к компьютеру (с которого будет происходить настройка). Для этого, любой порт LAN – соединяют с разъемом сетевой карты ПК, используя патч корд. А саму сетевую карту – настраивают на «авто» IP и DNS:

Настройка проводной сетевой карты

Следующим шагом будет подключение шнура провайдера (либо, патч-корда, идущего от модема) к порту «Cable/DSL».

В последнюю очередь – включают питание устройства. И отправляют компьютер на перезагрузку.

Открываем web-интерфейс

Дождемся, когда компьютер полностью загрузится. После чего, откроем браузер, и перейдем к следующему адресу: 192.168.1.1. Должен появиться запрос авторизации:

В качестве пароля – подходит слово admin. Нажав «Log In», дождемся появления вкладки выбора страны:

Вкладка выбора страны

Здесь надо установить значение «Russian Federation». А затем – нажать «Apply».

Важно знать: если указанный IPадрес длительное время «не отвечает», рекомендуем выполнить сброс настроек роутера. Который, здесь осуществляется не совсем стандартно.

Рассмотрим, как вернуть настройкам роутера их значения «по умолчанию». То есть, как выполнить аппаратный сброс.

Последовательность действий – такая:

1. Отключить питание роутера и внешние сетевые устройства.
2. Патч-кордом – соединить порт LAN с разъемом «Cable/DSL» (не важно, какой из 4-х портов LAN будет использоваться).
3. Затем, включив питание, надо ждать 30 секунд (до «более медленного» мигания индикатора «Alert», расположенного на передней панели).
4. Питание роутера – надо выключить, устройство будет готово к настройке.

Кнопка reset, как можно понять, в данном случае не используется.

Настройка базовых функций

Интернет-подключение (DHCP)

Выполнив вход в интерфейс, пользователь видит вкладку «Welcome»:

Стартовая вкладка

Для настройки соединения, не важно, по какому именно протоколу – понадобится другая вкладка, «Internet Settings». Здесь мы выбираем используемый протокол (Dynamic IP), и устанавливаем MAC-адрес (он будет присвоен порту роутера):

Настройка соединения (протокол DHCP)

Значение MAC-адреса лучше сообщить роутеру в явном виде. Для чего, выбираем селектор «Enter a new MAC…» и заполняем цифровые поля.

Как узнать адрес MAC сетевой карты? Проще всего, выполнив правый щелчок на значке соединения, выбрать «Состояние» -> «Поддержка» -> «Подробности» (смотрите первую сверху строку).

В завершении нажимают «Save». А затем, для применения сохраненных настроек – «Apply/Restart».

Интернет-подключение (L2TP)

Рассмотрим пример настройки L2TP-подключения с динамическим IP-адресом. Прежде всего, надо выполнить действия, перечисленные в предыдущей главе. Если требуется подмена MAC-адреса, установите требуемое значение.

Затем, роутер настраивают повторно: вместо «Dynamic IP» выбирают «L2TP», устанавливают значения параметров. Например, как на рисунке:

Настройка L2TP-соединения

К параметрам L2TP-протокола относятся:

1. Адрес либо доменное имя (Domain Name) сервера L2TP
2. Имя (логин) абонента
3. Пароль

При желании, можно указать адреса DNS (что ускорит работу роутера). Галочка «Get IP by DHCP» должна быть выставлена (IP-адрес у нас – динамический).

В последнюю очередь, надо нажать «Save», и затем – «Apply». Успешной настройки!

Настраиваем Wi-Fi-сеть

В принципе, перейдя к вкладке «Wireless Settings», становится ясно – доступен необходимый минимум параметров:

Вкладка параметров Wi-Fi

Режим (Mode) – оставим в значении «Mixed». Номер радиоканала (Channel) – можно установить в явном виде. Возможен и автоматический выбор (значение «Clear Channel Select»).

Главное здесь – задать имя сети. Оно находится в текстовом поле «Service Area Name». Выполнив установку значений, нажмите «Save» (и «Apply/Restart»).

Переходим к закладке «Encryption». Здесь доступны настройки защиты (то есть, шифрования Wi-Fi-сети).

Вкладка шифрования Wi-Fi

Мы использовали значения: режим – WPA, алгоритм – TKIP (можно AES). Главное – заполнить строку ключа (хотя бы 8-ю символами).

В последнюю очередь, нажимают «Save» и «Apply/Restart». Удачного роутинга!

Есть фильм по настройке 108-мегабитной модели (которая – работает с «удвоенной» скоростью Wi-Fi 802.11 g):

Всем добра! В этой статье хочется затронуть такую интересную и в то же время простую тему, как настройка VPN на роутере от белорусского оператора Белтелеком . Но эта инструкция может быть полезна и абонентам других провайдеров, поскольку все делается по аналогии.

Также надо сказать, что такой принцип подключения часто используется в различных государственных конторах для функционирования, например, систем межведомственного документооборота и прочих служебных программ, требующих выделенного канала связи.

Сразу стоит сказать, что в рамках этой статьи будут рассматриваться только технические вопросы. Я не буду здесь заострять внимание на том, как правильно писать заявление в абонентский отдел БТК для получения договора с данными CE и PE, которые нам так необходимы для настройки VPN-cоединения на модеме. Кстати, вот так выглядит данный документ:

Здесь для нас важны следующие значения:

1. CE: IP-адрес модема, расположенного на территории абонента;
2. PE: IP-адрес оборудования, расположенного на стороне провайдера;
3. Режим работы CE устройства. Если нет выделенного IP, то будет NAT;
4. Битность маски сети. Важный параметр, суть которого обсудим позже.

То есть принцип действия всей схемы заключается в том, что CE подключается к PE с определенной маской сети, образуя виртуальную локальную сеть между собой. Ну что же, теперь давайте переходить к непосредственной настройке.

В качестве примера возьмем довольно популярный ADSL-роутер ZTE ZXHN H208N . Думаю, что многие белорусские пользователи видели эту коробочку у себя дома либо на работе:

Но опять же повторюсь, даже на новом оборудовании для оптоволоконных линий, принцип действия остается тем же самым. Поэтому тема остается актуальной и по сей день. В общем, давайте входить в админку нашей коробочки. Как это сделать очень подробно было рассказано в .

Для тех кто подзабыл напомню, что стандартные данные для входа будут такими:

1. IP-адрес: 192.168.1.1;
2. Логин и пароль: admin.

Затем сразу следуем по пути « Network-WAN-WAN Connection « и в графе « Connection Name « выбираем соединение под названием « PVC 0 « . На скриншоте ниже я уже переименовал его в более понятное « VPN « . Далее сверяем значения следующих параметров:

1. VPI/VCI: 0/33;
2. Type: Route;
3. Link Type: IP;
4. IP Type: Static.

А вот и пришла пора воспользоваться техническими данными из приложения к договору, который был заранее получен в абонентском отделе провайдера:

1. Enable NAT: ставим галку;
2. IP Address: вбиваем значение CE;
3. Gateway: указываем значение PE;
4. Subnet Mask: нужно рассчитать;
5. Modify: жмем для сохранения.

Давайте подробнее рассмотрим принцип расчета параметра « Subnet Mask « . Смотрите, у нас в документах вместе со значениями CE и PE указана битность маски сети вида « /29« . Что с этим делать?

Да все просто. Следуем по адресу ip-calculator.ru и в графе « Маска« ищем соответствующее число. В результате получаем нужную маску, которую и вписываем в роутер:

Если кто не знает, то именно битность маски определяет возможное количество IP-адресов (хостов) в заданном диапазоне. При желании можете погуглить , чтобы разобраться в этой теме более глубоко и детально. Мы же идем дальше.

Теперь переходим в раздел « Port Mapping « и в строке « WAN Connection « выбираем то соединение, на котором только что настраивали VPN-подключение. После этого галочками отмечаем порты, которые будут им пользоваться в дальнейшем:

То есть смотрите, если компьютер, который будет использовать VPN, подключен в первый порт роутера (LAN 1), значит, следует активировать соответствующий пункт в этом разделе.

Как видно на картинке выше, таким образом, можно даже беспроводную раздачу организовать. После того как указали нужную конфигурацию, не забываем сохранять настройки кнопкой « Submit « .

Следующий шаг нужно сделать тем пользователям, у которых VPN-модем будет подключен к общей , в которой уже имеются другие модемы и роутеры. Например, те, которые предоставляют обычный доступ в интернет.

В таком случае необходимо сменить стандартный IP-адрес настраиваемого нами устройства, чтобы не произошло конфликта адресов. Делается это на вкладке « LAN-DHCP Server « :

1. LAN IP Address: любой свободный в рабочем диапазоне;
2. Default Gateway: IP-адрес роутера раздающего интернет.

Заметьте, второй пункт стоит настраивать лишь в том случае, если вы хотите использовать роутер с VPN еще и в качестве свитча, подключая к нему другие компы локальной сети, тем самым давая им доступ в интернет.

Ну что же, друзья, потихоньку мы подбираемся к финалу. Осталось дело за малым. Дополнительно рекомендуется зайти в подраздел « Security-Firewall « и установить значение параметра « Firewall Level « в значение « Low « . Картинка ниже в помощь:

Вот и все, настройка VPN на роутере ZTE ZXHN H208N завершена в полном объеме . Осталось только перезагрузить аппарат нажатием кнопки на задней панели для принятия всех изменений. Но тем не менее рано расслабляться, нужно еще должным образом настроить сетевую карту на ПК. Об этом поговорим в .

Считаю, что это самое правильное решение, поскольку при одновременно присутствии в локалке двух и более модемов, работающих в разных режимах, например, « Bridge « и « Router « , на бридже, скорее всего, выбьет ADSL-порт (погаснет лампочка на модеме) и возможно появление в сети избыточного мусорного трафика, который может и всю сеть положить.

А напоследок, друзья, хочу предложить вашему вниманию развлекательное видео, за просмотром которого можно немножко расслабиться и разгрузить голову от только что полученных знаний.

Сегодня мы рассмотрим новинку на рынке SOHO маршрутизаторов — 3Com OfficeConnect Cable/DSL Secure Gateway (модель 3CR856-95).

У большинства маршрутизаторов есть свои плюсы и минусы, причем главными минусами являются не совсем корректные реализации файрвола. Посмотрим, как с этим обстоят дела у интернет шлюза от 3Com, ведь в пресс-релизе маршрутизатора, компания придает реализации защиты особое значение — устройство может распознавать атаки и попытки проникновения благодаря встроенным его в файрвол специальным шаблонам. Кроме того, в маршрутизатор встроены богатые возможности по созданию VPN соединений.

В комплект поставки 3Com OfficeConnect Cable/DSL Secure Gateway входят:

• Краткий гид по быстрой установке и настройке устройства (на английском).
• Полная документация по устройству, его WEB-интерфейсу и утилите, поставляемым в комплекте.
• Компакт диск с электронными копиями документации (на английском) и утилитой, помогающей обнаружить устройства 3Com в локальной сети.
• Блок питания.
• Пластиковое устройство для установки нескольких коммутаторов в стойку.

На последнем пункте остановлюсь подробнее: при помощи прилагаемой пластиковой скобы несколько устройств можно установить друг над другом в «в стойку». Скоба защелкивается в специальных отверстиях с обоих боков маршрутизатора и надежно скрепляет несколько устройств между собой.

3Com Internet Cable/DSL Secure Gateway собран в пластиковом корпусе традиционного для 3Com белого цвета со скругленными углами. Нижняя пластина корпуса, на котором и крепится плата—металлическая. На передней панели маршрутизатора расположены 5 двухцветных индикаторов портов (4 — LAN порты и 1 — WAN), мерцанием сигнализирующих о передачи данных, а оранжевым и зеленым цветом — скорости соединения (10/100 Мбит соответственно). Индикация режима дуплекса отсутствует. Еще один светодиод «Power» зеленым цветом сообщает о наличии питания, а индикатор «Alert», выполненный в виде восклицательного знака, в зависимости от ситуации может означать несколько разных ситуаций.

• Начальная загрузка и самотестирование устройства;
• Готовность к аппаратному сбросу;
• Неисправность микропрошивки или аппаратный сбой;
• Попытка атаки/проникновения извне.

В задней части маршрутизатора расположен разъем питания и пять 10/100 Мбит Ethernet портов, каждый из которых обладает свойством автоопределения типа кабеля (normal/crossover). Вентиляционные отверстия расположены как на задней, так и на боковых стенках устройства.

Снизу расположены четыре резиновые ножки, а так же конструкция для возможности повесить устройство на вертикальную поверхность. Как уже упоминалось, нижняя пластина из металла, поэтому случайно сорвать закрепленный на стене маршрутизатор вряд ли получится.

Спецификации устройства

• Процессор — Broadcom BCM6350, частота — 225 МГц;
• 16 МБ SDRAM ОЗУ,
  16 МБ Flash с возможностью локального обновления прошивки через WEB-интерфейс или с помощью утилиты;
• LAN интерфейсы (внутренние):
  встроенный FastEthernet коммутатор на четыре 10/100 Мбит порта с автоматическим определением прямого и кросс подключений,
• один 10/100Мбит WAN порт (внешний) с автоопределением прямого и кросс подключений;
• технология доступа в Интернет — NAT с возможностью перенаправления портов внутрь LAN и одного DMZ хоста,
• автоматический пропуск VPN клиентских протоколов IPSec (1 pass-through канал), PPTP (8 pass-through каналов) сквозь NAT;
• возможность создания (терминирования) до 30 IPSec туннелей (но во избежании потерь производительности рекомендуется создавать не более 10 туннелей);
• (!) возможность работы в качестве сервера IPSec-туннеля;
• максимальная производительность между LAN-WAN сегментами без использования шифрования — 21Мбит/сек;
• производительность при использовании PPTP туннелей — 6Mbps;
  при использовании IPSec туннелей, DES шифрование — 10Mbps (с аппаратным ускорением);
  при использовании IPSec туннелей, 3DES шифрование — 8Mbps (с аппаратным ускорением);
• операционная система — Linux;
• встроенный DHCP сервер с возможностью привязки IP адресов к MAC;
• встроенный файрвол без возможности привязки правил ко времени суток.
• управление через WEB-интерфейс;
• обслуживание до 253 компьютеров из локальной сети;
• возможность бекапа (сохранения) и загрузки конфигурации, конфигурация хранится в текстовых файлах;
• возможность обновлять прошивку устройства;
• размеры — 225 мм × 29 мм × 136 мм;
• вес — 535 г;
• потребляемая мощность — 6.5 Вт.

Из спецификаций видно, что к устройству невозможно подключить аналоговый модем и тем самым организовать резервный канал связи в случае падения основного. Понятно, что аналоговые модемы постепенно вымирают, но в России они по-прежнему остаются актуальными и отсутствие подобной возможности в маршрутизаторе не может не огорчать.

Вид изнутри

Я не смог отыскать спецификации (по крайней мере, подробные) на большинство микросхем, видных на плате. Broadcom BCM5325 является 10/100Мбит пятипортовым Ethernet-коммутатором со встроенным контроллером доступа к среде и автоопределением полярности на каждом порту. Не ясно, почему в маршрутизаторе распаяны лишь четыре LAN-порта из пяти возможных.

По микропроцессору Broadcom BCM6350 информации вообще найдено не было, кроме того, что он является «xDSL communication processor» и работает на частоте 225 МГц. Судя по всему, в него встроен 10/100 Мбит Ethernet контроллер с автоопределением полярности.

Так же на плате распаяны две 8 мегабайтные микросхемы 32-бит Flash памяти (AM29DL) и две микросхемы оперативной памяти, судя по сообщениям веб-интерфейса, тоже емкостью 8 мегабайт каждая.

Настройка и возможности устройства

Все настройки устройства производятся с WEB интерфейса. Последний достаточно легок в освоении и даже можно сказать «интуитивно понятен». Об этом было написано и в пресс-релизе по этому маршрутизатору, что сначала вызвало добрую улыбку — кто же по-другому напишет — но после знакомства с этим WEB интерфейсом, я полностью согласен — реализация интерфейса очень удачна.

К тому же он обладает встроенной помощью практически по всем пунктам настроек.

Для доступа к системе конфигурирования, достаточно набрать в браузере адрес устройства и ввести пароль. По истечении некоторого времени (несколько минут), во время которого к интерфейсу не происходит обращений, доступ устаревает, и пароль придется вводить заново. Это правильно, хотя иногда и утомляет.

Настроить устройство можно с помощью встроенного визарда-настроек (только основные параметры) или вручную. Я рассмотрю последний вариант.

В секции настроек локальной сети можно задать IP адреса интерфейса, включить и сконфигурировать DHCP сервер, а так же осуществить привязку IP адресов клиентов к их MAC адресам. Кстати говоря, излишняя интеллектуальность интерфейса иногда мешает — на скриншоте видно, что нельзя задать не валидные, с точки зрения стандарта, MAC адреса.

В секции «Internet Settings» возможно настроить адреса, DNS-сервера, пароли для WAN интерфейса, а так же выбрать его тип — фиксированный IP адрес, динамический (DHCP), PPPoE или PPTP. При использовании динамического IP адреса, возможно вручную прописать нужный MAC адрес на WAN интерфейсе (или использовать MAC по умолчанию).

В секции настроек режимов NAT возможно задание стандартного NAT — все LAN адреса транслируются в один внешний WAN адрес. Или режим трансляции «один-к-одному», в нем диапазон внутренних (локальных) адресов транслируется в такой же диапазон адресов внешних, если они Вам выданы провайдером.

В секции настроек брандмауэра возможны стандартные режимы задания виртуальных серверов, т.е. перенаправления запросов с заданных внешних портов внутрь локальной сети. А так же задание DMZ хоста — запросы на все остальные порты, явно не указанные ранее, будут либо блокироваться, либо отправляться на DMZ (незащищенный) хост.

Секция «PC Privileges» отвечает за контроль используемых портов назначения клиентами. Он довольно гибок, но имеет мало возможностей — можно определять «для всех», «для всех оставшихся» или для отдельных машин. Из минусов отмечу, что правило можно построить лишь на основе IP адреса отправителя и порта назначения. Возможности определения правил для IP адресов назначения отсутствует, так же как и задание действий правил по времени.

Зато в маршрутизаторе присутствует возможность настройки работоспособности специальных приложений, протоколы которых требуют создание дополнительного входящего соединения извне (из Интернет) для своей работы. К примеру, такими приложениями являются сервер FTP, работающий в активном режиме, Netmeeting и т.д.

Так же можно включить (по умолчанию отключенную) возможность ICMP ping-а устройства из Интернет, а так же отключить файрвол.

Переходим к самой интересной фиче данного маршрутизатора — настройка VPN. В отличие от других маршрутизаторов, 3Com OfficeConnect Cable/DSL Secure Gateway может не только пропускать (pass-through) через себя VPN-туннели протоколов IPSec, L2TP и PPTP, но и является оконечной их точкой, в том числе для протокола IPSec(!), другими словами, выступать в роли IPSec сервера (о самом протоколе IPSec было ранее на нашем сайте).

К сожалению, устройство не позволяет одновременно выступать в роли сервера конкретного протокола, а так же пропускать его сквозь себя. Можно выбрать лишь одно из двух. Эту ситуацию можно обойти, если в качестве pass-through один из предложенных протоколов, а для VPN сервера — использовать другой.

Невелико и количество пропускаемых сквозь маршрутизатор pass-through сессий. Для PPTP число сессий ограничено восьмью, а для IPSec — единицей. Зато устройство может терминировать (служить сервером) до 30 IPSec туннелей. Правда компания не рекомендует использовать более 10 туннелей, так как, несмотря на то, что работа с IPSec аппаратно ускоренная, производительности устройства начинает не хватать при их большем количестве.

Но в любом случае, возможность работы в качестве VPN сервера перевешивают все — такими возможностями обладают лишь небольшое количество маршрутизаторов класса SOHO, представленных на российском рынке.

Предвосхищая вопрос «а зачем вообще нужен этот VPN сервер», отвечу. Это позволяет

• не беспокоится о создании отдельного VPN сервера (если конечно ограничение на количество сессий достаточно для организации);
• создавать полностью закрытые каналы связи (туннели) между двумя точками VPN сети, другими словами трафик в туннеле будет зашифрован и его невозможно будет прочитать и вытащить оттуда адреса, явки, пароли и другую ценную информацию; подобные туннели нужны при использовании небезопасных каналов связи, того же Интернет;
• подключаться к локальной сети пользователям извне, например человеку, находящемуся в командировке в другой стране или из дома, не беспокоясь о риске перехвата трафика;
• при помощи IPSec туннеля можно соединить два офиса между собой, пользователи из этих офисов будут видеть ресурсы обоих сетей, но никто извне ничего из этого туннеля извлечь не сможет.

Конечно, любые ключи и пароли можно расшифровать и подобрать, но в данном случае используются достаточно криптостойкие алгоритмы (в случае использования 3DES), расшифровать которые будет сильно затруднительно, если вообще возможно. Есть, конечно, другие способы (не слишком легкие) вскрытия реализаций этих алгоритмов, но на них я останавливаться не буду. Надо помнить другое. Не стоит надеяться, что если мы соединили два офиса между собой шифрованным туннелем, то о других мерах безопасности можно забыть совсем. Простой пример: допустим, есть два офиса (А и B), один из которых защищен хорошим файрволом и оба офиса соединены IPSec туннелем между собой. Администратор офиса A полностью уверен в безопасности — действительно, файрвол и другие системы полностью блокируют попытки проникновения извне, а шифрованный туннель, соединяющий сеть с другим офисом, невозможно прослушать. Но хакеру, задавшемуся целью проникнуть в офис A, достаточно взломать (допустим) более слабую защиту офиса B и уже из него (как бы изнутри), используя супер-защищенный туннель безнаказанно проникнуть в сети офиса A. Именно поэтому, любые инструменты нужно использовать осторожно и пытаться предусмотреть всевозможные уязвимости.

Вернемся к настройкам маршрутизатора.

При задании записей удаленных пользователей, можно задать пароли при использовании PPTP и L2TP или Shared Key, а так же тип шифрования (DES или 3DES) в случае использовании IPSec.

При конфигурировании туннеля, возможно использование лишь IPSec протокола. В этом случае нужно указать все то, что требуется для поднятия и функционирования туннеля. А на закладке «VPN Connections» можно видеть уже созданные туннели и RAS connections, а так же включать/отключать их.

Так же можно задать дополнительные таблицы роутинга для сетей за IPSec туннелем.

Разделе «System Tools» позволяет перезагрузить роутер, а так же указать сдвиг локального времени относительно GMT. Да, внутри устройства присутствуют часы, которые используются видимо только для формирования записей в системные логи. Синхронизация времени происходит с жестко заданными NTP-серверами через Интернет. Остается неясным, почему отсутствует возможность задать собственный NTP сервер или хотя бы вручную установить время на системных часах.

В этом же разделе можно создать бекап конфигурации и восстановить конфигурацию из сохраненного образа. Тут же видна кнопка сброса настроек на заводские. Интересно, что сброс настроек в default режим можно сделать либо здесь, либо при помощи не совсем очевидной операции, детально описанной в системе помощи (выключить устройство, соединить одним кабелем LAN и WAN порты и после включения дождаться, пока индикатор «начнет медленно мигать», в этот момент нужно опять обесточить устройство). Неясно, что помешало сделать кнопку «Reset to Factory Default», на корпусе устройства, как сделано в большинстве устройств подобного класса.

Кстати говоря, конфигурация сохраняется в виде текстового файла, — его можно отредактировать и вручную.

Апгрейд прошивки так же производится только через WEB-интерфейс, для этого достаточно выбрать файл с прошивкой на локальном компьютере.

В последнем разделе доступно к просмотру текущее состояние маршрутизатора (довольно подробное).

В этом же разделе присутствует замечательная возможность просмотра логов, а так же выбора способа их хранения—внутри устройства и/или на внешнем сервере.

Тестирование производительности.

Методика тестирования была описана в .

Результаты Iperf.
Программа генерирует однонаправленный TCP-трафик, поэтому смоделированы все три возможные ситуации.

Это очень высокие показатели, особенно по сравнению с маршрутизаторами, рассмотренными в предыдущих статьях. Скорость хоть и падает в два раза при полнодуплексном режиме передачи, но все равно остается очень высокой — более 10 Мбит. Этого с лихвой хватит для большинства организаций.

Результаты netPIPE.
Программа генерирует трафик методом «Ping Pong». Поэтому скорость передачи данных будет одинакова вне зависимости от того, с какой стороны находится клиент netPIPE, а с какой — сервер, причем выводится суммарная скорость в дуплексном режиме.

Максимальная пиковая скорость передачи — 21,01 Мбит/сек

Картина не изменилась — показатели скорости по-прежнему высоки.

Обращаю внимание, что тестирование скорости при включении шифрования трафика не производилось. Скорее всего, скорость передачи данных в этом режиме будет меньше, так как на реализацию шифрования съедается много ресурсов центрального процессора маршрутизатора.

Тестирование безопасности.

Для этого теста был использован распространяемый сканер сетевой безопасности Nessus версии 2.0.7. У маршрутизатора восстанавливались настройки по умолчанию. Сканировался внешний WAN-порт всеми доступными плагинами из списка.

Ни одной уязвимости не было найдено. Оказывается, маршрутизатор поступает очень хитро — через непродолжительное время после начала сканирования он блокирует доступ (режет пакеты) сканирующего хоста к себе (и в локальную сеть), при этом на две секунды загорается индикатор «Alert». Довольно универсальный и удачный прием защиты. Удалить из памяти устройства блокировку сканирующего хоста можно перезагрузкой маршрутизатора. Возможно, IP адрес и сам удаляется из памяти через некоторое время, но про это в документации ничего не сказано. Кстати, блокировка хоста происходит даже при простом сканировании портов маршрутизатора (например, при помощи Nmap).

Из минусов, замеченных во время сканирования маршрутизатора на безопасность, отмечу полное замалчивание о блокировании IP адресов сканирующих хостов вообще и о наличии атаки в частности в логах устройства.

В итоге, уязвимостей найти не удалось (конечно, это не означает, что их нет совсем), по причине невозможности их отыскания имеющимися средствами. Замечу, что это первый маршрутизатор, который не вызвал нареканий по безопасности при тестировании в нашей лаборатории. По этому пункту 3Com OfficeConnect Cable/DSL Secure Gateway получает 9 балов из 10 (бал сняли за не информативность лог файлов).

Ради интереса, я отключил файрвол (через WEB интерфейс) и заново просканировал маршрутизатор Nessus-ом. В этот раз меня не заблокировали, но уязвимостей все равно найдено не было (отчет сканирования).

Выводы

3Com создала высокопроизводительной маршрутизатор с хорошей защитой и богатыми возможностями VPN соединений. Этот продукт — отличный выбор для обладателей очень быстрого канала в Интернет, а так же для тех, кому требуется создание защищенных соединений с внешними пользователями или для объединения разделенных офисных сетей. К сожалению, среди богатых возможностей, в устройство затесались и недостатки, которые могут придтись не по нраву некоторым пользователям.

• Высокая производительность;
• Многофункциональный NAT;
• Возможность работы в качестве оконечной точки VPN соединений;
• Возможность терминирования IPSec туннелей (работа в качестве IPSec сервера);
• Аппаратное ускорение IPSec шифрования;
• Грамотно реализованная защита файрволом от попыток проникновения извне;
• Возможность настройки работы специфических протоколов, требующих входящее соединение извне (например, Netmeeting);

Минусы

• Невозможно подключить аналоговый модем и тем самым организовать резервный канал связи;
• Отсутствие гибкой настройки фильтрации пакетов в файрволе (возможна привязка только к src-ip и dst-port);
• Нет возможности привязки правил файрвола по времени;
• Нет возможности задать статические таблицы роутинга (исключая туннельный режим), а так же отсутствует поддержка семейства протоколов динамического роутинга RIP;
• Отсутствие поддержки SNMP для удаленного мониторинга устройства;

Будем надеяться, что с выходом новых версий прошивки, большая часть вышеперечисленных минусов исчезнет, благо внутри стоит *nix-подобная ОС, которая должна уметь все вышеперечисленное (исключая конечно пункт про аналоговый модем — ведь интерфейс для него отсутствует физически).