Adsl и vpn на одном роутере

часть 1: общее описание, настройки, производительность, безопасность, доступность, выводы

В этом обзоре мы рассмотрим возможности ADSL-маршрутизатора D-Link DSL-G804V.

Содержание:

Общее описание
Спецификация
Настройки устройства
Тестирование производительности беспроводного сегмента
Тестирование производительности проводного сегмента
Тестирование безопасности
Доступность
Первые выводы
IPSec VPN-сервер
PPTP VPN-сервер
L2TP VPN-сервер
Шейпинг трафика
Выводы

Функциональные возможности устройства: маршрутизатор ADSL2/2+, беспроводная точка доступа IEEE 802.11g, IPSec, PPTP и L2TP VPN-сервер, 4-портовый коммутатор 10/100.

На устройстве расположены следующие индикаторы (слева направо):

Индикатор питания
Индикатор статуса
Индикатор состояния ADSL-соединения
Индикатор активности беспроводного соединения
по 2 индикатора активности на каждом из четырех LAN-портов (один — при связи на скорости 10 Мбит/с, второй — на 100 Мбит/с)
Индикатор активности PPP-соединения наличия почты

Сзади на устройстве расположены (слева направо):

Разъем r-SMA для подключения антенны
Порт WAN: RJ-11
Порт подключения консоли
4 LAN-порта
Кнопка Reset — сброс параметров
Разъем питания
Клавиша включения-выключения питания

Комплектация устройства:

сам роутер
всенаправленная антенна 2 dBi
диск с инструкцией на английском языке
2-хметровый патчкорд RJ-45
2-хметровых патчкорда RJ-11
Консольный провод для подключения к COM-порту (длина провода чуть менее двух метров)
Адаптер питания (длина провода чуть менее двух метров)

Вид изнутри:

Беспроводная связь выполнена в виде отдельной MiniPCI-плате на базе контроллера INPROCOMM IPN2220, но на момент написания обзора, сайт компании был недоступен. Трансивер устройства скрыт под экраном, поэтому выяснить его модель не удалось.

Коммутатор устройства выполнен на базе микросхемы IC+ IP175C (5-типортовый коммутатор с автоопределением на портах).

На плате установлено 16 Мбайт SDRAM-памяти (HYNIX HY57V283220T-7).

Некоторые микросхемы скрыты под платой беспроводной связи, закрепленной на основной плате устройства, поэтому более подробная информация о них отсутствует.

Спецификация:

корпус	пластиковый, допускается горизонтальная установка или подвес на стену
исполнение	Indoor
проводной сегмент
WAN	тип	ADSL (ITU Annex A)
количество портов	1
типы поддерживаемых соединений	PPPoE	да
PPPoA	да
Bridge mode	да
CLIP (IPoA)	да
Static IP	да
Dynamic IP (DHCP)	да
LAN	количество портов	4
auto MDI/MDI-X	да
ручное блокирование интерфейсов	нет
возможность задания размера MTU вручную	да, на WAN-интерфейсе
Беспроводной сегмент
антенна	количество	1
тип	одна внешняя дипольная, 2 dBi
возможность замены антенны/тип коннектора	есть/r-SMA
принудительное задание номера рабочей антенны	—
поддерживаемые стандарты и скорости	802.11b	CCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps)
802.11g	OFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
Регион/Кол-во каналов	Europe/13
расширения протокола 802.11g	нет
возможность ручного задания скорости	нет
выходная мощность	(максимальная?)	??
802.11b @11Mbit/s	??
802.11g @54Mbit/s	??
чувствительность приемника	802.11b @11Mbit/s	??
802.11g @54Mbit/s	??
работа с другой AP	поддержка WDS (мост)	нет
поддержка WDS + AP	нет
возможность работы в режиме клиента	нет
wireless repeater (повторитель)	нет
безопасность	блокировка широковещательного SSID	да
привязка к MAC адресам	да
WEP	64/128bit
WPA	нет
WPA-PSK (pre-shared key)	да, WPA(TKIP) и WPA2(AES)
802.1x (через Radius)	нет
дополнительные возможности с использованием Radius	нет
основные возможности
конфигурирование устройства и настройка клиентов	администрирование	WEB-интерфейс	да
WEB-интерфейс через SSL	нет
собственная утилита	нет
telnet	да
ssh	нет
COM-порт	да
SNMP	да
возможность сохранения и загрузки конфигурации	да
встроенный DHCP сервер	да
поддержка UPnP	да
метод организации доступа в Интернет	Network Address Translation (NAT-технология)	да
возможности NAT	one-to-many NAT (стандартный)	да
one-to-one NAT	да
возможность отключения NAT (работа в режиме роутера)	да
Встроенные VPN-сервера	IPSec	да
PPTP	да
L2TP	да
VPN pass through	IPSec	да
PPTP	да
PPPoE	нет
L2TP	да
Traffic shaping (ограничение трафика)	да
DNS	встроенный DNS-сервер (dns-relay)	да
поддержка динамического DNS	да, 11 заранее предопределенных серверов
внутренние часы	присутствуют
синхронизация часов	да, через любой указанный NTP-сервер
встроенные утилиты	ICMP ping	нет
traceroute	нет
resolving	нет
логирование событий	да, системные события, файрвол
логирование исполнения правил файрвола	да
способы хранения	внутри устройства	да
на внешнем Syslog сервере	нет
отправка на email	нет
SNMP	поддержка SNMP Read	да
поддержка SNMP Write	да
поддержка SNMP Traps	да
Роутинг
статический (задания записей вручную)	да
динамический роутинг	на WAN интерфейсе	возможность отключения	да
RIPv1	да
RIPv2	да
на LAN интерфейсе	возможность отключения	да
RIPv1	да
RIPv2	да
возможности VPN
сервер IPSec	типы аутентификации	pre shared key	да
сертификаты	нет
алгоритмы хеширования	SHA1	да
MD5	да
алгоритмы шифрования	DES	да
3DES	да
AES	да, AES128, AES192, AES256
сервер L2TP (over IPSec)	типы аутентификации	pre shared key	да
сертификаты	нет
алгоритмы хеширования	SHA1	да
MD5	да
алгоритмы шифрования	DES, 3DES, AES128, AES192, AES256
сервер PPTP	да
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)	да, но без возможности использования в правилах
наличие фильтров/файрвола	на LAN-WAN сегменте	да, с указанием направления
на WLAN-WAN сегменте	да, совмещен с LAN-WAN
на LAN-WLAN сегменте	нет
типы фильтров	с учетом SPI	нет
по MAC адресу	нет
по source IP адресу	да, в том числе по подсети
по destination IP адресу	да, в том числе по подсети
по протоколу	да, TCP/UDP/
по source порту	да, в том числе по диапазону
по destination порту	да, в том числе по диапазону
привязка ко времени	да
по URL-у	да
по домену	да
работа со службами списков URL для блокировки	нет
тип действия	allow	да
deny	да
log	нет
поддержка спец. приложений (netmeeting, quicktime etc)	да
виртуальные сервера	возможность создания	да
задания различных public/private портов для виртуального сервера	да
возможность задания DMZ	да
traffic shaping
типы шейпинга	ограничение общего исходящего трафика	да
ограничение общего входящего трафика	да
критерии задания правила для ограничений	src interface lan/wan	нет
dst interface lan/wan	нет
src ip/range	да
dst ip/range	да
протокол	any, tcp, udp, icmp, gre
src port	да, указывается диапазон
dst port	да, указывается диапазон
привязка ко времени	да
питание
тип БП	внешний, 12VDC, 1A
поддержка 802.1af (PoE)	нет
дополнительная информация
версия прошивки	1.00.02.dm3
размеры	180 × 141 × 30 мм
вес	332 г.

В спецификации на устройство также сказано, что оно имеет аппаратную поддержку шифрования 3DES.

Конфигурация:

Конфигурация устройства производится через WEB-интерфейс или по протоколу Telnet. Также возможна настройка через консольный порт.

Первоначальную конфигурацию устройства для удобства можно проводить с помощью мастера настройки через WEB-интерфейс. Конфигурация устройства по протоколу Telnet или через консольный порт — более сложная задача, поэтому в этом обзоре она будет рассмотрена только поверхностно.

Полный набор скриншотов устройства приведен здесь.

Полный список параметров SNMP приведен здесь.

Рассматриваемый маршрутизатор позволяет устанавливать до 8 виртуальных (то есть соединений с уникальными значениями пар параметров VPI/VCI) WAN-соединений. При этом на маршрутизаторе уже присутствует одно WAN-соединение, которое невозможно удалить (то есть одно WAN-соединение будет существовать в любом случае).

В настройках беспроводной связи возможно задание только режима (b/g), широковещательного SSID и номера канала. В настройках безопасности беспроводной связи возможен выбор только WEP, WPA-PSK и WPA2-PSK шифрования. Устройство не поддерживает аутентификацию через RADIUS-сервер и, следовательно, использование WPA и WPA2 (не-PSK) шифрования невозможно.

Настройки и возможности VPN-сервера и правил шейпинга трафика IP QoS будут рассмотрены в следующем обзоре, поэтому здесь они рассматриваться не будут.

При настройке виртуальных серверов, правил файрвола и некоторых других сервисов возможно использование расписания. Общее количество правил расписания ограничено 16-ю. При создании правила расписания задается день недели и интервал действия с точностью до 1 минуты.

Рассматриваемый роутер имеет возможность проверять почтовый ящик на наличие новых сообщений по протоколу POP3. В случае наличия новых сообщений, на роутере загорается сигнальная лампочка «PPP/Mail».

При включении возможности удаленного управления (Remote Access), разрешается доступ к WEB-интерфейсу и консольному интерфейсу устройства. Это достигается за счет создания 2-х виртуальных серверов, которые перенаправляют запросы, поступившие на WAN-интерфейс роутера, на адрес его интерфейса LAN (в данном случае адрес интерфейса LAN — 10.0.0.215).

Устройство также можно настраивать через консольный интерфейс или по протоколу Telnet. В обоих случаях интерфейс управления полностью идентичен.

Также возможен переход к «старому» консольному режиму («Old console access»). Это достигается использованием команды «console enable». После этого перехода интерфейс доступа несколько изменяется

Набрав команду «config», мы окажемся в наборе команд секции config

Для возврата в корень консоли служит команда «home»

Для выхода из консольного интерфейса «старого» типа, служит команда «exit».

Список команд и настроек устройства в консольном режиме очень велик, и их описание производиться не будет. С помощью консольных команд можно полностью настроить маршрутизатор без использования WEB-интерфейса.

Тестирование производительности:

Тестирование беспроводного сегмента:

Для тестирования беспроводного сегмента, использовался беспроводной Cardbus-адаптер D-Link DWL-G650, который рассматривался нами в одном из прошлых обзоров.

Тест «Cardbus-адаптер D-Link DWL-G650 — точка доступа D-Link DSL-G804V» — трафик гонялся между ноутбуком c беспроводным Cardbus-адаптером D-Link DWL-G650 и компьютером LAN-сегмента через точку доступа на ADSL — роутере D-Link DSL-G804V. Тестирование проводилось в двух режимах: IEEE 802.11g и IEEE 802.11b. Скорость соединения устанавливалась автоматически. Тест проводился с помощью Chariot NetIQ. Расстояние между точками не превышало 5 метров.

Условные обозначения:

Cardbus — Cardbus — адаптер D-Link DWL-G650
AP — точка доступа на роутере D-Link DSL-G804V
fdx — fullduplex — трафик гоняется в обоих направлениях

Максимальная скорость: 23,61 Мбит/с в режиме IEEE 802.11g, 5,98 Мбит/с — в режиме IEEE 802.11b. В обоих режимах скорости достаточно высокие.

Тестирование проводного сегмента — тестирование проводилось по этой методике.

Для тестирования использовался DSLAM D-Link DAS-3224, предоставленный российским представительством компании D-Link.

Тест LAN-WAN

Тестирование проводилось при использовании модуляции сигнала: ADSL (G.dmt), ADSL2 и ADSL2+ в режиме Fast (то есть значение параметра Interleave delay равнялось нулю). Interleave Delay — это время, указанное в миллисекундах, которое влияет на размер передаваемого за раз блока данных. Если это время установлено, например, в 10 мс — в единый блок собираются данные пришедшие за 10 мс. Задержка используется для коррекции ошибок передачи с использованием алгоритма Reed-Solomon (метод Рида-Соломона) — этот алгоритм более эффективен при использовании больших блоков данных. Увеличение времени задержки позволяет увеличить размер единого блока данных как раз для более эффективной работы алгоритма Reed-Solomon. Увеличение времени задержки оправдывает себя при низком качестве телефонной линии и ее большой протяженности. На качественной телефонной линии небольшой длины (как раз как при проведении наших тестов) выгоднее минимизировать задержки.

Максимальная скорость прямого канала: 6,47 Мбит/с — в режиме ADSL G.DMT, 8,21 Мбит/с — в режиме ADSL2, и 14,37 Мбит/с — в ADSL2+ режиме. В режиме G.DMT и ADSL2 наблюдаются вполне нормальные скорости. В режиме ADSL2+ — очень низкая скорость. Обычно в этом режиме удается достичь скорости более чем в 17 Мбит/с.

Теперь посмотрим, как поведет себя трафик при уменьшении размера пакетов

При уменьшении размеров пакетов, скорости в значительной мере снижается. Однако скорости при уменьшении размера пакетов, оказались достаточно высокими (по сравнению с аналогичными скоростями других ADSL-маршрутизаторов).

Безопасность:

Во время тестирование были включены оба вида удаленного управления (WEB и Telnet)

Результаты Nessus’а:

сокращенный
полный

Nessus не рекомендует использовать протокол Telnet, так как при его использовании данные (в том числе пароли) передаются в незашифрованном виде. В остальном, безопасность устройства находится на высоком уровне.

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство : $153(5)

Выводы:

Рассматриваемое устройство обладает действительно впечатляющим набором возможностей. С точки зрения безопасности, не рекомендуется использовать для доступа к консольному интерфейсу протокол Telnet, в остальном — безопасность устройства на высоком уровне. Устройство обладает достаточно высокой производительностью беспроводной связи. Производительность проводного сегмента в режимах ADSL и ADSL2 показывает нормальные результаты, но в режиме ADSL2+ — скорость сравнительно низкая.

Для организации безопасности беспроводной связи используется WEP, WPA-PSK или WPA2-PSK — шифрование. Использование WPA-шифрования с аутентификацией через RADIUS-сервер не предусмотрено.

Устройство также имеет аппаратный ускоритель 3DES-шифрования, но результат его работы можно будет увидеть только в следующем обзоре, где будет тестироваться VPN-сервер устройства.

Плюсы:

Высокая безопасность устройства
Наличие в устройстве трех VPN-серверов (IPSec, PPTP, L2TP)
Возможность шейпинга трафика
Аппаратное ускорение 3DES-шифрования
Поддержка WPA2-PSK шифрования
Возможность использования до восьми одновременных ATM-соединений

Минусы:

Возможность использования WPA и WPA2 шифрования только с аутентификацией по предварительному ключу (аутентификация с использованием RADIUS-сервера не предусмотрено)
Сравнительно низкая производительность проводного сегмента при использовании модуляции ADSL2+
Отсутствие сплиттера в комплекте с устройством
Невозможность использования отдельного Syslog-сервера для хранения логов

Оборудование предоставлено российским представительством компании D-Link
DSLAM предоставлен российским представительством компании D-Link

Источник

Автор	Сообщение
	Заголовок сообщения: DSL-2640U + VPN клиент Добавлено: Вт янв 13, 2009 09:40
Зарегистрирован: Вт янв 13, 2009 09:29 Сообщений: 4	Здравствуйте, из описания DSL-2640U/BRU/D http://dlink.ru/ru/products/3/1170_b.html Код: VPN Multiple IPSec/PPTP/L2TP pass-through PPTP-клиент Хотелось бы узнать, как настроить Беспроводной маршрутизатор ADSL2+ DSL-2640U на соединение с VPN-сервером, имеется ip сервера, логин и пароль доступа (VPN сервер выполняет фунцию раздачи «внешнего интернета», без подключения к VPN-серверу доступна только городская сеть)
Вернуться наверх

Davydov Denis	Заголовок сообщения: Добавлено: Вт янв 13, 2009 11:11
Зарегистрирован: Пт апр 01, 2005 12:35 Сообщений: 8492 Откуда: Москва	Здравствуйте, Зайдите в раздел «Advanced Setup->PPTP». Данный раздел содержит следующие настройки: Enable: опция включает использование PPTP-клиента Tunnel Name: здесь необходимо задать произвольное название для VPN-туннеля PPTP Server IP Address: IP-адрес PPTP-сервера User Name: имя пользователя для подключения к PPTP-серверу Password: пароль для подключения к PPTP-серверу Default Route: включение данной опции назначает PPTP-соединение шлюзом по умолчанию, отключение данной опции позволяет указать адрес сети, запросы к которой будут проходить через PPTP-туннель. Peer IP Address: адрес удаленной подсети Peer Subnet Mask: маска удаленной подсети Для примера: Enable: отметьте «галочкой» Tunnel Name: tunnel1 PPTP Server IP Address: 172.16.0.1 User Name: user1 Password: password Default Route: отметьте «галочкой» После этого: Save/Apply После этого: Management > Save/Reboot > Save/Reboot Если возникнут проблемы с настройкой — обращайтесь. _________________ С уважением, Давыдов Денис.
Вернуться наверх

grimally2	Заголовок сообщения: Добавлено: Вт янв 13, 2009 13:56
Зарегистрирован: Вт янв 13, 2009 09:29 Сообщений: 4	Davydov Denis писал(а): Здравствуйте, Зайдите в раздел «Advanced Setup->PPTP». … в Advanced Setup я не нашел раздел PPTP
Вернуться наверх

Davydov Denis	Заголовок сообщения: Добавлено: Вт янв 13, 2009 16:52
Зарегистрирован: Пт апр 01, 2005 12:35 Сообщений: 8492 Откуда: Москва	Здравствуйте, Судя по интерфейсу, у Вас самый первый ревижн DSL-2640U/BRU. Данное устройство отличается от U/BRU/D линейки тем, что не поддерживает PPTP клиента. Новых прошивок для данного устройства не будет. Единственный выход — настраивать PPTP соединение средствами операционной системы компьютера. _________________ С уважением, Давыдов Денис.
Вернуться наверх

grimally2	Заголовок сообщения: Добавлено: Ср янв 14, 2009 07:11
Зарегистрирован: Вт янв 13, 2009 09:29 Сообщений: 4	Davydov Denis писал(а): Здравствуйте, Судя по интерфейсу, у Вас самый первый ревижн DSL-2640U/BRU. Данное устройство отличается от U/BRU/D линейки тем, что не поддерживает PPTP клиента. Новых прошивок для данного устройства не будет. Единственный выход — настраивать PPTP соединение средствами операционной системы компьютера. Печально, задумываюсь о смене устройства
Вернуться наверх

T2640	Заголовок сообщения: Добавлено: Сб мар 28, 2009 19:12
Зарегистрирован: Вс мар 22, 2009 11:39 Сообщений: 5	Имеется 2640U/BRU/C FW 1.12 Я правильно понимаю, что есть возможность использования его в качестве VPN роутера, и как использовать L2TP, а не PPTP? Т.к. стрим утомил своей нерасторопностью, то было принято решение перехода на корбину, соответственно не хотелось бы покупать VPN роутер отдельно, если есть возможность задействовать этот И в таком случае в роли WAN будет выступать LAN1?
Вернуться наверх

Zergalius	Заголовок сообщения: Добавлено: Вт мар 31, 2009 06:23
Зарегистрирован: Пн ноя 29, 2004 10:06 Сообщений: 9 Откуда: Нефтекамск	Модем тотже. DSL-2640U/BRU/C 1) Можно использовать в качестве VPN-роутера с подключением по LAN? 2) Можно сменить мак-адрес? Чтобы не навещать провайдера с просьбой отмены контроля мак-адреса? _________________ Не трогай то, что работает!
Вернуться наверх

T2640	Заголовок сообщения: Добавлено: Ср апр 01, 2009 19:45
Зарегистрирован: Вс мар 22, 2009 11:39 Сообщений: 5	Zergalius писал(а): Модем тотже. DSL-2640U/BRU/C 1) Можно использовать в качестве VPN-роутера с подключением по LAN? 2) Можно сменить мак-адрес? Чтобы не навещать провайдера с просьбой отмены контроля мак-адреса? На первый вопрос на сколько я выяснил, ответ отрицательный.
Вернуться наверх

ASDRS	Заголовок сообщения: Добавлено: Сб июл 11, 2009 08:55
Зарегистрирован: Сб июл 11, 2009 08:39 Сообщений: 1 Откуда: Астрахань	Здраствуйте у меня такая проблема в г Астрахани есть провайдер астрахань пейдж у него ADSL использую роутер dsl2640u подключение по VPN настроить хочу роутером в нем я нашел как прописать настройки VPN но у провайдера идеть привязка по IP . Вопрос куда надо прописать IP и основной шлюз.
Вернуться наверх

ais-studio	Заголовок сообщения: vpn Добавлено: Пт апр 16, 2010 08:04
Зарегистрирован: Чт апр 15, 2010 17:36 Сообщений: 2	Измучался с настройками. Есть сетка с выделенным ip и роутером 2640U. Внутри сети серваков нет все на хп Необходимо настроить подключение с удаленного компа без выделенного айпи, к удаленной сети. (типа vpn) Возможно ли реализовать такое на данном роутере? Если возможно то подскажите плиз как? _________________ верстка, дизайн, сайт, полиграфия. ais-studio.ru
Вернуться наверх

Источник

VPN через обычный ADSL ☑ 0

Luhtas

08.07.15

✎