• nav


7 сетевых функций роутеров Keenetic Giga (KN-1010) и Keenetic Omni (KN-1410) для малого офиса

Если работа вашего бизнеса тесно связана с интернетом, вам нужна VPN-сеть между офисами, нужно настроить публичную Wi-Fi в соответствии с требованиями ФЗ, а IT-администратор предлагает купить Cisco, не торопитесь — сегодня мы рассмотрим 7 важнейших и полезных сетевых функций, которые можно получить в интернет-роутерах, продающихся в розницу от 2350 рублей.

Keenetic-и

Конечно, речь идет далеко не о первом попавшемся интернет-маршрутизаторе, который дал вам в аренду провайдер. Мы поговорим о серии Keenetic (бывший Zyxel, а ныне — отдельная компания). Как и многие современные производители сетевых устройств, Keenetic вкладывает силы в разработку собственного софта (читай — прошивки), добавляя те функции, про которые домашний пользователь может и не думать, но при подключении небольшого магазинчика или интернет-кафе, их наличие — настоящая находка для сисадмина, ведь здесь все настраивается в простом и понятном Web-интерфейсе, и в отличии от столь популярных Mikrotik-ов, вам никогда не придется вводить какие-то команды или вручную править конфиги: зашли в Web-интерфейс, нажали кнопку — вот и вся настройка.

1. Два (три, четыре) интернет-канала с автоматическим переключением

Вообще, Keenetic поддерживает больше двух интернет-провайдеров, если есть желание — вы можете настроить их хоть четыре штуки, и роутер будет переключаться между ними, если у провайдера упала связь или просто закончились деньги на балансе. Заметьте — физический обрыв провода совсем не обязателен для того, чтобы роутер понял, что интернета нет и включил резерв.

Два провайдера

Настройка двух интернет-провайдеров производится инстинктивно: в разделе «проводное подключение» выбираете основного провайдера, а затем добавляете еще одного по принципу «один провайдер на один сетевой порт». Новый провайдер по умолчанию считается резервным, а чтобы отслеживать работу основного канала, используется метод доступности портов в таких ресурсах, как Facebook или Google. Но для собственной сети куда важнее, чтобы были доступны свои сервисы в удаленных филиалах, потому что не редка ситуация, когда Google и Facebook работает, а "Хабаровск" — нет. Поэтому выбираем метод проверки связи — обычный Ping (ICMP-эхо) на наш IP-адрес. Если пинг не проходит в течение 10 секунд (время и частота настраиваются), роутер считает, что провайдер сломался, и переключается на резервный.

По собственному опыту могу сказать следующее: если ваша работа связана с интернетом, то два провайдера — это Must Have! Особенно, если они какие-то местечковые и непонятные, ведь обрыв связи на 3-4 дня — это, к сожалению, обычное дело.

2. VPN-сервер L2TP/IPSec

Еще 6-7 лет назад VPN-шлюз со скоростью 30 Мбит/с представлял собой шумную железяку в стальном корпусе для монтирования в стойку и продавался по цене около 800$. Сегодня 100-мегабитный Keenetic Omni всего за 40$ позволяет создавать VPN-тоннели PPTP, L2TP/IPsec, IPSec, OpenVPN и даже SSTP на скорости до 30 Мбит/с, а более дорогая модель Keenetic GIga обещает в IPSec до 300 Мбит/с. Давайте это проверим и протестируем скорость VPN-соединения, создаваемого этими роутерами.

В настройке PPTP на кинетиках есть нюансы, почитайте специально написанную для этого инструкцию. Но я рекомендую вам не использовать PPTP, а просто настроить L2TP/IPSec — более надежный протокол, и все работает из коробки.

Скорость VPN

Как видно, L2TP/IPSec даже на младшем Keenetic Omni выдает почти 30 Мбит/с, то есть действительно аппаратно ускоряется, как заявляют в Keenetic, хотя при этом загрузка процессора роутера составляет 100% и Web-интерфейс еле открывается. Много это или мало? Для работы 2-3 сотрудников с электронными документами и для мониторинга сетевых устройств, этого более чем достаточно, но для коллектива из 10-15 человек уже будет мало.

Совсем другое дело — Keenetic Giga, чей двухъядерный процессор аппаратно ускоряет чистый IPsec до теоретических 400 Мбит/с. Здесь скорости будет достаточно для того, чтобы работать по RDP в разрешении 1920x1080, подключать удаленные базы данных, синхронизировать резервные копии небольших серверов и перекачивать FullHD медиафайлы или 4K со сжатием. Говоря проще, скорее вы упретесь в медленный тариф интернет-провайдера, чем в возможности VPN-сервера Keenetic Giga. Да и загрузка процессора у Keenetic Giga даже в этом тесте не превышает 48%, так что все остальные сервисы продолжают работать как часы.

Помимо PPTP и L2TP/IPsec, во всех кинетиках есть чистый (site-to-site) IPsec, виртуальный сервер IPsec Xauth PSK (нативно поддерживается в iOS и Android), и даже OpenVPN. Кроме того, нас заинтересовал сравнительно редкий и свежий вариант SSTP, но прежде, чем о нем рассказывать, рассмотрим фирменный облачный сервис KeenDNS.

3. Подключение к web-устройствам за серым IP-адресом через облако KeenDNS

Ваш провайдер выдает вам «серый» IP-адрес вида 10.9.2.x и вы никак не можете со смартфона во время командировки зайти на сервер видеонаблюдения и посмотреть, закрыта ли дверь в офисе? Для этих целей Keenetic сделала свое облако KeenDNS, позволяющее открывать все web-интерфейсы ваших устройств, не настраивая NAT-ы, не думая о том, почему у вас серый IP, и даже не сталкиваясь с нехваткой портов, если у вас несколько устройств имеют доступ по одному 443-му порту (настроить NAT в таких случаях сможет не каждый). Все очень просто: мы включаем в роутере KeenDNS, и нам выдается адрес вида hwp.keenetic.pro. Всё! Никаких регистраций и подтверждений по E-mail! Никаких социальных профилей и лицензионных соглашений! Вбиваем hwp.keenetic.pro в адресную строку и получаем доступ к панели управления самим роутером — начало положено!

Дальше, каждое из зарегистрированных домашних устройств мы можем вынести в это же облако со своим адресом вида nas.hwp.keenetic.pro, и вводя этот адрес в строке браузера, мы будем сразу попадать на web-интерфейс нашего девайса.

Все это работает по защищенному HTTPS протоколу с автоматическим получением и обновлением сертификата через сервис Let's Encrypt (не надо никому платить за сертификат или заморачиваться с самоподписанными). Правда, если ваше устройство в домашней сети доступно только по 80-му порту и адресу http:// без «S» на конце, то и работа с ним через облако KeenDNS будет происходить по протоколу HTTP, что небезопасно.

Мы протестировали работу KeenDNS, выделив роутеру серый адрес домашней подсети и подключив к нему наш самосборный NAS по HTTP-соединению. Как вы можете видеть на скриншотах, все заработало как надо. Более того, второй, третий и четвертый NAS, а также IP-камеры, работающие по 80-му порту, тоже могут быть добавлены в этот сервис, что многократно упростит доступ извне, через интернет.

4. VPN через облако по протоколу SSTP

Если кислород перекрыли, провайдер-жмот не дает белый IP-адрес, VPN-порты и GRE закрыли, все на свете позаблокировали, то есть один шанс обойти все ограничения и получить доступ ко всем устройствам в сети удаленно, по всем портам и протоколам — использовать VPN через облако KeenDNS по протоколу SSTP. Дело в том, что SSTP работает на том же порту (443), что и защищенное HTTPS-соединение для доступа к веб-сайтам. Если запретить 443-й порт, то перестанут работать не только Yandex и Google, но и гордость российского интернета, портал «Госуслуги», так что этот протокол в нашей стране выглядит более надежным, чем PPTP или L2TP/IPsec. Windows 7/8/10/2016 уже имеет встроенную поддержку SSTP, что позволит легко работать из дома с офисной сетью.

Настройка SSTP

В Keenetic встроенный SSTP-сервер намертво привязан к облачному сервису KeenDNS, о котором мы говорили выше, и при его включении ваш VPN-сервер будет иметь адрес вида hwp.keenetic.pro. При “сером” адресе через облако Keenetic проходит и весь трафик SSTP. Это хорошо тем, что имея под рукой VPN-клиент, вы можете из любой точки мира получить доступ к любому устройству в вашей сети, находящемуся за «серым» IP-адресом, даже если у вас для доступа в интернет используется модем Билайн, МТС или Мегафон. Серый IP — не проблема: мы видим все web-интерфейсы умных устройств, мы видим сетевые папки и принтеры нашей организации, но…

Подключение по SSTP

…но мы видим это не очень быстро. Наши тесты показали, что скорость SSTP через KeenDNS может достигать 15 Мбит/с, но может и проседать до 5 Мбит/с. Этого хватит разве что для обмена сообщениями и хождения электронной почты. Разные там интернет-вещи могут общаться на такой скорости, но сотрудники быстро начнут возмущаться.

Если у вас провайдер предоставляет "белый" IP-адрес, то в настройках облака KeenDNS вы можете указать это, и тогда при соединении с SSTP-сервером, облако будет использоваться только для идентификации клиента, а трафик пойдет напрямую, что гораздо быстрее, как видно на графиках выше: до 23 Мбит/с на Giga KN-1010.

Я, конечно, надеюсь, что Keenetic ускорит свое облако, потому что при текущих скоростях эта фишка выглядит как крайняя мера, и её следует вынести в отдельный пункт меню с надписью «в случае необходимости — разбить стекло!». Но как показывает практика, именно за такие «крайние меры» люди очень часто выкладывают очень большие деньги. Особенно, если провайдер решил «в одностороннем порядке изменить условия договора» в понедельник с утра, и вся работа встала. Тут за 5 мегабит в секунду многое отдашь.

5. Авторизация Wi-Fi пользователей в соответствии с Постановлением Правительства №758 и №801

Хотите раздавать бесплатный Wi-Fi в вашей бургерной или барбершопе в подвальчике, где не ловит 4G, но вы никогда не слышали про: «Постановление Правительства №758 и №801», «ЕСИА», «СМЭВ», «97-ФЗ», «114-ФЗ», «304-ФЗ»? Ну так вот - ради нашей безопасности каждый клиент бесплатного Wi-Fi должен пройти аутентификацию, чтобы «большой брат» знал, кто именно сейчас пишет нелицеприятные комментарии «Вконтакте». Отсутствие аутентификации пользователя ведет к наложению штрафа на юр.лицо, раздающее открытый Wi-Fi в размере от 50 до 300 тысяч рублей. Это раньше Wi-Fi пароль можно было спросить у бармена, а сейчас все автоматизировано - захотел ваш клиент выйти в интернет, подключился к открытой точке доступа, получил SMS с кодом доступа - и пожалуйста, перед законом все чисты. Более того, сервис по авторизации гостей может сохранять у себя MAC-адрес Wi-Fi адаптера смартфона, чтобы гость, прошедший авторизацию в одном кафе, не проходил её заново в другом, подключенном к той же системе. Такую возможность имеет крупный сервис Hot-Wifi.ru.

Все это кажется громоздко, сложно и дорого, но мы вам покажем, что это просто и почти бесплатно. Сначала, выбираем сервис авторизации - беглый поиск по Google посоветовал сайт ciawifi.ru. Регистрируемся и в личном кабинете создаем объект, где якобы располагается наш хот-спот. После этого там же переходим в раздел «точки доступа» и добавляем наш роутер, а в списке прошивок выбираем Keenetic (ZYXEL).

Здесь единственная сложность - это найти MAC-адрес именно того порта, которым роутер выходит в интернет. Что делать если у вас 2 интернета и соответственно 2 MAC-адреса? Просто менять сервис авторизации на другой - сотрудничество с сервисом авторизации вас ни к чему не обязывает.

Теперь в настройках Keenetic идем по списку: «Мои сети и Wi-Fi» - «Гостевая сеть» и пролистываем вниз до заголовка Captive Portal. Включаем и открываем список поставщиков услуги авторизации, в котором собраны 14 самых востребованных компаний, и наша ciawifi.ru там на первом месте. Бесплатность сервиса - весьма условная, абонентская плата составляет 450 рублей в месяц, что для барбершопа или бургерной - не такие уж и большие деньги. Данный сервис работает не без глюков, ну так на то он и бюджетный, не забываем, где живем.

Пришло время включить нашу гостевую Wi-Fi сеть на роутере, и перед законом мы чисты. Наши клиенты будут авторизованы в самом лучшем виде, им можно задать ограничение скорости (по умолчанию 5 Мбит/с), чтобы больше тратили на бургеры и меньше смотрели в телефоны, им выделяется отдельный пул IP-адресов вида 10.1.30.x, чтобы они не лезли во внутреннюю сеть кафешки, им можно включить изоляцию сетевых устройств, чтобы они не взламывали смартфоны и ноутбуки других посетителей, и, кстати, целиком гостевую Wi-Fi сеть можно выключать по расписанию, что будет очень хорошим поводом выпроводить посетителей после закрытия заведения.

Как видите, с точки зрения законопослушного Wi-Fi для клиентов, у роутеров Keenetic все очень лаконично и просто. У меня на настройку авторизации через Captive Portal (а делал я это первый раз в жизни) ушло около 15 минут, включая регистрацию и съемку скриншотов для статьи.

Кстати, в настройках профиля Captive Portal, вы можете указать сайты, доступ к которым возможен без авторизации. По умолчанию там установлены всякие Facebook-и, Яндексы и Вконтакты, но вы не забудьте отредактировать его, добавив HWP.ru - остальное можете смело удалять.

6. Настройка работы устройств только через VPN

Снова про VPN: ничего не поделаешь, но виртуальная частная сеть — это хит текущего сезона, и рассмотрим еще один сценарий. Допустим, у вас установлен сервер 1C, и вам очень хочется, чтобы он выходил в интернет только через VPN. Для чего это может быть нужно? Ну во-первых, чтобы гарантировать интернет-соединение с американскими облачными хостингами типа Microsoft Azure или Amazon S3, куда можно складывать резервные копии, плюс к этому — дополнительная защита данных при передаче через интернет для сотрудников в других городах или на удаленке. В прошивке 2.12 Beta для роутеров Keenetic появилась функция приоритетов подключения, благодаря которой, любому физическому устройству в вашей сети можно ограничить доступ в интернет: как полностью отключить, так и направить весь трафик строго через VPN сервер.

Профиль

Здесь все настраивается еще проще: во вкладке «другие подключения» создаем VPN туннель для выхода в интернет. Если вы купили платный VPN на европейских хостингах, параметры настройки вам дадут в личном кабинете сервиса. Затем лучше всего перейти в список устройств и дать имя нашему сверхсекретному серверу, чтобы не запутаться в MAC-адресах. Мы назовем его «Проектная документация», а также обеспечим беспрепятственный доступ в интернет смартфону с "телеграммом"! После этого во вкладке «Приоритеты подключений» выбираем наши устройства и привязываем их к профилю VPN. Все, теперь никакие войны с мессенджерами не повлияют на работу нашего сервера.

7. Сегментация  сети

Сейчас, с распространением интернета вещей, все более остро встает вопрос безопасности даже маленьких домашних или офисных "сеточек". Что делать, если "умная" лампочка или телевизор будут взломаны хакерами? Что делать, если пароль от Wi-Fi будет скомпрометирован, и злоумышленнику станет доступна внутренняя сеть, через которую он сможет скачать скрытые от чужих глаз данные? Как посадить камеры наблюдения и их сервер вообще в отдельную сеть? Как расширить гостевую сеть с описанной выше функцией Captive Portal, через коммутатор на несколько точек доступа по этажам небольшого отеля? В роутерах серии Keenetic имеется современный ответ на эти вызовы: вы можете создать не только гостевые или прочие утилитарные Wi-Fi-сегменты, но и объединить их с проводными портами. Например, выделить один порт под отдельную сеть и подключить туда через коммутаторы или точки доступа любые устройства.

Эти устройства в гостевой сети смогут беспрепятственно выходить в интернет, но будут изолированы от других устройств в вашей основной сети, в том числе и друг от друга. Конечно, им можно включить доступ к панели управления роутером, но это не обязательно. Контроль осуществляется с использованием ограничений на физический порт или с помощью виртуальных сетей (VLAN).

Бонус: Подключение DECT-телефонов к роутеру

Интернет-центры серии Keenetic можно использовать как базовые станции для беспроводных стационарных DECT-телефонов, подключенных к провайдеру IP-телефонии. Только представьте себе - вам не нужно покупать стационарные IP-телефоны, тянуть PoE кабель по всему офису, разговаривать по скрипящим пластиком трубкам дешевых китайских IP-аппаратов… Вы можете пойти в М-Видео, купить DECT-трубку Panasonic или Philips за 2-3 тысячи рублей. В том же DNS-е купить USB-донгл Keenetic Plus DECT за 1599 рублей - и настроить вашего провайдера IP-телефонии, используя Keenetic как VoIP сервер.

USB DECT донгл

Чем больше телефонных трубок в вашей компании, тем больше будет экономия на оборудовании, ведь если посмотреть на цены DECT VoIP трубок в магазинах (VoIP-shop.ruvoips.ru), в среднем беспроводной VoIP телефон с базовой станцией стартует от 6 тысяч рублей. Сам модуль Keenetic Plus DECT позволяет одновременно вести разговоры по четырем телефонным трубкам, подключенным к одному (!) номеру, то есть можно не бояться, что ваш клиент не дозвонится к вам в офис, если кто-то уже ведет важные переговоры.

У нас на HWP последний DECT-аппарат был торжественно выброшен лет 10 назад, поэтому протестировать работу данной функции мы не можем, но настройка очень подробно описана в базе знаний Keenetic, и судя по отзывам в блогах и на форумах, у людей все работает.

Внешний вид Keenetic Omni и GIga

Большинство современных роутеров имеют скучный дизайн, и в Keenetic взгляд цепляется за две вещи. Первая — это огромные прямоугольные антенны, разобрав которые, видишь — это не проволочка, как многие любят, а довольно замысловатые крупные печатные антенны. В старшей Keenetic Giga используется антенная группа 2 MU-MIMO с двумя пространственными потоками и коэффициентом усиления — 5 дБи.

Кинетики

Вторая вещь, достойная внимания — это SFP-порт в модели Giga. Он запараллелен с WAN-портом роутера, и служит для подключения к интернету удаленных отдельностоящих объектов, куда дотянуться можно только оптоволокном. Сегодня оптоволокно стоит очень дешево, а гигабитные SFP трансиверы — вообще продаются за копейки, так что расстояния для быстрого интернета уже не имеют значения.

Keenetic Giga состоит из 2-ядерного процессора MediaTek MT7621AT, одного чипа ОЗУ DDR3 объемом 256 Мб и радиомодуля MediaTek MT7615DN. Слот SFP не имеет дополнительного охлаждения, поэтому дальнобойные трансиверы сюда лучше не ставить. Конструкция роутеров семейства Keenetic всегда была простая, и любоваться здесь особо нечем, но придраться можно только к установленным конденсаторам: в таком дорогом продукте хотелось бы видеть емкости как минимум фирмы Nippon, а здесь непонятно чьи.

Цена вопроса

За некоторыми исключениями, все рассматриваемые функции доступны вам в простейшем роутере Keenetic Omni за 2690 рублей в розницу, а Keenetic Giga стоит уже 7490 рублей, и в этом ценовом диапазоне конкурентов с такой простой настройкой у Keenetic-ов нет.

Заключение

Если ваш бизнес только встает на ноги, но вам уже нужно обеспечить работу 5-10 человек в офисе и на удаленке, и очень хочется, чтобы все работало через защищенные VPN-каналы, роутеры серии Keenetic дадут вам эти возможности. 

Какой кинетик выбрать?

  • Omni KN-1410 - брутальное решение, когда за копейки вы получаете весьма функциональный маршрутизатор на входе, а вайфай и прочее собираетесь добавлять через коммутаторы. Ну, или просто хотите изучить возможности платформы Keenetic.
  • Giga KN-1010 - когда необходимо подключение по активной оптике, нужна более высокая скорость VPN, когда посетители вашего кафе любят быстрый 5 ГГц Wi-Fi и когда вы понимаете, что рост вашего бизнеса не должен ограничиваться 100-мегабитной сетью.

Михаил Дегтярёв (aka LIKE OFF)
12/07.2018



ПОХОЖИЕ СТАТЬИ:

Обзор решения для малого офиса от Zyxel: VPN шлюз ZyWall VPN2S и точка доступа NWA1123-ACv2

Простое устройство, которым вы можете отключить вашим сотрудникам доступ к развлекательным сайтам, блокировать доступ в интернет целыми категориями веб-сайтов, настроить быстрый VPN и отказоустойчивую работу двух провайдеров.

...

Строим Wi-Fi-систему из роутеров Keenetic. Тестируем контроллер сети Wi-Fi

Простая бесшовная Wi-Fi сеть с Keenetic-ами выглядит так: вы покупаете один мощный роутер уровня Giga или Ultra и сколь угодно много простых моделей: Air, Start, Viva, в зависимости опять же от вашей топологии Wi-Fi. Любой вышедший...

Zyxel GS1920-8HPv2 - тестируем облачный PoE коммутатор

Сегодня мы рассматриваем один из самых совершенных управляемых коммутаторов, которые только есть на рынке. Не так давно компания Zyxel встроила в свои профессиональные устройства поддержку облачной системы управления Nebula, благод...

5 пакетов PFsense, которые нужно установить для VPN-шлюза вашей сети

Использование пакетов позволяет базовой установке pfSense сохранять компактность, но предоставляет пользователям возможность устанавливать только пакеты, необходимые для их условий. В этой статье вы найдете список 5 лучших пакетов ...

Почему я отказался от Mikrotik - 5 причин, которые могут коснуться каждого

Прощай, милый друг! После 4 лет работы с роутером Mikrotik, я внезапно решил наконец навести порядок в сетевой инфраструктуре и тут выяснилось, что с сетью у него проблемы, коммутатор тормозит, обновления несовместимы с предыдущими...


НА ФОРУМЕ ГОВОРЯТ



НОВЫЕ СТАТЬИ
Как работают системы бесперебойного энергоснабжения в ЦОДах

В этой статье мы расскажем как в ЦОД обеспечивается бесперебойная работа оборудования с точки зрения резервирования источников питания. В качестве практического кейса в завершение статьи мы рассмотрим недавний инцидент во...

Каковы шансы у AMD на серверном рынке? Экспертное мнение и аналитика.

Почему AMD возлагает свои надежды на второе поколение процессоров, объявленное 7 августа 2019 года и суждено ли этим надеждам сбыться? Мы совершим небольшой экскурс в историю, и посмотрим, почему так получилось с Opteron-ами,...