Как сделать настройку vpn на zyxel keenetic

Введение

В любой современной организации неизбежно возникает необходимость обеспечить работу удаленных сотрудников из дома, командировки, либо прямо с «полей». Сегодня является абсолютной нормой для компании вообще не содержать собственный офис, либо напротив — размер филиальной сети крупной корпорации может исчисляться сотнями географически разбросанных точек. В таких условиях для решения задач по обеспечению безопасности корпоративной сети и защиты важных для бизнеса данных при их передаче по открытым каналам необходимы межсетевые экраны с функцией построения VPN.

Компания Zyxel, ориентируясь прежде всего на доступность и гибкий инструментарий для решения конкретных задач, разработала линейку VPN с упором на простоту администрирования, при сохранении всех необходимых функций в устройствах. Zyxel следует принципу четкого сегментирования своих решений. Средства построения VPN можно разделить на 2 группы: Advanced VPN Firewall Series, подходящие для самых небольших и средних компаний, и ZyWall Business Firewall Series, предназначенные для крупных корпораций.

Рисунок 1. Модельный ряд решений Zyxel VPN

VPN-туннель IPSec

Некоторые модели от Zyxel Keenetic поддерживают создание защищенного канала связи через протокол IPsec. Как и в ситуации, описанной выше, его необходимо предварительно проинсталлировать на оборудовании. Заходим через веб-панель в «Систему», далее — «Обновление»:

Выбираем опцию «Показать компоненты». Отмечаем пункт IPsec, как показано на скриншоте ниже:

ОС предложит установить его в функционал, соглашаемся. После окончания процесса инсталляции оборудование перезагрузится. Затем открываем раздел «Интернет», вкладку PPPoE/VPN. Создаем новое соединение, проводим следующие настройки:

  1. Активируем сам протокол шифрования.
  2. Со второго пункта снимаем галочку, так как данное соединение не будет использоваться для прямого доступа в интернет.
  3. Поле «Описание» заполняем произвольным именем, оно необходимо только для идентификации процесса по названию.
  4. Тип протокола оставляем, как есть.
  5. В следующем разделе указываем интернет-соединение, используемое роутером для доступа к «мировой паутине».
  6. Прописываем имя «юзера» и пароль для него.
  7. Секретный ключ придумываем самостоятельно. Например, Test.
  8. Метод проверки подлинности оставляем, как показано на скриншоте.
  9. Адрес сервера составляется Zyxel автоматически. Как правило, используется наименование сервиса. Например, msk.test.ru.
  10. Сетевые настройки (IP-адрес и DNS-серверы) оставляем в автоматическом режиме.
  11. Отмечаем галочкой последний пункт.

Завершаем процесс создания нажатием кнопки «Применить». Теперь соединение появится в перечне доступных подключений. Оно используется для создания защищенного канала связи по протоколу IPsec. Android или iOS-совместимые мобильные устройства работают по данной технологии.

Недостатки VPN на роутере

Серьезным недостатком VPN на роутере может являться существенное падение скорости соединения. Такой эффект будет проявляться вне зависимости от размера скачиваемого файла, провайдера, браузера или иных особенностях оборудования. Менее всего снижение скорости будет заметно на маршрутизаторах с мощным процессором, а также при настройке оборудования на менее высокий уровень шифрования данных.

Второй недостаток VPN на роутере плавно вытекает из первого. Если владелец маршрутизатора желает настроить VPN с минимальными просадками по скорости соединения, то потребуется приобретать более дорогое оборудование. Стоимость мощных роутеров может составлять десятки тысяч рублей.

Существенным недостатком VPN на роутере является невозможность доступа к контенту определенных государств. Например, если перенаправление настроено через страны ЕС, то некоторые интернет-ресурсы, работающее только в США, будут недоступны.

Некоторые модели роутеров не поддерживают возможность настройки VPN. Такая «глыба преткновения» на пути организации перенаправления на маршрутизаторе не позволит выполнить эту операцию. Из этого правила есть небольшое исключение: если роутер можно перепрошить на операционную систему с поддержкой VPN, то его можно использовать для перенаправления трафика.

Если операционная система роутера имеет уязвимости, то настройка VPN не решит проблему безопасного и скрытного посещения Интернета. Наоборот, в результате внешнего вторжения может быть установлено местонахождение компьютера, а также организованы хакерские атаки с его использованием.

Настройка VPN на роутере приведет к защите только самого устройства. Другие цифровые приборы не будут защищены от взлома.

Несмотря на наличие недостатков, необходимость настройки VPN на роутере не оставляет другого выбора, как прибегнуть к этому способу скрытия собственного местоположения. Благодаря правильно выполненной работе можно будет подключать к одной сети перенаправления несколько устройств. Кроме того, достаточно будет настроить систему один раз, чтобы соединение было всегда активно. В общем, положительных качеств у такого способа настройки маршрутизатора немало.

⇡#Настройка Transmission

opkg install nano opkg install transmission-daemon transmission-web

Традиционный совет — вместо того чтобы вручную набирать команды, просто скопируйте их отсюда и кликните правой кнопкой в окне PuTTTY. По умолчанию все новые закачки будут записываться в папку transmission, то есть так же, как по умолчанию происходит и со встроенным в роутер торрент-клиентом. Предварительно остановим его, перейдя в веб-интерфейсе роутера в раздел «USB-приложения» → «Торренты», сняв галочку «Включить BitTorrent-клиент» и нажав «Применить». Отредактируем настройки Transmission командой:

nano /media/DISK_A1/system/var/transmission/settings.json

Здесь достаточно изменить по желанию несколько строчек:

«peer-port»: 52400 «rpc-authentication-required»: true «rpc-password»: «password» «rpc-port»: 9091 «rpc-username»: «username»

Для включения авторизации с целью доступа к веб-интерфейсу Transmission необходимо изменить значение параметра rpc-authentication-required с false на true. Тогда вместо username и password потребуется указать соответственно логин и пароль. В peer-port и rpc-port надо указать номера портов, которые служат для соединения с другими клиентами и доступа к веб-интерфейсу клиента соответственно. Прочие параметры можно и не менять. Сохраняем файл и выходим — F2, Y, Enter. Для автозапуска Transmission при включении роутера необходимо переименовать один из скриптов:

mv /media/DISK_A1/system/etc/init.d/
K90transmissiond /media/DISK_A1/system/etc/init.d/S90transmissiond

Его же необходимо немного подкорректировать:

nano /media/DISK_A1/system/etc/init.d/S90transmissiond

В самом начале есть две переменные TRN_PORT и TRN_RPC_PORT. Если вы меняли в settings.json peer-port и rpc-port, то их значения нужно соответственно подставить в эти переменные. Также надо будет «раскомментировать» (убрать # в начале строки) ещё шесть команд вида iptables –A (или D) INPUT -p tcp —dport $TRN_PORT (TRN_RPC_PORT) -j ACCEPT. Не забываем сохранить файл и запускаем Transmission. Только учтите, что теперь его панель управления будет на английском языке.

/media/DISK_A1/system/etc/init.d/S90transmissiond start

Замер скорости

Ну а теперь самое интересное – как быстро всё работает. Я мерял подключение на основном Windows ПК, подключённом к роутеру кабелем. Остальные устройства не отключал – не вижу смысла в “лабораторных” замерах, если в реальной жизни условия довольно суровые. Сначала подключил ПК к профилю VPN по L2TP/IPSec, выбрав сервер в Швеции. Почему в Швеции? Ну потому, что там не блокируют пол-интернета, Швеция близко к Москве, и связь пошустрее, чем в Финляндии и Эстонии.

Тест проводил на Яндекс.Интернете и рандомном сервере в Speedtest.net. Как видно, там сервис нашёл какой-то сервер в Швеции, т.к. решил, что я сам нахожусь в Швеции. Это нам только на руку – замерим трафик до Стокгольма.

Два скриншота выше – замеры скорости по L2TP/IPSec

Как видно, всё вполне шустро. Теперь с теми же настройками, но без VPN, чтобы сравнить с “нормальным” интернетом, без VPN (поскольку VPN всё же замедляет чуток):

Два скриншота выше – подключение без VPN

Здесь пинг получился внезапно даже больше, чем по VPN, однако это можно объяснить большим количеством узлов.

Ну а теперь, под занавес, Open VPN, от того же провайдера Express VPN, с сервером в той же Швеции:

Два скрина выше – подключение к OpenVPN с помощью роутера. Тут надо отметить, что сами тесты скорости работали раза с десятого.

Думаю, комментарии излишни. Open VPN в целом неплохо работает на компьютере через какой-нибудь фирменный клиент VPN-провайдера, но на Keenetic его стоит настраивать лишь за неимением лучшего. L2TP/IPSec,  с другой стороны, – продвинутая штука для быстрого, но свободного интернета, при этом ещё и с высокой секьюрностью.

VPN-туннель IPsec

Стандарт VPN-соединения IPSec является одним из самых безопасных. Высокий уровень надежности обеспечивается за счет протоколов, которые добавляют заголовки к IP-пакету (инкапсуляции).  Кроме того, такой способ подключения позволяет получить:

  • Симметричные алгоритмы.
  • Криптографический способ проверки целостности данных.
  • Возможность идентификации узла.

Многие модели роутеров Keenetic позволяют создавать VPN-туннели этого типа. Например, новые устройства Keenetic GIGA не только обладают высоким уровнем защиты передаваемых данных, но и обеспечивают скорость до 400 Мб/с. Для первого поколения устройств функция VPN недоступна.

Если ранее передача данных не осуществлялась таким образом, то следует настроить роутер. Для этой цели потребуется выполнить обновление управляющей программы. Чтобы загрузить необходимую опцию, следует обязательно выбрать в настройках загрузки новых функций IPsec.

После успешного обновления ПО оборудование должно автоматически перезагрузиться. Если этого не произошло, то необходимо отключить и снова включить роутер, после чего зайти в настройки оборудования. Для создания VPN-туннеля потребуется перейти в раздел «Интернет» и создать новое соединение с настройками, как показано на рисунке ниже.

Описание соединения может быть любым, этот параметр необходим для идентификации соединения. При указании пароля и секретного ключа следует ввести последовательность символов без ошибок, иначе новый канал связи невозможно будет активировать. Если соединение будет использоваться для выхода в интернет, то следует не забыть отметить галочкой этот пункт при настройке соединения.

Как правило, во всех устройствах, поддерживающих возможность создания VPN-туннеля IPsec, адрес сервера и DNS-адрес формируются в автоматическом режиме.

После создания подключения его можно будет выбрать в соответствующем списке управляющей программы роутера.

Устройства Zyxel ZyWALL VPN2S

ZyWALL VPN2S специально разрабатывался для малых предприятий, небольших филиалов и подключения домашних или удаленных пользователей. Устройство представляет собой межсетевой экран с функцией VPN, который позволяет сконфигурировать безопасное соединение point-to-point без сложной настройки параметров.

Рисунок 2. Ключевые особенности Zyxel ZyWALL VPN2S

 

VPN2S имеет пять портов Gigabit Ethernet (2 настраиваются для интерфейсов LAN/WAN и 3 — только для LAN), а также один порт USB для подключения 3G/4G-модемов. В VPN2S реализована поддержка соединений «точка-точка» (Site-to-Site VPN) типов IPSec, L2TP, PPTP, GRE, L2TP Over IPSec. Для подключения отдельных удаленных VPN-клиентов, в зависимости от возможностей провайдеров и принятых корпоративных правил, применяются протоколы IPSec, L2TP или PPTP.

Таблица 1. Основные характеристики модели Zyxel ZyWALL VPN2S

Спецификация ZyWALL VPN2S
 
Интерфейсы 3 x LAN, 1 x OPT, 1 x WAN
Порты USB 2 x USB 2.0
Пропускная способность межсетевого экрана SPI (statefull packet inspection) 1.5 Гбит/с
Пропускная способность VPN 35 Мбит/с
Максимальное число одновременных TCP сессий 50 000
Максимальное число одновременных туннелей IPsec VPN 20
Возможность монтажа в стойку Нет
Бесшумная технология охлаждения Да
Максимальное число интерфейсов VLAN 16
Балансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN) Да
Технологии построения VPN IPSec, L2TP over IPSec, PPTP, L2TP, GRE
Поддерживаемых типы подключения VPN клиентов IPSec, L2TP, PPTP
Технология фильтрации контента Да
Физические размеры 210 x 115 x 33

В ZyWALL VPN2S встроен межсетевой экран с полной поддержкой SPI (Stateful Packet Inspection), что, согласитесь, хорошее преимущества для устройства бюджетного класса. Это позволяет защитить пользователей от кибератак различного типа, в том числе DoS/DDoS, атак с использованием поддельных IP-адресов, неавторизованного удаленного доступа к инфраструктуре и приложениям.

Рисунок 3. Резервирование каналов интернета с помощью Zyxel ZyWALL VPN2S

 

Отдельно доступна опция подключения модуля Content Filtering для блокировки подозрительного трафика, вредоносных сетевых пакетов и постореннего контента. Отметим, что Content Filtering предоставляется бесплатно в течение одного года. Технология позволяет фильтровать доступ к опасным сайтам, разбитым на различные категории (анонимайзеры, вредоносное программное обеспечение, фишинг и мошенничество, боты, сайты со спамом и т. д.), а также к постороннему контенту, например, содержащему сцены насилия и порнографию. Помимо непосредственного обеспечения защиты сети компании, Content Filtering помогает повысить продуктивность работы персонала, ограничивая доступ к определенным приложениям, например, к социальным сетям, видеохостингам, тематическим форумам и развлекательным порталам.

Рисунок 4. Схема работы функций безопасности Zyxel ZyWALL VPN2S

 

Отдельно отметим способность VPN2S выступать в том числе клиентом L2TP VPN, что облегчает процесс настройки множества устройств и позволяет однократно задать параметры конфигурируемой VPN-сети в компании.

Ключевой особенностью VPN2S является встроенный сервис быстрой настройки в 5 шагов. Максимальное облегчение и визуализация процесса конфигурирования всегда было фирменным отличием устройств компании Zyxel еще со времен широкого распространения домашних роутеров вендора в России.

Рисунок 5. Настройка Zyxel ZyWALL VPN2S в 5 шагов

 

Виртуальный помощник имеет удобный графический интерфейс и помогает оперативно настроить устройство VPN2S. Для облегчения управления конфигурациями компания Zyxel предоставляет пакет утилит удаленного администрирования, в том числе специальный сервис для обновления прошивок — Cloud Helper. Cloud Helper обеспечивает простой поиск информации о последней версии нужной прошивки, которая устанавливается сразу же после официального релиза производителя, что гарантирует ее достоверность и актуальность.

Остается добавить, что в устройства VPN2S встроен аппаратный криптографический модуль L2TP/IPSec VPN, который обеспечивает приличную для своего класса скорость VPN-соединений и реализует функции отказоустойчивости и балансировки нагрузки (VPN failover и load balance). В качестве алгоритмов хэширования используется семейство SHA-2, а непосредственно для шифрования — набор протоколов IKEv2.

Перепрошивка роутера под VPN

Перепрошивка нужна лишь в том случае, если роутер изначально не поддерживает подключение к сети через VPN. Перепрошивка – это замена на маршрутизаторе стандартной прошивки на обновленную и модернизированную. Роутер изначально может быть настроен не на прошивках DD-WRT или Tomato, в таком случае рекомендуется выбрать именно этот путь.

Однако перед тем как сделать это, следует узнать, совместим ли ваш роутер с прошивками DD-WRT и Tomato. Проверить это достаточно легко: найти свое устройство в списке DD-WRT или Tomato.

Если эти прошивки не подходят вашему устройству, придется купить роутер с поддержкой либо найти маршрутизатор, который уже был перепрошит. Последний вариант может стоить немало, поэтому выбирать его стоит лишь в том случае, если вы не уверены, что сможете перепрошить устройство самостоятельно.

  1. Итак, вот, что требуется сделать для начала:

    • скачать на компьютер файлы прошивки DD-WRT или Tomato;
    • сделать сброс роутера. Как правило, для этого нужно зажать на роутере кнопку Reset примерно на 10-15 секунд;
    • после перезагрузки маршрутизатора нужно открыть панель администратора. Ее местонахождение всегда указано в инструкции к роутеру. Здесь же можно найти заводские данные;
    • панель «Администрирование», которая зачастую находится слева, содержит опцию «Upgrade/Upload Firmware» либо что-то, напоминающее эту формулировку. Выберите ее;
    • вам предложат установить различные файлы. Нужно выбрать скачанный файл одной из прошивок;
    • во время установки нельзя совершать никаких действий с компьютером, роутером и подключением к интернету;
    • после получения сообщения о завершении установки подождите около 5 минут перед тем, как нажать на кнопку «Продолжить»;
    • еще раз сделайте сброс роутера и вернитесь к панели администратора.

    Это руководство по перепрошивке подходит почти всем маршрутизаторам.

  2. Определиться с VPN-сервисом

    Для этого необходимо зарегистрироваться на сайте VidVPN. Это требуется для последующей настройки VPN-подключения на роутере. Вы можете выбрать один из тарифных планов, предложенных нашим сайтом.

  3. Определиться с VPN-протоколом

    Выбор протокола зависит непосредственно от вида маршрутизатора. Основной ряд опций составляют OpenVPN, PPTP, и L2TP. Выбор одного из них определяется тем, что для вас в большем приоритете.

    OpenVPN – наиболее безопасный сервис, но его высокий уровень защитной шифровки имеет и минус: он сильно влияет на скорость соединения, замедляя его.

    PPTP и L2TP имеют более высокую скорость, но и меньший уровень безопасности при этом. Второй протокол как таковой вовсе не обеспечивает защиты самостоятельно, и по этой причине он идет вместе с IPsec.

  4. Решить: TCP или UPD

    TCP – это протокол управления передачей, а UPD – протокол пользовательских датаграмм. Они являются протоколами транспортного уровня, то есть улучшают перемещение данных между разными узлами.

    Подключение к VPN подразумевает использование одного из них. Между ними есть существенная разница в области использования: протокол TCP предназначен для обычного просмотра веб-страниц, а UPD, в свою очередь, часто применяется для игры по сети или же для записи стримов.

  5. Настроить VPN-сервис на роутере

    После выполнения всех этих пунктов и ознакомления с особенностями VPN-сервера можно перейти к его подключению конкретно для вашей сети. На нашем сайте вы сможете найти ряд подробных инструкций для различных роутеров.

    Вы можете в целом ознакомиться с процессом настройки роутера, состоящим из нескольких последовательных шагов:

    • настройте DNS и DHCP вашего маршрутизатора на те параметры, которые были определены VPN-сервисом;
    • укажите IP-адрес для VPN-сервера;
    • сделайте выбор между протоколами туннелирования: TCP или UPD;
    • выберите тип шифрования сети;
    • введите логин и пароль для вашего VPN-соединения.

Если у вас возникли вопросы, как поднять VPN на роутере, обращайтесь в службу поддержки VidVPN. VidVPN – Включил и Доволен.

Сервисы и лицензирование межсетевых экранов с VPN компании Zyxel

Напомним, что все корпоративные устройства Zyxel реализуют полный набор технологий, доступный для каждой серии, а активация той или иной функциональности происходит посредством подключения необходимой лицензии. Производителем поддерживается модульность в следующем виде:

  • Комплексная подписка на все сервисы безопасности Zyxel (AS, AV, CF, IDP/DPI).
  • Подписка на сервис Zyxel CF (контентная фильтрация).
  • Лицензия Zyxel на увеличение числа одновременных SSL VPN.
  • Подписка на сервис Zyxel AV (антивирус).
  • Подписка на сервис Zyxel IDP/DPI (обнаружение/предотвращение вторжений и патруль приложений).
  • Подписка на сервис Zyxel AS (антиспам).
  • Лицензия Zyxel SecuReporter.
  • Лицензия Zyxel на увеличение числа управляемых точек доступа.
  • Комплект лицензий Zyxel для IPSec VPN-клиента.
  • Лицензия Zyxel для Cloud CNM SecuManager.

Таким образом, политика лицензирования компании Zyxel предоставляет максимальную гибкость при поставке межсетевых экранов с VPN для разных компаний с индивидуальными потребностями, а также позволяет добиться оптимального баланса стоимости, производительности и безопасности.

Дополнительно Zyxel предлагает воспользоваться Сервисом по удаленной настройке оборудования и Сервисом по опережающей замене оборудования в случае выхода из строя.

Настройка VPN-подключения

Если все вышеуказанные условия соблюдены, переходим к настройке VPN на маршрутизаторе Zyxel Keenetic.

  • Заходим через главное меню в раздел «Система», далее — «Компоненты». Отмечаем, что требуется активация опции «VPN-сервер»:
  • В зависимости от модели Zyxel потребуется перезагрузка для применения внесенных изменений. После этого на вкладке «Приложения» появится новая панель «Сервер VPN»:
  • Далее заходим в нее, выставляем следующие параметры:
  • Активируем VPN-сервер на Zyxel Keenetic, отмечаем, чтобы на каждого пользователя создавался новый канал связи для повышения надежности передачи данных.
  • Подключение происходит с шифрованием, это поднимает уровень безопасности канала связи. Поэтому используется протокол MPPE. Соответственно, пропускаем третий пункт.
  • Поле «Транслировать адреса клиентов (NAT)» активируем, чтобы пользователи подключались через внешнюю сеть.
  • В следующем подразделе – «Доступ к сети» – указывается наименование канала связи, по которому будет производиться выход в интернет. Как пример указана домашняя сеть клиента. Через нее будет осуществляться PPTP-подключение.
  • Следующие два пункта отвечают за перечень IP-адресов, предоставляемые ВПН-сервером для вновь подключившихся. Количество участников зависит от модели роутера: например, Zyxel Keenetic GIGA разрешает максимум 10 соединений.
  • В первом пункте выбираем начальное значение пула IP-адресов, а во втором указываем максимально возможное количество. Таким образом, на роутере зарезервируется десять адресов, которые будут выдаваться PPTP-клиентам.
  • Список IP-адресов для VPN не должен совпадать с пулом адресов DHCP-сервера сетевого устройства. Например, Zyxel раздает IP-адреса в диапазоне 192.168.0.10 – 192.168.0.100. Соответственно, для VPN рекомендуется задать пул, начиная с 192.168.0.150.
  • После внесения всех изменений нажимаем кнопку «Применить», переходим к следующему разделу – «Конфигурации учетных записей пользователей», находящихся ниже параметров VPN:
  • Нажимаем левой кнопкой мыши на имени Admin.
  • Выбираем пункт «Разрешить доступ к VPN». Применяем изменения:
  • Добавить клиентов к перечню разрешенных через меню «Система», раздел «Пользователи»:
  • Указываем имя, придумываем пароль и выставляем права доступа:
  • В нашем случае надо обязательно отметить пункт «VPN-сервер». Далее нажимаем «Сохранить».

На этом настройка роутера Zyxel Keenetic завершена, разрешено устанавливать VPN-связь.

Интерфейс и настройки

К интерфейсу придётся не просто привыкать — его придётся изучать, даже если вы знакомы со шлюзами безопасности. Например, мы уже привыкли к тому, что даже в домашних роутерах разграничение LAN/WAN уже отсутствует, и каждый порт может как выходить в интернет, так и пропускать трафик внутри домашней сети. Здесь же этого нет: у VPN2S — один WAN, три LAN и один опциональный порт, который может быть как LAN, так и WAN.

В соответствии с современной модой, почти во всех настройках используются профили, хотя для подобного класса устройств это — излишнее усложнение, которое не нужно. Креативным менеджерам надо в один-два клика настроить VPN, а не привязывать профиль L2TP к профилю IPSec, удивляясь, почему не работает. Отчасти эту проблему решает мастер настройки, который включит PPTP, но забудет добавить соответствующее правило в Firewall. В то же время, какие-то установки, ну например, DoS Protection, вообще не имеют никаких настроек.

В общем, я считаю что для основной аудитории, на которую рассчитан Zyxel VPN2S, этот девайс слишком сложный.

А как же Wi-Fi?

Шлюзы безопасности чаще всего монтируются в телекоммуникационных шкафах под потолком. У Zyxel Zywall VPN2S для этих целей есть даже отверстия под брэкеты, так что как ни крути, но точки доступа придётся покупать и устанавливать отдельно. Учитывая, что хороший хот-спот для внутренней установки стоит 60-80$, это небольшие траты. Сегодня любой интегратор скажет вам, что качественные точки доступа делают три компании: Cisco, Zyxel и Ubiquiti. «Циски» в наших руках не оказалось, но получилось сравнить Ubiquiti UAP-AC Pro (1750 Mbps) и Zyxel NWA1123-ACv2.

Визуально Ubiquiti выглядит крупнее, хотя она имеет более низкий профиль, и при монтаже на потолке, не забирает пространство так, как Zyxel. Более высокая скорость в 1750 Mbps при подключении 1 кабелем со скоростью 1 Гбит/с — неактуальное преимущество для небольших помещений на десяток человек.

«Под капотом» эти два хот-спота представляют собой две совершенно разные идеологии, из двух миров. У Zyxel это компонентная схема, в которой антенны вынесены за пределы материнской платы и экранированы толстым металлическим листом, что хорошо видно на фотографии. По всей видимости, у ребят из Zyxel было очень много алюминия на складах, поэтому между материнской платой точки доступа и радио-модулем располагается массивный алюминиевый теплоотвод, выполняющий роль экрана. У точки доступа Ubiquiti такого, конечно же, нет.

Что касается антенн, то у Zyxel их 4 (2 для диапазона 2.4 ГГц + 2 для 5 ГГц), а у Ubiquiti всего 3 двухдиапазонные антенны, каждая из которых работает в обоих диапазонах, что более свойственно домашним роутерам. Конечно, однодиапазонные антенны всегда будут работать лучше, чем универсальные. Другое дело, что не всегда вы сможете увидеть эти различия на практике. 

Настройка точки доступа Ubiquiti UAP-AC-Pro — это боль. Во-первых, надо понимать, что это профессиональное оборудование, выпускаемое для тех, кто инсталлирует и обслуживает их десятками, поэтому она настраивается только через программный сервер, который написан на Java, которая не с первого раза устанавливается под Windows и выкатывает критичные security-обновления по два раза на дню. Да, если точек доступа сотни — там этот минус выливается в плюс. Но если что-то идёт не так с вашим локальным сервером на Java или если вам нужны 2-3 точки доступа в офисе, то Zyxel Nebula удобнее и практичнее: вы можете заходить в облачный сервис с любого браузера, добавлять в свою сеть бесконечное число хот-спотов, не переживая о том, как функционирует сама система управления. 

Обновление с zyxware на entware

Не особо рекомендую обновляться до entware, т.к. при запуске OpenVPN через init-скрипт я получал Segmentation Fault (правда если просто запускать openvpn openvpn.conf, то проблемы не наблюдалось), разбираться с этим мне не хотелось, т.к. для себя особого смысла обновляться я не видел. Главное отличие entware это большее количество пакетов чем в zyxware, так что если хочется, то попробовать всетаки можно. Ниже расскажу как это сделать:

После чего перезапустите роутер из веб-панели Zyxel. На вашей флешке, помимо каталога /system появится еще /opt. Все, теперь вы счастливый обладатель entware!

Настройка сертификатов клиента

Дальше нужно повторить процедуру копирования скриптов управления RSA, как мы это делали на сервере:

Теперь нам нужно скопировать сертификат, файл с расширением .crt в папку /etc/openvpn на всех клиентах. Например, скачаем этот файл для нашего клиента с помощью scp:

Только теперь можно создать свой секретный ключ на основе сертификата CA:

Обратите внимание, что ca.crt должен лежать в папке с ключами, иначе ничего не сработает. Теперь утилита создаст ключ, на основе которого, вы сможете подключиться к OpenVPN серверу, но вам еще осталось подписать его на сервере

Отправьте полученный .csr файл на сервер с помощью того же самого scp:

Затем уже на сервере в папке /etc/openvpn/easy-rsa нужно выполнить команду подписи сертификата:

Подпись сертификата нужно подтвердить. Затем программа сообщит что он был подписан и добавлен в базу данных. В папке с сертификатом csr появится файл .crt, который нужно вернуть назад на клиентскую машину:

Только после этого сервер и клиент имеют все необходимые ключи для подключения и установки связи. Осталось еще несколько настроек. Если вы планируете использовать шифрование TLS, то необходимо создать на сервере набор данных Диффи-Хафмана, для этого используйте команду:

Дальше будет рассмотрена настройка OpenVPN для сервера и клиента, осталось совсем немного до получения рабочей конфигурации.

Выводы

Основное, ради чего стоит покупать данную модель — это контентная фильтрация, реализуемая списком сигнатур вебсайтов, VPN сервер и поддержка двух и более интернет-линий. Данный шлюз позиционируется в качестве стартового решения для небольшого офиса, и хотя я ждал чего-то большего, глядя на цену, понял, что ошибся. По сути, у Zyxel-я есть вот эта прекрасная база данных сайтов, которая позволяет ограничивать доступ целиком к категориям медиа-источников, и производитель просто упаковал её в коробочку ценой как неплохой домашний роутер, добавив VPN-сервер и простенький Firewall.

Как решение для тех, кому лень настраивать Mikrotik или копаться в OpenWRT, это вполне себе жизнеспособный вариант, особенно с возможностью заблокировать своим сотрудникам половину интернета, и включать в виде награды по итогам квартальных или годовых показателей. Пусть работают за доступ к auto.ru, instagram или где они там зависают в рабочее время.

Михаил Дегтярёв (aka LIKE OFF)

16/06.2019

Вместо выводов

Честно скажу, собирал материал для этой статьи я долго. Потому, что несмотря на очевидную простоту настройки VPN, когда ты этого не делал, то любую проблему подключения воспринимаешь как собственную ошибку, а в итоге не можешь понять – как же нужно делать. На самом же деле самый главный вопрос здесь – выбор провайдера. И с бесплатными провайдерами, к сожалению, полный швах, даже если нужно бесплатно буквально потестировать. Чтобы получить адекватный и быстрый в настройке интернет (чтобы не пришлось ковырять десяток нерабочих серверов) придётся раскошелиться хотя бы на первый месяц.

Ну а на чём настраивать VPN – дело ваше. Но, как мне кажется, удобнее всего это сделать на роутере.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий