В поисках кнопки «Сделать хорошо». Zyxel в сети малого и среднего бизнеса
UPD: Телеграм чат для обсуждения оборудование Zyxel @zyxelru tg.guru/zyxelru
Роутеры Mikrotik шикарны с точки зрения сетевого инженера. Они позволяют строить невероятно сложные сетевые решения. И стоит оборудование смешные деньги.
Но для малого и среднего бизнеса, не связанного с индустрией IT, он крайне сложен в установке. Для правильной настройки RouterOS бизнесмен должен нанять подрядчика, который специализируется на этом оборудовании, либо обучить своего сисадмина. В первом случае дорого, втором — долго… и снова дорого.
Уязвимость в WinBox (CVE-2018-14847) показала, что мало кто способен корректно настроить RouterOS. А те, кто настроил — обновляют прошивки крайне редко. Несмотря на то, что последняя уязвимая версия 6.42 была выпущена 20 апреля 2018 года, моя статья на Хабр подняла шум во всём мире, мне по настоящее время продолжают писать люди, которые только что обнаружили, что их роутер взломан через эту уязвимость…
Соотношение «цена-возможности» Mikrotik не всегда играет в пользу потребителя. Моя задача: найти сетевое оборудование, которое после прохождения «мастера» обеспечивает максимальный функционал для маленького офиса до 50 человек. При этом один из главных критериев — безопасность. Ведь, например, логистическую компанию должна беспокоить скорость доставки посылки к заказчику, а не отваливающаяся сеть и «висящий» терминал.
На аутсорсинг ко мне попал разворачивающийся маленький офис, заказавший установку сети на базе комплекта оборудования Zyxel: шлюз ATP 200, две точки Wi-Fi и управляемый PoE свитч. Опыт оказался достаточно интересным, учитывая, что к Zyxel я всегда относился с пренебрежением.
Как мне известно, Keenetic появился как кастомная прошивка для роутеров Zyxel, которую компания взяла под свою опеку. В 2016 году keenetic отделился от Zyxel и стал выпускать своё оборудование самостоятельно.
То есть сейчас Keenetic не имеет никакого отношения к Zyxel.
Перед тем, как я получил Zyxel на руки, я поинтересовался мнением своих знакомых сетевиков, как они относятся к этому оборудованию:
«Мы его к себе в датацентры не ставим, ибо это не энтерпрайс решение. А вот нашим клиентам подрядчики ставят. Оно просто работает… Поставили и забыли.»
Безопасность
Разумеется, я полез смотреть зарегистрированные CVE (Common Vulnerabilities and Exposures).
За 2018 год зарегистрировано CVE:
Даже малоизвестный Eltex из Новосибирска имеет 5 уязвимостей.
Zyxel 7 уязвимосетей.
У Zyxel меня позабавила уязвимость CVE-2018-9149 с максимальным рейтингом опасности:
The Zyxel Multy X (AC3000 Tri-Band WiFi System) device doesn’t use a suitable mechanism to protect the UART. After an attacker dismantles the device and uses a USB-to-UART cable to connect the device, he can use the 1234 password for the root account to login to the system. Furthermore, an attacker can start the device’s TELNET service as a backdoor.
Сразу вспоминаются кадры из любимых шпионских боевиков, где главный герой/злодей проникает на базу по верёвке и цепляется к некой коробочке проводком, чтобы остановить/запустить ядерные ракеты, нацеленные на… *додумайте сами*.
То есть, чтобы воспользоваться этой уязвимостью, необходимо атакующему подключиться к Wi-Fi точке физически, используя специальный кабель USB-to-UART!
Вопросов к надежности Zyxel по CVE у меня не осталось.
Распаковка
Коробочки пришли, а стены еще красят. Распаковываем дома.
Первое мое впечатление – это вес! ATP 200 весит 1.4 кг для своего маленького размера (272x36x187 мм). Точки доступа также заметно тяжелее Ubiquiti.
В коробках с точками не было блоков питания. Такое оборудование при адекватной установке запитывается по PoE. Управляемый свитч GS1200-5HP для этого и был приобретён.
Первое включение
Подключил ATP200 к ноуту кабелем через порт P4 (из lan) шлюза. В wan1 воткнул проводной интернет, в USB1 E3272 с прошивкой Hi-Link и в USB2 свой Андроидфон в режиме «USB модема». Загружался он около минуты. Далее по «Quick Start» я полез на 192.168.1.1. Вот тут меня ожидала первая неприятность. Вебморда у него работает по SSLv3, который на современных браузерах выключен. Включаем:
При первом входе он не дает перейти к следующему действию без смены пароля, в отличие от RouterOS. Далее стартует «мастер», в котором я указал, что хочу использоваться второй порт wan (p3). Дополнительных устройств «мастер» не увидел.
Сервисы оставил также по умолчанию.
Так как у меня есть беспроводные точки, то включаю контроллер WiFi сразу:
Еще один плюс в безопасности: крайне опасная функция по умолчанию выключена:
Повторно логинимся и тут же прилетает уведомление о новой прошивке.
Вот и всё! Ноутбук бороздит просторы мировой сети интернет! Правда, только через порт wan1.
Резервный канал
Лезем в конфиг с целью добавления USB модема и Андроидфона в группу портов WAN. В «Конфигурация → Интерфейсы» активным становится только Hi-link модем. Андроидфон так и остался не распознанным.
В свойствах соединения можно установить проверку канала по:
а также установить параметры лимитированного соединения, например, по объему трафика, если он у оператора ограничен.
Далее нам надо разрешить выпускать клиентов через этот модем. Я сделал его равнозначным каналу, который воткнул в wan1:
Жмём внизу «применить» и всё! Вся сеть будет ходить сразу по двум каналам.
Подключаем WiFi
Тут чуть-чуть сложнее.
Редактируем профиль безопасности.
Конфигурация → Объекты → Профили точек доступа → SSID → Список профилей безопасности. Выбираем профиль default и жмём «Редактировать»:
Указываем wpa2 и чуть ниже ключ от сети.
Сохраняем и переходим в соседнюю вкладку «Список SSID». Редактируем профиль «default», задав имя для своей точки.
Настройки для точек по «умолчанию» мы под себя отредактировали.
Теперь разрешаем автоматически регистрировать «пустые» точки.
Включаем точки в PoE свитч. Свитч включаем в lan порт (p4-p7). И… И всё. Точки автоматически обнаружены и на них загружен конфиг.
Выключаем автоматическое привязывание точек. Плюс в карму безопасности.
Жмём «применить» и радуемся новой сети.
Что дальше?
Углубляемся в безопасность. Да здравствует сеть, защищенная и снаружи, и изнутри! Непреложный закон хорошего офисного админа – из всех развлекушек оставить только пасьянс косынка в свободном доступе!
Мне сильно понравилась фишка «патруль приложений». Не надо заморачиваться написанием regex инструкций для фильтрации L7, как в Микротик. Оно уже есть. Надо только добавить в политику, и всё.
Блокировка мессенджеров, онлайн-игр или социальных сетей без пота, крови и слез молодых админов.
Дашборд такой, как любят большинство начальников: с картинками и графиками. Видно, куда чаще всего идут обращения, что и сколько заблокировано, и т.д.
У Zyxel есть система централизованного управления Nebula, которую поддерживают выданные мне Wi-Fi точки. С первого взгляда — это SDN, который активно внедряют в крупных датацентрах. Но это тема уже другой статьи 🙂
А дальше ноут на просторах глобальной сети уже нашел инструкцию в 800 с лишним страниц и примерно такого же объёма хэндбук.
Лицензии
Как ни грустно, но лицензия на обновляемые базы сигнатур не бесконечна, и после первой активации шлюза сигнатуры обновляются в течение года. Далее надо подписку продлевать.
Годовая подписка на Gold стоит 38 600 рублей, а на Silver — 29 000.
Тут вопрос выгоды в каждом конкретном случае. Например, с ATP200 держать слабого админа за 30к в месяц и покупать лицензию за 40к в год, либо пользоваться Mikrotik с доп. сервером (под Сурикату) и держать «бородатого» админа за 80к в месяц.
Заключение
Для меня плюсы железок Zyxel, которые мне попались:
Опять-таки базовый функционал разворачивается легко и за короткое время.
Разумеется, есть и свои недостатки. Нужно привыкать к логике настройки. ATP200 знает мало протоколов туннелирования, например, не подходит для проброса SSTP туннеля.
Любое оборудование надо подбирать под конкретные задачи.
Обучение работе на оборудовании Zyxel (ZCNA) стоит дешевле конкурентов — 15000 рублей! Официальный MTCNA — от 22000 рублей. Cisco, безусловно вне конкуренции – как по разнообразию курсов, так и по их стоимости, приближающейся к деталям самолета.
Ввиду того, что не все на Хабре могут комментировать, и я не нашёл действующего чата Zyxel в Telegram, то создал @zyxelru. Приглашаю обсудить кейсы, настройки и прочие хитрости применения оборудования Zyxel, а также идеи для новых статей на Хабр для серии «В поисках кнопки «Сделать хорошо»».
OpenWrt vs. Mikrotik vs. Keenetic для дома
Уже много лет в моем доме трудится роутер TP-Link TL-WDR3600 с прошивкой OpenWrt. Брал его ещё в студенческие времена, когда денег было не очень много, зато было время и желание покрасноглазить и поэкспериментировать. На первых порах использовал его и в хвост и в гриву, даже развернул на нем домашний сервер. Со временем необходимость в подобных выкрутасах отпала, большинство задач переехала на более подходящие для этого устройства, а на роутере остались только вещи, связанные непосредственно с сетью:
Кроме того, несколько раз слышал хорошие отзывы о Keenetic. Понятно, что это устройства сугубо для дома и рассчитанные в первую очередь на домохозяек, но если в них есть SSH-доступ и возможность устанавливать сторонний софт, то, может, и хватит для моих задач. Есть у кого-нибудь подобных опыт?
Microtik сразу забей, они AC до юзабельного состояния довели только в этом году, а ax ещё лет пять доводить будут..
у mikrotik слабый wifi, + там ущербная поддержка openvpn ( хотя ipsec замечателен ).
Нормален, поддерживает entware.
Можешь как вариант купить xiaomi роутер и поставить туда openwrt
у mikrotik слабый wifi, + там ущербная поддержка openvpn
В семере вроде завезли нормальный openvpn и даже wireguard..
Ну не, микротов у меня больше не будет.. Говно. Ибо правда, в wifi они не умеют..
но зато там очень удобный gui. Все можно буквально настраивать мышкой в отличие от openwrt ( где куча различных приложений )
Можешь как вариант купить xiaomi роутер и поставить туда openwrt
Ты видел tomato? И в микротике половина фичей настраивается только из cli.
И в микротике до сих пор нет udpxy, что для меня актуально.
Microtik сразу забей, они AC до юзабельного состояния довели только в этом году, а ax ещё лет пять доводить будут..
А что конкретно не работает?
Уже вроде все ок, но конкретно не работало 5Ghz на hAP Ac2 и на rb4011igs+5hacq2hnd-in больше года. Сейчас с подачи микротиковских форумчан починили, но сами микротики морозились год 🙂
И в микротике до сих пор нет udpxy,
Пля. Ну у тебя сдохло и хорошо, а у меня микротик не может в мультикаст по вафле. Прова менять не предлагать..
у mikrotik слабый wifi, + там ущербная поддержка openvpn ( хотя ipsec замечателен ).
Насколько слабый? У меня квартира, не частный дом. У нынешнего роутера 5 ГГц затухает на кухне, а вот 2.4 ГГц вполне себе добивает, даже на улице поймать можно.
Можешь как вариант купить xiaomi роутер и поставить туда openwrt
Думал и о таком варианте. Было много жалоб на драйвер mt76, не знаю, в каком состоянии он сейчас. Ну и см. стартовый пост про OpenWrt, есть ощущение, что на заводской прошивке роутер работал лучше.
И в микротике до сих пор нет udpxy, что для меня актуально.
Да, это минус. Даже igmp proxy нет?
Не, это появилось в 2019 :)))
Но про мультикаст по вафле можешь забыть, даже в 5GHz..
Уже вроде все ок, но конкретно не работало 5Ghz
Откуда тогда столько восторженных отзывов от владельцев Микротиков? Даже владельцы Apple-девайсов так не радуются. Или сам факт покупки железки, которая почти-как-циска вызывает такие эмоции?
У микротыка это делается буквально несколькими кликами мыши. На стороне VPS достаточно поставить docker с настроенным ipsec.
Всё это раскидано по нескольким конфигам, примеров нет
Насколько слабый? У меня квартира, не частный дом. У нынешнего роутера 5 ГГц затухает на кухне, а вот 2.4 ГГц вполне себе добивает, даже на улице поймать можно.
Оно так и будет. По личным наблюдениям у keenetic ultra wifi 5Ghz мощнее, чем у hAP Ac2.
Так что покупай keenetic и не парься. shadowsocks там можно поставить на entware. У них кстати в офицальной прошивке есть возможность ставить entware и сторонние пакеты. Не каждый роутеростроитель может этим похвастаться.
Откуда тогда столько восторженных отзывов от владельцев Микротиков
Так фэнбои, что с них взять..
Пишут что сделали UDP в RouterOS 7 (но она бета ещё).
Кинетик и домохозяевам подойдёт. Поддерживает приложки от опенврт.
Плюс у них есть свой бесплатный ddns.
Я б взял железку на атоме с возможностью воткнуть PCIe вайвай карту. Все таки можно полноценную ОС вкорячить и возможностей побольше.
Уже вроде все ок, но конкретно не работало 5Ghz
Откуда тогда столько восторженных отзывов от владельцев Микротиков?
Прикинь, у них железки вовсе без WiFi бывают. Отзывы, в основном, от тех, кому надо что-то необычное. Например вот в качестве PPPoE сервера работает, OSPF умеет.
Пишут что сделали UDP в RouterOS 7 (но она бета ещё).
Да там и tcp кривое
openvpn сам по себе кривой и тормозной. У микротыка железная поддержка ipsec ( до 450 мбит )
А 450 ты откуда взял?
Так что покупай keenetic и не парься. shadowsocks там можно поставить на entware.
Ок. Тогда два вопроса
1) Как у них с апдейтами, фиксами багов и уязвимостей?
2) Как организован доступ к ipset, iptables и таблицам маршрутизации? Есть ли какая-нибудь инфраструктура с конфигами а-ля OpenWrt, или просто SSH и портянки из скриптов?
С некоторым скепсисом смотрю на RouterOS и её ярых фанатов
Что вспомнил. Можно качнуть RouterOS для x86 и месяц посмотреть. Может в виртуалке.
Купи ещё один туполинк и не парься
Можно взять железо от MikroTik и попробовать RouterOS. Если не понравится или не хватит возможностей, то запустить на этом железе OpenWrt.
Я это проделывал с RB750Gr3 и RB960PGS.
RouterOS хороша тем, что имеет (как и большинство профессионального сетевого оборудования) достаточно ортогональную систему конфигурации — можно зайти на любую железку и сказать «/export», прочитать конфиг и понять, что и как она делает. OpenWrt же, напротив, больше похож на типичные линуксы — есть много способов настроить одно и то же (начиная от uci и заканчивая /etc/rc.local), что делает конфигурацию более хрупкой. Это одновременно и плюс, и минус OpenWrt — он даёт огромную гибкость, но если периодически вносить какие-то изменения и не документировать их, то через пару лет повторить конфигурацию даже на такой же новой чистой железке (например, если текущая сгорит) будет трудно. А ещё в OpenWrt легко внести какое-то рантаймовое изменение (например, из шелла добавить фаервольное правило или маршрут), тогда даже на файловой системе не останется никаких следов, и при следующей перезагрузке изменения пропадут — можно будет долго гадать, а как же оно раньше работало, и почему теперь перестало. Конечно, при хорошей дисциплине документирования всего этого можно избежать, но много ли кто будет заниматься таким для дома?
Для Wi-Fi лучше брать отдельные коробки — часто в квартире выгодные (удобные) места для концентрации проводов и для распространения радиосигналов не совпадают. Если есть постоянно работающий компьютер с линуксами, который всё равно регулярно обслуживается, то я бы взял свитч с 802.1q, точку доступа и завёл бы всю маршрутизацию и прочие сетевые функции/сервисы (терминирование IPv6, IPSec, Wireguard, прочих VPN, DHCP(v6)/RA, DNS (рекурсор и внутренние зоны), фаервол) на этот компьютер, возможно сделав из него «router-on-a-stick» (когда на один сетевой интерфейс приходит несколько тегированных VLAN для маршрутизации).
Если есть постоянно работающий компьютер с линуксами, который всё равно регулярно обслуживается, то я бы взял свитч с 802.1q, точку доступа и завёл бы всю маршрутизацию и прочие сетевые функции/сервисы (терминирование IPv6, IPSec, Wireguard, прочих VPN, DHCP(v6)/RA, DNS (рекурсор и внутренние зоны), фаервол) на этот компьютер
Ну, кстати, это и с микротиковской точкой можно. Я так с cAP ac сделал. Точку примерно в центр квартиры, питание по PoE.
RouterOS профессионального сетевого оборудования
Да ты упрлс. Она «профессиональная» не больше, чем подвальный туполинк со стоковой прошивкой. Большинство фич реализовано для галочки, чтобы в маркетоидном буллщите написать про это. Ну хомячки и ведутся.
Ну и никогда не стоит забывать о Turris Omnia.
Да ты упрлс. Она «профессиональная» не больше, чем подвальный туполинк со стоковой прошивкой.
У нынешнего роутера 5 ГГц затухает на кухне, а вот 2.4 ГГц вполне себе добивает, даже на улице поймать можно.
У hAP ac2 примерно также.
У меня квартира, не частный дом. У нынешнего роутера 5 ГГц затухает на кухне
Это очень плохо, вообще-то. Я бы сказал, неприемлемо.
Тому куча причин может быть, от материала стен до состава обоев…
Ты забыл упомянуть, что все это состоит из велосипедов, говна и палок, а по функционалу не приближается к реальным вещам в принципе. RouterOS сделана дилетантами для дилетантов, а если хочется окунуться в мир настоящих роутеров занедорого, есть EdgeOS, основанная на Debian и Vyatta.
есть EdgeOS, основанная на Debian и Vyatta.
В общем-то там не лучше. Мелкие роутеры от Ubiquiti я тоже смотрел. Например Netflow на Микротике у меня никогда не валился, а там только в путь (вот им бы, кстати, на ipt_netflow с этим переехать). Писал скрипт, чтобы дёргал процесс. Хотя конечно шел нормальный некоторый плюс даёт. И вроде там пакеты доустановить можно, но не помню уже.
не работало 5Ghz на hAP Ac2
lolwut, у меня hAP ac^2 и 5 ГГц работало всё это время
Сейчас появилось желание обновить роутер до чего-нибудь с поддержкой 802.11ac, а может даже с 802.11ax.
а зачем тебе обязательно «комбайн»? роутер оставь и купи точки доступа ax, ax wifi у микротика нет, и даже mu-mimo и wave2 нет.
если много денег возьми Unifi HD серии в каждую комнату, понтово и лоровцы уважать будут, или EAP245/EAP225 если уважение не так и важно. к последним в докере можешь крутить контроллер для бесшовной связи. Если хочется ax, то придётся early adopter tax заплатить.
Чтобы не крутить в докере, можно купить малинку для контроллера (+ к уважению) или их клауд ки (+ к понтам и удобству обновления)
разве? упоминаний нигде не вижу об этом https://mikrotik.com/product/cap_ac
Это обычный Debian + нормальный шелл + конфиги в json.
В общем не знаю, как сейчас, а лет пять-семь назад отдавало сыростью это всё. Вообще роутер вон за спиной лежит, можно попробовать накатить обновление и посмотреть. Но лень пока.
У меня есть в хозяйстве маленький USG3, так на нем даже wireguard крутится. Правда, на чистом конфиге EdgeOS, но настроено через файл на контроллере, без говна и палок.
Топ-5 роутеров для дома: стабильное соединение и широкие настройки
Желание развернуть Wi-Fi появляется в любом помещении, где есть интернет. И даже в тех, где его нет, но хорошо ловит мобильная связь. Рассказываем о самых популярных роутерах в 2021 году — любой из них достоин внимания.
За последние лет 10 роутеры стали заметно функциональнее. Теперь их можно настраивать через мобильное приложение, создавать черные и белые списки ресурсов, гостевую сеть. И для этого вовсе не обязательно покупать дорогую модель.
В ассортименте устройств, доступных в 2021 году в магазинах, мы отобрали пять моделей с достойными характеристиками, высокими рейтингами и хорошими отзывами покупателей. Уверены, такая подборка облегчит вам выбор.
MikroTik hAP ac2
Техника для сетей от компании Mikrotik пользуется большим спросом среди профессионалов и простых пользователей благодаря функционалу выпускаемой продукции. Универсальный роутер для дома и офиса hAP ac2 работает на частоте 2,4 и 5 ГГц, поддерживая аппаратное ускорение IPsec. Рекомендуется выставлять частоту 5 ГГц, чтобы исключить появление помех от сопряженных устройств.
Максимальная скорость соединения — 1167 Мбит/с, объем ОЗУ — 128 Мб. Роутер имеет мощность 27 dBm, а коэффициент усиления внутренней антенны составляет 2,5 dBi, что позволит покрывать большое пространство дома или в небольшом офисе.
В отзывах покупатели отмечают высокое качество сборки, компактные размеры роутера, низкий уровень энергопотребления. Отдельно стоит заметить стабильность работы: сеть не пропадает внезапно, как у многих других моделей.
Keenetic Extra (KN-1711)
Если вы хотите приобрести надежный роутер для дома, то 2-диапазонная модель Keenetic Extra KN-1711 будет как нельзя кстати. Девайс может поддерживать частоту 2.4 и 5 ГГц, что обеспечит существенную прибавку к скорости передачи данных. Конструкция предполагает наличие 4 антенн, которые имеют поддержку 5 dBi.
Характерной чертой роутера является возможность подключения USB-модема. Если вашим провайдером предоставляются услуги невысокого качества, то посредством мобильного подключения можно подстраховать работу Keenetic Extra.
Пользователи в отзывах отмечают интуитивно понятную настройку при подключении, а также устойчивость работы в каждом частотном диапазоне. Приятным бонусом также станет наличие удобного ПО на Андроид для управления маршрутизатором. Модель заслуженно пользуется спросом на рынке, что подкрепляется большим количеством положительных отзывов на Яндекс Маркете.
Xiaomi Mi Wi-Fi Router 4A Gigabit Edition
Удивительно, но к устройству дешевле 2000 руб. у пользователей практически нет претензий. Разве что некоторых угораздило купить китайскую версию, в котором прошивка не предусматривает использования других языков.
TP-LINK Archer C6
Если вы хотите приобрести мощный роутер со стабильным и высокоскоростным подключением, то следует обратить внимание на Archer C6 от TP-LINK. Устройство имеет стильный дизайн, который отличает многие модели серии, включая предшественника Archer C5. Со скоростями здесь все в порядке: 1 гигабитный WAN-порт и 4 гигабитных LAN-порта делают работу эффективнее в 10 раз в сравнении с Ethernet-каналом.
В отзывах пользователи положительно отмечают TP-Link Tether, приложение, управляющее работой TP-Link Archer C6. Настраивать Archer C6 можно со смартфона, при этом гаджет должен быть подключен к сети роутера. USB-разъем тут не предусмотрен, потому подключить принтер, сканер, МФУ не удастся.
Keenetic Giga KN-1010
Завершает наш рейтинг популярный Giga KN-1010, который сочетает в себе производительное железо и продуманный софт. Перед появлением Keenetic Ultra, KN-1010 являлся флагманом серии, однако и по сей день роутер не уступает своих позиций. Это стало возможным благодаря максимальной производительности маршрутизации, работы приложений и серверов VPN. KN-1010 имеет 4 LAN-порта и 1 SFP для оптических модулей. Кроме того, нужно отметить наличие разъемов USB 3.0 и 2.0, что позволит подключать к роутеру различные девайсы. Максимальная скорость соединения равняется 1267 Мбит/с, что достаточно высокий показатель, объем ОЗУ — 256 Мбайт.
KN-1010 — один из лучших роутеров в соотношении функционала, скорости, удобства настройки и цены. На рынке можно найти и более производительные модели, которые оборудованы мощными процессорами и имеют больший объем ОЗУ, однако в своем ценовом сегменте KN-1010 занимает лидирующие места.
Если вы работаете из дома, как многие в «ковидную» эпоху, почитайте другие наши подборки. Например, с лучшими веб-камерами или полезными аксессуарами, которые расширяют возможности ноутбуков.
