Funkcjonalność: TAK, wydajność: NIE, czyli MSI RG54GS Wireless Residential Gateway

6 kwietnia 2004 0 przez Artur Wyrzykowski

MSI RG54GS Wireless Residential Gateway jest jednym z licznych urządzeń wielofunkcyjnych przeznaczonych do zastosowania w domu. Większość takich produktów ma zbliżone możliwości, ale zawsze trafi się jakiś szczegół, który odróżnia je od reszty. Podobnie jest w przypadku RG54GS – wyróżnia się on wbudowanym serwerem druku i dobrym firewallem. Nowe oprogramowanie daje mu jeszcze inne możliwości – m.in. zestawianie połączeń VPN i zabezpieczanie sieci bezprzewodowej za pomocą WPA. Okazało się również, że sterowniki kart sieciowych pozwalają na pracę tych kart w trybie punktu dostępowego.

Przeznaczeniem rutera RG54GS jest praca na styku Internetu i sieci lokalnej, wykorzystuje on mechanizm translacji adresów NAT. Bezpośrednio do urządzenia można podłączyć cztery komputery, a także zapewnić łączność bezprzewodową 802.11g (54 Mb/s) dla kilkunastu, a w ostateczności nawet 20-30 komputerów. Maksymalna liczba obsługiwanych komputerów to teoretycznie 253 (po instalacji dodatkowych przełączników w sieci).



Wyjście zewnętrzne rutera jest wykonane w standardzie Ethernet, a więc można go podłączyć bezpośredni do sieci operatora, który doprowadza do domu kabelek Ethernet (np. sieci osiedlowe) albo do modemu kablowego lub DSL. Ruter RG54GS ma także port USB 1.1, do którego można podłączyć drukarkę – w ten sposób mogą z niej korzystać wszyscy użytkownicy sieci.

Według specyfikacji urządzenie zapewnia raczej dość typowe funkcje – eksport usług z sieci lokalnej do publicznej (Port/Address Forwarding, inaczej Virtual Server), funkcję serwera DHCP, wydzieloną strefę zdemilitaryzowaną (DMZ, czyli bez ochrony za pomocą firewalla), przepuszcza również połączenia VPN. Zabezpieczenia interfejsu bezprzewodowego nie są wyrafinowane, bo jest to tylko 64- lub 128-bitowe szyfrowanie WEP oraz filtrowanie ruchu z użyciem adresów MAC. Natomiast łącze od strony Internetu jest zabezpieczone przez naturalną zaporę ogniową, jaką stanowi NAT, a także zaporę z pełną inspekcją pakietów (Stateful Packet Inspection), z ochroną przed włamaniami do sieci i atakami DoS.

Nowa wersja firmware’u znacznie zmienia możliwości rutera – pozwala na tworzenie bezprzewodowych mostów (czyli łączenie sieci LAN, zestawianie łączy między operatorem a klientem), zestawianie połączeń VPN, korzystanie z zabezpieczeń WPA. Niestety, aktualizując oprogramowanie producent zapomniał o aktualizacji pomocy, która jest dostępna bezpośrednio w programie konfiguracyjnym.

Z wyglądu urządzenie MSI nie wyróżnia się niczym szczególnym, ma dwie antenki (niestety, zamocowane na stałe), kilka kontrolek informujących o prawidłowym zasilaniu i stanie poszczególnych interfejsów. Z tyłu obudowy jest pięć gniazd RJ-45, złącze USB, gniazdo zasilające oraz przycisk służący do restartu urządzenia oraz przywracania ustawień fabrycznych. Od spodu znajdują się dwa otwory, dzięki którym można zamocować ruter na ścianie czy suficie.



Po podłączeniu zasilania wygląd staje się nieco bardziej bajerancki 😉



Do urządzenia jest dołączona krótka instrukcja, w której są wymienione domyślne ustawienia – adres IP rutera, maska podsieci i domyślne hasło, a także parametry sieci bezprzewodowej – SSID i kanał. Dzięki tym informacjom instalacja zajmuje kilka minut, po czym można dostać się do programu konfiguracyjnego. Jednak po instalacji okazało się, że nie każdy komputer spełnia wymagania systemowe dla rutera, a są one naprawdę dziwne.



Skąd wzięły się takie wymagania? Przecież do rutera można podłączyć komputer z dowolnym systemem, a sprzęt skonfigurować przy pomocy przeglądarki. Chyba nie chodzi też o żadne programy narzędziowe – na płycie CD producent dostarcza właściwie tylko dwa pliki PDF – instrukcję szybkiego uruchomienia urządzenia oraz podręcznik użytkownika (oba w wersji angielskiej). System Windows jest potrzebny tylko do tego, by wyświetlić interfejs, który daje dostęp do obu PDF-ów.





(kliknij aby powiększyć)

W końcu doszliśmy do wniosku, że na pewno chodzi o możliwość druku sieciowego – rzeczywiście można go wykorzystać począwszy od systemów Windows 98 (a właściwie 98SE), ale czy tylko Windows? 🙂


Szybki start

Urządzenia taj klasy co RG54GS są bardzo łatwe do uruchomienia, często mają specjalne kreatory ułatwiające skonfigurowanie podstawowych parametrów. Nie inaczej jest w przypadku testowanego sprzętu. Po wpisaniu w przeglądarce adresu urządzenia (domyślnie 192.168.1.254) zobaczymy taki interfejs:





(kliknij aby powiększyć)

Podajemy domyślne hasło (admin) i mamy dwie możliwości: ustawienie najczęściej używanych parametrów (Typical Configuration) oraz skorzystanie ze wszystkich możliwości rutera (Customized Configuration):





(kliknij aby powiększyć)

Trzeba przyznać, że firma MSI bardzo dobrze dopracowała interfejs konfiguracyjny – jest on estetyczny i ergonomiczny, w dodatku w trzech przeglądarkach (IE, Opera, Mozilla) jego wygląd jest niemal identyczny.

Zobaczmy, jakie parametry MSI uważa za podstawowe – wchodzimy w sekcję Typical Configuration. W kilku krokach można ustawić strefę czasową (potrzebną do prawidłowego logowania informacji w dzienniku zdarzeń) i rodzaj połączenia (modem kablowy lub DSL), wprowadzić nazwę hosta i ustawić adres MAC inny niż fabryczny, a także zmienić SSID i kanał dla łączności bezprzewodowej.





(kliknij aby powiększyć)

Niestety, brakuje w tym miejscu dwóch rzeczy. Po pierwsze, na samym początku konfiguracji przydałaby się zmiana hasła – jeśli nie jest to wymuszone przez kreator, to większość osób pewnie zostawi domyślne hasło admin. W kreatorze brakuje także jakichkolwiek ustawień dotyczących zabezpieczeń interfejsu bezprzewodowego, więc sieć jest dostępna nawet dla przypadkowych osób. I pewnie również w tym przypadku wiele osób wyjdzie z założenia, że skoro sieć już działa, to po co jeszcze przy niej grzebać? Niestety, taka prawda – wynika z testów przeprowadzonych w Wielkiej Brytanii – do większości sieci bezprzewodowych można się dostać bez problemu, i to nie poprzez włamanie, ale dzięki brakowi jakichkolwiek zabezpieczeń, nawet szyfrowania WEP. W Polsce jest zapewne tak samo…

Nie ma się co dziwić, że bezpieczeństwo łączności bezprzewodowej ma kiepską opinię. Co z tego, że ruter RG54GS ma dobrą, stanową zaporę ogniową, skoro każdy może wejść do sieci przez niezabezpieczony interfejs radiowy. W interesie producentów sprzętu jest to, by zabezpieczenia były domyślnie włączane – przyczyni się to do zwiększenia bezpieczeństwa sieci bezprzewodowych, poprawi ich nadszarpniętą opinię, a być może dzięki temu zwiększy popularność takich rozwiązań.


Więcej możliwości

Oczywiście nie ma sensu opisywać wszystkich ustawień rutera RG54GS, wymienimy je tylko w skrócie i skupimy się na kilku najważniejszych. Gdy uruchomimy szczegółową konfigurację urządzenia (Customized Configuration), w górnej części interfejsu zobaczymy kilka sekcji ustawień. Są one bardzo logiczne i nie trzeba się długo zastanawiać, do czego służą poszczególne opcje. Oto lista możliwości:

  • System – sekcja służąca do zmiany ustawień systemowych, jak hasło, strefa czasowa, port do zdalnego zarządzania (ze strony Internetu), restart urządzenia, przywrócenie ustawień fabrycznych, aktualizacja oprogramowania, podgląd stanu systemu i interfejsów sieciowych, statystyki sieci oraz dziennik zdarzeń. Po aktualizacji oprogramowania wbudowanego w urządzenie (firmware’u) do wersji 1.0.1.0 doszły funkcje zapisu ustawień do pliku i odtworzenia z pliku;




  • (kliknij aby powiększyć)

  • Internet – ustawienia dotyczące połączenia z Siecią, a więc sposób podłączenia (modem DSL lub kablowy), dla każdego rodzaju połączenia odpowiednie opcje (nazwa i hasło użytkownika, adres IP i maska podsieci, itp.), adres MAC rutera oraz opcje dotyczące dynamicznej usługi DNS (za pośrednictwem DynDNS.org, a po aktualizacji firmware’u również miniDNS.net);




  • (kliknij aby powiększyć)

  • LAN – w tym miejscu można ustawić adres IP rutera (tylko dwa ostatnie oktety, a więc 192.168.x.x), skonfigurować serwer DHCP (zakres adresów, czas dzierżawienia adresu), mapowanie adresów IP-MAC na stałe. Nietypową i przydatną funkcją jest możliwość włączenia filtru adresów MAC dla sieci lokalnej (jest on domyślnie wyłączony). W nowej wersji firmware’u pojawiła się obsługa UPnP;




  • (kliknij aby powiększyć)

  • Wireless – sekcja dotycząca interfejsu bezprzewodowego, w której można ustawić SSID, kanał, wyłączyć rozgłaszanie SSID, ustawić tryb pracy sieci (tylko 802.11b, tylko 802.11g oraz wybór automatyczny), domyślną szybkość, szyfrowanie WEP (klucze w postaci 5- lub 13-znakowych ciągów ASCII), filtr na poziomie adresów MAC (domyślnie wyłączony). Nowe oprogramowanie dodaje także obsługę zabezpieczeń 802.11x i WPA (uwierzytelnianie za pomocą klucza WPA-PSK lub serwera RADIUS), udostępnia funkcję mostu bezprzewodowego, umożliwia także regulowanie mocy sygnału emitowanego przez ruter (25, 50, 75 i 100%);




  • (kliknij aby powiększyć)

  • NAT – sekcja, w której można skonfigurować statyczną translację adresów (maksymalnie 5 adresów publicznych mapowanych na adresy prywatne), włączyć eksport usług z sieci LAN do Internetu (Virtual Server) z translacją adresu i portu, a także zmienić ustawienia dla aplikacji korzystających w nietypowy sposób z portów sieciowych (Special Appllications);




  • (kliknij aby powiększyć)

  • Firewall – zapewnia filtrowanie ruchu wychodzącego, przychodzącego, ukrywanie rutera w sieci przez zablokowanie protokołu ICMP, tworzenie strefy DMZ; umożliwia również przesyłanie logów bezpieczeństwa pod określony adres e-mail. Poniżej poświęcamy temu tematowi nieco więcej miejsca;
  • Printer – funkcje umożliwiające włączenie lub wyłączenie serwera druku i monitorowanie kolejki zadań;




  • (kliknij aby powiększyć)

  • VPN – nowe oprogramowanie rutera umożliwia nie tylko przepuszczanie połączeń VPN, ale także ich zestawianie, w charakterze klienta oraz serwera; umożliwia także przeglądanie statystyk.


Zapora

Warto poświęcić trochę miejsca na opis konfiguracji zapory ogniowej, bo daje ona spore możliwości. Domyślne ustawienia Basic Settings są takie jak na ekranie – zapora oferuje niski poziom ochrony, jest włączona pełna inspekcja pakietów, ruch wychodzący jest przepuszczany, a przychodzący ignorowany.





(kliknij aby powiększyć)

Natomiast po zwiększeniu poziomu ochrony (z Low na High) zapora dodatkowo chroni przez spoofingiem IP (czyli podszywaniem się intruza pod inny adres IP, co pozwala np. na przekierowanie ruchu sieciowego) oraz atakami DoS SYNC Flooding (czyli paraliżem sieci przez zalanie pakietami TCP SYNC). Można także całkiem wyłączyć zaporę. Osobne ustawienie dotyczy protokołu ICMP – opcja WAN ICMP Blocking pozwala włączyć lub wyłączyć możliwość „pingowania” rutera od strony Internetu.

Ruter MSI pozwala także bardzo precyzyjnie kierować przepływem pakietów, do czego służą ustawienia Service Filters oraz Policies. Te pierwsze pozwalają powiązać konkretnych usług z numerami portów TCP i UDP – dzięki temu podczas późniejszej konfiguracji posługujemy się nie numerami lecz nazwami. Domyślnie jest 39 usług, można dodawać własne, choć pewnie rzadko będzie to potrzebne.





(kliknij aby powiększyć)

Natomiast grupa ustawień Policies umożliwia określenie konkretnych reguł filtrowania. Można więc całkiem zablokować ruch przychodzący i wychodzący (w Basic Settings), a następnie określić szczegółowe zasady dostępu do sieci. Najlepiej widać to na poniższym zdjęciu ekranu – zakładamy, że chcemy udostępnić pewne usługi internetowe określonym użytkownikom w określonych porach dnia. Wpisujemy nazwę reguły (np. WWW), z listy Available Service wybieramy protokoły (np. HTTP i HTTPS), w polu Policy Action wskazujemy Pass, co oznacza, że te konkretne protokoły będą przepuszczane. Następnie w polach Source IP oraz Destination IP wybieramy komputery, które będą miały dostęp do WWW (w naszym przypadku będzie to zakres kilku adresów. Możemy także zdecydować, że taka usługa będzie dostępna dla wybranych komputerów np. od poniedziałku do piątku, w godzinach 8-17.





(kliknij aby powiększyć)

Oczywiście nic nie stoi na przeszkodzie, by dla każdego komputera określić zupełnie inne reguły filtrowania i inne pory działania poszczególnych usług. Do szczęścia brakuje jeszcze tylko możliwości przydzielania pasma dla użytkownika lub usługi – na razie urządzenia tej klasy nie oferują takich możliwości, ale pożyjemy, zobaczymy… 🙂 Na pewno taka funkcja przydałaby się bardzo w sieciach osiedlowych, często użytkownicy dopytują się o nią.

Druk przez sieć

W takich urządzeniach jak RG54GS serwery druku są rzadko spotykane, a na pewno czasem mogą się przydać – szczególnie w warunkach domowych lub małych firmach, gdzie jest kilka komputerów i jedna drukarka. Jeśli jest podłączona do jednego z komputerów, musi być on cały czas włączony. Z drukiem sieciowym nie ma takich problemów, w dodatku bardzo łatwo skonfigurować tą funkcję. W systemach Windows 98SE/Me trzeba zainstalować sterownik drukarki sieciowej – powinien być na płycie CD dołączonej do rutera MSI, ale go nie ma. Można go za to znaleźć na stronach MSI albo ściągnąć bezpośrednio stąd. Instalacja sterowników drukarki sieciowej odbywa się tak samo jak lokalnej, na początku można wskazać np. port LPT1. Po instalacji sterowników trzeba otworzyć okno z właściwościami drukarki i zamiast portu LPT wybrać port LPR, wpisać adres IP rutera i nazwę drukarki (lpd).

W nowszych systemach Microsoftu nie trzeba instalować żadnych dodatkowych składników. Instalacja samej drukarki odbywa się w podobny sposób – najpierw instalujemy ją lokalnie, w później zmieniamy port na sieciowy. Wszystko jest opisane w instrukcji i daje się przeprowadzić bez najmniejszego problemu. Oczywiście nic nie stoi na przeszkodzie, by na drukarce podłączonej do tego rutera drukować z poziomu innego systemu obsługującego ten system druku.


Możliwości karty sieciowej

Ruter MSI otrzymaliśmy do testu z kartą sieciową Wireless CardBus CB54G, zgodną z 802.11g, która posłużyła nam do jego testu.



Sprawdziliśmy wydajność urządzeń i zasięg sieci – okazało się, że te parametry nie są najlepsze – maksymalna rzeczywista wydajność jaką udało się nam osiągnąć to tylko 16,8 Mb/s, a więc znacznie poniżej oczekiwań. Ten sam ruter, ale z kartą D-Link DWL-AG650 pracował z szybkością ponad 22 Mb/s – taka szybkość jest zadowalająca, ale zdarzają się produkty zgodne z 802.11g przesyłające dane z rzeczywistą szybkością ponad 30 Mb/s (jak opisywana przez nas rodzina produktów D-Link AirPlus XtremeG+). Oczywiście wydajność sieci bezprzewodowej w wielu przypadkach nie ma znaczenia, bo i tak wąskim gardłem zawsze jest łącze internetowe.

Zasięg sieci okazał się bardzo typowy – przy tych samych warunkach pomiaru jak do tej pory (czyli w bloku mieszkalnym), sygnał przedostawał się tylko przez kilka ścian, na odległość 12-13 metrów. Niestety, trudno temu zaradzić, bo ruter ma anteny zamocowane na stałe i nie można zastosować lepszych, o większym zysku energetycznym.

Jednak karty sieciowe MSI mają coś, co jak dotąd spotyka się bardzo rzadko – oprogramowanie umożliwiające korzystanie z karty jak z punktu dostępowego. Takie rozwiązania były na początku dostępne tylko dla Linuksa, natomiast teraz zaczynają się pojawiać odpowiednie sterowniki dla Windows. Po instalacji sterowników karty należy wyłączyć obsługę sieci bezprzewodowych wbudowanych w system, wtedy można zmienić tryb pracy karty.



Kartę bezprzewodową można wykorzystać jako punkt dostępowy podłączony do sieci lokalnej – wtedy oprogramowanie automatycznie tworzy mostek składający się z kart WLAN i Ethernet, a także uruchamia własny serwer WWW, który daje dostęp do interfejsu konfiguracyjnego. Również tu dostępna jest konfiguracja w trybie Typical Configuration oraz Customized Configuration – w tym pierwszym przypadku ustawia się SSID sieci, kanał oraz hasło. Zaskoczyło nas to, że karta potrafi przeskanować eter i zaproponować odpowiedni kanał, by nasz punkt dostępowy nie kolidował z innymi, znajdującymi się w pobliżu.





(kliknij aby powiększyć)

Natomiast w szczegółowych ustawieniach można zmienić m.in. adres IP punktu dostępowego. Domyślnie karta Ethernet pobiera adres IP z serwera DHCP, a ponieważ jest połączona mostkiem z kartą bezprzewodową, również ta druga otrzymuje taki sam adres. Oczywiście można także ustawić wszystkie typowe parametry interfejsu radiowego (podstawowa i maksymalna szybkość pracy, RTS Threshold, Fragmentation Threshold itp.), włączyć szyfrowanie (tylko WEP), wykorzystać filtrowanie ruchu na poziomie adresów MAC.





(kliknij aby powiększyć)

Oprogramowanie pozwala również skonfigurować kartę sieciową do pracy w charakterze bramy sieciowej (Gateway Mode) – wtedy jest ona przełączana w tryb punktu dostępowego i służy do współdzielenia połączenia sieciowego. Ustala się dla niej dowolny adres IP (domyślnie 192.168.0.1, czyli taki, jak zawsze przydziela Windows XP w przypadku współdzielenia połączenia sieciowego). Trzeci tryb pracy karty sieciowej MSI to standardowy tryb klienta, który może być konfigurowany zarówno przez oprogramowanie dostarczone przez MSI, jak i przy pomocy narzędzi wbudowanych w system Windows XP.

Podsumowanie

Po pierwszych oględzinach sprzętu sieciowego MSI nie byliśmy zbyt zachwyceni jego możliwościami. Ruter wyróżniał się obecnością serwera druku, bardzo wygodnym sposobem konfiguracji zapory ogniowej, dopracowanym interfejsem konfiguracyjnym. Jednak to są możliwości, z których skorzysta tylko część osób. Natomiast funkcje do obsługi sieci LAN i połączenia internetowego były przeciętne, a zabezpieczenia sieci bezprzewodowej bardzo słabe (tylko WEP i filtrowanie adresów MAC). Nasze zdanie zmieniło nowe oprogramowanie urządzenia, które pojawiło się w samą porę – kilka dni przed zakończeniem testu. Najważniejszą zmianą jest możliwość stosowania zabezpieczeń WPA, a więc przede wszystkim zmiennych w czasie kluczy szyfrujących, które uniemożliwiają podsłuch sieci i włamanie do niej. Z tego powinny korzystać wszystkie sieci bezprzewodowe, bo to jest zabezpieczenie niemal stuprocentowo skuteczne. Niektórym użytkownikom przyda się także możliwość zestawiania tuneli VPN – jest ona obecna tylko w najlepszych produktach tej klasy.

Również karta sieciowa CB54G okazała się interesująca, a to za sprawą oprogramowania, które pozwala na jej pracę w trybie punktu dostępowego. Jeśli tej możliwości nie wykorzystamy, to pod każdym innym względem karta okaże się całkiem przeciętnym produktem. To użytkownik musi zdecydować, czy woli większy zestaw funkcji, czy raczej wybierze inne produkty, cechujące się lepszą wydajnością.









ZaletyWady


  • Wbudowany serwer druku

  • Dobry interfejs konfiguracyjny

  • Stosunkowo duże możliwości zapory ogniowej

  • Możliwość zestawiania i przepuszczania połączeń VPN

  • Praca karty sieciowej w trybie punktu dostępowego




  • Domyślnie wyłączone zabezpieczenia interfejsu bezprzewodowego

  • Anteny mocowane na stałe

  • Słaba wydajność




Do testów dostarczył
:

MSI Polska

www.msi-polska.pl

Ceny brutto:
ruter RG54GS – 499 zł,
karta PC Card CB54G – 229 zł.