Digi Connect WAN VPN Edge — интернет из воздуха
1. Общие сведения, подключение, настройка
Рынок мобильного интернета для конечных пользователей давно уже активно осваивается, этому немало способствуют предложения от мобильных операторов, таких, как «Билайн Мобильный офис», «МегаФон Модем» или «МТС Коннект». Подключение же корпоративных пользователей на рабочем месте к интернету через сети мобильных операторов пока еще не очень освоенная ниша. Многие системные администраторы подключают устройства и локальные сети к сетям мобильных операторов, адаптируя под свои нужны решения, подобные перечисленным выше. Например, автору доводилось подключать к интернету удаленный офис с помощью маршрутизатора с портом RS-232 и EV-DO модема через оператора Скай Линк.
Сегодня, на примере Digi Connect WAN VPN Edge, мы познакомимся с классом маршрутизаторов, в которых для подключения к интернету используется среда передачи данных, предоставляемая операторами мобильной телефонной связи.
Digi Connect WAN VPN Edge — одно из устройств семейства Connect WAN, производимых компанией Digi, и предназначенных для подключения локальных Ethernet сетей к интернету через 2G/2.5G и 3G сети мобильных операторов. Digi Connect WAN VPN Edge может работать в GSM 850/900/1800/1900 сетях и поддерживает GPRS Class 12 и EDGE Class 10, а так же поддерживает установку двух IPSec VPN туннелей (фактически возможность установки туннелей зависит от условий подключения).
Digi Connect WAN VPN Edge, внешний вид и комплект поставки
Устройство поставляется в простой серо-коричневой коробке, на коробке снаружи присутствует только логотип Digi и наклейка с названием устройства, его номером и штрихкодами.
Внутри коробки находятся:
-
маршрутизатор Digi Connect WAN VPN Edge;
-
антенна;
-
блок питания 12 В, 1,66 А;
-
трехметровый crossover кабель категории 5 с разъемами RJ-45;
-
компакт-диск с документацией и программой установки;
-
заглушки из разъемов DB-9m и 10P10C;
-
краткая инструкция по установке на английском языке.
Устройство выполнено в прочном металлическои корпусе размерами 85x133x25мм, снаружи имеются разъемы антенны, питания, сети Ethernet RJ-45, Serial DB-9f, Aux DB-9m и кнопка Reset. Разъем для установки SIM-карты утоплен в корпус и защищен металлической крышкой. Устройство имеет семь светодиодных индикаторов: подключения и активности сети Ethernet, подключения и активности сотовой сети, четырехсегментный индикатор уровня сигнала, индикаторы питания и диагностический. Digi Connect WAN VPN Edge поставляется в варианте для установки на горизонтальную поверхность, на нижней стороне имеются четыре резиновых ножки. Отдельно производителем поставляется скоба для крепрения на стену. На нижней стороне устройства расположен блок переключателей для настройки режима работы последовательного порта, RS-232/422/485.
Производителем устройство позиционируется для применения там, где подключение к интернету через сети мобильных операторов является наиболее оптимальным или единственно возможным, или для создания резервных каналов связи.
В пользу применения устройства для создания избыточности и отказоустойчивости говорит так же поддержка устройством протокола VRPR (Virtual Router Redundancy Protocol).
Установка, настройка
В комплекте с устройством поставляются две программы для Windows, могущие оказаться полезными при первичной настройке.
Digi Device Discovery позволяет найти подключенное к сети устройство, изменить его ip-адрес и перезагрузить. Здесь же можно подключиться к устройству для дальнейшей настройки по telnet или через web-интерфейс, но доступны эти опции из программы только при получении сетевых настроек от DHCP-сервера устройства. Если же настройки сети на компьютере заданы вручную, подключиться к устройству вручную по telnet или через web-интерфейс по-прежнему возможно, но в программе эти функции оказываются заблокированы.
Ценность второй программы, Digi Device Setup Wizard, в нашем случае оказалась сомнительной. Первый шаг мастера исключительно информационный, где можно только нажать кнопку Next, на втором шаге выбирается устройство (на картинке выше), на третьем — задается ip-адрес устройства. Третий и четвертый шаги позволяют выбрать мобильного оператора и сценарий использования устройства, но в нашем случае список мобильных операторов оказался пуст, а сценарий был доступен только один, Custom Configuration, предназначенный для дальнейшей настройки через web-интерфейс. На пятом шаге можно посмотреть и сохранить выбранные настрйки, а на финальном, шестом шаге мастер предлагает зарегистрировать устройство на сайте Digi, открыть для дальнейшей настройки telnet или web-интерфейс, или сконфигурировать еще одно устройство.
Возможность конфигурирования устройства по telnet может оказаться очень полезной при удаленном администрировании или отсутствии возможности увидеть web-интерфейс. Полный список команд приведен в документации, мы только отметим, что к устройству можно подключаться не только по telnet, но и по SSH, rsh и rlogin, и перейдем к обзору web-интерфейса.
Web-интерфейс содержит минимум графики, очень быстрый, достаточно информативный и удобный. Основные разделы представлены в левой колонке и собраны в четыре группы, справа вверху контекстная ссылка Help по текущему разделу. Как можно будет увидеть на приведенных ниже скриншотах, интересное решение применила Digi для компоновки меню подразделов. Все подразделы одного раздела расположены на одной странице, но открываются только по очереди, по клику на заголовок подраздела.
Начиная тестирование, мы первым делом проверили версию установленной в устройстве прошивки. Устройство попало к нам с версией загрузчика 82001166_G и прошивкой версии 82001253_F. Поиск на сайте производителя показал, что текущие выпущенные версии загрузчика и EOS — 82001166_H и 82001253_G. К прошивке прилагался внушительный список улучшений и исправлений, поэтому мы немедленно скачали и выполнили обновление загрузчика (Boot/Post) и прошивки (EOS Firmware).
Дальнейшее тестирование проводилось загрузчиком 82001166_H и прошивкой версии 82001253_G.
Поскольку устройство позиционируется не для домашнего применения, предполагается, что работать с ним будут люди достаточно подготовленные. Поэтому мы решили не приводить скриншоты всех доступных страшиц web-интерфейса, а некоторые из приведенных оставим без подробных комментариев.
Configuration, Network
Раздел Network представлен двенадцатью подразделами.
Включение функции AutoIP address assignment разрешает применение механизма Zeroconf (так же известен, как APIPA), если выбрано получение настроек от DHCP-сервера, а сервер по каким-либо причинам недоступен.
В отличие от многих DHCP-серверов, встроенных в маршрутизаторы для SOHO и SMB, DHCP-сервер, встроенный в Digi Connect WAN VPN Edge обладает более широкими возможностями, в частности, имеет функцию предотвращения конфликтов ip-адресов и позволяет задавать исключения из диапазона области.
Выбор запускаемых на устройстве сетевых сервисов.
Подраздел Dynamic DNS Update Settings приводить не будем, но отметим, что в текущей версии прошивки поддерживается только сервис DynDNS.org.
Создание списка хостов и подсетей, которым разрешен доступ к устройству.
Многофункциональный подраздел. Позволяет добавлять маршруты в таблицу маршрутизации устройства, задействовать NAT (в качестве NAT-интерфейса может выступать мобильный интерфейс, или один из двух VPN-интерфейсов), назначить DMZ-хост, разрешить прохождение пакетов GRE (47) и ESP (50) протоколов для PPTP и IPSec туннелей, пробросить любой TCP и UDP порт.
Настройка работы устройства в качестве SSL-прокси. Возможна такая настройка, что соединение с хостом во внешней сети будет установлено по протоколу SSL, а во внутренней по TCP.
Digi Connect WAN VPN Edge позволяет установить два IPSec туннеля.
|
Туннель
|
ISAKMP
Manual Keyed IPSec/ESP
|
|
Типы Local Endpoint
|
подсеть
внутрениий интерфейс
|
|
Интерфейсы для установки туннеля
|
мобильный
Ethernet
|
|
Типы идентификации
|
ip-адрес
FQDN
user FQDN
X.509 DN
|
|
Аутентификация
|
PSK
DSA
RSA
|
|
Раздельная настройка для ISAKMP Phase 1 и 2
|
да
|
|
Шифрование
|
DES
3DES
AES (128, 192, 256)
|
|
Аутентификация данных
|
MD5
SHA1
|
|
Группы DH
|
1, 2, 5 и 14
|
|
NAT Traversal
|
есть
|
Включение прозрачного пропуска пакетов на некоторые порты. Может быть полезно при необходимости управлять устройством из внешней сети или для управления при совместном использовании с другими маршрутизаторами.
Список преобразования имен, функциональный аналог файла hosts во многих операционных системах. Возможны схемы many-to-one и one-to-many, для результата преобразования допустимо использовать не только ip-адрес, но и FQDN.
Маршрутизатор может использоваться совместно с другими, поддерживающими протокол VRRP, для создания отказоустойчивых подключений.
Дополнительные настройки сети, не вошедшие в другие подразделы. Возможность задания приоритетов опроса DNS-серверов между заданными статически, указанными для Ethernet интерфейса и полученными от мобильного оператора, а так же порядок выбора шлюза по умолчанию еще раз говорят о нацеленности устройства на создание надежных отказоустойчивых подключений к интернету.
Configuration, Mobile
Раздел Mobile представлен тремя подразделами, куда вошли различные настройки, связанные с подключением к сети мобильного оператора.
Устройство уже содержит набор шаблонов для подключения к некоторым мобильным операторам, но готовых шаблонов для российских операторов, в том числе «большой тройки» — нет. Поэтому мы выбрали вариант для Есропы и стран региона EMEA. Осталось только указать PIN-код SIM-карты, APN и, при необходимости, имя пользователя и пароль. На сайте производителя есть документ, содержащий список APN, имен пользователя и паролей для нескольких десятков европейских мобильных операторов. Но надежнее получить эту информацию непосредственно у своего мобильного оператора.
Digi Connect WAN VPN Edge поддерживает работу в четырех частотных диапазонах для сетей GSM. В отдельных странах доступны не все диапазоны, российские операторы работают в стандартах GSM 900/1800. Если на территории, где производится подключение, доступны несколько стандартов, можно экспериментально определить и выбрать тот, на котором удалось добиться большей стабильности и скорости.
Если для имеющейся SIM-карты в данной местности услуга может быть предоставлена несколькими операторами, имеет смысл «посканировать эфир» и выбрать сеть только одного оператора.
Под названием SureLink объединены функции мониторинга соединения и действия при обнаружении ошибок. Возможны переинициализация соединения при обнаружении заданного количества последовательных ошибок передачи данных, перезагрузка мобильного интерфейса или всего устройства при обнаружении заданного количества последовательных ошибок при попытке соединения.
Configuration, Serial Ports
Digi Connect WAN VPN Edge оснащен последовательным портом, режим работы которого определяется выбором соответствующего профиля.
|
RealPort
|
Режим так же известен, как COM Port Redirection. Профиль предполагает совместную работу с ПО RealPort, установленным на компьютере, подключенном по сети к устройству Digi Connect WAN. ПО RealPort созает на компьютере виртуальный COM-порт, и позволяет приложениям прозрачно через сеть работать с устройствами, подключенными к порту на Digi Connect WAN, как если бы они были подключены локально.
|
|
Console Management
|
Профиль предназначен для подключения коммутаторов, маршрутизаторов и других устройств, оснащенных последовательным портом для управления. Затем, используя механизм reverse telnet, можно с помощью Digi Connect WAN управлять этими устройствами через сеть, не подключая их непосредственно к COM порту компьютера.
|
|
TCP Sockets
|
Профиль позволяет передавать данные между устройствами с последовательными интерфейсами, подключенными к Digi Connect WAN, по сети по протоколу TCP. Для этого одно из устройств Digi Connect WAN должно быть сконфигурирован как TCP Server, другое как TCP Client.
|
|
UDP Sockets
|
Профиль позволяет передавать данные между устройствами с последовательными интерфейсами, подключенными к Digi Connect WAN, по сети по протоколу UDP. Для этого одно из устройств Digi Connect WAN должно быть сконфигурирован как UDP Server, другое как UDP Client.
|
|
Serial Bridge
|
Профиль позволяет с помощью устройств Digi Connect WAN соединить по сети два устройства с последовательными интерфейсами так, как будто они непосредственно соединены кабелем.
|
|
Local Configuration
|
Профиль предназначен для подключения терминала для получения доступа к интерфейсу командной строки устройства.
|
|
Modem Emulation
|
Профиль эмулирует работу модема. Предназначен для использования с программным обеспечением, требующим наличия модема для аналоговых телефонных линий, позволяя при этом передавать данные по сети Ethernet.
|
|
DialServ
|
Профиль предназначен для подключения устройства Digi DialServ.
|
|
Custom
|
Профиль для пользовательской настройки, предназначен для случая, когда не подошел ни один из стандартных профилей.
|
Configuration, Alarms
В разделе Alarms можно настроить до тридцати двух уведомлений по событию. Уведомления могут быть отправлены по электронной почте, переданы серверу Connectware Manager или сгенерирован SNMP trap. Событиями могут быть снижение уровня сигнала ниже определенного порога в течение заданного количества минут, передача определенного количества байт в заданный интервал времени в минутах через мобильный интерфейс или прием последовательным портом данных, соответствующих заданному шаблону.
Configuration, System
Данные для удобства идентификации устройства и настройка поддержки SNMP.
Configuration, Remote Management
Раздел Remote Management полностью посвящен настройкам, предназначенным для взаимодействия с сервером Connectware Manager. ПО Digi Connectware Manager продается отдельно и предназначено для централизованного управления продуктами Digi семейств Connect WAN, ConnectPort WAN VPN и Connect Wi-SP.
Configuration, Security
Раздел Security последний в группе разделов Configuration.
2. Управление, администрирование, выводы
Applications, RealPort
Мы уже упоминали о RealPort, описывая режимы работы последовательного порта. Включение механизма Keep-Alives заставляет устройство раз в 10 секунд отправлять пакет для проверки соединения. Протокол RealPort использует собственный тип пакета, отличный от TCP keep-alives. Режим Exclusive Mode вводит ограничение на одно соединение с одного хоста. При попытке соединения с ip-адреса, для которого уже существует установленная сессия, старое соединение сбрасывается.
Здесь же можно задать список хостов и портов, соединение на которые будет инициировать устройство Digi Connect WAN VPN Edge.
Management, Serial Ports и Connections
Разделы Serial Ports и Connections очень похожи (мы приводим только Connections), здесь можно посмотреть список текущих соединений, при необходимости отключить и снова включить выбранное соединение.
Management, Event Logging
Раздел Event Logging приведем без комментариев.
Management, Network Services
В разделе Network Services можно посмотреть текущее состояние встроенного DHCP-сервера, остановить и перезапустить DHCP-сервер, а так же вернуть в пул выбранные адреса, удалив соответствующие записи из списка арендованных адресов.
Administration, File Management
Устройство позволяет загрузить в него собственные файлы. Мы загрузили картинку, HTML-файл и два небольших файла mp3. Одновременно экспериментально выяснились два момента: во-первых, в устройство можно загрузить приблизительно 450 Кб, а во вторых, информация о том, что загруженные файлы index.htm или index.html будут сразу открываться при входе в web-интерфейс не совсем соответствует действительности. На самом деле на первой странице появляются две дополнительные кнопки, одна из которых позволяет перейти на пользовательскую страницу, а вторая сделать ее страницей по умолчанию.
Administration, X.509 Certificate/Key Management
Раздел предоставляет интерфейс для загрузки в устройство и управления загруженными сертификатами и ключами.
В подразделе Certificate Authorities (CAs) / Certificate Revocation Lists (CRLs) можно загрузить до восьми файлов с CA сертификатами и до восьми файлов списков отозванных сертификатов. Поддерживаются файлы в формате ASN.1 DER и PEM Base64. Можно так же получить до восьми сертификатов с сервера SCEP.
В подразделе Virtual Private Network (VPN) Identities можно загрузить до двух RSA или DSA сертификатов и до двух RSA или DSA ключей, или выполнить до четырех запросов по протоколу SCEP.
В подразделе Secure Sockets Layer (SSL) / Transport Layer Security (TLS) Certificates можно загрузить по два SSL/TLS Identity сертификата и ключа, до восьми SSL/TLS Trusted Peer сертификатов, а так же загрузить до восьми отозванных SSL/TLS сертификатов.
В подразделе Secure Shell (SSH) Hostkeys можно загрузить до двух RSA или DSA ключей для SSH. Так же, как и в других соседних подразделах, для загрузки поддерживаются файлы в формате ASN.1 DER и PEM Base64. Информация производителя о том, что если не будет загружено ни одного ключа, устройство сгенерирует собственный 1024-битный DSA ключ для SSH при следующей перезагрузке, оказалась не соответствующей действительности. Ключ при перезагрузке не создается и потребуется самостоятельная генерация и загрузка ключа.
Administration, Backup/Restore
Файл конфигурации в формате на основе XML, и при необходимости может быть отредактирован вручную и затем загружен в устройство.
Administration, Update Firmware
Снимок раздела обновления прошивки мы уже приводили выше. При необходимости обновить и загрузчик (Boot/Post), и прошивку (EOS Firmware), первым должен быть обновлен загрузчик.
Administration, Factory Default Settings
Возврат к настройкам по умолчанию с возможностью сохранить сетевые настройки. Другой способ возврата к заводским настройкам — отключить питание, нажать кнопку Reset и удерживая ее, включить питание, продолжать удерживать кнопку Reset нажатой еще в течение около 60 секунд.
Administration, System Information
Сведения о сосотоянии устройства и его интерфейсов.
Подраздел General содержит информацию о модели устройства, MAC-адресе, текущей версии встроенного ПО и степени занятости системных ресурсов.
В подразделах Serial и Network можно найти информацию о текущем состоянии и статистике работы последовательного порта и сетевого интерфейса соответственно.
Подраздел Mobile представлен на скриншоте выше.
Подраздел Diagnostics небольшой и предоставляет только интерфейс к утилите ping.
Administration, Reboot
Перезагрузка устройства.
Подводя итоги
Полноценно измерить скоростные характеристики сотового маршрутизатора, не имея в распоряжении собственной базовой станции довольно затруднительно, тем не менее приведем для справки некоторые цифры. Мы провели серию замеров скорости передачи данных с помощью нескольких бесплатных сервисов, и получили сильный разброс результатов, от 20 до 126 кбит/с. Это намного меньше возможностей Siemens MC75, на котором построена сотовая часть маршрутизатора. Модуль Siemens MC75 соответствует EDGE Class 10, что при наиболее эффективной схеме кодирования MCS-9, поддерживаемой модулем, дает теоретический предел в 236,8 кбит/с. Для контроля мы повторили измерения, заменив Digi Connect WAN на мобильный телефон с EDGE (так же Class 10), и, как и ожидали, получили схожие цифры. Реальная скорость передачи данных зависит от условий работы мобильного оператора в месте подключения.
С Digi Connect WAN VPN Edge оказалась несовместима одна из имевшихся у нас SIM-карт. Карта Gemplus, выпущена в 2003 году; устройство записало в лог сообщение об отсутствии SIM-карты. В остальном устройство оставило благоприятное впечатление. Прочный корпус, набор фирменных функций SureLink, поддержка протокола VRPR, заявленный диапазон рабочих температур (от -30°C до +70°C для GSM, от -30°C до +60°C для CDMA моделей) и многое другое говорят о принадлежности к классу «поставил и забыл». Устройства семейства Digi Connect отлично подойдут для подключения к интернету через сети мобильных операторов локальных сетей или отдельных устройств, таких, как банкоматы и платежные терминалы, а так же для создания резервных каналов связи для удаленных офисов. Так же устройства Digi Connect могут применяться для удаленного мониторинга и управления оборудованием, подключаемым к последовательному порту RS-232/422/485. С этими и некоторыми другими сценариями применения устройств Digi Connect можно подробнее ознакомиться на сайте Digi (http://www.digi.com/applications/remotedevicemanagement/productapps.jsp).
В среднем, на момент написания обзора, розничная цена устройства по России составляла от 19 до 22 тысяч рублей.
Оборудование предоставлено НПК «Контакт» ( http://www.npk.ru ).
Автор благодарит Дмитрия Софронова за некоторые полезные замечания.
