Маршрутизатор Linksys BEFVP41 — интернет в небольшой филиал

Автор: Павел Селиванов
Недорогие VPN-маршрутизаторы постепенно приходят на смену обычным маршрутизаторам класса SOHO, что неудивительно, поскольку новые модели зачастую основываются на прежних разработках, расширяя их функциональность за практически ту же или немного большую цену. В данной статье мы рассмотрим основные функции и возможности VPN-маршрутизатора Linksys BEFVP41, а также опишем один из вариантов его применения. По заявлению Linksys, VPN-маршрутизатор BEFVP41 базируется на популярной в прошлом модели маршрутизатора BEFSR41, дополняя его функционал возможностью установки до 50 IPSec VPN-туннелей с DES- или 3DES-шифрованием и MD5- или SHA1-аутентификацией. Туннели могут быть установлены между Linksys BEFVP41 и другими VPN-устройствами или клиентскими компьютерами с установленным IPSec VPN-программным обеспечением. Несколько слов о «других VPN устройствах». Linksys BEFVP41 в целом схож по характеристикам, например, с D-Link DI-804HV, TRENDnet TW100-BRV204 и TW100-BRV304, Planet VRT-311 и многими другими. Выбор производителя и модели в каждом конкретном случае должен определяться множеством факторов, начиная от наличия необходимых дополнительных функций (к примеру, встроенный Microsoft-совместимый PPTP-сервер в некоторых из перечисленных маршрутизаторов) и заканчивая удобством интерфейса конфигурирования.

Linksys BEFVP41, внешний вид и комплект поставки

Кроме самого маршрутизатора, в коробке находятся:

• блок питания 12 В, 1 А;
• полутораметровый straight-through кабель с разъемами RJ-45;
• компакт-диск с руководством пользователя, программой LogViewer и пробной 60-дневной версией Norton Internet Security;
• краткие инструкции по установке и подключению;
• список e-mail адресов и телефонов технической поддержки в различных странах и регионах.

У попавшего к нам устройства на коробке значится номер модели BEFVP41-EU, среди приложенных инструкций, в том числе и на компакт-диске, нет версии на русском языке. На передней панели - шесть светодиодных индикаторов: питания, состояния каждого из четырех портов LAN, состояние порта WAN. На задней панели расположена кнопка Reset, порт WAN, четыре порта LAN, разъем питания. Кратковременное нажатие кнопки Reset перезагружает маршрутизатор, 30-секундное удерживание нажатой кнопки возвращает маршрутизатор к заводским настройкам по умолчанию.

Конфигурирование

Конфигурирование маршрутизатора выполняется через веб-интерфейс. Компьютер, с которого осуществляется начальная настройка, должен быть физически подключен к одному из LAN-портов и логически находиться в одной подсети с внутренним интерфейсом маршрутизатора. По умолчанию внутренний адрес маршрутизатора - 192.168.1.1 маска - 24 (255.255.255.0), имя пользователя указывать не нужно, пароль - admin. Веб-интерфейс - традиционный для Linksys. Меню разделов конфигурирования маршрутизатора двухуровневое, расположено горизонтально вверху страницы веб-интерфейса, разделы на одной странице отделены друг от друга и отмечены в левой колонке. Нажав на ссылку More... в правой колонке, можно получить справку по текущему разделу конфигурации. В целом, интерфейс достаточно удобный и производит положительное впечатление. Как нетрудно заметить на приведенных ниже скриншотах, в маршрутизаторе установлена прошивка версии 1.02.00, а заглянув в раздел Status, мы обнаружили, что прошивка датируется 11 февраля 2006 г. На официальном сайте производителя для маршрутизатора BEFVP41 доступны прошивки только для аппаратных версий 1.0 и 2.0, наш же маршрутизатор - версии 2.1 (версия указана на нижней стороне корпуса), из чего можно сделать вывод, что прошивка 1.02.00 для BEFVP41 версии 2.1 на момент написания обзора - самая свежая. С ней и продолжим знакомство с маршрутизатором.

Раздел Setup

Раздел Setup поделен на четыре подраздела: Basic Setup, DDNS, MAC Address Clone и Advanced Routing. В Basic Setup выбирается тип и указываются соответствующие параметры подключения к интернету. Доступны семь вариантов подключения. В этом же разделе можно изменить адрес и маску подсети внутреннего интерфейса маршрутизатора, включить и настроить некоторые параметры встроенного DHCP-сервера и выбрать временную зону. Возможность самостоятельно указать NTP-сервер отсутствует, но, судя по тому, что стартует маршрутизатор с нулевым временем, а после установки соединения с интернетом время устанавливается правильно, в маршрутизаторе уже прописан один из серверов времени. Чтобы не утяжелять статью графикой, мы не стали приводить скриншоты всех доступных страниц веб-интерфейса конфигурирования маршрутизатора, но приведем комментарии к каждому из них. В подразделе DDNS можно включить поддержку и настроить одну из служб Dynamic DNS, в текущей версии прошивки поддерживаются DynDNS.org и PeanutHull. Подраздел MAC Address Clone позволяет изменить MAC-адрес маршрутизатора и иногда может быть полезен при замене маршрутизатором другого устройства, избавляя от необходимости еще раз связываться с провайдером. В подразделе Advanced Routing можно выключить NAT, включить поддержку протокола динамической маршрутизации RIP версий 1 и 2, а также задать до 20 статических маршрутов.

Раздел Security

Раздел Security содержит два подраздела: Firewall и VPN. К подразделу VPN мы еще вернемся в конце статьи, а подраздел Firewall позволяет включить или выключить SPI-файрвол, а также задействовать некоторые дополнительные фильтры.

Раздел Access Restrictions

Раздел Access Restrictions содержит только один подраздел - Internet Access - и предназначен для избирательной блокировки доступа в интернет по IP-адресу, MAC-адресу, по расписанию, к определенным сервисам, на некоторые сайты по адресу или ключевым словам. Всего возможно создать до десяти правил.

Раздел Applications & Gaming

В разделе Applications & Gaming доступны пять подразделов: Port Range Forwarding, Port Triggering, UPnP Forwarding, DMZ и QoS. В подразделе Port Range Forwarding можно задать до десяти правил перенаправления TCP- и UDP-пакетов, приходящих на внешний интерфейс, в соответствии с заданными диапазонами портов на адреса хостов в локальной сети, а Port Triggering позволяет при этом изменить номера портов назначения. Linksys BEFVP41 позволяет воспользоваться возможностями UPnP для проброса до пятнадцати портов, при этом десять сервисов для проброса уже предопределены, можно изменить только IP-адрес и порт хоста в локальной сети, а еще пять сервисов полностью доступны для настройки пользователю. В подразделе DMZ можно указать один из хостов локальной сети, на который будут направлены все соединения, пришедшие на внешний интерфейс маршрутизатора. Если какой-либо вид трафика для вас наиболее критичен, или же есть необходимость выставить приоритеты использования доступной полосы пропускания различными компьютерами, вам помогут настройки, собранные в разделе QoS.

Раздел Administration

В подразделе Management можно изменить пароль к веб-интерфейсу конфигурирования, разрешить и указать порт для удаленного конфигурирования маршрутизатора, включить поддержку SNMP и UPnP. Здесь же можно сохранить текущую конфигурацию маршрутизатора или восстановить конфигурацию из ранее сохраненного файла. К сожалению, при включении функции удаленного администрирования нельзя нельзя задать список разрешенных IP-адресов. Подраздел Diagnostics, по сути, представляет собой интерфейс к утилите ping, где можно задать размер и количество отправляемых ICMP-пакетов, интервал отправки и таймаут. Подразделы Factory Defaults и Firmware Upgrade позволяют, соответственно, восстановить настройки маршрутизатора по умолчанию и обновить прошивку. Остановимся чуть более подробно на подразделе разделе Log. С прошивкой 1.02.00 есть возможность настроить только Email Alerts и включить собственно логирование. Дополнительно присутствует настройка Logviewer IP Address, значение которой становится понятно, если вспомнить, что на компакт-диске в комплекте есть программа LogViewer. По умолчанию в качестве Logviewer IP Address указан broadcast-адрес подсети, к которой принадлежит внутренний интерфейс маршрутизатора. Чтобы не плодить лишние broadcast-пакеты в нашей сети, мы изменили широковещательный адрес на адрес компьютера с установленным LogViewer и проверили работу программы.

Раздел Status

И завершим первую часть статьи двумя скриншотами без комментариев.

Построение защищенного туннеля

Довольно распространена ситуация, когда в организации в качестве шлюза в интернет выступает сервер с UNIX или UNIX-подобной операционной системой. Ниже мы расскажем, как построить защищенный туннель между шлюзом на основе FreeBSD и маршрутизатором Linksys BEFVP41. Прежде чем продолжать, рекомендуем вам ознакомиться с другими материалами о VPN. Например, со статьей «Построение безопасных сетей на основе VPN» на нашем сайте. Исходные данные:

• В центральном офисе доступ в интернет осуществляется через шлюз, построенный на основе FreeBSD 6.2
• Локальная сеть центрального офиса — 172.16.0.0/24
• Адрес внутреннего интерфейса шлюза — 172.16.0.254
• Адрес внешнего интерфейса шлюза — 1.1.1.1
• В удаленном филиале доступ в интернет осуществляется через маршрутизатор Linksys BEFVP41
• Локальная сеть филиала — 172.16.1.0/24
• Адрес внутреннего интерфейса шлюза в филиале — 172.16.1.254
• Адрес внешнего интерфейса шлюза в филиале — 2.2.2.2

Адреса для локальных сетей 172.16.0.0/24 и 172.16.1.0/24 входят в один из диапазонов для частных IP-адресов, определенных RFC 1918, адреса внешних интерфейсов 1.1.1.1 и 2.2.2.2 приведены только для примера. Необходимо установить защищенное соединение между сетями центрального офиса и удаленного филиала.

Конфигурирование FreeBSD 6.2

Для поддержки IPSec в ядро системы добавляем следующие опции: # IPSec
options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG
Кроме того, убедитесь, что в ядре присутствует псевдоустройство gif: # Pseudo devices
device gif
Теперь необходимо пересобрать и установить новое ядро. После перезапуска системы с новым ядром потребуется установить сервер обмена ключами. Мы выбрали racoon, установка производилась из порта /usr/ports/security/ipsec-tools/. Перед установкой желательно обновить коллекцию портов. Мы установили ipsec-tools со следующими опциями: Дополнительную информацию о конфигурировании, сборке, установке ядра и обновлении портов можно найти, например, на сайте проекта OpenNet. После установки ipsec-tools осталось сконфигурировать racoon, обеспечить его автоматический запуск вместе со стартом системы, настроить правила IPSec, создать файл ключа и настроить необходимые разрешения файрвола. Добавляем следующие строки в /etc/rc.conf: # Создаем gif-интерфейс
cloned_interfaces="gif0"
# Создаем туннель
gif_interfaces="gif0"
gifconfig_gif0="1.1.1.1 2.2.2.2"
ifconfig_gif0="inet 172.16.0.254 172.16.1.254 netmask 255.255.255.0"
# Добавляем правило статической маршрутизации
static_routes="Filial"
route_Filial="172.16.1.0/24 -interface gif0"
# Включаем racoon и ipsec
racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/ipsec.conf"
Конфигурируем racoon; для этого создаем и редактируем файл /usr/local/etc/racoon/racoon.conf: path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log notify; # Для отладки могут пригодиться "debug" или "debug2"
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen
{
isakmp 1.1.1.1 [500]; # Адрес и порт сервиса обмена ключами
}
timer
{
counter 5;
interval 20 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
nonce_size 16;
lifetime time 3600 sec;
initial_contact on;
support_proxy on;
proposal_check obey;
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 1;
lifetime time 3600 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Для шифрования выбран алгоритм 3DES, для аутентификации — алгоритм хеширования SHA1, как наиболее криптостойкие из поддерживаемых маршрутизатором Linksys BEFVP41. Создаем и редактируем файл ключей /usr/local/etc/racoon/psk.txt: 2.2.2.2 qwerty123 где 2.2.2.2 — внешний адрес удаленного шлюза, qwerty123 — ключ, отделенный от адреса знаком табуляции (приведен только для примера, используйте более длинные и надежные ключи!). На файл ключа должна быть задана маска доступа 600, владелец - root, группа - wheel. Сконфигурируем IPSec; для этого создадим и отредактируем файл /usr/local/etc/racoon/ipsec.conf: flush;
spdflush;
spdadd 172.16.0.0/24 172.16.1.0/24 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require;
spdadd 172.16.1.0/24 172.16.0.0/24 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require;
На этом конфигурирование туннеля на стороне шлюза с FreeBSD завершено, но полезно еще в файл /etc/sysctl.conf добавить строку: net.key.preferred_oldsa=0 Это поможет решить проблему с восстановлением туннеля после перезагрузки шлюза. При наличии нескольких ключей будет выбираться самый свежий. Ну и, наконец, потребуется внести соответствующие изменения в файрвол. Для ipfw необходимый набор правил будет выглядеть приблизительно так: ipfw add 10 allow udp from 1.1.1.1 to 2.2.2.2 isakmp
ipfw add 20 allow udp from 2.2.2.2 to 1.1.1.1 isakmp
ipfw add 30 allow esp from 1.1.1.1 to 2.2.2.2
ipfw add 40 allow esp from 2.2.2.2 to 1.1.1.1
ipfw add 50 allow ipencap from 1.1.1.1 to 2.2.2.2
ipfw add 60 allow ipencap from 2.2.2.2 to 1.1.1.1
ipfw add 70 allow ip from 172.16.0.0/24 to 172.16.1.0/24
ipfw add 80 allow ip from 172.16.1.0/24 to 172.16.0.0/24

Конфигурирование Linksys BEFVP41

Конфигурирование Linksys BEFVP41 сложности не представляет и сводится к указанию IP-адресов и выбору необходимых параметров туннеля из выпадающих списков. По окончании конфигурирования необходимо нажать Save Settings. Полностью конфигурация нашего туннеля приведена на скриншотах ниже. Заметим только, что настройки VPN Passthrough непосредственно к нашему туннелю отношения не имеют, а указывают, будет ли доступна возможность установки соответствующих туннелей сквозь маршрутизатор. Security — VPN Advanced Setting

Заключение

В этот раз нам оказалось сложно давать какие-либо оценки, так как перед нами - классический VPN-маршрутизатор класса SOHO, выделяющийся среди остальных разве что гордым логотипом «Cisco Systems» на лицевой панели, необычной конструкцией ножек корпуса и, на наш взгляд, довольно удобным и продуманным веб-интерфейсом. Одно нарекание у нас все-таки есть, и относится оно, как ни странно, тоже к веб-интерфейсу. В некоторых местах реально видимая картина на страницах конфигурирования не совпадала со справкой, доступной по ссылке More... с этих же страниц. В остальном же маршрутизатор Linksys BEFVP41 показал себя хорошей рабочей лошадкой, он, несомненно, должен найти своего покупателя. На момент написания статьи средняя розничная цена устройства по России составляла менее четырех тысяч рублей. Оборудование предоставлено НПК «Контакт» в г. Новосибирске.