Обзор VPN‑маршрутизатора TP-Link TL-ER7206

Обзор VPN‑маршрутизатора TP-Link TL-ER7206

В этой статье мы познакомимся с решением TP-Link TL-ER7206, которое производитель называет «SafeStream гигабитный Multi-WAN VPN‑маршрутизатор». Из ключевых характеристик продукта отметим наличие шести портов, назначение которых можно выбирать в определенных пределах, поддержку распространенных протоколов VPN и возможность обслуживания десятков клиентов, расширенные функции межсетевого экрана, фильтрацию контента, защиту от DoS-атак, а также поддержку централизованного управления в системе Omada с выделенным или облачным контроллером.

Заметим, что на момент публикации статьи данная модель была переименована в TP-Link ER7206. Все характеристики, включая аппаратное и программное обеспечение, полностью сохранились.

Комплект поставки

Маршрутизатор поставляется в относительно небольшой картонной коробке с простым оформлением, характерным для моделей бизнес-сегмента.

На коробке присутствует информационная наклейка с фотографией модели, кратким описанием ее возможностей, основными техническими характеристиками, а также серийным номером. Вся информация — на английском языке, но в данном случае это не является проблемой.

Комплект поставки минимальный — маршрутизатор, кабель сетевого питания, очень краткая документация. Здесь нет даже наклеивающихся резиновых ножек. На сайте в разделе поддержки можно скачать электронные версии документации (включая полное руководство на английском языке), код программного контроллера Omada, обновление встроенного ПО.

Внешний вид

По внешнему виду модель вполне соответствует тому, что мы ожидаем от бизнес-маршрутизатора. Корпус полностью выполнен из металла и покрашен темно-серой краской. Габаритные размеры без учета подключения кабелей составляют 221×132×36 мм. В реальности нужно будет добавить около 6 см сзади для кабеля питания и до 3 см спереди для сетевых кабелей. Вес устройства приличный — около 940 г.

Отметим, что корпус предназначен исключительно для установки на горизонтальную поверхность (но вот ножки точно бы не помешали). В стойку или коммутационный шкаф поставить маршрутизатор не получится (если только на полку).

Сзади находится отверстие замка Кенсингтона, винт для кабеля заземления, гнездо формата C6 для кабеля питания. Удобнее было бы иметь здесь более распространенный C14. Хотя для данного уровня потребления оба варианта можно считать слишком мощными.

На боковых сторонах мы видим только решетки пассивной вентиляции. Поскольку вентилятора здесь нет, то и про уровень шума говорить не приходится. Шлюз можно использовать и в обычных офисных помещениях, даже просто на рабочем столе.

На передней панели находятся логотип компании и название модели, два системных индикатора, один слот SFP для оптического трансивера или кабеля DAC, пять портов RJ45, скрытая кнопка сброса. Для слота SFP предусмотрен один индикатор состояния. А каждый порт для медного кабеля оборудован парой стандартных светодиодов — первый показывает скорость, второй — активность.

В целом все вполне стандартно, практично и удобно. Встроенный блок питания сложно однозначно записать в плюсы или минусы. Ожидать варианта с резервированием в этом ценовом сегменте не стоит, как и выделенного консольного порта.

Технические характеристики

В данном случае мы имеем дело с готовым продуктом, и технические особенности имеет смысл обсуждать только в разрезе «внешних» характеристик. В частности, это наличие шести гигабитных сетевых портов — одного для модулей SFP и пяти для медного кабеля. При этом здесь два порта имеют фиксированное назначение для WAN, два — для LAN, а еще два можно настроить или на WAN, или на LAN.

Детали аппаратной платформы производитель приводит только частично: 512 МБ оперативной памяти, два чипа флеш-памяти — загрузчик на 4 МБ и основная прошивка на 128 МБ (текущая версия образа не превышает 20 МБ). Из веб-интерфейса мы можем узнать, что здесь применяется двухъядерный процессор. Что касается архитектуры — это 64-битный MIPS.

Все детали собраны на одной печатной плате. С одного края находится часть, отвечающая за питание. Около нее мы видим индикаторы и слот SFP. Основных микросхем две — SoC и отдельный коммутатор. Оба имеют небольшие радиаторы. Проблем с перегревом за время тестирования устройства отмечено не было.

Настройка и возможности

Для настройки устройства предусмотрено два варианта — локальное управление через браузер и подключение к облачной системе управления TP-Link Omada. Что интересно, по набору возможностей они немного отличаются. Рассмотрим сначала первый способ.

Веб-интерфейс имеет традиционный дизайн с меню в левой части окна. Из языков здесь есть только английский, что для данного типа оборудования вполне допустимо.

На странице системного статуса отображается основная информация об устройстве — прошивка, время, адреса WAN интерфейсов, нагрузка на процессор и оперативную память.

Также предусмотрен сбор информации о трафике (текущие скорости и общий объем) — целиком по интерфейсам или даже с разбивкой по IP-адресам.

Настройки сетевых интерфейсов собраны в соответствующей группе. Сначала нужно определить режимы работы портов. Напомним, что всего в устройстве есть шесть портов. Первый (для модулей SFP) и второй всегда работают в режиме WAN. Далее идут два порта режим работы которых можно выбрать — WAN или LAN. Последние два порта — всегда LAN. Итого можно получить конфигурации от 2 WAN + 4 LAN до 4 WAN + 2 LAN.

На втором этапе осуществляется настройка для каждого порта WAN. Поддерживаются режимы IPoE, PPPoE, PPTP, L2TP. Дополнительно можно указать фактические скорости приема и передачи данного подключения, а также активировать VLAN. В маршрутизаторе в разделе Services предусмотрен клиент DDNS для нескольких сервисов (Peanuthill, Comexe, DynDNS, No-IP).

Для локального сегмента сети предусмотрена сегментация только по VLAN, но не по физическим портам. Как обычно, за настройку IP-адресов на клиентах отвечает сервер DHCP.

Кроме обычных настроек и резервирования адресов для клиентов, здесь можно также указать и дополнительные опции.

На отдельной странице находятся настройки MAC-адресов интерфейсов, что может потребоваться для некоторых провайдеров.

Настройки встроенного коммутатора включают в себя управление режимами портов, ограничение скорости, зеркалирование трафика на выбранный порт. Также есть страница статистики трафика по портам и таблица с текущими статусами портов.

Устройство поддерживает настройку VLAN с возможностью выбора типа участия в сегменте каждого физического порта.

Есть здесь и поддержка протокола IPv6, что может быть все-таки когда-нибудь и пригодится на практике.

Для удобства настройки, в рассматриваемой модели используется знакомый подход с применением объектов. Их можно настроить в разделе меню Preferences. В частности, здесь есть страницы для IP-адресов и групп из них, расписаний (с точностью до часа на каждый день недели независимо), пулы IP-адресов для клиентов VPN, сервисы (по протоколу и портам). Далее эти объекты можно будет использовать в других настройках (например, в следующем разделе) что упрощает управление сложными конфигурациями.

На первой странице раздела Transmission (NAT) собраны функции по обеспечению внешнего доступа к сервисам локальной сети, включая One-to-One NAT, виртуальные сервера (проброс портов), NAT-DMZ. Устройство также поддерживает UPnP, который включается в разделе Services.

Вторая страница отвечает за управление сервисом контроля полосы пропускания. Здесь можно настроить правила (ограничения) для групп адресов и указать им расписание работы.

Аналогичным образом можно ограничить число сетевых сессий на группу, правда уже без расписания.

При использовании нескольких подключений к провайдерам, можно активировать режимы балансировки или резервирования подключений. В первом случае предусмотрено распределение трафика согласно указанным в опциях WAN скоростям. Для определения состояния линка в режиме резервирования есть автоматический режим (DNS запрос на адрес сервера имен порта WAN) или настройка с использованием запросов ping или DNS на указанный адрес.

Решение поддерживает также такую технологию, как Policy Routing (в дополнение к классической маршрутизации). То есть администратор может управлять маршрутизацией на основании правил, в которых участвуют сервис, источник, цель, порт и расписание.

На странице Anti ARP Spoofing раздела Firewall можно настроить функции защиты от подмены MAC, включая просмотр текущих записей в таблице и сканирование группы IP-адресов для определения MAC активных устройств.

Вторая страница поможет защититься от атак типа «флуд» путем установки лимитов на число пакетов в секунду для разных типов трафика. Здесь же есть еще несколько дополнительных опций для защиты от некорректных пакетов, что может частью атаки.

Последняя страница — классический межсетевой экран с настройкой правил обработки трафика. Для установки правил используются направление, адреса получателя и источника, сервис и время работы. Благодаря поддержке объектов, правила имеют более понятный и удобный для настройки формат.

Дополнительные возможности фильтрации трафика реализованы в группе Behavior Control. На первой странице настраиваются проверки для веб-сервисов. Сначала определяется группа имен сайтов (здесь можно импортировать готовые списки), потом она назначается для группы IP-адресов. Опционально здесь можно учитывать и расписание. На третьей вкладке дополнительно можно настроить фильтры по ключевым словам в ссылках или содержимом страниц.

На странице Web Security можно настроить блокировку запросов HTTP POST для определенных групп адресов клиентов локальной сети и заданных сайтов. Поддерживается и работа правил по расписанию.

В маршрутизаторе реализована поддержка нескольких VPN-протоколов. В частности, это устаревший PPTP и актуальный L2TP/IPSec (только c PSK). Устройство может выступать как в роли сервера, так и клиента для подключения к удаленным сетям.

После включения сервера на требуемом интерфейсе WAN нужно создать аккаунты пользователей, добавить пул IP-адресов и связать все вместе на соответствующей странице.

Более современным и надежным является протокол IPSec. В данном случае вы можете гибко настраивать параметры соединения, включая выбор протоколов шифрования и так далее.

Решение может аутентифицировать пользователей через веб-портал для разрешения им доступа в сеть. Кроме локального списка, можно проверять данные пользователя через внешний сервер RADIUS.

При этом для каждого аккаунта можно указать таймаут, привязку к MAC-адресу рабочей станции, ограничения на скорости скачивания и загрузки. Есть возможность экспорта и импорта списка пользователей в обычном текстовом формате.

Отдельно можно предоставлять свободный доступ к определенным ресурсам (выбираются по имени хоста или по IP-адресам и портам) в гостевом режиме.

В последней группе настроек мы видим привычные системные параметры — имя и пароль администратора, ограничения на адреса для доступа к веб-интерфейсу вне локального сегмента сети, выбор номеров портов и таймаута отключения при бездействии.

Далее идут резервное копирование/восстановление/сброс конфигурации, перезагрузка и обновление встроенного программного обеспечения из файла. Также в этой группе находятся настройки подключения к облачному контроллеру для централизованного управления группой устройств, настройка протокола мониторинга SNMP, установка встроенных часов (есть автоматическая синхронизация через интернет), утилиты сетевой диагностики, системный журнал. Последний, кроме локального просмотра, может быть отправлен на сервер syslog.

В целом, особых сложностей при настройке оборудования мы не встретили. Хотя, конечно, для определенных сценариев (например, объединении сетей по IPSec или использовании Policy Routing) вам потребуется соответствующий опыт.

Купить можно тут: https://fpg.uz/product/multi-wan-vpn-marshrutizator-tp-link-er7206/

Подпишитесь на наш Телеграм канал: https://t.me/fortprotrade и получите скидку!!