Introduzione
| Uno sguardo veloce |
| Prodotto |
Router 4-Porte Gigabit Security con VPN Linksys(RVS4000)
|
| Sommario |
Router dalle molteplici caratteristiche, con WAN e LAN Gigabit, in grado di supportare 10 connessioni IPsec ma con velocità di trasmissione e ricezione sbilanciate.
|
| Pro |
- QoS in trasmissione e ricezione con gestione dell'ampiezza di banda
- Switch managed gigabit di livello 2
- Caratteristiche di routing complete
- Supporta IPv6
- Client IPsec incluso
|
| Contro |
- Ampiezza di banda enormemente sbilanciata tra ricezione e trasmissione
- L'abilitazione della funzione IPS taglia la banda in uscita di circa il 40%
- Le impostazioni IPsec per i client QuickVPN non sono mostrate nell'interfaccia di amministrazione
- Banda limitata per i tunnel IPsec.
|
|
Diamo un'occhiata a questo RVS4000: il router Security 4-porte Gigabit con VPN rientra tra i prodotti della linea "business" di Linksys; linea dedicata principalmente a quelle piccole imprese pronte a passare oltre i prodotti di networking di livello consumer disponibili dai rivenditori locali, ma non ancora pronte per i pezzi forti di Cisco.
L'RVS4000 si presenta con un involucro attraente, argentato e nero, piuttosto squadrato, di circa 20 cm per lato. É dotato di viti per il montaggio sulla parte inferiore e di rientranze su quella superiore per permetterne la sistemazione in colonna con dispositivi dalle stesse dimensioni. Gli indicatori sul pannello frontale sono mostrati in Figura 1 mentre i connettori sul pannello posteriore in Figura 2. In entrambi i casi non si nota niente fuori dall'ordinario.
Figura 1: RVS4000 - Pannello Frontale (Cliccate sull'immagine per ingrandirla)
Figura 2: RVS4000 - Pannello Posteriore (Cliccate sull'immagine per ingrandirla)
La Figura 3 mostra la circuiteria che si nasconde all'interno dell'RVS4000, basata su processore Star Semiconductor STR9202 Broadband Home Gateway. La scheda tecnica dice che il 9202 include un "Motore di ispezione dei contenuti Layer-7, cioè un acceleratore integrato per il controllo delle firme". Questo motore fornisce apparentemente tutte le potenzialità IPS (Sistema di Prevenzione delle Intrusioni) del 4000.
Figura 3: RVS4000 - Vista interna (Cliccate sull'immagine per ingrandirla)
Lo switch gigabit è al sicuro, nascosto sotto il dissipatore che non abbiamo voluto disturbare; una piccola investigazione ci ha portato alla conclusione che si possa trattare di un Vitesse VSC7385. 64 MB di RAM e 8 MB di flash costituiscono i componenti più importanti.
Date un'occhiata a questa presentazione per un veloce tour di tutte le interfacce di amministrazione dell'RSV4000.
Caratteristiche, analisi e commenti
Per salvaguardare sia voi, i lettori, che noi, i redattori, abbiamo creato una presentazione contenente quasi tutte le schermate di amministrazione che dovrebbe fornirvi un buon tour di tutte le caratteristiche presenti nel 4000. Naturalmente, in qualche caso, le foto e i titoli non forniranno una descrizione esaustiva, quindi qui vi forniremo commenti e analisi di alcune delle caratteristiche più uniche e dei deifetti riscontrati in questo prodotto.
Date un'occhiata a questa presentazione per un veloce tour di tutte le interfacce di amministrazione dell'RSV4000.
La configurazione è tranquilla e le pagine di amministrazione sono accessibili tramite l'indirizzo 192.168.1.1, oppure cliccando sull'icona UPnP che apparirà nella status bar di windows se le impostazioni di UPnP sulla vostra macchina sono corrette. (Navigate attraverso Network Connections > Advanced > Optional Networking Components > Networking Services ed abilitate Internet Gateway Device Discovery, Control Client e UPnP User Interface) .
L'interfaccia è generalmente funzionale e salva le impostazione abbastanza velocemente. Qualche volta però, quella di amministrazione si blocca per pochi istanti senza motivi apparenti, per poi ritornare operativa come da principio. Accessi di amministrazione in sicurezza tramite HTTPs sono supportati solo per accessi remoti dal lato WAN, cosa che troviamo alquanto strana, ma sicuramente meglio che non disporre di alcun accesso sicuro. Supporta anche la gestione tramite SNMP, se preferite quel tipo di gestione (noi non l'abbiamo provata).
É anche possibile definire otto differenti nomi di utenti amministratori con le rispettive password, ma non abbiamo notato alcun modo per assegnare permessi ai singoli utenti. É possibile effettuare login multipli come amministratori senza alcun messaggio di avvertimento, mancano anche funzioni di logout. Da notare l'impossibilità di modificare il tempo di attesa prima di disconnettere l'utenza in caso di inattività, il tempo limite di default sembra essere di 5 minuti.
Le altre funzionalità di amministrazione includono una schermata di Diagnostica con funzioni di Ping, Traceroute e Diagnostica dei cavi. É anche possibile gestire i backup e restore delle configurazioni, resettare il router ai valori di fabbrica, riavviarlo e aggiornarne il firmware.
Il Firewall ha un buon numero di caratteristiche, che includono Java, Cookie, ActiveX, la possibilità di abilitare i filtri via Proxy, filtri di porte in uscita e ingresso (funzione "IP Based ACL"), 15 single port forward. I filtri sulle porte e le "Policy di Accesso a Internet" (blocchi per dominio o parola chiave) sono programmabili e, almeno per quanto riguarda il bloccaggio dei domini, sono abbastanza intelligenti da non essere bypassati utilizzandone gli indirizzi IP.
Siamo contenti di vedere che, diversamente dai prodotti basati su tecnologia StreamEngine di Ubicom, il 4000 considera il QoS in downstream tanto importante quanto quello in upstream. Tutte le caratteristiche QoS del 4000, inclusa la gestione della banda, delle porte, CoS e DSCP lo supportano in entrambe le direzioni. A meno che abbiate esperienza col configurare metodologie di QoS basate su Priorità/Code, vi converrà probabilmente usare la ben più semplice funzione Bandwidth Management QoS (Rate Control o basata su Priorità).
Figura 4: Solo utenti esperti, per favore. (Cliccate sull'immagine per ingrandirla)
Nella schermata di configurazione del QoS, abbiamo notato problemi utilizzando Firefox 1.5.0.11 durante l'impostazione della Modalità Trust e la scelta delle opzioni Default CoS/Port Priority, ma siamo riusciti a evitare il problema utilizzando IE 6.0.X. Tutte le altre impostazioni hanno funzionato bene.
Il sistema di Log non è brutto, offre la possibilità di controllare il livello dei messaggi da salvare e mandare ad un server syslog. I nuovi messaggi vengono però aggiunti all'ultima riga del file, ciò vuol dire che si avrà bisogno di tempo per scrollare l'intera schermata prima di arrivare alle informazioni più recenti. Non siamo riusciti ad impostare gli avvisi tramite email, forse a causa di problemi di autenticazione col server SMTP del nostro ISP. Abbiamo apprezzato il pulsante "E-Mail Log Now", utile in fase di test, ma non ci è piaciuta la mancanza di messaggi sullo stato delle email inviate.
Una delle sorprese più piacevoli riguarda il fatto che, in aggiunta alle buone funzioni di IPsec e Qos, contiene anche un completissimo switch level 2 managed. Nonostante sia provvisto solo di quattro porte, permette di configurarle in VLAN, abilitare l'autenticazione 802.1X / RADIUS, impostarne o disabilitarne le velocità e le modalità di collegamento, metterle in mirroring per il debugging e l'analisi e connetterle in ridondanza con protezione RSTP (Rapid Spanning Tree Protocol). L'unica caratteristica "smart switch" che abbiamo scoperto mancare, è l'aggregazione dei link.
VPN - difetti
I problemi più grossi sono stati comunque trovati con le funzioni VPN. Forse "difetti" è il termine più adatto, invece che "problemi" ma sarete voi a giudicare. Molti dei problemi difetti sono concentrati nell'applicazione QuickVPN, un client IPsec gratuito e scaricabile dal sito di Linksys, che può essere usato con l'RVAS4000, l'RVL2400 e tutti gli altri router Linksys dotati di IPsec. Bastano solo username e password, non è necessaria alcuna impostazione del protocollo. Quindi, si installa QuickVPN su una macchina Windows, si esegue l'applicativo, si introducono nome utente e password e si clicca sul bottone che effettua il collegamento.
QuickVPN è una applicazione "blackbox", che usa wget e openssl per impostare una connessione IPsec client-verso-gateway. Dando un'occhiata al contenuto dei file di testo creati nella directory QuickVPN (l'unico aiuto disponibile per il debugging) sembra che wget venga utilizzato prima per aprire una connessione HTTPs verso l'RVS4000 per scambiare informazioni sulla configurazione di IPsec. Openssl viene quindi utilizzato per configurare correttamente il tunnel IPsec.
Superata qualche falsa partenza, causata dall'utilizzo di versioni del firmware del router e del client QuickVPN troppo vecchie; l'introduzione di informazioni sul tunnel IPsec errate non ci ha di sicuro aiutato (le vecchie abitudini sono vecchie a morire); inoltre, abilitare DMZ sembra ostacolare ulteriormente le connessioni dai client QuickVPN.
Dopo aver resettato le impostazioni del router ai valori di fabbrica, è bastato reinstallare QuickVPN sul client e rispondere correttamente ad un messaggio abbastanza confuso apparso durante il login, per riuscire a stabilire una connessione. La comparsa, ad intervalli di circa un minuto, del mesaggio "Il gateway remoto non risponde.", ci ha fatto pensare che qualcosa ancora non andava.
Abbiamo quindi controllato la sezione sullo stato delle impostazioni della VPN IPsec, tramite la pagina Sommario delle Impostazioni del 4000 e stranamente siamo stati sorpresi dal vedere che non si era stabilito nessun tunnel. Anche le informazioni mostrate nella pagina Sommario VPN fornivano lo stesso risultato. Siamo riusciti a trovare un'indicazione sulla nostra connessione solo sulle schermate della sezione Stato dei Client VPN.
Figura 5: Siete in grado di trovare la connessione VPN? (Cliccate sull'immagine per ingrandirla)
Sembra che il 4000 tratti le connessioni gateway-verso-gateway e client-verso-gateway differentemente, almeno secondo il punto di vista degli stati. Supporta un totale di 10 tunnel IPsec: 5 gateway-verso-gateway e 5 client-verso-gateway; cosa che, ancora una volta, non sembra ovvia guardando semplicemente le schermate di stato o qualsiasi materiale informativo sul prodotto.
Un'altra cosa da notare sull'utilizzo di QuickVPN è la totale mancanza di documentazione sulla configurazione IPsec in uso. Non perdete tempo a cercare nella pagina VPN IPsec, perchè le impostazioni di supporto dei client QuickVPN non sono visibili. Per la cronaca, Linksys ha comunicato che il Client QuickVPN esegue le seguenti richieste all'RVS4000 in IKE Fase-1:
- 3DES, SHA1, DH2, PSK, SA Lifetime = 28800 sec
- 3DES, MD5, DH2, PSK, SA Lifetime = 28800 sec
- DES, MD5, DH1, PSK, SA Lifetime = 28800 sec
Infine, cliccando sul bottone Disconnessione sembra che la connessione IPsec non si interrompa, o almeno, il client QuickVPN non mostra segni di scollegamenti in corso. A parte questi piccoli difetti, l'utilizzo di QuickVPN è davvero semplice.
Da aggiungere la possibile difficoltà di debug delle connessioni IPsec. Come anticipato precedentemente, i nuovi messaggi vengono accodati alla log, quindi bisogna perdere tempo scorrendola fino alla fine; gli stessi messaggi non ci sembrano molto utili e, se si utilizza Firefox, non è possibile visualizzare le schermate pop-up, che si nascondono dietro le finestre principali (problema assente in IE).
Prestazioni
Data l'abbondanza di funzionalità dell'RVS4000, si spera possa vantare anche alte velocità di routing. La realtà purtroppo è sorprendentemente lontana dalla teoria: abbiamo iniziato eseguendo un test IxChariot per verificare le capacità di up e downlink simultanei, e i risultati sono visibili in Figura 6.
Figura 6: Throughput in Up e Downlink simultaneo. (Cliccate sull'immagine per ingrandirla)
Il throughput in upload (LAN verso WAN) di 516 Mbps è il nuovo record registrato nei laboratori di Tom's Hardware, ed è stato ovviamente ottenuto utilizzando connessioni gigabit su entrambi i lati WAN e LAN. Il throughput in download (WAN verso LAN) da 14 Mbps però, nonostante sia sufficiente per molte connessioni via cavo, T1 e DSL, non regge il passo degli altri prodotti di ultima generazione, come il Buffalo WZR-AG300NH, in grado di fornire una velocità su cavo maggiore di 100 Mbps sia in upload che in download.
Per ottenere i risultati mostrati nella Figura 6, abbiamo dovuto modificare le impostazioni di default, disabilitando Firewall e IPS (dei due, disabilitare l'IPS crea l'effetto maggiore) che, lasciandoli abilitati si ha un crollo della velocità di download sino agli 11 Mbps. Per essere sicuri che le prestazioni misurate fossero quelle reali, abbiamo verificato con Linksys, che ha confermato le velocità visualizzate nei grafici. Un'occhiata ai forum di DSLReports e abbiamo trovato anche lamentele sulle limitazioni delle velocità di download sulle connessioni in fibra.
I risultati per numero di connessioni supportate simultaneamente non renderà felici gli utenti P2P, siamo infatti riusciti ad ottenere al massimo 48 connessioni simultanee, e ciò mantenendo disabilitati Firewall e IPS. Con quelle funzionalità abilitate, il numero di connessioni crolla a 32.
Le prestazioni del tunnel IPsec sono ancor più deludenti. Linksys non è stata in grado di fornire un paio di RVS4000, così non siamo riusciti a testare il throughput del tunnel gateway-verso-gateway. Dobbiamo quindi accontentarci solo delle velocità client-verso-gateway. La Figura 7 mostra test simultanei in entrambe le direzioni del tunnel, gestendo un throughput totale di circa 1.6 Mbps. Abbiamo analizzato anche le prestazioni nelle singole direzioni ottenendo quasi gli stessi risultati.
Figura 7: Throughput IPsec in Up e Download simultaneo. (Cliccate sull'immagine per ingrandirla)
I risultati sono deludenti, in particolare se si considera che un prodotto di classe "business" si aspetta sia dotato di commutatori multipli, in grado di connettersi simultaneamente. Controllare la posta e trasferire piccoli file sono azioni che non presentano il minimo problema, ma trasferimenti più impegnativi o l'utilizzo di applicativi affamati di banda potrebbero evidenziare i problemi di mancanza della banda stessa.
Pensieri conclusivi
Ci chiediamo perché Linksys accetti un così evidente sbilanciamento tra il throughput in up e downlink. Il processore Star consuma una grande dose della potenza di elaborazione per effettuare i suoi controlli dell'IPS, ma persino con quella funzione disabilitata, il throughput in download non si avvicina minimamente alle prestazioni del WRT54G, rimanendo sullo stesso livello dei prodotti appartenenti a qualche generazione passata.
Nonostante le connessioni 10 Mbps+ rappresentino una minoranza di quelle attive in U.S., ne esistono molte di più negli altri paesi del mondo; se siete tra i possessori di una di queste connessioni, probabilmente vi conviene indirizzare le vostre ricerche verso altri router, in grado di sfruttare appieno quella banda per cui spendete il vostro denaro. É davvero un peccato, perchè altrimenti questo RVS4000 avrebbe molte interessanti potenzialità da offrire. Dove altro trovereste uno switch managed di Livello 2 con 4 porte gigabit e supporto jumbo frame per circa 125 euro?