Предостережение: роутеры Linksys (Belkin).
Нет повести печальнее на свете, чем повесть о SOHO роутерах Linksys после их приобретения Belkin.
Это пост-предостережение. Если вы задумались о приобретении роутера Linksys, одумайтесь, пока не поздно.
Где-то полгода назад в офисе встал вопрос о замене роутера Asus. Причина банальная: со всеми нашими необходимыми ресурсами мы катастрофически не влезали в ограничение на количество переадресуемых портов в 10 штук. На свою голову я предложил покупать Linksys: ведь это же Linksys от Cisco, линейка бюджетных роутеров от именитого производителя оборудования! Ну и проверенный вариант, я знаю несколько бесперебойно работающих много лет экземпляров Linksys 54WRT.
Выбор пал на модель EA2700, из сравнительно свежей линейки устройств.
Давненько мне не приходилось настолько разочаровываться в своем выборе.
Итак, по фактам:
0) На роутер есть старая (Цисковская) полнофункциональная прошивка, и новая ущербная Белкиновская. Старую ставить нельзя, потому что в ней есть известная и эксплуатируемая ботнетами незакрытая уязвимость. Все, что ниже - про новую.
1) Теоретически роутер поддерживает вещание в диапазоне 2,4ГГц, 5 ГГц, да еще и создание отдельной гостевой сети с отдельным паролем. Реально при включении вещания более чем одной сети роутер перестает делать renew DHCP. То есть ситуация вконец веселая: у кого IP адрес не успел истечь, у тех сеть есть. А у кого закончился lease - извините! (Не спрашивайте, как именно удалось установить причинно-следственную связь. Метод проб и ошибок).
2) На роутере НЕТ бекапа настроек. От слова совсем.
3) На роутер НЕЛЬЗЯ зайти по telnet. Совсем. Никак. Belkin считает, что пользователям SOHO оборудования не нужны такие возможности. Соответственно можно забыть про возможность ручной настройки iptables.
4) Нельзя назначить отдельные маршруты для пакетов, приходящих с WAN и с LAN.
5) Нельзя переназначить веб-интерфейс роутера на порт, отличный от 80-го. Можно включить доступ по https, по порту 443, но об этом ниже.
Значит, в этих условиях имеем задачу выдать наружу доступ к веб-серверу, находящемуся в локальной сети. Перенаправляем 80 порт на сервер и предсказуемо теряем доступ к веб-интерфейсу роутера. Ну ладно, мы же умные, мы включили доступ по https, специально чтобы заходить в веб-интерфейс по https! Вот только по https доступа тоже нет, если порт 80 переадресован. Роутер вообще не отдает response.
Предваряя вопрос, DD-WRT и OpenWRT на этот роутер нет.
В общем, мерзость этот Linksys редкостная. Не берите.
С положительной стороны, поставили мы в датацентре роутер MikroTik. Вот это отличная вещь. Латвийская компания делает превосходные железяки. Все умеет, умные маршруты, примитивный load balansing, VPN-server, VPN-client, раздельные подсети по разным физическим портам. Два минуса: интерфейс такой, что даже уровня продвинутого пользователя не хватает, нужен уровень начального сисадмина. Ну и эникейщики по вызову на них очень жалуются: поставишь такой, и все, никаких больше вызовов от клиента. Ни "Роутер заглючил!", ни "У меня что-то интернет не работает", ничего, как отрезало. Хочу теперь домой их роутер из домашней линейки.
UPD(10x lexis): Ничто не идуально под луной. Будьте внимательны и проверяйте соответствие возможностей устройства вашим потребностям. "Оно совсем не умеет UDP2TCP proxy и вообще на него ничего нельзя поставить, что не предусмотрели разработчики :) Пришлось поднимать на нем виртуальный OpenWRT, что несколько повысило кривизну такого решения)"
Это пост-предостережение. Если вы задумались о приобретении роутера Linksys, одумайтесь, пока не поздно.
Где-то полгода назад в офисе встал вопрос о замене роутера Asus. Причина банальная: со всеми нашими необходимыми ресурсами мы катастрофически не влезали в ограничение на количество переадресуемых портов в 10 штук. На свою голову я предложил покупать Linksys: ведь это же Linksys от Cisco, линейка бюджетных роутеров от именитого производителя оборудования! Ну и проверенный вариант, я знаю несколько бесперебойно работающих много лет экземпляров Linksys 54WRT.
Выбор пал на модель EA2700, из сравнительно свежей линейки устройств.
Давненько мне не приходилось настолько разочаровываться в своем выборе.
Итак, по фактам:
0) На роутер есть старая (Цисковская) полнофункциональная прошивка, и новая ущербная Белкиновская. Старую ставить нельзя, потому что в ней есть известная и эксплуатируемая ботнетами незакрытая уязвимость. Все, что ниже - про новую.
1) Теоретически роутер поддерживает вещание в диапазоне 2,4ГГц, 5 ГГц, да еще и создание отдельной гостевой сети с отдельным паролем. Реально при включении вещания более чем одной сети роутер перестает делать renew DHCP. То есть ситуация вконец веселая: у кого IP адрес не успел истечь, у тех сеть есть. А у кого закончился lease - извините! (Не спрашивайте, как именно удалось установить причинно-следственную связь. Метод проб и ошибок).
2) На роутере НЕТ бекапа настроек. От слова совсем.
3) На роутер НЕЛЬЗЯ зайти по telnet. Совсем. Никак. Belkin считает, что пользователям SOHO оборудования не нужны такие возможности. Соответственно можно забыть про возможность ручной настройки iptables.
4) Нельзя назначить отдельные маршруты для пакетов, приходящих с WAN и с LAN.
5) Нельзя переназначить веб-интерфейс роутера на порт, отличный от 80-го. Можно включить доступ по https, по порту 443, но об этом ниже.
Значит, в этих условиях имеем задачу выдать наружу доступ к веб-серверу, находящемуся в локальной сети. Перенаправляем 80 порт на сервер и предсказуемо теряем доступ к веб-интерфейсу роутера. Ну ладно, мы же умные, мы включили доступ по https, специально чтобы заходить в веб-интерфейс по https! Вот только по https доступа тоже нет, если порт 80 переадресован. Роутер вообще не отдает response.
Предваряя вопрос, DD-WRT и OpenWRT на этот роутер нет.
В общем, мерзость этот Linksys редкостная. Не берите.
С положительной стороны, поставили мы в датацентре роутер MikroTik. Вот это отличная вещь. Латвийская компания делает превосходные железяки. Все умеет, умные маршруты, примитивный load balansing, VPN-server, VPN-client, раздельные подсети по разным физическим портам. Два минуса: интерфейс такой, что даже уровня продвинутого пользователя не хватает, нужен уровень начального сисадмина. Ну и эникейщики по вызову на них очень жалуются: поставишь такой, и все, никаких больше вызовов от клиента. Ни "Роутер заглючил!", ни "У меня что-то интернет не работает", ничего, как отрезало. Хочу теперь домой их роутер из домашней линейки.
UPD(10x lexis): Ничто не идуально под луной. Будьте внимательны и проверяйте соответствие возможностей устройства вашим потребностям. "Оно совсем не умеет UDP2TCP proxy и вообще на него ничего нельзя поставить, что не предусмотрели разработчики :) Пришлось поднимать на нем виртуальный OpenWRT, что несколько повысило кривизну такого решения)"