Visão geral do roteador Draytek série 2925. Parte dois

Na primeira parte da revisão da série de roteadores Draytek 2925n, examinamos em detalhes como o dispositivo está posicionado no mercado, o esquema de uso do roteador, suas principais funções e exemplos de uso, familiarizamos-nos com as especificações técnicas detalhadas, analisamos a configuração e a aparência do roteador, examinamos detalhadamente as funções dos indicadores e interfaces dispositivos.

Os resultados demonstram inequivocamente os amplos recursos do roteador em um compartimento "gigabit", que pode ser necessário para uma empresa de nível SMB e SMB + ou para uma pequena filial de uma grande empresa que "superou" a velocidade máxima de conexão de rede de 100 Mbps e precisa de centenas de megabits na rede local e Interfaces WAN para seu ISP. Portanto, o dispositivo tem um grande potencial para uso em redes corporativas com muitos recursos. O teste de carga, cujos resultados você encontra na primeira parte da revisão, mostrou bons resultados. A primeira parte da revisão está disponível neste link.

- , WAN LAN, Load-balancing, , VPN (PPTP, IPSec SSL), , NAT, – Central AP Management VPN- –Central VPN Management, , , USB, .
.


. 0

. 0-1
Ethernet WAN LAN «».
Por padrão, o roteador inclui uma rede sem fio aberta com o nome Draytek e um servidor DHCP, você pode conectar-se a ele ou usar uma das portas LAN.

Após conectar-se ao roteador a partir de um PC e obter com êxito um endereço IP da rede 192.168.1.0/24, abra sua interface da Web; para isso, no navegador da Web, digite IP LAN por padrão 192.168.1.1, Nome de usuário: admin, senha: admin. Eu recomendo alterar imediatamente a senha para uma mais segura.


Fig. 1

Chegamos ao menu “Status online”, onde são exibidas informações básicas sobre o dispositivo


. 2

A imagem abaixo mostra o menu Painel, que mostra claramente o diagrama de conexão do roteador às redes WAN, LAN e WLAN sem fio. Simples e claro



. 2-1

3.7.8.2_R , , PPTP , :


. 3

, , Draytek.com Supports -> Downloads -> Firmware — Vigor2925 Series.

3.8.2.3 , , , - System Maintenance >> Firmware Upgrade v2925_3823.all, «Upgrade».


. 4

Após uma atualização bem-sucedida, reinicie o roteador e obtenha o firmware mais recente, sem restrições.

Para maior clareza, a seguir, é apresentada uma imagem do diagrama de rede do roteador Draytek 2925n, no exemplo do qual consideraremos sua interface da web, bem como alguns exemplos de configurações de funções.


Fig. 4-1

Para conectar-se à Internet, usamos duas interfaces WAN com várias regras de roteamento; em caso de acidente no primeiro canal, o tráfego passa automaticamente pelo backup.

Usamos duas sub-redes: LAN0 = 192.168.1.0 / 24 e LAN1 = 192.168.2.0 / 24. E três redes sem fio com SSIDs: DrayTek, DrayTek_Guest e DrayTek_Unencrypted. Eles são combinados através das configurações de VLAN com redes sem fio. Os clientes remotos podem se conectar via VPN usando o Smart VPN Client e os protocolos PPTP e IPSec. Para o aplicativo SmartMonitor, o espelhamento das portas LAN está ativado.

, Draytek, , - , , , . , : (Wizards), WAN LAN, (Firewall, Objects Settings, CSM) (User Management), (Applications). Draytek – Central AP Management VPN Draytek – Central VPN Management. VPN , (Wireless LAN), USB- (USB Application) (System Maintenance) (Diagnostics).

Todos os itens são estruturados de forma simples e lógica, de acordo com as funções da rede, sem nenhuma lógica específica e confusa.

Cada item de menu global inclui um ou mais subitens. Considere os itens principais do menu, já que o roteador possui uma configuração que corresponde ao diagrama de rede que foi apresentado acima, conforme você analisa novos itens de menu, fica claro como determinadas funções de rede são configuradas.

Menu Assistentes

Aqui estão os assistentes de configuração que permitem configurar as funções básicas do roteador em apenas alguns cliques. Eles são uma cadeia de várias caixas de diálogo, a última janela exibe uma lista de todas as configurações feitas e o botão "Concluir" para sua aplicação. Pareceu-me que os dados do assistente são para administradores completamente preguiçosos, pois sem eles, a configuração das funções básicas no roteador não é difícil.

Assistente de início rápido - é usado para configurar rapidamente a conexão das interfaces WAN 1-3.

Assistente de Ativação de Serviço - ativa o filtro temático inteligente dos sites Filtro de Conteúdo da Web .

O seguinte Assistente para Cliente VPN e Assistente para Servidor VPNAchei interessante, com a ajuda deles é fácil configurar a VPN nos modos LAN-to-LAN e Usuário de discagem remota, ativar o serviço e registrar usuários. Abaixo, um exemplo de 3 etapas para adicionar e ativar um usuário VPN.

Escolhemos o PPTP, precisamos configurar no lado do cliente, usaremos o cliente Draytek Smart VPN. Volte às configurações da VPN no menu VPN e acesso remoto .


Fig. 5


Fig. 6


Fig. 7

O Assistente sem fio é para a configuração inicial de uma rede sem fio. Abaixo está a janela final na conclusão do assistente.


Fig. 8

Em alguns cliques, a rede sem fio está configurada.

Menu Status on-line

O próximo item de menu contém dois subitens: o primeiro Conexão física - mostra o status físico da LAN, das interfaces WAN 1-3 e dos medidores de nível de link, a mesma coisa, mas apenas para interfaces virtuais pode ser vista no menu Virtual WAN .


Fig. 9

Para obter mais informações sobre o status do sistema, consulte Manutenção do sistema -> Status do sistema .

Menu WAN

Neste menu, são executadas todas as configurações relacionadas à conexão do roteador aos provedores de Internet. No nosso exemplo, a WAN 1 e 2 estão ativas:


Fig. 10-1

A configuração do modo de balanceamento de carga está disponível quando duas ou três interfaces WAN são usadas simultaneamente. Usamos o modo de pesagem automática; nesse modo, o roteador distribui automaticamente a carga. A interface WAN 3 pode ser usada ao conectar um modem 3 / 4G.

Abaixo está uma configuração detalhada da interface WAN 2, usamos o modo de balanceamento de carga.


Fig. 10-2

As interfaces são configuradas diretamente no submenu Acesso à Internet .


Fig. 10-3

Ir para a página de detalhes WAN 2, , IP, DHCP-. , PPTP/L2TP PPPoE, IPv6.


. 11

Multi-VLAN WAN 1-2 LAN , .


. 12

Ou seja, com base na interface física da WAN 1-2, criamos uma WAN virtual adicional 5-7 na VLAN especificada por nós e a “une” com as portas LAN necessárias 1-3 (a quarta porta pode funcionar apenas no modo NAT); opcionalmente, podemos atribuir interface WAN virtual 5-7 endereço IP manualmente ou receba via DHCP, ou seja, torne-o L3. Como exemplo, podemos encaminhar o tráfego IPTV da WAN para a LAN.

Submenu Multi-VLAN WAN . , . , . , , , : , SMS-.

, WAN1


. 12-1


. 12-2

LAN

O item é responsável pela configuração da rede local e contém vários subitens. O roteador suporta dois segmentos de LAN independentes com suas próprias configurações; por padrão, é 192.168.1.1/24 e 192.168.2.1/24, você também pode adicionar uma rede roteada. Nos dois segmentos, o DHCP está ativado, o que emite endereços IP para conectar os terminais do usuário. A propósito, um servidor DHCP pode ser configurado para transmitir quaisquer opções adicionais de DHCP; é muito conveniente se a rede tiver serviços especializados, por exemplo, um servidor TFTP.


Fig. 13

Além disso, você pode ativar ou desativar o roteamento entre a LAN 1-5 na seção Roteamento entre LANs.

No próximo submenu LAN >> Configuração de rota estática , você pode adicionar até 10 rotas estáticas a outras redes atrás de endereços IP nas sub-redes da LAN 1-5.

SubmenuA LAN >> VLAN Configuration permite combinar as portas LAN P1-5 especificadas com redes sem fio SSID 1-4 em uma única VLAN e, opcionalmente, adicionar tags VLAN prioritárias. Quando a etiqueta VLAN está ativada, o tráfego com as etiquetas especificadas no campo VID aparecerá nas portas LAN correspondentes; as etiquetas não serão transmitidas através de redes sem fio. No nosso exemplo, duas VLANs independentes. A VLAN0 inclui as portas LAN P 2-5 e uma rede sem fio com SSID1 - tudo isso no segmento LAN 1. A VLAN1 inclui a porta P1 e redes sem fio com SSID2 e SSID3 - tudo isso no segmento da LAN 2.


Fig. 14 O

roteador pode operar no modo de criação de VLANs sem etiqueta com base em portas ou VLANs com tags VID.

Próximo item na LAN >> Vincular IP ao MAC. Permite criar listas com endereços MAC e endereços IP correspondentes. Se a função estiver ativada, todos os endereços IP atribuídos aos endereços MAC não poderão ser alterados. As folhas criadas podem ser salvas em um arquivo e restauradas na configuração do roteador a partir de um arquivo salvo anteriormente.

No menu LAN >> LAN Port Mirror , você pode ativar a cópia de todo o tráfego da porta LAN Mirrored especificada para a porta Mirror receptora . Essa função é útil para depurar uma rede usando um sniffer ou ao usar o aplicativo para monitorar e analisar a atividade de rede do Draytek Smart Monitor. Informações sobre esse aplicativo podem ser encontradas na primeira parte desta revisão. Ao contrário do roteador Draytek 2912, uma visão geral em duas partes está disponível aqui: parte 1 2, 2925, : Rx, Tx, .


. 15

Wired 802.1X 802.1X 5 LAN . : 802.1X( User Profile) RADIUS-.


. 15-1

LAN >> Web Portal Setup , LAN WLAN- URL- -, , , SSID1.


Fig. 16

Essa função é usada para fins de publicidade ou para notificar um usuário que se conecta à Internet através da rede de uma empresa específica.

No exemplo, quando você tenta abrir qualquer página da web pela primeira vez, o usuário será redirecionado para o site www.ucexpert.ru , onde, na parte superior da tela, haverá uma mensagem pedindo ao usuário para clicar no botão Continuar para continuar a sessão na web e acessar o site desejado.

A seguir, é apresentado um exemplo dessa página.


Fig. 17

Menu Política de Balanço de Carga / Rota

General Setup – Diagnose – , .


. 18

, IP LAN IP 8.8.8.8 WAN1, , IP 8.8.4.4 WAN2. , WAN1, WAN1, WAN2. , , .

A imagem a seguir mostra os critérios pelos quais você pode definir uma regra; existem alguns deles; também é possível determinar para onde enviar o pacote, se a regra não funcionar.


Fig. 19

A figura a seguir mostra o diagnóstico da rota.


Fig. 20

Menu NAT

NAT (Network Address Translation), Port Redirection – WAN IP- LAN, FTP-, ..

DMZ Host DMZ LAN WAN .

Open Ports , , P2P, IP- LAN.


. 21

Port Triggering Open Ports. Open Ports, , Port Triggering, , .

.

Hardware Acceleration

Data Flow Monitor – , IP-, Traffic Graph – WAN , WAN Budget – . , – IP- UDP\TCP .


. 21-1

Firewall

Nesse menu, as regras globais de firewall são configuradas, os conjuntos e a ordem das regras de verificação de tráfego e as regras padrão de filtragem de tráfego são especificadas.

O firewall pode ser dividido em 3 subsistemas:

1. Filtro IP configurável pelo usuário com base nos conjuntos de regras Filtro de chamadas / Filtro de dados
   
2. Stateful Packet Inspection Filter (SPI)
   
3. Proteção contra ataques de negação de serviço (DoS) / DoS distribuído (DDoS)
   

A arquitetura do firewall usa dois conjuntos independentes de regras de Filtro de chamadas e Filtro de dados.

O conjunto de regras do filtro de chamadas é aplicado ao tráfego enviado da rede local para a WAN quando não há conexão ativa com a Internet (a interface WAN não está ativa) e antes que a conexão seja estabelecida, o tráfego passa pelas regras do filtro de chamadas, se os pacotes não estiverem bloqueados, a conexão será estabelecida.

Quando a interface WAN está ativa, todos os pacotes caem imediatamente no conjunto de regras do Filtro de Dados e todo o tráfego que chega às interfaces WAN também chega lá.


Fig. 22
As regras de firewall podem especificar objetos (definidos no menu Configurações de objetos), como endereços IP ou grupos de endereços IP, protocolo e intervalo de portas e seus grupos, palavras-chave e grupos de palavras-chave, perfis de extensão de arquivo, usuários (determinados no menu Gerenciamento de usuários) e, finalmente, no menu CSM (Gerenciamento de segurança de conteúdo), defina aplicativos, por exemplo, Skype, URLs e até mesmo o assunto de determinados sites usando o sistema Filtro de conteúdo da Web.
Ou seja, podemos trabalhar com o tráfego do nível da rede até o nível do aplicativo, além de usar o sistema Filtro de Conteúdo da Web para processar de forma inteligente o tráfego no assunto do conteúdo da Web, ou seja, criar regras muito amplas.
Abaixo estão as configurações globais no submenuFirewall >> General Setup, , Firewall >> Filter Setup, , Firewall >> Filter Setup >> Edit Filter Set, .


. 23

block-social


. 24

-, Schedule , , , 9-30 18-00 . , Direction, IP- , Objects Setting >> Service Type Object, ou talvez um conjunto de objetos, e é um monte de tipo de protocolo + porta ou intervalo de portas.

Em seguida, no campo Filtro , especifique o critério "Passar se não houver mais correspondências" - os pacotes devem ser ignorados se nenhum dos critérios nas regras restantes corresponder. Se o usuário acessar uma rede social, por exemplo, ok.ru, os critérios corresponderão e o pacote será bloqueado. O critério neste exemplo é o perfil no filtro de conteúdo de URL , que contém um objeto - um grupo que inclui palavras-chave - endereços de redes sociais.

Abaixo, ilustrarei as configurações quando chegarmos a elas. Da mesma forma, outros critérios estão incluídos na regra, ou seja, nas regras do firewall, você pode adicionar critérios no nível da rede e no nível do aplicativo; além disso, é possível ativar o Web Content Filter , que funciona ainda mais alto - no nível do assunto da web conteúdo.

Submenu Defesa DoS . O roteador implementa a detecção e a proteção automática contra ataques de negação de serviço, e as métricas do limite de intensidade de tráfego, após o qual o evento é considerado um ataque, podem ser configuradas manualmente. Alertas de notificação de ataque também são fornecidos.

Menu Gerenciamento de usuários

O firewall pode operar em um dos dois modos globais:

Rule-Based, , , , IP- . IP-.

User-Based, . . . IP , .

User Management >> General Setup, IP- .

IP- : IP- , IP-.

User-Based, , , . , User Management >> User Profile.


. 25

,


. 26

, , , LDAP RADIUS. , .

Landing Page — . , : «Login Success!», -, , . Landing page :

<body stats=1><script language='javascript'> window.location='http://www.draytek.com'</script></body>

Todas as configurações são descritas em detalhes no manual do usuário. Quando você abre um navegador da Web e tenta acessar qualquer site, o usuário é redirecionado para a página de autorização, após uma autorização bem-sucedida, a mensagem "Login Success!" e o usuário poderá trabalhar na rede.


Fig. 27

No submenu Grupo de usuários , você pode agrupar usuários para atribuir as mesmas regras a grupos de usuários, por exemplo, por departamento da empresa. O submenu Status do usuário on-line é usado para visualizar o status dos usuários.

Menu de configuração de objetos

Os roteadores Draytek série 2925 suportam um firewall baseado em Stateful Packet Inspection (SPI) com base em objetos baseados em objeto (baseados em IP), como: um usuário (mediante autorização, ele recebe um IP específico), endereços IP ou grupos de endereços IP, protocolo e variedade de portas e seus grupos, palavras-chave e grupos de palavras-chave, perfis de extensão de arquivo. Esses objetos podem ser usados ​​para criar regras de firewall que podem ser ativadas e desativadas em um agendamento.

No menu Configuração de objetos, vários tipos de objetos são criados e agrupados.

No submenu Objeto IPos objetos são criados com base no host, no intervalo de endereços IP ou na sub-rede; você também pode usar um endereço MAC específico para qualquer endereço IP. No submenu Grupo de IPs, grupos são criados a partir de objetos IP que podem ser usados ​​para criar regras de firewall.

O mesmo vale para Objeto IPv6 e Grupo IPv6 com endereçamento IP IPv6. Nos submenus Objeto de Tipo de Serviço e Grupo de Tipos de Serviço , os objetos são criados e agrupados com base no tipo de protocolo, nas portas de origem e de destino.


Fig. 28

No submenu Objeto de palavra- chave e grupo de palavras-chaveComo os objetos baseados em palavras-chave são criados e agrupados, esses objetos podem ser usados ​​para criar regras de filtragem, por exemplo, para o Perfil de filtro de conteúdo de URL e o Perfil de filtro DNS no subsistema CSM. Em nosso exemplo, bloqueamos as redes sociais vk.com twitter.com facebook.com e ok.ru, para isso, criamos dois perfis com os nomes redes sociais e social-ok.ru contendo essas palavras-chave e as adicionamos ao grupo redes sociais gro submenu Configuração de objetos >> Grupo de palavras-chave . Em seguida, usamos esse grupo no CSM >> Perfil de filtro de conteúdo de URL .


Fig. 29

No submenu File Extension Object , . , , . . blk-img CSM >> URL Content Filter Profile. .


. 30

SMS/Mail Service Object Notification Object 10 Application>>SMS/Mail Alert Service.

CSM

CSM (Content Security Management), , , URL , , Java Applet, Cookies, Active X, , , IM/P2P , , MySQL, SMB, SSH, UltraVPN, . DNS .

APP Enforcement Profile , , Skype.


. 31

No exemplo das configurações da regra Firewall da tabela Filtro de Dados, que foi fornecida acima, essa regra é indicada.

O submenu URL Content Filter Profile é responsável por filtrar o conteúdo da web. Aqui, os objetos de palavra- chave de grupo / objeto criados anteriormente são indicados e a função Controle de acesso à URL é permitida . Cada endereço de site será pesquisado por palavras-chave. Em nosso exemplo, adicionamos o grupo social-nets-gro contendo palavras-chave com endereços de redes sociais ao grupo criado anteriormente.

Na seção Recurso da Web , você pode ativar o upload de cookies, bloqueio de proxy e arquivos com os arquivos especificados no Perfil de extensão de arquivo ; no exemplo anterior, criamos o perfil 1-blk-img.

O perfil social criado é designado na regra do firewall no campo Filtro de Conteúdo da URL.


Fig. 32

Quando a regra funcionar ao tentar abrir, por exemplo, vk.com, o usuário verá uma mensagem do campo Mensagem de Administração, um exemplo do conteúdo desse campo é mostrado na imagem anterior.


Fig. 33

Submenu Perfil de filtro de conteúdo da Web. Outra ferramenta CSM poderosa é o sistema GlobalView Web Content Filter. Projetado para filtrar conteúdo indesejado em um nível temático, isto é, por exemplo, sites com o tema de pornografia, crime, jogos de azar e muito mais. O administrador cria perfis, nos quais indica os assuntos dos sites e os atribui às regras do firewall, depois indica o que fazer quando as regras corresponderem, por exemplo, ao bloco. O Filtro de Conteúdo da Web está licenciado, mas uma licença para teste está disponível gratuitamente.

Abaixo está a configuração do perfil por categoria:


Fig. 34

Subsistema de perfis de filtro DNSverifique e bloqueie as consultas DNS na porta UDP 53, de acordo com o perfil de filtro de conteúdo de URL atribuído ou o perfil de filtro de conteúdo da Web. Você também pode personalizar a mensagem que será exibida ao usuário quando o recurso estiver bloqueado.

Menu Gerenciamento de largura de banda

O submenu Gerenciamento de largura de banda >> Limite de sessões é usado para limitar o número de NATs das sessões dos endereços IP da LAN que podem ser configurados simultaneamente. Por exemplo, aplicativos P2P (ponto a ponto) normalmente exigem muitas sessões simultâneas e consomem muitos recursos de rede. Você também pode limitar o número padrão de sessões de qualquer IP.

O submenu Gerenciamento de largura de banda >> Limite de largura de banda define limites de utilização da largura de banda para hosts e intervalos de endereços IP. Além disso, as regras podem ser configuradas em uma programação, você pode limitar separadamente a banda para o tráfego de entrada e saída.

No submenu Gerenciamento de largura de banda >> Qualidade de serviçoa qualidade do serviço de tráfego está configurada. Primeiro, o tráfego usando regras é classificado de acordo com critérios como IP de origem e destino, tipo de serviço e código DiffServ. Em seguida, cada classe de tráfego recebe sua porcentagem da largura de banda total da interface especificada.


Fig. 35

A propósito priorização de tráfego VoIP é ativado por padrão.

Menu de aplicações

Este menu contém configurações para aplicativos utilitários que ajudam a ajustar funções individuais.

Por exemplo, no submenu Agendamento, são configurados perfis de agendamento usados ​​em várias configurações das funções e regras do roteador; no total, até 15 entradas podem ser criadas no agendamento.


Fig. 36

No menu DNS da LAN, você pode especificar a correspondência do endereço IP e do nome do domínio na rede local. Nos menus RADIUS e Active Directory / LDAP , é possível ativar opcionalmente a autorização do usuário nos nomes de submenus do servidor correspondentes. No submenu IGMP , você pode ativar o proxy IGMP ou o rastreamento IGMP para tráfego multicast, por exemplo, TV IP.

O submenu merece atenção especialAlta disponibilidade, que serve para configurar a reserva de recursos de hardware e software do roteador principal 2925 roteadores de backup e backup, em caso de falha do principal. Para fazer isso, execute as seguintes etapas:

1) habilite o modo Alta disponibilidade - alta disponibilidade nos roteadores principais e de backup (
2) defina o nível de ID de prioridade mais alto no roteador principal e os níveis mais baixos nos roteadores de backup ou backup
3) defina a mesma redundância Método / ID do grupo / Chave de autenticação nos roteadores principais e de backup
4) instale a interface de gerenciamento na mesma sub-rede para os roteadores principais e de backup.
5) permita um endereço IP virtual para cada sub-rede usada e defina o mesmo endereço IP virtual em cada roteador.

A reserva pode funcionar de dois modos:

Hot-Standby - esse método é adequado para o uso de uma conexão com a Internet:

• Todas as WANs nos roteadores de backup devem ser desativadas usando a função HA
  
• As configurações de WAN dos roteadores primário e de backup devem ser as mesmas
  

Quando a função HA começar a funcionar em roteadores, a rede sem fio será automaticamente ativada no roteador principal e, no roteador de backup, ela será desligada automaticamente. Todos os clientes poderão conectar-se apenas ao roteador principal.

Além disso, é definido um período para sincronizar as configurações do roteador principal para o roteador de backup. A configuração pode ser sincronizada entre no máximo 10 roteadores.

Active-Standby - esse método é adequado para o uso de várias conexões com a Internet.

• Todas as WANs nos roteadores em espera devem estar ativadas. Os usuários podem rotear o tráfego para essas interfaces.
  
• As configurações da interface WAN nos roteadores principais e de backup não devem ser as mesmas
  
• A sincronização da configuração entre roteadores deve ser desativada
  

Fig. 36-1

Menu VPN e acesso remoto

O roteador suporta até 50 túneis VPN * do tipo LAN para LAN para criar uma conexão segura entre as redes da organização ou para criar uma conexão VPN a partir de estações de trabalho remotas de trabalhadores em casa usando os protocolos SSL / PPTP / IPSec / L2P / L2TP / I2ecover. A criptografia AES / DES / 3DES e autenticação IKE fornecem segurança aprimorada. O uso de uma conexão WAN dupla permite usar não apenas um esquema de balanceamento de carga, mas também redundância. Portanto, se o canal principal do canal VPN ficar indisponível, um canal VPN de backup o substituirá.

A propósito, as funções de VPN no Draytek são muito fáceis de configurar. Com apenas alguns cliques, você pode configurar as conexões LAN-to-LAN e acessar a partir de estações de trabalho remotas. O Dryatek possui seu próprio cliente VPN para simplificar a conexão dos locais de trabalho, chamado Draytek Smart VPN Client, o aplicativo está disponível para download gratuito em draytek.com.

* Nas entregas oficiais de roteadores para o território da Federação Russa, todos os softwares de criptografia que não estão em conformidade com os GOSTs foram removidos; portanto, neste firmware, há apenas suporte a PPTP sem criptografia. Isso pode ser corrigido com a instalação de um software padrão, que pode ser baixado em draytek.com.

Os protocolos VPN de acesso global estão incluídos no submenu Configuração do controle de acesso remoto , a Chave pré-compartilhada para o método de autenticação IKE é especificada no submenu Configuração geral do IPsec , métodos de criptografia são indicados. Por exemplo, especifique a chave draytek.commmmm


Fig. 37

O submenu Usuário de discagem remota indica os usuários que podem se conectar via VPN de seus locais remotos à LAN da LAN do roteador.


Fig. 38

Na lista Status , é claro que o usuário ignat está no status online, pois é marcado em verde.

, ignat PPTP, IPSec preshared key= draytek.commmmm.


. 39

Draytek Smart VPN Client, .

PPTP.


. 40

VPN- preshared IPsec General Setup draytek.commmmm.


. 42

Connection Management .


. 43

O submenu LAN para LAN é usado para configurar conexões VPN entre duas redes. Um perfil de LAN para LAN é criado, indicando todas as configurações necessárias para criar uma conexão: tipo de conexão - protocolo VPN de entrada, saída ou bidirecional - PPTP, L2TP com política IPsec ou túnel IPsec, dependendo do protocolo, configurações específicas, por exemplo, login ou senha ou chave pré-compartilhada IKE, método de criptografia e muito mais. De fato, não existem muitas configurações, e elas são simples no caso geral. É indicado qual rede local o lado remoto deve "ver" e para qual rede remota encaminhar o tráfego através desta conexão VPN.

Depois de salvar as configurações de conexão, o lado local iniciará a conexão ou aguardará uma conexão de entrada do lado remoto - dependendo das configurações.

A conexão estabelecida também pode ser visualizada no submenu Gerenciamento de conexões .

Menu Central de Gerenciamento de VPN

Este menu configura o gerenciamento centralizado de conexões VPN e algumas funções de serviço entre o Draytek 2925 e os roteadores remotos. A configuração é muito simples - em apenas algumas etapas.

No submenu CVM >> Configuração geral , são definidas as configurações de autorização, que devem ser copiadas para o dispositivo cliente remoto, em nosso exemplo, via SSL:

https://192.168.85.156:8443/ACSServer/services/ACSServlet , com nome de usuário = acs e senha .


Fig. 43-1

Em seguida, no dispositivo remoto, no submenu Manutenção do sistema >> TR-069 , você precisa habilitar seu gerenciamento inserindo as configurações listadas acima:



E marque a caixa Permitir gerenciamento pela Internetno submenu Manutenção do sistema >> Configuração de gerenciamento .

Em seguida, é necessário reiniciar o roteador remoto e efetuar login novamente na interface da Web Draytek 2925.

Se as configurações estiverem corretas, no submenu Central VPN Management >> CPE Management, você verá o dispositivo recém-adicionado.


Fig. 43-3

Agora, o roteador remoto, em nosso exemplo é o Vigor2860n +, pode ser configurado na interface da Web Draytek 2925. Além de configurar e monitorar os túneis da VPN, você pode atualizar a versão do software no roteador remoto, salvar e restaurar a configuração e executar uma reinicialização. Você pode fazer isso para um dispositivo ou para um grupo de dispositivos. Instruções detalhadas, inclusive no formato "como fazer", estão no manual do usuário.

No submenu CVM >> Gerenciamento de VPN , você pode configurar e monitorar os túneis da VPN.

Para fazer isso, clique no roteador remoto que deseja configurar e selecione o tipo de túnel da VPN. Quando você clica em um tipo de túnel, por exemplo, IPSec, ele é criado e ativado automaticamente.


Fig. 43-4

Ao clicar no link Atualizar, você verá o status da conexão VPN criada.


Fig. 43-5

Nesse caso, o perfil LAN para LAN será criado automaticamente. Se necessário, os perfis podem ser ajustados manualmente, a única limitação é que você não pode alterar o nome do perfil da VPN, pois isso pode causar um erro na operação da ferramenta Central VPN Management.

Menu Central de Gerenciamento de AP

Este menu é usado para detectar, configurar e atender automaticamente os pontos de acesso da Draytek.

O submenu Central AP Management >> Dashboard exibe os pontos de acesso ativos. Além disso, o Draytek 2925 encontra pontos de acesso automaticamente na rede e os exibe neste submenu.


Fig. 43-6

submenu Central AP Gestão >> WLAN perfil contém perfis das configurações do ponto de acesso.
O perfil WLAN é atribuído ao ponto de acesso e, em seguida, a corrente de acesso é automaticamente configurada ou reconfigurada de acordo com as configurações especificadas no perfil.

Fig. 43-7


Para aplicar um perfil a um ponto de acesso, é necessário marcar o perfil com um daw e clicar no botão Aplicar ao dispositivoe selecione o dispositivo desejado.

Abaixo estão as configurações detalhadas do perfil, a configuração ocorre em quatro etapas: em quatro páginas, todas as configurações são definidas seqüencialmente. Como você pode ver no exemplo, existem muitas configurações.


Fig. 43-8


Fig. 43-9

Após a conclusão da edição do perfil, na quarta página, clique no botão Concluir para salvar todas as configurações feitas no perfil.

O submenu Central AP Management >> Status exibe uma lista de todos os pontos de acesso, status e configurações detalhadas.

No submenu Central AP Management >> AP Maintenance, para um ponto de acesso ou grupo, você pode executar as seguintes funções de serviço: salvar e restaurar a configuração, atualizar o firmware, reiniciar, redefinir as configurações de fábrica.

A seguir, há um grupo de submenus para monitorar pontos de acesso: Traffic Graph - uma representação gráfica do tráfego total dos pontos de acesso, Rogue AP Detection - detecção de "your" e "Foreign" access points, Event Log - visualizando o log de eventos, Total Traffic - tráfego que passa pelo configurado Segmentos de LAN, Número da estação - o número total de clientes sem fio ativos.

No submenu Central AP Management >> Load Balanceo balanceamento de carga é configurado especificando o número máximo de clientes sem fio em uma rede de 2,4 GHz e 5 GHz e modelando o tráfego de entrada e saída de cada cliente sem fio.

O submenu Central AP Management >> Function Support List exibe uma lista de funções suportadas para o firmware atual, dependendo do modelo do ponto de acesso. Informações em duas guias - para o cliente e o servidor.


Fig. 43-10

Menu LAN sem fio

O roteador, dependendo do modelo, suporta uma rede sem fio 802.11ac, 802.11n, n-plus e possui duas ou três antenas omnidirecionais. Existem muitas configurações para funções sem fio no roteador.

O dispositivo suporta até 4 redes sem fio independentes com suas próprias configurações e, para cada uma das redes, você pode limitar a banda máxima para tráfego de saída e entrada, além de ativar a programação segundo a qual essas restrições funcionarão.

Abaixo para ilustrar as configurações, são apresentados os submenus Configuração geral e Configurações de segurança . As configurações são muito claras.


Fig. 44

4 , MAC-. Wi-Fi MAC- .

Station List, , , .


. 45

, Access Control, MAC-, , MAC-. .

Advanced Settingcontém o ajuste fino do canal de rádio, por exemplo, potência do sinal de saída, modo de operação, largura do canal, comprimento do fragmento e outros.

A conexão sem fio também é suportada pelas configurações WPS (Wi-Fi Protected Setup) e WDS , que podem ser encontradas nos subitens correspondentes do menu LAN sem fio .

Menu VPN SSL

No Draytek 2925, você pode configurar o acesso aos aplicativos via SSL VPN usando um navegador da Web padrão.

Esse método fornece certas vantagens sobre as VPNs tradicionais, entre as quais não há necessidade de software adicional, por exemplo, um cliente VPN para criar uma conexão segura, outra vantagem: menos restrições para criptografar dados usando SSL em comparação com o SSL tradicional.

O serviço é ativado globalmente, definindo um daw para a opção Ativar serviço VPN SSL no submenu VPN e acesso remoto >> Configuração do controle de acesso remoto.

Em seguida, no submenu SSL VPN >> General Setup WAN . 443. , - Draytek.

, VPN PPTP PPTP, SSL VPN >> Remote Dial-in User , SSL VPN SSL Tunnel.

SSL VPN >> SSL Web Proxy URL VPN SSL. SSL VPN >> SSL Application , , RDP 192.168.1.50:3389 VPN SSL.

, -, IP WAN , VPN SSL , , VPN SSL .


. 45-1

SSL VPN>> Online Status .


. 45-2

USB Application

O roteador possui uma porta USB que pode ser usada em três modos diferentes. Primeiro, conecte um modem USB 3G / 4G para reservar uma conexão com a Internet ou como a conexão principal com a Internet, se não houver outras maneiras de conectar-se à Internet.

Em segundo lugar, conectar uma impressora USB a um roteador, que se torna um servidor de impressão e os usuários podem usá-la configurando o acesso pela rede.

Fig. 46

Na imagem acima, um exemplo no qual uma porta USB é usada para conectar uma unidade e trocar arquivos pela rede usando FTP e SMB. Dois usuários com diferentes diretórios pessoais criados.

Na imagem abaixo, um exemplo do submenu USB Device Status, , USB- 8 , .


. 47

-, USB- FTP NetBios/SMB. Modem Support List, LAN SMB Client Support List.

3G/4G , Modem Printer USB Device Status.


. 47-1

System Maintenance

. User Administrator, TR-069 . Configuration Backup . Configuration Backup SysLog, . , .


. 48

, Draytek syslog . Draytek Syslog. .


. 49

Management . , , WAN .


. 50

Diagnostics

, — .

Routing Table , ARP Cache Table MAC- , DHCP-Table DHCP-, NAT- DNS-.


. 51

Ping Traceroute. , : VPN, Firewall, WAN .


. 52

Traffic Graph , , WAN .


. 53

Draytek 2925 2925n , . , , , , Draytek 2925n, , , , VPN-, NAS- . Drayatek 2925 – , 6 , VoIP.

, , , – . Draytek VigorACS SI, , . Draytek Smart Monitor, , . 2925 Central VPN Management VPN- Draytek 2925 . VPN- .

, Dryatek 2925 AP Central Management, - , .

High Availability, 2925 «» Draytek, , WAN .

, , . .

, , , WAN LAN, , , VPN, , NAT , USB, . SSL VPN, High Availability, VPN- Central AP Management Central VPN Management. , , , Draytek .

Draytek 2925n , , -, CLI TR-69. , VigorACS SI Smart Monitor , . «», SMB+ , «» 100\ WAN- -. , . , , , .