Всем доброго времени суток
Если Вы фанат другого производителя (Cisco, Juniper, Mikrotik, Huawei и т.д.) и у Вас подгорает, когда дешёвый китайский производитель выпускает устройство, которое работает более-менее стабильно и при этом предоставляет дружественный интерфейс - проходите мимо, не читайте во избежание усиления жжения. Если Вы лояльно относитесь к китайским железкам - то добро пожаловать к прочтению.
Своими статьями я преследую определенную цель – попало устройство мне в руки, протестировал и решил поделиться информацией с людьми, тем более, что по данному устройству не нашел обзоров – может кому-то пригодится представленная информация.
Заранее хочу оговориться, что в связи с тем, что компания еще молодая, то и прошивки еще сыроватые. Конкретно в этом устройстве встретил функции, которые работают не так, как было бы мне удобно.
Снова про умное ограничение скорости
В первой части обзора все никак не мог понять, как у них скорость режется (точнее как это реализовано), так как при выставлении ограничения скорости оно работало совсем не так, как задано. Догадка ко мне пришла чисто случайно, когда решил создать IP Group и Time Group и применить к ним соответствующие ограничения. Вот тогда я и обратил внимание, что буковка B в политиках ограничения скорости заглавная (я то привык, что на всех железках в битах режется, вот и не придал поначалу этому значения) и решил попробовать записать значения в КилоБайтах (Мбит*1024 / 8) и, вуаля, всё заработало так, как надо. Правда, количество сессий на устройство лучше так и оставить 300, попробовал указать 100 – опять получил незагружайющийся спидтест (это одна из функций, которая работает не так как надо, да и смысл в ограничении количества сессий, если даже одна вкладка в браузере их генерирует порой больше 20).
В остальном - отрабатывает применяемые правила довольно быстро. Приоритет в выполнении имеют правила, которые заданы для групп, а не для всех. Например, выдаются IP из диапазона 192.168.0.50-253, мобильный телефон получает IP 192.168.0.180, задал для группы (диапазона) IP от 2 до 100 ограничение 5 Мбит, для всех остальных установил в 10 Мбит. На мобильнике корректно отработало правило для остальных. Если задать, чтобы в группу 5 Мбит попал IP устройства, то на устройстве скорость составит 5 Мбит, а не 10, как для остальных.
Про мощность сигнала
На этот раз решил сравнить Tenda W15E с другим имеющимся у меня маршрутизатором – Mikrotik hAP AC2, который стоит у меня на работе. Вот так они стояли во время тестирования:
Ну и за спиной еще Asus AC58U с сетью DIRRR. На Mikrotik сети называются MyHOME, на Tenda – TendaTEST. Измерения производились, конечно, не профессиональным оборудованием, а программой WiFiAnalyzer, установленной на Samsung Galaxy S8Plus. Ориентировочная схема помещения и расстояния от роутеров до точек замера (измерил в шагах, на точность не претендую) на картинке:
Итак, картина для 10 метров
В 2,4 явно проигрывает Микротику
Картина для 20 метров, разрыв для 5 ГГц уже больше
Для 2,4 разрыв уменьшился (~1 дБ)
Ну и для 30 метров результат только для 5 ГГц, так как в диапазоне 2,4 две сетки терялись на графиках среди остальных (но всё равно с небольшим отрывом побеждал Mikrotik). Разрыв сократился.
В итоге так и не видно сеть DIRRR, которую упомянул ранее - она смешивалась с общей массой уровнем на 5 дБ ниже
Про фильтрацию трафика
Хоть на моей практике это не шибко и нужно (обходится это всё элементарно и просто), но ради любопытства решил протестировать данную функцию (Filter Management) Tenda W15E.
Резервируем IP за ноутбуком и создаем группу адресов, в которую этот IP входит
IP Filter блокирует полностью доступ в Интернет для указанной группы IP адресов, ICMP трафик в том числе.
Немного отвлекусь. В первой части обещал фото внутренностей роутера. Оставлю их здесь, чтобы разбавить монотонное повествование.
Продолжим...
Фильтрация по МАС-адресу включилась не сразу – после применения настроек я еще мог выходить в Интернет где-то с минуту. Собственно, скриншотов с блокировками я не делал - ну, что может быть нового - был пинг до яндекса, вк и восьмерок и после применения фильтра пинг пропадает, сайты не открываются, телнет на разные порты не работает...
Еще отвлекусь и дальше интереснее. Антенну расковырять аккуратно так и не смог, поэтому вот Вам фото от представителя производителя
Блокировка порта также производится для определенной группы. Для проверки заблокировал порт 23, TCP и получил ожидаемый результат - неработающий телнет до устройств сети.
Пинг до устройства идет нормально (ICMP трафик)
Ну, и, наконец, фильтрация веб-сайтов (да-да, делаем гадости коллегам и блокируем доступ в одноклассники). Её решил проверить на примере яндекса. Вбиваем в менеджмент вебсайтов адрес популярного российского поисковика.
Добавляем его в блокировку в группе, в которой находится IP ноутбука
Иииии….
Получаем открывающийся и вполне успешно работающий поисковик и часть неработающих сервисов (новости, видео, маркет) и работающих (поиск, картинки, музыка) . А вот, добавив в фильтр адрес начинающийся с www, получил полностью неработающий поисковик. Проверить пускает по IP сервиса или нет – не получилось, так как при переходе по IP яндекса выдает пустую страницу в браузере. С ВК выдал ошибку 404 при попытке перехода по IP, с mail.ru мне повезло больше – перенаправляет на сам сайт при переходе по IP, но этого не потребовалось – почему-то главная страница не блокируется и остается возможность просмотреть почту. Добавив в фильтр адрес e.mail.ru, обнаружил неработающую главную страницу, но, если ввести в адресную строку данный адрес, то вполне себе нормально открываем почту, предварительно получив ошибку 500 (почтовый ящик недоступен). Как ни странно, но через пару минут mail тоже перестал работать полностью, переход по IP также ничего не дает. В общем, покопавшись некоторое время, так и не нашел сайтов, которые были бы доступны по IP и в адресной строке IP адрес бы не заменялся на доменное имя.
Про Captive Portal
Имеется аккаунт на smsc.ru, поэтому тестировал работу СМС на нём
В общем, когда начал настраивать эту чудо-функцию, поначалу решил, что нифига не работает – пишет, что всё хорошо, но тестовая СМС не приходит. Начав подбирать слова позаковыристее, чтобы описать свое отношение к производителю устройства, всё же решил уточнить у техподдержки smsc в чём всё-таки может быть дело. Ну, и по классике жанра, дело было не в бобине... просто я недоглядел :-) – отправка СМС в аккаунте по HTTP запросу была разрешена только с определенных IP, куда мой, естественно, не входил. Добавил свой внешний IP в разрешенные - всё вполне нормально заработало, начали приходить тестовые СМС.
Вот и пришедшие СМС (пробовал отправить на обе свои симки и номер вводить начиная с 8 и с +7)
Я решил сразу изменить все данные для страницы авторизации, чтоб проверить как применяется. Вот как выглядит результат (специально оставил весь экран, чтобы понятно было):
Как видите, то, что надо ввести номер телефона и нажать “Obtain”, можно только догадываться – ибо не видно нифига (с синим фоном ситуация аналогичная, похоже, что различимо только со светлым фоном).
После ввода номера мобильного и нажатия кнопки Obtain, СМСки получаем быстро.
Номер на 8916 – это как раз 1я симка (на скрине выше и ниже видно время ввода номера и получения СМС с паролем)
И вот как выглядит портал на ноутбуке:
Тут видно нормально, но проблема другая, распишу подробнее.
При включенной функции Captive portal W15 включает ее для всех внутренних интерфейсов и сетей (кабелем к роутеру и по WiFi), но, как оказалось, вся проблема в том, что у ноутбуков этот самый Captive portal открывается не при каждой новой попытке авторизации – на ноутбуке с Linux Mint и браузером Firefox предложение авторизоваться открылось с 3й попытки подключения (ноутбук подключен кабелем, физически дёргал 3 раза), на другом ноутбуке с Windows 10 и браузером Chrome не получилось добиться перехода на страницу авторизации и за 3 переподключения к сети WiFi.
В общем, удалось получить нормальное функционирование сети при подключении кабелем, только добавив МАС адрес своего ноутбука в список разрешенных.
С этим управлением пользователями (User Management) есть момент, который не очень мне понравился – при выборе типа адреса IP невозможно задать список разрешенных IP-диапазоном, так что каждое устройство необходимо добавлять отдельно: либо по МАС, либо по IP.
Еще один момент, который меня даже повеселил – если включить гостевую сеть для WiFi, то для нее авторизация не работает нифига))) Пробовал сеть для гостевой сети менять и ставить/убирать пароль – один фиг – подключается и спокойно пропускает без всякой авторизации через СМС (по всей видимости, политики Captive Portal распространяются только на основную сеть, а для гостевой сети WiFi выделяется отдельная подсеть, которая в политиках не учтена).
Также в настройках можно задать переадресацию на любую страницу после авторизации:
Но это будет работать ТОЛЬКО если у Вас выскакивает страница авторизации при попытке перейти на какой-либо сайт в браузере, в остальных случаях почему-то не работает.
MultiWAN
Для тестирования данной функции подключил Tenda W15E к Mikrotik hAP AC2 двумя кабелями - по одному прокинул внешнюю сеть через бридж, на другом интерфейсе была поднята на Микротике внутренняя сеть. Смог протестировать только 2 вида подключения на WAN интерфейсах - статический IP и IP по DHCP в различных комбинациях, при этом отработал несколько вариантов неработоспособности доступа в сеть Интернет на каждом из интерфейсов WAN:
- Нет линка
- Линк есть, но недоступен шлюз
- Линк есть, шлюз доступен, но недоступна внешка
По умолчанию роутер пускает трафик по тому интерфейсу, который подключился первым - вывел из эспериментов. Если запустить пинг до внешки, то он не перебрасывается на другой интерфейс в случае пропадания Интернет на нужном интерфейсе, то есть приложениям, работающим с установлением соединения, придется переподключаться.
Поначалу из-за этого возникли проблемы в работоспособности функции, так как при отключении кабеля пинг прерывался и не возобновлялся. Разгадка пришла через некоторое время, когда я продолжал мучить эту функцию, а мне продолжили приходить сообщения в Whatsapp.
В общем, все возможные приведенные варианты развития проблем он отрабатывает отлично, претензий нет. При подключении по DHCP восстановление работоспособности доступа в сеть Интернет на интерфейсе происходит медленнее, чем при статическом. Если IP адреса на обоих интерфейсах получены - переключается быстро.
IPSec
Ну, тут и говорить нечего - не смог я его подключить по IPSec к Микротику, хотя и использовал все возможные статьи себе в помощь (предлагались разные варианты). Производитель так же не смог в этом вопросе мне ничем помочь.
При включении IPSec даже без настроек роутер к утру следующего дня зависал и его приходилось перезагружать.
При включении IPSec даже без настроек роутер к утру следующего дня зависал и его приходилось перезагружать.
Пост скриптум
Некоторые функции начали нормально работать только после написания всего вышеприведенного текста, но не буду вносить исправления, более наглядно получится с добавлениями (то что роутер надо перезагрузить / дать ему подумать, прежде чем требовать от него мгновнного выполнения изменений):
- сейчас прочихался Captive portal и теперь на ноутбуке у меня при каждом подключении стабильно предлагает авторизоваться, не приходится по 3 раза переподключаться;
- в один из моментов при включении Captive Portal тестовый образец не хотел пускать меня на свою веб-морду))), пустил только после открытия страницы авторизации;
- логин и пароль поменять на этом агрегате можно, но только одновременно. Ну вот такая политика у компании, логин является и паролем и при авторизации заполняется только одно поле;
- привязка IP адреса к MAC работает;
- firewall, к сожалению, проверить нечем – нет генераторов подобного трафика (ICMP Flood, UDP Flood, SYN Flood и разных видов IP Attack и ARP Attack), да и для сегмента SOHO скорее всего и не нужен Firewall - ну кто их атаковать будет?
- при включении Captive Portal, у подключенных к сети, но не авторизованных по СМС клиентов ICMP запросы отрабатывают (пинг во внешку идет);
- после добавления в фильтр e.mail.ru и последующего удаления – правило фильтрации для этого сайта начало нормально отрабатывать для всего сайта (ну, либо просто нужно было подождать);
- проверил вариант, когда к роутеру по WiFi подключено много клиентов – во время тестирования было подключено 12 клиентов (10 из них по wifi), у семерых был запущен youtube на максимальном качестве, у восьмого ТВ от кого-то из большой тройки. Youtube грузится нормально, а вот онлайн ТВ начало подтормаживать на максимальном качестве заметно, но это такое количество одновременных просмотров youtube было и загрузили wan порт в пиках до 70 Мбит;
Заключение
Неплохая железка-середнячок с неплохими показателями, нелишенная недостатков.
Порадовало наличие функции Captive Portal из коробки, MultiWAN из коробки.
Расстроило отсутствие IPTV.
За 2 месяца никаких проблем больше не выявилось, кроме указанных в тексте.
Captive Portal можно использовать, только если Вы будете задавать ограниченные аккаунты по времени, записывать, когда ими пользовались, и только на одного человека с фиксацией паспортных данных, чтобы не иметь проблем с законом.
Так что могу порекомендовать данное устройство тем, у кого работа завязана на доступ в сеть Интернет на невысоких скоростях до 100 Мбит/с и есть возможность подключиться сразу к двум провайдерам проводом, но при этом компания не настолько большая, чтобы позволить себе в штате системного администратора.