Seria routerów Bintec VPN Access to urządzenia wielofunkcyjne, łączące w sobie obsługę wirtualnej sieci prywatnej VPN opartej na IPSec lub PPTP, zaporę ogniową, NAT, DHCP czy wsparcie mechanizmów QoS. Do testów redakcyjnych otrzymaliśmy urządzenie z obsługą 25 klientów IPSec.

Użytkownicy mają do wyboru pięć urządzeń VPN Access, w zależności od liczby obsługiwanych tuneli VPN - 5, 25, 100, 250, 1000. Testowany router jest przeznaczony dla małych i średnich biur lub oddziałów firmy.

Pierwszą rzeczą, na którą zwraca się uwagę, jest solidna, metalowa obudowa skrywająca elektronikę, w tym procesor RISC Motorola 8241. Brak wentylatora sprawia, że urządzenie jest bezgłośne. Dostępne są trzy porty Ethernet (z PoE), jeden ISDN oraz RS232 - Mini DIN.

W początkowej konfiguracji routera użytkownikowi pomaga kreator. Przydatną funkcją jest wyświetlanie tworzonej, uproszczonej topologii logicznej sieci w menu konfiguracyjnym, co jest niewątpliwie ciekawym rozwiązaniem. Przy zbyt długim czasie konfiguracji urządzenie kończy sesję i niestety cały proces należy powtórzyć od początku.

Wyrazy uznania należą się za szeroki wybór opcji konfiguracyjnych tuneli IPSec. Jednak zawiłość implementacji tuneli VPN wymaga pomocy osoby znającej szczegółowo mechanizmy funkcjonowania IPSec i wymiany kluczy IKE. Niewątpliwie brakuje przykładów konfiguracji. Od urządzeń sprzętowych dla rynku MSP wymaga się prostej implementacji usług, bez pomocy specjalisty.

O ile użytkownicy Windows są dopieszczani dodatkowymi aplikacjami narzędziowymi (klient IPSec, monitor połączenia, przeglądanie SNMP), o tyle producent nie poświęcił większej uwagi użytkownikom systemów Unix/Linux. Mogą oni jedynie korzystać z ogólnych pakietów Open Source (klient IPSec, PPTP, SNMP, itd.), dostępnych dla danej dystrybucji. Wprawdzie dostępne są dwa pakiety, ale są one słabo udokumentowane i nie udało się ich uruchomić.

Obsługa certyfikatów X.509 umożliwia stosowanie infrastruktury klucza publicznego PKI. Można zdefiniować adresy zewnętrznych serwerów PKI oraz serwerów przechowujących listy certyfikatów unieważnionych CRL (Certificate Revocation Lists). Urządzenie oferuje możliwość generowania kluczy RSA i DSA. Przy nawiązywaniu połączeń można stosować uwierzytelnianie XAUTH. Do wyboru jest standardowy lub agresywny tryb IKE.

Urządzenie obsługuje mechanizm NAT Traversal, umożliwiający transmisję pakietów IPSec w sieciach z translacją adresów NAT.

Istnieje możliwość uwierzytelniania użytkowników poprzez zewnętrzny serwer RADIUS lub TACAS+. Brak natomiast wsparcia dla serwerów LDAP.

Zarówno menu graficzne, jak i CLI działają szybko, co nie jest regułą w konkurencyjnych rozwiązaniach. Chociaż projektanci GUI starali się zawrzeć w nim jak najwięcej opcji, to jednak dotarcie do poszczególnych parametrów bynajmniej nie jest łatwe i przejrzyste. Brakuje też systemu podpowiedzi do ustawianych opcji. Konieczne jest wyszukiwanie opisów w dokumentacji. Wprawdzie GUI ma spore możliwości i działa płynnie, to jednak nie można się nim zachwycić lub porównać do np. GUI Check Point VPN-1 Gateway.

Pomimo wyboru języka angielskiego podczas konfiguracji, wyświetlony został komunikat niemieckojęzyczny.

Dla Windows dostępne są aplikacje umożliwiające przeglądanie wartości MIB - SNMP. Router może współpracować z HP OpenView.

Bintec VPN Access może obsługiwać mechanizmy Stateful Inspection, tworzenie list kontroli dostępu ACL. Aby zablokować użytkownikom dostęp do niepożądanych stron (newsy, zakupy, pornografia itp.), można również korzystać z usług Cobion Orange Filter, czyli aktualizowanej bazy danych zawierających niepożądane URL. Dostępna jest również 30-dniowa aplikacja filtrowania treści.

Nie jest sprawdzane bezpieczeństwo zdalnego klienta (aktualizacje, uruchomienie oprogramowania antywirusowego), w efekcie czego osoba, która uzyska dostęp do komputera z klientem VPN IPSec, uzyskuje dostęp również do sieci po drugiej stronie tunelu VPN. Podczas konfiguracji system nie zezwala na zachowanie domyślnego, predefiniowanego fabrycznie hasła, co jest niewątpliwie zaletą.

W routerze zaimplementowano mechanizmy QoS i równoważenia obciążenia pomiędzy portami, według różnych polityk: round robin (każdemu po równo), z preferencją dla ruchu przychodzącego lub wysyłanego oraz w zależności od usługi. Administrator może zdefiniować przepustowość gwarantowaną dla każdego połączenia VoIP, a także dla całkowitego ruchu głosowego. Przy konfiguracji VoIP podczas testu nie działała opcja kasowania użytkowników.

Istnieje możliwość przesyłania logów na zewnętrzny serwer, a alarmów na wskazany adres e-mail.

Szyfrowanie w testowanym modelu przeprowadzane jest programowo. Maksymalne przepustowości dla połączeń VPN IPSec uzyskane w testach, z wykorzystaniem programowego generatora ruchu D-ITG, były zbliżone do podawanych przez producenta. Dla połączeń łączących zdalnych pracowników z firmą są to zupełnie wystarczające wielkości. W przypadku spinania tunelem IPSec dwóch średnich sieci LAN może to już jednak być wąskie gardło. Mechanizmy VLAN działają poprawnie.

Cena tego urządzenia, ok. 1900 zł, jest zbliżona do rozwiązań konkurencyjnych. Router o porównywalnych możliwościach (SonicWall TZ 170 z licencją na 25 użytkowników kosztuje ok. 600 USD). Wydaje się, że jest to cena adekwatna do oferowanych możliwości. Jeżeli chce się mieć oprócz IPSec także bramę SSL, wówczas trzeba wydać np. 2500 USD na bramkę WatchGuard Firebox SSL Core VPN Gateway.

<hr size="1" noshade>Router Bintec VPN Access 25

Producent: Funkwerk Enterprise Communications (http://www.funkwerk-ec.pl )

Choć niewielkich rozmiarów, jest wyposażony w wiele mechanizmów stosowanych w dużych routerach. Obsługuje do 25 klientów VPN.

Zalety: bogactwo oferowanych funkcji, szerokie wsparcie mechanizmów kryptograficznych, solidne wykonanie

Wady: nieintuicyjne GUI, kiepska dokumentacja, brak firmowych narzędzi dla środowisk Linux/Unix

Cena: ok. 1900 zł<hr size="1" noshade>