Objavljeno: 4.10.2007 14:25 | Avtor: Matjaž Klančar | Monitor April 2007

Komur original ni dovolj

Čeprav Linuxu v namiznih računalnikih ne kaže najbolje, je nedvomno že zmagal med strežniki, zelo dobro pa mu kaže tudi na t. i. "embeded" področju ali, po domače, pri vdelavah. Se pravi na manjših napravicah, kot so npr. domači usmerjevalniki. Strojna programska oprema DD-WRT je odličen pokazatelj njegove moči v tej smeri.

Linksysov original in DD-WRT, ki ponuja veliko več.

To, da veliko (oz. že kar zelo veliko) usmerjevalnikov, dostopnih točk, varnostnih naprav, večpredstavnih strežnikov, televizijskih set top boxov in podobnih napravic teče v Linuxu, ni nobena skrivnost. Linux je prosto na voljo vsakomur, ki ga potrebuje, in je predvsem na omrežnem področju zelo močan in dobro podprt. Na voljo je silno veliko podrazličic, ki so namenjene strežnikom, namiznim računalnikom, ročnim računalnikom, telefonom, usmerjevalnikom, ustrezno različico pa lahko shranimo tudi na zelo majhen pomnilniški prostor. Ni čudno, da se le redki izdelovalci sploh še trudijo s kakim drugim operacijskim sistemom.

Ima pa ta "prosta dostopnost" oz. odprtokodnost tudi drugo plat. Pogodba GPL, pod katero pade Linux, namreč zahteva, da morajo biti vsi taki "linuxi" in njegove nadgradnje spet prosto dostopni za kogarkoli. Na področju domačih usmerjevalnikov to pomeni, da je bil Linksys (zdaj v lasti Cisca) pred leti prisiljen prosto objaviti svojo različico strojne programske opreme za svoje usmerjevalnike in to so s pridom izkoristili neodvisni razvijalci in navdušenci in se lotili razvoja svojih različic. Odprtokodni "firmware" je bil rojen ...

Neodvisni razvijalci so nadvse agilni in razmeroma šibki strojni opremi majhnih usmerjevalnikov redno dodajajo nove in nove zmogljivosti, ki jih Linksys nikoli ni in tudi ne bo. Predvsem zato ne, ker se jim to ekonomsko ne izplača. Čemu npr. poceni usmerjevalniku dodati zmogljivost VPN, če je mogoče precej dražje prodati specializirano napravico? Enako lahko rečemo tudi za zmogljivost VoIP oz. internetno telefonijo, ki jo ponavadi zmorejo namenske naprave. Po drugi strani pa neodvisni razvijalci dodajajo lastnosti in zmogljivosti, ki si jih resni izdelovalci enostavno ne smejo privoščiti. Možnost navijanja vgrajenega procesorja, ki sicer nekoliko poveča zmogljivosti usmerjevalnika, vendar hkrati uporabniku da na voljo orodje, s katerim lahko svojo napravico tudi uniči, je že ena takih. Enako "nesprejemljiva" je tudi možnost spreminjanja moči brezžičnega oddajnika, saj navsezadnje predpisi določajo, s koliko milivati sme vsaka škatlica onesnaževati okolje (pri nas oz. v Evropi največ 100 mW, nekateri "firmwari" pa omogočajo navijanje tudi prek 250 mW). In, ne nazadnje, neodvisni razvijalci so hitri, kot je za odprtokodno skupnost značilno tudi sicer. Nove zmogljivosti so na voljo hitro, napake se odpravljajo še hitreje.

O različnih strojnih programskih opremah za Linksysove usmerjevalnike smo pisali že v lanski marčni številki.

Med najbolj aktivnimi - DD-WRT

O množici različnih "firmwarov" za Linksysove usmerjevalnika smo sicer že pisali (marca 2006), tokrat pa smo se podrobneje poglobili v trenutno enega najbolj agilnih in popolnih - DD-WRT. Deluje na Linksysovih brezžičnih usmerjevalnikih serije WRT in nekaterih strojno podobnih Asusih, Buffalih in Belkinih (točen seznam je na voljo na spletnih straneh avtorja) in je na voljo v več različicah, ki se razlikujejo po vgrajenih zmogljivostih in seveda po tem, koliko pomnilnika potrebujejo za svoje delovanje. V usmerjevalnike s 16 MB pomnilnika lahko namestimo polni paket z oznako VoIP, nekoliko manj zahteven je paket VPN (manjka mu bolj ali manj le podpora VoIP), na voljo pa sta še običajen in mini paket.

DD-WRT je primeren tudi za manj napredne uporabnike, saj ga namestimo kot navadno nadgradnjo iz originalnega vmesnika, upravljamo pa v celoti prek grafičnega spletnega vmesnika, tako kot originalnega Linksysovega. Le za najbolj navdušene je na voljo tudi ukazni način, do katerega pridemo prek Telneta ali SSH. Ali, še bolj napredno, ob pomoči vgrajenega paketa Samba si lahko priklopimo ("mountamo") katerikoli omrežni disk in na njem pustimo kak lupinski skript, ki ga bo usmerjevalnik potem izvedel pri sebi.

Osnovne nastavitve so klasične, kot smo jih vajeni tudi sicer - priklop v internet prek statičnega ali dinamičnega naslova ali morda PPPoE (odvisno od ponudnika), dodeljevanje številk IP priklopljenim računalnikom, brezžično šifriranje WPA itd. Delujoč sistem lahko vzpostavimo v borih nekaj minutah. Šele potem nastopi zabava z dodatki, ki jih je res veliko. Večinoma so izvedeni kar kot ustrezni programi oziroma daemoni, ki tečejo na spodaj ležečem Linuxu. Vklopimo in izklopimo jih kar iz spletnega vmesnika.

Da gre za "pravi" računalnik oz. operacijski sistem, kaže tudi množica informacij o stanju.

"Friziranje"

Zgoraj podpisani sem se nadgradnje lotil zato, ker DD-WRT omogoča povečevanje moči oddajnega signala. Domači usmerjevalnik mi namreč zelo slabo "nese" na vrt, zato sem moč oddajanja z običajnih 28 mW takoj povečal na 150 mW in upal, da bo pomladansko delo na vrtu kaj bolj prijetno, kot je bilo lani. Mimogrede, "naviti" ga je mogoče do 251 mW, vendar bo to šele ukrep v sili, kajti avtor DD-WRT pravi, da že vrednosti nad 70 mW povzročajo gretje strojne opreme, to pa menda ni najbolje.

V množici nastavitev najdemo tudi povečevanje moči brezžičnega oddajnika.

Možno je tudi navijanje procesorja. S tem nekoliko povečamo zmogljivosti streženja ob hudih obremenitvah (VPN, programi P2P). Procesor preizkušenega usmerjevalnika (WRT54G 2.2) deluje pri 216 MHz. To lahko z enostavno izbiro v spletnem vmesniku povečamo do 300 MHz. Izkušnje takega početja na osebnih računalnikih sicer učijo, da je treba biti pri takih posegih postopen in zelo previden ...

Lotimo se lahko celo pohitritve procesorja. Toda previdno!

Pregled nad dogajanjem

Omrežnim navdušencem bo gotovo prišlo prav kar nekaj novih zaslonov stanja, ki kažejo obremenitev usmerjevalnika, porabo pomnilnika, število vzpostavljenih povezav itd. Koristno je tudi orodje, ki nam najde vsa tuja brezžična omrežja v okolici in se nanje, če niso zaščitena, tudi priklopi. Z enim klikom se usmerjevalnik iz dostopne točke prelevi v odjemalca in se nam priklopi na soseda. In, ne nazadnje, dobro je videti, kako dobro so pokriti naši lastni brezžični odjemalci. Kako dober signal imajo oz. do koliko napak prihaja pri komunikaciji z njimi.

Bistveno bolj napredno pa je samo popisovanje omrežnega dogajanja. Poleg klasičnega zapisovanja dostopov, ki ga lahko prek sysloga (priporočamo www.kiwisyslog.com) sprejemamo na osebnem računalniku, si lahko omislimo tudi veliko bolj natančno zapisovanje celotnega dogajanja. V usmerjevalniku vklopimo Rflow, storitev, ki v osebni računalnik pošilja podatke v standardnem formatu, ki ga razumejo nekateri programi za analizo prometa.

Na strani avtorja DD-WRT je tako na voljo osnovni Rflow Collector, lahko pa si omislimo tudi kaj veliko bolj popolnega. Mi smo si omislili Ntop, program, ki je za take namene "zakon" v svetu Linuxa, na voljo pa je tudi za Okna (www.openxtra.com). Z njim lahko pregledujemo, kateri uporabniki v našem omrežju največ "visijo" v internetu in kaj največ delajo (morda e-mule?). Ntop sicer deluje kot krajevni spletni strežnik, celotna komunikacija z njim pa poteka prek spletnega brskalnika.

V povezavi s programom Ntop lahko postane naš usmerjevalnik kar zmogljiv strojček.

Kako je z garancijo?

S tem, ko ste v svoj usmerjevalnik namestili programsko opremo, ki ni originalna, ste se seveda odpovedali možnosti garancijskega zahtevka, če bi šlo karkoli narobe. Vsaj tako pravi slovenski zastopnik. Res pa je, da če bo šlo zelo narobe (npr. če boste z navijanjem uničili procesor), na servisu tako ali tako ne bodo mogli ugotoviti, da je bila za to kriva druga strojna programska oprema ;)

Dodatne ...

In ko smo že pri nadzoru, ali naš mulc morda preveč visi na e-muli - to početje mu lahko tudi nekoliko preprečimo. Namesto ročnega blokiranja vrat lahko v spletnem vmesniku enostavno izberemo blokiranje prometa e-mule ali morda bittorent.

Blokiranje programov P2P je veliko enostavnejše, kot če se tega lotimo ročno.

Vklopimo lahko tudi t. i. izolacijo, ko so posamezni uporabniki, ki se brezžično priklapljajo na usmerjevalnik, med seboj ločeni, oz. se njihovi računalniki ne vidijo. To je praktično, če si povezavo delimo s sosedi. Še korak dlje je t. i. "hot spot", ko lahko usmerjevalniku naročimo, da se vsakemu uporabniku ob prvem priklopu prikaže neka privzeta spletna stran. Morda tista, ki nam pove, da moramo za dostop plačati ;).

Omejevanje prometa oz. QoS je zelo dobro razdelano.

Zelo dobro je razdelan tudi nadzor nad prometom oz. QoS. Promet lahko omejujemo glede na storitev (pobiranje e-pošte ima prednost pred deskanjem) ali pa glede na naslov IP/strojni naslov MAC (glava družine naj npr. ima vedno polno hitrost, ne glede na to, ali mularija pravkar navija e-mule). Še več, omejujemo lahko tudi ethernetno stikalo v usmerjevalniku - ena vtičnica ima lahko tako prednost pred drugo, vtičnicam pa lahko tudi umetno omejimo hitrost (zakaj bi to počeli, sicer ni jasno).

Takole si v vmesnik naštejemo računalnike in jih zbudimo.

Zelo uporabna je podpora WOL oz. Wake On Lan. Večina današnjih računalnikov je narejena tako, da jih lahko posebej sestavljen omrežni paket samodejno prebudi. To je koristno v podjetjih, ko lahko uporabniki računalnike ugašajo, pa jih lahko upravitelj od doma po potrebi kljub temu prižge. Koristno je tudi za domače uporabnike, ki se šele v službi spomnijo, da so doma pozabili prižgati računalnik, pa iz njega nujno potrebujejo neke dokumente (to se avtorju tega članka redno dogaja). Take paketke za prebujanje znajo pošiljati specializirani programski paketi, z uporabo DD-WRT pa je tako početje trivialno. V spletni vmesnik le vtipkamo strojne naslove računalnikov, ki nas zanimajo, in jih potem s klikom ustreznega gumba prebudimo.

No, in še za zelo napredne - različne ethernetne priključke na usmerjevalniku lahko dodelimo različnim, ločenim omrežjem oz. VLANom (Virtual Lan).

Napredni uporabniki lahko omrežne priključke dodelijo različnim VLANom.

... in napredne storitve

Morda najbolj zanimiva je podpora navideznim omrežjem oz. VPN, če imamo usmerjevalnik z dovolj pomnilnika. VPN je nadvse uporabna zadeva, ki jo začenjajo kot tako čutiti tudi domači in ne samo poslovni uporabniki. Omogoča namreč varno povezovanje uporabnikov, pa tudi celotnih omrežij, kar prek interneta, brez najetih vodov, ki so bili za to uporabljani včasih. Poenostavljeno lahko rečemo, da mora "nekdo" poskrbeti, da je omrežni promet od točke do točke dovolj močno zakodiran, da ga morebitni prisluškovalec na vmesni poti ne more razbrati.

Postopek je procesorsko zahteven, vendar ga današnji procesorji v osebnih računalnikih zmorejo brez vsakih težav. Drugače pa je z usmerjevalniki, ki imajo večinoma še vedno zelo podhranjene procesorje, oz. imajo, v primeru specializiranih usmerjevalnikov s podporo VPN, za to vgrajene tudi specializirane procesorje.

Pri VPN sta podprta OpenVPN in PPTP, vendar je vgrajeni procesor prešibak, da bi bilo možno resno delo. Mi smo prek PPTP zmogli le 2 Mb/s.

Kakorkoli že, tudi "navadni" Linksysi se lahko gredo VPN, če jim namestimo DD-WRT. Usmerjevalnik se lahko v neko omrežje poveže kot odjemalec, lahko pa igra strežnik in sprejema povezovalne klice od zunaj oziroma omogoča varno povezovanje dveh omrežij. To pomeni, da ga lahko uporabimo za povezovanje dveh ločenih poslovalnic našega podjetja, lahko streže kot sprejemnik klicev naših zaposlenih, ki veliko potujejo ali pa večkrat delajo od doma, ali pa nam domače omrežje enostavno "pripoji" k službenemu. Če nam slednje naš upravitelj seveda dovoli, saj s stališča varnosti podjetja to ni najbolj pametno početje.

Podprto je povezovanje na način OpenVPN (tako za Okna kot za Linux so na voljo ustrezni odjemalci) ali pa PPTP, ki ga privzeto poznajo Okna in seveda tudi Windows 2000/2003 Server. Sliši se odlično, vendar se v praksi hitro pokaže, zakaj tovrstne podpore v take mlinčke ne vgrajujejo že sami izdelovalci le-teh - vgrajeni procesor je namreč enostavno prešibek. Na naši 8 Mb/s internetni povezavi smo prek povezave PPTP, ki jo je vzpostavil usmerjevalnik do strežnika v podjetju, dosegli največ 2 Mb/s, usmerjevalnik pa je bil pri enostavnem prenašanju (ene) datoteke kar 80 % obremenjen. Skratka, VPN deluje in je za nekatere namene tudi uporaben, vendar od njega ne smete pričakovati preveč.

Tako kot tudi ne od vgrajene podpore VoIP. Usmerjevalnik lahko z njo loči med lokalno priklopljenimi telefoni VoIP in tistimi, ki to niso, in tako tudi ustrezno usmerja klice (če je telefon lokalen, klic ne gre prek ponudnika SIP), to pa je tudi bolj ali manj vse.

Ali je vredno?

Uporabniki, ki svoj usmerjevalnik le prinesejo iz trgovine, ga enkrat nastavijo (oz. jim ga nastavi njihov guru) in se ga potem ne dotaknejo več, za DD-WRT zagotovo niso "primerni" (tako kot tudi za ta članek ne ;). Če pa se s svojo internetno povezavo radi igrate in spremljate, kaj se na njej dogaja, je igra z alternativnimi "firmwari" odličen način učenja.

DD-WRT

Kaj: Odprtokodni "firmware" za usmerjevalnike Linksys (in nekatere druge).

Kdo. BrainSlayer, www.dd-wrt.com.

Cena: Brezplačno.

Za: Iz usmerjevalnika zna iztisniti veliko več kot originalni "firmware".

Proti: Nastavitve nekaterih naprednejših rešitev so za navadne smrtnike preveč zapletene. Vgrajena pomoč ni dovolj natančna.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Monitor na Facebooku

Monitor TV na YouTube

HRWrFBljAjU

  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji