Odprtokodni usmerjevalniki lahko nudijo dodatno zaščito pred hekerskimi napadi, zaradi nizke cene pa so odlični tudi za domače projekte. Lahko v usmerjevalnik spremenimo tudi svoj stari računalnik na eni ploščici tiskanega vezja (SBC)?
Ponudniki internetnih storitev prek fiksnega (bakrenega ali optičnega) omrežja naročnikom običajno omogočajo brezplačno uporabo svojih usmerjevalnikov. Pri tem ohranijo skrbništvo nad napravami, kar jim omogoča sprotno nameščanje posodobitev. Posojeni usmerjevalniki večinoma podpirajo nekaj ožičenih ethernetnih povezav (največkrat štiri ali pet) in vzpostavitev brezžičnega domačega omrežja. Od ethernetnih priključkov je navadno eden namenjen ponudniku IPTV, s preostalimi tremi pa lahko (če imamo še telefon IP, sta na voljo dva priključka) neposredno povežejo svoje domače računalnike, kar večini domačih uporabnikov povsem zadostuje.
Kaj je SBC?
SBC ali Single Board Computer je mini računalnik, ki ima (skoraj) vse potrebno za delovanje nameščeno na eni sami ploščici elektronskega vezja. Značilni predstavniki so računalniki Raspberry Pi in Banana Pi.
Odvisnost od opreme ponudnika internetnih storitev je po eni strani dobra, saj nam za usmerjevalnik ni treba skrbeti, po drugi strani pa se upravičeno vprašamo, ali lahko sistemski operaterji ponudnika storitev (vsaj teoretično) s programskimi orodji za izvajanje penetracijskih testov dostopajo tudi do nekaterih podatkov o (morda celo v) naših domačih računalnikih, do katerih sicer ne bi smeli imeti dostopa. Denimo, katero programsko opremo uporabljamo in kateri so lokalni naslovi IP ter vloge domačih računalnikov – domenski imenski strežnik (DNS), tiskalniški strežnik, spletni strežnik, strežnik z aktivnim imenikom itn.
Omrežni spojnik, stikalo in usmerjevalnik
Omrežni spojnik (angl. network hub) deluje kot logično vodilo, pri katerem lahko vsi z njim povezani računalniki sprejemajo vse prenose podatkov. Omrežno stikalo (angl. network switch) iz naslova ponornega računalnika v podatkovnih paketih razbere, na kateri ethernetni priključek oziroma računalnik so namenjeni, zato ti potujejo le med oddajnim in sprejemnim računalnikom. Omrežni usmerjevalnik (angl. network router) pa ima vgrajena kompleksna pravila za usmerjanje podatkovnih paketov med različnimi omrežnimi segmenti, ki so lahko v notranjem ali zunanjem omrežju. Podatke usmerja tudi med različnimi vrstami fizičnih in logičnih podatkovnih povezav, denimo med ethernetom in brezžičnim Wi-Fi. Lahko ima vgrajen tudi požarni zid, ki dovoljuje le izbrane vrste in načine (protokole) prenosov podatkov prek izbranih komunikacijskih vmesnikov.
Banana Pi BPi-R4 Pro Lastni usmerjevalnik za večjo varnost
Lastni usmerjevalnik prek enega ethernetnega priključka povežemo z usmerjevalnikom ponudnika, nato z njim (namesto z usmerjevalnikom ponudnika) povežemo še domače računalnike. Domače omrežje tako ostane skrito pred očmi sistemskih skrbnikov ponudnika internetnih storitev. Kot usmerjevalnik pa lahko uporabimo namensko napravo z vgrajeno programsko opremo ali SBC.
Veliko novejših SBC ima tovarniško vgrajena dva ethernetna priključka, kar omogoča fizično ločitev zunanjih in notranjih omrežnih segmentov brez dodatne strojne opreme, medtem ko Raspberry Pi in drugi SBC z enim ethernetnim priključkom potrebujejo dodatne ethernetne krmilnike z dodatnimi priključki. Izjema je usmerjanje iz zunanjega omrežja prek ethernetnega priključka v domače brezžično omrežje Wi-Fi, saj ima večina SBC vgrajen Wi-Fi modul.
Namenski usmerjevalniki na osnovi SBC
Večina odprtokodnih usmerjevalnikov temelji na arhitekturi SBC, ki ji dodajo omrežne krmilnike z enim ethernetnim priključkom ali več. Nekateri imajo serijsko vgrajen tudi Wi-Fi modul, kar pa ni vedno prednost, saj zaradi zagotavljanja višje stopnje varnosti včasih povezljivosti Wi-Fi in bluetooth niti ne želimo.
Nekateri usmerjevalniki imajo že serijsko nameščena operacijski sistem in sistemsko programsko opremo, na primer OpenWRT, ki omogoča enostavno nastavitev, tudi v spletnem grafičnem uporabniškem vmesniku. Nekateri cenejši usmerjevalniki zato nimajo priključka HDMI za monitor, temveč le zaporedni vmesnik (RS-232, običajno s 3,3-voltnimi nivoji), ki je uporaben predvsem ob vzpostavitvi delovanja, ko še ne poznamo naslova IP za upravljanje usmerjevalnika, in pri odpravi napak v programski opremi. Pri novih usmerjevalnikih je prednastavljeni naslov IP navadno objavljen v navodilih proizvajalca za uporabo.
Banana Pi BPi-R1 (banana-pi.org), ki je osnova za številne novejše modele odprtokodnih usmerjevalnikov z odprto arhitekturo, poganja že legendarni sistem v enem čipu Allwinner A20 z arhitekturo ARM64. Temelji na ethernetnem stikalu BCM53125, ki je po priklopu napajanja v t. i. prevodnem stanju, v katerem deluje kot ethernetni spojnik, oziroma so vsi z njim povezani računalniki neposredno dostopni zunanjemu omrežju IP (navadno internetu). Pravilno usmerjanje podatkovnih paketov in požarni zid sta na voljo šele po zagonu operacijskega sistema.
Banana Pi BPi-R1
Ne preseneča torej, da so pri Banana Pi kmalu izdelali izpopolnjene različice, med katerimi mnogi OpenWRT One štejejo za najvarnejšo. Nastala je v sodelovanju s proizvajalcem odprtokodne programske opreme za omrežne usmerjevalnike OpenWRT. Ker je namenjena predvsem usmerjanju podatkovnega prometa iz ožičenega ethernetnega omrežja v brezžični Wi-Fi, ima zmogljiv 2-kanalni vmesnik po protokolu Wi-Fi 6, medtem ko je za povezovanje v lokalno ethernetno omrežje na voljo le en ethernetni priključek s hitrostjo 1 Gb/s (gigabit na sekundo). Omenimo še, da ima vhodni ethernetni priključek hitrost 2,5 Gb/s, saj naj bi večina podatkovnega prometa potekala prek vmesnika Wi-Fi.
OpenWRT One poganja sistem v enem čipu (SoC, angl. System on Chip) z dvema jedroma ARM Cortex-A53, ki je nekajkrat manj zmogljiv od tistih v priljubljenih SBC, kot sta RK3588 (Orange Pi 5/5 Pro/5 Max) in BCM2712 (Raspberry Pi 5/500/500+/CM 5). Posebnost OpenWRT One je tudi varen zagonski bralni pomnilnik velikosti 16 MB z alternativnim zagonskim programom, kar hekerjem preprečuje trajno onesposobitev naprave ob morebitnem vdoru vanjo.
Banana Pi OpenWRT One
Novejši in zmogljivejši usmerjevalnik Banana Pi BPi-R4 ima štiri procesorska jedra ARM Cortex-A73, do 8 GB RAM, 8 GB pogon eMMC, priključek M.2 s ključem za pogone SSD, dva optična in do dva ethernetna vmesnika SFP s hitrostjo 10 Gb/s, štiri ethernetne priključke z 1 Gb/s in podpira Wi-Fi 7 (na Amazon.de stane okoli 200 evrov). Še zmogljivejša različica Banana Pi BPi-R4 Pro ima štiri hitrejše 2,5 Gb/s ethernetne vmesnike, poleg teh pa še dva 1 Gb/s in dva 10 Gb/s ethernetna vmesnika. S spodnje strani je dodan še en priključek M.2 za dodatni SSD. Edino, kar ni ravno paša z oči, je cena okoli 350 evrov na Amazon.de.
Notranjost Banana Pi OpenWRT One
Banana Pi BPi-R3 je veliko prijaznejši do denarnice (na Amazon.de stane okoli 150 evrov), vendar podpira le Wi-Fi 6 in pet ethernetnih priključkov s hitrostjo 1 Gb/s. Ima do 4 GB RAM, operacijski sistem pa lahko namestimo v vgrajeni pogon eMMC ali na kartico SD.
Usmerjevalniki Banana Pi BPi-Rx
Za:
Odlična povezljivost, saj podpira tako raznovrstne povezave kot velike hitrosti (npr. 10 Gb/s prek optičnega vlakna).
Dobra podpora namenskemu odprtokodnemu operacijskemu sistemu OpenWRT.
Usmerjevalnikom lahko namenimo tudi dodatne vloge, denimo NAS (angl. network attached storage, slov. omrežna podatkovna shramba).
Velika razširljivost: dodatni vmesniki Wi-Fi/bluetooth in/ali pogoni NVMe SSD prek PCIe M.2.
Proti:
Zaradi velike kompleksnosti niso primerni za začetnike.
Zagotavljanje ustreznega hlajenja zahteva improvizacijo.
Orange Pi R2S (orangepi.org) temelji na 64-bitni arhitekturi RISC-V, ki je programerjem veliko manj znana od x64 in ARM64, a prav to zmanjšuje verjetnost uspešnega hekerskega napada. Prednameščeni operacijski sistem OpenWRT v pogonu eMMC je odlična zamisel, saj tako ne potrebujemo kartice SD. Lahko pa iz nje usmerjevalnik vseeno zaženemo prek ustreznega vmesnika USB. Zagon iz kartice SD običajno potrebujemo le v primerih menjave operacijskega sistema ali popravila (z zlonamerno kodo okuženega oziroma nedelujočega) operacijskega sistema na pogonu eMMC.
Slika 5: Orange Pi R2S Orange Pi R2S, ki temelji na sistemu v enem čipu Ky X1 z osmimi jedri RISC-V in umetnointeligenčnim pospeševalnikom z 2 TOPS, ima dva 2,5 Gb/s ethernetna priključka in še dva 1 Gb/s ethernetna priključka, od katerih ima vsak svoj krmilnik, povezan z vodilom PCIe. To omogoča visoko stopnjo strojne in programske zaščite pred hekerskimi napadi, saj usmerjanje podatkovnih paketov začne delovati šele po zagonu operacijskega sistema in pripravi ustrezne konfiguracije. Dodatna priključka USB 2.0 in USB 3.0 sta med normalnim delovanjem splošnonamenska. Če pa v priključek USB 3.0 vstavimo vmesnik s kartico SD z operacijskim sistemom in tiščimo tipko Mask ROM med priklopom napajanja, poskuša usmerjevalnik zagnati operacijski sistem iz kartice SD, kar je izhod v sili, ko gre kaj resno narobe. Usmerjevalnik se napaja iz priključka USB-C tako kot večina SBC, ima pa tudi zaporedni priključek za razhroščevanje med zagonom operacijskega sistema. Na Amazon.de stane okoli 150 evrov.
Usmerjevalnik Orange Pi R2S
Za:
Dobro razmerje med zmogljivostjo in ceno.
Prednameščeni OpenWRT.
Proti:
Nima priključka HDMI za monitor, zato je izvedba začetnih nastavitev težja.
NanoPi R6S (friendlyelec.com) je gotovo ena od zanimivih in sorazmerno poceni alternativ, za katero bomo odšteli okoli 100 evrov. Temelji na sistemu v enem čipu RK3568B2 s štirimi jedri ARM Cortex-A55. Osnovni glavni pomnilnik je velikosti 2 GB, za 2 GB več (skupaj 4 GB) pa moramo doplačati. Pri velikosti pogona eMMC lahko izbiramo med 8 GB in 32 GB. Ethernetni priključki so trije, dva 2,5 Gb/s in eden 1 Gb/s, mogoča je tudi vgradnja SSD ali brezžičnega modula Wi-Fi. Večina drugih modelov usmerjevalnikov NanoPi, denimo NanoPi R76S, ima le po dva ethernetna priključka.
NanoPi R6S
Usmerjevalniki NanoPi RxS
Za:
Minimalistični dizajn zahteva zelo malo prostora. Lahko ga uporabimo kot dodatno zaščito namiznega računalnika pred hekerskimi napadi.
Za hlajenje ne potrebuje ventilatorja.
Proti:
Malo ethernetnih priključkov – dva ali trije.
Za priklop večjega števila domačih računalnikov si moramo omisliti še ethernetno stikalo.
Namizni SBC kot usmerjevalniki
Nemalo novejših SBC (npr. Radxa Orion O6, Orange Pi 6 Plus, Orange Pi 4 Pro, Banana Pi BPi M4, Orange Pi RV2) ima po dva ethernetna krmilnika s pripadajočima ethernetnima priključkoma, kar je odlično za samogradnjo usmerjevalnika, vendar bomo z njimi lahko hkrati žično povezali več računalnikov le, če si bomo omislili še ethernetni spojnik ali ethernetno stikalo.
Orange Pi RV2
Namestitev programske opreme je zaradi možnosti priklopa monitorja in tipkovnice kakor tudi reže za kartico SD in priključkov PCIe M.2 za SSD(-je) vsekakor lažja kot pri namenskih usmerjevalnikih brez priključkov za monitor. Obenem imajo skoraj vse različice Linuxa že vgrajene tudi ustrezne gonilnike za popularne ethernentne krmilnike. Izjema je le eksotika, kot je Banana Pi BPi-R1, ki uporablja Broadcomovo omrežno stikalo v enem čipu BCM53125, ki podpira do štiri ethernetne priključke. Brez gonilnika za BCM53125 računalnik deluje le prek glavnega ethernetnega priključka, s katerim usmerjevalnik povežemo z nadrejenim omrežnim segmentom (npr. z internetom).
Dodajmo še, da lahko v odprtokodni usmerjevalnik spremenimo skoraj katerikoli SBC ali PC. Denimo, Raspberry Pi 5 (RaspberryPi.com) lahko nadgradimo s klobukom 52Pi U-5000 (52Pi.com), ki doda dva ethernetna priključka s hitrostjo 2,5 Gb/s za ceno obeh priključkov USB 3.0. Lahko pa namesto tega, tako kot pri vsakem PC, uporabimo vmesnik ali dva z USB 2.0 ali USB 3.0 na ethernetno vtičnico v obliki obeska (angl. ethernet dongle) s hitrostjo od 1 Gb/s naprej. V klasični namizni PC lahko opcijsko namesto tega na vodilo PCIe vgradimo dodatne omrežne kartice.
Brez kompromisov
Predstavili smo le nekaj odprtokodnih usmerjevalnikov, vendar še zdaleč ne vseh. Med odprtokodnimi rešitvami z odprto strojno opremo je tudi češki Turris Omnia (stane okoli 500 evrov), ki je namenjen predvsem profesionalnim aplikacijam, saj je v kakovostnem ohišju, dokupiti pa je mogoče tudi kovinske dele za vgradnjo v strežniško omaro. Profesionalna uporaba odprtokodne strojne opreme z odprto arhitekturo dokazuje, da so odprtokodni usmerjevalniki lahko varnejši celo od dražjih zaprtokodnih rešitev, saj lahko morebitne varnostne luknje v skrajni sili zakrpamo tudi sami, če imamo dovolj programerskega znanja, in nam ni treba čakati na popravke proizvajalca.
