Ubiquiti Networks è un’azienda americana nota soprattutto per essere leader mondiale di soluzioni consumer in ambito wireless (20 milioni di dispositivi venduti dal 2005). I suoi prodotti abbracciano tuttavia anche altri settori del mondo delle telecomunicazioni: è il caso del dispositivo oggetto della nostra recensione, EdgeRouter X, modello base di una serie di prodotti dedicati al Routing e Switching e che condividono l’etichetta commerciale EdgeMAX®.
Edgerouter X è un router entry level che si rivolge al mercato SOHO (Small Office/Home Office), proposto ad un prezzo particolarmente aggressivo - $ 49,99 sul listino ufficiale. È indicato da Ubiquiti come prodotto di classe carrier, con rapporto prezzo-prestazioni molto vantaggioso, il tutto su un case metallico ultra compatto.
Esiste in due versioni:
- Edgerouter ER-X, modello standard oggetto della nostra prova, che può essere alimentato tramite adattatore 12V di tipo tradizionale oppure tramite input PoE a 24V sulla prima porta Ethernet. È possibile eseguire il passthrough del PoE sull’ultima porta, per alimentare dispositivi compatibili con il PoE passivo (non si tratta di PoE standard 802.3af).
- Edgerouter ER‑X‑SFP, versione che rispetto alla ER-X dispone di un’interfaccia SFP (Small Form-factor Pluggable) e permette di fornire alimentazione PoE passiva su tutte le cinque porte.
Il sistema EdgeOS
La serie EdgeMax dei dispositivi Ubiquiti è fornita con il sistema proprietario EdgeOS, che include importanti funzionalità, elencate di seguito.
- VLAN su standard 802.1q;
- Rotte statiche e rotte dinamiche con supporto ai protocolli di routing più comuni, quali OSPF, RIP e BGP;
- Sicurezza garantita da un firewall integrato con supporto alle regole NAT, alle ACL ed alla tecnologia zone-based. La tecnologia zone-based prevede che le interfacce vengano assegnate a zone specifiche, con regole di analisi che si applicano al traffico tra zone. Le zone stabiliscono dei perimetri di sicurezza nella rete: in pratica definiscono gli ambiti dove il traffico è soggetto a restrizioni, nel momento in cui attraversa zone diverse. Di default il traffico tra zone diverse è proibito.
- Servizi base quali DHCP, DNS dinamico, DNS Forwarding e gestione della qualità del servizio
- Supporto a IPv6
- VPN IPSec, OpenVPN, PPTP e L2TP.
Le interfacce di gestione
Per “metter mano” alla configurazione dell’Edge Router, ci sono due possibilità: un’interfaccia grafica web-based, che permette la configurazione dei parametri e delle funzionalità principali, nonché il monitoraggio attivo del dispositivo, ed un’interfaccia a riga di comando (CLI, command-line interface) per le impostazioni più avanzate.
La configurazione iniziale
Di seguito i passaggi principali per una configurazione base dell’Edge Router.
- Come per ogni dispositivo di sicurezza, vi consigliamo di recuperare l'ultima versione del firmware per il modello in esame, disponibile su downloads.ubnt.com.
- Collegate un cavo Ethernet dal vostro PC alla porta eth0 del router. I dispositivi Ubiquiti hanno l’IP di default sulla rete 192.168.1.0 (e voi dovrete ovviamente avere un IP su quella rete). In questo caso l’IP predefinito del router è 192.168.1.1.
- Utilizzate il vostro browser web (preferibili Firefox o Chrome) e accedete alla pagina https://192.168.1.1. Vi ritroverete davanti all’interfaccia di configurazione. Le credenziali predefinite sono ubnt sia come nome utente sia come password.
- Prima di procedere con la configurazione iniziale, aggiornate il dispositivo con l’ultimo firmware scaricato: il numero di versione attualmente presente è visibile in alto a sinistra, alla destra del logo EdgeMax. Per aggiornare il router, fare clic sul pulsante "System" sul fondo del cruscotto operativo Edge.
- All’interno della finestra System, scorrendo in basso trovate il riquadro “Upgrade System Image” dove potrete caricare il file immagine e procedere con l’aggiornamento.
Una volta che l'aggiornamento del firmware è completo, l'installazione per un ambiente SOHO può essere realizzata in modo semplice tramite procedura guidata, andando sul tab Wizards e utilizzando uno dei template predefiniti, visibili sulla colonna a sinistra. Ad esempio, il template WAN + 2LAN2 prevede che l’interfaccia eth0 sia utilizzata per la WAN, mentre le rimanenti interfacce da eth1 a eth4 saranno utilizzate per la parte LAN.
L’elasticità del sistema EdgeOS consente di accorpare diverse porte - a scelta di chi esegue la configurazione - su uno stesso segmento di rete, utilizzandole come se fossero porte di uno switch integrato.
Una volta realizzata una configurazione base, sarà possibile attivare tutte le funzioni avanzate supportate, ad esempio un port forwarding o un tunnel VPN.
Esempio di configurazione avanzata
Fra le attività più frequenti, eseguite da chi opera su router e firewall, vi è quella di reindirizzare le richieste in arrivo sulla WAN del router verso un IP della rete interna, con la possibilità di traslare la richiesta fra porte diverse: ad esempio, si potrebbe voler pubblicare in http sulla porta 81 un servizio web in esecuzione su una macchina della rete interna, in ascolto sulla porta 80.
Per eseguire questa configurazione, sono necessari due passaggi distinti: il primo consiste nel creare una regola sul firewall per consentire alle richieste http - provenienti da qualsiasi IP - di raggiungere l’IP della nostra macchina in LAN. Si consideri che in maniera predefinita l’EdgeRouter blocca tutto ciò che non è esplicitatamene permesso, politica comune a tutti i dispositivi di firewalling. Il secondo passaggio riguarda la parte di networking, precisamente di NAT (Network Address Translation), con cui si fanno traslare le richieste http dalla WAN su porta 81 alla macchina in LAN su porta 80.
Per creare la regola di permesso, è necessario comprendere la logica dell’EdgeRouter: nel tab Firewall/NAT, andando poi su Firewall Policies, le regole sono raggruppate in set, chiamati appunto Ruleset. Per ogni set è necessario specificare l’interfaccia che processerà i pacchetti e la direzione dei pacchetti stessi, in uscita o in arrivo rispetto a quell’interfaccia. Il set contiene una o più regole: nel nostro esempio, sarà necessario creare una regola per accettare il traffico da qualsiasi IP verso la porta 80 del web server in LAN, come da immagine sotto:
Per creare la regola di NAT, si va sul tab Firewall/NAT, si aggiunge una nuova regola di Destination NAT e si procede secondo la logica indicata di seguito.
- L’interfaccia inbound è quella sulla quale arrivano i pacchetti dall’esterno, indicate quindi la vostra WAN
- Nel campo “Translations”, indicate la macchina della vostra rete interna, e la sua porta di ascolto (80)
- Su “protocol” indicherete TCP (protocollo di trasporto per Http)
- I campi “Src Address” e “Src Port” devono rimanere vuoti, perché la connessione deve poter giungere da qualsiasi host su Internet
- I campi “Dest Address” e “Dest Port” corrispondono all’interfaccia WAN che per prima riceve le richieste esterne, quindi inserite l’IP della vostra WAN e la porta 81, dove si voleva pubblicare il servizio
- Salvate la regola e potrete sfruttare subito il vostro servizio web dall’esterno.
L'interfaccia a riga di comando
EdgeOS CLI fornisce una modalità di configurazione flessibile e veloce; è adatta a utenti esperti e permette il controllo di tutte le caratteristiche avanzate dell’Edge Router. L’accesso alla CLI è possibile attraverso la porta console seriale, tramite SSH o tramite il bottone apposito presente nell'interfaccia grafica.
I menù della CLI seguono un'organizzazione gerarchica su diversi livelli, secondo un meccanismo che ricorda molto il sistema IOS di Cisco. I livelli principali sono due:
- Operational mode. È la prima modalità a cui si ha accesso una volta collegati all'apparato. In essa è possibile visualizzare alcuni dati di funzionamento dell'apparato, con privilegi limitati.
- Configuration mode. In questa modalità è possibile eseguire la configurazione del router. Dalla modalità “Operational”, per entrare in modalità “Configuration” si digita semplicemente il comando “configure”.
Alcune comode funzioni della CLI: premendo il carattere '?' apparirà una lista di comandi disponibili nel livello in cui operiamo. Il carattere può essere utilizzato anche per conoscere i parametri disponibili per uno specifico comando. Ad esempio, digitando il comando “show”, e premendo il carattere “?”, apparirà la lista mostrata nell’immagine sotto:
In maniera molto intuitiva, si capisce che il comando per mostrare le informazioni sulle interfacce è “show interfaces”.
Quanto mostrato è certamente solo un accenno di ciò che è possibile fare con la CLI. Gli operatori di rete che hanno dimestichezza con gli ambienti a riga di comando sanno bene che il controllo dell’apparato, con uno strumento di questo tipo, è totale. Anzi, è importante rimarcare che alcune funzioni sono disponibili esclusivamente da riga di comando. È il caso della configurazione di un tunnel OpenVPN, oppure der il VRRP ((Virtual Router Redundancy Protocol) per utilizzare due router in modalità di alta disponibilità (HA, high availability).
Per quanto riguarda la sintassi dei comandi, il sito di riferimento è il Support Center di Ubiquiti, disponibile all’indirizzo https://help.ubnt.com/hc/en-us/categories/200321064-EdgeMAX
Le nostre considerazioni
La prima domanda che ci si pone davanti a un prodotto come EdgeRouter X è la seguente: è affidabile un prodotto con caratteristiche (dichiarate) di fascia enterprise, venduto a soli 50 euro? Una risposta certa è possibile solo tramite prova sul campo nel lungo periodo. Tuttavia, tenuto conto del marchio, è doverosa un’importante considerazione: Ubiquiti è riuscita negli anni a trasformare radicalmente il mercato dei collegamenti wireless outdoor. Laddove i dispositivi erano di nicchia e non alla portata di chiunque, sia per costi sia per complessità di configurazione, oggi sono alla portata di un numero più vasto di utenti, che possono godere di elevate caratteristiche - in termini di capacità di banda – a fronte di prezzi che sono una decina di volte inferiori a quanto proposto qualche anno fa da marchi più blasonati.
L’ottimo rapporto prezzo/performance dei prodotti Ubiquiti ha permesso a molte realtà di superare il primo ostacolo dettato dal digital divide, garantendo una connettività di qualità a prezzi decisamente contenuti. È chiaro quindi che Ubiquiti voglia seguire la stessa strada segnata con il wifi, proponendo router professionali e affidabili con prezzi normalmente assegnati a prodotti da grandi magazzini.
EdgeRouter è il dispositivo ideale per quanti necessitano di un apparato di sicurezza che sia immediato e semplice da configurare, almeno nelle sue funzioni base. Ne trarranno beneficio uffici remoti e filiali. Lo utilizzeranno con piacere tutti quelli che hanno una conoscenza base del networking, e ne saranno entusiasti quelli che con il networking ci lavorano.
Sia chiaro però che EdgeRouter non è il router ADSL che potete trovare nei negozi di elettronica di consumo, perché non è pensato per utenze domestiche, e non è indicato a chi non ha chiari i concetti di indirizzi IP, maschere di rete, rotte e VLAN: da questo punto di vista, alcune configurazioni avanzate, possibili solo da riga di comando, taglieranno fuori questa fascia di utenza.