TL-R470T+ : Вопросы и пожелания
Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
TL-R470T+ : Вопросы и пожелания
Аппаратная версия устройства: TL-R470T+ v3.0
Версия прошивки: 5.2.2 Build 20140422 Rel.59140s
Ваша страна: ex USSR
Название провайдера: 2kom,akado,beeline
Тип подключения: разные (dhcp, static)
Скорость по тарифу: разные (200, 30, 5)
Ваша операционная система: win 8.1 (с какой тестился, другие тоже имеются)
Антивирусные программы и фаерволы: клиент SEP посл. версия на дату публикации, без сетевого модуля ну и виндовский стандартный фаэр, в режиме админа юзер
хотя версия 1, прошивка встала норм (140422).
версия прошивки 4 - такой же девайс убила (требуется в сервис тащить, сброс не помогает, не загружается, из индикаторов только питалово горит
текущие проблемы - в фаэре, тут найдете по нику. пока так и не решили. пишу эту мессагу чтобы еще раз привлечь внимание к этому.
p.s. на этой прошивке - виснет, если в IP-MAC Binding поставить не дефолтные опции, осторожно. сброс помогает.
железка радует,
что хотел сказать еще.
как миксер траффика - красиво реализовано. а можно где-то прочитать про алгоритм микширования? хотябы в общих чертах. или коммерческая тайна?
не совсем понятно, правда, зачем нужна закладка резервирования каналов, если включена балансировка, т.к. если один из провайдеров погиб - автоматом редиректит на второго.
еще очень хотелось бы более контролируемую wan балансировку. понимаю так, что сейчас при вкл. балансировке алгоритм опирается на значения максимума пропускной способности указанной в значениях wan портов. это не очень хорошо. например, если есть 3 wan со скоростями 100, 30, 10 - как он себя ведет - пока похоже, что в процентном отношении от общего. было бы замечательно, чтобы можно кроме скорости в wan соединениях указывать процент использования канала.
что хотелось бы видеть в новой версии (железа и\или прошивки).
1. в admin setup\login param - настройки откуда к нему подключаться можно на управление.
указывается только ip(s). хорошобы чтобы еще и интерфес или порт чтобы было. допустим - Lan1. т.к. например теоретически адресация прова и локалки может совпадать. кста, как он при этом будет себя вести?
2. языковые файлы пора вводить. мне например не напряжно, но кому-то потребуется точно чтобы на родном языке интерфейс был.
3. в настройках wan, кроме всего прочего желательно предусмотреть окошко для ip dhcp сервера.
4. в настройках dhcp сервера (писал уже) - требуется больше серверов dns. ну 3 минимум хотябы. он же многовановый у вас. а у некоторых провайдеров на своих днсах свои сервисы висят. retracker.local например у 2ком.
5. критически не хватает днс сервера своего. хотябы маленького записей на 10-50.
6. несущественно. раздел user group лучше все же переименовать в pc group или workstation group, потому как не с телами общается а с железом за которыми они сидят
7. в nat-setup непонятны ограничения портов. прошу пояснить.
8. требуется приоритет протоколов. например днс и хттп((с) - вообще ранее) должно раздаваться раньше чем всякие юдп и торренты на них. там у вас сейчас только (advanced\load balance\protokol) - 4 но общие. или я не понимаю как сделать приоритезацию? не про qos речь, а именно приоритет трафа на уровне железки - например dns, ping, http в начале (с учетом позиции в списке), а затем ftp, torrent и проч. потому как когда торренты работают "на всю катушку" - серфинг по хттп "долго думает" или страничку по таймауту лочит.
9. в Attack Defense предлагаю сделать выбор настроек из 5и шаблонов (минимум, типичная рабочая станция, сервер, максимум,своя). в ПРЕДпоследнем варианте защита должна обеспечиваться, но на пределе возможностей подключения железки. или\иначе где прочитать про мин-максимумы этих настроек?
10. +к9. должна быть возможность отключения реакции и попадания событий в лог (важно - реакции!) на события локальной сети. например если на пк работает торрент клиент (с активной опцией udp трекеры поддерживать) - лог засыпается событиями о флуд атаках различного характера.
11. MAC Filtering - можно пояснить - на какие интерфейсы распространяется? если на все, то желательно при добавлении учитывать интерфейс(порт).
12. в URL Filtering, ясное дело, не хватает https
+ в Web Filtering нужно галку - запретить httpS. + в сервисах (Access Control\Service) протокол не описан по умолчанию.
13. в Access Rules явные проблемы с ftp (отдельно тут писал).
14. 100 Мбит хорошо, но не в 90х живем, пора подумать о гигабитных решениях. да, решения старше вижу, но много ли требуется?
15. PPPoE Server хорошо. но хорошобы хотябы PPTP и\или L2tp сервер иметь (а в связи с последними событиями лучше вообще его на l2tp поменять). пусть даже в цене подрастет.
16. где поменять имя девайса можно? или запретить ему описалово свое давать на запросы. при осмотре сети в стандартной винде он себя хорошо светит со своим стандартным именем.
17.
и кнопка сброса должна работать "4ever", а не когда он загружен.
18. при записи в лог должны быть правила подавления записи некоторых событий.
19. в URL Filtering должен быть предусмотрен экспорт - импорт правил. довольно геморное занятие забивать туда лист каждый раз.
+ хотелось бы узнать его ограничения и принцип работы. потому как некоторые сайты непонятным образом обходят этот блок. или предусмотреть сразу вместо отдельных "Keywords" и "URL Path" опцию "Both"
20. основное. в Access Rules должна быть запрещающая политика по умолчанию! настаиваю на этом, думаю, что многие поддержат. сейчас там все открыто по умолчанию.
ясно, что рассчитываете на широкий круг покупателей, в т.ч. и на домашних "купил-воткнул-работает-в настройках_небыл"
тогда хотябы сделав запрет на все, пусть будет умолчальное разрешающее правило с lan в wan при первом старте. именно правило, а не его отсутствие.
кроме того (тут отдельно писал) - даже при всем этом (если создать несколько правил для выхода лан-ван) а последним сделать "запретить все всем" (чтобы шло только то, что выше описано) - наблюдаются логические ошибки в правилах (в отдельной теме по нику найдете подробности).
+ потом. 192.168.0.1 - ну негоже делать такой адрес при старте. хотябы в 10 подсети чтобы был. объяснять почему думаю не надо.
++
недавно тут видел тему про вирусы и взлом паролей этого девайса.
в Login Parameter есть способ сменить порт управления, делаю сразу после изменения пароля адм.
может добавите туда галку и реализацию "use https" с бессменным простеньким сертификатом лет на 30?
гарантировано отрубит вражин на такие попытки.
пока все.
в настоящий момент железка используется как смеситель каналов для нескольких провайдеров и как первая линия обороны от мелких атак.
за ней стоит промышленный аппаратный фаэр. в связи с последними событиями в мире - думаю, что пора поднимать защиту на новый уровень.
ясно, что все (железо, софт) у нас "забугорное" и попытки эти - ничего фактически не решают - так хотябы для отчистки совести или отчетов перед шефом
буду рад всем советам, критики и ответам на вопросы от тутошних гуру - особенно.