Ubiquiti EdgeRouter Lite 3-Poort Router

Net mijn Routerboard 493g vervangen voor deze edgerouter lite, ik gebruik maar 3 interfaces. Wireless had ik net verhuisd naar een dedicated AP dus dat hoeft niet in mijn router.

De Edgerouter is niet aan te raden voor eindgebruikers. Het is gebaseerd op Vyatta wat verwacht dat je precies weet wat je wilt en wat je doet. Als je de verschillen niet weet tussen established, new of related of je weet niet het verschil tussen tcp en udp of niet precies wat subnetten zijn en hoe routering werkt kun je beter uitkijken naar een ander apparaat.

Als bovenstaand klinkt als "duh, basic netwerk stuff" en je bent niet vies van een CLI is deze router een machtig mooi apparaat. Ze hebben wel een webinterface (die ik meteen uit heb gezet) maar die is nog in ontwikkeling.

Als je deze router kunt configureren zonder problemen krijg je er veel stabiliteit en performance voor terug. Wat mij betreft absoluut een aanrader.

Port forwarding

Werkt in 2-voud, je maakt een NAT mapping aan maar vervolgens moet je ook expliciet een rule in de firewall maken om dit verkeer toe te staan. Dit was ik echter al gewend van RouterOS dus dit is niet nieuw voor me. Als je consumenten apparaten bent gewent is dit onlogisch, daar maak je vaak gewoon een nat mapping aan en de firewall doet zijn ding.

IPSec

Dit is de reden waarom ik deze router heb aangeschafd. Mijn routerboard was prima echter kon deze niet meer dan 30Mbit/s IPSec aan. Naar verluid kan de Edgerouter 100Mbit/s IPSec verkeer aan. Ik heb nu wel een tunnel opgezet echter is zowel de upload als de download aan de andere kant nogal karig. Binnenkort wil ik een tweede EdgeRouter neerzetten bij een vriend van me om een IPSec tunnel te termineren op een 100/100 lijn. Ik ben benieuwd wat hier de resultaten van zijn.

Ruime keuze uit DH-Groups, iets wat ik miste op pfSense en VyOS. Verder duidelijke configuratie. Geen klachten hier. Enige waar ik op zit te wachten is ondersteuning voor VTI (Virtual tunnel adapters). Momenteel kun je alleen maar policy based IPSec gebruiken wat prima is voor de kleinere omgevingen maar zodra je Route-based wilt moet je GRE over IPSec doen wat de performance niet ten goede komt. VTI support staat op de to-do lijst.

Performance

De performance is dik in orde, dit is de reden waarom ik de EdgeRouter in huis heb gehaalt. Routing en firewalling zou hij gewoon de gigabit lijn dicht moeten trekken. IPSec ligt boven de 100Mbit/s, echter moet je oppassen. Deze performance komt omdat zowel de crypto als de routing is geaccelereerd. Zodra je protocol kiest wat hij niet kan accelereren schijnt de performance minder te worden. Bijvoorbeeld OpenVPN is niet aan te raden, dit heeft geen acceleratie. Verwacht niet meer dan 20Mbit/s.

Web interface

Ik heb de webinterface per direct uitgeschakeld. Ik wil het OS goed onder de knie krijgen en weten wat ik doe. Echter wat ik heb gezien van de web interface ziet er leuk uit. In de laatste beta zijn mogelijkheden toegevoegd tot het configureren van IPSec maar in de laatste stable moet dat sowiezo via de CLI. Zoals eerder vermeld, de webinterface is nogal work in progress. Iedere release zijn er nieuwe features en veel bugfixes maar ik heb nog niet het gevoel een eindproduct in handen te hebben wat betreft de webinterface. Wel zitten er simpele wizards in om de router in te richten voor SOHO gebruik.

Command Line Interface

CLI is erg duidelijk en logisch opgebouwd. Mooi is dat je alle wijzigingen kunt maken maar ze nog niet worden toegepast. Als je tevreden bent met al je wijzigingen kun je nog even de verschillen doornemen door het compare commando te gebruiken. Dit laat alle verschillen zien ten opzichte van de running config.

Als je het geheel wilt toepassen geef je het commit commando. De wijzigingen gaan nu live. Altijd zonder reboot, ook heel fijn. Als je tevreden bent en je wilt dat de router boot met deze config geef je tenslotte het save command. Een beetje zoals het wr mem bij Cisco. Mocht je jezelf hebben buitengesloten reboot je de router en dan is de oude config weer terug.

Updates

Komen met enige regelmaat, er is de mogelijkheid om deel te nemen aan een beta groep. Het systeem kent system images, je geeft een commando om een system image te downloaden en installeren. Dan zet je die default en je reboot. Wil je toch de oude software terug omdat de nieuwe beta wellicht instabiel is kun je aangeven weer de oude image default te willen en een tweede reboot zet de oude software terug. Ideaal zowel thuis maar met name voor professioneel gebruik als je je niet te veel downtime kunt veroorloven.

Daarnaast heb je de mogelijkheid om de complete config te back-uppen of te exporteren naar een set commando's. Een backup Edgerouter is dus binnen 5 minuten ingericht door het terugzetten van een backup.

Firewalling

De Edgerouter 'zone-based' firewalling. Dit is net even anders dan ik gewend ben. Je definieert een zone zoals bijvoorbeeld LAN. Dan definieer je een tweede zone zoals WAN. Vervolgens koppel je die aan fysieke interfaces. Tevens maak je een zone 'LOCAL', dit is al het verkeer aan de router zelf gericht.

Nu kun je het verkeer tussen de zone's door firewall chains laten gaan. Je maak firewall chains aan:

WAN_LAN
WAN_LOCAL
LAN_WAN
LAN_LOCAL
LOCAL_WAN
LOCAL_LAN

In die chains definieer je al het verkeer wat wel en niet gewenst is. een typische LAN_WAN ziet er zo uit:
http://pastebin.com/raw.php?i=bW068Z8X

LAN naar WAN is dus open. WAN naar LAN ziet er zo uit:
http://pastebin.com/raw.php?i=fExmQY0B

En nog een hele bups voor port mappings maar die zet ik hier niet bij, dat is niet echt relevant.

Vervolgens zeg je dat verkeer tussen bepaalde zones door firewall chains heen moeten, dat ziet er zo uit:
http://pastebin.com/raw.php?i=8jVthJEP

Hardware

Er zijn 2 hardware revisies, de plastic versie zoals ik die heb of de metalen versie die gelijk is qua design aan zijn grotere broer. Echter zijn de interne componenten identiek. Verder zijn er problemen geweest met de geheugen modules op de eerdere oplages maar ook daar heb ik nog geen last van gehad.

De router heeft een console poort die je kunt benutten dmv een Cisco of ander convertertje. Erg fijn als je jezelf perongeluk buiten sluit, dan hoef je de router niet meteen te resetten.

Zoals te zien op de foto uiteraard ook mounting holes om het op te hangen en 2 schroefjes zijn bijgeleverd.

De warmte productie is een tikkie aan de hoge kant, ik maak me er geen zorgen om maar ik kan me voorstellen dat je de router niet op een zomerdag achter glas op een zwarte vensterbank moet hebben staan (duh, geen enkele electrisch appararaat). Maar de router wordt iets warmer dan ik gewend ben van dergelijke apparaten, niets schokkends.

In de router zit een USB poort waarin een memorystickje zit voor het OS. Dit is erg geruststellen mocht het flash memory stuk gaan, in dit geval kun je het stickje vervangen voor een ander exemplaar zonder dat je router is afgeschreven. Daarnaast bevorderd dit de 'hackbaarheid' van het apparaat.

Tot slot

Ik ben over het algemeen erg tevreden over de router en zal wellicht de review updaten als er interessante dingen aan het licht komen. Als je het apparaat inricht via de webinterface door de wizard te gebruiken ben je binnen 10 minuten up-and-running. Als je de CLI gebruikt ben je wel even zoet, een ervaren EdgeOS'ser heeft ook wel een uurtje nodig denk ik. Echter is dit niet een router die je koopt om neer te zetten voor simpel WAN/LAN routing met stateful firewall. Als dat alles is wat je wilt koop je een consumenten apparaat.

Als je bereid bent (en het leuk vind) om diep in de technische kant te duiken krijg je erg veel terug van deze router in de zin van performance, controle en security. Onder de EdgeOS schil draait een debian distro, na een simpele sudu su zit je als root op de bash CLI. Zelfs het toevoegen van APT repositories en het installeren dmv apt-get install behoort tot de mogelijkheden hoewel dit niet officieel is ondersteund. Ook rommelt er in de gentoo hoek wat, het is tevens mogelijk om dit draaiend te krijgen. Ondanks het feit dat ik die-hard gentoo fan ben zal ik me hier niet aan wagen, EdgeOS voldoet prima aan mijn eisen.