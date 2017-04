Synology 除了 NAS 之外,近來受到矚目就是無線路由器,自從推出 Synology RT1900ac 之後,也就是我家中的主力機種,第一代的 RT1900ac 雖然不算是旗艦機種,但是內建系統 SRM 應該是我用過路由器當中最好的,RT2600ac 將硬體規格再提升,1.7GHz 雙核心處理器,支援 MU-MIMO 及最新 802.11ac wave 2 標準,無線傳輸的能力更強,也有 Layer 4 & 7 的硬體加速引擎,若你對網路需要絕對的掌握性,那麼 RT2600ac 的確是很棒的選擇。

開箱內容物有 Synology RT2600ac 主機、四根天線、電源、網路線與快速安裝手冊。相比前一代 RT1900ac 來說,從外觀上最大的改變就是從三根天線升級到四根天線,外觀風格上相比其他品牌的旗艦機來說比較低調些,不過就使用者介面上來說我覺得是最友善與實用的,看大家喜歡外觀看起來很強大,還是內容實在比較重要囉!目前 RT2600ac 的規格來說,當然還是無法與當今的旗艦機種來比,更高規格的還有 AC3200 與 AC5300,大家在選購無線路由器時得先清楚自己的需求到哪裡,尤其現在很多主推遊戲使用,在無線網路上又增強了不少技術應用,RT2600ac 的應用算是多元,不過就無線網路規格上官方介紹也沒有特殊強調些什麼。前方有的系統、2.4G 無線網路、5G 無線網路、WAN1、WAN2與四個 LAN PORT 的燈號,RT2600ac 並非真的有兩個 WAN Port,不過可以將第一個 LAN Port 當成 WAN Port 使用,在系統內稱為 Smart WAN 的功能,除了可以接上第二線路之外,也能連線行動網路或是 VPN。左側前方有 SD 讀卡機,套件中心可以安裝的套件有 Download Station、Cloud Station 與媒體伺服器,都可以當成儲存空間來使用。機身後放左側藍色的為 WAN 1 Port,四個黃色的為 Gigabit LAN Port,第一個 LAN Port 也可以當成 WAN Port 來使用。後方左側依序為電源開關、電源輸入、重設與 USB 2.0 插槽。機身左側邊為 USB 3.0 插槽與 EJECT 按鈕,退出按鈕在分享器上真的相當少見,這就像從電腦要移除 USB 時要先安全的退出,確保資料不會外造成損失。機身右側邊為 WPS 無線網路配對按鈕,與實體的 Wi-Fi 關閉按鈕,若是用在公司行號的話,下班可以將無線網路關閉,確保資訊安全,其實無線網路安全性是挺薄弱的,但是到底怎麼破解也別問我,這也不是我專長啦!

網路速度實測

選購無線分享路由器,大家最在意的絕對是訊號好不好,不過這也沒有百分百的答案,因為居家環境不同,無線網路訊號遇到的障礙也不同;而辦公室環境相對單純,只要沒有牆面都好搞定。這個段落替大家簡單測試一下網路訊號與速度。區域網路接上網路線實測連線速度,以我家 100M/40M 的網路來說,這樣傳輸效率沒有 100 分也有達到 95 分了吧!其實接上網路線沒什麼好測的啦^^,純粹先驗證一下家裡對外的網路速度可以到達什麼程度。上圖是我的居家格局配置圖,坦白說 RT2600ac 並不是擺放在最佳位置,而是擺放在離我最近的位置,這的確是當初規畫時沒有想到的,原以為只要是旗艦機種的無線分享器,就可以打通到家裡每個角落,結果我實在是錯了,就算訊號比 RT2600ac 強大的機種,上圖左上角的房間依然很慘烈,真的要看環境中有多少的障礙才準確。左上的房間目前為小孩房,需要無線網路是因為有 SecuFirst WP-M01S 高畫質無線攝影機 ,主要就是觀察小朋友睡眠狀態,還有避免任何意外發生,不過無線網路需要穿透書櫃、滿滿的儲藏室、牆面、衣櫃、牆面等重重障礙,RT2600ac 的 5GHz 訊號基本上根本無法抵達,2.4GHz 可以順利連線,不過連線速度不快就是了!左下角是主臥,也是穿透了書櫃、儲藏室與牆面,但是距離相對比較短,5GHz 就可以穩定連線,上傳下載的速度表現都還不錯。此外還特別標了主臥廁所的連線速度,因為這是常常在上網的位置,速度表現有 90 分的水準。家裡其他位置無線網路速度都很順,都接近有 95 分的程度,可以發現 2.4GHz 比較容易因為距離還有牆面影響到網路速度,5GHz 基本上只要有連到速度都頗快的。此外我還到家裡外面一樓測試,我家是在四樓,基本上沒有阻隔的狀態下,訊號到一樓大概都還有 80 分的水準。測試時我是將 2.4GHz 與 5GHz 的網路分開測試,實際上可以調整成自動選擇的模式,讓連線裝置只要認定一個 SSID,就會依照距離或是方位自己去選擇最佳的連線,這對於使用者來說也是比較方便的,避免說在一個尷尬的距離,反而讓連線在 2.4GHz 與 5GHz 兩個 SSID 間跳來跳去,反而有更加不穩的的感覺。

套件中心

SRM 不像 DSM 有那麼豐富與完整的套件可以使用,不過也是提供了幾項非常實用的套件,最重要的就是 VPN Server Plus,有提供 Synology 自家的 VPN 服務,也有提供常見的 VPN 通訊協定可以使用。Intrusion Prevention 是入侵預防系統,可以替你有效阻擋各種莫名的攻擊。此外還有 Cloud Station 、DNS Server、 Download Station 、媒體伺服器、RADIUS Server 與舊的 VPN Server。

VPN Plus Server

很多人挑選路由器在意的不是規格、在意的不是無線網路訊號,而是在意有沒有 VPN 功能,因為能夠透過家裡連線是很重要的一件事情,尤其身處網路受限的環境時,譬如說在學校、辦公室或是大陸地區,很多網站都會被限制住,若想要沒有受限制的瀏覽,一來就是透過行動網路,二來就是透過 VPN 來連線,也可以說是翻牆的應用。第二種狀況是想要存取自己區域網路環境中的資源,像大多公司行號很多內部主機,基本上絕對無法從外部去連線,卻非得透過 VPN 連線不可。△ SSL VPN 是 Synology 獨有的 VPN 服務,使用便利程度相當高,若是不太懂 VPN 到底怎麼架的人,或是擔心用戶端永遠學不會連線 VPN 的話,那就使用 Synology SSL VPN 吧!△ WebVPN 也是推薦啟用,這是瀏覽內部網頁的實用工具,以公司行號來說,像是簽核系統、人事系統都是內部網頁,要先開啟 WebVPN 才能夠設定 WebVPN 入口。而 SSL VPN 和 WebVPN 其實並沒有關係,不過可以設定在同一個 Port 去服務,預設就是 https 的 443 Port,都可以從網頁去開啟,只是當 SSL VPN 和 WebVPN 都設定在同一個 Port 的時候,會通知說可能會影響連線速度,這部分大家未來使用上覺得速度不足時,可以再拆分來看看。△ WebVPN 入口是一個別名 alais 的概念,以我上圖為例,我的內部網頁是在 http://192.168.2.15:2812,當你連線 WebVPN 之後,也不是直接就輸入內部 IP 來瀏覽,必須再設定一個不同的入口,譬如說我設定成 safe.ez3c.tw,就代表 WebVPN 在連線之後,我透過 https://safe.ez3c.tw 就能連線到內部的 http://192.168.2.15:2812,就是WebVPN 入口的應用,如果內部有很多網頁,就要自己一筆一筆去設定,然後配合 DNS 指向到 RT2600ac 才能正確的運作,入口的設定還能有權限控管,限制能使用的用戶有哪些。△ 常見的 VPN 服務還有 SSTP VPN 伺服器,也是可以啟用的 VPN 服務之一。△ OpenVPN 也是其中的一項 VPN 服務,我個人覺得 OpenVPN 很方便,之前寫過相關教學: OpenVPN LINE 跨區欣賞免費貼圖教學 ,不過自己架的 OpenVPN Server 有點不同,要自己匯出設定檔到手機,至後再從 OpenVPN APP 當中匯入設定檔,之後連線輸入帳號密碼應該就搞定了。△ L2TP 也是 VPN 服務,不過這個我比較不熟。△ PPTP 也是 VPN 服務之一,這算是最簡單的 VPN Server,有些路由器會內建 VPN Server 的服務,大概就是 PPTP 這種最簡單的。△ 所以 VPN Plus Server 一共內建五種不同的 VPN 服務,可以分別設定使用者可以使用那些 VPN,不過通常應該不用開那麼多 VPN 吧??選擇其中一個來用應該就夠了!△ 每個用戶或群組能夠限制他的頻寬,避免拖垮其他人的連線速度,一般用戶最好是限制一下,避免哪個傢伙連線 VPN 忘記斷線,又開始下載影片的話,其他用戶頻寬都拖垮了!總之我建議可以先設定一個基本用量就夠了,當真的有人覺得速度太慢時再來調整。△ Synology SSL VPN、WebVPN 與 SSTP VPN 都是 Synology VPN Plus 專業版的功能,預設只有提供一組授權,等於一次只能有一個用戶可以使用,若是喜歡用 Synology SSL VPN 與 WebVPN 的話,可能就要付費購買更多授權囉!價格我也還不知道~△ 這是從網頁登入 VPN Plus 的登入畫面,若權限有啟用的話,應該就可以正確的登入。△ 第一次使用會有簡單的介紹,像我同時開啟了 WebVPN 與 SSL VPN 兩個 VPN 服務,而且同樣在 443 Port,所以左側就會有選單,官方的說明應該非常清楚,WebVPN 不須安裝用戶端軟體的 VPN 解決方案,SSL VPN 是完整、安全的 VPN 解決方案。△ 以我剛剛 demo 的 WebVPN 入口來測試,我輸入我的內部網址來瀏覽。△ 會自動跳出新的一個視窗,也就是我之前所設定的別名,這樣就能正常瀏覽內部網頁囉!△ SSL VPN 必須安裝用戶端的軟體,除了支援 Windows 平台之外,iOS、Android、Mac OS 與 Linux 都有相對應的軟體或是 APP 可以使用。△ 安裝完用戶端的工具後,從瀏覽器就會自動偵測到 Synology SSL VPN Client 已經正確安裝,就會跳出連線的按鈕,點選後開始連線。△ 連線成功囉!!!接下來應該就能正常連線所有內部的資源了。△ 回到 VPN Plus Server 的管理工具,首頁就是儀錶板,可以查看不同 VPN 的連線狀態與流量。

如何設定憑證

△ 為什麼要設定憑證?因為 443 Port 的 SSL 式連線加密的,若沒有憑證的話,會看到一個警告的標示,代表這個連線是不安全的,而憑證有很多種,有免費的、有付費的、也有很貴的,憑證的等級其實我也沒有懂太多,只知道用憑證很麻煩。畢竟使用 SSL VPN 服務並不是公開的,所以自己建立憑證就好了,因為看到連線有個驚嘆號還是會小小不舒服,目的只是要解決這個問題。△ 如果有設定好憑證,瀏覽網頁時就會是正確的綠色鎖頭圖案。△ 從控制台 > 服務 中找到憑證,點選建立憑證。△ 建立自我簽屬的憑證即可。△ 設定範例請參考。△ 設定範例請參考,最後套用就可以完成囉!△ 那要如何匯入憑證呢?從 WebVPN 登入之後,點選右上角的人之設定,之後就可以下載憑證使用。△ 憑證檔案連點兩下就可以開啟,點選安裝憑證。△ 存放在本機電腦後下一步。△ 瀏覽存放位置在「受信任的根憑證授權單位」,下一步繼續。△ 最後這個步驟完成即可。以上匯入步驟試用於在電腦上使用 Chrome 或 IE 瀏覽器。△ Firefox 瀏覽器必須開啟 設定選項 > 進階,切換到憑證的那一頁之後查看所有憑證。△ 之後匯入剛剛所下載的憑證。△ 之後勾選要信任的項目後 OK 及匯入完成,之後瀏覽網址應該就會是安全連線了!!!

Intrusion Prevention 入侵預防系統

△ Intrusion Prevention 是入侵預防系統,讓 Router 扮演一個守門員的角色,不只是一個 DHCP 與無線網路伺服器,應該要具有擋掉惡意攻擊的能力,Intrusion Prevention 可以從套件中心安裝,啟動時會有兩個選擇,IDS 偵測模式只進行偵測,當遇到惡意封包會發出通知,IPS 預防模式除了偵測惡意封包之外,會直接替你丟棄惡意封包,讓網路環境更加安全,像很多人的伺服器都架在內網,就讓 Synology RT2600ac 來阻擋第一線的惡意攻擊吧!

△

惡意封包的特徵碼有資料庫在維護,可以定時更新這些特徵碼來保持網路的安全性。

△

惡意風的行為特徵,這個就超級專業的,基本上我也是有看沒有懂,就照原始設定吧!

△

若受到攻擊可以發送郵件通知,通知功能與 SRM 是結合在一起的,因此要發簡訊或是推播都可以。

△

還能設定不同的攻擊事件的通知方式,我好像用不到如此專業^^。

△

回到首頁會顯示當下的運作狀態,如果真的有太多攻擊的話,可能就真的要請專家來看看囉!

Synology RT2600ac 心得總結

這台 Synology RT2600ac 我已經使用上一陣子了,一來主要是測試穩定度,其實我用 RT1900ac 的時候就已經很穩了,基本上穩定度非常值得信賴。我覺得 Synology 的路由器在功能上比較豐富,適合進階的使用者或是網管,一般無線分享器大家設定好之後大多不會再去動了,網路能連線就好,不過 SRM 所提供的功能很豐富,譬如說有家長監護選項,能限定可以連線的時段,以及網站過濾器來替安全把關,他牌的或許也有類似功能,不過我只能說 SRM 設定比較直覺與方便,更不用動不動設定一下就要重開機。更進階的還有波束技術 Beamforming 的應用,若是需要穩定而持續的連線,就可以對特定裝置開啟,也能方便調整每一個連線裝置的 QoS,設定能夠存取的上傳下載速度,甚至可以設定到 Layer 7 的網路應用,譬如說不能用 FTP 或是 P2P 下載等等,可以管理的層面是他牌路由器無法比擬的。對網管來說,還有方便的流量統計工具,可以很即時的查看哪台電腦正在吃頻寬,或是透過歷史資料知道每台裝置的網路用量,這對網管來說這是超級方便的管理工具,哪天老闆問說今天網路為什麼那麼慢?可以輕鬆地找到解答,所有用戶的連線都無所遁形。若是還啟用 Cloud Station、Download Station 等套件,那能玩的東西就更多囉!延伸閱讀: