Análisis del D-Link DBG-2000 con SD-WAN y gestión Nuclias Cloud

Análisis del D-Link DBG-2000 con SD-WAN y gestión Nuclias Cloud

8.5
Sergio De Luz

Os presentamos un completo análisis del D-Link DBG-2000, un dispositivo orientado al ámbito profesional que hará las funciones de router, gateway, firewall, VPN y también incorpora la tecnología SD-WAN para configurar diferentes WAN de Internet usando sus puertos Gigabit Ethernet. Este nuevo dispositivo se instala, monitoriza y configura desde la nube de Nuclias Cloud, por lo tanto, toda la gestión se realiza desde esta plataforma de D-Link para facilitar enormemente las tareas de administración desde cualquier lugar, solamente es necesario tener conexión a Internet. Si quieres conocer todo sobre este D-Link DBG-2000, el rendimiento que es capaz de proporcionarnos y qué opciones de configuración tenemos disponibles, a continuación, tenéis todos los detalles.

Principales características

Este gateway pertenece a la familia de Nuclias Cloud, por lo tanto, toda la gestión de este dispositivo se realiza desde la nube, no obstante, siempre vamos a poder acceder a manera local al dispositivo para tareas básicas, como la configuración de la conexión a Internet para que se pueda comunicar con la nube de D-Link y proceder a descargar la configuración que previamente hayamos realizado. Este equipo tiene un hardware muy potente, y un software muy completo que nos proporcionará una gran cantidad de opciones avanzadas.

Características hardware

Este dispositivo que funciona como router tiene un total de cuatro puertos Gigabit Ethernet, tenemos un puerto WAN dedicado y un puerto LAN específico, los otros dos puertos se pueden configurar como WAN, LAN o DMZ, dependiendo de nuestras necesidades. Gracias a la tecnología SD-WAN, tenemos la posibilidad de configurar varios puertos como WAN de Internet y realizar un balanceo de carga y otras configuraciones avanzadas. A continuación, tenéis la descripción de todos los puertos Ethernet:

  • Ethernet 1: está configurado como WAN de Internet exclusivamente, el software permite configurar VLAN ID para conectarnos con los principales operadores de fibra en España.
  • Ethernet 2: está preconfigurado como LAN2 con una subred 192.168.12.0/24, pero se puede configurar también como WAN de Internet o bien como DMZ.
  • Ethernet 3: está preconfigurado como LAN3 con una subred 192.168.11.0/24. Este puerto también podemos configurarlo como WAN o DMZ.
  • Ethernet 4: está configurado como LAN de Internet exclusivamente, usa una subred 192.168.10.0/24 de forma predeterminada. En este caso, el software nos permite configurar la subred que nosotros queramos.

Otras características de este DBG-2000 es que incorpora un puerto de consola RJ-45 para tareas de administración local, también tiene un puerto USB 2.0 y un puerto USB 3.0 para tareas de gestión.

En cuanto al rendimiento que vamos a poder conseguir con este equipo, según las especificaciones técnicas del fabricante, es de hasta 1.8Gbps en rendimiento firewall. El rendimiento de la VPN con cifrado 3DES/AES llega hasta los 450Mbps, además, podemos crear hasta 200 túneles simultáneamente. Nuclias Cloud nos permite crear hasta 200 túneles por cada protocolo que soporta (IPSec, PPTP/L2TP, OpenVPN y GRE) con un máximo de 200 túneles en total, como hemos explicado. Este equipo soporta hasta 200.000 sesiones concurrentes abiertas, ideal para negocios y pequeñas y medianas empresas.

Finalmente, este DBG-2000 tiene una memoria flash de 16MB de capacidad y 4GB de RAM DDR4 SDRAM. Otras características son que tiene un consumo máximo de energía de 20W, tiene unas dimensiones de 135 x 215 x 42 mm con un peso de 1,65Kg.

Características software

Uno de los aspectos más importantes de este equipo es la gestión que tenemos a través de Nuclias Cloud, todo se gestiona directamente desde la nube, y cualquier cambio que realicemos en la nube se aplicará en el DBG-2000 al pulsar el botón de «Apply» o «Push configuration», dependiendo de si estamos en la sección de «Monitor» o «Configure» respectivamente. El fabricante D-Link nos permite configurar un perfil de configuración donde tenemos dos apartados claramente diferenciados, por un lado, tenemos la parte de «Network» donde vamos a tener todas las configuraciones relacionadas con la red local, y por otro lado tenemos la parte de «Security» donde configuramos el firewall, IDS/IPS, puertos y mucho más.

Network

En este menú de configuración vamos a poder realizar las siguientes tareas de cara a la red local e Internet:

  • Configurar la WAN de Internet con los parámetros necesarios para poder conectarse a Internet, incluyendo la posibilidad de definir un VLAN ID para conectarse.
  • Configurar la LAN4 que siempre está configurado como LAN, poniendo la subred que queramos y configurando el servidor DHCP como deseemos.
  • Configurar los puertos LAN2 y LAN3 como red local con su correspondiente DHCP, o bien configurarlo como WAN o DMZ.
  • Configurar VLANs como tagged en uno o varios puertos LAN, al crearlas tendremos que crear una subred nueva con su DHCP y podemos permitir que haya comunicación inter-vlan o no.
  • Configurar rutas estáticas hacia otras redes.
  • Configurar protocolos de enrutamiento de pasarela interior como RIPv2 y OSPFv2.
  • Activar los Jumbo Frames, el IGMP, UPnP y las ALG.
  • Gestionar el tráfico de red con el Traffic Shaping, crear un portal cautivo etc.

Como podéis ver, tenemos una gran cantidad de posibilidades de configuración, debemos tener en cuenta que es un equipo profesional, orientado a negocios y pequeñas y medianas empresas.

Security

En esta sección de Nuclias Cloud es donde vamos a poder configurar todo lo relacionado con la seguridad, sobre todo en lo que se refiere al cortafuegos o firewall, y también a los puertos de la NAT que tenemos activada de forma predeterminada en la WAN, así como el IDS/IPS que tenemos en el equipo. En estos menús podremos crear diferentes reglas en el firewall para permitir o denegar el tráfico, como si fuera una ACL en los switches del fabricante, pero en este caso a nivel de capa L4 ya que permite filtrar por TCP/UDP.

En el caso de los puertos de la NAT, tenemos Port Forwarding y el Port Triggering, siempre que tengamos activada la NAT, también podemos configurar el 1:1 NAT si es que lo usamos.

En el caso del IDS/IPS (Sistema de Detección y Prevención de Intrusiones) incorporado en este equipo, solamente tenemos la posibilidad de activarlo o desactivarlo. No podemos ver las reglas, editar las reglas ni tampoco añadir nuevas reglas, es todo automático por parte de D-Link para que no sea demasiado complicado, como ocurre con otras soluciones como Snort o Suricata que tenemos que mantener las reglas y vigilar que alguna no interfiere.

Otro aspecto muy destacable es que vamos a poder habilitar un filtrado de contenidos web realmente avanzado, esto nos permitirá denegar el acceso a determinadas webs bajo demanda, ya sea a través de las URL que nosotros podemos añadir o bien a través de un conjunto de categorías que ya están preconfiguradas en Nuclias Cloud. Otras opciones son las de activar un listado de control de aplicaciones.

En cuanto a las redes privadas virtuales (VPN), vamos a poder configurar diferentes protocolos de manera avanzada. Los protocolos que soporta este equipo son IPsec, L2TP/IPsec, OpenVPN e incluso podemos establecer túneles GRE. Gracias al gestor de certificados digitales de Nuclias Cloud, podremos crear certificados específicos para estos túneles VPN y tener la máxima seguridad posible. Además, si tenemos varios DBG-2000 repartidos por diferentes sedes, vamos a poder comunicar las sedes a través de VPN de manera muy sencilla gracias a la gestión Nuclias Cloud.

Si quieres conocer cómo es este D-Link DBG-2000, todos los accesorios que incorpora, así como la documentación, no te pierdas nuestro vídeo con el unboxing y primeras impresiones:

Ahora que ya conocéis las principales características de este equipo, vamos a ver el análisis externo donde podréis ver cómo es este equipo de gama business.

Análisis externo

Este nuevo D-Link DBG-2000 viene en la típica caja del fabricante de gama business, por lo que no tenemos a nuestra disposición ningún tipo de característica. En la parte frontal encontramos el logo del fabricante D-Link, y en la parte trasera tenemos el modelo exacto del equipo (DBG-2000), así como el número de serie, dirección MAC, versión de hardware del equipo, versión de firmware predeterminada y también el UID del dispositivo para añadirlo a Nuclias Cloud y empezar con la gestión en la nube.

En el interior de la caja podemos ver el dispositivo, también encontraremos la documentación típica y diferentes accesorios incorporados en la caja. El contenido de la caja de este equipo es el siguiente:

  • D-Link DBG-2000.
  • Transformador de corriente con 12V y 3,5A para proporcionar hasta 30W de potencia.
  • Tres clavijas para diferentes mercados.
  • Cable de red Ethernet Cat5e.
  • Cable de consola RS-232 a RJ-45.
  • Soportes para enrackar el dispositivo.
  • Guía de instalación rápida del equipo.
  • Garantía del producto, declaración de conformidad e instrucciones para su reciclaje.

En la siguiente galería podéis ver tanto el interior de la caja como también su contenido en detalle:

Lo más interesante de la documentación incorporada en este dispositivo es la guía de instalación rápida. En esta guía de instalación rápida podemos ver cómo instalar este dispositivo en la nube del fabricante, y también cómo debemos instalarlo en el rack. Además, nos va a indicar qué subredes tenemos en cada uno de los puertos LAN del equipo, ideal para posteriormente meternos en el firmware del equipo en modo standalone si es que lo necesitamos.

El transformador de corriente incorporado en este router es capaz de proporcionar una tensión de 12V y una intensidad de hasta 3,5A, por lo que vamos a poder proporcionar una potencia de hasta 30W en total. Un aspecto que nos ha llamado mucho la atención es que tenemos un total de cuatro clavijas, ideal para cubrir los principales mercados de todo el mundo.

En cuanto a los accesorios, contamos con el cable de consola RS-232 a RJ-45, lógicamente hoy en día vamos a necesitar un adaptador RS-232 a USB para poder conectarlo a los ordenadores actuales. También debemos tener en cuenta que disponemos de un cable de red Cat5e con cuatro pares de hilos, por lo que conseguiremos una velocidad de hasta 1Gbps sin problemas. Finalmente, tenemos los adaptadores correspondientes para enrackar este dispositivo en un rack, o para poner los tacos de goma en la parte inferior del equipo y colocarlo encima de una mesa.

El D-Link DBG-2000 tiene un diseño muy similar al controlador WiFi DNH-100 que hemos analizado anteriormente, pero lógicamente este equipo es totalmente diferente, además de tener más puertos Gigabit Ethernet. Algo que nos gusta mucho de este equipo es su diseño, y es que tiene un diseño bastante elegante además de estar terminado en metal, su color blanco también es realmente bonito y lo hará destacar dentro y fuera del rack.

En la parte frontal del equipo tenemos el LED de estado general, y también el LEDd e estado que nos indica si está sincronizado con el Cloud. A continuación, tenemos en la parte central los 4 puertos Gigabit Ethernet para WAN y LAN, también encontraremos el puerto de consola RJ-45 para tareas de administración, así como el puerto USB 2.0 y el puerto USB 3.0 de alto rendimiento.

En el lateral derecho del equipo encontraremos los típicos cuatro agujeros para colocar el soporte para el rack, también tenemos una pequeña rejilla de ventilación para refrigerar adecuadamente los componentes internos del equipo. En el lateral izquierdo encontramos exactamente lo mismo, los cuatro agujeros para atornillar el soporte del rack y la rejilla de ventilación.

En la parte trasera podemos ver un interruptor para el encendido y apagado del equipo, además, también tenemos el conector de alimentación de 12V y 3,5A para alimentar el equipo adecuadamente.

En la parte inferior del equipo podemos ver una gran pegatina con el logo de D-Link, el modelo del equipo, versión de hardware, versión de firmware instalada por defecto, características eléctricas de entrada, el número de serie, así como la dirección MAC del equipo y el UID del dispositivo para darlo de alta en Nuclias Cloud.

Tal y como podéis ver, este equipo tiene un diseño realmente elegante, apto para cualquier pequeña y mediana empresa u oficina, además, nos permite enrackarlo por si lo queremos situar con el resto de equipos como los switches.

Ahora que ya conocéis cómo es por fuera este nuevo D-Link DBG-2000, os vamos a enseñar de lo que es capaz en las pruebas de rendimiento de nuestro laboratorio de pruebas.

Laboratorio de pruebas

Ha llegado el momento de probar a fondo cómo se comporta este router de alto rendimiento orientado a pequeñas y medianas empresas. En estas pruebas de rendimiento comprobaremos la velocidad LAN-LAN entre diferentes subredes, no en la misma subred porque no permite poner dos puertos LAN para la misma subred. También comprobaremos la velocidad LAN-WAN e incluso haremos pruebas con el servidor OpenVPN incorporado.

Pruebas LAN-LAN

En estas pruebas de rendimiento usaremos el programa Jperf para ver cómo se comporta con múltiples hilos en la red local profesional. Como suele ser habitual, comprobaremos el rendimiento con 100, 250, 500, 750 y 1000 conexiones TCP concurrentes. En esta primera prueba utilizaremos sus puertos a 1Gbps de la LAN3 y la LAN4 que están en diferentes subredes, los resultados son los siguientes:

Podéis ver el resumen en esta tabla:

Hilos LAN-LAN1002505007501000
D-Link DBG-2000 a 1Gbps113MB/s113MB/s112MB/s113MB/s113MB/s

El rendimiento LAN-LAN de este router ha sido excelente de forma global, no vas a tener problemas en exprimir los puertos Gigabit Ethernet, algo completamente normal ya que estamos hablando de un router profesional gestionado desde la nube.

Pruebas LAN-WAN

En estas pruebas comprobaremos cómo se comportará el router cuando tengamos un alto tráfico de Internet, es decir, haremos las pruebas generando tráfico desde la LAN hasta la WAN de Internet. Cuántas más conexiones concurrentes tengamos en la red, menos rendimiento deberíamos obtener porque la tabla NAT se nos llenará. Un detalle muy importante es que este router tiene un IDS/IPS que permite inspeccionar el tráfico de LAN a WAN, lo que hará que las múltiples conexiones que vamos a realizar se ralentice radicalmente. Si tenemos el IDS/IPS activado de LAN a WAN, el rendimiento que conseguimos es el siguiente:

Como podéis ver, un rendimiento de 11,5MB/s es claramente insuficiente para una red empresarial, pero es algo que debemos tener muy en cuenta si queremos también monitorizar las conexiones salientes. En el caso de desactivar esta función del IDS/IPS del equipo obtendremos valores más «normales» para exprimir al máximo las conexiones Gigabit.

Con la siguiente configuración aplicada:

Hemos conseguido la siguiente velocidad en las diferentes pruebas de rendimiento:

Podéis ver el resumen en esta tabla:

Hilos LAN-WAN1002505007501000
D-Link DBG-2000112MB/s112MB/s112MB/s91,3MB/s76,8MB/s

En este caso la velocidad también es perfecta, consiguiendo la máxima velocidad de la interfaz Gigabit Ethernet de los puertos WAN y LAN, por lo tanto, este router se ha comportado de manera excelente en estas pruebas, aunque siempre que desactivemos el IPS de LAN a WAN.

Pruebas OpenVPN

Este equipo incorpora diferentes protocolos de VPN para poder establecer conexiones Site-to-Site entre diferentes sedes, y también conexiones remotas para que se conecten decenas de clientes simultáneamente a la red empresarial. En RedesZone hemos configurado el servidor OpenVPN con la máxima seguridad que soporta el router, usando AES-256-CBC como algoritmo de cifrado simétrico para el canal de datos.

Para evitar problemas de peering/transit de Internet, lo que hemos hecho es simular la conexión desde la red local, por lo que tendremos una conexión real de 1Gbps, todo lo que sea inferior a esta velocidad es debido al cifrado/descifrado de los datos.

Hemos usado nuestro PC principal para conectarnos al servidor VPN, el tráfico generado desde el cliente VPN hasta el cliente de la LAN ha sido el siguiente. Hemos llegado hasta los 120Mbps reales de velocidad.

Ahora hemos utilizado una conexión reversa (-R en iPerf3) para comprobar la velocidad, en este caso hemos obtenido los siguientes valores:

Tal y como habéis visto, hemos conseguido una velocidad notable llegando a los 100Mbps e incluso superando este valor en ciertos casos, lejos de los 200Mbps que promete D-Link en las VPN SSL, pero es posible que ellos hayan utilizado AES-128 para las pruebas, e incluso otros algoritmos más rápidos (pero menos seguros) como 3DES.

Opciones de Nuclias Cloud

Este D-Link DBG-2000 se gestionable exclusivamente desde Nuclias Cloud, no obstante, tenemos la posibilidad de entrar en el firmware vía web del dispositivo con el fin de realizar tareas de administración previas a conectarlo a Nuclias Cloud, como, por ejemplo, configurar adecuadamente la conexión a Internet porque por defecto está la WAN configurada en modo DHCP sin ningún tipo de VLAN.

Para acceder a este equipo, debemos conectarnos en el puerto LAN 4, y esperar a que nuestro ordenador obtenga dirección IP dentro del rango 192.168.10.0/24. Una vez que hayamos obtenido dirección IP, hacemos lo siguiente:

  • Accedemos a https://192.168.10.1, aceptamos el certificado autofirmado.
  • El usuario es «admin»
  • La contraseña es «admin$123»

Estos datos de usuario y contraseña son los predeterminados siempre y cuando no lo hayamos conectado a Nuclias Cloud por primera vez, en caso de haberlo conectado, tendremos que utilizar el usuario/contraseña que hayamos especificado en Nuclias Cloud (por defecto es admin/admin, pero estas credenciales por seguridad no las acepta, debes cambiar las credenciales por defecto de Nuclias para luego aplicar los cambios en el dispositivo y poder entrar).

Una vez que hayamos configurado el equipo para la primera conexión a Internet y hayamos añadido el UID del dispositivo a Nuclias Cloud, empezará la sincronización del dispositivo y aplicará todas las configuraciones. Un aspecto muy importante es que el DBG-2000 comenzará a actualizarse, por lo que es posible que no esté disponible durante los 10 primeros minutos porque se estará actualizando y reiniciando automáticamente sin que tengamos que intervenir en absoluto.

En el menú principal de Nuclias Cloud podremos ver que el DBG-2000 está online en el «Site» donde lo hayamos configurado.

Si tenemos puntos de acceso WiFi profesionales o switches profesionales en Nuclias Cloud, lógicamente también nos aparecerán aquí. Un detalle muy importante es que podemos usar el DBG-2000 aunque no tengamos switches y APs de la plataforma, no hay ningún problema.

Monitor

En el menú de «Monitor» si pinchamos en «Gateway / Devices» es donde podremos ver todos los dispositivos de tipo Gateway que tenemos configurados, en nuestro caso tenemos solamente un DBG-2000 pero podríamos tener varios en diferentes «Sites». En este menú podremos ver el nombre del dispositivo, la dirección MAC, la dirección IP pública, la dirección IP local, la conectividad, el estado de sincronización, el perfil aplicado, así como el «Site», el «Site Tag» si es que lo hemos configurado, el número de serie, versión de firmware, estado de la conexión de cuándo fue visto por última vez, el UID del dispositivo y otra información importante.

Si pinchamos en el DBG-2000 podremos acceder a todas las opciones de configuración del dispositivo. Todas las configuraciones forman parte de la configuración específica del dispositivo pero no del perfil que está utilizando y que pueden utilizar otros. En la sección de «Configure» es donde podemos configurar el perfil para aplicarlo a diferentes equipos DBG-2000 que hayamos dado de alta.

Basic

En el menú de «Basic» es donde podemos ver el estado general del dispositivo, aquí tendremos acceso directo al nombre del dispositivo y modelo, también al UID del dispositivo así como el número de serie, los credenciales locales de acceso, la dirección MAC y cuánto tiempo lleva encendido el dispositivo. En este menú también podremos ver la interfaz de la WAN de Internet, así como la localización, y qué sitio y perfil se está aplicando en el dispositivo.

Tal y como podéis ver, tenemos una visión global con mucha información importante. A partir de ahora, vamos a ver todas las opciones de configuración que tenemos disponibles.

Summary

En este menú principal de «Status» es donde podemos ver el estado de todos los puertos Gigabit Ethernet, ya sean de la WAN o LAN. Podemos ver la velocidad de sincronización, el estado del puerto, la dirección MAC, dirección IP, máscara de subred, así como gateway, modo del servidor DHCP, bytes enviados y recibidos, así como el total de bytes. En la parte inferior podemos ver el tráfico en tiempo real de Internet y también el uso en términos de consumo de ancho de banda.

En la pestaña de «Statistics» podremos ver el número de clientes conectados, también podemos ver el uso de la WAN de Internet y los servicios VPN que puede ejecutar este dispositivo.

En la pestaña de «DHCP» es donde podemos ver todas las concesiones DHCP que se han realizado al router, y los equipos que están conectados ya sea vía cable o vía WiFi. Aquí podremos ver el nombre del host (hostname), la dirección IP privada asociada, la dirección MAC así como la interfaz física donde se ha conectado dicho dispositivo. También nos informará de cuándo expira.

En la pestaña de «VPN Status» es donde podemos ver el estado de todos los clientes VPN, tanto de los protocolos PPTP/L2TP como también de las conexiones OpenVPN y los túneles GRE que vamos a poder configurar en el equipo.

Tal y como podéis ver, todo lo relacionado con el estado del router, de los túneles VPN y de los clientes los podemos ver en esta sección de «Summary».

Network

En el menú de «Network» es donde podemos configurar todo lo relacionado con el puerto WAN de Internet, también podemos definir un puerto LAN2 o LAN3 como puerto WAN2 o WAN3 respectivamente. Por supuesto, en este menú podemos configurar la conexión a Internet con los datos necesarios de nuestro operador. También podemos ver el modo WAN configurado, cuál es el puerto WAN primario, configurar el DNS dinámico (solamente permite DynDNS, FreeDNS, No-IP así como 3322.org) así como el IP aliasing para poner IP fija a los diferentes clientes que se conecten a la red local profesional.

En la sección de «Addressing» es donde tenemos la posibilidad de dar de alta las diferentes VLANs, y también ver las que ya tengamos creadas. Debemos recordar que en este menú de «MONITOR» la configuración del dispositivo es la específica a él, y no forma parte de un perfil que se pueden aplicar a diferentes dispositivos. Si queremos configurar las VLANs deberíamos hacerlo en la sección de «Configure» en el perfil correspondiente.

En la sección de «Routing» podemos ver y configurar rutas estáticas, políticas de rutas, configuración RIP y también configuración de OSPFv2 del equipo. En «Services» podemos ver el estado de los Jumbo Frames, el IGMP Proxy, IGMP Snooping, UPnP y también de los diferentes protocolos ALG que tenemos disponibles.

En la sección de «Traffic Management» veremos la configuración del Traffic Shaping, el límite de las sesiones y también la página de aviso personalizada que podemos configurar en Nuclias Cloud. Finalmente, también tenemos la posibilidad de configurar desde cero un portal cautivo en el menú de «Captive Portal«.

El fabricante D-Link sigue añadiendo protocolos y mejoras a su plataforma de Nuclias Cloud, y buena muestra de ello es que justo dos días después de hacer todas las capturas, han añadido la posibilidad de configurar VRRP en el equipo. Gracias a este protocolo, vamos a poder añadir redundancia en routers para no quedarnos nunca sin conexión a la red local e Internet.

Como podéis ver, todas las opciones de configuración disponibles las podemos ver, y solamente podemos editarlas siempre que desactivemos el perfil de configuración en uso. Nuestra recomendación es realizar todas las configuraciones con el perfil, que para eso está.

Security

En el menú de «Security» es donde vamos a poder configurar las reglas del firewall, el port forwarding y port triggering de la NAT del router, asimismo también tenemos la posibilidad de configurar 1:1 NAT. Por supuesto, el IDS/IPS también vamos a poder activarlo y configurar las diferentes opciones disponibles, aunque esto sería mejor activarlo directamente en el perfil y no aquí en «Monitor» como os hemos explicado anteriormente.

Otras opciones importantes son las de filtrado de contenidos web así como el control de aplicaciones, dos características muy importantes que nos permitirán controlar en detalle todo el tráfico de red de los clientes cableados o WiFi.

VPN

Este equipo dispone de diferentes protocolos de VPN para conectar diferentes sedes, y también para conectar clientes VPN remotos para conectarse a la red empresarial. En concreto, este modelo soporta protocolos como PPTP/L2TP, IPsec IKEv2, OpenVPN y también soporta la creación de túneles GRE.

Un aspecto muy importante es que tenemos una opción llamada Quick VPN, si tenemos varios DBG-2000 repartidos por diferentes sedes, podríamos conectarlos entre ellos vía VPN para que todas las sedes estén interconectadas entre sí. Aquí podremos configurar tanto diferentes perfiles IKE con mayor o menor seguridad, así como opciones manuales de la VPN para conectar las sedes remotas con su correspondientes subredes.

En el caso de que quieras configurar el protocolo IPsec para conectar diferentes clientes VPN y que accedan a la red local profesional, vas a poder hacerlo sin problemas porque la interfaz gráfica de usuario nos proporcionará una gran cantidad de opciones de configuración avanzadas, ideal para ajustar todos los parámetros que nosotros queramos.

Si quieres configurar el servidor VPN PPTP o L2TP, también podrás hacerlo desde estos menús, de hecho, podemos activar L2TP sobre IPsec para añadir una capa de seguridad muy importante. De hecho, es la configuración que nosotros os recomendamos realizar, nunca deberías usar PPTP ni tampoco L2TP sin utilizar IPsec, porque los datos no estarán cifrados correctamente y podrías tener filtración de datos. El DBG-2000 permite configurar tanto servidor como clientes, con el objetivo de conectarnos a otros servidores VPN de este mismo protocolo.

En la pestaña de «OpenVPN» es donde tenemos la posibilidad de configurar el servidor para que los clientes se conecten directamente a ellos, y también podemos configurar el cliente OpenVPN para conectarse a servidores remotos. Las opciones de configuración que tenemos disponibles en este apartado son bastante avanzadas, por lo que tendremos casi la máxima seguridad, aunque es cierto que no soporta protocolos actuales de las últimas versiones de OpenVPN, por ejemplo, echamos de menos que no soporte TLS 1.3 ni ningún cifrado con AEAD como AES-256-GCM, además, tampoco soporta certificados digitales basados en ECC en lugar de RSA, los cuales harían que la conexión se realice de forma mucho más rápida.

En la sección de «GRE TUNNEL» es donde podemos crear túneles GRE para comunicar varias sedes con este protocolo.

Tal y como podéis ver, tenemos a nuestra disposición una gran cantidad de opciones de configuración relacionadas con las VPN, con el objetivo de poder actuar como servidor y también como cliente.

Tools

En la sección de «Tools» es donde podemos utilizar los típicos «ping», traceroute, también podemos encender los LEDs de estado del dispositivo así como reiniciar el DBG-2000. Finalmente, también podemos realizar un test de velocidad con el Speedtest integrado en Nuclias Cloud.

Gracias a este test, podremos saber en todo momento cuál es el ancho de banda disponible en la conexión WAN de Internet.

License

En el menú de «License» es donde tenemos el estado de la licencia de uso de Nuclias Cloud. Debemos tener en cuenta que al comprar el DBG-2000, tenemos una licencia de 1 año de duración, más allá de esto tendremos que pagar por utilizar Nuclias Cloud.

En la sección de «Monitor / Gateway / Clients» es donde podemos ver el nombre del equipo conectado, la dirección MAC, a qué dispositivo está conectado, la dirección IPv4 que tiene, así como la primera vez que fue visto y la última vez, además, también nos indicará el fabricante de la tarjeta cableada o WiFi y si tenemos configurado el portal cautivo o se ha autenticado con un usuario/contraseña en la red.

Ahora que ya hemos visto todos los menús de configuración de la sección «Monitor», os vamos a enseñar la sección de «Configure» que es donde podemos configurar a nivel de perfil de configuración todo lo relacionado con «Network» (excepto poner dos o tres WAN en el router) y también en la sección de «Security».

Configure

En este menú de configuración es donde debemos configurar la red y la seguridad a nivel de perfil. Cualquier DBG-2000 que añadamos a nuestro Site, tendrá exactamente la misma configuración, esto es perfecto para desplegar un perfil base y posteriormente ir editando las opciones de configuración que deseemos cambiar, con el fin de acelerar la configuración de la red.

Si pinchamos en el botón de «Dispositivo» podemos ver que solamente tenemos un DBG-2000 dado de alta, con su correspondientes datos de dirección IP pública, sitio, estado de la configuración y los detalles de si se han aplicado cambios o no.

Ahora que hemos visto el menú principal del perfil, vamos a ver todas las opciones disponibles en «Network» y «Security», pero os anticipamos que son exactamente las mismas que teníamos en el menú de «Monitor» que vimos anteriormente.

Networks

En la sección de «Networks» es donde podemos configurar los diferentes puertos LAN2, LAN3 y LAN4 con los datos del direccionamiento local privado, también podemos desactivar el puerto LAN2 y LAN3 sin ningún problema. Si pinchamos en editar los puertos, podemos ver el direccionamiento IP privado, máscara de subred, datos del servidor DHCP, los servidores DNS que hemos definido y también si queremos hacer ping desde la LAN o no. Estas mismas configuraciones las tenemos disponibles para los tres puertos físicos, aunque debemos recordar que los puertos LAN2 y LAN3 también se pueden configurar como DMZ y no como LAN.

En el menú de «Addressing» es donde podemos crear las diferentes VLANs y aplicarlas a los puertos LAN2, LAN3 y LAN4 como tagged, para hacer un trunk. No es posible crear una VLAN y configurarla como untagged, siempre van a estar como tagged por lo que necesitaremos usar obligatoriamente un switch gestionable para ello. Si intentamos crear una VLAN podemos ponerle un nombre, un VLAN ID, la interfaz física, así como si queremos que haya comunicación inter VLAN o no, además, también podremos poner la correspondiente dirección IP de la LAN así como la máscara de subred.

Finalmente, tenemos el servidor DHCP con las típicas opciones de configuración y también la posibilidad de añadir direcciones IP fijas al static DHCP.

En el menú de «Routing» podemos crear diferentes rutas estáticas para llegar a otras redes, también podemos configurar políticas de rutas, configuración del protocolo de enrutamiento dinámico de pasarela interior RIP, así como la configuración del protocolo OSPFv2. En estos menús es donde podemos configurar todo lo relacionado con el routing del equipo.

En la sección de «Services» es donde configuraremos los diferentes servicios como los Jumbo Frames, el IGMP proxy, el IGMP Snooping, UPnP y los diferentes servicios ALG típicos que tenemos en todos los routers.

En cuanto a la gestión del tráfico de red, tenemos el Traffic Shaping donde podremos añadir diferentes reglas para limitar el ancho de banda por puerto o por dispositivo, así como también organizar por prioridad los diferentes equipos. Podemos filtrar por dirección IP e incluso por tipo de servicio, todo ello de manera bastante avanzada ya que estamos hablando de un equipo profesional.

Otras opciones de configuración son las de agregar reglas para limitar el número de sesiones por dirección IP, además, también podemos configurar una página de avisos personalizada.

En cuanto al portal cautivo, tenemos las mismas opciones de configuración que cuando usamos Nuclias Cloud y los puntos de acceso WiFi profesionales. En este caso, tenemos la posibilidad de crear un portal cautivo con diferentes tipos de autenticación, podemos configurar redirección de URL, asignar a una VLAN en concreto y muchas más opciones como personalizar en detalle la web de autenticación.

Como habéis visto, tenemos las mismas opciones que en «Monito» pero aquí está todo a nivel de perfil, por lo que todos los DBG-2000 que nosotros vayamos a agregar podrán importar esta misma configuración sin problemas.

Security

En el menú de «Security» es donde vamos a poder crear las diferentes reglas IPv4 para el firewall SPI que incorpora este router, también podremos configurar todo lo relacionado con la NAT de la WAN como el Port Forwarding, el Port Triggering así como el 1:1 NAT que podemos configurar.

Las opciones de configuración de todos estos menús son las habituales en equipos profesionales, en el firewall podemos poner direcciones IP de origen y destino, también tenemos la posibilidad de añadir varias direcciones IP para la misma regla e incluso un rango de direcciones IP. También podemos filtrar a nivel L4, es decir, puertos TCP y UDP de origen y destino.

En cuanto al Port Forwarding y Port Triggering, tendremos todas las opciones de gestión de los puertos, tanto de los puertos públicos de cara a la WAN como los privados, así como también cuál es la dirección IP local a la que «abrir» estos puertos.

En la pestaña de «IPS» solamente podremos activar las diferentes opciones disponibles, en ningún momento tenemos acceso a las firmas del IDS/IPS para editarlas, añadir nuevas o quitar algunas de ellas. Todas estas reglas se descargan automáticamente de Internet desde Nuclias Cloud, y se aplican de forma instantánea sin que tengamos que realizar ninguna configuración avanzada, es un proceso totalmente automático.

Lo que sí está en nuestra mano es si queremos habilitar el IDS/IPS entre la LAN y WAN, así como entre la DMZ y WAN para tener el control total de toda la red. También podemos configurar la posibilidad de permitir el ping en la WAN, y habilitar modos de seguridad adicionales para incrementar la seguridad de la red.

En la sección de «Web content filter» podemos ver todas las opciones relacionadas con el filtrado de contenidos web. Podremos agregar reglas avanzadas para permitir o denegar el acceso a diferentes webs, de hecho, podríamos crear un listado personalizado de webs permitidas o denegadas, e incluso configurar una página de aviso personalizada. Gracias a esta opción tan interesante, podremos permitir todas las webs de Internet excepto las que nosotros definamos específicamente junto con unas categorías de contenido que ya están preconfiguradas por parte de D-Link.

En este menú de «Application Control» podemos configurar que se actualice automáticamente el listado de aplicaciones. Si pinchamos en «Add» podemos agregar una regla para el control de las aplicaciones, con la política de permitir o denegar, así como qué tipo de aplicación y el grupo predeterminado.

Hasta aquí hemos llegado con nuestro análisis de Nuclias Cloud con este D-Link DBG-2000, su primer gateway SD-WAN VPN para pequeñas y medianas empresas. Tal y como habéis visto, tenemos una gran cantidad de opciones de configuración avanzadas, ideal para satisfacer las necesidades de las PyMES. Ahora vamos a ver las conclusiones finales, los puntos fuertes y también los puntos débiles de esta solución del fabricante D-Link.

Conclusiones finales

Este firewall VPN que también funciona como router SD-WAN es una muy buena opción para gestionar la red de pequeñas y medianas empresas, siempre y cuando sepas los pros y contras de que su gestión sea a través de Nuclias Cloud desde la nube del fabricante. Este equipo dispone de un hardware de gama alta, tanto para proporcionar el mejor rendimiento cableado como también una gran velocidad cuando estemos usando redes privadas virtuales para conectar diferentes sedes e incluso para conectar clientes remotos.

Este equipo de forma predeterminada tiene una WAN y un total de 3 puertos para la LAN con subredes diferentes, no obstante, podríamos tener hasta 3 WAN para realizar balanceo de carga o failover de la conexión de Internet. Otro aspecto muy importante es que podemos configurar VLANs para ponerlas en modo tagged en los puertos LAN, y así utilizar un switch gestionable para proporcionar conexión a las diferentes VLANs creadas.

El rendimiento LAN-LAN ha sido excelente en todas las pruebas de rendimiento, hemos conseguido en todo momento el máximo de la interfaz Gigabit Ethernet consiguiendo más de 110MB/s de velocidad en todas las mediciones. Estas pruebas, como os hemos explicado antes, son LAN-LAN pero no dentro de la misma subred sino en subredes diferentes porque el router no permite poner la misma subred a dos interfaces físicas, es posible que en un futuro sí incorporen en Nuclias Cloud esta posibilidad, pero de momento no es así. En cuanto al rendimiento LAN-WAN también ha sido excelente en todas las pruebas, consiguiendo una muy buena velocidad en todas ellas, sin embargo, algo que debes tener muy en cuenta es que si habilitas el IDS/IPS de LAN a WAN el rendimiento que obtendrás será de unos 100Mbps reales aproximadamente, pero depende del uso que le des y la comprobación de las diferentes reglas configuradas. Por último, en nuestras pruebas con el protocolo OpenVPN hemos conseguido una velocidad de unos 110Mbps reales, cuatro veces más rápido que el popular D-Link DSR-1000AC que probamos anteriormente, por lo que es una gran noticia porque este equipo es claramente más potente.

Uno de las características estrella de este equipo es la gestión de Nuclias Cloud, y es que todo lo vamos a gestionar obligatoriamente desde la nube, porque si accedemos al firmware solamente tendremos acceso a funciones muy básicas de configuración de WAN para tener Internet y posteriormente comunicarse con la nube. Al ser un equipo gestionado desde la nube, tenemos tanto pros como contras, por lo que debes valorar si realmente necesitas una gestión centralizada en la nube y pagar por ello, ya que tendremos que pagar una licencia para poder usarlo. Si tienes otros switches y APs con la gestión de Nuclias Cloud pues será una buena opción incorporar este gateway para tenerlo todo centralizado, sobre todo si gestionas varias empresas o sedes diferentes de la misma empresa, porque te facilitará muchísimo la vida a la hora de desplegar configuraciones nuevas.

La posibilidad de configurar fácilmente el IDS/IPS con tan solo activarlo es un punto a favor, ya que añadiremos una capa de seguridad muy importante. Lamentablemente, D-Link no nos permite ver, editar ni añadir reglas por nosotros mismos, son las reglas que ellos han decidido incorporar y ya está, no tenemos la posibilidad de quitar o poner reglas como ocurre con cualquier solución similar que use Snort o Suricata. Lo que sí nos ha encantado son las opciones para limitar el acceso a las webs, ya sean a través de URL o en base a un listado de categorías ya configuradas por el fabricante, y lo mismo ocurre de cara al listado de control de aplicaciones.

En cuanto a los aspectos negativos de este equipo, echamos de menos que los servidores VPN (tanto IPsec como OpenVPN) no tengan opciones de configuración más avanzadas respecto a la seguridad, hoy en día es muy habitual usar certificados EC en lugar de basados en RSA, ya que son claramente más eficientes y rápidos. Además, la velocidad que hemos conseguido de tan solo 110Mbps hoy en día se hace algo baja, deberíamos tener unos 300-400Mbps de velocidad sin muchos problemas, debemos tener en cuenta que es un equipo profesional. También echamos de menos que no permite poner VLANs como untagged en los puertos LAN físicos, siempre deben estar configurados como tagged y luego conectar un switch gestionable.

En definitiva, la gestión con Nuclias Cloud es muy buena y muy sencilla, podemos desplegar configuraciones bastante avanzadas de manera fácil y rápida, sin necesidad de leer tutoriales ni tampoco foros, además, siempre tenemos el soporte técnico de D-Link a nuestra disposición. No obstante, es posible que haya personal de IT que directamente instale un pfSense o OPNsense porque hoy en día tenemos appliances que valen lo mismo que este DBG-2000 y son claramente más potentes.

Puntos fuertes

  • Características hardware con 4 puertos Gigabit Ethernet y un potente procesador para gestionar todos los procesos.
  • Dispone de SD-WAN, podemos configurar hasta 3 WAN para balanceo de carga o failover de la conexión.
  • Los puertos LAN2 y LAN3 se pueden configurar para WAN/LAN/DMZ, permitiendo una gran versatilidad.
  • Gestión centralizada en la nube de Nuclias Cloud, con opciones de configuración muy avanzadas.
    • Configuración avanzada de los puertos físicos de WAN/LAN y DMZ.
    • Configuración de subredes segmentadas en VLANs y posibilidad de intercomunicarlas o no.
    • Permite configurar un firewall avanzado de forma muy detallada, basado en reglas.
    • Incorpora un IDS/IPS para la WAN, y también permite configurarlo para el tráfico desde LAN a WAN, y desde DMZ a WAN de Internet.
    • Protocolos VPN como PPTP, L2TP, L2TP sobre IPsec, IPsec IKEv1/v2, OpenVPN y túneles GRE.
    • Permite filtrar página web de manera muy avanzada y con un funcionamiento perfecto.
    • Permite crear una lista de control de aplicaciones a utilizar en la red.
    • Podemos crear perfiles para desplegar la misma configuración a varios DBG-2000 simultáneamente.
  • Rendimiento LAN-LAN excelente (desde una LAN a otra LAN diferente, en subredes diferentes).
  • Rendimiento LAN-WAN excelente siempre que el IDS/IPS esté desactivado de LAN a WAN.
  • Rendimiento VPN con OpenVPN consigue unos 110Mbps, una velocidad notable pero debería ser superior.
  • Diseño metálico, enrackable y orientado a pequeñas y medianas empresas con características técnicas avanzadas.

Puntos débiles

  • La gestión es Cloud, tanto para lo bueno como también para lo malo.
  • Echamos de menos opciones de configuración avanzadas en la parte de VPN relacionado con la seguridad y certificados digitales.
  • Precio: el precio PVP es de 850€, a esto hay que añadir una licencia anual para la gestión en la nube. Creemos que está por encima de otras soluciones para pequeñas y medianas empresas.

Nuestra valoración de este router VPN y firewall con IDS/IPS D-Link DBG-2000 después de probar su rendimiento a fondo, comprobar todas las opciones de la plataforma Cloud de Nuclias Cloud, incluyendo las funciones que están orientadas al firewall IDS/IPS y firewall, y el precio de 850 euros, es de 8,5/10.

 

Esperamos que os haya gustado el análisis, si tenéis alguna duda podéis ponernos un comentario y os responderemos encantados.

D-Link DBG-2000
Puertos Ethernet 1 puerto Gigabit WAN, 1 puerto Gigabit LAN, 2 puertos Gigabit LAN/WAN/DMZ
Puertos USB 3.0 Sí, un puerto.
Puertos USB 2.0 Sí, un puerto

Lo mejor

  • Características hardware del router, con puertos Gigabit Ethernet y SD-WAN.
  • Puertos LAN2 y LAN3 se pueden configurar como LAN/WAN/DMZ
  • Gestión centralizada en la nube de Nuclias Cloud con decenas de opciones de configuración.
  • Rendimiento LAN-LAN y LAN-WAN excelente, consiguiendo 1Gbps real.
  • Rendimiento del servidor OpenVPN notable.
  • Diseño metálico, enrackable orientado a empresas.

Lo peor

  • La gestión es Cloud, tanto para lo bueno como para lo malo.
  • Pocas opciones avanzadas de seguridad en las VPN
  • Precio: 850€ más pagar por la licencia anual de Nuclias Cloud.
Rendimiento cableado
9
Opciones de configuracion
9
Facilidad de uso
10
Precio
6

Puntuación global

8.5
¡DEJA TU VALORACIÓN!
PUNTUACIÓN DE LOS LECTORES:
0
¡Sé el primero en comentar!