Análisis del EnGenius ESG510 con gestión en la nube, perfecto para empresas

Análisis del EnGenius ESG510 con gestión en la nube, perfecto para empresas

8.5
Sergio De Luz

Os presentamos un completo análisis del EnGenius ESG510, un gateway de seguridad profesional con gestión desde la nube gracias a EnGenius Cloud. Este equipo funcionará como router principal en una red profesional, además, también incorpora un potente firewall SPI para permitir o bloquear el tráfico de red, con el objetivo de proporcionar la mejor seguridad posible a los usuarios. Por supuesto, EnGenius ha incorporado la funciones de VPN con IPsec a este equipo, para comunicar varias sedes de la misma empresa de manera fácil y rápida. ¿Quieres saber todos los detalles de este equipo profesional con gestión en la nube? A continuación, tenéis todos los detalles.

Principales características

Este nuevo gateway de seguridad EnGenius ESG510 es el primero de varios modelos que el fabricante pretende lanzar próximamente, orientados a diferentes usos y también presupuesto de las empresas. En concreto, este modelo se engloba en la gama media de los que están previstos lanzar próximamente, por lo que si obtenemos un buen rendimiento con este modelo, os podéis imaginar la velocidad y las prestaciones que conseguiremos en los modelos superiores.

Características hardware

Este ESG510 incorpora un potente procesador Quad-Core a 1.6GHz de velocidad junto a los 4GB de memoria RAM, además, tiene un total de 8GB de memoria interna. Gracias a este procesador tan potente, podremos transferir datos a gran velocidad en la red local y también en Internet, además, recuerda que este modelo permite configurar varios túneles VPN con el protocolo IPsec, por lo tanto, es muy importante que tengamos un procesador potente para conseguir buena velocidad en descarga y subida. Finalmente, dependiendo del número de reglas que tengamos en el firewall, el rendimiento será mayor o menor ya que todos los paquetes deben pasar por estas reglas.

A nivel de puertos Ethernet que tenemos disponibles, este modelo cuenta con un total de cuatro puertos 2.5G Multigigabit de alto rendimiento, ideal para proporcionar la mejor velocidad tanto en la red local como en Internet. Además, están preconfigurados para un uso concreto, aunque hay un puerto que permite configurarlo tanto para la WAN como LAN. A continuación, podéis ver el uso de cada uno de los puertos.

  • WAN1: es el puerto principal de la WAN de Internet, no se puede configurar como LAN.
  • WAN2/P3: este puerto puede funcionar tanto como WAN de Internet como también para la LAN. En EnGenius Cloud podremos configurar el comportamiento de este puerto dependiendo de nuestras necesidades.
  • P2: este puerto está configurado específicamente para la LAN.
  • P1: este puerto también está configurado para la LAN, pero tiene la particularidad de que es un puerto PoE+, por lo que podremos alimentar un punto de acceso Wi-Fi profesional sin necesidad de comprar un inyector PoE+ o un switch PoE+. Esto es perfecto para pequeñas oficinas donde solamente necesitan un AP para conectar clientes WiFi.

Además de los puertos Multigigabit Ethernet, también contamos con un puerto RJ-45 para consola. Dentro de la caja tenemos el típico cable RS232 a RJ-45, pero necesitaremos un adaptador RS-232 a USB para usarlo con los ordenadores actuales. Otra característica importante es que tenemos un puerto USB 3.0 que nos permitirá conectar un módem 4G/5G y tener una tercera WAN de Internet. Gracias a este puerto USB marcado como WWAN, vamos a poder estar siempre conectados a Internet, para que nuestra empresa no tenga ninguna desconexión.

En las características técnicas podemos encontrarnos que el rendimiento VPN llega hasta los 970Mbps de velocidad, permite establecer un máximo de hasta 200 conexiones VPN concurrentes configuradas. Por supuesto, al ser un equipo de gama alta, tenemos la posibilidad de tener hasta un millón de sesiones TCP. Si quieres segmentar la red cableada e inalámbrica, vamos a poder configurar un máximo de 96 VLAN para ello. Finalmente, tenemos un potente firewall SPI que nos permitirá controlar cualquier acceso entrante y saliente en el router.

Este equipo tiene un tamaño bastante reducido, ideal para colocarlo encima de una mesa o en una bandeja del rack. Un detalle muy importante es que este modelo no es enrackable, no tenemos los soportes necesarios para ocupar 1U, lo tenemos que poner en una bandeja obligatoriamente. Al ser un equipo de gama profesional o business, está terminado en una carcasa metálica para disipar el calor perfectamente, en este caso contamos con unos pequeños agujeros en el lateral derecho e izquierdo para que no se acumule el calor dentro, no tiene ventilación activa con un ventilador, por lo que es totalmente silencioso. Finalmente, este modelo incorpora una fuente de alimentación externa, es decir, lo alimentamos con un transformador de corriente de 65W de potencia.

Características software

Este gateway de seguridad se gestiona íntegramente desde la nube gracias a la plataforma de EnGenius Cloud, una plataforma que nos permite unificar tanto los gateways, los switches gestionables como también los puntos de acceso WiFi profesionales del fabricante. Gracias a esta solución en la nube, podremos monitorizar y administrar desde el router/firewall hasta los APs WiFi de la organización, y todo ello centralizado en una misma plataforma con acceso vía web y con la app móvil gratuita.

Un aspecto muy importante, es que esta plataforma en la nube es muy completa, y tenemos una versión completamente gratuita como también una versión «PRO» que es bajo suscripción, y que añade características avanzadas, ideal para adaptarse a las necesidad de los clientes. Por supuesto, si ahora mismo no está disponible una determinada opción, cuando el fabricante la desarrolle la incorporará a la nube y todos los equipos serán compatibles. Por ejemplo, se espera que en el primer trimestre del 2023 esté disponible el servicio de OpenVPN para las redes privadas virtuales, además, también tienen previsto incorporar WireGuard VPN que es el protocolo VPN más rápido, y uno de los más seguros.

Firewall y VPN

Este EnGenius ESG510 dispone de un potente firewall o cortafuegos de tipo SPI (Stateful Packet Inspection), podemos añadir diferentes reglas para filtrar el tráfico que nosotros queramos, además, podemos hacerlo tanto a nivel de dirección IP como también de puerto TCP/UDP. Por supuesto, al ser un equipo profesional contamos con opciones avanzadas. Además, como tenemos NAT en la WAN de Internet, podremos abrir puertos con el Port Forwarding y también tenemos la posibilidad de definir reglas 1:1 NAT y permitir o denegar servicios como ICMP o acceso a la web local del equipo.

Respecto a las redes privadas virtuales (VPN), tenemos la posibilidad de configurar una red Mesh VPN, donde todos los EnGenius ESG se conecten entre sí para comunicar diferentes sedes de la misma empresa. Además, también podemos configurar un equipo central en arquitectura Hub-and-Spoke. Actualmente EnGenius Cloud solamente soporta el protocolo IPsec IKEv1/v2, tanto en el modo Site-to-Site como también en en modo acceso remoto (cliente VPN). Un aspecto positivo es que podemos configurar una seguridad bastante buena, tenemos AES de 256 bits y también podemos usar SHA256 como hash. Próximamente tendremos el protocolo OpenVPN (Q1 de 2023) y también WireGuard aunque no disponemos de información de cuándo estará realmente.

El software de EnGenius nos permite configurar conexiones VPN con otros equipos ESG, o con cualquiera que soporte IPsec que es el protocolo por excelencia a nivel empresarial. Por supuesto, podemos configurar políticas de VPN sin problemas para segmentar el tráfico de red como nosotros queramos.

Opciones WAN y LAN

Este equipo permite configurar hasta 3 WAN de Internet (los 2 puertos 2.5G Multigigabit más la WWAN con un módem 4G/5G), gracias a su software podremos hacer un balanceo de carga de las conexiones fijas, y un failover de la conexión de la WWAN. Un aspecto importante es que podemos configurar un VLAN ID en concreto para conectarnos sin problemas a los operadores de FTTH en España. Otro aspecto destacable es que podemos configurar muchos servicios de DNS dinámicos para tener siempre un dominio y acceder a los servicios de la red local, además, tenemos dos modos WAN diferentes: router o Passthrough. Dependiendo de si ya tenemos un router o no, tenemos que configurar un modo u otro.

Respecto a la red LAN, podemos configurar diferentes subredes asociadas a un VLAN ID en concreto que podemos crear, con su correspondiente servidor DHCP configurable con Static DHCP y más. Al crear una VLAN, esta información se despliega tanto en los routers ESG, en los switches gestionables como también en los APs profesionales, con el objetivo de facilitar enormemente la configuración. Un aspecto importante es que todos los puertos LAN están configurados en la VLAN ID 1 de la LAN, y podemos conectar varios equipos, posteriormente cuando creamos una VLAN ID nueva, se configurará en el puerto como tagged.

En RedesZone hemos grabado un completo vídeo donde hacemos el unboxing y primeras impresiones de este equipo, podéis verlo a continuación:

Ahora que ya conocéis todas las características técnicas de este EnGenius ESG510 y también las principales opciones del software, vamos a ver el análisis externo donde os mostramos todos los detalles de este equipo.

Análisis externo

Este nuevo equipo profesional de EnGenius viene en la típica caja de color marrón con el logo del fabricante en la parte central. Este equipo se gestiona directamente desde EnGenius Cloud, por este motivo, tenemos en la caja una referencia a ello con «Cloud enabled». En esta zona no encontramos ninguna referencia más, ni sus características técnicas ni ninguna fotografía, algo completamente normal al ser un equipo «Business» tal y como tenemos a la derecha del logo.

En la parte lateral trasera podemos ver dos pegatinas, la pegatina de la izquierda nos explicará las principales características técnicas de este gateway de seguridad, como que incorpora 4 puertos 2.5G Multigigabit para WAN y LAN, que es compatible con EnGenius Cloud, podemos crear reglas en el firewall, así como que soporta varias VPN para realizar accesos remotos y site-to-site para comunicar diferentes sedes de la misma empresa. Además, algo que nos gustaría destacar es que tenemos un PoE+ en el puerto LAN1, ideal para alimentar un AP profesional, algo diferencial respecto a otros fabricantes. En la pegatina de la derecha podemos ver el número de serie del equipo, lo más importante porque nos permitirá darlo de alta directamente en la nube del fabricante.

En el interior de la caja podemos ver el propio EnGenius ESG510 perfectamente protegido, también tenemos una caja con todos los accesorios incorporados, así como una pequeña guía de instalación rápida del equipo.

La guía de instalación rápida incorporada en este equipo nos permitirá conocer el contenido de la caja, cómo instalar el gateway encima de una superficie plana y cómo poner los tacos de goma. También podemos ver cómo conectar el gateway a un ordenador, gestionarlo localmente para realizar la primera configuración de la conexión a Internet, así como añadirlo a EnGenius Cloud a través del número de serie. En la parte trasera de la guía de instalación rápida podemos ver un código QR para descargar la app EnGenius Cloud To-Go que nos permitirá monitorizar, administrar y gestionar todo desde nuestro smartphone o tablet.

En el interior de la caja de accesorios podemos ver todo lo que incluye este gateway de seguridad profesional EnGenius ESG510, a continuación, podéis ver todo lo que incluye:

  • Cable de alimentación con conector schuko.
  • Fuente de alimentación de 54V y 1,2A, para proporcionar hasta 65W de potencia. Debemos recordar que tenemos un puerto PoE+.
  • Cable de consola RS232 a RJ-45, no viene un adaptador USB a RS232, tenemos que comprarlo por separado.
  • Tacos de goma para colocarlos en la parte inferior del gateway y poder ponerlo encima de una mesa.
  • Tacos y tornillos para instalar el dispositivo en la pared.

Como podéis ver, este EnGenius ESG510 no es un equipo enrackable, no vienen los tornillos necesarios ni tampoco los soportes para anclarlo en el rack de la empresa.

Este gateway de seguridad tiene un diseño con acabado metálico, en la parte frontal es donde tenemos todos los LEDs de estado y también los diferentes puertos Ethernet, USB y botón de RESET del dispositivo. Lo que más nos llama la atención son los cuatro puertos 2.5G Multigigabit ya que son multifunción, pueden funcionar como WAN, LAN, e incluso tenemos un puerto PoE+.

En la parte izquierda es donde nos encontramos con el logo del fabricante EnGenius, también podemos ver los LEDs de estado de encendido del equipo, estado del WWAN, un LED de test y también el estado del PoE+ que tenemos disponible en este gateway de seguridad. Por supuesto, en esta zona tenemos el botón de RESET del dispositivo para restaurar a valores de fábrica este dispositivo, también tenemos el puerto de consola RJ-45 para tareas de gestión local y el puerto WWAN para introducir un módem 4G/5G y tener una tercera WAN de Internet.

En la parte derecha es donde tenemos los cuatro puertos 2.5G Multigigabit Ethernet. El puerto WAN1 solamente funciona como WAN de Internet, el puerto WAN2/P3 funciona como WAN o LAN, el puerto P2 y P1 funcionan como LAN, aunque el puerto P1 también es PoE+ para alimentar un punto de acceso WiFi profesional de manera fácil y rápida.

En el lateral derecho e izquierdo encontramos una pequeña rejilla de ventilación para refrigerar adecuadamente los componentes internos del equipo, un aspecto muy importante es que no tenemos un ventilador, por lo que es totalmente silencioso. Esto es perfecto para oficinas o pequeñas empresas donde no tengamos una sala dedicada a todo el equipamiento de red, así no hará nada de ruido.

En la parte trasera es donde tenemos el conector de alimentación de 54V y 1,2A, para proporcionar una potencia de hasta 65W para alimentar correctamente tanto el propio dispositivo, como también el equipo que conectemos al puerto PoE+ que tenemos en el puerto LAN1.

En la parte inferior del EnGenius ESG510 es donde nos encontramos con las zonas donde poner los tacos de goma, perfecto para que no deslice sobre una superficie plana. También encontraremos los correspondientes agujeros para ponerlo en la pared, debemos recordar que este modelo no es enrackable, por lo tanto, no tenemos los soportes necesarios ni tampoco los tornillos para ello.

En la parte central es donde tenemos el logo de EnGenius, también vemos las principales características como que tenemos 4 puertos 2.5G con un puerto PoE+, que es un gateway de seguridad. También podemos ver el número de serie (fundamental para añadirlo a la gestión desde la nube con EnGenius Cloud), la dirección MAC general del equipo, así como el hardware y software que tenemos instalado de forma predeterminada.

Una vez que hemos visto cómo es este gateway de seguridad, vamos a irnos a nuestro laboratorio de pruebas para comprobar el rendimiento real de este equipo. Teniendo en cuenta que es un equipo profesional, esperamos un gran rendimiento cableado.

Laboratorio de pruebas

Ha llegado el momento de probar a fondo cómo se comporta este gateway de seguridad de alto rendimiento orientado a pequeñas y medianas empresas. En estas pruebas de rendimiento comprobaremos la velocidad LAN-LAN entre sus puertos LAN P1 y P2, ambos están en la misma subred. Este equipo permite poner hasta tres puertos como parte de la misma LAN, más luego crear las correspondientes VLANs con el puerto trunk y las VLAN tagged. También comprobaremos el rendimiento LAN-WAN que tenemos, así como la velocidad que conseguiremos con el servidor IPsec que incorpora.

Pruebas LAN-LAN

En estas pruebas de rendimiento usaremos el programa iperf3 para ver cómo se comporta con múltiples hilos en la red local profesional. Al tener puertos 2.5G Multigigabit, usamos este programa en lugar del típico Jperf porque se comporta mejor. Hemos conectado un PC al puerto P1 y otro PC al puerto P2, con el objetivo de poder hacer la prueba de velocidad.

En la primera prueba hemos desactivado los Jumbo Frames, en este caso hemos obtenido unos 2,3Gbps aproximadamente de velocidad, un rendimiento excelente en todas ellas. Hemos usado 20 hilos TCP, 50 hilos TCP y finalmente, 100 hilos TCP concurrentes para exprimir al máximo la interfaz.

En la segunda prueba hemos activado los Jumbo Frames, en este caso hemos obtenido unos 2,45Gbps aproximadamente de velocidad, la máxima velocidad de la interfaz 2.5G que tenemos disponible en este equipo. En este caso también hemos usado 20, 50 y 100 hilos TCP concurrentes para exprimir al máximo la interfaz.

El rendimiento LAN-LAN de este router ha sido excelente en todas las pruebas de velocidad, y es que vamos a poder exprimir al máximo los puertos 2.5G Multigigabit sin ningún tipo de problema. Es uno de los equipos más potentes que hemos probado hasta el momento.

Pruebas LAN-WAN

En estas pruebas comprobaremos cómo se comporta el gateway profesional cuando tenemos un alto tráfico de Internet. Haremos las pruebas generando tráfico desde la LAN hasta la WAN de Internet, cuantas más conexiones concurrentes mayor nivel de tráfico tendremos en la red, por lo que si el firmware no está bien optimizado o el equipo no es demasiado potente, tendremos una velocidad más baja de lo normal.

En esta prueba hemos utilizado el programa iperf3 para comprobar la velocidad real, debemos tener en cuenta que siempre usamos este programa en cuanto podemos superar la velocidad real de 1Gbps, ya que es más fiel a la realidad que el popular Jperf. En este caso, hemos usado 20 hilos TCP, 50 hilos TCP y 100 hilos TCP concurrentes, los Jumbo Frames en este caso están desactivados, porque el MTU en la WAN de Internet está configurado en 1500 bytes, como suele ser habitual.

En este caso la velocidad también es excelente, aunque no hemos llegado a obtener una velocidad de 2,45Gbps reales como en el caso de la LAN. El motivo de obtener unos 1,8Gbps es porque tenemos un firewall que se encarga de filtrar todas las conexiones, y es completamente normal que no tengamos el máximo de la interfaz 2.5G Multigigabit. No obstante, este equipo es realmente potente, ya que la diferencia de pasar de una velocidad de unos 900Mbps (para una interfaz Gigabit Ethernet) a una velocidad real de 1,8Gbps es del doble, por lo que estamos de enhorabuena.

Pruebas servidor VPN IPsec

Actualmente este EnGenius ESG510 incorpora un único protocolo de VPN que es IPsec puro, tanto para las conexiones Site-to-Site como también para el modo de acceso remoto con este protocolo. En RedesZone hemos configurado el servidor IPsec activando el protocolo, lamentablemente EnGenius Cloud no nos permitirá elegir los tipos de cifrado simétricos que podemos usar, ni tampoco los algoritmos de hash ni siquiera si tenemos PFS. Es decir, solamente podemos activar el protocolo, definir una subred para colocar a los clientes VPN y dar de alta diferentes usuarios para su configuración.

Para evitar problemas con la conexión a Internet, lo que hemos hecho es simular la conexión desde la red local usando el puerto WAN para acceder al servidor IPsec, y realizando una prueba de rendimiento de cara a la LAN. Todo lo que sea inferior a 2.5Gbps es debido al cifrado/descifrado de los datos, ya que hemos usado la misma arquitectura de red que las pruebas LAN-WAN pero a la inversa y mediante un túnel VPN.

Hemos usado nuestro PC principal para conectarnos al servidor VPN, el tráfico generado desde el cliente VPN hasta el cliente de la LAN ha sido el siguiente. Hemos llegado hasta los 455Mbps reales de velocidad.

Ahora hemos utilizado una conexión reversa (-R en iPerf3) para comprobar la velocidad, en este caso hemos obtenido los siguientes valores. Hemos llegado hasta los 625Mbps reales de velocidad.

Tal y como habéis visto, hemos conseguido una velocidad excelente consiguiendo más de 450Mbps en sentido desde el cliente VPN a la LAN, y más de 600Mbps en sentido desde LAN hacia el cliente VPN. Este equipo es uno de los modelos más potentes que hemos probado en este escenario de pruebas con VPN, por lo que es una gran noticia.

Lamentablemente, ahora mismo EnGenius Cloud no soporta OpenVPN (estará disponible en Q1 de 2023) como sí tienen otros competidores. Lo que sí hemos podido saber es que tienen previsto desplegar WireGuard el próximo año, pero desconocemos cuándo exactamente.

Todas las opciones de EnGenius Cloud

EnGenius Cloud es una de las opciones de gestión en la nube de redes más completa que existen actualmente. Tenemos la posibilidad de monitorizar, administrar y gestionar de manera centralizada en la nube una gran cantidad de puntos de acceso WiFi, switches gestionables, y ahora también tenemos soporte para sus gateway de seguridad que se colocan directamente en la conexión a Internet. Por supuesto, desde esta plataforma podremos ver todos y cada uno de los clientes conectados, ya sean los clientes inalámbricos o cableados a través de los switches o del gateway.

En el menú principal de EnGenius Cloud tenemos la posibilidad de ver todos los gateway, switches y APs conectados, así como también los que tenemos dados de alta pero no están conectados a Internet. Además, también podemos ver el ancho de banda que proporcionan los diferentes clientes conectados.

Instalación y puesta en marcha

Para instalar el gateway de seguridad ESG510, es tan fácil como irnos al menú de «Inventory & license» y pinchar en «Register device» con el objetivo de ir añadiendo los diferentes números de serie. En nuestro caso, vamos a añadir un gateway ESG510, y también un switch gestionable y un AP WiFi 6 para que veáis todos los menús de configuración a través de la plataforma Cloud.

Una vez que hayamos añadido los diferentes dispositivos, tendremos que asignarlos a una red que hayamos creado previamente, en nuestro caso, la red es «RedesZone«, tal y como podéis ver:

Ahora que ya hemos añadido los dispositivos a la gestión Cloud, vamos a ver el menú principal y también los menús de configuración del propio gateway.

Menú principal

En el menú principal podemos ver todos los dispositivos que acabamos de dar de alta, además, también podemos ver el ancho de banda en tiempo real de los diferentes puntos de acceso WiFi con los clientes inalámbricos que haya conectados. Por supuesto, podemos ver qué puntos de acceso son los que más tráfico están generando, qué clientes WiFi son los que más ancho de banda demandan, e incluso cuál es el SSID que más se está utilizando.

Justo debajo podemos ver las aplicaciones más utilizadas por los clientes conectados, por ejemplo, podemos ver que el principal uso de la red es Google, y muchas conexiones TLS que se identifican de manera genérica. También podemos ver Twitter, Amazon, y servicios de Google entre otros. Gracias a este menú de aplicaciones más usadas, podremos tener una visión bastante detallada de para qué se está utilizando la red local profesional.

Gestión del Gateway

Si nos vamos a la sección de «Manage / Gateway» podemos ver un listado completo de todos los gateway que tengamos dados de alta en la misma red. En nuestro caso, tenemos un único dispositivo. Aquí podemos ver el nombre del equipo, número de serie, dirección MAC, modelo, la dirección pública de la WAN1, la dirección IP que ha obtenido a través de la WAN, así como los datos de la WAN2, los puertos activos en el dispositivo, la versión del firmware instalada actualmente, el uptime de la conexión y también la última actualización.

Si pinchamos en la sección de «Details» podemos ver más en detalle todas las opciones de este equipo. Por ejemplo, si nos metemos en este menú podemos ver la misma información que os hemos explicado antes, más el estado de la red WWAN (red móvil vía adaptador 4G/5G), también tenemos la posibilidad de ver la topología de red, la configuración Site-to-Site VPN, el estado del servidor VPN IPsec (Client VPN), la configuración del DNS dinámico (DDNS) así como si tenemos habilitados los LEDs de estado del equipo.

En la pestaña de la WAN podemos ver los puertos que se están utilizando actualmente, tenemos el puerto WAN1 y también el puerto P2 de la LAN. En este caso podemos ver la configuración de la WAN de Internet, que por defecto es DHCP, pero que podemos cambiar en cualquier momento. También podemos ver la latencia de la conexión de Internet, ideal para detectar posibles problemas

Justo debajo de la latencia podremos ver el tráfico en tiempo real de la conexión a Internet, para saber si estamos usando un gran ancho de banda de cara a Internet.

Si pinchamos en el menú de «topología«, podemos ver perfectamente cómo están realizadas las diferentes conexiones, tanto del gateway de seguridad ESG510 como también del switch gestionable y del AP profesional.

En la sección de «LAN» podemos ver el estado de la red local, aquí aparecerán tanto la red LAN predeterminada como también todas las VLAN que podemos configurar posteriormente en el menú de configuración. Aquí podemos ver simplemente el nombre de la interfaz física o virtual, la subred utilizada, las direcciones IP que están en uso y cuáles están disponibles.

En el menú de «DHCP Lease» podemos ver todos los dispositivos conectados, ya sea vía cable o vía WiFi a la red. En nuestro caso, tenemos dos dispositivos conectados actualmente que son el switch y el AP profesional. Si tuviéramos más equipos conectados, todos nos aparecerían directamente en este menú de configuración.

Una vez que hemos visto todo lo relacionado con el gateway de seguridad en el menú de «Manage», os vamos a enseñar brevemente los menús del switch y también del AP, porque esto ya lo hemos tratado en otros análisis de RedesZone donde os explicamos en detalle todas las opciones de configuración.

Gestión de los switches y AP

En la sección de «Manage / Switches» podemos ver el listado completo de switches que están dados de alta en la red profesional, encontraremos la misma información que el gateway, si nos metemos en «Details» es donde podemos configurar de manera avanzada el equipo, y configurar las VLANs, RSTP, Link Aggregation y muchas más opciones de configuración típicas de los switches L2+ que ya hemos visto en otras ocasiones.

En el menú de «Manage / Access Points» podemos ver también el estado de los diferentes puntos de acceso WiFi y en qué bandas de frecuencias funcionan, si pinchamos en la sección de «Details» nos llevará al menú específico de los AP para su gestión. Si pinchamos en «Clientes» podemos acceder directamente a los clientes WiFi que están conectados, en este menú de clientes también podemos ver los clientes del gateway e incluso los clientes VPN que tengamos conectados al gateway de seguridad ESG510.

Como podéis ver, tenemos una gran cantidad de detalle en cuanto a los clientes conectados, para tener todo bajo control en la red local profesional.

Mapas y planos de planta

Otras opciones que tenemos en este menú de «Manage» es la posibilidad de configurar los mapas y planos de planta, además de poder activar la funcionalidad Airguard para los APs compatibles, por supuesto, podemos ver el estado de los servicios de VPN y el menú de clientes que hemos visto antes.

En la sección de «Mapa» podemos ver el mapa a través de Google Maps y ubicar físicamente los diferentes dispositivos, las sedes de empresas y más.

Por supuesto, podemos subir planos de planta para colocar correctamente los puntos de acceso WiFi, y ver el escenario físico donde tenemos toda la instalación cableada e inalámbrica.

Como podéis ver, este menú es el mismo de siempre que ya teníamos anteriormente para los puntos de acceso profesionales.

Configuración del AP y switch

En la sección de «Configure» es donde podemos configurar el SSID para los puntos de acceso WiFi, también tenemos la posibilidad de configurar los switches en detalle, así como todo lo relativo al gateway. Todos los menús relacionados con el AP y el switch ya lo conocéis de anteriores análisis, los podéis ver aquí, en este aspecto nada ha cambiado:

Como podéis ver, desde estos menús vamos a poder configurar en detalle toda la red inalámbrica y cableada.

Configuración del gateway de seguridad

En cuanto a las opciones que tenemos en el gateway de seguridad, tenemos tres partes bien diferenciadas: Interfaces (WAN, LAN y rutas estáticas), VPN Site-to-Site, Client VPN (servidor IPSec para acceso remoto) y firewall. A continuación, os vamos a explicar en detalle cada una de ellas.

Interfaces

En el menú de «Interfaces» es donde podemos configurar todo lo relacionado con la WAN de Internet, tanto la WAN1 como también la WAN2. Aquí podemos configurar el tipo de conexión, configuración de los servidores DNS, configurar el VLAN ID si el operador utiliza VLANs para proporcionar el servicio de Internet y configurar el ancho de banda de nuestra conexión a Internet. Si habilitamos la WAN2, tenemos la posibilidad de elegir una WAN primaria y otra secundaria, además, también podemos configurar la política de balanceo, si queremos que sea failover de la conexión a Internet o bien un balanceo de carga puro de ambas interfaces de red.

Debemos recordar que este modelo soporta WWAN, es decir, Internet a través de un módem 4G/5G con el objetivo de que la empresa nunca se quede sin conexión a Internet. En estos menús podemos configurar el PIN de la SIM y el APN necesario para conectarse a Internet. Por último, tenemos la posibilidad de configurar el DDNS (DNS dinámico) con el objetivo de enlazar un dominio a nuestra dirección IP pública para las futuras conexiones VPN que vayamos a realizar.

En la sección de «LAN» es donde podemos ver las redes de cara a la red local, tanto la LAN predeterminada como también las VLANs que nosotros queramos. Si pinchamos en la LAN creada por defecto, podemos acceder al nombre y cambiarlo, a la configuración de la subred, si podemos usar o no VPN, así como en qué puertos físicos estará disponible el acceso a esta red local. También podemos configurar todo lo relacionado con el servidor DHCP, los servidores DNS para proporcionar a los clientes cableados o inalámbricos, así como definir un rango de direcciones IP reservado, poder configurar el DHCP estático del dispositivo, así como otras opciones avanzadas del protocolo DHCP.

Por supuesto, este equipo nos permite configurar un portal cautivo de manera bastante avanzada y una página splash de bienvenida muy personalizada, de hecho, podríamos incluso llamar a una página externa que esté diseñada como nosotros deseemos de manera mucho más avanzada de lo que EnGenius Cloud nos permite.

Si decidimos crear una nueva interfaz, tenemos a nuestra disposición las mismas opciones que antes, pero además, podemos configurar un VLAN ID que nosotros queramos, y si no existe, podemos crearlo de manera muy fácil y rápida, para posteriormente usarlo también en los switches y APs profesionales.

Lo habitual sería configurar cada subred con una VLAN ID, con el objetivo de que los switches proporcionen distribución y acceso a estas redes virtuales. Un aspecto importante es que, podemos elegir en qué puertos físicos queremos estar VLAN como tagged (con etiqueta), por lo que necesitaremos obligatoriamente un switch gestionable configurado correctamente con sus VLANs.

VPN Site-to-Site

En la sección de VPN Site-to-site podemos configurar principalmente dos tipos de VPN: Mesh VPN y VPN Hub-and-Spoke. Dependiendo de nuestras necesidades, podemos configurar un tipo u otro de manera bastante sencilla, sobre todo si tenemos en las otras sedes un gateway de seguridad como este ESG510. En caso de no tener esto, siempre podemos configurar un site-to-site con IPsec en la sección de «Add non-EnGenius gateway» para configurar el IPsec IKEv1/v2 como necesitemos.

Algo muy importante es que tenemos muchas opciones de configuración avanzadas en esta sección, además, podemos configurar reglas VPN para gestionar adecuadamente el tráfico a través de las redes privadas virtuales.

Client VPN

El menú de «Client VPN» realmente hace referencia al servidor VPN IPsec integrado en el equipo, para realizar conexiones de tipo VPN de acceso remoto o roadwarrior, es decir, diferentes clientes con sus PC que quieren conectarse a la red de la empresa para acceder a los recursos. En este menú tan sencillo solamente podemos activar el servicio, definir una subred donde se colocarán los diferentes clientes VPN, así como definir los servidores DNS, WINS y también la clave precompartida. Por último, tenemos que configurar los clientes VPN que queremos que se conecten en la sección de «ESG VPN User».

Esta VPN es de tipo IPsec xAuth PSK, con el tipo de intercambio en «Main», por tanto, es compatible con la mayoría de sistemas operativos actuales que permitan este tipo de VPN.

Firewall

En la sección de «Firewall» es donde podemos configurar las reglas de salida del cortafuegos, porque por defecto todas las reglas del firewall está en denegar todo. Debemos recordar que este equipo funcionará con NAT en la conexión a Internet, por lo que si quieres abrir puertos, deberás hacerlo en este menú «Port Forwarding», también podemos configurar el 1: NAT e incluso habilitar ciertos servicios como el ICMP ping y el acceso a la web local y configuración, algo no recomendable por seguridad.

Tal y como podéis ver, tenemos muchas opciones de configuración en el firewall, por defecto cualquier comunicación desde Internet a la red local está bloqueada, algo completamente normal.

Otras opciones en EnGenius Cloud

Otras opciones que tenemos disponibles en EnGenius Cloud es la posibilidad de actualizar el firmware instantáneamente, o bien en función a una programación horaria que nosotros queramos. También podemos configurar las alertas a recibir por correo electrónico, algunas de estas funcionalidades solamente están disponibles si tenemos la licencia PRO de EnGenius para este gateway. En el menú de VLAN podemos crear diferentes VLANs para que los gateway, switches y APs las utilicen posteriormente en la configuración.

En la sección de «Access Control» podemos configurar un listado de direcciones MAC bloqueadas, un listado de direcciones MAC que sean VIP con diferentes privilegios, también podemos dar de alta los diferentes usuarios para el servidor VPN IPsec (client VPN) de antes.

En el menú de configuración general podemos ver las opciones generales del perfil que hemos configurado, asimismo, también podemos ver la configuración específica de los AP y switches que tengamos en la red. Por supuesto, en el menú de «Event Log» podemos ver todos los registros de los diferentes dispositivos, por si existe algún tipo de problema en la red cableada o inalámbrica.

Una característica bastante interesante es que podemos tener switches y APs gestionados en local con EnSky, pero posteriormente dar de alta este controlador WiFi en la nube con el objetivo de que podamos acceder a él a través de Internet de manera fácil y rápida, gracias a esto, tenemos lo mejor de ambos mundos: el acceso desde Internet y la gestión en local completamente gratis con todas las opciones.

Otras opciones disponibles en EnGenius Cloud es la posibilidad de crear informes, configurar diferentes usuarios con diferentes permisos de usuario en la organización, ver qué dispositivos tenemos dados de alta (Gateway, switches y AP), también podemos configurar la autenticación en dos pasos de nuestra cuenta, así como realizar una copia de seguridad y restaurar la configuración que nosotros queramos.

Tal y como habéis visto, tenemos una gran cantidad de opciones de configuración en EnGenius Cloud, de hecho, el fabricante continúa mejorando mes tras mes su plataforma, tanto para tener una mayor estabilidad, más opciones de cara a la monitorización como también nuevas opciones de configuración realmente interesantes.

Hay algo muy importante que debes saber, y es que hay ciertas opciones de configuración y monitorización que solamente son posibles con la licencia PRO de EnGenius. Esta licencia vale 50€ por dispositivo y año para los AP y switches, pero en el caso de los ESG sube a los 100€ por dispositivo y año. En la web oficial podéis ver todo lo que te aporta la suscripción PRO de EnGenius. En general, las opciones generales son totalmente gratuitas, pero poco a poco tenemos más opciones interesantes en la versión de pago, tú deberás decidir si realmente te merece la pena pagar por ellas o no.

Ahora que ya conocemos todo sobre el EnGenius ESG510, vamos a ver las conclusiones finales, los puntos fuertes y los puntos débiles de este equipo profesional orientado a PyMEs.

Conclusiones finales

Este gateway de seguridad EnGenius ESG510 es una gran opción para gestionar la red de oficinas y PyMEs, sobre todo si tienes en cuenta los pros y contras de gestionar un dispositivo de estas características a través de la nube con EnGenius Cloud. Este equipo incorpora un hardware muy potente, tanto a nivel de procesador con un Quad-Core a 1.6GHz como también en cuanto a memoria RAM (4GB) y sus cuatro puertos 2.5G Multigigabit de alto rendimiento.

Lo primero que nos ha llamado la atención de este modelo es que tenemos un total de cuatro puertos 2.5G Multigigabit, cuando lo normal en este tipo de dispositivos es que tenga puertos Gigabit Ethernet. Además, el puerto P1 es PoE+ para alimentar un AP profesional o cualquier dispositivo a través del cable de red, algo que tampoco es «normal», porque esto es tarea del switch PoE o bien con un inyector PoE. El tenerlo todo en uno es un gran punto fuerte para aquellas oficinas o pequeñas empresas donde solamente necesiten un AP profesional para proporcionar conexión a Internet por WiFi. Este equipo de forma predeterminada tiene una WAN de Internet y los otros tres puertos son para la LAN, pero podemos configurar una segunda WAN de Internet en cualquier momento de manera realmente fácil y rápida. Además, todos los puertos LAN pertenecen a la misma subred 192.168.1.0/24 de forma predeterminada, aunque posteriormente podríamos crear otras subredes, configurar VLANs para ponerlas en modo tagged en los puertos y mucho más.

El rendimiento LAN-LAN ha sido excelente en todas las pruebas de rendimiento, hemos conseguido en todo momento el máximo de la interfaz 2.5G Multigigabit, tanto con Jumbo Frames como sin ellos, consiguiendo 2.4Gbps reales aproximadamente. En cuanto al rendimiento LAN-WAN también ha sido excelente en todas las pruebas, consiguiendo una muy buena velocidad en todas ellas llegando hasta los 1.8Gbps de velocidad, lo esperado porque es el doble de lo que conseguimos con una interfaz Gigabit Ethernet habitual. Por último, conseguir una velocidad tan elevada en el servidor VPN de más de 450Mbps vía VPN desde el cliente VPN a la LAN, y más de 600Mbps reales desde la LAN al cliente VPN, es un resultado realmente impresionante para un dispositivo como este.

La característica fundamental de este equipo es la gestión en EnGenius Cloud, y es que todo lo gestionaremos directamente desde la nube, sin necesidad de acceder al firmware local, aunque también podríamos hacerlo y tenemos la posibilidad de configurar una gran cantidad de opciones disponible. No obstante, esta forma de administración en local es algo opcional, porque el verdadero potencial lo conseguiremos usando la gestión y administración desde la nube. A diferencia de otras marcas, EnGenius permite monitorizar, gestionar y administrar este ESG510 en la nube de forma totalmente gratuita, como los AP y switches, no obstante, tenemos una suscripción PRO que añade características adicionales, como avisos adicionales por si la WAN de Internet se cae y más. En el caso de los ESG el coste de la licencia es de 100€ anuales y por dispositivo, en nuestra opinión, hoy por hoy no merece en absoluto la pena pagar la licencia PRO porque aporta muy poco, en el caso de los APs y switches esta licencia es de 50€ anuales y por dispositivo, en este caso sí merece la pena siempre que aproveches las características adicionales que tenemos disponibles.

En esta gestión en la nube podemos configurar en detalle las tres WAN de Internet (2 WAN físicas más la WWAN con 4G/5G) que podemos tener en este ESG, también tenemos la posibilidad de configurar en detalle la LAN con sus correspondiente VLANs, aunque no podemos configurar como untagged una VLAN que hayamos creado, solamente puede estar como tagged. Además, podemos configurar VPN de tipo Site-to-Site y también VPN de acceso remoto (Client VPN) con el protocolo IPsec y también configurar en detalle el firewall. Gracias a la plataforma en la nube podemos configurar diferentes arquitecturas de VPN como Mesh VPN y Hub-and-spoke de manera muy sencilla, incluyendo túneles VPN a dispositivos que no sean los ESG del fabricante, ya que soporta IPsec IKEv1/v2 con muchas opciones de configuración avanzadas.

Algo que echamos de menos en la parte de VPN de EnGenius Cloud, es que en la sección de «Client VPN» no tenemos lo siguiente:

  • No tenemos opciones de configuración avanzadas del protocolo IPsec que tenemos disponible. Solamente podemos activado, poner la subred, la clave precompartida y crear los usuarios para el IPsec xAuth PSK. No tenemos la posibilidad de configurar la fase 1 fase 2 de IKE con los cifrados que nosotros queramos, si activar el PFS para aumentar la seguridad, configurar certificados digitales RSA/ECC en lugar de clave precompartida etc.
  • No tenemos servidor OpenVPN como sí ocurre con sus principales competidores, aunque el fabricante nos ha trasladado que estará disponible en Q1 de 2023. También nos han confirmado que incorporarán WireGuard, aunque no nos han sabido decir cuándo lo harán.

En la sección de firewall, echamos de menos que no tengamos un IDS/IPS para añadir una capa más de seguridad, esto es algo que otros dispositivos de estas características sí incorporan. Podrían incorporar la posibilidad de tenerlo, y nosotros añadir las típicas reglas de Snort o Suricata para protegernos, aunque esto provocaría una bajada en el rendimiento del equipo debido al coste extra en el procesamiento de las conexiones. Tampoco tenemos opciones avanzadas para filtrar el tráfico en el firewall, solamente tenemos opciones básicas que posiblemente se queden cortas en una PyME.

Tal y como podéis ver, la gestión y administración en EnGenius Cloud es muy buena, sencilla y completamente gratis si no necesitas las opciones PRO disponibles, que hoy en día son muy pocas, por lo que te ahorrarás los 100€ anuales de la licencia. A nivel de hardware y rendimiento este equipo es realmente bueno, pero a nivel de software debe mejorar porque no tenemos opciones demasiado avanzadas. Es posible que en la PyME haya personal IT que instale un hardware con pfSense o bien OPNsense, ambos sistemas operativos nos proporcionarán infinidad de opciones avanzadas, y valen casi lo mismo que este dispositivo.

Puntos fuertes

  • Características hardware con 4 puertos 2.5G Multigigabit y un potente procesador Quad-Core a 1.6GHz para gestionar todos los procesos.
  • Múltiples WAN de Internet con balanceo de carga, soporta WWAN para tener Internet vía 4G/5G.
  • El puerto WAN1 es siempre WAN, el puerto WAN2/P3 puede ser WAN o LAN, y los puertos P2 y P1 son siempre para la LAN.
  • El puerto P1 tiene PoE+ para alimentar un AP profesional u otros dispositivos
  • Gestión centralizada en la nube de EnGenius Cloud, con opciones de configuración muy avanzadas.
    • Configuración avanzada de los puertos físicos de WAN y LAN.
    • Configuración de subredes segmentadas en VLANs y posibilidad de intercomunicarlas o no.
    • Permite configurar un firewall basado en reglas.
    • Protocolos VPN IPsec IKEv1/v2 para el Site-to-Site y también para VPN de acceso remoto.
  • Rendimiento LAN-LAN excelente, hemos llegado hasta los 2,4Gbps reales.
  • Rendimiento LAN-WAN excelente, hemos llegado hasta los 1,8Gbps reales..
  • Rendimiento VPN con IPsec excelente, consigue 600Mbps y 450Mbps reales en descarga/subida.
  • Diseño metálico y orientado a PyME con características técnicas avanzadas.
  • Precio: el precio PVP es de 625€, con gestión en la nube gratis para la licencia normal o de 100€ al año para la versión PRO. El precio es bastante bueno si tenemos en cuenta todo lo que hemos visto.

Puntos débiles

  • Echamos de menos opciones de configuración avanzadas en la parte de VPN relacionado con la seguridad, certificados digitales y protocolos compatibles.
  • El firewall no tiene suficientes opciones avanzadas, y no tenemos un IDS/IPS como sí tienen otros modelos similares.
  • No contamos con un sistema de bloqueo de contenidos por categorías y URL, así como de aplicaciones, como sí tienen otros competidores.

Nuestra valoración de este gateway de seguridad profesional EnGenius ESG510, después de ver el rendimiento real del equipo, todas las opciones de configuración de la plataforma Cloud del fabricante, y el precio de 625€, es de 8,5/10.

Esperamos que os haya gustado el análisis, si tenéis alguna duda podéis ponernos un comentario y os responderemos encantados.

EnGenius ESG510
CPU Quad-Core a una velocidad de 1.6GHz de velocidad.
RAM 4GB de RAM
Puertos Ethernet 4 puertos 2.5G Multigigabit para WAN/LAN y un puerto PoE+.
Puertos USB 3.0 Sí, para módem 4G/5G

Lo mejor

  • Características hardware del router teniendo en cuenta su precio.
  • Múltiples WAN de Internet con balanceo de carga.
  • Puerto WAN2/P3 puede funcionar como WAN o LAN, el puerto P1 dispone de PoE+.
  • Gestión en la nube de EnGenius Cloud gratis, aunque podemos adquirir la versión PRO.
  • Protocolo VPN IPsec para Site-to-Site y para VPN de acceso remoto.
  • Rendimiento LAN-LAN y LAN-WAN excelente.
  • Rendimiento IPsec en descarga y subida excelente.
  • Precio: notable, el precio es de 625€.

Lo peor

  • No tenemos opciones avanzadas en la VPN, tanto Site-to-Site como IPsec.
  • Firewall no tiene suficientes opciones avanzadas de configuración.
  • No tenemos un sistema de bloqueo de contenidos por categorías y URL, así como de aplicaciones.
Rendimiento cableado
9.5
Opciones de configuracion
6.5
Facilidad de uso
9.5
Precio
8.5

Puntuación global

8.5
¡DEJA TU VALORACIÓN!
PUNTUACIÓN DE LOS LECTORES:
0
¡Sé el primero en comentar!