Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.08.2005

Test: Netgears Multi-Service-Router

Mit dem "FVS124G" offeriert Netgear einen ausfallsicheren Router mit Gigabit-Speed zu einem günstigen Preis.

DSL-Router mit Load Balancing oder Backup-Port plus integrierter Firewall mit ICSA-Zertifikat (International Computer Security Association), Intrusion Detection, einem Gateway für 25 VPN-Tunnel, eingebautem Vier-Port-Gigabit-Ethernet-Switch und Simple Network Management Protocol (SNMP) für das Remote-Management waren bislang als "integrierte Multiservice-Router" in der Preisklasse von 600 Euro und aufwärts angesiedelt. Hersteller Netgear offeriert nun mit dem "FVS124G Prosafe VPN Firewall 25" einen solchen DSL-Router laut Liste zum Kampfpreis von 199 Euro. Eine Empfehlung, die erste Internet-Shops mit rund 137 Euro bereits deutlich unterbieten.

Hier lesen Sie …

• was Netgears Dual-WAN-Router zum Kampfpreis von 199 Euro bietet;

• wofür die beide WAN-Ports nützlich sind;

• wo die Stärken des Gerätes liegen;

• welche Schwächen es hat;

• wie es VPNs mit dynamischen IP-Adressen unterstützt.

Pro und Kontra

-- Günstiger Preis;

- Gigabit Ethernet im LAN;

- zwei WAN Ports;

- einfach zu bedienendes Web-Interface;

- VPNs mit dynamischen IP-Adressen.

- Kein Command Line Interface (CLI);

- Steckernetzteil zur Energieversorgung;

- nur einfaches URL-Filtering;

- bereits das dritte Firmware-Update erhältlich.

Technische Daten

• Protokolle:

Netzwerk: TCP/IP, UDP, ICMP, PPPoE, PPTP.

IP-Adressierung: DHCP (Client im WAN und Server im LAN).

Routing: RIP v1, RIP v2 (statisches Routing, dynamisches Routing).

VPN/Sicherheit: IPsec (ESP, AH), MD5, SHA-1, DES, 3DES, IKE, AES, PKI.

• Schnittstellen:

LAN: Vier 10/100/1000-Mbit/s-RJ-45-Ports mit Autosensing und Auto-Uplink.

WAN: Zwei 10/100-Mbit/s-RJ-45-Ports mit Auto-Failover und Load Balancing;

• Management:

Administrations-Interface: SNMP-Support (v.2c), Telnet, Web-basierte, grafische Benutzeroberfläche, Benutzernamen und Passwort geschützt durch SSL, Smart Wizard und Auto Detect zur Erkennung der Verbindungs-Basisparameter. VPN-Wizard vereinfacht die VPN-Konfiguration. Remote Management mit Identifizierung durch Passwort.

Operationsmodus: One-to-one/Many-to-one Multi-Network Address Translation (NAT), unbeschränkte User-Zahl pro Port, klassisches Routing (NAT-off).

IP-Adresszuweisung: Statische IP-Zuweisung, integrierter DHCP- Server für LAN, DHCP-Client im WAN, PPPoE-Client-Unterstützung.

• Lieferumfang:

FVS124G Prosafe VPN-Firewall 25;

Netzwerkkabel; Steckernetzteil;

Ressourcen-CD mit Prosafe Single User VPN-Client VPN01L;

Installationsanleitung; drei Jahre Garantie.

• Listenpreis:

199 Euro.

Mehr zum Thema

Weitere Produkte aus dem Bereich Networking finden Sie im Productguide der computerwoche unter

www.computerwoche.de/ productguide

Lieferumfang

Dafür erhält der User das VPN-Multitalent, verpackt in einem rund 19 mal 12 mal 3 Zentimeter großen Gehäuse, ein Steckernetzteil sowie eine Ressourcen-CD, die eine VPN-Client-Lizenz beinhaltet. Weitere Lizenzen müssen zugekauft werden, wenn der Anwender eine umfangreichere VPN-Funktionalität (Virtual Private Network)benötigt. Ebenfalls nicht zum Lieferumfang gehört eine SNMP-Management-Software. Ist im Unternehmen noch kein entsprechendes Produkt vorhanden, so kann beispielsweise auf der Web-Seite von Netgear eine 30-Tage-Testversion des hauseigenen "Prosafe Network Management System" heruntergeladen werden. Eine entsprechende Lizenz ist in der Preisliste mit 895 Euro aufgeführt.

Wie heute leider branchenweit üblich, liefert auch Netgear seinen FVS124G ohne gedrucktes Handbuch aus. Lediglich ein kleines Faltblatt soll dem Anwender bei den ersten Schritten helfen. Wer mehr Informationen benötigt, muss auf die PDF-Files der beiliegenden CD zurückgreifen. Negativ fällt auch das beiliegende Steckernetzteil auf. In Zeiten von Power over Ethernet bleibt es ein Rätsel, warum immer mehr Hersteller - Netgear ist hier kein Einzelfall - auch im professionellen Bereich, wo die Geräte rund um die Uhr laufen, dem Anwender diese kleinen potenziellen Brandbomben aufbürden. Hier sollten sich vielleicht alle Networking-Hersteller einmal an einen runden Tisch setzen und sich wie im Industriebereich auf einen einheitlichen Standard zur Stromversorgung einigen.

Konfiguration per Browser

Für eingefleischte Fans der Kommandozeile (Command Line Interface = CLI) hält der FVS124G gleich bei der Installation eine Überraschung bereit: Seine Konfiguration erfolgt nur per Web-Browser. Was die einen als Rückschritt empfinden, werden dagegen vor allem IT-Mitarbeiter, die nicht täglich Router konfigurieren, als großen Pluspunkt schätzen. Übersichtlich in drei Spalten unterteilt, führt das Web-Interface den Benutzer durch die Konfiguration. Dabei werden links die einzelnen Unterpunkte wie WAN Setup, VPN, Security oder Management angewählt. In der mittleren Spalte sind dann die jeweils kontextbezogenen Eingabefelder zu finden. Die rechte Spalte offeriert Erläuterungen zu den einzelnen Eingabefeldern, so dass zumindest User mit grundlegendem Netzwerk-Know-how das Handbuch kaum vermissen werden. Zudem sollen zusätzliche Wizards beispielsweise die DSL- oder VPN-Einrichtung erleichtern.

Bevor der Anwender jedoch mit der Konfiguration beginnt, sollte er die Web-Seite des Herstellers besuchen. Obwohl das Gerät nur wenige Wochen auf dem Markt ist, waren dort bis Redaktionsschluss bereits drei Firmware-Updates mit Bug-Fixes zu finden. Die eigentliche Konfiguration verlief dann dank des integrierten DSL-Wizard, der auch den nicht alltäglichen DSL-Anschluss mit Point-to-Point Tunneling Protocol (PPTP) korrekt erkannte, in Kombination mit dem übersichtlichen, fast selbsterklärenden Web-Interface ohne Probleme. Lediglich beim Einstellen der beiden WAN-Ports ist etwas Aufmerksamkeit angebracht, da der jeweilige Anschluss in einigen Menüs nur über eine kleine Schaltfläche angewählt wird und somit eine gewisse Verwechslungsgefahr besteht.

Die WAN-Ports selbst kann der User in zwei Betriebsmodi fahren: Load Balancing oder Failover. Im Load-Balancing-Modus können dabei für jeden WAN-Port sowohl IP-Adressen als auch bestimmte Netzadressen definiert werden. In einer Unternehmenszweigstelle wäre damit folgendes Szenario denkbar: Über Port 1 werden etwa VoIP und Zugriffe auf Unternehmensdaten transportiert, während der DSL-Anschluss an Port 2 für den normalen Internet-Zugang fungiert. Im Failover-Betrieb dient der zweite WAN-Port dagegen als Backup, falls die erste Verbindung ausfällt. Das Bestehen einer Verbindung überprüft der FVS124G dabei anhand der Abfrage eines DNS-Servers. Dies kann entweder ein öffentlicher oder der Server des DSL-Providers sein. Eine Methode, die in der Theorie simpel und fast genial klingt.

Zwei WAN-Ports in der Praxis

In unserem Testszenario sorgte aber genau dieses Verfahren für Ärger, da bei einem DSL-Anschluss mit PPTP pro WAN-Port nur ein DNS-Server für den Internet-Provider eingetragen werden kann. Verteilt der Provider nun aber des Öfteren DNS-Anfragen auf den zweiten DNS-Server, so bewertet dies der FVS124G als Ausfall der Verbindung und schaltet auf den zweiten WAN-Port um. Ein Versuch, der allerdings fehlschlägt, wenn kein zweiter DSL-Anschluss vorhanden ist. Dann bricht die Verbindung ab. Hier sollte Netgear eventuell überlegen, ob für Benutzer nur eines WAN-Ports ein Abschalten dieser Funktionen sinnvoll ist.

Sind diese Parameter eingestellt, steht einer Inbetriebnahme des Routers nichts mehr im Weg. Über den Status der beiden WAN-Ports sowie der vier Gigabit-Ethernet-Anschlüsse geben Leuchtanzeigen auf der Gehäusefront Auskunft. Diese Informationen können aber auch aus der Ferne per SNMP mit Hilfe einer Management-Konsole abgerufen werden (siehe Screenshot).

Die integrierte Firewall

Nach den Vorarbeiten kann der Benutzer Firewall, VPN, Network Adress Translation (NAT) oder Intrusion-Detection-System einrichten. Arbeiten, die schnell und komfortabel zu verrichten sind, wenn der Anwender das Bedienkonzept, das Netgear auch bei anderen Routern verfolgt, verinnerlicht: Egal, ob einem Netzdienst wie VoIP etwa per NAT eine feste interne IP-Adresse zugewiesen werden soll oder ob definiert wird, welche Services die Firewall blocken soll, die entsprechenden Dienste müssen zuerst in der Kategorie "Security" im Unterpunkt "Services" festgelegt werden. Dabei sind die gängigen IP-Dienste wie http oder SMTP bereits ab Werk eingerichtet. Im nächsten Schritt kann die Firewall oder auch NAT konfiguriert werden. Im Vergleich zu früheren Modellen fällt hier auf, dass Netgear dem User deutlich mehr Möglichkeiten zum Fein-Tuning einräumt. So lassen sich beispielsweise drei Zeitschemen sowie verschiedene Benutzergruppen definieren, um Netzdienste nur zu bestimmten Tagen oder Uhrzeiten freizugeben. Ebenso ist eine Unterscheidung zwischen eingehendem und ausgehendem Datenverkehr für die verschiedenen Dienste möglich. Anwender, die zeitkritische Applikationen wie VoIP im Netz nutzen, dürften die Option schätzen, im FVS124G für die geforderte Quality of Services bis zu fünf Prioritätsklassen eingeben zu können.

Keine zu hohen Ansprüche sollte der Anwender allerdings an die integrierte Firewall stellen. Ihre Inhaltsfilterung beschränkt sich auf komplette URLs beziehungsweise darin enthaltene Schlüsselwörter, welche der User selbst festlegen kann. Ein Content-Filtering anhand des Inhalts von Web-Seiten findet dagegen nicht statt. Gepaart mit dem Intrusion-Detection-System sollte dies dennoch ausreichen, um eine Zweigstelle oder ein Heimbüro wirkungsvoll gegen unerwünschten Besuch zu schützen.

VPN einrichten

Im Vergleich zu älteren VPN-Routern hat Netgear beim FVS124G die Einrichtung eines virtuellen Netzes per Wizard deutlich vereinfacht und unterstützt nun zudem mehr Zertifikate und Verschlüsselungsalgorithmen. Dank des elektronischen Helferleins sollten nun auch Unerfahrene ein VPN einrichten können, ohne tiefer in die Materie einsteigen zu müssen, da ihnen Management und Austausch der Schlüssel abgenommen werden. Werden auf der Gegenseite jedoch Produkte anderer Hersteller benutzt, kann es doch wieder zu Schwierigkeiten kommen, denn noch immer verwenden die Anbieter für die diversen VPN-Parameter eine unterschiedliche Normenklatur.

Eine Besonderheit der Netgear-VPN-Gateways ist die Unterstützung von dynamischen IP-Adressen. Wird diesen per DynDNS-Provider ein Full Qualified Domain Name (FQDN) zugewiesen, kann ebenfalls ein VPN eingerichtet werden - das selbst dann funktioniert, wenn auf beiden Seiten des VPNs dynamische IP-Adressen genutzt werden. In der Praxis dürfte die Funktion vor allem interessant sein, wenn Zweigstellen über günstige DSL-Anbindungen ohne feste IP-Adresse vernetzt werden und etwa Heimbüro-Benutzer per Consumer-DSL eine VPN-Verbindung dorthin aufbauen. Allerdings hat die Sache einen Haken: Windows XP hat Probleme im Umgang mit VPNs, die dynamische IP-Adressen verwenden. In diesem Fall sollte der Benutzer zu Netgears "Prosafe VPN Client Software" greifen.

In der Praxis schlug sich Netgears kleines Kraftpaket wacker. Selbst bei aktivierten Firewall-Regeln wurden Datenpakete verzögerungsfrei weitertransportiert. Auch ein Stresstest, bei dem mehrere Clients im LAN mit File-Sharing-Programmen etliche tausend IP-Verbindungen öffneten, brachte den FVS124G nicht aus dem Tritt. Eine älterer Firewall-VPN-Router "FVS318" der ersten Generation quittierte dies noch des Öfteren mit Abstürzen. Hier machte sich der leistungsfähige 200-Megahertz-RISC-Prozessor bezahlt, den Netgear in Kombination mit 4 MB Flash sowie 16 MB DRAM und einem Koprozessor für eine hardwarebasierende Verschlüsselung verbaut hat.

Negativ fiel am Testgerät allerdings auf, dass eine Abfrage der IP-Adresszuweisungen für die Clients im Untermenü "Groups and Hosts" den Router reproduzierbar zum Absturz brachte. Außerdem trübten Punkte wie ein noch nicht funktionierendes Trace Route oder die fehlende Möglichkeit, die Uhrzeit des Routers von den Clients per Network Time Protocol (NTP) auszulesen, den Gesamteindruck. Schönheitsfehler, die allerdings angesichts des Kampfpreises für einen Router der Gigabit-Klasse zu verzeihen sind.