Этот обзор вышел на сайте e2e4 ещё в январе 2024 г. https://e2e4online.ru/articles/6551 Но мы посчитали, что он может быть полезен и сейчас — тем, кто отвечает за вайфай в общественных местах: кафе, салонах, спортзалах и других относительно небольших организациях.

Tenda — именитый производитель сетевого оборудования, известный домашними роутерами с отличным соотношением цены и производительности. Однако у Tenda имеются и более серьёзные устройства для сегмента малого и среднего бизнеса (SMB).

Tenda W30E — маршрутизатор на современном SoC Broadcom с 4-ядерным ARM-процессором. В активе устройства поддержка Wi-Fi 6 c пропускной способностью 2400 Мбит/с на 5 ГГц и 600 Мбит/с на 2.4 ГГц, четыре гигабитных порта RJ-45 c гибким распределением между сегментами WAN и LAN, а также USB-порт. Технология Captive Portal обеспечивает готовое решение по предоставлению клиентам доступа в интернет с авторизацией через СМС.

В обзоре я расскажу об аппаратных и программных возможностях устройства. В рамках тестирования проверю заявленные технические характеристики. Также я расскажу, что такое Captive Portal и почему его необходимо использовать для авторизации клиентов. В заключении опишу плюсы и минусы маршрутизатора и определю его целевую аудиторию.

Что такое Captive Portal

Один из дополнительных способов привлечь клиентов в кафе, ресторан, спортзал, гостиницу или торгово-развлекательный центр — бесплатный доступ в интернет.

Казалось бы, для решения этой задачи достаточно установить роутер и предоставить посетителям пароль от вайфая. Но для организаций такой вариант не подходит. Федеральный закон № 97-ФЗ от 5 мая 2014 г. требует от владельцев коллективных точек доступа обязательной идентификации пользователей. За невыполнение данного требования может грозить штраф от 100.000 до 200.000 рублей в соответствии со ст. 13.29 КоАП РФ. Ещё более суровое наказание предусмотрено, если клиент попадёт в поле зрения компетентных органов — ст. 13.31 КоАП предполагает штраф до 1 млн. рублей. Такие юридические и финансовые последствия для организаций неприемлемы, а потому пользователей необходимо идентифицировать.

Один из удобных способов авторизации клиентов — набор технологий Captive Portal (портал авторизации). Когда неизвестное устройство подключается к открытой точке доступа (без пароля) и пытается загрузить любую страницу в браузере, вместо запрошенной страницы появляется предложение указать данные для идентификации. В большинстве случаев запрашивается номер телефона — на него высылается проверочный код. После прохождения авторизации клиент получает доступ в интернет.

Ещё не так давно функционал Captive Portal требовал отдельного сервера в локальной сети и сложной настройки, доступной лишь опытным системным администраторам. В последние годы с увеличением мощности SoC для роутеров появились устройства, где весь функционал, связанный с авторизацией клиентов, размещён в одном разделе Web-интерфейса. Роутер Tenda W30E — одно из таких устройств — он предоставляет возможность СМС-авторизации клиентов и при этом не требует от администратора высокой квалификации.

 

Комплект поставки и внешний вид

Роутер Tenda W30E упакован в крупную коробку 30×35 см.

Такие габариты продиктованы необходимостью уложить пять длинных антенн — именно они занимают бо́льшую часть внутреннего пространства.

Комплект поставки типичный для роутеров данного сегмента — в наличии лишь краткая инструкция и блок питания. В инструкции даются самые базовые рекомендации по установке и подключению, а полную версию руководства можно скачать с официального сайта Tenda.

Блок питания выполнен в небольшом корпусе размером 4.5×4.5×2.5 см, совмещённом с вилкой. Длина провода 1.9 м. Мощность блока питания 18 Вт (12 В, 1.5 А). Штекер стандартный — 5.5×2.5 мм, что позволит при необходимости оперативно заменить блок питания или подключить роутер к 12-вольтовому ИБП.

Роутер Tenda W30E оформлен непривычно для домашних роутеров — в металлическом корпусе с портами и индикаторами на передней панели и с несъёмными антеннами на задней и боковых гранях.

При установке на горизонтальной поверхности роутер потребует свободное пространство размером 26×16 см. Допускается и настенное размещение.

На передней панели присутствует четыре гигабитных сетевых порта RJ-45. Первый из них всегда работает как WAN (подключение к интернету), а четвёртый как LAN (локальная сеть), остальные два порта настраиваемые.

Левее сетевых портов расположены вход для блока питания, кнопка Reset для сброса к настройкам по умолчанию и три индикатора: USB, WiFi и SYS. Индикатор USB загорается при подключении флешки или внешнего жёсткого диска и мигает при обращении к ним. WiFi горит всегда, когда настроена хотя бы одна беспроводная точка доступа. SYS загорается при включении роутера и постоянно мигает после загрузки системы.

Также у роутера имеется порт USB. Он размещён справа от сетевых портов. О функционале USB расскажу в разделах Прочие возможности и Тестирование.

На боковых гранях роутера помимо двух антенн имеются вентиляционные отверстия.

На задней грани присутствуют два винтика, один из которых защищён гарантийной наклейкой.

Снизу видны штампованные ножки высотой около миллиметра, а также прорези для настенного крепления. Вырезы выполнены таким образом, чтобы роутер можно было закрепить на стене в любом из четырёх положений.

Несмотря на массу в 600 грамм роутер достаточно легко сдвинуть с места, поэтому при установке на горизонтальной поверхности могут потребоваться дополнительные резиновые ножки.

Внутреннее устройство

Для вскрытия корпуса достаточно выкрутить два винтика на задней стенке роутера и снять крышку.

Плата роутера небольшая по размерам — она занимает примерно половину площади. Провода от антенн аккуратно уложены и местами прихвачены к корпусу клейкой лентой. Видно, что для диапазона 5 ГГц используются боковые антенны, а для 2.4 ГГц — те, что сзади. Основные элементы платы накрыты экраном, поверх которого закреплён толстый алюминиевый радиатор. Единственный чип, который виден на плате — BCM53134. Это 4-портовый коммутатор для сегмента SMB с очень низким энергопотреблением.

По всей видимости, под экраном находится SoC BCM6756 — она максимально соответствует заявленным техническим характеристикам роутера.

Единственный электролитический конденсатор не самого именитого производителя KYS расположен рядом с разъёмом питания.

Для приёма и передачи беспроводного сигнала используются радиочастотные модули KCT (FEM).

На оборотной стороне платы присутствует модуль памяти SLC NAND ESMT F50L1G41LB объёмом 128 МБ. Он используется для хранения прошивки и настроек роутера.

Под SoC присутствует такое же экранирование, как и с лицевой стороны. Отдельные элементы платы накрыты толстыми термопрокладками, которые контактируют с нижней частью корпуса.

Принудительная вентиляция у роутера отсутствует.

 

Настройка и возможности

Следуя современным тенденциям, Tenda предлагает возможность настройки роутера W30E с помощью приложения для смартфонов на базе Android. На упаковке имеется QR-код, перенаправляющий на установку приложения.

Есть и более традиционный способ настройки — с помощью Web-интерфейса. С настройками по умолчанию логин и пароль для доступа к настройкам Tenda W30E: admin, IP-адрес роутера — 192.168.0.1.

При первом входе в Web-интерфейс предлагается настроить подключение к провайдеру и параметры беспроводного соединения. При необходимости роутер предложит подключить кабель от провайдера в порт WAN, но отсутствие подключения к интернету не является препятствием для дальнейшей настройки. Пароль от беспроводной сети можно установить как пароль от Web-интерфейса роутера, если поставить соответствующую галку.

Настройки WAN, LAN и Wi-Fi

После первичной настройки доступен основной интерфейс роутера. Разделы настройки выбираются в левой колонке, а изменение параметров выполняется в правой.

На странице System Status можно оценить текущее состояние роутера: наличие доступа в интернет, количество подключенных клиентов, потребление оперативной памяти и процессора.

При включении параметра Traffic Monitoring можно увидеть список клиентов, создающих максимальную нагрузку на сеть. Роутер предупреждает, что включение мониторинга трафика может снизить производительность — использовать эту функцию имеет смысл только при поиске источника излишней нагрузки.

Также на этой странице можно установить лимиты на входящий и исходящий каналы для всех клиентов локальной сети или запретить им доступ в интернет.

Настройка интернета и локальной сети собраны в разделе Internet Settings. Для подключения к провайдерам можно выбрать три порта. При изменении количества провайдеров роутер требует перезагрузку. Поддерживаются все популярные виды подключений: IPoE (статический IP или получение по DHCP), PPPoE и PPTP/L2TP.

Для каждого из WAN-портов можно указать скорость интерфейса, MTU и MAC-адрес. Есть возможность клонирования MAC-адреса с подключенного ПК.

В настройках локальной сети присутствует управление DHCP-сервером. Можно указать диапазон выдаваемых IP-адресов, время аренды и адреса DNS-серверов.

Поддержка тэгов VLAN в данном роутере отсутствует.

В разделе Wireless собраны настройки беспроводной сети. Роутер позволяет создать восемь отдельных точек доступа (по четыре в диапазонах 2.4 и 5 ГГц), для двух точек доступа есть отдельный раздел Guest Network. У каждой сети может быть свой собственный SSID или общий для двух диапазонов. Можно ограничить максимальное количество клиентов для каждого SSID.

Роутер не позволяет принудительно использовать шифрование WPA3, доступно только WPA2+WPA3. Также нет поддержки WPA2-Enterprise и WPA3-Enterprise.

Для каждой беспроводной точки можно указать общий лимит пропускной способности — для всех подключенных клиентов в целом. Если необходимо, чтобы беспроводные клиенты не могли общаться между собой, можно включить параметр Isolate this network.

Есть ещё более агрессивное ограничение — запрет на доступ в локальную сеть. В этом случае клиенты, подключенные к точке доступа, могут воспользоваться только доступом в интернет, локальная сеть и настройки роутера будут для них недоступны. Стоит отметить, что первая созданная беспроводная сеть не будет иметь такого ограничения, поэтому её стоит использовать для сотрудников, но не для клиентов.

Для каждой точки доступа доступен свой фильтр MAC-адресов. Он может выступать белым списком (Only Allow — только указанные в списке MAC-адреса смогут подключиться к сети) или чёрным списком (Only Forbid — указанные MAC-адреса не смогут подключиться к сети).

Имеются и низкоуровневые настройки беспроводной сети, они расположены в разделе Wireless — Advanced. Пользоваться этой вкладкой необходимо с осторожностью, изменение параметров в ней может привести к ухудшению покрытия беспроводной сети или даже к невозможности подключения отдельных устройств.

В разделе Address Reservation указываются клиенты, которые будут получать фиксированные адреса от DHCP-сервера. Такая необходимость может возникнуть, например, для разграничения сотрудников и клиентов и использования разных политик для разного диапазона адресов.

Роутер позволяет сохранять список зарезервированных IP-адресов в формате CSV и загружать его из файла.

В разделе Bandwidth Control можно указать скоростные характеристики интернет-провайдеров и установить ограничения отдельно для каждого устройства в локальной сети. Обращаю внимание на важную особенность: ограничения WAN (интернет-провайдеров) указываются в мегабитах в секунду, а ограничения устройств внутри сети — в килобайтах.

Captive Portal

Наверное, самый востребованный функционал данного роутера расположен в разделе Authentication. Именно здесь можно включить Captive Portal и авторизовать клиентов с помощью СМС или почты. Внешний вид страницы, отображаемой для неавторизованного клиента, настраивается достаточно гибко — можно использовать логотип и название организации, а также поменять фон страницы. В поле Disclaimer можно отобразить юридическую информацию, если того требует законодательство или внутренний регламент организации.

После успешной авторизации по умолчанию осуществляется переход на запрошенную страницу, но можно настроить перенаправление на сайт организации или партнёра. Можно изменить период, в течение которого клиент считается авторизованным и не будет перенаправляться на Captive Portal (по умолчанию — 24 часа).

Помимо авторизации по СМС и почте, можно использовать базу данных локальных пользователей — она хранится в разделе User Management. Кроме того, есть авторизация в один клик — в этом случае на странице будет только одна зелёная кнопка, после нажатия которой пользователь будет считаться авторизованным.

Для того, чтобы использовать авторизацию по СМС, у вас должен быть доступ к SMS-шлюзу для отправки текстового сообщения с кодом. Для этого можно заключить договор с любым мобильным оператором, со сторонней организацией, предоставляющей услуги SMS-шлюза, или даже создать свой собственный шлюз.

Авторизация по email проще в реализации — достаточно указать настройки SMTP-сервера для отправки сообщений. Однако для клиентов она будет куда менее удобной, поскольку им придётся открывать почтовую программу или браузер, чтобы найти код. Также я рекомендую проконсультироваться с юристом на предмет того, не будет ли нарушать авторизация по электронной почте действующее законодательство.

Tenda W30E позволяет указать, для каких сетей должен использоваться Captive Portal. Можно выбрать все проводные интерфейсы и беспроводные сети или каждую отдельно. Использовать разные виды авторизации для разных сетей не получится.

Возможность использования Captive Portal для проводной сети может показаться странной. Но бывают ситуации, когда этот функционал востребован. Например, в гостиницах клиенты могут подключать ноутбук не только к Wi-Fi, но и к розетке RJ-45, причём за пределами своего гостиничного номера. Кроме того, можно использовать Wi-Fi на Tenda W30E только для сотрудников с привычной авторизацией по общему паролю, а для клиентов установить отдельную точку доступа, подключенную к одному из LAN-портов, и задействовать для неё портал авторизации.

Отмечу, что в международной версии роутера, которая была у меня на тестировании, в Captive Portal нет возможности использовать русские символы — они сохраняются в настройках роутера, но не отображаются на портале. В локализованной версии этот недочёт обещают исправить.

Прочие возможности

В Web-интерфейсе роутера есть раздел AP Management, позволяющий централизованно управлять точками доступа Tenda в локальной сети. Для всех найденных устройств доступны стандартные операции: обновление прошивки, перезагрузка, сброс до заводских настроек и отключение Wi-Fi. Имеются и низкоуровневые настройки Wi-Fi отдельно для каждого диапазона.

В разделе USB Sharing отображается информация о подключенном диске. USB-диск доступен по протоколу SMB. Можно создать двух пользователей — для полного доступа и только для чтения, но доступ к диску без пароля невозможен даже во втором случае.

Диск всегда монтируется автоматически. Поддерживаются только файловые системы семейства ext и NTFS, диски с FAT32 и exFAT роутер не видит. Также не получится воспользоваться и USB-модемами.

У роутера Tenda W30E очень богатые настройки фильтрации трафика. В частности, можно создать несколько временных интервалов и диапазонов IP-адресов, после чего использовать их в других инструментах контроля трафика. Например, в Bandwidth Control можно ограничить скорость или запретить доступ в интернет для сотрудников в нерабочие часы.

Конечно, имеются привычные фильтры по IP/MAC-адресам, по портам и по доменным именам.

Логи роутера, относящиеся к доступу в интернет, можно сохранять на USB-диск или на syslog-сервер в локальной сети. В первом случае необходимо позаботиться и о физической безопасности роутера (чтобы посторонние не могли вытащить USB-диск), и о сетевой (для доступа к USB-диску по сети должен быть установлен надёжный пароль).

В разделе More собран дополнительный функционал, который может потребоваться системному администратору в определённых ситуациях. Присутствуют такие возможности, как статические маршруты, зеркалирование портов, удалённое управление роутером через браузер, проброс портов для сервисов в локальной сети и динамический DNS.

Функция Any IP позволяет выпускать в интернет не только устройства в одной локальной сети с роутером, но и из других локальных сетей, что может быть удобно, если внутренняя сеть сегментирована на отдельные диапазоны IP-адресов, связанные маршрутизатором или L3-коммутатором.

Конечно, устройство имеет функционал VPN-сервера (для доступа к локальной сети из интернета) и VPN-клиента (для подключения к другим локальным сетям). В обоих случаях поддерживаются протоколы PPTP и L2TP. Если используется несколько WAN-портов, можно указать, через какого провайдера будет инициировано соединение.

В случае использования нескольких провайдеров доступна функция MultiWAN Policy. Она позволяет сделать привязку клиентов внутренней сети к определённому провайдеру (по умолчанию всем клиентам доступны все провайдеры). Также здесь указывается сайт для проверки доступности WAN-подключений и периодичность их проверки.

В последнем разделе под названием Maintenance можно обновить прошивку роутера, сбросить его до заводских настроек, перезагрузить, поменять пароль для доступа, включить перезагрузку по расписанию, сохранить или восстановить настройки, воспользоваться диагностическими утилитами ping и traceroute и установить дату/время.

Здесь же можно посмотреть логи работы роутера. Есть небольшая фильтрация по событиям и возможность сохранить логи на локальный диск (не на USB-диск роутера).

Последний пункт в разделе Maintenance — Function Center — я бы назвал «Для тех, кто запутался». Здесь перечислен весь функционал роутера. Сначала идут те функции, которые используются, затем идёт список неиспользованных возможностей. При нажатии на функцию открывается соответствующий раздел Web-интерфейса. Очень удобно. И если вам кажется, что роутер работает не так, как предполагается,  имеет смысл заглянуть в этот раздел и убедиться, что ничего лишнего не настроено.

Тестирование

В первую очередь я проверил производительность маршрутизации Tenda W30E. Если ваш провайдер использует подключение IPoE (статический или динамический IP-адрес), то роутер позволит полностью утилизировать пропускную способность гигабитного WAN-порта.

Ограничения пропускной способности WAN-портов работают корректно. После того, как я указал лимит в 200 мегабит в секунду, роутер ограничивал соединение с идеальной точностью.

Для выявления скоростных характеристик USB-порта я подключил к роутеру флешку с проверенными скоростями чтения и записи в 250 МБ/с. На ноутбуке, подключенном к гигабитному порту роутера, был смонтирован сетевой диск с флешкой. Тест в CrystalDiskMark показал, что порт USB работает в режиме 2.0. Таким образом, использовать роутер в качестве сетевого накопителя (NAS) в большой сети будет не лучшей идеей. Подключенный диск оптимально использовать для внутренних нужд роутера или для хранения бэкапов, которые не требуют максимально быстрого восстановления.

С помощью упомянутого выше сетевого диска я также проверил ограничения скорости устройств в локальной сети. Для ноутбука был выставлен лимит на скачивание и загрузку в 2 мегабайта в секунду. В этом случае роутер также порадовал идеальной точностью.

Полноценно проверить скоростные характеристики Wi-Fi не было возможности. Но мне удалось найти устройство с аналогичной SoC — ASUS RT-AX58U V2. Этот роутер также поддерживает Wi-Fi 6 со скоростью 2400 мегабит в секунду на частоте 5 ГГц и 600 мегабит в секунду на частоте 2.4 ГГц.

Я настроил его в режиме беспроводного клиента (Media Bridge) и подключился к 5-ГГц точке доступа на роутере Tenda W30E с максимально возможной скоростью — 2400 мегабит в секунду.

Поскольку у обоих роутеров проводные интерфейсы имеют гораздо меньшую пропускную способность, чем Wi-Fi, проверка с помощью iperf была бы не информативной.

Отмечу, что Tenda W30E, в отличии от роутера ASUS, нельзя использовать в режиме беспроводного клиента для подключения к другой точке доступа. С другой стороны, единственное практическое применение режима беспроводного клиента — это организация канала связи на дальние расстояния с помощью направленных антенн. Его отсутствие в роутере с несъёмными всенаправленными антеннами вряд ли можно считать недостатком.

Роутер ведёт достаточно информативные логи, которые можно сохранять на USB-диск или передавать на syslog-сервер. Для проверки я запустил в локальной сети Visual Syslog Server и открыл несколько сайтов на ноутбуке, подключенном к роутеру. Вся активность ноутбука появилась в логах. Также роутер фиксирует время нахождения устройства в сети и при отключении информирует, как долго устройство было активным.

С настройками по умолчанию открытые порты на интерфейсах WAN отсутствуют, nmap находит лишь закрытый фаерволом VPN-сервер.

Загрузка устройства происходит за 50 секунд — столько времени проходит с подачи питания на роутер до включения сетевых интерфейсов.

Энергопотребление Tenda W30E было измерено бытовым ваттметром. При включенной точке доступа и подключенном USB-диске во время теста iperf (маршрутизация на скорости 1 гигабит в секунду) роутер потребляет от сети всего лишь 5 Вт. Комплектный блок питания на 18 Вт выбран с большим запасом.

Внутреннее устройство роутера позволяет предположить, что больше всего будет нагреваться нижняя часть корпуса немного правее наклейки. Проверка инфракрасным термометром подтвердила это предположение. Максимальная температура на дне корпуса во время теста iperf составила 38.2 градуса, другие грани не нагревались выше 34 градусов. Температура воздуха в комнате во время тестирования составляла 25 градусов.

Во время тестирования не было зафиксировано никаких шумов от роутера и от блока питания.

Заключение

Tenda W30E — необычный роутер. Даже внешне он не похож на домашние устройства, выделяясь крупным металлическим корпусом и размещением портов RJ-45 на передней панели. Web-интерфейс с первой же страницы предлагает всевозможные ограничения, блокировки и фильтры — то, что в домашних роутерах либо спрятано в глубинах меню, либо не реализовано вообще. И, конечно, роутер Tenda предлагает возможности, которые крайне важны для малого и среднего бизнеса — Captive Portal с авторизацией пользователей по СМС, ведение логов активности пользователей и подключение к трём интернет-провайдерам.

Tenda W30E видится оптимальным решением для сферы HoReCa: кафе, ресторанов, гостиниц, баз отдыха, а также фитнес-центров и салонов красоты.

Роутер Tenda обеспечивает авторизацию клиентов в соответствии с действующим законодательством в пару кликов. Для настройки Tenda W30E не нужен высококвалифицированный системный администратор, по простоте настройки роутер сравним с домашними моделями. В плюсы устройства стоит записать и стоимость, которая обещает быть значительно ниже, чем у аналогичных решений из сегмента SMB.

Tenda W30E не подойдёт для крупных организаций с распределённой структурой и централизованным управлением сетью. В роутере отсутствует командно-строчный интерфейс с Telnet/SSH-доступом, возможность сбора статистики трафика по SNMP и отправка всех событий на syslog-сервер. По этим причинам ни один системный администратор, отвечающий за десятки и сотни сетевых устройств, не даст добро на установку такого роутера.

Также Tenda W30E будет неоптимальным вариантом для домашнего применения из-за переплаты за неиспользуемый функционал. Даже если дома требуется резервный канал связи, в большинстве случаев его обеспечивают с помощью 3G/4G-модема, а роутер не предоставляет возможности подключить такое оборудование.