Hlavní navigace

Velký test O2 Smart Boxu druhé generace: bezpečnost, bezdrátová síť a něco navíc

13. 7. 2021
Doba čtení: 22 minut

Sdílet

 Autor: Radek Zajíc
Jak při používání routeru Smart Box od O2 funguje zabezpečení, rodičovská kontrola a bezdrátová síť? Dozvíte se v druhé části detailního testu přístroje.

V první části testu jsme si Smart Box nové generace představili, prozkoumali jsme mobilní aplikaci, která je nedílnou součástí služby, prověřili možnosti připojení k internetu a nastavení lokální sítě. V této části probereme firewall a bezpečnostní funkce, schopnosti bezdrátové sítě a doplňkové funkce jako sdílení souborů.

Firewall, DHCP, překlad adres a otevírání portů

Hlavní firewall má čtyři úrovně, ze kterých můžete volit.

  • V „Nízké“ úrovni nejsou blokována nová spojení z internetu, zařízení jsou tedy po IPv6 z internetu dostupná.
  • Střední“ (a výchozí) úroveň blokuje příchozí nová spojení z internetu, odchozí spojení jsou možná. Příchozí spojení lze povolit jen pomocí otevření IPv6 portů, resp. přesměrování IPv4 portů.
  • Vysoká“ úroveň blokuje i odchozí spojení do internetu, povoleny jsou běžné webové a poštovní protokoly. Ve webovém rozhraní je i varování, že tato úroveň zabezpečení může zablokovat internetové TV přenosy – pravděpodobně se tím myslí ty, které nevyužívají standardních portů ( 80/tcp  pro  http, 443/tcp  pro  https). Mezi povolenými protokoly jsou podle mých testů všechny porty, které najdeme ve výchozím stavu ve Vlastním firewallu, kromě nich i FTP ( 21/tcp). Přesný seznam nicméně Smart Box neposkytuje.
  • Poslední úroveň firewallu má název „Vlastní“ a po jejím zvolení a uložení se objeví odkaz na správu – v ní lze (pouze pro protokoly TCP a UDP) podrobněji nastavit pravidla až na úroveň zdrojové/cílové IP adresy, masky sítě, protokolu a portu. V případě portů lze nastavit i jejich rozsah, a tak například povolit přístup z IPv6 internetu k tzv. ephemeral portům ( 32768–65535) na zařízení v lokální síti.

Firewall umožňuje povolit Smart Boxu odpovídat na ICMP (ping) z internetu, ale nenabízí možnost z internetu povolit správu (webové rozhraní).

Staticky přidělované adresy se spravují v nastavení DHCP serveru (sekce Síť), na základě MAC adresy lze zařízení pevně přidělit lokální IPv4 adresu. Na záložce „DNS“ v sekci Síť lze pak zařízením v lokální síti nastavovat i konkrétní jména, která následně DHCPv4 server přiděluje spolu s IP adresami. Protokol DHCPv6 není podporován. 

Záložka „NAT / PAT“ v sekci Síť nabízí konfiguraci přesměrování portů. Smart Box umožňuje přesměrování „na MAC adresu“ a „na IP adresu“ – při pokusu o zadání MAC adresy a uložení nového pravidla se ve sloupci „Stauts“ (nejde o překlep při psaní textu) okamžitě zobrazí stav „Chyba“. Pravidlo přesměrování „na IP adresu“ uložit jde, ve sloupci „Stauts“ se zobrazí „Povoleno“ a přesměrování skutečně funguje. Bohužel se občas stane, že se stav nastaveného přesměrování změní na „Chyba“ a pravidlo přesměrování se deaktivuje, čímž se přístup zvenku stane nefunkčním až do doby, než uživatel pravidlo pomocí odkazu „Aktualizovat“ znovu načte a posléze opětovně uloží (a „Stauts“ se změní na „Povoleno“). V některých případech zobrazuje rozhraní kryptická chybová hlášení (a nastavení se neuloží). Například pokus o přesměrování vnějšího portu 22/tcp na port 22/tcp na zařízení v interní síti se nezdařil, byl jsem obdarován hláškou „Error: Overlapping service. Port overlap detected.

Smart Box nabízí i možnost otevřít přístup z IPv6 internetu na zařízení ve vnitřní síti. Toto nastavení se pro změnu schovává v sekci „Firewall“. Nepočítá ale bohužel s jinými protokoly než TCP/UDP. Volba zařízení pro otevření portů probíhá výběrem ze seznamu identifikovaných IPv6 zařízení v lokální síti, identifikace využívá multicastové DNS (mDNS). Pokud si ale Smart Box sám zařízení, na které chcete otevřít porty, nevšimne, v seznamu se toto zařízení neobjeví a otevření portů nelze zadat: není totiž možné vložit přímo celou IPv6 adresu nebo např. jen „hostitelských 64 bitů adresy“ s tím, že by se celá adresa dopočítávala.

Záložka „DMZ“ v sekci Síť umožňuje nastavit přesměrování IPv4 portů a protokolů na konkrétní zařízení v lokální síti – na výběr je seznam těch, které jste dříve přidali do DHCP rezervací v nastavení DHCP serveru. Přesměrovávají se pravděpodobně všechny IPv4 protokoly, osobně jsem úspěšně vyzkoušel TCP, UDP, ICMP a 6in4 (IPv6 tunely).

Záložka „UPnP“ v sekci Síť zobrazuje pravidla otevření a přesměrování portů, která si vyžádaly aplikace v domácí síti (za Smart Boxem). Přesměrování IPv4 portu funguje, objeví se v seznamu pravidel a provoz na počítač ve vnitřní síti dorazí (testováno v režimu firewallu „Střední“). Při pokusu o otevření IPv6 portu sice UPnP služba na routeru odpoví kódem „úspěšně nastaveno“, ale provoz firewallem v režimu „Střední“ neprojde. Automatické otevírání IPv6 portů pomocí UPnP tedy není možné.

Rodičovská kontrola a omezení přístupu

Kromě výše zmíněného restriktivního firewallu umožňuje Smart Box ve webovém rozhraní v nastavení bezdrátové sítě vymezit období, během kterého má být Wi-Fi síť aktivní, a nabízí několik předvolených režimů:

  • Eko (od pondělí do pátku 2 hodiny ráno, 4 hodiny večer, o víkendu od osmi ráno do půlnoci s výjimkou čtyř hodin v sobotu odpoledne)
  • Všední dny (jen pondělí až pátek od 7.00 do 23.00)
  • Svátky (ve webovém rozhraní je Wi-Fi síť povolena celý týden a funguje, i když není svátek, což je nejspíš chyba)
  • Vlastní definice (uživatel sám určí, ve kterých dnech a časech bude bezdrátová síť aktivní)

Pro každé bezdrátové zařízení lze individuálně nastavit počet minut během dne, po které může být zařízení připojeno. Po překročení definovaného počtu minut se nejprve nestalo nic, zařízení bylo dál připojeno a nebylo nijak omezováno. Zdá se ale, že vyhodnocování probíhá jen jednou za pět minut – jakmile udeřila minuta dělitelná pěti, zařízení ztratilo přístup k internetu: přístup na HTTP skončil únosem spojení a přesměrováním na prázdnou stránku bez textu s logem Smart Boxu, přístup na HTTPS skončil timeoutem. Traceroute, ping ani TCP/UDP provoz skrze Smart Box po překročení časového limitu neprojde.

Kromě omezení počtu minut na den je pro zařízení možné nastavit i časový plán přístupu, podobný časovému plánu bezdrátové sítě. Časové plány bohužel nelze jednoduše spravovat a přiřazovat více zařízením najednou.

  • Eco (tentokrát s „c“), Všední dny Vlastní jsou shodné s plány pro Wi-Fi
  • Definice plánu Svátky je ale jiná než na Wi-Fi a umožňuje přístup jen v pondělí až středu 4 hodiny ráno a 4 večer, ve čtvrtek jen 4 hodiny ráno – opět se zřejmě jedná o chybu.

Pokud se zařízení pokusí připojit mimo povolené datum a čas na HTTP, dojde opět k únosu spojení a přesměrování na stránku s logem Smart Boxu, tentokrát i s oznámením, že je přístup k internetu z tohoto zařízení blokován. Přístup na HTTPS skončí timeoutem, traceroute, ping ani TCP/UDP provoz neprojde.

Posledním prvkem zabezpečení je omezování „URL přístupu“, což je nešťastný název pro kontrolu „doménových jmen“, ke kterým uživatel přistupuje. Kontrola probíhá na protokolu HTTP (port  80/tcp) pomocí analýzy HTTP Host:  hlavičky a na protokolu HTTPS (port  443/tcp) pomocí analýzy SNI (TLS option server_name). Blokují se zadané domény i poddomény, například filtr na root.cz zablokuje root.cz, www.root.cz i forum.root.cz. Jelikož nejde o omezování URL, ale názvů serverů, například filtr root.cz/clanky/  nezablokuje články na Root.cz – nezablokuje totiž vůbec nic. Přesto lze takové pravidlo zadat a uložit. Zablokovaná doména se projevuje podobně jako dříve zmíněná omezení – na HTTP dojde k únosu spojení a přesměrování na informační stránku, u HTTPS se spojení nepodaří navázat.

Smutnou zprávou je, že rodičovská kontrola na úrovni zařízení (omezení na počet aktivních minut denně, časový plán a omezení přístupu podle doménového jména) je dostupná pouze pro zařízení připojená bezdrátově, pomocí Wi-Fi. U zařízení připojených kabelem všechny tři možnosti nastavení chybí.

Wi-Fi pro sebe a pro návštěvy

Smart Box patří mezi routery, které umožňují provozovat bezdrátovou síť na obou běžně dostupných bezdrátových pásmech (2,4 GHz, 5 GHz) současně. Na obou pásmech podporuje nejnovější standard Wi-Fi 6 (802.11ax), pro 2,4 GHz využívá dvě interní antény, pásmo 5 GHz má antény 4. Podporuje i technologie beamforming a MU-MIMO, v bezdrátových sítích poprvé uvedené s Wi-Fi 5 (802.11ac). Díky MU-MIMO by měl být schopen obsloužit víc klientských zařízení skutečně současně a tím dosáhnout lepší propustnosti (zatímco generace před MU-MIMO v jeden okamžik komunikovala vždy jen s jedním zařízením). Beamforming se snaží přizpůsobit odvysílanou vlnu tak, aby co nejlépe směřovala ke klientskému zařízení. Tolik teorie. A jak je na tom praxe?

Pokud vaše klientské zařízení podporuje 802.11ax a dostane se do pokrytí 2,4 GHz, lze pozorovat opravdu znatelné navýšení kvality – Wi-Fi 5 (802.11ac) na 2,4 GHz totiž neexistuje, proto byla doposud zařízení na 2,4 GHz odkázána na Wi-Fi 4 (802.11n). Smart Box umí 802.11ax zapnout i vypnout, díky čemuž bylo možné provést praktický (opakovaný) test „měření telefonem (iPhone 12 Pro, 2×2 MIMO, 802.11ax)“ pomocí služby Speedtest.net (server O₂ Czech Republic, 4 vlákna, uvádím jen rychlosti stahování). V případě pásma 2,4 GHz pokrytí byla šířka kanálu 40 MHz, u 5 GHz pak 80 MHz.

Dosahované rychlosti Wi-Fi, telefon byl ve shodné místnosti se Smart Boxem
Zařízení 802.11n/ac 802.11ax
iPhone 12 Pro (2,4 GHz) 93 Mb/s 150 Mb/s
iPhone 12 Pro (5 GHz) 644 Mb/s 750 Mb/s

Nabízelo se i přímé srovnání s UniFi AP AC Pro, které doma běžně provozuji. AP AC Pro umí na 5 GHz jen 3×3 MIMO, nemá MU-MIMO, beamforming ani 802.11ax. Při připojení MacBooku Pro (2020, 13“), který podporuje 802.11ac, 3×3 MIMO a maximální šířku kanálu 80 MHz, je vidět rozdíl ve výsledcích Speedtest.net i bez 802.11ax.

Srovnání Smart Boxu a UniFi AC Pro, MacBook byl ve shodné místnosti s přístupovými body
Zařízení Smart Box (5 GHz) UniFi AC Pro
MacBook Pro (2020, 13“) 750 Mb/s 600 Mb/s

Při současném stahování na MacBooku i iPhonu (oba v místnosti, kde se nachází Smart Box) sečtená rychlost obou zařízení jen o málo překračuje 750 Mb/s, což naznačuje, že to je přibližná hranice reálně dosažitelné rychlosti bezdrátové sítě na Smart Boxu při 80 MHz šířce kanálu.

V okamžiku, kdy se mi na Smart Boxu aktivoval kanál o šířce 160 MHz, jsem na iPhone 12 Pro naměřil rekordních 861 Mb/s při stahování z internetu.

Šířku kanálu 160 MHz nelze zvolit ručně. Je plně na firmwaru Smart Boxu, kdy zvolí kanál široký 80 MHz a kdy 160 MHz.
Autor: Radek Zajíc

Šířku kanálu 160 MHz nelze zvolit ručně. Je plně na firmwaru Smart Boxu, kdy zvolí kanál široký 80 MHz a kdy 160 MHz.


Autor: Radek Zajíc

Rekordní měření: 861 Mb/s (802.11ax, 160 MHz široký kanál)

Bezdrátové sítě jsou ve výchozím stavu dostupné tyto:

  • Hlavní domácí Wi-Fi síť, která využívá jednoho názvu sítě (ESSID) pro pásma 2,4 i 5 GHz (sítě je možné i rozdělit, a mít tak jednu fyzickou síť se dvěma různě pojmenovanými bezdrátovými přístupovými body)
  • Dvě sítě pro hosty v pásmu 2,4 GHz a 5 GHz – ty mají různé názvy a lze je zapínat samostatně

Každou bezdrátovou síť lze individuálně zapnout nebo vypnout, nastavit typ zabezpečení (výchozí je „WPA2-Personal“, na výběr jsou dále volby „žádné zabezpečení“, „WPA-WPA2-Personal“, „WPA2-WPA3-Personal“a „WPA3-Personal“), vysílací výkon (ve stupních „Auto“, „25“, „50“, „75“ a „100“, což je pravděpodobně procentuální podíl maximálního výkonu), nastavit vysílací mód (pro 2,4 GHz lze zvolit mezi  bgn/g/gn/ax, v pásmu 5 GHz  a/an/n/ac/ax), (de)aktivovat WPS, nastavit vysílací kanál a šířku pásma. Pro 5 GHz Wi-Fi by dle specifikací routeru měla být k dispozici šířka pásma 160 MHz, nicméně v menu lze nastavit maximálně 80 MHz. Je-li vybraná automatická šířka kanálu, v poslední verzi firmwaru se občas aktivuje i 160 MHz široké pásmo. To lze zjistit pouze při osobní inspekci nastavení Wi-Fi 5 GHz: při zobrazení pokročilých parametrů se v řádku „rádiový kanál“ objeví seznam osmi kanálů. Při 80 MHz širokém pásmu jsou v seznamu kanály čtyři.

Hlavní bezdrátová síť se tváří, že umožňuje nastavit i volbu „Maximum připojených zařízení“ – výchozí hodnotou v nastavení je „32“, pokus o uložení jakékoli jiné hodnoty bez jakéhokoli varování selže a v nastavení zůstane „32. Počet připojitelných zařízení v Systémových informacích ale hlásí pro každé z pásem „64“, není tedy jasné, která z hodnot skutečně platí – a při pokusu prověřit maximum jsem narazil na nedostatek bezdrátových zařízení v domácnosti. Limit tedy nejspíš většině zákazníků bude dostačovat i beze změny.

V nastavení bezdrátové sítě lze pro hlavní Wi-Fi nastavit i omezení přístupu na úrovni MAC adres zařízení – na výběr jsou oba obvyklé režimy „zakaž přístup zadaným MAC adresám“ (označované jako Blacklist) a „povol přístup jen zadaným MAC adresám“ (Whitelist). Poněkud záludné může být, že nastavení přístupu jsou pro 2,4 GHz a 5 GHz oddělená.

V odděleném nastavení Smart Wi-Fi (ve webovém rozhraní se název „Inteligentní Wi-Fi“ nepoužívá) je možné na globální úrovni zakázat či povolit Wi-Fi steering a spárovat O₂ Smart Boostery (pro připojení Smart Boosterů je nutné mít aktivní WPS, což není vždy ta nejbezpečnější cesta). V seznamu jednotlivých zařízení lze po kliknutí na tlačítko „Aktualizovat“ nastavit každému zařízení preferované bezdrátové pásmo (2,4 resp. 5 GHz), přístupový bod (Smart Box nebo Smart Boostery) nebo steering pro konkrétní zařízení zcela vypnout. (De)aktivovat steering pro konkrétní zařízení je možné i jinde, v sekci „Wi-Fi zařízení“, tam ale možnosti nastavení nejsou tak široké.

Smart Box umí na displeji zobrazit QR kód pro připojení k domácí Wi-Fi, tuto akci je ale nutné vyvolat skrze webové rozhraní v nastavení Wi-Fi, kde je nenápadný odkaz „Spustit WPS párování“. To bohužel prozrazuje, že zobrazení QR kódu je neoddělitelně spojeno s umožněním párování pomocí WPS. WPS lze deaktivovat (deaktivace je doprovázena hlášením „Deaktivováním WPS nemůžete provádět bezdrátové párování, které využívají například O₂ Smart Booster nebo naše kamery.“), ale pak tento odkaz z menu zcela zmizí.

Sekce „Wi-Fi zařízení“ zobrazí všechna zařízení, která se ke Smart Boxu od jeho spuštění připojila. Je zde možné pro konkrétní zařízení i zapnout/vypnout Wi-Fi steering, vypínání steeringu zde nicméně nefungovalo úplně podle očekávání – pokud v seznamu zařízení bylo jedno zařízení s jednou MAC adresou dvakrát (poprvé pro 2,4 GHz a podruhé pro 5 GHz), pak se po kliknutí na zaškrtávátko ve sloupci „Steering“ vždy (de)aktivoval steering jen pro první zařízení v seznamu. To by ještě smysl dávalo, otázkou zůstává, proč se ve výpisu zobrazuje zařízení s jednou MAC adresou vícekrát.

Pro otestování dosahu bezdrátové sítě jsem se pokusil srovnat startovací čáru s UniFi AP AC Pro a Smart Box umístil do pracovny na kraji staršího domu se silnými zdmi, asi metr a půl od UniFi AP. Nelze nijak odporovat marketingovým materiálům O₂, podle kterých má být domácí router a přístupový bod „ve středu dění“ (domácnosti), nicméně v mém případě vede infrastruktura do pracovny a žádné vhodné místo „uprostřed domu“ není k mání – a věřím, že mnozí zákazníci budou mít infrastrukturu umístěnou podobně (nešťastně). Z pohledu pokrytí domu se Smart Box i přes všechna vylepšení bezdrátové sítě celkem vyrovná UniFi AP. To znamená, že za jednou zdí, kde UniFi AP dosahuje reálné rychlosti stovek megabitů za sekundu, i Smart Box dosahuje reálné rychlosti stovek megabitů za sekundu.

V kuchyni, která je od přístupových bodů vzdálena asi 6 metrů a s výjimkou dveří je mezi ní a přístupovými body zeď o tloušťce několika desítek centimetrů, se na 5 GHz nechytá ani jeden přístupový bod: signál UniFi AP z pracovny se ztrácí, mobil přechází na druhé UniFi AP. Signál Smart Boxu se na mobilu díky pokročilejší Wi-Fi drží až do krajních hodnot, při těch se ale síť prakticky už nedá používat. Při rozdělení přístupových bodů na dva (každé pásmo s vlastním názvem sítě) a ručním výběru přístupového bodu na 2,4 GHz dosahuje síť Smart Boxu i v kuchyni u okna (cca 10 metrů od AP, bez přímé viditelnosti) rychlostí 17/15 Mb/s.

Dalším testem dosahu je pokrytí chodby, která se nachází o patro níž, než je pracovna, a je krytá silnou vrstvou zdiva v klenbě – zde, u vchodu do sklepa, se UniFi dostává na kraj možností. Při správném umístění měřicího telefonu se s UniFi dostávám na 14/7 Mb/s, ale stačí popojít o metr „hlouběji“ a signál UniFi se ztrácí. Smart Box překvapuje, i v takto složitých podmínkách signál 2,4 GHz Wi-Fi drží a rychlosti se pohybují mezi 12–20 Mb/s stahování, 7–12 Mb/s nahrávání.

Poslední „kritickou“ místností je ložnice o patro výš, než je pracovna. Ložnice je na druhé straně domu a UniFi AP z pracovny tam nedosáhne vůbec (pro toto patro máme samostatné UniFi AP). Smart Box na 5 GHz se snaží držet zuby nehty, ale připojení je nepoužitelné. Na 2,4 GHz dosahuje síť Smart Boxu 15/7 Mb/s.

Na základě těchto výsledků, kterých jsem opakovaně dosahoval během používání Smart Boxu jako hlavního přístupového bodu pro svá zařízení, se zdá, že dosah bezdrátové sítě v pásmu 2,4 GHz je solidní a překonává očekáváníŘízení pásem (band steering) mi bohužel nefungovalo úplně podle očekávání – v oblastech se slabým signálem na 5 GHz bych očekával automatické přeladění na 2,4 GHz a stále použitelnou službu, ale zařízení zůstávala připojená k 5 GHz pásmu až do okamžiku, kdy ztratila signál úplně.

Smart Box umožňuje nastavit a používat i bezdrátovou síť pro návštěvy (Guest Wi-Fi network). Technicky to mohou být dvě sítě s různými názvy, jedna v pásmu 2,4 GHz a druhá v pásmu 5 GHz. Obě bezdrátové sítě jsou součástí jedné izolované ethernetové sítě, která nemá přístup k administraci Smart Boxu ani k zařízením připojeným do hlavní kabelové či bezdrátové sítě – izolovaná síť má samostatné IPv4 adresy (ty nelze v žádném rozhraní Smart Boxu nakonfigurovat, Smart Box má adresu  10.33.22.1/24, první zařízení v síti pro návštěvy pak  10.33.22.10/24). Je-li operátorem přidělený blok IPv6 adres dostatečně velký, má i síť pro návštěvy vlastní IPv6 konektivitu (je-li operátorem přidělen blok adres  2001:db8:dead:be00::/56, použije se pro hlavní domácí síť blok 2001:db8:dead:be00::/64  a pro síť pro hosty pak  2001:db8:dead:be01::/64). IPv6 konektivita se náhodně zjevuje a vytrácí, nejspíš se jedná o další funkcionalitu, která není zcela otestovaná. A není se čemu divit – samo O₂ přiděluje zákazníkům jen jeden blok o velikosti  /64 , nikoli doporučených minimálně /56  (256 bloků o velikosti  /64). Jediný přidělený blok se u O₂ použije pro hlavní domácí síť a na síť pro hosty už adresní bloky nezbudou. Je to i signál pro O₂, aby začala na domácích přípojkách přidělovat větší bloky, i síť pro hosty si zaslouží IPv6 konektivitu.

Síť pro hosty může být aktivována natrvalo nebo na omezenou dobu. V praxi se mi ale stalo, že se síť, která měla být aktivní jen několik hodin, reaktivovala (i po ruční deaktivaci) a byla aktivní pořád.

Návštěvám by život ulehčil QR kód pro připojení k síti pro hosty, pokud by ho dokázala zobrazit mobilní aplikace (ostatně bylo by fajn, kdyby ho generovala i pro hlavní bezdrátovou síť) – aktuálně ale takový QR kód umí vygenerovat jen webové rozhraní Smart Boxu.

Webové rozhraní umí i nastavit omezení rychlosti pro celou návštěvnickou síť, a to na úroveň 1 až 10 Mb/s (s kroky po 1 Mb/s), resp. neomezenou rychlost („Unlimited“). Vlivem chyby v softwaru Smart Boxu je rychlost bohužel vždy neomezená, a návštěva tak může zcela zkonzumovat konektivitu k internetu. Zároveň si osobně myslím, že 10 Mb/s je příliš nízký strop a u rychlých linek nic nebrání tomu, aby síť pro návštěvy mohla být omezována na např. i vyšší desítky Mb/s.

Diagnostika a ladění

Smart Box nabízí ve webovém rozhraní několik zajímavých sekcí pro diagnostiku. Například prostředí bezdrátových sítí umožňuje diagnostikovat sekce „Wi-Fi spektrum“ ve webovém rozhraní. Ta umožňuje zobrazit „Graf dostupnosti“ (čím vyšší sloupec, tím méně zarušený Wi-Fi kanál) a „Graf signálu“ (zobrazí informace o okolních přístupových bodech a jejich síle signálu).

Pro diagnostiku problémů s konektivitou může být zajímavá sekce „Trace route“, která umožňuje provést ping a trasování cíle (IP adresy nebo názvu serveru v internetu). V případě trasování lze vybrat i internetový protokol (IPv4/IPv6), u pingu je výběr IP protokolu zcela na operačním systému Smart Boxu.

Integrovaný „Test rychlosti“ měří rychlost pomocí integrovaného měřiče iperf3 oproti otevřenému iperf3 serveru v síti O₂. Dobu testování nelze ovlivnit, stejně jako počet paralelně testovaných vláken a ve výchozím stavu je test příliš krátký (trvá jen čtyři sekundy), není tedy schopen změřit plnou rychlost linky (~930 Mb/s), drží se na cca 550 Mb/s. Přitom iperf3 na počítači připojeném ke Smart Boxu ethernetovým kabelem běžně měří i v jednom vlákně nad 900 Mb/s. Test integrovaný ve Smart Boxu navíc kvůli chybě zobrazení ukazuje jen rychlost stahování – u rychlosti nahrávání i latence se drží nuly.

Široké diagnostické informace zobrazuje sekce „Systémové informace“ – v devíti záložkách najdeme postupně informaci o zařízení a stavu připojení k internetu, stavu hlavní bezdrátové sítě, konfiguraci DHCPv4 a stavu ethernetových portů, VoIP (zatím nedostupné), připojeném USB zařízení, grafy využití procesoru, paměti, rychlostí přenosů na WAN, LAN a Wi-Fi (pro každé pásmo samostatně) a nakonec ještě jednou informace o aktivních „službách“ (IP adresy pro služby internet, IPTV a VoIP). Texty v této sekci jsou v české verzi rozhraní plné podivných překladů (např. „Nat status“ je přeloženo jako „Stav připojení IPv4“, formátování zobrazeného data a času není podle českých zvyklostí, „address“ je přeloženo jako „adresy“ atd.). Některé informace se nezobrazují správně (např. počet připojitelných zařízení – zobrazeno 64, v nastavení Wi-Fi je nezměnitelná hodnota 32; stav WPS odpovídá pouze stavu WPS pro 2,4 GHz; navíc pokud povolíte WPS jen pro 5 GHz, tak se v informacích zobrazí „Vypnout“ místo „Zakázáno“). Přesto je to asi ta nejlepší diagnostika zařízení, jakou uživatel Smart Boxu získá.

Sekce „Logy autentikace“ má ambice zobrazovat informace o přihlašování uživatelů – bohužel se omezuje jen na webové rozhraní. Pokusy o uhodnutí jednorázového hesla ale nezaznamenává. Nezobrazuje například ani přihlášení na FTP server, ať už úspěšná, či neúspěšná. Snad se v dalších verzích softwaru podaří potenciál této části využít lépe (a pojmenovat ji více česky).

Sdílení souborů a další vymoženosti

Smart Box umožňuje ve webovém rozhraní v sekci „Správa uživatelů“ přidávat/odebírat uživatele. Každému uživateli je nutné zvolit uživatelské jméno a vytvořit heslo. Lze zadat i jméno, příjmení, telefonní číslo a e-mailovou adresu, ale tyto údaje se nejspíš neukládají – při uložení uživatele a jeho opětovném načtení se totiž vložené údaje nezobrazí. Při pokusu uložit editovaného uživatele se zobrazí okno vyžadující jednorázové heslo z mobilní aplikace, ale ani po jeho zadání se změny neuloží.

Každý uživatel může být zařazen do až šesti kategorií oprávnění:  http, admin, remoteadmin, ftp, phonebook a webdav. Otázkou zůstává, co jsou tyto kategorie zač – ve Smart Boxu lze reálně využít jen ftp, takový uživatel má (nečekaně) přístup k FTP. WebDAV službu router neposkytuje, stejně tak neposkytuje ani telefonní seznam nebo jakoukoli podobu vzdálené správy.

Uživatelům lze přiřadit i (doposud viděná) zařízení. Uživatel se pak ukazuje v seznamu připojených zařízení jako jejich vlastník. S informací o vlastníkovi se ale dál bohužel nijak nepracuje (například by se nabízelo sdílené nastavení pravidel rodičovské kontroly pro všechna zařízení konkrétního uživatele).

FTP server ve Smart Boxu je zajímavou funkcí – umožňuje zpřístupnit disk, připojený přes USB, uživatelům vytvořeným ve správě uživatelů. Každému z uživatelů lze připojit buď celý disk, nebo jen konkrétní cestu, lze udělit oprávnění ke čtení i zápisu nebo jen ke čtení. Smart Box nabízí i základního anonymního uživatele guest  s heslem  guest, jehož používání nedoporučuji. Uživatele guest  bohužel nelze zakázat – stejně tak nelze zakázat přihlašování uživatelům, kteří mají oprávnění  ftp, ale nemají nakonfigurovanou žádnou výchozí složku. Takoví se přihlásí, ale ve výpisu souborů a adresářů nic neuvidí. FTP server je dostupný pomocí IPv4 i IPv6 (lze využít všechny tři hostnamy uvedené v sekci o webovém rozhraní, nebo přímo IP adresy), ale jen z lokální sítě. Přístup k FTP serveru z internetu není možný, nefunguje ani při firewallu v režimu „nízkého zabezpečení“.

Samba Server jsem bohužel nemohl vyzkoušet: je ukázkou nevyladěného firmwaru – zatímco FTP server je funkční, do nastavení Samba serveru se vůbec nelze dostat. Při pokusu otevřít tuto sekci nastavení vás Smart Box vyzve k zadání hesla k webové administraci – a po jeho zadání skončí na úvodní obrazovce. Chování je shodné, ať je externí disk připojen, či odpojen.

Modem podporuje i dynamické DNS, které se nastavuje ve webovém rozhraní v sekci Síť, v záložce DynDNS. Smart Box se tváří, že podporuje celkem sedm DynDNS služeb: dyndns, No-IP, ChangeIP, DNSdynamic, GnuDIP, AfraidFreeDNS a Infomaniak. Například GnuDIP je ale spíš protokolem a test s nastavením dynamického DNS na náhodně vygooglené službě freedombox.rocks, využívající GnuDIP, neproběhl úspěšně.

Záložka „IPsec“ v sekci Síť by měla umožňovat konfiguraci automaticky startovaného IPsec tunelu mezi Smart Boxem a dalším IPsec bodem v internetu, nicméně tuto funkcionalitu jsem nezkoušel. Poslední záložkou je „DLNA“, která umožňuje (de)aktivovat službu DLNA (vhodnou například pro streamování médií z připojeného disku na DLNA přijímač v lokální síti, typicky půjde o televizor). Není nicméně možné nastavit, z jakého adresáře z připojeného disku se obsah přes DLNA bude publikovat.

Celkové zhodnocení

Domácí internetová brána O₂ Smart Box je bezpochyby zajímavé zařízení. Produktovému týmu O₂ nelze upřít odvahu, pustit se do tak náročné oblasti plné konkurence, jakou routery pro domácnosti jsou. Smart Box je zařízení, které bez problémů zvládne připojit nenáročnou domácnost k internetu. Běžní uživatelé ocení rychlou a moderní Wi-Fi, rychlé a téměř zcela automatické nastavení pomocí mobilní aplikace, ekosystém doplňkových přístupových Wi-Fi bodů (Smart Boosterů) i řízení chytré domácnosti. Smart Boostery bohužel zatím nepodporují Wi-Fi 6 (802.11ax), které přináší skutečně znatelné zlepšení dosažitelných parametrů bezdrátové sítě, hlavně v pásmu 2,4 GHz. Pokud jde o dosah bezdrátové sítě Smart Boxu, ten je dobrý, ale zázraky nečekejte. Vysílací výkon bezdrátových zařízení je omezen legislativou, lepší zážitek z bezdrátové sítě tak často zajistí spíš větší počet přístupových bodů správně rozmístěných po nemovitosti než jeden superrouter.

Náročnější uživatelé budou pravděpodobně narážet na spoustu drobných, ale nepříjemných nedostatků: od toho, že se k modemu nelze přihlásit jinak než jednorázovým heslem (a přihlášení tak nelze automatizovat), přes chybějící pokročilé routovací funkce, DHCPv6, režim bridge (což vede k nemožnosti použít zařízení v režimu prostého DSL modemu), nekonzistentní nastavení v mobilní aplikaci a webovém rozhraní až po samotné webové rozhraní, ve kterém mnoho pokročilých možností není funkčních, zcela chybí, nebo jsou skryty za podivnými texty.

Mobilní aplikace je sama o sobě relativně přívětivá a pro nastavení základních síťových parametrů postačuje. Svou sílu ukáže pravděpodobně při připojování zařízení chytré domácnosti, což jsem neměl možnost vyzkoušet. Poněkud zvláštní je (na iOS) integrovaný prohlížeč, ve kterém se otevře úvodní stránka pokročilé webové administrace, která nejprve hlásí, že není optimalizovaná pro přístup z malých obrazovek, aby si dále vyžádala heslo, které ale v tu chvíli nelze zobrazit (je schované „za“ prohlížečem). Praktičtější by bylo otevřít systémový prohlížeč a jednorázové heslo předat například jako parametr v adrese a uživatele tak automaticky přihlásit. Nevyužitý potenciál síťových funkcí aplikace je v absenci zobrazování QR kódu pro připojení – místo toho je po otevření aplikace každému okamžitě na očích heslo k domácí Wi-Fi síti.

Cena, za kterou se Smart Box prodává, patří mezi ty vyšší – bezmála šest tisíc korun za domácí router (který bude v případě rozsáhlejších domácností potřeba doplnit dalšími Wi-Fi přístupovými body) je přece jen dost, i když ji O₂ rozkládá splácením na období pěti let. Jistou protiváhou je pětiletá záruka, kterou na trhu s domácími routery snad nenabízí nikdo jiný.

BRAND24

Pět let je dlouhá doba, během které se uživatelé často rozhodnou přejít k jinému operátorovi. V takovou chvíli budou muset splácený Smart Box jednorázově doplatit, což je může dost překvapit – zvlášť pokud si na počátku dobře nepřečetli smlouvu a žijí v domnění, že mají zařízení za pevný poplatek pronajaté. Otázkou také je, zda O₂ nepodstupuje příliš velké riziko, když v obchodních podmínkách zakazuje používání Smart Boxu (služby zahrnující mobilní aplikaci a router) mimo infrastrukturu O₂.

Za server Lupa.cz děkujeme společnosti O₂ za zapůjčení nového Smart Boxu k otestování.

Byl pro vás článek přínosný?

Autor článku

Autor se profesně zabývá světem Linuxu, sítěmi a telekomunikacemi. Snaží se rozšiřovat služby dostupné pomocí protokolu IPv6 a aktivně se věnuje popularizaci tohoto protokolu.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).