Исходный код вики 5. Инструкция

Версия 21.1 от Ирина Сафонова на 01.09.2023, 16:04

version	line-number	content
1.2	1	Содержание
	2
2.1	3	{{toc/}}
1.2	4
2.1	5	= Вход в консоль =
1.2	6
2.1	7	----
1.2	8
2.1	9	Для выполнения базовой настройки сервиса зайдите на установленный образ сервиса через консоли VMRC или VMWC.
	10	[[image:__fileCreatedFromDataURI__.png]]
	11
3.1	12	= Этапы настройки =
2.1	13
11.1	14	В ходе настройки команды вводятся в консоли или в SSH.
	15
7.1	16	== Шаг 1. Включение доступа через SSH ==
6.1	17
12.1	18	Укажите порт:
11.1	19
	20	{{code language="none"}}
	21	set service ssh port
	22	{{/code}}
	23
7.1	24	== Шаг 2. Настройка внешнего интерфейса (eth0) ==
6.1	25
12.1	26	Укажите внешний IP-адрес и маску сети:
11.1	27
	28	{{code language="none"}}
	29	set interfaces ethernet eth0 address
	30	{{/code}}
	31
	32	{{code language="none"}}
	33	set interfaces ethernet eth0 description OUTSIDE
	34	{{/code}}
	35
7.1	36	== Шаг 3. Настройка внутреннего IP-адреса ==
6.1	37
11.1	38	Укажите внутренний IP-адрес и маску сети.
	39
	40	{{code language="none"}}
	41	set interfaces ethernet eth1 description INSIDE
	42	{{/code}}
	43
7.1	44	== Шаг 4. Прописывание маршрута ==
6.1	45
11.1	46	{{code language="none"}}
	47	set protocols static route 0.0.0.0/0 next-hop IP-адрес маршрутизатора distance 1
	48	{{/code}}
	49
7.1	50	=== Подшаг 4.1 Прописывание DNS-сервера для маршрутизатора ===
3.1	51
12.1	52	{{code language="none"}}
	53	set system name-server адрес DNS-сервера
	54	{{/code}}
11.1	55
7.1	56	== Шаг 5. Настройка NAT ==
6.1	57
8.1	58	=== Подшаг 5.1. Создание NAT-правила для внешнего интерфейса eth0 ===
6.1	59
12.1	60	{{code language="none"}}
	61	set nat source rule 100 outbound-interface eth0
	62	{{/code}}
	63
8.1	64	=== Подшаг 5.2. Правило NAT для адресов внутренней подсети ===
6.1	65
12.1	66	Укажите внутренний IP-адрес и маску сети:
	67
	68	{{code language="none"}}
	69	set nat source rule 100 source address
	70	{{/code}}
	71
8.1	72	=== Подшаг 5.3 Использование NAT трансляции для общения ресурса с внешним миром ===
3.1	73
13.1	74	{{code language="none"}}
	75	set nat source rule 100 translation address masquerade
	76	{{/code}}
	77
16.1	78	== Шаг 6. Проброс портов 1-к-1 (Port Forwarding) ==
6.1	79
15.1	80	=== Подшаг 6.1. Создание правила NAT номер 10 с указанием комментария ===
	81
14.1	82	{{code language="none"}}
	83	set nat destination rule 10 description 'Port Forward: HTTP to укажите внутренний IP-адрес (port 80->80)'
	84	{{/code}}
	85
16.1	86	=== Подшаг 6.2. Указание внешнего порта ===
6.1	87
16.1	88	{{code language="none"}}
	89	set nat destination rule 10 destination port 80
	90	{{/code}}
	91
17.1	92	=== Подшаг 6.3 Укажите, что пробрасываемый порт должен быть на внешнем интерфейсе eth0 ===
	93
	94	{{code language="none"}}
3.1	95	set nat destination rule 10 inbound-interface eth0
17.1	96	{{/code}}
	97
18.1	98	=== Подшаг 6.4. Укажите, что перенаправляться будет только TCP-трафик ===
17.1	99
18.1	100	{{code language="none"}}
3.1	101	set nat destination rule 10 protocol tcp
18.1	102	{{/code}}
3.1	103
19.1	104	=== Подшаг 6.5. Укажите, что трафик будет перенаправляться на внутренний адрес ===
3.1	105
18.1	106	{{code language="none"}}
	107	set nat destination rule 10 translation address укажите внутренний IP-адрес
	108	{{/code}}
	109
20.1	110	=== Шаг 7. Пробросьте трафик на другой порт ===
18.1	111
20.1	112	7.1. Описание аналогично шагу 6, за исключением того, что пробрасывается TCP и UDP трафик (protocol tcp_udp)
18.1	113
20.1	114	{{code language="none"}}
	115	set nat destination rule 20 description 'Port Forward: SSH to укажите внутренний IP-адрес (port 22->20022)'
	116	set nat destination rule 20 destination port 20022
	117	set nat destination rule 20 inbound-interface eth0
	118	set nat destination rule 20 protocol tcp_udp
	119	set nat destination rule 20 translation address укажите внутренний IP-адрес
	120
	121	{{/code}}
	122
	123	=== Подшаг 7.2. Укажите, на какой порт будет перенаправляться трафик (22-й), приходящий на порт 20022 ===
	124
	125	{{code language="none"}}
	126	set nat destination rule 20 translation port 22
	127	{{/code}}
	128
	129	=== Шаг 8. Создайте DHCP-сервер для внутренней сети ===
	130
	131	Подшаг 8.1. Создайте DHCP-сервер для внутренней сети
	132
	133	{{code language="none"}}
	134	set service dhcp-server shared-network-name LAN authoritative enable
	135	{{/code}}
	136
	137	{{info}}
	138	LAN — пример названия. Название может быть любым.
	139	{{/info}}
	140
	141	Подшаг 8.2. Укажите подсеть, для которой будет работать DHCP сервер, и диапазон адресов, который будет выдавать DHCP сервер
	142
	143	{{code language="none"}}
	144	set service dhcp-server shared-network-name LAN subnet * укажите адрес внутренней подсети* start укажите внутренний IP-адрес stop * укажите внутренний IP-адрес*
	145	{{/code}}
	146
	147	Подшаг 8.3. Укажите параметры, которые DHCP-сервер будет передавать клиентам
	148
	149	{{code language="none"}}
	150	set service dhcp-server shared-network-name LAN subnet указываем адрес внутренней подсети default-router указываем внутренний IP-адрес
	151	{{/code}}
	152
	153	Подшаг 8.4. Укажите маршрутизатор по умолчанию
	154
	155	{{code language="none"}}
	156	set service dhcp-server shared-network-name LAN subnet укажите адрес внутренней подсети dns-server укажите внутренний IP-адрес
	157	{{/code}}
	158
	159	Подшаг 8.5. Укажите DNS-сервер
	160
	161	{{code language="none"}}
	162	set service dhcp-server shared-network-name LAN subnet указываем адрес внутренней подсети domain-name internal.blackdiver.net
	163	{{/code}}
	164
20.5	165	Подшаг 8.6. Укажите имя локального домена (internal.blackdiver.net)
20.1	166
20.2	167	{{code language="none"}}
20.1	168	set service dhcp-server shared-network-name LAN subnet указываем адрес внутренней подсети lease 3600
20.2	169	{{/code}}
20.1	170
20.2	171	3600 секунд — время аренды адреса.
20.1	172
20.3	173	Шаг 9. Назначьте статические IP-адреса для DHCP-сервера
20.1	174
20.3	175	Для статического назначения IP адресов в DHCP используется стандартный алгоритм привязки MAC адреса к IP адресу. В примере сервер (SERVER1 – имя сервера. Имя может быть любым) с MAC-адресом 00:50:56:0c:02:14 статически привязан к IP- адресу 217.198.88.69 (пример).
20.2	176
20.3	177	{{code language="none"}}
	178	set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME ip-address 217.198.88.69
	179	set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME mac-address 00:50:56:0c:02:14
	180	{{/code}}
20.2	181
20.5	182	Шаг 10. Настройка DNS forwarding
20.4	183	Возможно только кэширование и перенаправление DNS-ответов от других DNS-серверов. Также доступен свой набор статических DNS-записей.
20.2	184
20.5	185	Подшаг 10.1. Укажите DNS-сервера, у которых маршрутизатор будет запрашивать информацию (8.8.8.8 и 8.8.4.4). Также вы можете использовать системные DNS-сервера, в таком случае вместо ручного перечисления серверов укажите:
20.3	186
20.5	187	{{code language="none"}}
20.4	188	set service dns forwarding name-server 8.8.8.8
20.5	189	{{/code}}
	190
	191	или:
	192
	193	{{code language="none"}}
20.4	194	set service dns forwarding system
20.5	195	{{/code}}
	196
	197	Подшаг 10.2. Укажите количество кэшируемых DNS-запросов, которые будут храниться в памяти маршрутизатора. В данном случае 0. DNS запросы будут не кешироваться, а каждый раз запрашиваться:
	198
	199	{{code language="none"}}
20.4	200	set service dns forwarding cache-size 0
20.5	201	{{/code}}
	202
	203	10.3. Укажите интерфейс, на котором будет работать DNS forwarding (eth1).
	204
	205	{{code language="none"}}
20.4	206	set service dns forwarding listen-on eth1
20.5	207	{{/code}}
20.3	208
20.6	209	Шаг 11. Создайте статические DNS-записи
20.4	210
20.6	211	Укажите, что для DNS записи ХХХХХХХ.com всегда отвечать адресом xxx.xxx.xxx.xxx. Для таких записей не запрашивается информация у других DNS-серверов, а сразу отдается заранее определенный ответ.
20.4	212
20.6	213	{{code language="none"}}
	214	set system static-host-mapping host-name ХХХХХХХ.com inet xxx.xxx.xxx.xxx
	215	{{/code}}
20.5	216
20.6	217	Шаг 12. Настройте L2TP/IPsec сервера.
20.5	218
20.6	219	Подшаг 12.1 Настройте IPSec
	220	Подшаг 12.1.1. Укажите, на каком интерфейсе будет работать IPsec (eth0)
	221
	222	{{code language="none"}}
	223	set vpn ipsec ipsec-interfaces interface eth0
	224	{{/code}}
	225
	226	12.1.2. Включаем NAT Traversal, чтобы корректно работать с клиентами, у которых NAT:
	227
	228	{{code language="none"}}
	229	set vpn ipsec nat-traversal enable
	230	{{/code}}
	231
	232	Подшаг 12.1.3. Укажите, откуда могут подключаться клиенты (0.0.0.0/0 – без ограничений)
	233
	234	{{code language="none"}}
	235	set vpn ipsec nat-networks allowed-network 0.0.0.0/0
	236	{{/code}}
	237
20.7	238	Подшаг 12.2. Настройте L2TP
20.6	239
20.7	240	Подшаг 12.2.1. Укажите внешний адрес, на который будут подключаться клиенты
	241
	242	{{code language="none"}}
20.6	243	set vpn l2tp remote-access outside-address указываем внешний IP-адрес
20.7	244	{{/code}}
	245
	246	Подшаг 12.2.2. Указываем диапазон адресов, которые будут выдаваться клиентам
	247
	248	{{code language="none"}}
20.6	249	set vpn l2tp remote-access client-ip-pool start указываем внутренний IP-адрес от
	250	set vpn l2tp remote-access client-ip-pool stop указываем внутренний IP-адрес до
20.7	251	{{/code}}
	252
	253	Подшаг 12.2.3. Для подключения будет использоваться PSK-ключ
	254
	255	{{code language="none"}}
20.6	256	set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
20.7	257	{{/code}}
	258
	259	Подшаг 12.2.4. Задайте PSK-ключ (MySecretKey)
	260
	261	{{code language="none"}}
20.6	262	set vpn l2tp remote-access dns-servers server-1 указываем внутренний IP-адрес
20.7	263	{{/code}}
	264
	265	Подшаг 12.2.5. Укажите DNS-сервер, который будет передаваться подключившимся пользователям (в примере используется ранее настроенный DNS forwarder)
	266
	267	Для аутентификации пользователей будет использоваться собственная база.
	268
	269	{{code language="none"}}
20.6	270	set vpn l2tp remote-access authentication mode local
20.7	271	{{/code}}
	272
	273	Подшаг 12.2.6. Создайте пользователя с именем user1 и паролем MyPassword.
	274
	275	{{code language="none"}}
20.6	276	set vpn l2tp remote-access authentication local-users username user1 password MyPassword
20.7	277	{{/code}}
	278
	279	Если пользователю требуется дать статический адрес при подключении через VPN, то введите следующее:
	280
	281	{{code language="none"}}
20.6	282	set vpn l2tp remote-access authentication local-users username user1 static-ip 217.198.88.70.1 (пример)
20.7	283	{{/code}}
20.6	284
20.7	285	В результате пользователи могут подключаться по L2TP к маршрутизатору, а также имеют доступ к внутренней сети
20.6	286
21.1	287	Шаг 13. Настройка выхода пользователей в интернет через VPN.
20.6	288
21.1	289	Добавьте правило NAT для адресов XXX.XXX.XXX.X-XXX
20.6	290
21.1	291	{{code language="none"}}
	292	set nat source rule 110 outbound-interface eth0
	293	set nat source rule 110 source address указываем внутреннюю подсеть
	294	set nat source rule 110 translation address masquerade
	295	{{/code}}
20.6	296
21.1	297	Создание правил NAT для L2TP полностью аналогично настройке NAT для внутренней сети.
	298
	299	Если для VPN клиентов используется DNS forwarder, то для каждого соединения L2TP опубликуйте сервис DNS forwarder. Подключите одновременно множество пользователей и после этого добавьте интерфейсы в DNS forwarding.
	300
	301	{{code language="none"}}
	302	set service dns forwarding listen-on l2tp0
	303	set service dns forwarding listen-on l2tp1
	304	set service dns forwarding listen-on l2tp2
	305	{{/code}}
	306
	307	14. Примените настройки и сохраните конфигурации
	308
	309	{{code language="none"}}
	310	commit
	311	save
	312	{{/code}}
	313
	314
10.1	315	[[В начало>>path:/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5%20%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5%20%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE%20VyOS/]] 🡱
	316	[[К предыдущему разделу>>doc:Сервис Виртуальное сетевое устройство VyOS.4\. Структура платежей.WebHome]] 🡰

Исходный код вики 5. Инструкция

Навигация

Приложения