Исходный код вики 5. Инструкция
Версия 21.1 от Ирина Сафонова на 01.09.2023, 16:04
Последние авторы
| author | version | line-number | content |
|---|---|---|---|
| 1 | **Содержание** | ||
| 2 | |||
| 3 | {{toc/}} | ||
| 4 | |||
| 5 | = Вход в консоль = | ||
| 6 | |||
| 7 | ---- | ||
| 8 | |||
| 9 | Для выполнения базовой настройки сервиса зайдите на установленный образ сервиса через консоли VMRC или VMWC. | ||
| 10 | [[image:__fileCreatedFromDataURI__.png]] | ||
| 11 | |||
| 12 | = Этапы настройки = | ||
| 13 | |||
| 14 | В ходе настройки команды вводятся в консоли или в SSH. | ||
| 15 | |||
| 16 | == Шаг 1. Включение доступа через SSH == | ||
| 17 | |||
| 18 | Укажите порт: | ||
| 19 | |||
| 20 | {{code language="none"}} | ||
| 21 | set service ssh port | ||
| 22 | {{/code}} | ||
| 23 | |||
| 24 | == Шаг 2. Настройка внешнего интерфейса (eth0) == | ||
| 25 | |||
| 26 | Укажите внешний IP-адрес и маску сети: | ||
| 27 | |||
| 28 | {{code language="none"}} | ||
| 29 | set interfaces ethernet eth0 address | ||
| 30 | {{/code}} | ||
| 31 | |||
| 32 | {{code language="none"}} | ||
| 33 | set interfaces ethernet eth0 description OUTSIDE | ||
| 34 | {{/code}} | ||
| 35 | |||
| 36 | == Шаг 3. Настройка внутреннего IP-адреса == | ||
| 37 | |||
| 38 | Укажите внутренний IP-адрес и маску сети. | ||
| 39 | |||
| 40 | {{code language="none"}} | ||
| 41 | set interfaces ethernet eth1 description INSIDE | ||
| 42 | {{/code}} | ||
| 43 | |||
| 44 | == Шаг 4. Прописывание маршрута == | ||
| 45 | |||
| 46 | {{code language="none"}} | ||
| 47 | set protocols static route 0.0.0.0/0 next-hop *IP-адрес маршрутизатора* distance 1 | ||
| 48 | {{/code}} | ||
| 49 | |||
| 50 | === Подшаг 4.1 Прописывание DNS-сервера для маршрутизатора === | ||
| 51 | |||
| 52 | {{code language="none"}} | ||
| 53 | set system name-server *адрес DNS-сервера* | ||
| 54 | {{/code}} | ||
| 55 | |||
| 56 | == Шаг 5. Настройка NAT == | ||
| 57 | |||
| 58 | === Подшаг 5.1. Создание NAT-правила для внешнего интерфейса eth0 === | ||
| 59 | |||
| 60 | {{code language="none"}} | ||
| 61 | set nat source rule 100 outbound-interface eth0 | ||
| 62 | {{/code}} | ||
| 63 | |||
| 64 | === Подшаг 5.2. Правило NAT для адресов внутренней подсети === | ||
| 65 | |||
| 66 | Укажите внутренний IP-адрес и маску сети: | ||
| 67 | |||
| 68 | {{code language="none"}} | ||
| 69 | set nat source rule 100 source address | ||
| 70 | {{/code}} | ||
| 71 | |||
| 72 | === Подшаг 5.3 Использование NAT трансляции для общения ресурса с внешним миром === | ||
| 73 | |||
| 74 | {{code language="none"}} | ||
| 75 | set nat source rule 100 translation address masquerade | ||
| 76 | {{/code}} | ||
| 77 | |||
| 78 | == Шаг 6. Проброс портов 1-к-1 (Port Forwarding) == | ||
| 79 | |||
| 80 | === Подшаг 6.1. Создание правила NAT номер 10 с указанием комментария === | ||
| 81 | |||
| 82 | {{code language="none"}} | ||
| 83 | set nat destination rule 10 description 'Port Forward: HTTP to *укажите внутренний IP-адрес* (port 80->80)' | ||
| 84 | {{/code}} | ||
| 85 | |||
| 86 | === Подшаг 6.2. Указание внешнего порта === | ||
| 87 | |||
| 88 | {{code language="none"}} | ||
| 89 | set nat destination rule 10 destination port 80 | ||
| 90 | {{/code}} | ||
| 91 | |||
| 92 | === Подшаг 6.3 Укажите, что пробрасываемый порт должен быть на внешнем интерфейсе eth0 === | ||
| 93 | |||
| 94 | {{code language="none"}} | ||
| 95 | set nat destination rule 10 inbound-interface eth0 | ||
| 96 | {{/code}} | ||
| 97 | |||
| 98 | === Подшаг 6.4. Укажите, что перенаправляться будет только TCP-трафик === | ||
| 99 | |||
| 100 | {{code language="none"}} | ||
| 101 | set nat destination rule 10 protocol tcp | ||
| 102 | {{/code}} | ||
| 103 | |||
| 104 | === Подшаг 6.5. Укажите, что трафик будет перенаправляться на внутренний адрес === | ||
| 105 | |||
| 106 | {{code language="none"}} | ||
| 107 | set nat destination rule 10 translation address *укажите внутренний IP-адрес* | ||
| 108 | {{/code}} | ||
| 109 | |||
| 110 | === Шаг 7. Пробросьте трафик на другой порт === | ||
| 111 | |||
| 112 | 7.1. Описание аналогично шагу 6, за исключением того, что пробрасывается TCP и UDP трафик (protocol tcp_udp) | ||
| 113 | |||
| 114 | {{code language="none"}} | ||
| 115 | set nat destination rule 20 description 'Port Forward: SSH to *укажите внутренний IP-адрес* (port 22->20022)' | ||
| 116 | set nat destination rule 20 destination port 20022 | ||
| 117 | set nat destination rule 20 inbound-interface eth0 | ||
| 118 | set nat destination rule 20 protocol tcp_udp | ||
| 119 | set nat destination rule 20 translation address *укажите внутренний IP-адрес* | ||
| 120 | |||
| 121 | {{/code}} | ||
| 122 | |||
| 123 | === Подшаг 7.2. Укажите, на какой порт будет перенаправляться трафик (22-й), приходящий на порт 20022 === | ||
| 124 | |||
| 125 | {{code language="none"}} | ||
| 126 | set nat destination rule 20 translation port 22 | ||
| 127 | {{/code}} | ||
| 128 | |||
| 129 | === Шаг 8. Создайте DHCP-сервер для внутренней сети === | ||
| 130 | |||
| 131 | Подшаг 8.1. Создайте DHCP-сервер для внутренней сети | ||
| 132 | |||
| 133 | {{code language="none"}} | ||
| 134 | set service dhcp-server shared-network-name LAN authoritative enable | ||
| 135 | {{/code}} | ||
| 136 | |||
| 137 | {{info}} | ||
| 138 | **LAN** — пример названия. Название может быть любым. | ||
| 139 | {{/info}} | ||
| 140 | |||
| 141 | Подшаг 8.2. Укажите подсеть, для которой будет работать DHCP сервер, и диапазон адресов, который будет выдавать DHCP сервер | ||
| 142 | |||
| 143 | {{code language="none"}} | ||
| 144 | set service dhcp-server shared-network-name LAN subnet * укажите адрес внутренней подсети* start *укажите внутренний IP-адрес* stop * укажите внутренний IP-адрес* | ||
| 145 | {{/code}} | ||
| 146 | |||
| 147 | Подшаг 8.3. Укажите параметры, которые DHCP-сервер будет передавать клиентам | ||
| 148 | |||
| 149 | {{code language="none"}} | ||
| 150 | set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* default-router *указываем внутренний IP-адрес* | ||
| 151 | {{/code}} | ||
| 152 | |||
| 153 | Подшаг 8.4. Укажите маршрутизатор по умолчанию | ||
| 154 | |||
| 155 | {{code language="none"}} | ||
| 156 | set service dhcp-server shared-network-name LAN subnet *укажите адрес внутренней подсети* dns-server *укажите внутренний IP-адрес* | ||
| 157 | {{/code}} | ||
| 158 | |||
| 159 | Подшаг 8.5. Укажите DNS-сервер | ||
| 160 | |||
| 161 | {{code language="none"}} | ||
| 162 | set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* domain-name internal.blackdiver.net | ||
| 163 | {{/code}} | ||
| 164 | |||
| 165 | Подшаг 8.6. Укажите имя локального домена (internal.blackdiver.net) | ||
| 166 | |||
| 167 | {{code language="none"}} | ||
| 168 | set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* lease 3600 | ||
| 169 | {{/code}} | ||
| 170 | |||
| 171 | 3600 секунд — время аренды адреса. | ||
| 172 | |||
| 173 | Шаг 9. Назначьте статические IP-адреса для DHCP-сервера | ||
| 174 | |||
| 175 | Для статического назначения IP адресов в DHCP используется стандартный алгоритм привязки MAC адреса к IP адресу. В примере сервер (SERVER1 – имя сервера. Имя может быть любым) с MAC-адресом 00:50:56:0c:02:14 статически привязан к IP- адресу 217.198.88.69 (пример). | ||
| 176 | |||
| 177 | {{code language="none"}} | ||
| 178 | set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME ip-address 217.198.88.69 | ||
| 179 | set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME mac-address 00:50:56:0c:02:14 | ||
| 180 | {{/code}} | ||
| 181 | |||
| 182 | Шаг 10. Настройка DNS forwarding | ||
| 183 | Возможно только кэширование и перенаправление DNS-ответов от других DNS-серверов. Также доступен свой набор статических DNS-записей. | ||
| 184 | |||
| 185 | Подшаг 10.1. Укажите DNS-сервера, у которых маршрутизатор будет запрашивать информацию (8.8.8.8 и 8.8.4.4). Также вы можете использовать системные DNS-сервера, в таком случае вместо ручного перечисления серверов укажите: | ||
| 186 | |||
| 187 | {{code language="none"}} | ||
| 188 | set service dns forwarding name-server 8.8.8.8 | ||
| 189 | {{/code}} | ||
| 190 | |||
| 191 | или: | ||
| 192 | |||
| 193 | {{code language="none"}} | ||
| 194 | set service dns forwarding system | ||
| 195 | {{/code}} | ||
| 196 | |||
| 197 | Подшаг 10.2. Укажите количество кэшируемых DNS-запросов, которые будут храниться в памяти маршрутизатора. В данном случае 0. DNS запросы будут не кешироваться, а каждый раз запрашиваться: | ||
| 198 | |||
| 199 | {{code language="none"}} | ||
| 200 | set service dns forwarding cache-size 0 | ||
| 201 | {{/code}} | ||
| 202 | |||
| 203 | 10.3. Укажите интерфейс, на котором будет работать DNS forwarding (eth1). | ||
| 204 | |||
| 205 | {{code language="none"}} | ||
| 206 | set service dns forwarding listen-on eth1 | ||
| 207 | {{/code}} | ||
| 208 | |||
| 209 | Шаг 11. Создайте статические DNS-записи | ||
| 210 | |||
| 211 | Укажите, что для DNS записи ХХХХХХХ.com всегда отвечать адресом xxx.xxx.xxx.xxx. Для таких записей не запрашивается информация у других DNS-серверов, а сразу отдается заранее определенный ответ. | ||
| 212 | |||
| 213 | {{code language="none"}} | ||
| 214 | set system static-host-mapping host-name ХХХХХХХ.com inet xxx.xxx.xxx.xxx | ||
| 215 | {{/code}} | ||
| 216 | |||
| 217 | Шаг 12. Настройте L2TP/IPsec сервера. | ||
| 218 | |||
| 219 | Подшаг 12.1 Настройте IPSec | ||
| 220 | Подшаг 12.1.1. Укажите, на каком интерфейсе будет работать IPsec (eth0) | ||
| 221 | |||
| 222 | {{code language="none"}} | ||
| 223 | set vpn ipsec ipsec-interfaces interface eth0 | ||
| 224 | {{/code}} | ||
| 225 | |||
| 226 | 12.1.2. Включаем NAT Traversal, чтобы корректно работать с клиентами, у которых NAT: | ||
| 227 | |||
| 228 | {{code language="none"}} | ||
| 229 | set vpn ipsec nat-traversal enable | ||
| 230 | {{/code}} | ||
| 231 | |||
| 232 | Подшаг 12.1.3. Укажите, откуда могут подключаться клиенты (0.0.0.0/0 – без ограничений) | ||
| 233 | |||
| 234 | {{code language="none"}} | ||
| 235 | set vpn ipsec nat-networks allowed-network 0.0.0.0/0 | ||
| 236 | {{/code}} | ||
| 237 | |||
| 238 | Подшаг 12.2. Настройте L2TP | ||
| 239 | |||
| 240 | Подшаг 12.2.1. Укажите внешний адрес, на который будут подключаться клиенты | ||
| 241 | |||
| 242 | {{code language="none"}} | ||
| 243 | set vpn l2tp remote-access outside-address *указываем внешний IP-адрес* | ||
| 244 | {{/code}} | ||
| 245 | |||
| 246 | Подшаг 12.2.2. Указываем диапазон адресов, которые будут выдаваться клиентам | ||
| 247 | |||
| 248 | {{code language="none"}} | ||
| 249 | set vpn l2tp remote-access client-ip-pool start *указываем внутренний IP-адрес от* | ||
| 250 | set vpn l2tp remote-access client-ip-pool stop *указываем внутренний IP-адрес до* | ||
| 251 | {{/code}} | ||
| 252 | |||
| 253 | Подшаг 12.2.3. Для подключения будет использоваться PSK-ключ | ||
| 254 | |||
| 255 | {{code language="none"}} | ||
| 256 | set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret | ||
| 257 | {{/code}} | ||
| 258 | |||
| 259 | Подшаг 12.2.4. Задайте PSK-ключ (MySecretKey) | ||
| 260 | |||
| 261 | {{code language="none"}} | ||
| 262 | set vpn l2tp remote-access dns-servers server-1 *указываем внутренний IP-адрес* | ||
| 263 | {{/code}} | ||
| 264 | |||
| 265 | Подшаг 12.2.5. Укажите DNS-сервер, который будет передаваться подключившимся пользователям (в примере используется ранее настроенный DNS forwarder) | ||
| 266 | |||
| 267 | Для аутентификации пользователей будет использоваться собственная база. | ||
| 268 | |||
| 269 | {{code language="none"}} | ||
| 270 | set vpn l2tp remote-access authentication mode local | ||
| 271 | {{/code}} | ||
| 272 | |||
| 273 | Подшаг 12.2.6. Создайте пользователя с именем **user1** и паролем **MyPassword**. | ||
| 274 | |||
| 275 | {{code language="none"}} | ||
| 276 | set vpn l2tp remote-access authentication local-users username user1 password MyPassword | ||
| 277 | {{/code}} | ||
| 278 | |||
| 279 | Если пользователю требуется дать статический адрес при подключении через VPN, то введите следующее: | ||
| 280 | |||
| 281 | {{code language="none"}} | ||
| 282 | set vpn l2tp remote-access authentication local-users username user1 static-ip 217.198.88.70.1 (пример) | ||
| 283 | {{/code}} | ||
| 284 | |||
| 285 | В результате пользователи могут подключаться по L2TP к маршрутизатору, а также имеют доступ к внутренней сети | ||
| 286 | |||
| 287 | Шаг 13. Настройка выхода пользователей в интернет через VPN. | ||
| 288 | |||
| 289 | Добавьте правило NAT для адресов XXX.XXX.XXX.X-XXX | ||
| 290 | |||
| 291 | {{code language="none"}} | ||
| 292 | set nat source rule 110 outbound-interface eth0 | ||
| 293 | set nat source rule 110 source address *указываем внутреннюю подсеть* | ||
| 294 | set nat source rule 110 translation address masquerade | ||
| 295 | {{/code}} | ||
| 296 | |||
| 297 | Создание правил NAT для L2TP полностью аналогично настройке NAT для внутренней сети. | ||
| 298 | |||
| 299 | Если для VPN клиентов используется DNS forwarder, то для каждого соединения L2TP опубликуйте сервис DNS forwarder. Подключите одновременно множество пользователей и после этого добавьте интерфейсы в DNS forwarding. | ||
| 300 | |||
| 301 | {{code language="none"}} | ||
| 302 | set service dns forwarding listen-on l2tp0 | ||
| 303 | set service dns forwarding listen-on l2tp1 | ||
| 304 | set service dns forwarding listen-on l2tp2 | ||
| 305 | {{/code}} | ||
| 306 | |||
| 307 | 14. Примените настройки и сохраните конфигурации | ||
| 308 | |||
| 309 | {{code language="none"}} | ||
| 310 | commit | ||
| 311 | save | ||
| 312 | {{/code}} | ||
| 313 | |||
| 314 | |||
| 315 | **[[В начало>>path:/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5%20%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5%20%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE%20VyOS/]] **🡱 | ||
| 316 | **[[К предыдущему разделу>>doc:Сервис Виртуальное сетевое устройство VyOS.4\. Структура платежей.WebHome]] **🡰 |