Исходный код вики 5. Инструкция

Версия 22.1 от Ирина Сафонова на 01.09.2023, 16:10

version	line-number	content
1.2	1	Содержание
	2
2.1	3	{{toc/}}
1.2	4
2.1	5	= Вход в консоль =
1.2	6
2.1	7	----
1.2	8
2.1	9	Для выполнения базовой настройки сервиса зайдите на установленный образ сервиса через консоли VMRC или VMWC.
	10	[[image:__fileCreatedFromDataURI__.png]]
	11
3.1	12	= Этапы настройки =
2.1	13
11.1	14	В ходе настройки команды вводятся в консоли или в SSH.
	15
7.1	16	== Шаг 1. Включение доступа через SSH ==
6.1	17
12.1	18	Укажите порт:
11.1	19
	20	{{code language="none"}}
	21	set service ssh port
	22	{{/code}}
	23
7.1	24	== Шаг 2. Настройка внешнего интерфейса (eth0) ==
6.1	25
12.1	26	Укажите внешний IP-адрес и маску сети:
11.1	27
	28	{{code language="none"}}
	29	set interfaces ethernet eth0 address
	30	{{/code}}
	31
	32	{{code language="none"}}
	33	set interfaces ethernet eth0 description OUTSIDE
	34	{{/code}}
	35
7.1	36	== Шаг 3. Настройка внутреннего IP-адреса ==
6.1	37
11.1	38	Укажите внутренний IP-адрес и маску сети.
	39
	40	{{code language="none"}}
	41	set interfaces ethernet eth1 description INSIDE
	42	{{/code}}
	43
7.1	44	== Шаг 4. Прописывание маршрута ==
6.1	45
11.1	46	{{code language="none"}}
	47	set protocols static route 0.0.0.0/0 next-hop IP-адрес маршрутизатора distance 1
	48	{{/code}}
	49
7.1	50	=== Подшаг 4.1 Прописывание DNS-сервера для маршрутизатора ===
3.1	51
12.1	52	{{code language="none"}}
	53	set system name-server адрес DNS-сервера
	54	{{/code}}
11.1	55
7.1	56	== Шаг 5. Настройка NAT ==
6.1	57
8.1	58	=== Подшаг 5.1. Создание NAT-правила для внешнего интерфейса eth0 ===
6.1	59
12.1	60	{{code language="none"}}
	61	set nat source rule 100 outbound-interface eth0
	62	{{/code}}
	63
8.1	64	=== Подшаг 5.2. Правило NAT для адресов внутренней подсети ===
6.1	65
12.1	66	Укажите внутренний IP-адрес и маску сети:
	67
	68	{{code language="none"}}
	69	set nat source rule 100 source address
	70	{{/code}}
	71
8.1	72	=== Подшаг 5.3 Использование NAT трансляции для общения ресурса с внешним миром ===
3.1	73
13.1	74	{{code language="none"}}
	75	set nat source rule 100 translation address masquerade
	76	{{/code}}
	77
16.1	78	== Шаг 6. Проброс портов 1-к-1 (Port Forwarding) ==
6.1	79
15.1	80	=== Подшаг 6.1. Создание правила NAT номер 10 с указанием комментария ===
	81
14.1	82	{{code language="none"}}
	83	set nat destination rule 10 description 'Port Forward: HTTP to укажите внутренний IP-адрес (port 80->80)'
	84	{{/code}}
	85
16.1	86	=== Подшаг 6.2. Указание внешнего порта ===
6.1	87
16.1	88	{{code language="none"}}
	89	set nat destination rule 10 destination port 80
	90	{{/code}}
	91
17.1	92	=== Подшаг 6.3 Укажите, что пробрасываемый порт должен быть на внешнем интерфейсе eth0 ===
	93
	94	{{code language="none"}}
3.1	95	set nat destination rule 10 inbound-interface eth0
17.1	96	{{/code}}
	97
18.1	98	=== Подшаг 6.4. Укажите, что перенаправляться будет только TCP-трафик ===
17.1	99
18.1	100	{{code language="none"}}
3.1	101	set nat destination rule 10 protocol tcp
18.1	102	{{/code}}
3.1	103
19.1	104	=== Подшаг 6.5. Укажите, что трафик будет перенаправляться на внутренний адрес ===
3.1	105
18.1	106	{{code language="none"}}
	107	set nat destination rule 10 translation address укажите внутренний IP-адрес
	108	{{/code}}
	109
20.1	110	=== Шаг 7. Пробросьте трафик на другой порт ===
18.1	111
20.1	112	7.1. Описание аналогично шагу 6, за исключением того, что пробрасывается TCP и UDP трафик (protocol tcp_udp)
18.1	113
20.1	114	{{code language="none"}}
	115	set nat destination rule 20 description 'Port Forward: SSH to укажите внутренний IP-адрес (port 22->20022)'
	116	set nat destination rule 20 destination port 20022
	117	set nat destination rule 20 inbound-interface eth0
	118	set nat destination rule 20 protocol tcp_udp
	119	set nat destination rule 20 translation address укажите внутренний IP-адрес
	120
	121	{{/code}}
	122
	123	=== Подшаг 7.2. Укажите, на какой порт будет перенаправляться трафик (22-й), приходящий на порт 20022 ===
	124
	125	{{code language="none"}}
	126	set nat destination rule 20 translation port 22
	127	{{/code}}
	128
	129	=== Шаг 8. Создайте DHCP-сервер для внутренней сети ===
	130
	131	Подшаг 8.1. Создайте DHCP-сервер для внутренней сети
	132
	133	{{code language="none"}}
	134	set service dhcp-server shared-network-name LAN authoritative enable
	135	{{/code}}
	136
	137	{{info}}
22.1	138	LAN — пример названия. Название может быть любым.
20.1	139	{{/info}}
	140
22.1	141	=== Подшаг 8.2. Укажите подсеть, для которой будет работать DHCP сервер, и диапазон адресов, который будет выдавать DHCP сервер ===
20.1	142
	143	{{code language="none"}}
	144	set service dhcp-server shared-network-name LAN subnet * укажите адрес внутренней подсети* start укажите внутренний IP-адрес stop * укажите внутренний IP-адрес*
	145	{{/code}}
	146
22.1	147	=== Подшаг 8.3. Укажите параметры, которые DHCP-сервер будет передавать клиентам ===
20.1	148
	149	{{code language="none"}}
	150	set service dhcp-server shared-network-name LAN subnet указываем адрес внутренней подсети default-router указываем внутренний IP-адрес
	151	{{/code}}
	152
22.1	153	=== Подшаг 8.4. Укажите маршрутизатор по умолчанию ===
20.1	154
	155	{{code language="none"}}
	156	set service dhcp-server shared-network-name LAN subnet укажите адрес внутренней подсети dns-server укажите внутренний IP-адрес
	157	{{/code}}
	158
22.1	159	=== Подшаг 8.5. Укажите DNS-сервер ===
20.1	160
	161	{{code language="none"}}
	162	set service dhcp-server shared-network-name LAN subnet указываем адрес внутренней подсети domain-name internal.blackdiver.net
	163	{{/code}}
	164
22.1	165	=== Подшаг 8.6. Укажите имя локального домена (internal.blackdiver.net) ===
20.1	166
20.2	167	{{code language="none"}}
20.1	168	set service dhcp-server shared-network-name LAN subnet указываем адрес внутренней подсети lease 3600
20.2	169	{{/code}}
20.1	170
20.2	171	3600 секунд — время аренды адреса.
20.1	172
22.1	173	== Шаг 9. Назначьте статические IP-адреса для DHCP-сервера ==
20.1	174
20.3	175	Для статического назначения IP адресов в DHCP используется стандартный алгоритм привязки MAC адреса к IP адресу. В примере сервер (SERVER1 – имя сервера. Имя может быть любым) с MAC-адресом 00:50:56:0c:02:14 статически привязан к IP- адресу 217.198.88.69 (пример).
20.2	176
20.3	177	{{code language="none"}}
	178	set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME ip-address 217.198.88.69
	179	set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME mac-address 00:50:56:0c:02:14
	180	{{/code}}
20.2	181
22.1	182	= Шаг 10. Настройка DNS forwarding =
	183
20.4	184	Возможно только кэширование и перенаправление DNS-ответов от других DNS-серверов. Также доступен свой набор статических DNS-записей.
20.2	185
22.1	186	=== Подшаг 10.1. Укажите DNS-сервера, у которых маршрутизатор будет запрашивать информацию (8.8.8.8 и 8.8.4.4) ===
20.3	187
22.1	188	Также вы можете использовать системные DNS-сервера, в таком случае вместо ручного перечисления серверов укажите:
	189
20.5	190	{{code language="none"}}
20.4	191	set service dns forwarding name-server 8.8.8.8
20.5	192	{{/code}}
	193
	194	или:
	195
	196	{{code language="none"}}
20.4	197	set service dns forwarding system
20.5	198	{{/code}}
	199
22.1	200	=== Подшаг 10.2. Укажите количество кэшируемых DNS-запросов, которые будут храниться в памяти маршрутизатора ===
20.5	201
22.1	202	В данном случае 0. DNS запросы будут не кешироваться, а каждый раз запрашиваться.
	203
20.5	204	{{code language="none"}}
20.4	205	set service dns forwarding cache-size 0
20.5	206	{{/code}}
	207
22.1	208	=== 10.3. Укажите интерфейс, на котором будет работать DNS forwarding (eth1) ===
20.5	209
	210	{{code language="none"}}
20.4	211	set service dns forwarding listen-on eth1
20.5	212	{{/code}}
20.3	213
22.1	214	== Шаг 11. Создайте статические DNS-записи ==
20.4	215
20.6	216	Укажите, что для DNS записи ХХХХХХХ.com всегда отвечать адресом xxx.xxx.xxx.xxx. Для таких записей не запрашивается информация у других DNS-серверов, а сразу отдается заранее определенный ответ.
20.4	217
20.6	218	{{code language="none"}}
	219	set system static-host-mapping host-name ХХХХХХХ.com inet xxx.xxx.xxx.xxx
	220	{{/code}}
20.5	221
22.1	222	== Шаг 12. Настройте L2TP/IPsec сервера ==
20.5	223
22.1	224	==== Подшаг 12.1 Настройте IPSec
	225	Подшаг 12.1.1. Укажите, на каком интерфейсе будет работать IPsec (eth0) ====
20.6	226
	227	{{code language="none"}}
	228	set vpn ipsec ipsec-interfaces interface eth0
	229	{{/code}}
	230
22.1	231	==== Подшаг 12.1.2. Включите NAT Traversal ====
20.6	232
22.1	233	Это необходимс, чтобы корректно работать с клиентами, у которых NAT.
	234
20.6	235	{{code language="none"}}
	236	set vpn ipsec nat-traversal enable
	237	{{/code}}
	238
22.1	239	==== Подшаг 12.1.3. Укажите, откуда могут подключаться клиенты (0.0.0.0/0 – без ограничений) ====
20.6	240
	241	{{code language="none"}}
	242	set vpn ipsec nat-networks allowed-network 0.0.0.0/0
	243	{{/code}}
	244
22.1	245	=== Подшаг 12.2. Настройте L2TP ===
20.6	246
22.1	247	==== Подшаг 12.2.1. Укажите внешний адрес, на который будут подключаться клиенты ====
20.7	248
	249	{{code language="none"}}
20.6	250	set vpn l2tp remote-access outside-address указываем внешний IP-адрес
20.7	251	{{/code}}
	252
22.1	253	==== Подшаг 12.2.2. Укажите диапазон адресов, которые будут выдаваться клиентам ====
20.7	254
	255	{{code language="none"}}
20.6	256	set vpn l2tp remote-access client-ip-pool start указываем внутренний IP-адрес от
	257	set vpn l2tp remote-access client-ip-pool stop указываем внутренний IP-адрес до
20.7	258	{{/code}}
	259
22.1	260	==== Подшаг 12.2.3. Для подключения используйте PSK-ключ ====
20.7	261
	262	{{code language="none"}}
20.6	263	set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
20.7	264	{{/code}}
	265
22.1	266	==== Подшаг 12.2.4. Задайте PSK-ключ (MySecretKey) ====
20.7	267
	268	{{code language="none"}}
20.6	269	set vpn l2tp remote-access dns-servers server-1 указываем внутренний IP-адрес
20.7	270	{{/code}}
	271
22.1	272	==== Подшаг 12.2.5. Укажите DNS-сервер, который будет передаваться подключившимся пользователям ====
20.7	273
22.1	274	В примере используется ранее настроенный DNS forwarder. Для аутентификации пользователей будет использоваться собственная база.
20.7	275
	276	{{code language="none"}}
20.6	277	set vpn l2tp remote-access authentication mode local
20.7	278	{{/code}}
	279
22.1	280	==== Подшаг 12.2.6. Создайте пользователя с именем user1 и паролем MyPassword. ====
20.7	281
	282	{{code language="none"}}
20.6	283	set vpn l2tp remote-access authentication local-users username user1 password MyPassword
20.7	284	{{/code}}
	285
	286	Если пользователю требуется дать статический адрес при подключении через VPN, то введите следующее:
	287
	288	{{code language="none"}}
20.6	289	set vpn l2tp remote-access authentication local-users username user1 static-ip 217.198.88.70.1 (пример)
20.7	290	{{/code}}
20.6	291
22.1	292	В результате пользователи могут подключаться по L2TP к маршрутизатору, а также имеют доступ к внутренней сети.
20.6	293
22.1	294	== Шаг 13. Настройте выход пользователей в интернет через VPN ==
20.6	295
22.1	296	Добавьте правило NAT для адресов XXX.XXX.XXX.X-XXX:
20.6	297
21.1	298	{{code language="none"}}
	299	set nat source rule 110 outbound-interface eth0
	300	set nat source rule 110 source address указываем внутреннюю подсеть
	301	set nat source rule 110 translation address masquerade
	302	{{/code}}
20.6	303
21.1	304	Создание правил NAT для L2TP полностью аналогично настройке NAT для внутренней сети.
	305
22.1	306	Если для VPN клиентов используется DNS forwarder, то для каждого соединения L2TP опубликуйте сервис DNS forwarder. Подключите одновременно множество пользователей и после этого добавьте интерфейсы в DNS forwarding:
21.1	307
	308	{{code language="none"}}
	309	set service dns forwarding listen-on l2tp0
	310	set service dns forwarding listen-on l2tp1
	311	set service dns forwarding listen-on l2tp2
	312	{{/code}}
	313
22.1	314	== Шаг 14. Примените настройки и сохраните конфигурации ==
21.1	315
	316	{{code language="none"}}
	317	commit
	318	save
	319	{{/code}}
	320
10.1	321	[[В начало>>path:/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5%20%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5%20%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE%20VyOS/]] 🡱
	322	[[К предыдущему разделу>>doc:Сервис Виртуальное сетевое устройство VyOS.4\. Структура платежей.WebHome]] 🡰

Исходный код вики 5. Инструкция

Навигация

Приложения