Исходный код вики 5. Инструкция

Версия 25.1 от Ирина Сафонова на 01.09.2023, 16:12
Последние авторы
1 **Содержание**
2
3 {{toc/}}
4
5 = Вход в консоль =
6
7 ----
8
9 Для выполнения базовой настройки сервиса зайдите на установленный образ сервиса через консоли VMRC или VMWC.
10 [[image:__fileCreatedFromDataURI__.png]]
11
12 = Этапы настройки =
13
14 В ходе настройки команды вводятся в консоли или в SSH.
15
16 == Шаг 1. Включение доступа через SSH ==
17
18 Укажите порт:
19
20 {{code language="none"}}
21 set service ssh port
22 {{/code}}
23
24 == Шаг 2. Настройка внешнего интерфейса (eth0) ==
25
26 Укажите внешний IP-адрес и маску сети:
27
28 {{code language="none"}}
29 set interfaces ethernet eth0 address
30 {{/code}}
31
32 {{code language="none"}}
33 set interfaces ethernet eth0 description OUTSIDE
34 {{/code}}
35
36 == Шаг 3. Настройка внутреннего IP-адреса ==
37
38 Укажите внутренний IP-адрес и маску сети.
39
40 {{code language="none"}}
41 set interfaces ethernet eth1 description INSIDE
42 {{/code}}
43
44 == Шаг 4. Прописывание маршрута ==
45
46 {{code language="none"}}
47 set protocols static route 0.0.0.0/0 next-hop *IP-адрес маршрутизатора* distance 1
48 {{/code}}
49
50 === Подшаг 4.1 Прописывание DNS-сервера для маршрутизатора ===
51
52 {{code language="none"}}
53 set system name-server *адрес DNS-сервера*
54 {{/code}}
55
56 == Шаг 5. Настройка NAT ==
57
58 === Подшаг 5.1. Создание NAT-правила для внешнего интерфейса eth0 ===
59
60 {{code language="none"}}
61 set nat source rule 100 outbound-interface eth0
62 {{/code}}
63
64 === Подшаг 5.2. Правило NAT для адресов внутренней подсети ===
65
66 Укажите внутренний IP-адрес и маску сети:
67
68 {{code language="none"}}
69 set nat source rule 100 source address
70 {{/code}}
71
72 === Подшаг 5.3 Использование NAT трансляции для общения ресурса с внешним миром ===
73
74 {{code language="none"}}
75 set nat source rule 100 translation address masquerade
76 {{/code}}
77
78 == Шаг 6. Проброс портов 1-к-1 (Port Forwarding) ==
79
80 === Подшаг 6.1. Создание правила NAT номер 10 с указанием комментария ===
81
82 {{code language="none"}}
83 set nat destination rule 10 description 'Port Forward: HTTP to *укажите внутренний IP-адрес* (port 80->80)'
84 {{/code}}
85
86 === Подшаг 6.2. Указание внешнего порта ===
87
88 {{code language="none"}}
89 set nat destination rule 10 destination port 80
90 {{/code}}
91
92 === Подшаг 6.3 Укажите, что пробрасываемый порт должен быть на внешнем интерфейсе eth0 ===
93
94 {{code language="none"}}
95 set nat destination rule 10 inbound-interface eth0
96 {{/code}}
97
98 === Подшаг 6.4. Укажите, что перенаправляться будет только TCP-трафик ===
99
100 {{code language="none"}}
101 set nat destination rule 10 protocol tcp
102 {{/code}}
103
104 === Подшаг 6.5. Укажите, что трафик будет перенаправляться на внутренний адрес ===
105
106 {{code language="none"}}
107 set nat destination rule 10 translation address *укажите внутренний IP-адрес*
108 {{/code}}
109
110 === Шаг 7. Пробросьте трафик на другой порт ===
111
112 7.1. Описание аналогично шагу 6, за исключением того, что пробрасывается TCP и UDP трафик (protocol tcp_udp)
113
114 {{code language="none"}}
115 set nat destination rule 20 description 'Port Forward: SSH to *укажите внутренний IP-адрес* (port 22->20022)'
116 set nat destination rule 20 destination port 20022
117 set nat destination rule 20 inbound-interface eth0
118 set nat destination rule 20 protocol tcp_udp
119 set nat destination rule 20 translation address *укажите внутренний IP-адрес*
120
121 {{/code}}
122
123 === Подшаг 7.2. Укажите, на какой порт будет перенаправляться трафик (22-й), приходящий на порт 20022 ===
124
125 {{code language="none"}}
126 set nat destination rule 20 translation port 22
127 {{/code}}
128
129 == Шаг 8. Создайте DHCP-сервер для внутренней сети ==
130
131 === Подшаг 8.1. Создайте DHCP-сервер для внутренней сети ===
132
133 {{code language="none"}}
134 set service dhcp-server shared-network-name LAN authoritative enable
135 {{/code}}
136
137 {{info}}
138 LAN — пример названия. Название может быть любым.
139 {{/info}}
140
141 === Подшаг 8.2. Укажите подсеть, для которой будет работать DHCP сервер, и диапазон адресов, который будет выдавать DHCP сервер ===
142
143 {{code language="none"}}
144 set service dhcp-server shared-network-name LAN subnet * укажите адрес внутренней подсети* start *укажите внутренний IP-адрес* stop * укажите внутренний IP-адрес*
145 {{/code}}
146
147 === Подшаг 8.3. Укажите параметры, которые DHCP-сервер будет передавать клиентам ===
148
149 {{code language="none"}}
150 set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* default-router *указываем внутренний IP-адрес*
151 {{/code}}
152
153 === Подшаг 8.4. Укажите маршрутизатор по умолчанию ===
154
155 {{code language="none"}}
156 set service dhcp-server shared-network-name LAN subnet *укажите адрес внутренней подсети* dns-server *укажите внутренний IP-адрес*
157 {{/code}}
158
159 === Подшаг 8.5. Укажите DNS-сервер ===
160
161 {{code language="none"}}
162 set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* domain-name internal.blackdiver.net
163 {{/code}}
164
165 === Подшаг 8.6. Укажите имя локального домена (internal.blackdiver.net) ===
166
167 {{code language="none"}}
168 set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* lease 3600
169 {{/code}}
170
171 3600 секунд — время аренды адреса.
172
173 == Шаг 9. Назначьте статические IP-адреса для DHCP-сервера ==
174
175 Для статического назначения IP адресов в DHCP используется стандартный алгоритм привязки MAC адреса к IP адресу. В примере сервер (SERVER1 – имя сервера. Имя может быть любым) с MAC-адресом 00:50:56:0c:02:14 статически привязан к IP- адресу 217.198.88.69 (пример).
176
177 {{code language="none"}}
178 set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME ip-address 217.198.88.69
179 set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME mac-address 00:50:56:0c:02:14
180 {{/code}}
181
182 == Шаг 10. Настройка DNS forwarding ==
183
184 Возможно только кэширование и перенаправление DNS-ответов от других DNS-серверов. Также доступен свой набор статических DNS-записей.
185
186 === Подшаг 10.1. Укажите DNS-сервера, у которых маршрутизатор будет запрашивать информацию (8.8.8.8 и 8.8.4.4) ===
187
188 Также вы можете использовать системные DNS-сервера, в таком случае вместо ручного перечисления серверов укажите:
189
190 {{code language="none"}}
191 set service dns forwarding name-server 8.8.8.8
192 {{/code}}
193
194 или:
195
196 {{code language="none"}}
197 set service dns forwarding system
198 {{/code}}
199
200 === Подшаг 10.2. Укажите количество кэшируемых DNS-запросов, которые будут храниться в памяти маршрутизатора ===
201
202 В данном случае 0. DNS запросы будут не кешироваться, а каждый раз запрашиваться.
203
204 {{code language="none"}}
205 set service dns forwarding cache-size 0
206 {{/code}}
207
208 === 10.3. Укажите интерфейс, на котором будет работать DNS forwarding (eth1) ===
209
210 {{code language="none"}}
211 set service dns forwarding listen-on eth1
212 {{/code}}
213
214 == Шаг 11. Создайте статические DNS-записи ==
215
216 Укажите, что для DNS записи ХХХХХХХ.com всегда отвечать адресом xxx.xxx.xxx.xxx. Для таких записей не запрашивается информация у других DNS-серверов, а сразу отдается заранее определенный ответ.
217
218 {{code language="none"}}
219 set system static-host-mapping host-name ХХХХХХХ.com inet xxx.xxx.xxx.xxx
220 {{/code}}
221
222 == Шаг 12. Настройте L2TP/IPsec сервера ==
223
224 ==== Подшаг 12.1 Настройте IPSec
225 Подшаг 12.1.1. Укажите, на каком интерфейсе будет работать IPsec (eth0) ====
226
227 {{code language="none"}}
228 set vpn ipsec ipsec-interfaces interface eth0
229 {{/code}}
230
231 ==== Подшаг 12.1.2. Включите NAT Traversal ====
232
233 Это необходимс, чтобы корректно работать с клиентами, у которых NAT.
234
235 {{code language="none"}}
236 set vpn ipsec nat-traversal enable
237 {{/code}}
238
239 ==== Подшаг 12.1.3. Укажите, откуда могут подключаться клиенты (0.0.0.0/0 – без ограничений) ====
240
241 {{code language="none"}}
242 set vpn ipsec nat-networks allowed-network 0.0.0.0/0
243 {{/code}}
244
245 === Подшаг 12.2. Настройте L2TP ===
246
247 ==== Подшаг 12.2.1. Укажите внешний адрес, на который будут подключаться клиенты ====
248
249 {{code language="none"}}
250 set vpn l2tp remote-access outside-address *указываем внешний IP-адрес*
251 {{/code}}
252
253 ==== Подшаг 12.2.2. Укажите диапазон адресов, которые будут выдаваться клиентам ====
254
255 {{code language="none"}}
256 set vpn l2tp remote-access client-ip-pool start *указываем внутренний IP-адрес от*
257 set vpn l2tp remote-access client-ip-pool stop *указываем внутренний IP-адрес до*
258 {{/code}}
259
260 ==== Подшаг 12.2.3. Для подключения используйте PSK-ключ ====
261
262 {{code language="none"}}
263 set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
264 {{/code}}
265
266 ==== Подшаг 12.2.4. Задайте PSK-ключ (MySecretKey) ====
267
268 {{code language="none"}}
269 set vpn l2tp remote-access dns-servers server-1 *указываем внутренний IP-адрес*
270 {{/code}}
271
272 ==== Подшаг 12.2.5. Укажите DNS-сервер, который будет передаваться подключившимся пользователям ====
273
274 В примере используется ранее настроенный DNS forwarder. Для аутентификации пользователей будет использоваться собственная база.
275
276 {{code language="none"}}
277 set vpn l2tp remote-access authentication mode local
278 {{/code}}
279
280 ==== Подшаг 12.2.6. Создайте пользователя с именем **user1** и паролем **MyPassword**. ====
281
282 {{code language="none"}}
283 set vpn l2tp remote-access authentication local-users username user1 password MyPassword
284 {{/code}}
285
286 Если пользователю требуется дать статический адрес при подключении через VPN, то введите следующее:
287
288 {{code language="none"}}
289 set vpn l2tp remote-access authentication local-users username user1 static-ip 217.198.88.70.1 (пример)
290 {{/code}}
291
292 В результате пользователи могут подключаться по L2TP к маршрутизатору, а также имеют доступ к внутренней сети.
293
294 == Шаг 13. Настройте выход пользователей в интернет через VPN ==
295
296 Добавьте правило NAT для адресов XXX.XXX.XXX.X-XXX:
297
298 {{code language="none"}}
299 set nat source rule 110 outbound-interface eth0
300 set nat source rule 110 source address *указываем внутреннюю подсеть*
301 set nat source rule 110 translation address masquerade
302 {{/code}}
303
304 Создание правил NAT для L2TP полностью аналогично настройке NAT для внутренней сети.
305
306 Если для VPN клиентов используется DNS forwarder, то для каждого соединения L2TP опубликуйте сервис DNS forwarder. Подключите одновременно множество пользователей и после этого добавьте интерфейсы в DNS forwarding:
307
308 {{code language="none"}}
309 set service dns forwarding listen-on l2tp0
310 set service dns forwarding listen-on l2tp1
311 set service dns forwarding listen-on l2tp2
312 {{/code}}
313
314 == Шаг 14. Примените настройки и сохраните конфигурации ==
315
316 {{code language="none"}}
317 commit
318 save
319 {{/code}}
320
321 **[[В начало>>path:/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5%20%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5%20%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE%20VyOS/]] **🡱
322 **[[К предыдущему разделу>>doc:Сервис Виртуальное сетевое устройство VyOS.4\. Структура платежей.WebHome]] **🡰