Исходный код вики 5. Инструкция

Версия 27.1 от Ирина Сафонова на 01.09.2023, 16:21
Последние авторы
1 **Содержание**
2
3 {{toc/}}
4
5 = Вход в консоль =
6
7 ----
8
9 Для выполнения базовой настройки сервиса зайдите на установленный образ сервиса через консоли VMRC или VMWC.
10 [[image:__fileCreatedFromDataURI__.png]]
11
12 = Этапы настройки =
13
14 В ходе настройки команды вводятся в консоли или в SSH.
15
16 == Шаг 1. Включение доступа через SSH ==
17
18 Укажите порт:
19
20 {{code language="none"}}
21 set service ssh port
22 {{/code}}
23
24 == Шаг 2. Настройка внешнего интерфейса (eth0) ==
25
26 Укажите внешний IP-адрес и маску сети:
27
28 {{code language="none"}}
29 set interfaces ethernet eth0 address
30 {{/code}}
31
32 {{code language="none"}}
33 set interfaces ethernet eth0 description OUTSIDE
34 {{/code}}
35
36 == Шаг 3. Настройка внутреннего IP-адреса ==
37
38 Укажите внутренний IP-адрес и маску сети.
39
40 {{code language="none"}}
41 set interfaces ethernet eth1 description INSIDE
42 {{/code}}
43
44 == Шаг 4. Прописывание маршрута ==
45
46 {{code language="none"}}
47 set protocols static route 0.0.0.0/0 next-hop *IP-адрес маршрутизатора* distance 1
48 {{/code}}
49
50 === Подшаг 4.1 Прописывание DNS-сервера для маршрутизатора ===
51
52 {{code language="none"}}
53 set system name-server *адрес DNS-сервера*
54 {{/code}}
55
56 == Шаг 5. Настройка NAT ==
57
58 === Подшаг 5.1. Создание NAT-правила для внешнего интерфейса eth0 ===
59
60 {{code language="none"}}
61 set nat source rule 100 outbound-interface eth0
62 {{/code}}
63
64 === Подшаг 5.2. Правило NAT для адресов внутренней подсети ===
65
66 Укажите внутренний IP-адрес и маску сети:
67
68 {{code language="none"}}
69 set nat source rule 100 source address
70 {{/code}}
71
72 === Подшаг 5.3 Использование NAT трансляции для общения ресурса с внешним миром ===
73
74 {{code language="none"}}
75 set nat source rule 100 translation address masquerade
76 {{/code}}
77
78 == Шаг 6. Проброс портов 1-к-1 (Port Forwarding) ==
79
80 === Подшаг 6.1. Создание правила NAT номер 10 с указанием комментария ===
81
82 {{code language="none"}}
83 set nat destination rule 10 description 'Port Forward: HTTP to *укажите внутренний IP-адрес* (port 80->80)'
84 {{/code}}
85
86 === Подшаг 6.2. Указание внешнего порта ===
87
88 {{code language="none"}}
89 set nat destination rule 10 destination port 80
90 {{/code}}
91
92 === Подшаг 6.3 Укажите, что пробрасываемый порт должен быть на внешнем интерфейсе eth0 ===
93
94 {{code language="none"}}
95 set nat destination rule 10 inbound-interface eth0
96 {{/code}}
97
98 === Подшаг 6.4. Укажите, что перенаправляться будет только TCP-трафик ===
99
100 {{code language="none"}}
101 set nat destination rule 10 protocol tcp
102 {{/code}}
103
104 === Подшаг 6.5. Укажите, что трафик будет перенаправляться на внутренний адрес ===
105
106 {{code language="none"}}
107 set nat destination rule 10 translation address *укажите внутренний IP-адрес*
108 {{/code}}
109
110 == Шаг 7. Пробросьте трафик на другой порт ==
111
112 7.1. Сделайте настройки по аналогии с шагом 6
113
114 Настройки аналогичны, за исключением того, что пробрасывается TCP и UDP трафик (protocol tcp_udp).
115
116 {{code language="none"}}
117 set nat destination rule 20 description 'Port Forward: SSH to *укажите внутренний IP-адрес* (port 22->20022)'
118 set nat destination rule 20 destination port 20022
119 set nat destination rule 20 inbound-interface eth0
120 set nat destination rule 20 protocol tcp_udp
121 set nat destination rule 20 translation address *укажите внутренний IP-адрес*
122
123 {{/code}}
124
125 === Подшаг 7.2. Укажите, на какой порт будет перенаправляться трафик (22-й), приходящий на порт 20022 ===
126
127 {{code language="none"}}
128 set nat destination rule 20 translation port 22
129 {{/code}}
130
131 == Шаг 8. Создайте DHCP-сервер для внутренней сети ==
132
133 === Подшаг 8.1. Создайте DHCP-сервер для внутренней сети ===
134
135 {{code language="none"}}
136 set service dhcp-server shared-network-name LAN authoritative enable
137 {{/code}}
138
139 {{info}}
140 LAN — пример названия. Название может быть любым.
141 {{/info}}
142
143 === Подшаг 8.2. Укажите подсеть, для которой будет работать DHCP сервер, и диапазон адресов, который будет выдавать DHCP сервер ===
144
145 {{code language="none"}}
146 set service dhcp-server shared-network-name LAN subnet * укажите адрес внутренней подсети* start *укажите внутренний IP-адрес* stop * укажите внутренний IP-адрес*
147 {{/code}}
148
149 === Подшаг 8.3. Укажите параметры, которые DHCP-сервер будет передавать клиентам ===
150
151 {{code language="none"}}
152 set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* default-router *указываем внутренний IP-адрес*
153 {{/code}}
154
155 === Подшаг 8.4. Укажите маршрутизатор по умолчанию ===
156
157 {{code language="none"}}
158 set service dhcp-server shared-network-name LAN subnet *укажите адрес внутренней подсети* dns-server *укажите внутренний IP-адрес*
159 {{/code}}
160
161 === Подшаг 8.5. Укажите DNS-сервер ===
162
163 {{code language="none"}}
164 set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* domain-name internal.blackdiver.net
165 {{/code}}
166
167 === Подшаг 8.6. Укажите имя локального домена (internal.blackdiver.net) ===
168
169 {{code language="none"}}
170 set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* lease 3600
171 {{/code}}
172
173 3600 секунд — время аренды адреса.
174
175 == Шаг 9. Назначьте статические IP-адреса для DHCP-сервера ==
176
177 Для статического назначения IP адресов в DHCP используется стандартный алгоритм привязки MAC адреса к IP адресу. В примере сервер (SERVER1 – имя сервера. Имя может быть любым) с MAC-адресом 00:50:56:0c:02:14 статически привязан к IP- адресу 217.198.88.69 (пример).
178
179 {{code language="none"}}
180 set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME ip-address 217.198.88.69
181 set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME mac-address 00:50:56:0c:02:14
182 {{/code}}
183
184 == Шаг 10. Настройка DNS forwarding ==
185
186 Возможно только кэширование и перенаправление DNS-ответов от других DNS-серверов. Также доступен свой набор статических DNS-записей.
187
188 === Подшаг 10.1. Укажите DNS-сервера, у которых маршрутизатор будет запрашивать информацию (8.8.8.8 и 8.8.4.4) ===
189
190 Также вы можете использовать системные DNS-сервера, в таком случае вместо ручного перечисления серверов укажите:
191
192 {{code language="none"}}
193 set service dns forwarding name-server 8.8.8.8
194 {{/code}}
195
196 или:
197
198 {{code language="none"}}
199 set service dns forwarding system
200 {{/code}}
201
202 === Подшаг 10.2. Укажите количество кэшируемых DNS-запросов, которые будут храниться в памяти маршрутизатора ===
203
204 В данном случае 0. DNS запросы будут не кешироваться, а каждый раз запрашиваться:
205
206 {{code language="none"}}
207 set service dns forwarding cache-size 0
208 {{/code}}
209
210 === 10.3. Укажите интерфейс, на котором будет работать DNS forwarding (eth1) ===
211
212 {{code language="none"}}
213 set service dns forwarding listen-on eth1
214 {{/code}}
215
216 == Шаг 11. Создайте статические DNS-записи ==
217
218 Укажите, что для DNS записи ХХХХХХХ.com всегда отвечать адресом xxx.xxx.xxx.xxx. Для таких записей не запрашивается информация у других DNS-серверов, а сразу отдается заранее определенный ответ.
219
220 {{code language="none"}}
221 set system static-host-mapping host-name ХХХХХХХ.com inet xxx.xxx.xxx.xxx
222 {{/code}}
223
224 == Шаг 12. Настройте L2TP/IPsec сервера ==
225
226 ==== Подшаг 12.1 Настройте IPSec
227 Подшаг 12.1.1. Укажите, на каком интерфейсе будет работать IPsec (eth0) ====
228
229 {{code language="none"}}
230 set vpn ipsec ipsec-interfaces interface eth0
231 {{/code}}
232
233 ==== Подшаг 12.1.2. Включите NAT Traversal ====
234
235 Это необходимо, чтобы корректно работать с клиентами, у которых NAT.
236
237 {{code language="none"}}
238 set vpn ipsec nat-traversal enable
239 {{/code}}
240
241 ==== Подшаг 12.1.3. Укажите, откуда могут подключаться клиенты (0.0.0.0/0 – без ограничений) ====
242
243 {{code language="none"}}
244 set vpn ipsec nat-networks allowed-network 0.0.0.0/0
245 {{/code}}
246
247 === Подшаг 12.2. Настройте L2TP ===
248
249 ==== Подшаг 12.2.1. Укажите внешний адрес, на который будут подключаться клиенты ====
250
251 {{code language="none"}}
252 set vpn l2tp remote-access outside-address *указываем внешний IP-адрес*
253 {{/code}}
254
255 ==== Подшаг 12.2.2. Укажите диапазон адресов, которые будут выдаваться клиентам ====
256
257 {{code language="none"}}
258 set vpn l2tp remote-access client-ip-pool start *указываем внутренний IP-адрес от*
259 set vpn l2tp remote-access client-ip-pool stop *указываем внутренний IP-адрес до*
260 {{/code}}
261
262 ==== Подшаг 12.2.3. Для подключения используйте PSK-ключ ====
263
264 {{code language="none"}}
265 set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
266 {{/code}}
267
268 ==== Подшаг 12.2.4. Задайте PSK-ключ (MySecretKey) ====
269
270 {{code language="none"}}
271 set vpn l2tp remote-access dns-servers server-1 *указываем внутренний IP-адрес*
272 {{/code}}
273
274 ==== Подшаг 12.2.5. Укажите DNS-сервер, который будет передаваться подключившимся пользователям ====
275
276 В примере используется ранее настроенный DNS forwarder. Для аутентификации пользователей будет использоваться собственная база.
277
278 {{code language="none"}}
279 set vpn l2tp remote-access authentication mode local
280 {{/code}}
281
282 ==== Подшаг 12.2.6. Создайте пользователя с именем **user1** и паролем **MyPassword**. ====
283
284 {{code language="none"}}
285 set vpn l2tp remote-access authentication local-users username user1 password MyPassword
286 {{/code}}
287
288 Если пользователю требуется дать статический адрес при подключении через VPN, то введите следующее:
289
290 {{code language="none"}}
291 set vpn l2tp remote-access authentication local-users username user1 static-ip 217.198.88.70.1 (пример)
292 {{/code}}
293
294 В результате пользователи могут подключаться по L2TP к маршрутизатору, а также имеют доступ к внутренней сети.
295
296 == Шаг 13. Настройте выход пользователей в интернет через VPN ==
297
298 Добавьте правило NAT для адресов XXX.XXX.XXX.X-XXX:
299
300 {{code language="none"}}
301 set nat source rule 110 outbound-interface eth0
302 set nat source rule 110 source address *указываем внутреннюю подсеть*
303 set nat source rule 110 translation address masquerade
304 {{/code}}
305
306 Создание правил NAT для L2TP полностью аналогично настройке NAT для внутренней сети.
307
308 Если для VPN клиентов используется DNS forwarder, то для каждого соединения L2TP опубликуйте сервис DNS forwarder. Подключите одновременно множество пользователей и после этого добавьте интерфейсы в DNS forwarding:
309
310 {{code language="none"}}
311 set service dns forwarding listen-on l2tp0
312 set service dns forwarding listen-on l2tp1
313 set service dns forwarding listen-on l2tp2
314 {{/code}}
315
316 == Шаг 14. Примените настройки и сохраните конфигурации ==
317
318 {{code language="none"}}
319 commit
320 save
321 {{/code}}
322
323 **[[В начало>>path:/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5%20%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5%20%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE%20VyOS/]] **🡱
324 **[[К предыдущему разделу>>doc:Сервис Виртуальное сетевое устройство VyOS.4\. Структура платежей.WebHome]] **🡰