Исходный код вики 5. Инструкция

Версия 28.1 от Ирина Сафонова на 01.09.2023, 16:22
Последние авторы
1 **Содержание**
2
3 {{toc/}}
4
5 = Вход в консоль =
6
7 ----
8
9 Для выполнения базовой настройки сервиса зайдите на установленный образ сервиса через консоли VMRC или VMWC.
10 [[image:__fileCreatedFromDataURI__.png]]
11
12 = Этапы настройки =
13
14 В ходе настройки команды вводятся в консоли или в SSH.
15
16 == Шаг 1. Включение доступа через SSH ==
17
18 Укажите порт:
19
20 {{code language="none"}}
21 set service ssh port
22 {{/code}}
23
24 == Шаг 2. Настройка внешнего интерфейса (eth0) ==
25
26 Укажите внешний IP-адрес
27
28 {{code language="none"}}
29 set interfaces ethernet eth0 address
30 {{/code}}
31
32 и маску сети:
33
34 {{code language="none"}}
35 set interfaces ethernet eth0 description OUTSIDE
36 {{/code}}
37
38 == Шаг 3. Настройка внутреннего IP-адреса ==
39
40 Укажите внутренний IP-адрес и маску сети.
41
42 {{code language="none"}}
43 set interfaces ethernet eth1 description INSIDE
44 {{/code}}
45
46 == Шаг 4. Прописывание маршрута ==
47
48 {{code language="none"}}
49 set protocols static route 0.0.0.0/0 next-hop *IP-адрес маршрутизатора* distance 1
50 {{/code}}
51
52 === Подшаг 4.1 Прописывание DNS-сервера для маршрутизатора ===
53
54 {{code language="none"}}
55 set system name-server *адрес DNS-сервера*
56 {{/code}}
57
58 == Шаг 5. Настройка NAT ==
59
60 === Подшаг 5.1. Создание NAT-правила для внешнего интерфейса eth0 ===
61
62 {{code language="none"}}
63 set nat source rule 100 outbound-interface eth0
64 {{/code}}
65
66 === Подшаг 5.2. Правило NAT для адресов внутренней подсети ===
67
68 Укажите внутренний IP-адрес и маску сети:
69
70 {{code language="none"}}
71 set nat source rule 100 source address
72 {{/code}}
73
74 === Подшаг 5.3 Использование NAT трансляции для общения ресурса с внешним миром ===
75
76 {{code language="none"}}
77 set nat source rule 100 translation address masquerade
78 {{/code}}
79
80 == Шаг 6. Проброс портов 1-к-1 (Port Forwarding) ==
81
82 === Подшаг 6.1. Создание правила NAT номер 10 с указанием комментария ===
83
84 {{code language="none"}}
85 set nat destination rule 10 description 'Port Forward: HTTP to *укажите внутренний IP-адрес* (port 80->80)'
86 {{/code}}
87
88 === Подшаг 6.2. Указание внешнего порта ===
89
90 {{code language="none"}}
91 set nat destination rule 10 destination port 80
92 {{/code}}
93
94 === Подшаг 6.3 Укажите, что пробрасываемый порт должен быть на внешнем интерфейсе eth0 ===
95
96 {{code language="none"}}
97 set nat destination rule 10 inbound-interface eth0
98 {{/code}}
99
100 === Подшаг 6.4. Укажите, что перенаправляться будет только TCP-трафик ===
101
102 {{code language="none"}}
103 set nat destination rule 10 protocol tcp
104 {{/code}}
105
106 === Подшаг 6.5. Укажите, что трафик будет перенаправляться на внутренний адрес ===
107
108 {{code language="none"}}
109 set nat destination rule 10 translation address *укажите внутренний IP-адрес*
110 {{/code}}
111
112 == Шаг 7. Пробросьте трафик на другой порт ==
113
114 7.1. Сделайте настройки по аналогии с шагом 6
115
116 Настройки аналогичны, за исключением того, что пробрасывается TCP и UDP трафик (protocol tcp_udp).
117
118 {{code language="none"}}
119 set nat destination rule 20 description 'Port Forward: SSH to *укажите внутренний IP-адрес* (port 22->20022)'
120 set nat destination rule 20 destination port 20022
121 set nat destination rule 20 inbound-interface eth0
122 set nat destination rule 20 protocol tcp_udp
123 set nat destination rule 20 translation address *укажите внутренний IP-адрес*
124
125 {{/code}}
126
127 === Подшаг 7.2. Укажите, на какой порт будет перенаправляться трафик (22-й), приходящий на порт 20022 ===
128
129 {{code language="none"}}
130 set nat destination rule 20 translation port 22
131 {{/code}}
132
133 == Шаг 8. Создайте DHCP-сервер для внутренней сети ==
134
135 === Подшаг 8.1. Создайте DHCP-сервер для внутренней сети ===
136
137 {{code language="none"}}
138 set service dhcp-server shared-network-name LAN authoritative enable
139 {{/code}}
140
141 {{info}}
142 LAN — пример названия. Название может быть любым.
143 {{/info}}
144
145 === Подшаг 8.2. Укажите подсеть, для которой будет работать DHCP сервер, и диапазон адресов, который будет выдавать DHCP сервер ===
146
147 {{code language="none"}}
148 set service dhcp-server shared-network-name LAN subnet * укажите адрес внутренней подсети* start *укажите внутренний IP-адрес* stop * укажите внутренний IP-адрес*
149 {{/code}}
150
151 === Подшаг 8.3. Укажите параметры, которые DHCP-сервер будет передавать клиентам ===
152
153 {{code language="none"}}
154 set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* default-router *указываем внутренний IP-адрес*
155 {{/code}}
156
157 === Подшаг 8.4. Укажите маршрутизатор по умолчанию ===
158
159 {{code language="none"}}
160 set service dhcp-server shared-network-name LAN subnet *укажите адрес внутренней подсети* dns-server *укажите внутренний IP-адрес*
161 {{/code}}
162
163 === Подшаг 8.5. Укажите DNS-сервер ===
164
165 {{code language="none"}}
166 set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* domain-name internal.blackdiver.net
167 {{/code}}
168
169 === Подшаг 8.6. Укажите имя локального домена (internal.blackdiver.net) ===
170
171 {{code language="none"}}
172 set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* lease 3600
173 {{/code}}
174
175 3600 секунд — время аренды адреса.
176
177 == Шаг 9. Назначьте статические IP-адреса для DHCP-сервера ==
178
179 Для статического назначения IP адресов в DHCP используется стандартный алгоритм привязки MAC адреса к IP адресу. В примере сервер (SERVER1 – имя сервера. Имя может быть любым) с MAC-адресом 00:50:56:0c:02:14 статически привязан к IP- адресу 217.198.88.69 (пример).
180
181 {{code language="none"}}
182 set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME ip-address 217.198.88.69
183 set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME mac-address 00:50:56:0c:02:14
184 {{/code}}
185
186 == Шаг 10. Настройка DNS forwarding ==
187
188 Возможно только кэширование и перенаправление DNS-ответов от других DNS-серверов. Также доступен свой набор статических DNS-записей.
189
190 === Подшаг 10.1. Укажите DNS-сервера, у которых маршрутизатор будет запрашивать информацию (8.8.8.8 и 8.8.4.4) ===
191
192 Также вы можете использовать системные DNS-сервера, в таком случае вместо ручного перечисления серверов укажите:
193
194 {{code language="none"}}
195 set service dns forwarding name-server 8.8.8.8
196 {{/code}}
197
198 или:
199
200 {{code language="none"}}
201 set service dns forwarding system
202 {{/code}}
203
204 === Подшаг 10.2. Укажите количество кэшируемых DNS-запросов, которые будут храниться в памяти маршрутизатора ===
205
206 В данном случае 0. DNS запросы будут не кешироваться, а каждый раз запрашиваться:
207
208 {{code language="none"}}
209 set service dns forwarding cache-size 0
210 {{/code}}
211
212 === 10.3. Укажите интерфейс, на котором будет работать DNS forwarding (eth1) ===
213
214 {{code language="none"}}
215 set service dns forwarding listen-on eth1
216 {{/code}}
217
218 == Шаг 11. Создайте статические DNS-записи ==
219
220 Укажите, что для DNS записи ХХХХХХХ.com всегда отвечать адресом xxx.xxx.xxx.xxx. Для таких записей не запрашивается информация у других DNS-серверов, а сразу отдается заранее определенный ответ.
221
222 {{code language="none"}}
223 set system static-host-mapping host-name ХХХХХХХ.com inet xxx.xxx.xxx.xxx
224 {{/code}}
225
226 == Шаг 12. Настройте L2TP/IPsec сервера ==
227
228 ==== Подшаг 12.1 Настройте IPSec
229 Подшаг 12.1.1. Укажите, на каком интерфейсе будет работать IPsec (eth0) ====
230
231 {{code language="none"}}
232 set vpn ipsec ipsec-interfaces interface eth0
233 {{/code}}
234
235 ==== Подшаг 12.1.2. Включите NAT Traversal ====
236
237 Это необходимо, чтобы корректно работать с клиентами, у которых NAT.
238
239 {{code language="none"}}
240 set vpn ipsec nat-traversal enable
241 {{/code}}
242
243 ==== Подшаг 12.1.3. Укажите, откуда могут подключаться клиенты (0.0.0.0/0 – без ограничений) ====
244
245 {{code language="none"}}
246 set vpn ipsec nat-networks allowed-network 0.0.0.0/0
247 {{/code}}
248
249 === Подшаг 12.2. Настройте L2TP ===
250
251 ==== Подшаг 12.2.1. Укажите внешний адрес, на который будут подключаться клиенты ====
252
253 {{code language="none"}}
254 set vpn l2tp remote-access outside-address *указываем внешний IP-адрес*
255 {{/code}}
256
257 ==== Подшаг 12.2.2. Укажите диапазон адресов, которые будут выдаваться клиентам ====
258
259 {{code language="none"}}
260 set vpn l2tp remote-access client-ip-pool start *указываем внутренний IP-адрес от*
261 set vpn l2tp remote-access client-ip-pool stop *указываем внутренний IP-адрес до*
262 {{/code}}
263
264 ==== Подшаг 12.2.3. Для подключения используйте PSK-ключ ====
265
266 {{code language="none"}}
267 set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
268 {{/code}}
269
270 ==== Подшаг 12.2.4. Задайте PSK-ключ (MySecretKey) ====
271
272 {{code language="none"}}
273 set vpn l2tp remote-access dns-servers server-1 *указываем внутренний IP-адрес*
274 {{/code}}
275
276 ==== Подшаг 12.2.5. Укажите DNS-сервер, который будет передаваться подключившимся пользователям ====
277
278 В примере используется ранее настроенный DNS forwarder. Для аутентификации пользователей будет использоваться собственная база.
279
280 {{code language="none"}}
281 set vpn l2tp remote-access authentication mode local
282 {{/code}}
283
284 ==== Подшаг 12.2.6. Создайте пользователя с именем **user1** и паролем **MyPassword**. ====
285
286 {{code language="none"}}
287 set vpn l2tp remote-access authentication local-users username user1 password MyPassword
288 {{/code}}
289
290 Если пользователю требуется дать статический адрес при подключении через VPN, то введите следующее:
291
292 {{code language="none"}}
293 set vpn l2tp remote-access authentication local-users username user1 static-ip 217.198.88.70.1 (пример)
294 {{/code}}
295
296 В результате пользователи могут подключаться по L2TP к маршрутизатору, а также имеют доступ к внутренней сети.
297
298 == Шаг 13. Настройте выход пользователей в интернет через VPN ==
299
300 Добавьте правило NAT для адресов XXX.XXX.XXX.X-XXX:
301
302 {{code language="none"}}
303 set nat source rule 110 outbound-interface eth0
304 set nat source rule 110 source address *указываем внутреннюю подсеть*
305 set nat source rule 110 translation address masquerade
306 {{/code}}
307
308 Создание правил NAT для L2TP полностью аналогично настройке NAT для внутренней сети.
309
310 Если для VPN клиентов используется DNS forwarder, то для каждого соединения L2TP опубликуйте сервис DNS forwarder. Подключите одновременно множество пользователей и после этого добавьте интерфейсы в DNS forwarding:
311
312 {{code language="none"}}
313 set service dns forwarding listen-on l2tp0
314 set service dns forwarding listen-on l2tp1
315 set service dns forwarding listen-on l2tp2
316 {{/code}}
317
318 == Шаг 14. Примените настройки и сохраните конфигурации ==
319
320 {{code language="none"}}
321 commit
322 save
323 {{/code}}
324
325 **[[В начало>>path:/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5%20%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5%20%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE%20VyOS/]] **🡱
326 **[[К предыдущему разделу>>doc:Сервис Виртуальное сетевое устройство VyOS.4\. Структура платежей.WebHome]] **🡰