5. Инструкция
Версия 31.1 от Ирина Сафонова на 01.09.2023, 16:27
Содержание
- Вход в консоль
- Этапы настройки
- Шаг 1. Включение доступа через SSH
- Шаг 2. Настройка внешнего интерфейса (eth0)
- Шаг 3. Настройте внутренний IP-адрес
- Шаг 4. Пропишите маршрут
- Шаг 5. Настройка NAT
- Шаг 6. Пробросьте порты 1-к-1 (Port Forwarding)
- Подшаг 6.1. Создайте правила NAT номер 10 с указанием комментария
- Подшаг 6.2. Укажите внешний порт
- Подшаг 6.3 Укажите, что пробрасываемый порт должен быть на внешнем интерфейсе eth0
- Подшаг 6.4. Укажите, что перенаправляться будет только TCP-трафик
- Подшаг 6.5. Укажите, что трафик будет перенаправляться на внутренний адрес
- Шаг 7. Пробросьте трафик на другой порт
- Шаг 8. Создайте DHCP-сервер для внутренней сети
- Подшаг 8.1. Создайте DHCP-сервер для внутренней сети
- Подшаг 8.2. Укажите подсеть, для которой будет работать DHCP сервер, и диапазон адресов, который будет выдавать DHCP сервер
- Подшаг 8.3. Укажите параметры, которые DHCP-сервер будет передавать клиентам
- Подшаг 8.4. Укажите маршрутизатор по умолчанию
- Подшаг 8.5. Укажите DNS-сервер
- Подшаг 8.6. Укажите имя локального домена (internal.blackdiver.net)
- Шаг 9. Назначьте статические IP-адреса для DHCP-сервера
- Шаг 10. Настройка DNS forwarding
- Шаг 11. Создайте статические DNS-записи
- Шаг 12. Настройте L2TP/IPsec сервера
- Подшаг 12.2. Настройте L2TP
- Подшаг 12.2.1. Укажите внешний адрес, на который будут подключаться клиенты
- Подшаг 12.2.2. Укажите диапазон адресов, которые будут выдаваться клиентам
- Подшаг 12.2.3. Для подключения используйте PSK-ключ
- Подшаг 12.2.4. Задайте PSK-ключ (MySecretKey)
- Подшаг 12.2.5. Укажите DNS-сервер, который будет передаваться подключившимся пользователям
- Подшаг 12.2.6. Создайте пользователя с именем user1 и паролем MyPassword.
- Шаг 13. Настройте выход пользователей в интернет через VPN
- Шаг 14. Примените настройки и сохраните конфигурации
Вход в консоль
Для выполнения базовой настройки сервиса зайдите на установленный образ сервиса через консоли VMRC или VMWC.
Этапы настройки
В ходе настройки команды вводятся в консоли или в SSH.
Шаг 1. Включение доступа через SSH
Укажите порт:
set service ssh port
Шаг 2. Настройка внешнего интерфейса (eth0)
Укажите внешний IP-адрес
set interfaces ethernet eth0 address
и маску сети:
set interfaces ethernet eth0 description OUTSIDE
Шаг 3. Настройте внутренний IP-адрес
Укажите внутренний IP-адрес и маску сети.
set interfaces ethernet eth1 description INSIDE
Шаг 4. Пропишите маршрут
set protocols static route 0.0.0.0/0 next-hop *IP-адрес маршрутизатора* distance 1
Подшаг 4.1. Пропишите DNS-сервера для маршрутизатора
set system name-server *адрес DNS-сервера*
Шаг 5. Настройка NAT
Подшаг 5.1. Укажите NAT-правила для внешнего интерфейса eth0
set nat source rule 100 outbound-interface eth0
Подшаг 5.2. Укажите правило NAT для адресов внутренней подсети
Укажите внутренний IP-адрес и маску сети:
set nat source rule 100 source address
Подшаг 5.3 Используйте NAT трансляции для общения ресурса с внешним миром
set nat source rule 100 translation address masquerade
Шаг 6. Пробросьте порты 1-к-1 (Port Forwarding)
Подшаг 6.1. Создайте правила NAT номер 10 с указанием комментария
set nat destination rule 10 description 'Port Forward: HTTP to *укажите внутренний IP-адрес* (port 80->80)'
Подшаг 6.2. Укажите внешний порт
set nat destination rule 10 destination port 80
Подшаг 6.3 Укажите, что пробрасываемый порт должен быть на внешнем интерфейсе eth0
set nat destination rule 10 inbound-interface eth0
Подшаг 6.4. Укажите, что перенаправляться будет только TCP-трафик
set nat destination rule 10 protocol tcp
Подшаг 6.5. Укажите, что трафик будет перенаправляться на внутренний адрес
set nat destination rule 10 translation address *укажите внутренний IP-адрес*
Шаг 7. Пробросьте трафик на другой порт
7.1. Сделайте настройки по аналогии с шагом 6
Настройки аналогичны, за исключением того, что пробрасывается TCP и UDP трафик (protocol tcp_udp).
set nat destination rule 20 description 'Port Forward: SSH to *укажите внутренний IP-адрес* (port 22->20022)'
set nat destination rule 20 destination port 20022
set nat destination rule 20 inbound-interface eth0
set nat destination rule 20 protocol tcp_udp
set nat destination rule 20 translation address *укажите внутренний IP-адрес*
set nat destination rule 20 destination port 20022
set nat destination rule 20 inbound-interface eth0
set nat destination rule 20 protocol tcp_udp
set nat destination rule 20 translation address *укажите внутренний IP-адрес*
Подшаг 7.2. Укажите, на какой порт будет перенаправляться трафик (22-й), приходящий на порт 20022
set nat destination rule 20 translation port 22
Шаг 8. Создайте DHCP-сервер для внутренней сети
Подшаг 8.1. Создайте DHCP-сервер для внутренней сети
set service dhcp-server shared-network-name LAN authoritative enable
Подшаг 8.2. Укажите подсеть, для которой будет работать DHCP сервер, и диапазон адресов, который будет выдавать DHCP сервер
set service dhcp-server shared-network-name LAN subnet * укажите адрес внутренней подсети* start *укажите внутренний IP-адрес* stop * укажите внутренний IP-адрес*
Подшаг 8.3. Укажите параметры, которые DHCP-сервер будет передавать клиентам
set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* default-router *указываем внутренний IP-адрес*
Подшаг 8.4. Укажите маршрутизатор по умолчанию
set service dhcp-server shared-network-name LAN subnet *укажите адрес внутренней подсети* dns-server *укажите внутренний IP-адрес*
Подшаг 8.5. Укажите DNS-сервер
set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* domain-name internal.blackdiver.net
Подшаг 8.6. Укажите имя локального домена (internal.blackdiver.net)
set service dhcp-server shared-network-name LAN subnet *указываем адрес внутренней подсети* lease 3600
Шаг 9. Назначьте статические IP-адреса для DHCP-сервера
Для статического назначения IP адресов в DHCP используется стандартный алгоритм привязки MAC адреса к IP адресу. В примере сервер (SERVER1 – имя сервера. Имя может быть любым) с MAC-адресом 00:50:56:0c:02:14 статически привязан к IP- адресу 217.198.88.69 (пример).
set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME ip-address 217.198.88.69
set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME mac-address 00:50:56:0c:02:14
set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME mac-address 00:50:56:0c:02:14
Шаг 10. Настройка DNS forwarding
Возможно только кэширование и перенаправление DNS-ответов от других DNS-серверов. Также доступен свой набор статических DNS-записей.
Подшаг 10.1. Укажите DNS-сервера, у которых маршрутизатор будет запрашивать информацию (8.8.8.8 и 8.8.4.4)
Также вы можете использовать системные DNS-сервера, в таком случае вместо ручного перечисления серверов укажите:
set service dns forwarding name-server 8.8.8.8
или:
set service dns forwarding system
Подшаг 10.2. Укажите количество кэшируемых DNS-запросов, которые будут храниться в памяти маршрутизатора
В данном случае 0. DNS запросы будут не кешироваться, а каждый раз запрашиваться:
set service dns forwarding cache-size 0
10.3. Укажите интерфейс, на котором будет работать DNS forwarding (eth1)
set service dns forwarding listen-on eth1
Шаг 11. Создайте статические DNS-записи
Укажите, что для DNS записи ХХХХХХХ.com всегда отвечать адресом xxx.xxx.xxx.xxx. Для таких записей не запрашивается информация у других DNS-серверов, а сразу отдается заранее определенный ответ.
set system static-host-mapping host-name ХХХХХХХ.com inet xxx.xxx.xxx.xxx
Шаг 12. Настройте L2TP/IPsec сервера
Подшаг 12.1 Настройте IPSec
Подшаг 12.1.1. Укажите, на каком интерфейсе будет работать IPsec (eth0)
set vpn ipsec ipsec-interfaces interface eth0
Подшаг 12.1.2. Включите NAT Traversal
Это необходимо, чтобы корректно работать с клиентами, у которых NAT.
set vpn ipsec nat-traversal enable
Подшаг 12.1.3. Укажите, откуда могут подключаться клиенты (0.0.0.0/0 – без ограничений)
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
Подшаг 12.2. Настройте L2TP
Подшаг 12.2.1. Укажите внешний адрес, на который будут подключаться клиенты
set vpn l2tp remote-access outside-address *указываем внешний IP-адрес*
Подшаг 12.2.2. Укажите диапазон адресов, которые будут выдаваться клиентам
set vpn l2tp remote-access client-ip-pool start *указываем внутренний IP-адрес от*
set vpn l2tp remote-access client-ip-pool stop *указываем внутренний IP-адрес до*
set vpn l2tp remote-access client-ip-pool stop *указываем внутренний IP-адрес до*
Подшаг 12.2.3. Для подключения используйте PSK-ключ
set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
Подшаг 12.2.4. Задайте PSK-ключ (MySecretKey)
set vpn l2tp remote-access dns-servers server-1 *указываем внутренний IP-адрес*
Подшаг 12.2.5. Укажите DNS-сервер, который будет передаваться подключившимся пользователям
В примере используется ранее настроенный DNS forwarder. Для аутентификации пользователей будет использоваться собственная база.
set vpn l2tp remote-access authentication mode local
Подшаг 12.2.6. Создайте пользователя с именем user1 и паролем MyPassword.
set vpn l2tp remote-access authentication local-users username user1 password MyPassword
Если пользователю требуется дать статический адрес при подключении через VPN, то введите следующее:
set vpn l2tp remote-access authentication local-users username user1 static-ip 217.198.88.70.1 (пример)
В результате пользователи могут подключаться по L2TP к маршрутизатору, а также имеют доступ к внутренней сети.
Шаг 13. Настройте выход пользователей в интернет через VPN
Добавьте правило NAT для адресов XXX.XXX.XXX.X-XXX:
set nat source rule 110 outbound-interface eth0
set nat source rule 110 source address *указываем внутреннюю подсеть*
set nat source rule 110 translation address masquerade
set nat source rule 110 source address *указываем внутреннюю подсеть*
set nat source rule 110 translation address masquerade
Создание правил NAT для L2TP полностью аналогично настройке NAT для внутренней сети.
Если для VPN клиентов используется DNS forwarder, то для каждого соединения L2TP опубликуйте сервис DNS forwarder. Подключите одновременно множество пользователей и после этого добавьте интерфейсы в DNS forwarding:
set service dns forwarding listen-on l2tp0
set service dns forwarding listen-on l2tp1
set service dns forwarding listen-on l2tp2
set service dns forwarding listen-on l2tp1
set service dns forwarding listen-on l2tp2
Шаг 14. Примените настройки и сохраните конфигурации
commit
save
save