Исходный код вики 5. Инструкция по сервису

Версия 45.1 от Ирина Сафонова на 16.10.2023, 19:38

version	line-number	content
45.1	1	(% data-xwiki-non-generated-content="java.util.List" %)
	2	(((
	3
	4	)))
1.2	5
45.1	6	{{box cssClass="floatinginfobox" title="Содержание"}}
2.1	7	{{toc/}}
45.1	8	{{/box}}
1.2	9
2.1	10	= Вход в консоль =
1.2	11
2.1	12	----
1.2	13
2.1	14	Для выполнения базовой настройки сервиса зайдите на установленный образ сервиса через консоли VMRC или VMWC.
	15	[[image:__fileCreatedFromDataURI__.png]]
	16
3.1	17	= Этапы настройки =
2.1	18
43.1	19	----
	20
11.1	21	В ходе настройки команды вводятся в консоли или в SSH.
	22
7.1	23	== Шаг 1. Включение доступа через SSH ==
6.1	24
12.1	25	Укажите порт:
11.1	26
	27	{{code language="none"}}
	28	set service ssh port
	29	{{/code}}
	30
7.1	31	== Шаг 2. Настройка внешнего интерфейса (eth0) ==
6.1	32
44.1	33	Укажите внешний IP-адрес:
11.1	34
	35	{{code language="none"}}
	36	set interfaces ethernet eth0 address
	37	{{/code}}
	38
28.1	39	и маску сети:
	40
11.1	41	{{code language="none"}}
	42	set interfaces ethernet eth0 description OUTSIDE
	43	{{/code}}
	44
31.1	45	== Шаг 3. Настройте внутренний IP-адрес ==
6.1	46
44.1	47	Укажите внутренний IP-адрес и маску сети:
11.1	48
	49	{{code language="none"}}
	50	set interfaces ethernet eth1 description INSIDE
	51	{{/code}}
	52
31.1	53	== Шаг 4. Пропишите маршрут ==
6.1	54
11.1	55	{{code language="none"}}
	56	set protocols static route 0.0.0.0/0 next-hop IP-адрес маршрутизатора distance 1
	57	{{/code}}
	58
35.1	59	=== Подшаг 4.1. Пропишите [[DNS>>https://wiki.dfcloud.ru/bin/view/Glossary/DNS]]-сервера для [[маршрутизатора>>https://wiki.dfcloud.ru/bin/view/Glossary/%D0%9C%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80]] ===
3.1	60
12.1	61	{{code language="none"}}
	62	set system name-server адрес DNS-сервера
	63	{{/code}}
11.1	64
33.1	65	== Шаг 5. Настройка [[NAT>>https://wiki.dfcloud.ru/bin/view/Glossary/NAT]] ==
6.1	66
31.1	67	=== Подшаг 5.1. Укажите NAT-правила для внешнего интерфейса eth0 ===
6.1	68
12.1	69	{{code language="none"}}
	70	set nat source rule 100 outbound-interface eth0
	71	{{/code}}
	72
31.1	73	=== Подшаг 5.2. Укажите правило NAT для адресов внутренней подсети ===
6.1	74
12.1	75	Укажите внутренний IP-адрес и маску сети:
	76
	77	{{code language="none"}}
	78	set nat source rule 100 source address
	79	{{/code}}
	80
31.1	81	=== Подшаг 5.3 Используйте NAT трансляции для общения ресурса с внешним миром ===
3.1	82
13.1	83	{{code language="none"}}
	84	set nat source rule 100 translation address masquerade
	85	{{/code}}
	86
31.1	87	== Шаг 6. Пробросьте порты 1-к-1 (Port Forwarding) ==
6.1	88
31.1	89	=== Подшаг 6.1. Создайте правила NAT номер 10 с указанием комментария ===
15.1	90
14.1	91	{{code language="none"}}
	92	set nat destination rule 10 description 'Port Forward: HTTP to укажите внутренний IP-адрес (port 80->80)'
	93	{{/code}}
	94
31.1	95	=== Подшаг 6.2. Укажите внешний порт ===
6.1	96
16.1	97	{{code language="none"}}
	98	set nat destination rule 10 destination port 80
	99	{{/code}}
	100
17.1	101	=== Подшаг 6.3 Укажите, что пробрасываемый порт должен быть на внешнем интерфейсе eth0 ===
	102
	103	{{code language="none"}}
3.1	104	set nat destination rule 10 inbound-interface eth0
17.1	105	{{/code}}
	106
18.1	107	=== Подшаг 6.4. Укажите, что перенаправляться будет только TCP-трафик ===
17.1	108
18.1	109	{{code language="none"}}
3.1	110	set nat destination rule 10 protocol tcp
18.1	111	{{/code}}
3.1	112
19.1	113	=== Подшаг 6.5. Укажите, что трафик будет перенаправляться на внутренний адрес ===
3.1	114
18.1	115	{{code language="none"}}
	116	set nat destination rule 10 translation address укажите внутренний IP-адрес
	117	{{/code}}
	118
26.1	119	== Шаг 7. Пробросьте трафик на другой порт ==
18.1	120
37.1	121	=== Подшаг 7.1. Сделайте настройки по аналогии с шагом 6 ===
18.1	122
30.1	123	Настройки [[аналогичны>>https://wiki.dfcloud.ru/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5%20%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5%20%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE%20VyOS/5.%20%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F/#H4284304336.41F44043E43144043E44143F43E44044243E4321-43A-128PortForwarding29]], за исключением того, что пробрасывается TCP и UDP трафик (protocol tcp_udp).
26.1	124
20.1	125	{{code language="none"}}
	126	set nat destination rule 20 description 'Port Forward: SSH to укажите внутренний IP-адрес (port 22->20022)'
	127	set nat destination rule 20 destination port 20022
	128	set nat destination rule 20 inbound-interface eth0
	129	set nat destination rule 20 protocol tcp_udp
	130	set nat destination rule 20 translation address укажите внутренний IP-адрес
	131
	132	{{/code}}
	133
	134	=== Подшаг 7.2. Укажите, на какой порт будет перенаправляться трафик (22-й), приходящий на порт 20022 ===
	135
	136	{{code language="none"}}
	137	set nat destination rule 20 translation port 22
	138	{{/code}}
	139
33.2	140	== Шаг 8. Создайте [[DHCP>>https://wiki.dfcloud.ru/bin/view/Glossary/DHCP]]-сервер для внутренней сети ==
20.1	141
25.1	142	=== Подшаг 8.1. Создайте DHCP-сервер для внутренней сети ===
20.1	143
	144	{{code language="none"}}
	145	set service dhcp-server shared-network-name LAN authoritative enable
	146	{{/code}}
	147
	148	{{info}}
22.1	149	LAN — пример названия. Название может быть любым.
20.1	150	{{/info}}
	151
22.1	152	=== Подшаг 8.2. Укажите подсеть, для которой будет работать DHCP сервер, и диапазон адресов, который будет выдавать DHCP сервер ===
20.1	153
	154	{{code language="none"}}
	155	set service dhcp-server shared-network-name LAN subnet * укажите адрес внутренней подсети* start укажите внутренний IP-адрес stop * укажите внутренний IP-адрес*
	156	{{/code}}
	157
22.1	158	=== Подшаг 8.3. Укажите параметры, которые DHCP-сервер будет передавать клиентам ===
20.1	159
	160	{{code language="none"}}
36.1	161	set service dhcp-server shared-network-name LAN subnet укажите адрес внутренней подсети default-router укажите внутренний IP-адрес
20.1	162	{{/code}}
	163
22.1	164	=== Подшаг 8.4. Укажите маршрутизатор по умолчанию ===
20.1	165
	166	{{code language="none"}}
	167	set service dhcp-server shared-network-name LAN subnet укажите адрес внутренней подсети dns-server укажите внутренний IP-адрес
	168	{{/code}}
	169
22.1	170	=== Подшаг 8.5. Укажите DNS-сервер ===
20.1	171
	172	{{code language="none"}}
36.1	173	set service dhcp-server shared-network-name LAN subnet укажите адрес внутренней подсети domain-name internal.blackdiver.net
20.1	174	{{/code}}
	175
22.1	176	=== Подшаг 8.6. Укажите имя локального домена (internal.blackdiver.net) ===
20.1	177
20.2	178	{{code language="none"}}
36.1	179	set service dhcp-server shared-network-name LAN subnet укажите адрес внутренней подсети lease 3600
20.2	180	{{/code}}
20.1	181
31.1	182	{{info}}
20.2	183	3600 секунд — время аренды адреса.
31.1	184	{{/info}}
20.1	185
22.1	186	== Шаг 9. Назначьте статические IP-адреса для DHCP-сервера ==
20.1	187
20.3	188	Для статического назначения IP адресов в DHCP используется стандартный алгоритм привязки MAC адреса к IP адресу. В примере сервер (SERVER1 – имя сервера. Имя может быть любым) с MAC-адресом 00:50:56:0c:02:14 статически привязан к IP- адресу 217.198.88.69 (пример).
20.2	189
20.3	190	{{code language="none"}}
	191	set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME ip-address 217.198.88.69
	192	set service dhcp-server shared-network-name LAN subnet 217.198.0.0/24 static-mapping SERVER-NAME mac-address 00:50:56:0c:02:14
	193	{{/code}}
20.2	194
23.1	195	== Шаг 10. Настройка DNS forwarding ==
22.1	196
20.4	197	Возможно только кэширование и перенаправление DNS-ответов от других DNS-серверов. Также доступен свой набор статических DNS-записей.
20.2	198
22.1	199	=== Подшаг 10.1. Укажите DNS-сервера, у которых маршрутизатор будет запрашивать информацию (8.8.8.8 и 8.8.4.4) ===
20.3	200
32.1	201	Также вы можете использовать системные DNS-сервера. В таком случае вместо ручного перечисления серверов укажите:
22.1	202
20.5	203	{{code language="none"}}
20.4	204	set service dns forwarding name-server 8.8.8.8
20.5	205	{{/code}}
	206
	207	или:
	208
	209	{{code language="none"}}
20.4	210	set service dns forwarding system
20.5	211	{{/code}}
	212
22.1	213	=== Подшаг 10.2. Укажите количество кэшируемых DNS-запросов, которые будут храниться в памяти маршрутизатора ===
20.5	214
27.1	215	В данном случае 0. DNS запросы будут не кешироваться, а каждый раз запрашиваться:
22.1	216
20.5	217	{{code language="none"}}
20.4	218	set service dns forwarding cache-size 0
20.5	219	{{/code}}
	220
22.1	221	=== 10.3. Укажите интерфейс, на котором будет работать DNS forwarding (eth1) ===
20.5	222
	223	{{code language="none"}}
20.4	224	set service dns forwarding listen-on eth1
20.5	225	{{/code}}
20.3	226
22.1	227	== Шаг 11. Создайте статические DNS-записи ==
20.4	228
32.1	229	Укажите, что для DNS записи ХХХХХХХ.com всегда отвечает адресом xxx.xxx.xxx.xxx. Для таких записей не запрашивается информация у других DNS-серверов, а сразу отдается заранее определенный ответ.
20.4	230
20.6	231	{{code language="none"}}
	232	set system static-host-mapping host-name ХХХХХХХ.com inet xxx.xxx.xxx.xxx
	233	{{/code}}
20.5	234
40.1	235	== Шаг 12. Настройте [[L2TP>>https://wiki.dfcloud.ru/bin/view/Glossary/L2TP]]/IPsec сервера ==
20.5	236
22.1	237	==== Подшаг 12.1 Настройте IPSec
40.1	238	Подшаг 12.1.1. Укажите, на каком интерфейсе будет работать[[ IPsec>>https://wiki.dfcloud.ru/bin/view/Glossary/IPsec]] (eth0) ====
20.6	239
	240	{{code language="none"}}
	241	set vpn ipsec ipsec-interfaces interface eth0
	242	{{/code}}
	243
22.1	244	==== Подшаг 12.1.2. Включите NAT Traversal ====
20.6	245
27.1	246	Это необходимо, чтобы корректно работать с клиентами, у которых NAT.
22.1	247
20.6	248	{{code language="none"}}
	249	set vpn ipsec nat-traversal enable
	250	{{/code}}
	251
22.1	252	==== Подшаг 12.1.3. Укажите, откуда могут подключаться клиенты (0.0.0.0/0 – без ограничений) ====
20.6	253
	254	{{code language="none"}}
	255	set vpn ipsec nat-networks allowed-network 0.0.0.0/0
	256	{{/code}}
	257
22.1	258	=== Подшаг 12.2. Настройте L2TP ===
20.6	259
22.1	260	==== Подшаг 12.2.1. Укажите внешний адрес, на который будут подключаться клиенты ====
20.7	261
	262	{{code language="none"}}
36.1	263	set vpn l2tp remote-access outside-address укажите внешний IP-адрес
20.7	264	{{/code}}
	265
22.1	266	==== Подшаг 12.2.2. Укажите диапазон адресов, которые будут выдаваться клиентам ====
20.7	267
	268	{{code language="none"}}
36.1	269	set vpn l2tp remote-access client-ip-pool start укажите внутренний IP-адрес от
	270	set vpn l2tp remote-access client-ip-pool stop укажите внутренний IP-адрес до
20.7	271	{{/code}}
	272
22.1	273	==== Подшаг 12.2.3. Для подключения используйте PSK-ключ ====
20.7	274
	275	{{code language="none"}}
20.6	276	set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
20.7	277	{{/code}}
	278
22.1	279	==== Подшаг 12.2.4. Задайте PSK-ключ (MySecretKey) ====
20.7	280
	281	{{code language="none"}}
36.1	282	set vpn l2tp remote-access dns-servers server-1 укажите внутренний IP-адрес
20.7	283	{{/code}}
	284
22.1	285	==== Подшаг 12.2.5. Укажите DNS-сервер, который будет передаваться подключившимся пользователям ====
20.7	286
22.1	287	В примере используется ранее настроенный DNS forwarder. Для аутентификации пользователей будет использоваться собственная база.
20.7	288
	289	{{code language="none"}}
20.6	290	set vpn l2tp remote-access authentication mode local
20.7	291	{{/code}}
	292
38.1	293	==== Подшаг 12.2.6. Создайте пользователя с именем user1 и паролем MyPassword ====
20.7	294
	295	{{code language="none"}}
20.6	296	set vpn l2tp remote-access authentication local-users username user1 password MyPassword
20.7	297	{{/code}}
	298
	299	Если пользователю требуется дать статический адрес при подключении через VPN, то введите следующее:
	300
	301	{{code language="none"}}
20.6	302	set vpn l2tp remote-access authentication local-users username user1 static-ip 217.198.88.70.1 (пример)
20.7	303	{{/code}}
20.6	304
22.1	305	В результате пользователи могут подключаться по L2TP к маршрутизатору, а также имеют доступ к внутренней сети.
20.6	306
39.1	307	== Шаг 13. Настройте выход пользователей в интернет через [[VPN>>https://wiki.dfcloud.ru/bin/view/Glossary/VPN]] ==
20.6	308
22.1	309	Добавьте правило NAT для адресов XXX.XXX.XXX.X-XXX:
20.6	310
21.1	311	{{code language="none"}}
	312	set nat source rule 110 outbound-interface eth0
36.1	313	set nat source rule 110 source address укажите внутреннюю подсеть
21.1	314	set nat source rule 110 translation address masquerade
	315	{{/code}}
20.6	316
21.1	317	Создание правил NAT для L2TP полностью аналогично настройке NAT для внутренней сети.
	318
42.1	319	Если для [[VPN-клиентов>>https://wiki.dfcloud.ru/bin/view/Glossary/VPN-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82]] используется DNS forwarder, то для каждого соединения [[L2TP>>https://wiki.dfcloud.ru/bin/view/Glossary/L2TP]] опубликуйте сервис DNS forwarder. Подключите одновременно множество пользователей и после этого добавьте интерфейсы в DNS forwarding:
21.1	320
	321	{{code language="none"}}
	322	set service dns forwarding listen-on l2tp0
	323	set service dns forwarding listen-on l2tp1
	324	set service dns forwarding listen-on l2tp2
	325	{{/code}}
	326
22.1	327	== Шаг 14. Примените настройки и сохраните конфигурации ==
21.1	328
	329	{{code language="none"}}
	330	commit
	331	save
	332	{{/code}}
	333
10.1	334	[[В начало>>path:/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20%D0%92%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5%20%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B5%20%D1%83%D1%81%D1%82%D1%80%D0%BE%D0%B9%D1%81%D1%82%D0%B2%D0%BE%20VyOS/]] 🡱
	335	[[К предыдущему разделу>>doc:Сервис Виртуальное сетевое устройство VyOS.4\. Структура платежей.WebHome]] 🡰

Исходный код вики 5. Инструкция по сервису

Навигация

Приложения