Типовая конфигурация. Первоначальная настройка Eltex ESR-200-FSTEC. Часть 1.
В отличии от обычной версии ESR-200 версия FSTEC не имеет встроенного сервера BRAS (Broadband Remote Access Server), поэтому максимум, что вы можете сделать, это запретить определенным ip-адресам выходить в интернет, весь остальной функционал, например, белые/черные списки сайтов, фильтрация по URL и так далее, для вас будет недоступен.
Сегодня мы настроим маршрутизатор ESR-200-FSTEC в качестве шлюза для доступа к сети интернет. Тем не менее, всё сказанное, применимо и к ESR-200.
Описанное в этой статье подразумевает, что ESR-200 сброшен до заводских настроек.
Подключимся к ESR-200 через консоль настроим сеть, как это сделать мы рассматривали в предыдущей статье.
Схема подключения у нас будет следующая:
В порт 1 мы подключим кабель к нашей ЛВС в порт 2 кабель к провайдеру.
Настроим сеть на маршрутизаторе
hostname gw1
security zone LAN
description "LAN"
exit
security zone INET
description "Internet"
exit
interface gigabitethernet 1/0/1
description "LAN"
security-zone LAN
ip address 172.16.100.254/24
no shut
exit
interface gigabitethernet 1/0/2
description " INET"
security-zone INET
ip address 172.16.200.2/28
no shut
exitУстановим пароль админа
username admin
password encrypted $6$Yhs5oqf7nQgN/AJK$xuKxyK6esVeMSqRUJ/0VVDSxU.1SwNu9O1uWFEAIt42p1TM1mtjmRD2slJVz7meoqeE1ZxzVz4M3bLYf760aB0
exitВ данном случае пароль - password
Включим SHH
ip ssh serverРазрешим доступ по SSH админу:
object-group service SSH
description "SSH"
port-range 22
exit
object-group network LAN
description "LAN"
ip prefix 172.16.100.0/24
exit
object-group network ADMINPC
description "LAN"
ip prefix 172.16.100.2/24
exit
security zone-pair LAN self
rule 1
description "SSH"
action permit
match protocol tcp
match source-address ADMINPC
match destination-address any
match source-port any
match destination-port SSH
enable
exit
exitРазрешим пинговать маршрутизатор из ЛВС:
security zone-pair LAN self
rule 100
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exitВключим синхронизацию времени по NTP
ntp enable
ntp logging
ntp server 88.147.254.227
exit
ntp server 88.147.254.230
exitСохраним конфигурацию
do com
do conНастроим на ноутбуке ip-адрес 172.16.100.2/24 и шлюз по умолчанию 172.16.100.254
В качестве провайдера в данном материале будет выступать Mikrotik в GNS3 со следующей конфигурацией:
/interface ethernet
add address=172.16.200.1/28 interface=ether1
add address=192.168.0.22/24 interface=ether2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether2
/ip route
add distance=1 gateway=192.168.0.254С ноутбука проверим доступность шлюза:
ping 172.16.100.254
PING 172.16.100.254 (172.16.100.254) 56(84) bytes of data.
64 bytes from 172.16.100.254: icmp_seq=1 ttl=64 time=0.206 ms
64 bytes from 172.16.100.254: icmp_seq=2 ttl=64 time=0.201 ms
64 bytes from 172.16.100.254: icmp_seq=3 ttl=64 time=0.198 ms
64 bytes from 172.16.100.254: icmp_seq=4 ttl=64 time=0.242 ms
^C
--- 172.16.100.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3025ms
rtt min/avg/max/mdev = 0.198/0.211/0.242/0.025 msПроверим доступность по SSH:
$ ssh 172.16.100.254
The authenticity of host '172.16.100.254 (172.16.100.254)' can't be established.
ECDSA key fingerprint is SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.100.254' (ECDSA) to the list of known hosts.
Password:
********************************************
* Welcome to ESR-200 *
********************************************
Welcome to ESR-200 on Thu Jan 9 14:34:54 GMT 2020
esr:gw1#Доступ есть.
Проверим доступ к сети Интернет:
ping 8.8.8.8
connect: Network is unreachableВсё верно, мы же не указали шлюз по умолчанию, пропишем его:
ip route 0.0.0.0/0 172.16.200.1Снова пингуем – пинга нет.
Попробуем трассировку:
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 172.16.100.254 (172.16.100.254) 0.205 ms 0.452 ms 0.180 ms
2 * * *
3 * * *
4 * * *Всё правильно, провайдер не знает где находиться наша сеть. Нам нужно настроить SRC-NAT на ESR-200.
Делается это очень просто:
nat source
ruleset INET
to interface gigabitethernet 1/0/2
rule 10
description "Доступ в интернет LAN"
match source-address LAN
action source-nat interface
enable
exit
exitРазрешим пинг между зонами
security zone-pair LAN INET
rule 100
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exitСохраняем конфигурацию
do com
do con Проверяем с ноутбука:
ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=106 time=149 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=106 time=149 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=106 time=148 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=106 time=148 ms
^C
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 148.007/148.775/149.210/0.655 msРаботает.
Но трассировка не работает:
traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 172.16.100.254 (172.16.100.254) 0.198 ms 0.128 ms 0.395 ms
2 * * *
3 * * *
4 * * *
5 * * *Добавим правило для межсетевого экрана
object-group service TRACEROUTE
port-range 33434-33529
exit
security zone-pair LAN INET
rule 101
description "TRACEROUTE"
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port TRACEROUTE
enable
exit
exitСохраняем конфигурацию
do com
do con Снова проверяем трассировку:
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 172.16.100.254 (172.16.100.254) 0.198 ms 0.101 ms 0.236 ms
2 172.16.200.1 (172.16.200.1) 2.900 ms 3.320 ms 3.647 ms
3 х.х.х.х (х.х.х.х) 5.830 ms 5.798 ms 6.100 ms
4 * * *
5 * * *
6 * * *
7 * * *Трассировка заработала, просто в данном случае главный маршрутизатор блокирует трафик.
Проверяем пинг с ноутбука:
ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=106 time=150 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=106 time=151 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=106 time=148 msЕсли мы сейчас попытаемся получить доступ к сайту, то у нас ничего не выйдет:
wget http://ya.ru
--2020-08-28 13:43:23-- http://ya.ru/
Распознаётся ya.ru (ya.ru)… ошибка: Временный сбой в разрешении имен.
wget: не удаётся разрешить адрес «ya.ru»Нужно настроить межсетевой экран на ESR-200, разрешив http/https и доступ к DNS с узлов ЛВС, а также, работу с электронной почтой.
object-group service HTTP
description "HTTP/2"
port-range 80
port-range 443
exit
object-group service MAIL
description "EMAIL"
port-range 25
port-range 465
port-range 110
port-range 995
port-range 143
port-range 993
exit
object-group service DNS
description "DNS"
port-range 53
exit
security zone-pair LAN INET
rule 1
description "HTTP"
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port HTTP
enable
exit
rule 2
description "MAIL"
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port MAIL
enable
exit
rule 2
description "DNS"
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port DNS
enable
exit
exit
do com
do conПробуем снова:
wget http://ya.ru
--2020-08-28 13:48:04-- http://ya.ru/
Распознаётся ya.ru (ya.ru)… 87.250.250.242, 2a02:6b8::2:242
Подключение к ya.ru (ya.ru)|87.250.250.242|:80... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа… 302 Found
Адрес: https://ya.ru/ [переход]
--2020-08-28 13:48:05-- https://ya.ru/
Подключение к ya.ru (ya.ru)|87.250.250.242|:443... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа… 200 Ok
Длина: 57334 (56K) [text/html]
Сохранение в: «index.html»
index.html 100%[===================>] 55,99K 20,2KB/s in 2,8s
2020-08-28 13:48:12 (20,2 KB/s) - «index.html» сохранён [57334/57334]Вот и всё. Дальше вы можете просто подключить ESR-200 к ЛВС и выставьте ip-адрес ESR-200 в сетевых настройках на ПК в вашей сети в качестве шлюза по умолчанию, и пользователи смогут выходить в интернет.
Готовая конфигурация
hostname gw1
username admin
password encrypted $6$Yhs5oqf7nQgN/AJK$xuKxyK6esVeMSqRUJ/0VVDSxU.1SwNu9O1uWFEAIt42p1TM1mtjmRD2slJVz7meoqeE1ZxzVz4M3bLYf760aB0
exit
security zone LAN
description "LAN"
exit
security zone INET
description "Internet"
exit
object-group service SSH
description "SSH"
port-range 22
exit
object-group service TRACEROUTE
port-range 33434-33529
exit
object-group service HTTP
description "HTTP/S"
port-range 80
port-range 443
exit
object-group service MAIL
description "EMAIL"
port-range 25
port-range 465
port-range 110
port-range 995
port-range 143
port-range 993
exit
object-group service DNS
description "DNS"
port-range 53
exit
object-group network LAN
description "LAN"
ip prefix 172.16.100.0/24
exit
object-group network ADMINPC
description "LAN"
ip address-range 172.16.100.2
exit
interface gigabitethernet 1/0/1
description "LAN"
security-zone LAN
ip address 172.16.100.254/24
exit
interface gigabitethernet 1/0/2
description " INET"
security-zone INET
ip address 172.16.200.2/28
exit
interface gigabitethernet 1/0/3
shutdown
exit
interface gigabitethernet 1/0/4
shutdown
exit
interface gigabitethernet 1/0/5
shutdown
exit
interface gigabitethernet 1/0/6
shutdown
exit
interface gigabitethernet 1/0/7
shutdown
exit
interface gigabitethernet 1/0/8
shutdown
exit
security zone-pair LAN self
rule 1
description "SSH"
action permit
match protocol tcp
match source-address ADMINPC
match destination-address any
match source-port any
match destination-port SSH
enable
exit
rule 100
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exit
security zone-pair LAN INET
rule 1
description "HTTP"
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port HTTP
enable
exit
rule 2
description "DNS"
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port DNS
enable
exit
rule 100
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 101
description "TRACEROUTE"
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port TRACEROUTE
enable
exit
exit
nat source
ruleset INET
to interface gigabitethernet 1/0/2
rule 10
description "Доступ в интернет LAN"
match source-address LAN
action source-nat interface
enable
exit
exit
exit
ip route 0.0.0.0/0 172.16.200.1
ip ssh server
ntp enable
ntp logging
ntp server 88.147.254.227
exit
ntp server 88.147.254.230
exitЗаключение
Сегодня мы с вами рассмотрели настройку ESR-200-FSTEC для организации доступа ЛВС к сети Интернет.
Настроили ip-адреса на интерфейсах маршрутизатора, прописали зоны безопасности и назначили их на соответствующие интерфейсы.
Настроили синхронизацию времени с NTP-серверами из интернета.
Прописали объекты с ip-адресами и портами для настройки межсетевого экрана.
Настроили межсетевой экран, разрешив подключаться по ssh только администратору, разрешили пинг и трассировку из ЛВС на узлы в сети Интернет.
Настроили SRC-NAT для обеспечения доступа пользователей нашей ЛВС к сети Интернет.
Добавить комментарий