Типовая конфигурация. Первоначальная настройка Eltex ESR-200-FSTEC. Часть 1.
В отличии от обычной версии ESR-200 версия FSTEC не имеет встроенного сервера BRAS (Broadband Remote Access Server), поэтому максимум, что вы можете сделать, это запретить определенным ip-адресам выходить в интернет, весь остальной функционал, например, белые/черные списки сайтов, фильтрация по URL и так далее, для вас будет недоступен.
Сегодня мы настроим маршрутизатор ESR-200-FSTEC в качестве шлюза для доступа к сети интернет. Тем не менее, всё сказанное, применимо и к ESR-200.
Описанное в этой статье подразумевает, что ESR-200 сброшен до заводских настроек.
Подключимся к ESR-200 через консоль настроим сеть, как это сделать мы рассматривали в предыдущей статье.
Схема подключения у нас будет следующая:
В порт 1 мы подключим кабель к нашей ЛВС в порт 2 кабель к провайдеру.
Настроим сеть на маршрутизаторе
hostname gw1
security zone LAN
description "LAN"
exit
security zone INET
description "Internet"
exit
interface gigabitethernet 1/0/1
description "LAN"
security-zone LAN
ip address 172.16.100.254/24
no shut
exit
interface gigabitethernet 1/0/2
description " INET"
security-zone INET
ip address 172.16.200.2/28
no shut
exit
Установим пароль админа
username admin
password encrypted $6$Yhs5oqf7nQgN/AJK$xuKxyK6esVeMSqRUJ/0VVDSxU.1SwNu9O1uWFEAIt42p1TM1mtjmRD2slJVz7meoqeE1ZxzVz4M3bLYf760aB0
exit
В данном случае пароль - password
Включим SHH
ip ssh server
Разрешим доступ по SSH админу:
object-group service SSH
description "SSH"
port-range 22
exit
object-group network LAN
description "LAN"
ip prefix 172.16.100.0/24
exit
object-group network ADMINPC
description "LAN"
ip prefix 172.16.100.2/24
exit
security zone-pair LAN self
rule 1
description "SSH"
action permit
match protocol tcp
match source-address ADMINPC
match destination-address any
match source-port any
match destination-port SSH
enable
exit
exit
Разрешим пинговать маршрутизатор из ЛВС:
security zone-pair LAN self
rule 100
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exit
Включим синхронизацию времени по NTP
ntp enable
ntp logging
ntp server 88.147.254.227
exit
ntp server 88.147.254.230
exit
Сохраним конфигурацию
do com
do con
Настроим на ноутбуке ip-адрес 172.16.100.2/24 и шлюз по умолчанию 172.16.100.254
В качестве провайдера в данном материале будет выступать Mikrotik в GNS3 со следующей конфигурацией:
/interface ethernet
add address=172.16.200.1/28 interface=ether1
add address=192.168.0.22/24 interface=ether2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether2
/ip route
add distance=1 gateway=192.168.0.254
С ноутбука проверим доступность шлюза:
ping 172.16.100.254
PING 172.16.100.254 (172.16.100.254) 56(84) bytes of data.
64 bytes from 172.16.100.254: icmp_seq=1 ttl=64 time=0.206 ms
64 bytes from 172.16.100.254: icmp_seq=2 ttl=64 time=0.201 ms
64 bytes from 172.16.100.254: icmp_seq=3 ttl=64 time=0.198 ms
64 bytes from 172.16.100.254: icmp_seq=4 ttl=64 time=0.242 ms
^C
--- 172.16.100.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3025ms
rtt min/avg/max/mdev = 0.198/0.211/0.242/0.025 ms
Проверим доступность по SSH:
$ ssh 172.16.100.254
The authenticity of host '172.16.100.254 (172.16.100.254)' can't be established.
ECDSA key fingerprint is SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.100.254' (ECDSA) to the list of known hosts.
Password:
********************************************
* Welcome to ESR-200 *
********************************************
Welcome to ESR-200 on Thu Jan 9 14:34:54 GMT 2020
esr:gw1#
Доступ есть.
Проверим доступ к сети Интернет:
ping 8.8.8.8
connect: Network is unreachable
Всё верно, мы же не указали шлюз по умолчанию, пропишем его:
ip route 0.0.0.0/0 172.16.200.1
Снова пингуем – пинга нет.
Попробуем трассировку:
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 172.16.100.254 (172.16.100.254) 0.205 ms 0.452 ms 0.180 ms
2 * * *
3 * * *
4 * * *
Всё правильно, провайдер не знает где находиться наша сеть. Нам нужно настроить SRC-NAT на ESR-200.
Делается это очень просто:
nat source
ruleset INET
to interface gigabitethernet 1/0/2
rule 10
description "Доступ в интернет LAN"
match source-address LAN
action source-nat interface
enable
exit
exit
Разрешим пинг между зонами
security zone-pair LAN INET
rule 100
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exit
Сохраняем конфигурацию
do com
do con
Проверяем с ноутбука:
ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=106 time=149 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=106 time=149 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=106 time=148 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=106 time=148 ms
^C
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 148.007/148.775/149.210/0.655 ms
Работает.
Но трассировка не работает:
traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 172.16.100.254 (172.16.100.254) 0.198 ms 0.128 ms 0.395 ms
2 * * *
3 * * *
4 * * *
5 * * *
Добавим правило для межсетевого экрана
object-group service TRACEROUTE
port-range 33434-33529
exit
security zone-pair LAN INET
rule 101
description "TRACEROUTE"
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port TRACEROUTE
enable
exit
exit
Сохраняем конфигурацию
do com
do con
Снова проверяем трассировку:
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 172.16.100.254 (172.16.100.254) 0.198 ms 0.101 ms 0.236 ms
2 172.16.200.1 (172.16.200.1) 2.900 ms 3.320 ms 3.647 ms
3 х.х.х.х (х.х.х.х) 5.830 ms 5.798 ms 6.100 ms
4 * * *
5 * * *
6 * * *
7 * * *
Трассировка заработала, просто в данном случае главный маршрутизатор блокирует трафик.
Проверяем пинг с ноутбука:
ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=106 time=150 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=106 time=151 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=106 time=148 ms
Если мы сейчас попытаемся получить доступ к сайту, то у нас ничего не выйдет:
wget http://ya.ru
--2020-08-28 13:43:23-- http://ya.ru/
Распознаётся ya.ru (ya.ru)… ошибка: Временный сбой в разрешении имен.
wget: не удаётся разрешить адрес «ya.ru»
Нужно настроить межсетевой экран на ESR-200, разрешив http/https и доступ к DNS с узлов ЛВС, а также, работу с электронной почтой.
object-group service HTTP
description "HTTP/2"
port-range 80
port-range 443
exit
object-group service MAIL
description "EMAIL"
port-range 25
port-range 465
port-range 110
port-range 995
port-range 143
port-range 993
exit
object-group service DNS
description "DNS"
port-range 53
exit
security zone-pair LAN INET
rule 1
description "HTTP"
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port HTTP
enable
exit
rule 2
description "MAIL"
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port MAIL
enable
exit
rule 2
description "DNS"
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port DNS
enable
exit
exit
do com
do con
Пробуем снова:
wget http://ya.ru
--2020-08-28 13:48:04-- http://ya.ru/
Распознаётся ya.ru (ya.ru)… 87.250.250.242, 2a02:6b8::2:242
Подключение к ya.ru (ya.ru)|87.250.250.242|:80... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа… 302 Found
Адрес: https://ya.ru/ [переход]
--2020-08-28 13:48:05-- https://ya.ru/
Подключение к ya.ru (ya.ru)|87.250.250.242|:443... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа… 200 Ok
Длина: 57334 (56K) [text/html]
Сохранение в: «index.html»
index.html 100%[===================>] 55,99K 20,2KB/s in 2,8s
2020-08-28 13:48:12 (20,2 KB/s) - «index.html» сохранён [57334/57334]
Вот и всё. Дальше вы можете просто подключить ESR-200 к ЛВС и выставьте ip-адрес ESR-200 в сетевых настройках на ПК в вашей сети в качестве шлюза по умолчанию, и пользователи смогут выходить в интернет.
Готовая конфигурация
hostname gw1
username admin
password encrypted $6$Yhs5oqf7nQgN/AJK$xuKxyK6esVeMSqRUJ/0VVDSxU.1SwNu9O1uWFEAIt42p1TM1mtjmRD2slJVz7meoqeE1ZxzVz4M3bLYf760aB0
exit
security zone LAN
description "LAN"
exit
security zone INET
description "Internet"
exit
object-group service SSH
description "SSH"
port-range 22
exit
object-group service TRACEROUTE
port-range 33434-33529
exit
object-group service HTTP
description "HTTP/S"
port-range 80
port-range 443
exit
object-group service MAIL
description "EMAIL"
port-range 25
port-range 465
port-range 110
port-range 995
port-range 143
port-range 993
exit
object-group service DNS
description "DNS"
port-range 53
exit
object-group network LAN
description "LAN"
ip prefix 172.16.100.0/24
exit
object-group network ADMINPC
description "LAN"
ip address-range 172.16.100.2
exit
interface gigabitethernet 1/0/1
description "LAN"
security-zone LAN
ip address 172.16.100.254/24
exit
interface gigabitethernet 1/0/2
description " INET"
security-zone INET
ip address 172.16.200.2/28
exit
interface gigabitethernet 1/0/3
shutdown
exit
interface gigabitethernet 1/0/4
shutdown
exit
interface gigabitethernet 1/0/5
shutdown
exit
interface gigabitethernet 1/0/6
shutdown
exit
interface gigabitethernet 1/0/7
shutdown
exit
interface gigabitethernet 1/0/8
shutdown
exit
security zone-pair LAN self
rule 1
description "SSH"
action permit
match protocol tcp
match source-address ADMINPC
match destination-address any
match source-port any
match destination-port SSH
enable
exit
rule 100
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exit
security zone-pair LAN INET
rule 1
description "HTTP"
action permit
match protocol tcp
match source-address any
match destination-address any
match source-port any
match destination-port HTTP
enable
exit
rule 2
description "DNS"
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port DNS
enable
exit
rule 100
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 101
description "TRACEROUTE"
action permit
match protocol udp
match source-address any
match destination-address any
match source-port any
match destination-port TRACEROUTE
enable
exit
exit
nat source
ruleset INET
to interface gigabitethernet 1/0/2
rule 10
description "Доступ в интернет LAN"
match source-address LAN
action source-nat interface
enable
exit
exit
exit
ip route 0.0.0.0/0 172.16.200.1
ip ssh server
ntp enable
ntp logging
ntp server 88.147.254.227
exit
ntp server 88.147.254.230
exit
Заключение
Сегодня мы с вами рассмотрели настройку ESR-200-FSTEC для организации доступа ЛВС к сети Интернет.
Настроили ip-адреса на интерфейсах маршрутизатора, прописали зоны безопасности и назначили их на соответствующие интерфейсы.
Настроили синхронизацию времени с NTP-серверами из интернета.
Прописали объекты с ip-адресами и портами для настройки межсетевого экрана.
Настроили межсетевой экран, разрешив подключаться по ssh только администратору, разрешили пинг и трассировку из ЛВС на узлы в сети Интернет.
Настроили SRC-NAT для обеспечения доступа пользователей нашей ЛВС к сети Интернет.
Добавить комментарий