Типовая конфигурация. Первоначальная настройка Eltex ESR-200-FSTEC. Часть 1. - АлтунинВВ.Блог - всё об IT-технологиях!
Вторник, 08 сентября 2020 13:30

Типовая конфигурация. Первоначальная настройка Eltex ESR-200-FSTEC. Часть 1.

Россия

Сегодня мы настроим маршрутизатор ESR-200-FSTEC в качестве шлюза для доступа к сети интернет. Тем не менее, всё сказанное, применимо и к ESR-200.

Сразу хочу отметить, что в отличии от обычной версии ESR-200 версия FSTEC не имеет встроенного сервера BRAS (Broadband Remote Access Server), поэтому максимум, что вы можете сделать, это запретить определенным ip-адресам выходить в интернет, весь остальной функционал, например, белые/черные списки сайтов, фильтрация по URL и так далее, для вас будет недоступен.

Описанное в этой статье подразумевает, что ESR-200 сброшен до заводских настроек.

Подключимся к ESR-200 через консоль  настроим сеть, как это сделать я рассматривал в предыдущей статье.

Схема подключения представлена выше.

В порт 1 мы подключим кабель к нашей ЛВС в порт 2 кабель к провайдеру.

Настроим сеть на маршрутизаторе

hostname gw1
security zone LAN
  description "LAN"
exit
security zone INET
  description "Internet"
exit
interface gigabitethernet 1/0/1
  description "LAN"
  security-zone LAN
  ip address 172.16.100.254/24
  no shut
exit
interface gigabitethernet 1/0/2
  description " INET"
  security-zone INET
  ip address 172.16.200.2/28
  no shut
exit

Установим пароль админа

username admin
  password encrypted $6$Yhs5oqf7nQgN/AJK$xuKxyK6esVeMSqRUJ/0VVDSxU.1SwNu9O1uWFEAIt42p1TM1mtjmRD2slJVz7meoqeE1ZxzVz4M3bLYf760aB0
exit

В данном случае пароль - password

Включим SHH

ip ssh server

Разрешим доступ по SSH админу:

object-group service SSH
  description "SSH"
  port-range 22
exit

object-group network LAN
  description "LAN"
  ip prefix 172.16.100.0/24
exit

object-group network ADMINPC
  description "LAN"
  ip prefix 172.16.100.2/24
exit

security zone-pair LAN self
  rule 1
    description "SSH"
    action permit
    match protocol tcp
    match source-address ADMINPC
    match destination-address any
    match source-port any
    match destination-port SSH
    enable
  exit
exit

Разрешим пинговать маршрутизатор из ЛВС:

security zone-pair LAN self
  rule 100
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit

Включим синхронизацию времени по NTP

ntp enable
ntp logging
ntp server 88.147.254.227
exit
ntp server 88.147.254.230
exit

Сохраним конфигурацию

do com
do con

Настроим на ноутбуке ip-адрес 172.16.100.2/24 и шлюз по умолчанию 172.16.100.254

В качестве провайдера в данном материале будет выступать Mikrotik в GNS3 со следующей конфигурацией:

/interface ethernet
add address=172.16.200.1/28 interface=ether1
add address=192.168.0.22/24 interface=ether2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether2
/ip route
add distance=1 gateway=192.168.0.254

С ноутбука проверим доступность шлюза:

ping 172.16.100.254
PING 172.16.100.254 (172.16.100.254) 56(84) bytes of data.
64 bytes from 172.16.100.254: icmp_seq=1 ttl=64 time=0.206 ms
64 bytes from 172.16.100.254: icmp_seq=2 ttl=64 time=0.201 ms
64 bytes from 172.16.100.254: icmp_seq=3 ttl=64 time=0.198 ms
64 bytes from 172.16.100.254: icmp_seq=4 ttl=64 time=0.242 ms
^C
--- 172.16.100.254 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3025ms
rtt min/avg/max/mdev = 0.198/0.211/0.242/0.025 ms

Проверим доступность по SSH:

$ ssh 172.16.100.254
The authenticity of host '172.16.100.254 (172.16.100.254)' can't be established.
ECDSA key fingerprint is SHA256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.100.254' (ECDSA) to the list of known hosts.
Password:

********************************************
*            Welcome to ESR-200            *
********************************************

Welcome to ESR-200 on Thu Jan  9 14:34:54 GMT 2020
esr:gw1#

Доступ есть.

Проверим доступ к сети Интернет:

ping 8.8.8.8
connect: Network is unreachable

Всё верно, мы же не указали шлюз по умолчанию, пропишем его:

ip route 0.0.0.0/0 172.16.200.1

Снова пингуем – пинга нет.

Попробуем трассировку:

traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  172.16.100.254 (172.16.100.254)  0.205 ms  0.452 ms  0.180 ms
 2  * * *
 3  * * *
 4  * * *

Всё правильно, провайдер не знает где находиться наша сеть. Нам нужно настроить SRC-NAT на ESR-200.

Делается это очень просто:

nat source
  ruleset INET
    to interface gigabitethernet 1/0/2
    rule 10
      description "Доступ в интернет LAN"
      match source-address LAN
      action source-nat interface
      enable
    exit
exit

Разрешим пинг между зонами

security zone-pair LAN INET
  rule 100
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit

Сохраняем конфигурацию

do com
do con

Проверяем с ноутбука:

ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=106 time=149 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=106 time=149 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=106 time=148 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=106 time=148 ms
^C
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 148.007/148.775/149.210/0.655 ms

Работает.

Но трассировка не работает:

traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  172.16.100.254 (172.16.100.254)  0.198 ms  0.128 ms  0.395 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *

Добавим правило для межсетевого экрана

object-group service TRACEROUTE
  port-range 33434-33529
exit
security zone-pair LAN INET
rule 101
    description "TRACEROUTE"
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port TRACEROUTE
    enable
  exit
exit

Сохраняем конфигурацию

do com
do con

Снова проверяем трассировку:

traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1  172.16.100.254 (172.16.100.254)  0.198 ms  0.101 ms  0.236 ms
2  172.16.200.1 (172.16.200.1)  2.900 ms  3.320 ms  3.647 ms
3  х.х.х.х (х.х.х.х)  5.830 ms  5.798 ms  6.100 ms
4  * * *
5  * * *
6  * * *
7  * * *

Трассировка заработала, просто в данном случае главный маршрутизатор блокирует трафик.

Проверяем пинг с ноутбука:

ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=106 time=150 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=106 time=151 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=106 time=148 ms

Если мы сейчас попытаемся получить доступ к сайту, то у нас ничего не выйдет:

wget http://ya.ru
--2020-08-28 13:43:23--  http://ya.ru/
Распознаётся ya.ru (ya.ru)… ошибка: Временный сбой в разрешении имен.
wget: не удаётся разрешить адрес «ya.ru»

Нужно настроить межсетевой экран на ESR-200, разрешив http/https и доступ к DNS с узлов ЛВС, а также, работу с электронной почтой.

object-group service HTTP
  description "HTTP/2"
  port-range 80
  port-range 443
exit
object-group service MAIL
  description "EMAIL"
  port-range 25
  port-range 465
  port-range 110
  port-range 995
  port-range 143
  port-range 993
exit
object-group service DNS
  description "DNS"
  port-range 53
exit

security zone-pair LAN INET
  rule 1
    description "HTTP"
    action permit
    match protocol tcp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port HTTP
    enable
  exit
  rule 2
    description "MAIL"
    action permit
    match protocol tcp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port MAIL
    enable
  exit
  rule 2
    description "DNS"
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port DNS
    enable
  exit
exit
do com
do con

Пробуем снова:

wget http://ya.ru
--2020-08-28 13:48:04--  http://ya.ru/
Распознаётся ya.ru (ya.ru)… 87.250.250.242, 2a02:6b8::2:242
Подключение к ya.ru (ya.ru)|87.250.250.242|:80... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа… 302 Found
Адрес: https://ya.ru/ [переход]
--2020-08-28 13:48:05--  https://ya.ru/
Подключение к ya.ru (ya.ru)|87.250.250.242|:443... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа… 200 Ok
Длина: 57334 (56K) [text/html]
Сохранение в: «index.html»

index.html          100%[===================>]  55,99K  20,2KB/s    in 2,8s

2020-08-28 13:48:12 (20,2 KB/s) - «index.html» сохранён [57334/57334]

Вот и всё. Дальше вы можете просто подключить ESR-200 к ЛВС и выставьте ip-адрес ESR-200 в сетевых настройках на ПК в вашей сети в качестве шлюза по умолчанию, и пользователи смогут выходить в интернет.

Готовая конфигурация

hostname gw1

username admin
  password encrypted $6$Yhs5oqf7nQgN/AJK$xuKxyK6esVeMSqRUJ/0VVDSxU.1SwNu9O1uWFEAIt42p1TM1mtjmRD2slJVz7meoqeE1ZxzVz4M3bLYf760aB0
exit

security zone LAN
  description "LAN"
exit
security zone INET
  description "Internet"
exit

object-group service SSH
  description "SSH"
  port-range 22
exit
object-group service TRACEROUTE
  port-range 33434-33529
exit
object-group service HTTP
  description "HTTP/S"
  port-range 80
  port-range 443
exit
object-group service MAIL
  description "EMAIL"
  port-range 25
  port-range 465
  port-range 110
  port-range 995
  port-range 143
  port-range 993
exit
object-group service DNS
  description "DNS"
  port-range 53
exit

object-group network LAN
  description "LAN"
  ip prefix 172.16.100.0/24
exit
object-group network ADMINPC
  description "LAN"
  ip address-range 172.16.100.2
exit


interface gigabitethernet 1/0/1
  description "LAN"
  security-zone LAN
  ip address 172.16.100.254/24
exit
interface gigabitethernet 1/0/2
  description " INET"
  security-zone INET
  ip address 172.16.200.2/28
exit
interface gigabitethernet 1/0/3
  shutdown
exit
interface gigabitethernet 1/0/4
  shutdown
exit
interface gigabitethernet 1/0/5
  shutdown
exit
interface gigabitethernet 1/0/6
  shutdown
exit
interface gigabitethernet 1/0/7
  shutdown
exit
interface gigabitethernet 1/0/8
  shutdown
exit
security zone-pair LAN self
  rule 1
    description "SSH"
    action permit
    match protocol tcp
    match source-address ADMINPC
    match destination-address any
    match source-port any
    match destination-port SSH
    enable
  exit
  rule 100
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit
security zone-pair LAN INET
  rule 1
    description "HTTP"
    action permit
    match protocol tcp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port HTTP
    enable
  exit
  rule 2
    description "DNS"
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port DNS
    enable
  exit
  rule 100
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
  rule 101
    description "TRACEROUTE"
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port TRACEROUTE
    enable
  exit
exit

nat source
  ruleset INET
    to interface gigabitethernet 1/0/2
    rule 10
      description "Доступ в интернет LAN"
      match source-address LAN
      action source-nat interface
      enable
    exit
  exit
exit

ip route 0.0.0.0/0 172.16.200.1

ip ssh server

ntp enable
ntp logging
ntp server 88.147.254.227
exit
ntp server 88.147.254.230
exit

Заключение

Сегодня мы с вами рассмотрели настройку ESR-200-FSTEC для организации доступа ЛВС к сети Интернет.

Настроили ip-адреса на интерфейсах маршрутизатора, прописали зоны безопасности и назначили их на соответствующие интерфейсы.

Настроили синхронизацию времени с NTP-серверами из интернета.

Прописали объекты с ip-адресами и портами для настройки межсетевого экрана.

Настроили межсетевой экран, разрешив подключаться по ssh только администратору, разрешили пинг и трассировку из ЛВС на узлы в сети Интернет.

Настроили SRC-NAT для обеспечения доступа пользователей нашей ЛВС к сети Интернет.

Прочитано 216 раз Последнее изменение Понедельник, 14 сентября 2020 16:21