Роутер d link межсетевой экран
Пример настройки межсетевого экрана D-Link DFL-860E
В данном документе описаны основные шаги и принципы, которые нужно учитывать при работе с межсетевым экраном D-Link DFL-860E. Роутер является достаточно продвинутым для использования в сложных конфигурациях и обладает широкими возможностями. На данном примере хорошо видно как эти возможности можно использовать при одновременном подключении двух провайдеров, один из которых – Beeline (бывшая Корбина), отличающийся нетривиальностью подключения
Надеюсь что прошивку Вы обновили на заводскую! Иначе дальше можете не читать.
Последовательность действий:
- Создание адресной книги
- Конфигурирование интерфейсов
- Настройка маршрутизации
- Настройка правил безопасности
- Конфигурирование VPN сервера
- Настройка маршрутизации VPN
- Настройка правил безопасности
- Устройство сети
Сеть состоит из внутренней сети LAN, Сети DMZ
Снаружи подключено два провайдера. Один провайдер – Corbina (Корбина) или Beeline (Билайн) подключен к интернет через соединение l2tp с получением динамического IP адреса. Второй провайдер ПТН, подключен через ADSL модем с прямым статическим IP адресом.
Необходимо обеспечить выход офисной сети в интернет через канал Корбины, и обеспечить работу внутренних сервисов через второго провайдера ПТН.
Вся сложность в том, что интернет-соединение от Корбины имеет динамические параметры.
Последовательность шагов настройки роутера D-Link DFL-860E
2 Создание адресной книги D-Link DFL-860E
В таблицу адресов вносятся адреса объектов которые взаимодействуют с роутером
3 Конфигурирование интерфейсов D-Link DFL-860E
Настройка соединения с интернет-провайдерами. В DNS ничего не меняем. Все адреса будут присвоены провайдером автоматически. Или если во внутренней сети уже существует DNS сервер
Настраиваем интерфейсы. Заходим во вкладку Interfaces–Ethernet
Wan1 подключен к Корбине. Адрес получает автоматически.
Вкладка Hardware по умолчанию
Во вкладке Advanced проверяем назначение метрики, и автоматическое добавление маршрутов
WAN2 подключен к ПТН, через ADSL модем, который работает в режиме моста. Адреса на этот интерфейс задаются в адресной книге
Если этот интерфейс у нас является вспомогательным, те весь трафик по умолчанию идет через Корбину, то на него необходимо прописать метрику больше чем для интерфейса Wan1. Надо отметить, что в сложном маршрутизаторе маршрут по умолчанию всегда должен быть один. У основного маршрута всегда метрика должна быть меньше чем у других. Одинаковые метрики для маршрута по умолчанию ведут к раздвоению пакетов и неработоспособности многих сервисов.
Корбина известна своим геморройным подключением через сервис L2TP и PPTP. Для этого идем в PPTP/L2TP Clients и настраиваем соединение. Для того что бы интерфейс получил правильные адреса и таблицу маршрутизации необходимо правильно прописать удаленный хост. Дело в том, что у Корбины адрес хоста определяется автоматически. Прописываем туда следующую запись: DNS:internet.beeline.ru. Достоинство данного роутера в том, что он может разрешать адрес удаленного хоста. К сожалению, не все роутеры, даже продвинутые имеют такую настройку.
Во вкладке Security почти ничего не меняем, а во вкладку Advanced прописываем метрику и MTU
С метрикой надо поподробнее:
Из текущих настроек наименьшую метрику имеет интерфейс WAN1 значение – 100. А L2tp- client имеет значение 120. Т.е весь трафик по прежнему будет идти во внутреннюю сеть Корбины. А нам нужно, чтобы весть трафик из внутренней сети шел уже через новое L2TP-соединение Установить метрику L2TP-Клиента меньше чем на WAN1 мы не можем, потому, что тогда интерфейс от Корбины не получит настройки и таблицу маршрутизации и L2TP-соединение не установится. Поэтому метрика изначально ставится больше. Когда интерфейс L2TP получит все адреса и туннель будет установлен, тогда таблицу маршрутизации можно будет менять динамически. Для этого и будут использоваться динамические правила маршрутизации.
Обратим внимание, на метрику на интерфейсе L2tp -110, которая больше метрики на wan1 -100
Весь трафик идет через wan1, во внутреннюю сеть Корбины. Следующий пункт делает возможным направление интернет трафика из внутренней сети в установившееся l2tp соединение
4 Настройка таблиц динамической маршрутизации для правильного направления трафика D-Link DFL-860E
Как видим есть 3 маршрута с разными метриками. Основной маршрут с метрикой 100
Маршрут в интернет соединение Корбины L2TP с метрикой 110
Запасной маршрут в ПТН с метрикой 120
Задача трафик из внутренней сети Lan пустить через l2tp канал Корбины
Создаем для этого еще одну таблицу маршрутизации forward_routing
В этой таблице запись 1 – маршрут всего трафика через интерфейс L2TP с метрикой 80. Включаем мониторинг маршрута. Когда этот маршрут становится не доступен, то начинает работать запись 2, которая пускает весь трафик в интерфейс wan2 через запасной канал ПТН
А теперь самое интересное
Идем в раздел Routing Rules и создаем правила для таблиц маршрутизации
Правило 1- short_lan_to_corbina дает возможность динамического применения таблицы маршрутизации
В случае если источник находится в сети Lan и, направляется согласно метрике в основной таблице в Wan1, к нему применятся таблица маршрутизации forward_routing, которая направляет его в интерфейс L2TP. Для приходящих обратно пакетов работает таблица main
Для того чтобы наружу могли работать внутренние сервисы, необходимо создать еще одно правило: short_corbina_back, согласно которому, входящие пакеты приходящие на интерфейс L2tp_corb должны направляться согласно основной таблице main, а возвращаться согласно той же таблицы forward_routing
Для того что бы через интерфейс wan2 можно было раздавать сервисы из внутренней сети в интернет необходимо создать динамическое правило для входящих пакетов. Сначала создается дополнительная таблица маршрутизации forward_routing2
В ней создается маршрут по умолчанию с метрикой 80 для интерфейса wan2
Для того чтобы входящие пакеты с интерфейса wan2 могли попасть во внутренню сеть и выйти обратно через тот же интерфейс wan2 необходимо создать еще одно правило: short_wan2_back
Согласно этому правилу, входящий пакет с интерфейса wan2 разгуливается согласно основной таблицы маршрутизации main, а обратный пакет направляется согласно таблицы forward_routing2. Таким образом можно заставить правильно работать, например, web-сайт, который находится во внутренней сети через запасной канал wan2. Пакеты будут правильно приходить и уходить через один и тот же интерфейс.
5 Настройка правил безопасности D-Link DFL-860E
Правило 2 разрешает пинг маршрутизатора из локальной сети
Правило 3 в данной папке включает NAT от интерфейса L2TP Корбины во внутреннюю сеть
Правило 2 в данной папке включает NAT через интерфейс второго провайдера во внутреннюю сеть
Правило 1 в данной папке позволяет пинговать внешний IP адрес L2TP интерфейса
Правило 2-5 проброс сервиса ftp из внутренней сети через интерфейс L2TP Корбины в интернет
Правило 6 включает преобразование адресов NAT на интерфейсе L2TP Корбины
Правило 1-13 проброс внутренних сервисов через интерфес WAN2 второго провайдера в интернет
Правило 14 включает преобразование адресов NAT на интерфейсе WAN2 второго провайдера
6 Конфигурирование VPN сервера D-Link DFL-860E
Данный маршрутизатор можно использовать как L2TP –Сервер для подключения удаленных пользователей через защищенное соединение по протоколу IPSEC.
Создаем новый Preshared key
Заходим в interfaces/IPSec и создаем новый интерфейс
Вкладка Authentication. Выбираем Preshared key который мы создали ранее
Во вкладке Routing отмечаем автоматическое добавление маршрута
Заходим в меню PPTP/L2TP Servers и добавляем новый сервер:
Заходим в User Authentication/ Local User Databases и создаем базу для удаленных пользователей:
После чего создам самих удаленных пользователей
Идем в User Authentication /User Authentication Rules и создаем правило аутентификации. Привязываемся там ко всем объектам, которые мы создали ранее
Во вкладке Authentication Options выбираем базу данных для удаленных пользователей.
7 Настройка маршрутизации для VPN . D-Link DFL-860E
При установке канала в основную таблицу маршрутизации автоматически добавляются интерфейсы VPN подесети. Основная задача – это разрешить трафик туда, куда нужно
8 Настройка правил безопасности D-Link DFL-860E
Разрешаем хождение трафика во внутреннюю сеть и в сеть DMZ
При желании можно правила ужесточить и назначить только специфические сервисы
Все пожелания по данному документу прошу направлять Егорову Ярославу – инженеру Компании «Глобал-Админ»
Роутер d link межсетевой экран
Вопрос: Что такое межсетевой экран — файрвол (Firewall) и как его настраивать у Интернет-маршрутизаторов серии DI-XXX? Ответ:
Файрвол — или, по-другому «фильтр пакетов» — это дополнительная возможность интернет- маршрутизаторов серии DI-XXX , предназначенная для ограничения прохождения пакетов IP-протокола через интернет- маршрутизатор. Похожие функции реализуются на закладке «Filter» , но только для ограничения исходящего трафика. Чаще всего дополнительно настраивать файрвол нет необходимости, так как имеющиеся в его настройках правила «по умолчанию» обеспечивают нужные функции защиты. Также имеющийся у интернет- маршрутизаторов данной серии сервис NAT обеспечивает хороший уровень защищенности.
Но иногда требуется более гибкое конфигурирование ограничений. Как пример, рассмотрим настройку правил файрвола для разрешения доступа к внутреннему web-серверу (предоставляемому через функцию «Virtual Server») только компьютерам из определенной подсети (например, подсеть филиала).
Для настройки правил файрвола сперва нужно настроить подключение к интернет-маршрутизатору по локальной сети, подключиться web-браузером по IP-адресу интернет-маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).
После этого перейти на закладку Advanced -> Firewall .
(далее шаги настройки и снимки экрана приводятся на примере DI-604HV F/W V3.06 , для других устройств все настраивается аналогичным образом).
Увидим следующую страничку (рис.1)
I) В списке видим правило, созданное автоматически в момент конфигурирования виртуального сервера. Три других правила, расположенных ниже, — правила «по умолчанию» и удаляться или редактироваться не могут. Для решения нашей задачи (ограничение списка компьютеров, имеющих доступ к web-серверу) нужно нажать значок редактирования, расположенный справа в соответствующей правилу строке. Картинка измениться на следующую (рис.2):
- После нажатия кнопки редактирования все параметры выбранного правила отобразились в полях вверху страницы. При этом все они серого цвета и недоступны для редактирования. Это говорит о том, что редактировать эти параметры нужно на вкладке «Virtual Server» , где создавался web-сервер и в результате чего автоматически сгенерировалось данное правило для разрешения доступа к нему. Единственные поля, доступные для редактирования — выделенные красным прямоугольником, причем в поле «IP Start» первоначально стоял символ » * «, а поле «IP End» было пустым. Это означало, что ограничений по IP-адресу источника нет. Для введения ограничения согласно нашей задачи отредактируем эти поля, указав в них диапазон адресов компьютеров, которым разрешено иметь доступ к web-серверу. В качестве примера разрешено иметь доступ только 6 компьютерам с адресами 10.20.30.40-45. Всем остальным в доступе будет отказано.
- Нажимаем кнопку «Apply» — после этого появляется сообщение о перезагрузке, после чего через некоторое время снова появляется эта страничка. После этого необходимо перезагрузить устройство по питанию.
Поздравляем, настройка завершена.