Роутер d link настройка межсетевого экрана

Для настройки работы интернета на данном устройстве не совсем тривиально как на обычных роутерах фирмы d-link.

Для настройки нам необходимо сделать три шага, 1. Создать объекты для Wan интерфейса и Lan интерфейса. 2. Присвоить эти объекты к нужным портам DFL-870. и 3. Создать правила для работы интернета во внутренней сети.

Для примера возьмём следующие настройки:

1) локальная сеть будут настройки:

2) Настройки выданные провайдером

Приступим к настройкам межсетевого экрана DFL-870. Данную настройку будем проводить через Web интерфейс межсетевого экрана. Зайдём на DFL через браузер и для начала перейдем на вкладку Objects (рис.1).

По умолчанию будут созданы три 5 объектов как показано на рис.1, далее зайдём в InterfaceAddresses. Где будут по умолчанию созданы правила для локальных интерфейсов устройства, WAN и ZTE портов устройства (рис.2).

Изменяем нужные нам порты соответствующими настройками как показано на рис.2.

Где Lan1_IP — локальный IP адрес межсетевого экрана.

Lan1_Net- маска сети, записанная в так называемом бесклассовом Междоменной маршрутизации CIDR представление таким образом, короче говоря, это битовая маска.

Wan_IP, Wan_net и DNS провайдера я вынес отдельно.

Далее в Objects создадим Address Folder путём кнопки Add -> Address Folder с именем goodline. Это делается для удобства администрирования DFL-870. (рис.3)

Источник

Вопрос: Что такое межсетевой экран — файрвол (Firewall) и как его настраивать у Интернет-маршрутизаторов серии DI-XXX? Ответ:

Файрвол — или, по-другому «фильтр пакетов» — это дополнительная возможность интернет- маршрутизаторов серии DI-XXX , предназначенная для ограничения прохождения пакетов IP-протокола через интернет- маршрутизатор. Похожие функции реализуются на закладке «Filter» , но только для ограничения исходящего трафика. Чаще всего дополнительно настраивать файрвол нет необходимости, так как имеющиеся в его настройках правила «по умолчанию» обеспечивают нужные функции защиты. Также имеющийся у интернет- маршрутизаторов данной серии сервис NAT обеспечивает хороший уровень защищенности.

Читайте также:  Юсб модем роутер билайн

Но иногда требуется более гибкое конфигурирование ограничений. Как пример, рассмотрим настройку правил файрвола для разрешения доступа к внутреннему web-серверу (предоставляемому через функцию «Virtual Server») только компьютерам из определенной подсети (например, подсеть филиала).

Для настройки правил файрвола сперва нужно настроить подключение к интернет-маршрутизатору по локальной сети, подключиться web-браузером по IP-адресу интернет-маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).

После этого перейти на закладку Advanced -> Firewall .

(далее шаги настройки и снимки экрана приводятся на примере DI-604HV F/W V3.06 , для других устройств все настраивается аналогичным образом).

Увидим следующую страничку (рис.1)

I) В списке видим правило, созданное автоматически в момент конфигурирования виртуального сервера. Три других правила, расположенных ниже, — правила «по умолчанию» и удаляться или редактироваться не могут. Для решения нашей задачи (ограничение списка компьютеров, имеющих доступ к web-серверу) нужно нажать значок редактирования, расположенный справа в соответствующей правилу строке. Картинка измениться на следующую (рис.2):

  1. После нажатия кнопки редактирования все параметры выбранного правила отобразились в полях вверху страницы. При этом все они серого цвета и недоступны для редактирования. Это говорит о том, что редактировать эти параметры нужно на вкладке «Virtual Server» , где создавался web-сервер и в результате чего автоматически сгенерировалось данное правило для разрешения доступа к нему. Единственные поля, доступные для редактирования — выделенные красным прямоугольником, причем в поле «IP Start» первоначально стоял символ » * «, а поле «IP End» было пустым. Это означало, что ограничений по IP-адресу источника нет. Для введения ограничения согласно нашей задачи отредактируем эти поля, указав в них диапазон адресов компьютеров, которым разрешено иметь доступ к web-серверу. В качестве примера разрешено иметь доступ только 6 компьютерам с адресами 10.20.30.40-45. Всем остальным в доступе будет отказано.
  2. Нажимаем кнопку «Apply» — после этого появляется сообщение о перезагрузке, после чего через некоторое время снова появляется эта страничка. После этого необходимо перезагрузить устройство по питанию.
Читайте также:  Охлаждающая подставка для роутеров

Поздравляем, настройка завершена.

Источник

Пример настройки будет приведен для топологии изображенной на рисунке ниже:

Настройка DFL-870.

Создание объектов.

Пример для CLI.

add Address IP4Address remote_dev Address=10.0.0.2
add Address IP4Address remote_net Address=192.168.20.0/24
add PSK tunkey Type=ASCII PSKAscii=1234567890
add IKEAlgorithms ike_des DESEnabled=Yes SHA1Enabled=Yes
add IPsecAlgorithms ipsec_des DESEnabled=Yes SHA1Enabled=yes

Пример для Web интерфейса.

Пройдите в Web интерфейсе Objects → Address book, нажмите кнопку Add и выберите IP4 Address.

Заполните поля следующим образом:

Аналогичным образом создайте объект remote_net со следующими параметрами:

Name: remote_net
Address: 192.168.20.0/24

Пройдите в Web интерфейсе Objects → IKE Algorithms, нажмите кнопку Add и выберите IKE Algorithms

Включите протокол шифрование DES и контроль целостности sha1, в поле name укажите ike_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → IPsec Algorithms, нажмите кнопку Add и выберите IPsec Algorithms.

Включите протокол шифрование DES и контроль целостности sha1, в поле Name укажите ipsec_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → Key Ring, нажмите кнопку Add и выберите Pre-Shared Key

Заполните поля следующим образом:

Name: tunkey
Type: Passphrase (выбрать из выпадающего меню)
Shared Secret: 1234567890
Confirm Secret: 1234567890

Настройка IPsec тоннеля.

Пример для CLI.

add Interface IPsecTunnel tun PSK=tunkey LocalNetwork=InterfaceAddresses/lan1_net RemoteNetwork=remote_net RemoteEndpoint=remote_dev IKEAlgorithms=ike_des IPsecAlgorithms=ipsec_des

Пример для Web интерфейса.

Пройдите в Web интерфейсе Network → Interfaces and VPN → IPsec нажмите кнопку Add и выберите Ipsec Tunnel.

Заполните поля на вкладке General следующим образом:

Name: tun
IKE Version: IKEv1
Local Network: lan1_net (выбрать из выпадающего меню)
Remote Network: remote_net (выбрать из выпадающего меню)
Remote Endpoint: remote_dev (выбрать из выпадающего меню)

Читайте также:  Роутер keenetic 4g модель kn 1210

Пройдите на вкладку Authentication и заполните поля следующим образом:

Authentication Method: Pre-shared Key
Pre-shared Key: tunkey

Пройдите на вкладку IKE (Phase-1) и в поле Algorithms укажите ike_des

Пройдите на вкладку IPsec (Phase-2) и в поле Algorithms укажите IPsec_des

Настройка IP политик.

Пример для CLI.

add IPPolicy Name=from_tun SourceInterface=tun SourceNetwork=remote_net DestinationInterface=lan1 DestinationNetwork=InterfaceAddresses/lan1_net Service=all_services Action=Allow

add IPPolicy Name=to_tun SourceInterface=lan1 SourceNetwork=InterfaceAddresses/lan1_net DestinationInterface=tun DestinationNetwork=remote_net Service=all_services Action=Allow

Пример для Web интерфейса.

Пройдите в Web интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку Add и выберите IP Policy.

Заполните поля как показано на рисунке ниже затем нажмите кнопку Ок.

Нажмите кнопку Add и выберите IP Policy, заполните поля как показано на рисунке ниже.

Сохраните и активируйте настройки.

Настройка DSR-1000

Пройдите в Web интерфейсе VPN → Policies

Нажмите кнопку Add New IPSec Policy

Заполните поля в настройках General следующим образом:

Policy Name: Tun1
IKE Version: IKEv1
L2TP Mode: None
IP Address / FQDN: 10.0.0.1
Protocol: ESP
Local IP: Subnet
Local Start IP Address: 192.168.20.1
Local Subnet Mask: 255.255.255.0
Enable Keepalive: Off

Заполните поля в настройках Phase1(IKE SA Parameters) следующим образом:

Exchange Mode: Main
Direction / Type: Both
Nat Traversal: OFF
Local Identifier Type: Local Wan IP
Remote Identifier Type: Remote Wan IP

В Encryption Algorithm включите DES, а в Authentication Algorithm SHA-1,
настройки шифрования укажите следующим образом:

Authentication Method: Pre-Shared Key
Pre-Shared Key: 1234567890
Diffie-Hellman (DH) Group: Group 2 (1024 bit)
SA-Lifetime: 28800
Enable Dead Peer Detection: ON
Detection Period: 10
Reconnect after failure: 3

Заполните поля в настройках Phase2-(Auto Policy Parameters) следующим образом:

SA Lifetime: 3600 Seconds
Encryption Algorithm: DES
Integrity Algorithm: SHA-1
PFS Key Group: ON DH Group 2 (1024 bit)

Настраивать правила для разрешения трафика между LAN и IPSec, на DSR не надо.

Источник

Оцените статью
Adblock
detector