Имеем:
Локальная сеть: 192.168.0.0/24
Адреса для подключаемых клиентов: 192.168.0.101-192.168.0.110
Клиенты: WinXP
I. Настройка сервера PPTP.
1. Поднимаем PPTP-сервер на внешнем интерфейсе:
# set vpn pptp remote-access outside-address ip.add.re.ss
2. Указываем диапазон адресов из ЛС для присвоения клиентам:
# set vpn pptp remote-access client-ip-pool start 192.168.0.101
# set vpn pptp remote-access client-ip-pool stop 192.168.0.110
3. Указываем тип аутентификации (здесь - local - аутентификация на уровне ОС):
# setvpn pptp remote-access authenticathion mode local
# set vpn pptp remote-access authentication local-users username testusers password somepassword
4. Сохраняем изменения:
# commit
5. Проверяем настройки VPN:
# show vpn pptp remote-access
authentication {
local-users {
username testuser {
password somepassword
}
}
mode local
}
client-ip-pool {
start 192.168.0.101
stop 192.168.0.110
}
ouside-address ip.add.re.ss
II. Настройка клиентов.
1. Пуск -> Панель управления -> Сетевые соединения.
2. Создать новое соединение.
3. Выбрать Соединение с сетью на рабочем месте.
4. Выбрать VPN-соединение.
5. Указать имя соединения (например, Work)
6. Выбрать не звонить для установки соединения.
7. Указать адрес сервера ip.add.re.ss.
8. Снять отметку на строке 'Использовать смарт-карту'.
9. Готово.
III. Настройка L2TP/IPsec с общими ключами.
1. Поднимаем PPTP-сервер на внешнем интерфейсе:
# set vpn ipsec ipsec-interface interface wan1
2. Включаем отслеживание NAT (необходимо):
# set vpn ipsec nat-traversal enable
# set vpn ipsec nat-networks allowed-network ???
3. Привязываем L2TP-сервер к внешнему интерфейсу:
# set vpn l2tp remote-access outside-address ip.add.re.ss
# set vpn l2tp remote-access outside-nexthop
4. Указываем диапазон адресов для клиентов:
# set vpn l2tp remote-access client-ip-pool start 192.168.0.101
# set vpn l2tp remote-access client-ip-pool stop 192.168.0.110
# set vpn l2tp remote-access ipsec-settings authentication mode pre-shared-secret
# set vpn l2tp remote-access ipsec-settings authentication pre-shared-secret !secrettext!
# set vpn l2tp remote-access authentication mode local
# set vpn l2tp remote-access authentication local-users username testuser password somepassword
5. Сохраняем изменения:
# commit
6. Проверяем настройки VPN:
# show vpn l2tp remote-access
authentication {
local-users {
username testuser {
password somepassword
}
}
mode local
}
clien-ip-ppol {
start 192.168.0.101
stop 192.168.0.110
}
ouside-address ip.add.re.ss
IV. Настройка клиентов.
1. Пуск -> Панель управления -> Сетевые соединения
2. Создать новое соединение.
3. Выбрать Соединение с сетью на рабочем месте.
4. Выбрать VPN-соединение.
5. Указать имя соединения (например, Work)
6. Выбрать не звонить для установки соединения.
7. Указать адрес сервера ip.add.re.ss.
8. Снять отметку на строке 'Использовать смарт-карту'.
9. Готово.
По умолчанию, при активации VPN-соединения добавляется маршрут по умолчанию, указанный VPN-сервером. Если вы хотите
сохранить свой маршрут по умолчанию, сделайте следующее:
1. Пуск -> Панель управления -> Сетевые соединения
2. Правый клик на на значке VPN-соединения (Work) -> Свойства
3. Выбрать вкладку 'Сеть'. Выбрать 'Internet Protocol (TCP/IP)'. Выбрать 'свойства'
4. Выбрать 'Дополнительно'. Снять отметку с 'использовать шлюз по умолчанию для удаленной сети'
5. Сохранить изменения.
Проверка активных VPN-сессий:
# show vpn remote-access
Показаны сообщения с ярлыком Vyatta. Показать все сообщения
Показаны сообщения с ярлыком Vyatta. Показать все сообщения
вторник, 7 апреля 2009 г.
понедельник, 16 марта 2009 г.
Настройка Vyatta
Настройка Vyatta.
Настраиваем сеть (I), удаленный доступ [ssh, https] (II), DHCP-сервер (III), NAT (IV), firewall (V), webproxy (VI)
I. Сеть:
1. # configure # входим в режим конфигурации
2. # set system host-name vyatta-gw # задаем имя хоста
3. # set system domain-name company.tld # задаем домен
4. # set system login user vyatta authentication plaintext-password somepasswd # задаем пароль пользоваетля vyatta
5. # set system login user root authentication plaintext-password somepasswd # задаем пароль пользователя root
6. # set interfaces ethernet eth0 address 192.168.0.243/24 # настраиваем интерфейс eth0
7. # set interfaces ethernet eth1 address 1.2.3.4/26 # настраиваем интерфейс eth1
8. # show interfaces
ethernet eth0 {
address 192.168.0.243/24
hw-id xx:xx:xx:xx:xx:xx
}
ethernet eth1 {
address 1.2.3.4/26
hw-id yy:yy:yy:yy:yy:yy
}
loopback lo {
}
9. # commit # сохраняем изменения
10. # set system name-server 208.67.222.222 # указываем в качестве DNS-серверов
11. # set system name-server 208.67.220.220 # Opendns
12. # set system gateway-address 1.2.3.5 # назначаем шлюз по умолчанию
13. # commit # сохраняем изменения
II. Удаленный доступ:
1. # set service ssh # включаем доступ по ssh
2. # set service https # включаем доступ по https
3. # commit
III. DHCP-сервер:
1. # set service dhcp-server shared-network-name ETH0_POOL subnet 192.168.0.0/24 start 192.168.0.100 stop 192.168.0.199 # задаем диапазон адресов для DHCP-сервера
2. # set service dhcp-server shared-network-name ETH0_POOL subnet 192.168.0.0/24 default-router 192.168.0.1 # задаем шлюз по умолчанию
3. # set service dhcp-server shared-network-name ETH0_POOL subnet 192.168.0.0/24 dns-server 192.168.0.1 # задаем DNS-сервер
4. # commit # сохраняем изменения
5. # show service dhcp-server
shared-network-name ETH1_POOL {
subnet 192.168.1.0/24 {
start 192.168.1.100 {
stop 192.168.1.199
}
dns-server 12.34.56.100
default-router 192.168.1.254
}
}
IV. NAT:
1. # set service nat rule 1 source address 192.168.0.0/24
2. # set service nat rule 1 outbond-interface eth1
3. # set service nat rule 1 type masquerade
4. # commit
5. # show service nat
rule 1 {
type masquerade
outbound-interface eth0
source {
address 192.168.1.0/24
}
}
V. Firewall:
1. # set firewall name ALLOW_ESTABLISHED # определяем набор правил
2. # set firewall name ALLOW_ESTABLISHED rule 10 # назначаем правило
3. # set firewall name ALLOW_ESTABLISHED rule 10 action accept
4. # set firewall name ALLOW_ESTABLISHED rule 10 state established enable # включаем правило
5. # commit
6. # set interfaces ethernet eth0 firewall in name ALLOW_ESTABLISHED
7. # set interfaces ethernet eth0 firewall local name ALLOW_ESTABLISHED
8. # commit
9. # show firewall
name ALLOW_ESTABLISHED {
rule 10 {
action accept
state {
established enable
}
}
}
10. # show interfaces ethernet
ethernet eth0 {
address 192.168.0.243/24
firewall {
in {
name ALLOW_ESTABLISHED
}
local {
name ALLOW_ESTABLISHED
}
}
hw-id xx:xx:xx:xx:xx:xx
}
ethernet eth1 {
address 1.2.3.4/26
hw-id yy:yy:yy:yy:yy:yy
}
VI. Webproxy:
1. # set service webproxy listen-address 192.168.0.243 # включаем proxy
2. # commit
3. # show service webproxy
listen-address 192.168.1.254 {
}
VII. Save & Restore config:
1. # save myconfig # сохраняем конфиг роутера
Saving configuration to '/opt/vyatta/etc/config/config.boot'...
2. # load config # загружаем конфиг роутера
Настраиваем сеть (I), удаленный доступ [ssh, https] (II), DHCP-сервер (III), NAT (IV), firewall (V), webproxy (VI)
I. Сеть:
1. # configure # входим в режим конфигурации
2. # set system host-name vyatta-gw # задаем имя хоста
3. # set system domain-name company.tld # задаем домен
4. # set system login user vyatta authentication plaintext-password somepasswd # задаем пароль пользоваетля vyatta
5. # set system login user root authentication plaintext-password somepasswd # задаем пароль пользователя root
6. # set interfaces ethernet eth0 address 192.168.0.243/24 # настраиваем интерфейс eth0
7. # set interfaces ethernet eth1 address 1.2.3.4/26 # настраиваем интерфейс eth1
8. # show interfaces
ethernet eth0 {
address 192.168.0.243/24
hw-id xx:xx:xx:xx:xx:xx
}
ethernet eth1 {
address 1.2.3.4/26
hw-id yy:yy:yy:yy:yy:yy
}
loopback lo {
}
9. # commit # сохраняем изменения
10. # set system name-server 208.67.222.222 # указываем в качестве DNS-серверов
11. # set system name-server 208.67.220.220 # Opendns
12. # set system gateway-address 1.2.3.5 # назначаем шлюз по умолчанию
13. # commit # сохраняем изменения
II. Удаленный доступ:
1. # set service ssh # включаем доступ по ssh
2. # set service https # включаем доступ по https
3. # commit
III. DHCP-сервер:
1. # set service dhcp-server shared-network-name ETH0_POOL subnet 192.168.0.0/24 start 192.168.0.100 stop 192.168.0.199 # задаем диапазон адресов для DHCP-сервера
2. # set service dhcp-server shared-network-name ETH0_POOL subnet 192.168.0.0/24 default-router 192.168.0.1 # задаем шлюз по умолчанию
3. # set service dhcp-server shared-network-name ETH0_POOL subnet 192.168.0.0/24 dns-server 192.168.0.1 # задаем DNS-сервер
4. # commit # сохраняем изменения
5. # show service dhcp-server
shared-network-name ETH1_POOL {
subnet 192.168.1.0/24 {
start 192.168.1.100 {
stop 192.168.1.199
}
dns-server 12.34.56.100
default-router 192.168.1.254
}
}
IV. NAT:
1. # set service nat rule 1 source address 192.168.0.0/24
2. # set service nat rule 1 outbond-interface eth1
3. # set service nat rule 1 type masquerade
4. # commit
5. # show service nat
rule 1 {
type masquerade
outbound-interface eth0
source {
address 192.168.1.0/24
}
}
V. Firewall:
1. # set firewall name ALLOW_ESTABLISHED # определяем набор правил
2. # set firewall name ALLOW_ESTABLISHED rule 10 # назначаем правило
3. # set firewall name ALLOW_ESTABLISHED rule 10 action accept
4. # set firewall name ALLOW_ESTABLISHED rule 10 state established enable # включаем правило
5. # commit
6. # set interfaces ethernet eth0 firewall in name ALLOW_ESTABLISHED
7. # set interfaces ethernet eth0 firewall local name ALLOW_ESTABLISHED
8. # commit
9. # show firewall
name ALLOW_ESTABLISHED {
rule 10 {
action accept
state {
established enable
}
}
}
10. # show interfaces ethernet
ethernet eth0 {
address 192.168.0.243/24
firewall {
in {
name ALLOW_ESTABLISHED
}
local {
name ALLOW_ESTABLISHED
}
}
hw-id xx:xx:xx:xx:xx:xx
}
ethernet eth1 {
address 1.2.3.4/26
hw-id yy:yy:yy:yy:yy:yy
}
VI. Webproxy:
1. # set service webproxy listen-address 192.168.0.243 # включаем proxy
2. # commit
3. # show service webproxy
listen-address 192.168.1.254 {
}
VII. Save & Restore config:
1. # save myconfig # сохраняем конфиг роутера
Saving configuration to '/opt/vyatta/etc/config/config.boot'...
2. # load config # загружаем конфиг роутера
Подписаться на:
Сообщения (Atom)