Dfl 260 настройка dns
Устройства серии DFL позволяют подключиться к Интернет множеством способов. В рамках данного примера, будут рассмотренный следующие способы:
Подразумевается, что мы настраиваем устройство с настроек по умолчанию. Все настройки показываются на примере DFL-870
Настройка подключения к Интернет с динамическим IP адресом.
В заводских настройках на WAN устройства уже включен DHCP клиент, в зависимости от устройства, вам достаточно просто подключить кабель в WAN или WAN1 интерфейс, что бы на устройстве появился интернет.
Настройка подключения к Интернет со статическим IP адресом.
Для данного типа подключения вам необходимо получить от вашего провайдера следующую информацию:
-Два DNS сервера (в принципе достаточно одного DNS сервера)
set Address IP4Address InterfaceAddresses/wan1_ip Address=213.20.50.29
set Address IP4Address InterfaceAddresses/wan1_net Address=213.20.50.28/30
set Address IP4Address InterfaceAddresses/wan1_gw Address=213.20.50.30
set Address IP4Address InterfaceAddresses/wan1_dns1 Address=213.46.52.1
set Address IP4Address InterfaceAddresses/wan1_dns2 Address=213.46.52.2
Пройдите в Web интерфейсе Network → Interfaces and VPN→ wan1
Пройдите в Web интерфейсе Objects → Address Book → InterfaceAddresses.
wan1_ip — редактируем запись и указываем IP адрес: 213.20.50.29, wan1_net — редактируем запись и указываем подсеть которую ранее пересчитывали 213.20.50.28/30, wan1_gw — редактируем запись и указываем шлюз по умолчанию 213.20.50.30, а так же укажем DNS сервера в объектах wan1_dns1 (213.46.52.1) и wan2_dns2 (213.46.52.2).
Кликните на объект wan1_ip, укажите в поле Address 213.20.50.29 и нажмите кнопку Ок.
Настройка PPPoE подключения к Интернет.
Данный пример, для «чистого» подключения к интернет (без IPoE (без dual access)).
Для начала отключим IPoE DHCP которое настроено по умолчанию и выключим функция автоматического создание маршрутов.
set Interface Ethernet wan1 DHCPEnabled=No AutoDefaultGatewayRoute=No AutoInterfaceNetworkRoute=No
Пройдите в Web интерфейсе Network → Interfaces and VPN→ wan1.
Во вкладке General Снимите галочку с Enable DHCP Client
Во вкладке Advanced снимите галочки с Automatically add a route for this interface using the given network и Automatically add a default route for this interface using the given default gateway затем нажмите кнопку Ok.
add Interface PPPoETunnel Internet EthernetInterface=wan1 Network=all-nets Username=my_login Password=my_password
Пройдите в Web интерфейсе Network → Interfaces and VPN → PPPoE, нажмите кнопку Add выберите PPPoE Tunnel.
Physical Interface: wan1 (выбрать интерфейс куда подключен кабель)
Remote Network: all-nets (выбрать из выпадающего меню)
Username: имя пользователя для доступа в интернет (из договора с провайдером)
Password: пароль для доступа в интернет (из договора с провайдером)
Настройка IP правил для выхода в интернет через PPPoE подключение.
На устройствах серии DFL уже присутствуют созданные IP правила по умолчанию, достаточно в них изменить destination interfaces с wan1 на Internet.
set IPRule 2/1(drop_smb-all) DestinationInterface=Internet
set IPRule 2/2(allow_ping-outbound) DestinationInterface=Internet
set IPRule 2/3(allow_ftp) DestinationInterface=Internet
set IPRule 2/4(allow_standard) DestinationInterface=Internet
Пройдите в Web интерфейсе Policies → Firewalling → Main IP Rules → lan1_to_wan1
Теперь необходимо во всех 4x правилах изменить destination interface на Internet.
Кликните на правиле drop_smb-all, в поле destination interface укажите Internet затем нажмите кнопку Ок.
Проделайте данное действие с оставшимися тремя правилами.
Настройка L2TP подключения к Интернет.
Как известно, протокол L2TP работает поверх I. По этому, для того, что бы L2TP заработало, необходимо настроить на WAN статический или динамический IP (см предыдущие примеры).
В рамках данного примера будет рассматриваться работу L2TP поверх динамического IP на WAN (динамический IP на интерфейсе WAN преднастроен на всех устройствах серии DFL).
Для корректной настройки L2TP подключения, вам необходимо подготовить/собрать следующую информацию:
1. У вас должен быть логин и пароль (из договора с провайдером) для L2TP подключения.
На межсетевых экранах серии DFL-260E/860E/870/1660/2560 DNS релей настраивается при помощи IP политик. Для этого необходимо создать такую политику, которая перехватит DNS трафик наплавляемый на само устройство и отправит его на указанный DNS сервер.
Настройка DNS-Relay выполняется в 2 шага. Шаг 1, создание объекта IP с адресом DNS сервера. Шаг 2, создание самой политике релей.
Шаг 1. Создание объекта IP с IP адресом DNS сервера.
Создание объекта с IP адресом через веб интерфейс:
Зайдите на веб интерфейс, Objects → address book, нажмите кнопку add, из выпадающего меню выберите IP Addresses (рис 1.)
Рисунок 2.
Создание объекта с IP адресом через CLI:
Для создания объекта с IP адресом DNS сервера через CLI выполните следующую команду:
add Address IP4Address my_dns Address=8.8.8.8
Шаг 2. Создания IP политики для перенаправления DNS запросов.
Создание IP Политики через веб интерфейс:
Пройдите в веб интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку add, из выпадающего меню выберите IP Policy. (Рис. 3)
В поле Name укажите название политики (в примере dns_relay). Раздел Filter заполните следующим образом:
Service: dns-all
Интерфейс и сеть источника: lan1 и lan1_net
Интерфейс и сеть назначения: core и lan1_ip
В разделе Source Translation из выпадающего меню Address Translation выберите NAT.
В разделе Destination Translation выполните следующие настройки:
Address translation: укажите SAT
Address action: Укажите Single IP
New IP address: Выберите объект с DNS сервером на который отправлять запросы (в примере my_dns)
Пример заполненной формы вы можете увидеть на рисунке 4.
Создание IP политики через CLI
Для создание IP политики с выше описанными свойствами выполните команду:
add IPPolicy Name=dns_relay Service=dns-all SourceInterface=lan1 DestinationInterface=core SourceNetwork=InterfaceAddresses/lan1_net DestinationNetwork=InterfaceAddresses/lan1_ip SourceAddressTranslation=NAT DestAddressTranslation=SAT DestAddressAction=SingleIP DestNewIP=my_dns
Для того, чтобы выполненные настройки вступили в силу, необходимо выполнить их активацию. Для этого в веб интерфейсе выберите Configuration → Save and Activate
В этой записке будет рассказано про настройку межсетевого экрана Dlink DFL260e. Если рассматривать это устройство с точки зрения обычного пользователя, оно представляет из себя обычный роутер с двумя WAN портами.
Но помимо стандартных возможностей обычного роутера, в нем есть обалденный функционал:
В общем это устройство относится к классу UTM, а это значить, оно должно обеспечивать компьютерную безопасность с применением мощной комплексной защиты от сетевых угроз. Аналог такого устройства от компании Zyxel имеет имя ZyWall UTM. Кстати, это девайс разработан шведской компанией clavister, получается что Dlink меняет все надписи европейского бренда на свои и продает их нам. Стоит отметить, что параллельно Dlink производит аналогичное своё решение которое имеет приставку DSR. Если взглянут на форум DLINK, то можно сделать маленький вывод по поводу применения DSR устройств - покупать их не стоит, иначе будет много геморроя. Вообщем, DFL это стабильность, чего не скажешь про DSR!
Под этим я понимаю настройку:
- NAT для выхода в интернет
- DHCP сервера
- Резервирование канала
- Проброс портов
- VLAN для гостевой Wi Fi
- VPN для связи с офисом или разрозненными шлюзами (DFL, FreeBSD, Linux и т.д.)
- Шейпер трафика
С устройством я знаком мало, поэтому возможно описание настроек будет корявым, так что не судите строго. В записке будет обилие скриншотов, прям нашествие, несмотря на возможность конфигурирования этого монстра через командную строку (режим CLI аля Cisco Way).
Как обычно начну с "краткого содержания", правда иногда думаю что это лишнее в коротких записках, но зато как звучит :)))).
КРАТКОЕ СОДЕРЖАНИЕ
1. Вводные данные
2. Настройка WAN адаптеров
3. Настройка NAT
4. Поднимаем DHCP сервер
5. Пробрасываем порты
7. Разрешаем трассировку
8. Резервируем канал
9. Отделяем гостевую точку доступа через VLAN
10. Делаем доступ к локальной сети офиса по VPN
11. Гарантируем устойчивый доступ в интернет
Начнем с вводных данных, здесь напишу что за подключение к провайдерам, и какие сетевые реквизиты они нам предоставили. На самом деле я поднял тестовый стенд, чтобы проверить работу устройства перед вводом в эксплуатацию. Поэтому провайдера не настоящие :)
Функций и производительности рассматриваемого файерволла вполне достаточно для обслуживания средней компании с числом активных пользователей сети около 100.
- Port Based VLAN
- IDS/IPS
- Потоковое антивирусное сканирование
- Web-фильтр
- IPSec/PPTP/L2TP Server/Client
- Ну и стандартные плюшки в виде DHCP-сервера, гибкого файерволла и т.д.
При первом включении мастер просит нас задать пароль админа (дефолтный пароль стандартен для D-Link'a - admin, IP - 192.168.10.1), установить настройки SNMP сервера и настроить адреса интерфейсов - всё тривиально.
Перейдем к настройке файерволла. Система встречает нас следующим экраном.
Теперь нужно указать устройству все возможные адреса, с которыми ему (устройству) предстоит работать. Настраивать фаер мы будем по "правильному" принципу - "Всё, что не разрешено - запрещено".
Идём в Objects - Address Book. По дефолту там уже созданы 2 папки - InterfaceAddresses и DHCPAddresses, и адрес all-nets - 0.0.0.0/0, означающий все возможные адреса сети. Я создал несколько адресов, принадлежащих моей локалке и папку Allowed_IP, в которой будут содержаться айпишники разрешенных сетей. В поле Address можно писать не только IP-адрес, но и целую подсеть, например 192.168.0.0/24. Не забывайте после операций по настройке сохранять конфигурацию Configuration - Save and Activate.
Для удобства ИП-адреса лучше добавлять в группы (чтобы для этой группы потом сделать единое правило в файерволле - это гораздо удобней, чем раздавать идентичные правила для кучи адресов). Это делается выбором IP4 Group при нажатии на кнопку Add.
Кратко по возможным правилам. Drop - просто отсекает пакеты, будто они не дошли до получателя. Отправитель при этом даже не будет знать, что вы онлайн. Reject - не пропускает пакет, но при этом отправляет ошибку ICMP или сброс TCP. Allow - разрешает трафик. NAT - собственно НАТ, то, что разрешает устройствам из локалки нормально общаться с устройствами в WAN. Forward Fast - не знаю зачем. SAT - Static Address Translation - перенаправление пакетов с заданными параметрами (ИП получателя, ИП отправителя, порт) на конкретный ИП и порт. Необходим для корректной работы сервисов за фаером (в LAN'е). Multiplex SAT - тоже не знаю, но судя по названию это SAT, только для нескольких устройств сразу.
В примере создаем правило обновления антивируса NOD с сервера в главном офисе.
- Создаем сервис (порт), если он не стандартен. Все стандартные порты уже созданы и лежат в Objects - Services. Заходим туда. Add - TCP/UDP Service (здесь зависит от того, какой сервис вы создаете. В большинстве случаев это именно TCP/UDP сервисы). Пишем название. Выбираем тип (если не знаете - пишите TCP/UDP). Source - порт-источник, т.е. порт, с которого пойдет пакет. В нашем случае - любой. Destination - порт-получатель, куда уходит пакет (эти порты ставятся в настройках серверов). Можно перечислить несколько портов, например, 135-137, 449. Application Layer Gateway создает особые правила для сервисов. Нам пока не понадобится.
Создание нестандартного порта - Нажимаем Add - IP Rule. Пишем название правила (выбирайте осмысленные названия, иначе через месяц сами запутаетесь в том, что насоздавали, не говоря уже о тех, кто будет поддерживать эту систему после вас). Чтобы дать доступ к серверу в WAN определенной машине из LAN нужно выбрать правило NAT. Выбираем нужный сервис. В меню Schedule можно выбрать расписание действия правила, например, рабочие дня, нерабочие часы и т.д. Можно самим создавать расписания. Но нам пока это неважно. Source Interface - интерфейс, откуда будет идти первый пакет - выбираем LAN. Source Network - подсеть, откуда пойдет первый пакет - lannet, а лучше группа адресов, к которым применяется правило. Ведь видеорегистратору обновление антивируса не нужно, следовательно и правило на него действовать не должно. Destinatio Interface - интерфейс, куда уходит пакет - WAN. Destination Network - сеть назначения - можно all-nets, а лучше конкретный адрес из списка адресов.
Создание правила NAT - Не забываем сохранять конфигурацию и проверять корректность работы правил. Если нечаянно закроете себе доступ к управлению железкой - не переживайте - при отсутствии коннекта к веб-интерфейсу в течение 30 сек. роутер скидывает настройки на предыдущие. Создаем подобные правила для всех нужных наружных сервисов. У меня созданы следующие правила: разрешен весь пинг (icmp), RDP на нестандартный порт в главный офис, DNS на соответствующие сервера, HTTP и HTTPS на разрешенные подсети, обновление антивируса.
Правила NAT - Теперь нужно создать правила для доступа к внутренним сервисам снаружи. Для примера откроем порт RAdmin'а на один из компьютеров. Для правил проброса портов я создал папку port_forwarding, чтобы не запутаться в правилах. Создаем новое правило SAT. Выбираем нужный порт (предварительно создаем его, если нестандартный). Source Interface - wan, Source Network - нужная подсеть или all-nets, Destination Interface - core, Destination Network - wan_ip.
Переходим на вкладку SAT. New IP Address - IP нужного устройства (на котором запущен сервис), New Port - оставляем, если он такой же как в указанном на вкладке General сервисе или ставим новый. Например, при пробросе RDP порта не принято "светить" наружу стандартный порт 3389, поэтому в General указываем левый порт (допустим 6547), а в SAT уже стандартный - 3389. Сохраняем правило.Перенаправление портов
Порт прокинули, теперь нужно разрешить прием пакетов на этот порт. Создаем новое правило. Action - allow, Source и Destination - так же, как в предыдущем правиле.
На этом основная часть настройки DFL-260 закончена. Можно приступить к детальной настройке.
Для начала зарегистрируем наше устройство на сайте D-Link. Идем по ссылке. Её же можно найти в Maintanance - License. Регистрируемся и получаем 90 дней бесплатного обновления IPS и антивируса. В Objects - ALG with AV/WCF находятся несколько стандартных правил с расширенным применением фильтрации. Рассмотрим некоторые из них.
На этом пока всё. Железка может ещё многое. Например, статик роутинг, IGMP, IDS/IPS, RADIUS, траффик-шейпинг и т.д., но это уже выходит за рамки этого поста. Итак уже много накалякал. Надеюсь, кому-то поможет.
Здесь есть инфа по этому роутеру. Правда устаревшая, но основные моменты остались прежними.
А лучше не париться с этим железом, а приобрести роутеры от Mikrotik, в которых подобная конфигурация делается в два счета. И помощь можно найти на любом углу рунета. В том числе в моем блоге по тегу Mikrotik. А ещё Mikrotik дешевле. А ещё я могу научить вас всем его премудростям.
Сетевые экраны D-link DFL-260E/860E/1660/2560/2560G NetDefend UTM обеспечивают защиту от вирусов, несанкционированного доступа и нежелательного контента, а также расширенные возможности управления, мониторинга и обслуживания сети предприятия.
Рассмотрим настройку этих сетевых экранов для работы с 3CX Phone System, находящейся в локальной сети за NAT. Настройка проводится по рекомендациям 3CX, в частности, публикуются неоходимые порты сервисов 3CX Phone System.
Определение хостов и сервисов
Добавьте в адресную книгу Address Book D-link IP адреса сервера 3CX (в нашем примере 192.168.10.3) и SIP сервера провайдера (в нашем примере 193.200.32.23).
Добавьте новый тип сервиса в раздел Services. Опишите в нем тип протокола и используемые порты. На картинке ниже показана настройка сервисов SIP и RTP.
Также создайте сервис для 3CX Tunnel.
Публикация сервисов
Рассмотрим порядок создания правил на примере одного из них, для SIP и RTP трафика.
Первое правило задает SAT преобразование.
Второе правило аналогично первому, но просто разрешает это SAT преобразование.
В конце настройки не забудьте сохранить изменения и быстро переподключиться к устройству. В противном случае новая конфигурация не будет сохранена!
Читайте также: