LAN + WAN = EdgeRouter

Рейтинг
Оценка: 5Голосов: 3Комментарии: 3

Из этой статьи вы сможете узнать как в малом офисе можно настроить EdgeRouter для соединения сети офиса LAN (Local Area Network – локальная сеть) с интернетом WAN (Wide-Area Network – глобальная сеть). Заметьте: если вам неинтересно узнать как сделать это, и вам нужен только пример конфигурации, тогда вам сюда: базовая настройка домашней сети или сети малого офиса от mrjester.

Итак, рассмотрим следующую ситуацию: есть три сети:

  • WAN – клиент DHCP (получение адреса от провайдера интернета).
  • LAN – 172.16.0.1/24.
  • WLAN – 172.16.1.1/24.

Схема физической сети

Схема сети.

Рис. 1. Схема сети

 

Создание интерфейсов

Во вкладки инструментальной панели можно установить IP-адреса интерфейсов и опционально присвоить им названия.

Вкладка Interface

Рис. 2. Вкладка Interface

Примечание: в этом примере применяется DHCP-клиент (Dynamic Host Configuration Protocol – протокол динамического конфигурирования узла) для получения адреса. Если же у вас есть статический IP-адрес, то вот ссылка на страничку, на которой можно посмотреть как добавить статический IP-адрес, шлюз и имя сервера.

Создание нового пользователя

Одной из первых вещей, которые вы, наверняка захотите сделать – это избавиться от стандартного пользователя ‘ubnt’ (или, по крайней мере, изменить пароль на более надёжный). На трёх нижеприведённых снимках экрана мы сначала создадим нового пользователя.

Создание пользователя «admin»

Рис. 3. Создание пользователя «admin»

Поскольку мы не можем удалить учётную запись подключенного в данный момент пользователя, то завершим сеанс и войдём в систему под новым именем и паролем.

Вход в систему под новосозданной учётной записью «admin»

Рис. 4. Вход в систему под новосозданной учётной записью «admin»

Теперь мы можем удалить учётную запись пользователя по умолчанию.

Удаление стандартной учётной записи «ubnt»

Рис. 5. Удаление стандартной учётной записи «ubnt»

Настройка сервера DHCP

Создадим два сервера DHCP: 1) для подсети LAN и 2) для беспроводной сети LAN.

Создание DHCP-серверов

Рис. 6. Создание DHCP-серверов

Настройки переадресации DNS

На предыдущей странице сервера DHCP мы задали DNS-сервер (Domain Name System – служба имён доменов) как адрес маршрутизатора. Таким образом, мы делаем возможной переадресацию DNS для получения DNS ответов как в сети LAN (eth0) так и WLAN (eth1).

Переадресация DNS

Рис. 7. Переадресация DNS

Конфигурирование NAT

Мы будем использовать частную адресацию в наших сетях LAN и WLAN, поэтому нам нужно правило маскарадинга NAT (network address translation – преобразование сетевых адресов) для выходного интерфейса eth0.

Создание правил NAT

Рис. 8. Создание правил NAT

Брандмауэр с интерактивной обработкой транзакций

Приведённый пример брандмауэра начального уровня (и не является обязательно рекомендованным). По существу, он только разрешает любому трафику с LAN, WLAN или маршрутизатора следовать в сеть Интернет, но отсекает весь трафик порождаемый с интернета.

Перед тем как мы перейдём к примеру, мы должны разобраться со значением терминов IN, OUT и LOCAL в брандмауэре EdgeOS. Применение набора правил брандмауэра IN к интерфейсу налагается на входной трафик по этому интерфейсу, но только на трафик пересылаемый через маршрутизатор. OUT – это трафик, пересылаемый через маршрутизатор, и готовый выйти через интерфейс. LOCAL – трафик, предназначенный для маршрутизатора (например, если вы заинтересованы в использовании веб интерфейса пользователя для управления маршрутизатором, то необходимо разрешить использование 443 порта в LOCAL). Сравнив условия использования правил IN и OUT, кто-то скажет, что IN лучше, так как если вы собираетесь отбросить пакет, то лучше сделать это на входе, нежели пройти через весь путь обработки только для того, чтобы отбросить его перед выходом с маршрутизатора.
Для начала мы используем «Add Ruleset» (Добавить набор правил) для создания набора правил WAN_IN и WAN_LOCAL.

Создание набора правил WAN_IN и WAN_LOCAL

Рис. 9. Создание набора правил WAN_IN и WAN_LOCAL

Выберете «Edit Ruleset» (редактировать набор правил) в WAN_IN.

Редактирование созданных правил

Рис. 10. Редактирование созданных правил

Нажмите «Add a New Rule» (добавить новое правило).

Создание нового правила

Рис. 11. Создание нового правила

Первое правило примет любой пакет, имеющий статус «признанный» или «связанный».

Редактирование правила

Рис. 12. Редактирование правила

Выберете эти статусы на вкладке «Advanced» (расширенные).

Вкладка «Advanced»

Рис. 13. Вкладка «Advanced»

Для второго правила мы отбросим пакеты, которые имеют статус «недопустимый».

Фильтрация правил

Рис. 14. Фильтрация правил

Теперь применим этот набор правил брандмауэра к интерфейсу/направлению.

Применение набора правил

Рис. 15. Применение набора правил

А сейчас мы добавим те же два правила к WAN_LOCAL и затем применим их eth0/local.

Создание правил к WAN_LOCAL и применение к eth0/local

Рис. 16. Создание правил к WAN_LOCAL и применение к eth0/local

Системные установки

И напоследок, мы обратимся к вкладке «system» (система) в нижней части страницы для того, чтобы задать имя узла, сервер имён, доменное имя, часовой пояс и некоторые другие системные установки. Обратите внимание на то, что если ваш интернет провайдер выделил вам общественный адрес вместо использования DHCP, то шлюз конфигурируется на этой вкладке.

Вкладка «system»

Рис. 17. Вкладка «system»

Результат конфигурации по этому примеру можно посмотреть на примере загрузки конфигурации SOHO Edgemax.

Автор статьи: UBNT-James. По материалам форума community.ubnt.com.

 

Вас может заинтересовать

 
2953 грн 107 у.е.
Купить
 
9605 грн 348 у.е.
Купить
 
5023 грн 182 у.е.
Купить
 
10322 грн 374 у.е.
Купить
1 2 »

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да Отмена

Об авторе asp24