Межсетевой экран d link настройка

Обновлено: 02.07.2024

Устройства серии DFL позволяют подключиться к Интернет множеством способов. В рамках данного примера, будут рассмотренный следующие способы:

Подразумевается, что мы настраиваем устройство с настроек по умолчанию. Все настройки показываются на примере DFL-870

Настройка подключения к Интернет с динамическим IP адресом.

В заводских настройках на WAN устройства уже включен DHCP клиент, в зависимости от устройства, вам достаточно просто подключить кабель в WAN или WAN1 интерфейс, что бы на устройстве появился интернет.

Настройка подключения к Интернет со статическим IP адресом.

Для данного типа подключения вам необходимо получить от вашего провайдера следующую информацию:

-Два DNS сервера (в принципе достаточно одного DNS сервера)

set Address IP4Address InterfaceAddresses/wan1_ip Address=213.20.50.29

set Address IP4Address InterfaceAddresses/wan1_net Address=213.20.50.28/30

set Address IP4Address InterfaceAddresses/wan1_gw Address=213.20.50.30

set Address IP4Address InterfaceAddresses/wan1_dns1 Address=213.46.52.1

set Address IP4Address InterfaceAddresses/wan1_dns2 Address=213.46.52.2

Пройдите в Web интерфейсе Network → Interfaces and VPN→ wan1

Пройдите в Web интерфейсе Objects → Address Book → InterfaceAddresses.

wan1_ip — редактируем запись и указываем IP адрес: 213.20.50.29, wan1_net — редактируем запись и указываем подсеть которую ранее пересчитывали 213.20.50.28/30, wan1_gw — редактируем запись и указываем шлюз по умолчанию 213.20.50.30, а так же укажем DNS сервера в объектах wan1_dns1 (213.46.52.1) и wan2_dns2 (213.46.52.2).

Кликните на объект wan1_ip, укажите в поле Address 213.20.50.29 и нажмите кнопку Ок.

Настройка PPPoE подключения к Интернет.

Данный пример, для «чистого» подключения к интернет (без IPoE (без dual access)).

Для начала отключим IPoE DHCP которое настроено по умолчанию и выключим функция автоматического создание маршрутов.

set Interface Ethernet wan1 DHCPEnabled=No AutoDefaultGatewayRoute=No AutoInterfaceNetworkRoute=No

Пройдите в Web интерфейсе Network → Interfaces and VPN→ wan1.

Во вкладке General Снимите галочку с Enable DHCP Client

Во вкладке Advanced снимите галочки с Automatically add a route for this interface using the given network и Automatically add a default route for this interface using the given default gateway затем нажмите кнопку Ok.

add Interface PPPoETunnel Internet EthernetInterface=wan1 Network=all-nets Username=my_login Password=my_password

Пройдите в Web интерфейсе Network → Interfaces and VPN → PPPoE, нажмите кнопку Add выберите PPPoE Tunnel.

Physical Interface: wan1 (выбрать интерфейс куда подключен кабель)

Remote Network: all-nets (выбрать из выпадающего меню)

Username: имя пользователя для доступа в интернет (из договора с провайдером)

Password: пароль для доступа в интернет (из договора с провайдером)

Настройка IP правил для выхода в интернет через PPPoE подключение.

На устройствах серии DFL уже присутствуют созданные IP правила по умолчанию, достаточно в них изменить destination interfaces с wan1 на Internet.

set IPRule 2/1(drop_smb-all) DestinationInterface=Internet

set IPRule 2/2(allow_ping-outbound) DestinationInterface=Internet

set IPRule 2/3(allow_ftp) DestinationInterface=Internet

set IPRule 2/4(allow_standard) DestinationInterface=Internet

Пройдите в Web интерфейсе Policies → Firewalling → Main IP Rules → lan1_to_wan1

Теперь необходимо во всех 4x правилах изменить destination interface на Internet.

Кликните на правиле drop_smb-all, в поле destination interface укажите Internet затем нажмите кнопку Ок.

Проделайте данное действие с оставшимися тремя правилами.

Настройка L2TP подключения к Интернет.

Как известно, протокол L2TP работает поверх I. По этому, для того, что бы L2TP заработало, необходимо настроить на WAN статический или динамический IP (см предыдущие примеры).

В рамках данного примера будет рассматриваться работу L2TP поверх динамического IP на WAN (динамический IP на интерфейсе WAN преднастроен на всех устройствах серии DFL).

Для корректной настройки L2TP подключения, вам необходимо подготовить/собрать следующую информацию:

1. У вас должен быть логин и пароль (из договора с провайдером) для L2TP подключения.

В данном документе описаны основные шаги и принципы, которые нужно учитывать при работе с межсетевым экраном D-Link DFL-860E. Роутер является достаточно продвинутым для использования в сложных конфигурациях и обладает широкими возможностями. На данном примере хорошо видно как эти возможности можно использовать при одновременном подключении двух провайдеров, один из которых – Beeline (бывшая Корбина), отличающийся нетривиальностью подключения

Надеюсь что прошивку Вы обновили на заводскую! Иначе дальше можете не читать.

Последовательность действий:

1. Создание адресной книги
2. Конфигурирование интерфейсов
3. Настройка маршрутизации
4. Настройка правил безопасности
5. Конфигурирование VPN сервера
6. Настройка маршрутизации VPN
7. Настройка правил безопасности

1. Устройство сети

Сеть состоит из внутренней сети LAN, Сети DMZ

Необходимо обеспечить выход офисной сети в интернет через канал Корбины, и обеспечить работу внутренних сервисов через второго провайдера ПТН.

Вся сложность в том, что интернет-соединение от Корбины имеет динамические параметры.

Последовательность шагов настройки роутера D-Link DFL-860E

2 Создание адресной книги D-Link DFL-860E

В таблицу адресов вносятся адреса объектов которые взаимодействуют с роутером

3 Конфигурирование интерфейсов D-Link DFL-860E

Настройка соединения с интернет-провайдерами. В DNS ничего не меняем. Все адреса будут присвоены провайдером автоматически. Или если во внутренней сети уже существует DNS сервер

Wan1 подключен к Корбине. Адрес получает автоматически.

Вкладка Hardware по умолчанию

Во вкладке Advanced проверяем назначение метрики, и автоматическое добавление маршрутов

WAN2 подключен к ПТН, через ADSL модем, который работает в режиме моста. Адреса на этот интерфейс задаются в адресной книге

Если этот интерфейс у нас является вспомогательным, те весь трафик по умолчанию идет через Корбину, то на него необходимо прописать метрику больше чем для интерфейса Wan1. Надо отметить, что в сложном маршрутизаторе маршрут по умолчанию всегда должен быть один. У основного маршрута всегда метрика должна быть меньше чем у других. Одинаковые метрики для маршрута по умолчанию ведут к раздвоению пакетов и неработоспособности многих сервисов.

Корбина известна своим геморройным подключением через сервис L2TP и PPTP. Для этого идем в PPTP/L2TP Clients и настраиваем соединение. Для того что бы интерфейс получил правильные адреса и таблицу маршрутизации необходимо правильно прописать удаленный хост. Дело в том, что у Корбины адрес хоста определяется автоматически. Прописываем туда следующую запись: DNS : internet . beeline . ru . Достоинство данного роутера в том, что он может разрешать адрес удаленного хоста. К сожалению, не все роутеры, даже продвинутые имеют такую настройку.

Во вкладке Security почти ничего не меняем, а во вкладку Advanced прописываем метрику и MTU

С метрикой надо поподробнее:

Обратим внимание, на метрику на интерфейсе L2tp -110, которая больше метрики на wan 1 -100

Весь трафик идет через wan 1, во внутреннюю сеть Корбины. Следующий пункт делает возможным направление интернет трафика из внутренней сети в установившееся l2tp соединение

4 Настройка таблиц динамической маршрутизации для правильного направления трафика D-Link DFL-860E

Смотрим основную таблицу:

Как видим есть 3 маршрута с разными метриками. Основной маршрут с метрикой 100

Маршрут в интернет соединение Корбины L2TP с метрикой 110

Запасной маршрут в ПТН с метрикой 120

Задача трафик из внутренней сети Lan пустить через l2tp канал Корбины

Создаем для этого еще одну таблицу маршрутизации forward_routing

А теперь самое интересное

Идем в раздел Routing Rules и создаем правила для таблиц маршрутизации

Правило 1- short_lan_to_corbina дает возможность динамического применения таблицы маршрутизации

В случае если источник находится в сети Lan и, направляется согласно метрике в основной таблице в Wan 1, к нему применятся таблица маршрутизации forward _ routing , которая направляет его в интерфейс L 2 TP . Для приходящих обратно пакетов работает таблица main

Для того чтобы наружу могли работать внутренние сервисы, необходимо создать еще одно правило: short_corbina_back, согласно которому, входящие пакеты приходящие на интерфейс L2tp_corb должны направляться согласно основной таблице main, а возвращаться согласно той же таблицы forward _ routing

Для того что бы через интерфейс wan2 можно было раздавать сервисы из внутренней сети в интернет необходимо создать динамическое правило для входящих пакетов. Сначала создается дополнительная таблица маршрутизации forward_routing2

В ней создается маршрут по умолчанию с метрикой 80 для интерфейса wan2

Для того чтобы входящие пакеты с интерфейса wan 2 могли попасть во внутренню сеть и выйти обратно через тот же интерфейс wan 2 необходимо создать еще одно правило: short_wan2_back

Согласно этому правилу, входящий пакет с интерфейса wan2 разгуливается согласно основной таблицы маршрутизации main, а обратный пакет направляется согласно таблицы forward_routing2. Таким образом можно заставить правильно работать, например, web-сайт, который находится во внутренней сети через запасной канал wan2. Пакеты будут правильно приходить и уходить через один и тот же интерфейс.

5 Настройка правил безопасности D-Link DFL-860E

Правило 2 разрешает пинг маршрутизатора из локальной сети

Правило 3 в данной папке включает NAT от интерфейса L2TP Корбины во внутреннюю сеть

Правило 2 в данной папке включает NAT через интерфейс второго провайдера во внутреннюю сеть

Правило 1 в данной папке позволяет пинговать внешний IP адрес L2TP интерфейса

Правило 2-5 проброс сервиса ftp из внутренней сети через интерфейс L2TP Корбины в интернет

Правило 6 включает преобразование адресов NAT на интерфейсе L2TP Корбины

Правило 1-13 проброс внутренних сервисов через интерфес WAN 2 второго провайдера в интернет

Правило 14 включает преобразование адресов NAT на интерфейсе WAN 2 второго провайдера

6 Конфигурирование VPN сервера D-Link DFL-860E

Данный маршрутизатор можно использовать как L2TP –Сервер для подключения удаленных пользователей через защищенное соединение по протоколу IPSEC.

Создаем новый Pre shared key

Заходим в interfaces / IPSec и создаем новый интерфейс

Вкладка Authentication . Выбираем Preshared key который мы создали ранее

Во вкладке Routing отмечаем автоматическое добавление маршрута

Заходим в меню PPTP/L2TP Servers и добавляем новый сервер:

Заходим в User Authentication / Local User Databases и создаем базу для удаленных пользователей:

После чего создам самих удаленных пользователей

Идем в User Authentication / User Authentication Rules и создаем правило аутентификации . Привязываемся там ко всем объектам, которые мы создали ранее

Во вкладке Authentication Options выбираем базу данных для удаленных пользователей.

7 Настройка маршрутизации для VPN . D-Link DFL-860E

При установке канала в основную таблицу маршрутизации автоматически добавляются интерфейсы VPN подесети. Основная задача – это разрешить трафик туда, куда нужно

8 Настройка правил безопасности D-Link DFL-860E

Разрешаем хождение трафика во внутреннюю сеть и в сеть DMZ

При желании можно правила ужесточить и назначить только специфические сервисы

Все пожелания по данному документу прошу направлять Егорову Ярославу – инженеру Компании «Глобал-Админ»

Сетевые экраны D-link DFL-260E/860E/1660/2560/2560G NetDefend UTM обеспечивают защиту от вирусов, несанкционированного доступа и нежелательного контента, а также расширенные возможности управления, мониторинга и обслуживания сети предприятия.

Рассмотрим настройку этих сетевых экранов для работы с 3CX Phone System, находящейся в локальной сети за NAT. Настройка проводится по рекомендациям 3CX, в частности, публикуются неоходимые порты сервисов 3CX Phone System.

Определение хостов и сервисов

Добавьте в адресную книгу Address Book D-link IP адреса сервера 3CX (в нашем примере 192.168.10.3) и SIP сервера провайдера (в нашем примере 193.200.32.23).

Добавьте новый тип сервиса в раздел Services. Опишите в нем тип протокола и используемые порты. На картинке ниже показана настройка сервисов SIP и RTP.

Также создайте сервис для 3CX Tunnel.

Публикация сервисов

Рассмотрим порядок создания правил на примере одного из них, для SIP и RTP трафика.
Первое правило задает SAT преобразование.

Второе правило аналогично первому, но просто разрешает это SAT преобразование.

В конце настройки не забудьте сохранить изменения и быстро переподключиться к устройству. В противном случае новая конфигурация не будет сохранена!

Примечание: Этот FAQ актуален для прошивок версии 2.05 и выше.

Примечание:Вам необходимо перед началом работы выключить функции блокировки popup-окон на Вашем компьютере.

Подключение с помощью протокола DHCP

Шаг 1: Включите Ваш компьютер в один из LAN-портов DFL.

Шаг 2: Назначьте статический IP-адрес следующим образом:

• IP Address: 192.168.1.2
• Subnet Mask: 255.255.255.0
• Default Gateway: 192.168.1.1

Кликните по OK.

Шаг 3: Откройте Web-браузер и введите IP-адрес DFL в адресную строку (по умолчанию, 192.168.1.1) и нажмите на Enter.

Шаг 4: Введите имя пользователя (usernamе) и пароль. По умолчанию, установлено имя пользователя и пароль - admin.

Шаг 5: Web-интерфейс управления GUI запустит D-Link setup wizard. Кликните по Next.

Шаг 6: Здесь Вы можете установить новый пароль, введя новый пароль и его подтверждение, затем кликните по Next.

Шаг 7: Выберите соответствующий часовой пояс, затем кликните по Next.

Шаг 8: Выберите WAN1 в выпадающем меню, затем кликните по Next.

Шаг 9: Выберите DHCP-automatic configuration, затем кликните по Next.

Шаг 10: Выберите Enable DHCP Servers (по желанию) и выполните следующие настройки:

• IP range: Выберите нужный диапазон IP-адресов для DHCP-клиентов
• Subnet Mask: введите соответствующую маску подсети
• Default Gateway: введите IP-адрес LAN межсетевого экрана
• DNS Server: введите нужный IP-адрес DNS

Кликните по Next.

Шаг 11: Настройте NTP Server соответствующим образом (по желанию), затем кликните по Next.

Шаг 12: Для сохранения конфигурации кликните по Activate.

Подключение с помощью PPPoE

Шаг 1: Подключите Ваш компьютер к одному из LAN-портов межсетевого экрана DFL.
(По умолчанию, DFL-800 не принимает соединения с других интерфейсов, кроме LAN-интерфейса.)

Шаг 2: Назначьте статический IP-адрес следующим образом:

• IP Address: 192.168.1.2
• Subnet Mask: 255.255.255.0
• Default Gateway: 192.168.1.1

Кликните по OK.

Шаг 3: Откройте Web-браузер и введите IP-адрес DFL в адресную строку (по умолчанию, 192.168.1.1) и нажмите на Enter.

Шаг 4: Введите имя пользователя (username) и пароль. По умолчанию, задано имя пользователя и пароль - admin.

Шаг 5: Web-интерфейс управления запустит D-Link setup wizard. Кликните по Next.

Шаг 6: Вы можете установить здесь новый пароль, введя пароль и его подтверждения, затем кликните по Next.

Шаг 7: Выберите нужный часовой пояс, затем кликните по Next.

Шаг 8: Выберите WAN1 в выпадающем меню, затем кликните по Next.

Шаг 9: Отметьте опцию PPPoE - account details needed, затем кликните по Next.

Шаг 10: Введите предоставленную Вашим провайдером информацию по Вашей учетной записи DSL, затем кликните по Next.

Шаг 11: Выберите опцию Enable DHCP Servers (по желанию).

• IP range: введите нужный диапазон IP-адресов для DHCP-клиентов
• Subnet Mask: введите соответствующую маску подсети
• Default Gateway: введите IP-адрес LAN межсетевого экрана
• DNS Server: введите нужный IP-адрес DNS

Кликните по Next.

Шаг 12: Настройте NTP Server (по желанию), затем кликните по Next.

Шаг 13: Кликните по activate, чтобы сохранить конфигурацию.

Шаг 14: Кликните по Close после завершения сохранения конфигурации межсетевого экрана.

Подключение с помощью статического IP-адреса

Шаг 1: Подключите Ваш компьютер к одному из LAN-портов межсетевого экрана DFL.
(По умолчанию, DFL-800 не принимает соединения с других интерфейсов, кроме LAN-интерфейса.)

Шаг 2: Назначьте статический IP-адрес следующим образом:

• IP Address: 192.168.1.2
• Subnet Mask: 255.255.255.0
• Default Gateway: 192.168.1.1

Кликните по OK.

Шаг 3: Откройте Web-браузер и введите IP-адрес межсетевого экрана DFL в адресной строке (по умолчанию, 192.168.1.1) и нажмите на Enter.

Шаг 4: Введите имя пользователя (username) и пароль. По умолчанию, заданы имя пользователя и пароль - admin.

Шаг 5: Web-интерфейс управления GUI запустит D-Link setup wizard. Кликните по Next.

Шаг 6: Здесь Вы можете установить новый пароль, введя новый пароль дважды (в полях Password и Confirm password), затем кликните по Next.

Шаг 7: Установите соответствующий часовой пояс, затем кликните по Next.

Шаг 8: Выберите WAN1 в выпадающем меню, затем кликните по Next.

Шаг 9: Выберите опцию Static-manual configuration, затем кликните по Next.

Шаг 10: Настройте WAN 1 для статического публичного IP-адреса следующим образом:

• IP address: введите публичный IP-адрес, выданный Вашим провайдером
• NetMask: введите соответствующую маску подсети, выданную Вашим провайдером
• Gateway: введите IP-адрес шлюза, выданный Вашим провайдером
• Primary DNS: введите IP-адрес DNS, выданный Вашим провайдером
• Secondary DNS: введите IP-адрес DNS, выданный Вашим провайдером

Кликните по Next.

Шаг 11: Отметьте опцию enable DHCP Servers (по желанию).

• IP range: введите нужный диапазон IP-адресов для DHCP-клиентов
• Subnet Mask: введите соответствующую маску подсети
• Default gateway: введите IP-адрес LAN межсетевого экрана
• DNS Server: введите нужный IP-адрес DNS

Кликните по Next.

Шаг 12: Настройте NTP-сервер (по желанию), затем кликните по Next.

Шаг 13: Кликните по Activate для сохранения конфигурации.

Шаг 14: Кликните по Close после завершения процесса сохранения конфигурации межсетевого экрана.

Читайте также:

  
• Iumenuright dll что это
  
• Чем отличается компьютерная модель от формальной модели
  
• Требует авторизацию download master
  
• Код ошибки 902 dr web при установке
  
• Как подбирать оружие в mirrors edge catalyst