Пример настройки межсетевого экрана D-Link DFL-860E
В данном документе описаны основные шаги и принципы, которые нужно учитывать при работе с межсетевым экраном D-Link DFL-860E. Роутер является достаточно продвинутым для использования в сложных конфигурациях и обладает широкими возможностями. На данном примере хорошо видно как эти возможности можно использовать при одновременном подключении двух провайдеров, один из которых – Beeline (бывшая Корбина), отличающийся нетривиальностью подключения
Надеюсь что прошивку Вы обновили на заводскую! Иначе дальше можете не читать.
Последовательность действий:
- Создание адресной книги
- Конфигурирование интерфейсов
- Настройка маршрутизации
- Настройка правил безопасности
- Конфигурирование VPN сервера
- Настройка маршрутизации VPN
- Настройка правил безопасности
- Устройство сети
Сеть состоит из внутренней сети LAN, Сети DMZ
Снаружи подключено два провайдера. Один провайдер – Corbina (Корбина) или Beeline (Билайн) подключен к интернет через соединение l2tp с получением динамического IP адреса. Второй провайдер ПТН, подключен через ADSL модем с прямым статическим IP адресом.
Необходимо обеспечить выход офисной сети в интернет через канал Корбины, и обеспечить работу внутренних сервисов через второго провайдера ПТН.
Вся сложность в том, что интернет-соединение от Корбины имеет динамические параметры.
Последовательность шагов настройки роутера D-Link DFL-860E
2 Создание адресной книги D-Link DFL-860E
В таблицу адресов вносятся адреса объектов которые взаимодействуют с роутером
3 Конфигурирование интерфейсов D-Link DFL-860E
Настройка соединения с интернет-провайдерами. В DNS ничего не меняем. Все адреса будут присвоены провайдером автоматически. Или если во внутренней сети уже существует DNS сервер
Настраиваем интерфейсы. Заходим во вкладку Interfaces–Ethernet
Wan1 подключен к Корбине. Адрес получает автоматически.
Вкладка Hardware по умолчанию
Во вкладке Advanced проверяем назначение метрики, и автоматическое добавление маршрутов
WAN2 подключен к ПТН, через ADSL модем, который работает в режиме моста. Адреса на этот интерфейс задаются в адресной книге
Если этот интерфейс у нас является вспомогательным, те весь трафик по умолчанию идет через Корбину, то на него необходимо прописать метрику больше чем для интерфейса Wan1. Надо отметить, что в сложном маршрутизаторе маршрут по умолчанию всегда должен быть один. У основного маршрута всегда метрика должна быть меньше чем у других. Одинаковые метрики для маршрута по умолчанию ведут к раздвоению пакетов и неработоспособности многих сервисов.
Корбина известна своим геморройным подключением через сервис L2TP и PPTP. Для этого идем в PPTP/L2TP Clients и настраиваем соединение. Для того что бы интерфейс получил правильные адреса и таблицу маршрутизации необходимо правильно прописать удаленный хост. Дело в том, что у Корбины адрес хоста определяется автоматически. Прописываем туда следующую запись: DNS:internet.beeline.ru. Достоинство данного роутера в том, что он может разрешать адрес удаленного хоста. К сожалению, не все роутеры, даже продвинутые имеют такую настройку.
Во вкладке Security почти ничего не меняем, а во вкладку Advanced прописываем метрику и MTU
С метрикой надо поподробнее:
Из текущих настроек наименьшую метрику имеет интерфейс WAN1 значение – 100. А L2tp- client имеет значение 120. Т.е весь трафик по прежнему будет идти во внутреннюю сеть Корбины. А нам нужно, чтобы весть трафик из внутренней сети шел уже через новое L2TP-соединение Установить метрику L2TP-Клиента меньше чем на WAN1 мы не можем, потому, что тогда интерфейс от Корбины не получит настройки и таблицу маршрутизации и L2TP-соединение не установится. Поэтому метрика изначально ставится больше. Когда интерфейс L2TP получит все адреса и туннель будет установлен, тогда таблицу маршрутизации можно будет менять динамически. Для этого и будут использоваться динамические правила маршрутизации.
Обратим внимание, на метрику на интерфейсе L2tp -110, которая больше метрики на wan1 -100
Весь трафик идет через wan1, во внутреннюю сеть Корбины. Следующий пункт делает возможным направление интернет трафика из внутренней сети в установившееся l2tp соединение
4 Настройка таблиц динамической маршрутизации для правильного направления трафика D-Link DFL-860E
Смотрим основную таблицу:
Как видим есть 3 маршрута с разными метриками. Основной маршрут с метрикой 100
Маршрут в интернет соединение Корбины L2TP с метрикой 110
Запасной маршрут в ПТН с метрикой 120
Задача трафик из внутренней сети Lan пустить через l2tp канал Корбины
Создаем для этого еще одну таблицу маршрутизации forward_routing
В этой таблице запись 1 – маршрут всего трафика через интерфейс L2TP с метрикой 80. Включаем мониторинг маршрута. Когда этот маршрут становится не доступен, то начинает работать запись 2, которая пускает весь трафик в интерфейс wan2 через запасной канал ПТН
А теперь самое интересное
Идем в раздел Routing Rules и создаем правила для таблиц маршрутизации
Правило 1- short_lan_to_corbina дает возможность динамического применения таблицы маршрутизации
В случае если источник находится в сети Lan и, направляется согласно метрике в основной таблице в Wan1, к нему применятся таблица маршрутизации forward_routing, которая направляет его в интерфейс L2TP. Для приходящих обратно пакетов работает таблица main
Для того чтобы наружу могли работать внутренние сервисы, необходимо создать еще одно правило: short_corbina_back, согласно которому, входящие пакеты приходящие на интерфейс L2tp_corb должны направляться согласно основной таблице main, а возвращаться согласно той же таблицы forward_routing
Для того что бы через интерфейс wan2 можно было раздавать сервисы из внутренней сети в интернет необходимо создать динамическое правило для входящих пакетов. Сначала создается дополнительная таблица маршрутизации forward_routing2
В ней создается маршрут по умолчанию с метрикой 80 для интерфейса wan2
Для того чтобы входящие пакеты с интерфейса wan2 могли попасть во внутренню сеть и выйти обратно через тот же интерфейс wan2 необходимо создать еще одно правило: short_wan2_back
Согласно этому правилу, входящий пакет с интерфейса wan2 разгуливается согласно основной таблицы маршрутизации main, а обратный пакет направляется согласно таблицы forward_routing2. Таким образом можно заставить правильно работать, например, web-сайт, который находится во внутренней сети через запасной канал wan2. Пакеты будут правильно приходить и уходить через один и тот же интерфейс.
5 Настройка правил безопасности D-Link DFL-860E
Правило 2 разрешает пинг маршрутизатора из локальной сети
Правило 3 в данной папке включает NAT от интерфейса L2TP Корбины во внутреннюю сеть
Правило 2 в данной папке включает NAT через интерфейс второго провайдера во внутреннюю сеть
Правило 1 в данной папке позволяет пинговать внешний IP адрес L2TP интерфейса
Правило 2-5 проброс сервиса ftp из внутренней сети через интерфейс L2TP Корбины в интернет
Правило 6 включает преобразование адресов NAT на интерфейсе L2TP Корбины
Правило 1-13 проброс внутренних сервисов через интерфес WAN2 второго провайдера в интернет
Правило 14 включает преобразование адресов NAT на интерфейсе WAN2 второго провайдера
6 Конфигурирование VPN сервера D-Link DFL-860E
Данный маршрутизатор можно использовать как L2TP –Сервер для подключения удаленных пользователей через защищенное соединение по протоколу IPSEC.
Заходим в Authentication Objects
Создаем новый Preshared key
Заходим в interfaces/IPSec и создаем новый интерфейс
Вкладка General:
Вкладка Authentication. Выбираем Preshared key который мы создали ранее
Во вкладке Routing отмечаем автоматическое добавление маршрута
Заходим в меню PPTP/L2TP Servers и добавляем новый сервер:
Заходим в User Authentication/ Local User Databases и создаем базу для удаленных пользователей:
После чего создам самих удаленных пользователей
Идем в User Authentication /User Authentication Rules и создаем правило аутентификации. Привязываемся там ко всем объектам, которые мы создали ранее
Во вкладке Authentication Options выбираем базу данных для удаленных пользователей.
7 Настройка маршрутизации для VPN . D-Link DFL-860E
При установке канала в основную таблицу маршрутизации автоматически добавляются интерфейсы VPN подесети. Основная задача – это разрешить трафик туда, куда нужно
8 Настройка правил безопасности D-Link DFL-860E
Разрешаем хождение трафика во внутреннюю сеть и в сеть DMZ
При желании можно правила ужесточить и назначить только специфические сервисы
Все пожелания по данному документу прошу направлять Егорову Ярославу – инженеру Компании «Глобал-Админ»
Контакты на сайте www.globaladmin.ru
Любое использование материалов данной статьи разрешаются с указанием автора и ссылкой на источник www.globaladmin.ru
Версия PDF: Настройка DFL D-Link c двумя провайдерами