Pierwsze podłączenie - Tryb routera

firmware 3.x Pierwsze podłączenie

 

Wdrożenie w trybie routera

1. Pierwsze podłączenie do urządzenia

Przy pierwszym podłączeniu do urządzenia należy pamiętać, że pierwszy interfejs w domyślnej konfiguracji jest zdefiniowany jako interfejs zewnętrzny (out). Natomiast pozostałe interfejsy są interfejsami wewnętrznymi, zgrupowanymi w tzw. bridge, który posiada adres 10.0.0.254/8.

Po podłączeniu komputera do interfejsu oznaczonego jako wewnętrzny, automatycznie zostanie mu przydzielony adres IP przez usługę DHCP urządzenia Stromshield. Domyślny zakres DHCP to 10.0.0.10-10.0.0.100). Konsola zarządzająca dostępna jest z poziomu przeglądarki internetowej pod adresem: https://10.0.0.254/admin (login: admin / hasło: admin).

2. Wdrożenie urządzenia w trybie routera.

Aby wstępnie skonfigurować urządzenie w trybie routera będziemy musieli przejść przez następujące kroki:

  1. Wyciągnięcie interfejsów out oraz in z grupy „bridge”
  2. Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)
  3. Wskazanie bramy głównej dla urządzenia
  4. Przepuszczenie całego ruchu za pomocą reguły Firewall
  5. Tworzenie reguły translacji adresów (NAT)
  6. Dodanie adresów serwerów DNS dla urządzenia
  7. Konfiguracja usługi DHCP dla komputerów w sieci wewnętrznej

W poniższym przykładzie wdrożymy urządzenie w sieci o adresacji 192.168.100.0/24 (255.255.255.0). Naszą bramą będzie adres urządzenia naszego dostawcy. W tym przykładzie będzie to adres 87.54.22.13. Urządzenie Stormshield będzie występowało w sieci LAN pod adresem 192.168.100.254.

W związku z powyższym dane, które nas będą interesowały to:

Adresacja sieci LAN: 192.168.100.0/24 (255.255.255.0)
Adres urządzenia Stormshield w sieci LAN: 192.168.100.254/24 (255.255.255.0)

Adres zewnętrzny urządzenia Stormshield: 87.54.22.14/30 (255.255.255.252)
Adres bramy: 87.54.22.13
Adresy serwerów DNS: 194.204.152.34 / 194.204.159.1

2.1 Wyciągnięcie interfejsów out oraz in z grupy „bridge”

W pierwszym kroku przechodzimy do menu Konfiguracja sieci -> Interfejsy i wyciągamy interfejsy out oraz in z grupy bridge:

2.2 Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)

Nadajemy adresację dla interfejsu zewnętrznego out

IP: 87.54.22.14
Maska: 30 (255.255.255.252).

Następnie we właściwościach interfejsu wewnętrznego in nadajemy adres, który będzie reprezentował nasze urządzenie w sieci LAN:

IP: 192.168.100.254
Maska: 24 (255.255.255.0):

Od tej pory urządzenie będzie już dostępne na drugim interfejsie (in) pod adresem 192.168.100.254 (https://192.168.100.254/admin).

2.3 Wskazanie bramy głównej dla urządzenia

W kolejnym kroku logujemy się do urządzenia już pod nowym adresem IP i przechodzimy do menu Konfiguracja sieci -> Routing. W miejscu tym musimy wskazać adres naszego dostawcy. Klikamy w przycisk tworzenia obiektu, obok Domyślna brama:

Musimy nadać nazwę oraz adres IP (w naszym przypadku będzie to 87.54.22.13) naszemu obiektowi, który będzie reprezentował bramę główną.

2.4 Przepuszczenie całego ruchu za pomocą reguły Firewall

Przechodzimy do menu Polityki ochrony -> Firewall i NAT, gdzie wybieramy niezdefiniowany jeszcze profil (np. 05).

W profilu tym dodajemy nową regułę, która zezwala na cały ruch w obrębie wszystkich sieci, klikając Dodaj -> Reguła domyślna:

Utworzona reguła powinna wyglądać w następujący sposób:

UWAGA! Stworzenie powyższej reguły w module Firewall ma na celu początkowe przepuszczenie całego ruchu w obrębie urządzenia. Ze względu na bezpieczeństwo nie jest ona zalecana przy dalszej konfiguracji urządzenia! Zaleca się stworzenie reguł przepuszczających tylko wybrany ruch oraz stosowanie polityk filtrowania. Tworzenie reguł w module Firewall oraz stosowanie polityk filtrowania opisane jest w osobnych artykułach dostępnych na stronie www.stormshield.pl.

2.5 Tworzenie reguły translacji adresów (NAT)

Po zdefiniowaniu powyższej reguły przechodzimy w ramach tego samego profilu (Filter 05) do zakładki NAT i dodajemy regułę dla translacji adresów poprzez kliknięcie Dodaj -> Maskarada reguły:

W nowoutworzonej regule NAT definiujemy translację adresów dla wszystkich sieci wewnętrznych (obiekt Network_internals). Utworzona reguła powinna wyglądać następująco:

Na koniec zapisujemy wprowadzone zmiany i akceptujemy wybraną politykę poprzez kliknięcie przycisku Zapisz i zastosuj.

2.6 Dodanie adresów serwerów DNS dla urządzenia.

Aby zdefiniować adresy serwerów DNS dla urządzenia Stormshield przechodzimy do menu Ustawienia systemowe -> Konfiguracja urządzenia, a następnie w zakładce PROXY – VLAN – DNS przechodzimy do sekcji Lista serwerów DNS dla urządzenia i dodajemy interesujące nas serwery DNS:

2.7 Konfiguracja usługi DHCP dla komputerów w sieci wewnętrznej

Aby skonfigurować usługi serwera DHCP w celu przydzielenia adresów IP dla komputerów wewnątrz sieci przechodzimy w menu do Konfiguracja sieci -> Serwer DHCP, a następnie:

  • włączamy usługę DHCP i wybieramy tryb DHCP SERWER
  • wskazujemy domyślną bramę główną dla komputerów (w naszym wypadku będzie to adres urządzenia w sieci wewnętrznej – Firewall_in (192.168.100.254)
  • wskazujemy preferowany oraz alternatywny serwer DNS:

Następnie wskazujemy zakres adresów IP, które będą przydzielane poszczególnym komputerom w sieci wewnętrznej:

W naszym przypadku będzie to zakres 192.168.100.1 – 192.168.100.100:

W ostatnim kroku zapisujemy wprowadzone zmiany poprzez kliknięcie przycisku Zastosuj.

W tym momencie nasze urządzenie jest skonfigurowane w trybie routera i gotowe do podłączenia. Urządzenie podłączamy według schematu zamieszczonego poniżej: