Pierwsze podłączenie - Tryb routera

firmware 3.x Pierwsze podłączenie

 

30 marca 2020

Wdrożenie w trybie routera

1. Pierwsze podłączenie do urządzenia

Przy pierwszym podłączeniu do urządzenia należy pamiętać, że pierwszy interfejs w domyślnej konfiguracji jest zdefiniowany jako interfejs zewnętrzny (out). Natomiast pozostałe interfejsy są interfejsami wewnętrznymi zgrupowanymi w tzw. Bridge, który posiada adresację 10.0.0.254/8 będącą adresem managementowym urządzenia:

Komputer po podłączeniu do jednego z interfejsów urządzenia (poza interfejsem out) automatycznie uzyskuje adres IP przydzielony przez usługę DHCP na urządzeniu Stormshield (10.0.0.10-10.0.0.100). Konsola zarządzająca dostępna jest z poziomu przeglądarki internetowej pod adresem: https://10.0.0.254/admin (login: admin / hasło: admin).

2. Wdrożenie urządzenia w trybie routera (advanced)

Aby wstępnie skonfigurować urządzenie w trybie routera będziemy musieli przejść przez następujące kroki:

  1. Wyciągnięcie interfejsów out oraz in z grupy „bridge”
  2. Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)
  3. Wskazanie bramy głównej dla urządzenia
  4. Przepuszczenie całego ruchu w module Firewall
  5. Tworzenie reguły translacji adresów NAT
  6. Dodanie adresów serwerów DNS dla urządzenia (opcjonalne)
  7. Uruchomienie usługi DHCP dla komputerów w sieci wewnętrznej

W poniższym przykładzie urządzenie zostanie wdrożone w sieci o adresacji 192.168.100.0/24(255.255.255.0). Naszą bramą będzie urządzenie dostarczone przez naszego dostawcy, które będzie dostępne pod adresem 87.54.22.13. Urządzenie Stormshield będzie występowało w sieci LAN pod adresem 192.168.100.254.

W związku z powyższym dane, które nas będą interesowały to:

Adres sieci LAN: 192.168.100.0/24 (255.255.255.0)
Adres urządzenia Stormshield w sieci LAN: 192.168.100.254

Adres zewnętrzny urządzenia Stormshield: 87.54.22.14/30 (255.255.255.252)
Adres bramy: 87.54.22.13
Adresy serwerów DNS: 194.204.152.34 / 194.204.159.1

2.1 Wyciągnięcie interfejsów out oraz in z grupy „bridge”

W pierwszym kroku przechodzimy do menu Konfiguracja sieci -> Interfejsy i wyciągamy interfejsy out oraz in z grupy bridge:

2.2 Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)

Następnie nadajemy adresację dla interfejsu zewnętrznego

IP: 87.54.22.14
Maska: 255.255.255.252 (maskę możemy również podać w systemie dziesiątkowym, tj. 30).

Następnie we właściwościach interfejsu wewnętrznego (in) nadajemy adresację w sieci LAN

IP: 192.168.100.254
Maska: 24 (255.255.255.0):

Od tej pory urządzenie będzie już dostępne na drugim interfejsie (in) pod adresem 192.168.100.254 (https://192.168.100.254/admin).

2.3 Wskazanie bramy głównej dla urządzenia

W kolejnym kroku logujemy się do urządzenia już pod nowym adresem IP i przechodzimy do menu Konfiguracja sieci -> Routing. W miejscu tym musimy wskazać adres naszego dostawcy. Klikamy w przycisk tworzenia obiektu, obok Domyślna:

Musimy nadać nazwę dla naszego obiektu sieciowego, którym będzie brama główna oraz jej adres (w naszym przypadku będzie to adres 87.54.22.13):

2.4 Przepuszczenie całego ruchu w module Firewall

W kolejnym kroku przechodzimy do menu Polityki ochrony -> Firewall i NAT, gdzie wybieramy niezdefiniowany jeszcze profil (np. 05).

W profilu tym dodajemy nową pustą regułę, która zezwala na cały ruch w obrębie wszystkich sieci, klikając Dodaj -> Reguła domyślna:

Utworzona reguła powinna wyglądać w następujący sposób:

UWAGA! Stworzenie powyższej reguły w module Firewall ma na celu początkowe przepuszczenie całego ruchu w obrębie urządzenia i ze względu na bezpieczeństwo nie jest ona zalecana przy dalszej eksploatacji urządzenia! Zaleca się stworzenie reguł przepuszczających tylko wybrany ruch oraz stosowanie polityk filtrowania. Tworzenie reguł w module Firewall oraz stosowanie polityk filtrowania opisane jest w osobnych artykułach dostępnych na stronie www.stormshield.pl.

2.5 Tworzenie reguły translacji adresów NAT

Po zdefiniowaniu powyższej reguły przechodzimy w ramach tego samego profilu (Filter 05) do zakładki NAT i dodajemy regułę dla translacji adresów poprzez kliknięcie Dodaj -> Maskarada reguły:

W nowoutworzonej regule NAT definiujemy translację adresów dla wszystkich sieci wewnętrznych (obiekt Network_internals). Utworzona reguła powinna wyglądać następująco:

Na koniec zapisujemy wprowadzone zmiany i akceptujemy wybraną politykę poprzez kliknięcie przycisku Zapisz i zastosuj.

2.6 Dodanie adresów serwerów DNS dla urządzenia (opcjonalne)

Aby zdefiniować adresy serwerów DNS dla urządzenia Stormshield przechodzimy do menu Ustawienia systemowe -> Konfiguracja urządzenia, a następnie w zakładce PROXY – VLAN – DNS przechodzimy do sekcji Ustawienia serwerów DNS dla urządzenia i dodajemy interesujące nas serwery DNS:

2.7 Uruchomienie usługi DHCP dla komputerów w sieci wewnętrznej

Aby uruchomić usługi serwera DHCP w celu przydzielenia adresów IP dla komputerów wewnątrz sieci przechodzimy w menu do Konfiguracja sieci -> Serwer DHCP, a następnie:

  • włączamy usługę DHCP i wybieramy tryb DHCP SERWER
  • wskazujemy domyślną bramę główną dla komputerów (w naszym wypadku będzie to adres urządzenia w sieci wewnętrznej – Firewall_in (192.168.100.254)
  • wskazujemy preferowany oraz alternatywny serwer DNS:

Następnie wskazujemy zakres adresów IP, które będą przydzielane poszczególnym komputerom w sieci wewnętrznej:

W naszym przypadku będzie to zakres 192.168.100.1 – 192.168.100.100:

W ostatnim kroku zapisujemy wprowadzone zmiany poprzez kliknięcie przycisku Zastosuj.

W tym momencie nasze urządzenie jest skonfigurowane w trybie routera (advanced) i gotowe do podłączenia. Urządzenie podłączamy według schematu zamieszczonego poniżej: