Pierwsze podłączenie - Tryb routera

firmware 4.x Film Pierwsze podłączenie

 

Wdrożenie w trybie routera

1. Pierwsze podłączenie do urządzenia

Przy pierwszym podłączeniu do urządzenia należy pamiętać, że pierwszy interfejs w domyślnej konfiguracji jest zdefiniowany jako interfejs zewnętrzny (out). Natomiast pozostałe interfejsy są interfejsami wewnętrznymi, zgrupowanymi w tzw. bridge, który posiada adres 10.0.0.254/8. Jest to adres managementowy urządzenia.

Po podłączeniu komputera do interfejsu oznaczonego jako wewnętrzny, automatycznie zostanie mu przydzielony adres IP przez usługę DHCP urządzenia Stromshield. Domyślny zakres DHCP to 10.0.0.10-10.0.0.100) Konsola administracyjna dostępna jest z poziomu przeglądarki internetowej pod adresem: https://10.0.0.254/admin (login: admin / hasło: admin).

2. Wdrożenie urządzenia w trybie routera

Aby wstępnie skonfigurować urządzenie w trybie routera będziemy musieli przejść przez następujące kroki:

  1. Wyciągnięcie interfejsów out oraz in z grupy „bridge”
  2. Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)
  3. Wskazanie bramy głównej dla urządzenia
  4. Przepuszczenie całego ruchu za pomocą reguły Firewall
  5. Tworzenie reguły translacji adresów (NAT)
  6. Dodanie dodatkowych adresów serwerów DNS dla urządzenia (opcjonalne)
  7. Konfiguracja usługi DHCP dla komputerów w sieci wewnętrznej

W poniższym przykładzie urządzenie wdrożymy w sieci o adresacji 192.168.150.0/24 (255.255.255.0). Naszą bramą będzie adres urządzenia naszego dostawcy. W tym przykładzie będzie to adres 87.54.22.13. Urządzenie Stormshield będzie występowało w sieci LAN pod adresem 192.168.150.254.

W związku z powyższym dane, które nas będą interesowały to:

Adresacja sieci LAN: 192.168.150.0/24 (255.255.255.0)
Adres urządzenia Stormshield w sieci LAN: 192.168.150.254/24

Adres zewnętrzny urządzenia Stormshield: 87.54.22.14/30 (255.255.255.252)
Adres bramy: 87.54.22.13
Adresy serwerów DNS: 194.204.152.34 / 194.204.159.1

2.1 Wyciągnięcie interfejsów out oraz in z grupy „bridge”

Na samym początku musimy przejść do zakładki Konfiguracja, gdzie będziemy przeprowadzać całą konfigurację naszego urządzenia.

Następnie z menu po lewej stronie wybieramy Konfiguracja sieci -> Interfejsy i wyciągamy interfejsy out oraz in z grupy bridge:

2.2 Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)

Po dwukrotnym kliknięciu na interfejs out przechodzimy do jego konfiguracji. Klikamy na przycisk Dodaj, a następnie uzupełniamy puste pole o nasz adres publiczny wraz z maską:

IP: 87.54.22.14
Maska: 30

Te same kroki wykonujemy dla interfejsu in, gdzie nadajemy adres, który będzie reprezentował nasze urządzenie w sieci LAN

IP: 192.168.150.254
Maska: 24 (255.255.255.0):

Od tej pory urządzenie będzie już dostępne na drugim interfejsie (in) pod adresem 192.168.150.254 (https://192.168.150.254/admin).

2.3 Wskazanie bramy głównej dla urządzenia

W kolejnym kroku logujemy się do urządzenia już pod nowym adresem IP i przechodzimy do menu Konfiguracja sieci -> Routing. W miejscu tym musimy wskazać adres naszego dostawcy. Klikamy w przycisk tworzenia obiektu, obok Brama domyślna:

Musimy nadać nazwę oraz adres IP (w naszym przypadku będzie to 87.54.22.13) naszemu obiektowi, który będzie reprezentował bramę główną:”. ):

2.4 Przepuszczenie całego ruchu w module Firewall

Przechodzimy do menu Polityki ochrony -> Firewall i NAT, gdzie wybieramy niezdefiniowany jeszcze profil (np. 05).

W profilu tym dodajemy nową regułę, która zezwala na cały ruch w obrębie wszystkich sieci, klikając Dodaj -> Reguła domyślna:

Utworzona reguła powinna wyglądać w następujący sposób:

UWAGA!

Stworzenie powyższej reguły w module Firewall ma na celu początkowe przepuszczenie całego ruchu w obrębie urządzenia. Ze względu na bezpieczeństwo nie jest ona zalecana przy dalszej eksploatacji urządzenia! Zaleca się stworzenie reguł przepuszczających tylko wybrany ruch oraz stosowanie polityk filtrowania. Tworzenie reguł w module Firewall oraz stosowanie polityk filtrowania opisane jest w osobnych artykułach dostępnych na stronie www.stormshield.pl.

2.5 Tworzenie reguły translacji adresów NAT

Po zdefiniowaniu powyższej reguły przechodzimy w ramach tego samego profilu (Filter 05) do zakładki NAT i dodajemy regułę dla translacji adresów poprzez kliknięcie Dodaj -> Maskarada reguły:

W nowoutworzonej regule NAT definiujemy translację adresów dla wszystkich sieci wewnętrznych (obiekt Network_internals). Utworzona reguła powinna wyglądać następująco:

Na koniec zapisujemy wprowadzone zmiany i akceptujemy wybraną politykę poprzez kliknięcie przycisku Zastosuj.

2.6 Dodanie adresów serwerów DNS dla urządzenia (opcjonalne)

Aby zdefiniować adresy serwerów DNS dla urządzenia Stormshield przechodzimy do menu Ustawienia systemowe -> Konfiguracja urządzenia -> Ustawienia sieciowe, gdzie dodajemy interesujące nas serwery DNS:

2.7 Uruchomienie usługi DHCP dla komputerów w sieci wewnętrznej

Aby skonfiguorwać usługę serwera DHCP w celu przydzielenia adresów IP dla komputerów wewnątrz sieci przechodzimy w menu do Konfiguracja sieci -> Serwer DHCP, a następnie:

  • włączamy usługę DHCP i wybieramy tryb DHCP SERWER
  • wskazujemy domyślną bramę główną dla komputerów (w naszym wypadku będzie to adres urządzenia w sieci wewnętrznej – Firewall_in (192.168.150.254)
  • wskazujemy preferowany oraz alternatywny serwer DNS:

Następnie wskazujemy zakres adresów IP, które będą przydzielane poszczególnym komputerom w sieci wewnętrznej:

W naszym przypadku będzie to zakres 192.168.150.1 – 192.168.150.100:

W ostatnim kroku zapisujemy wprowadzone zmiany poprzez kliknięcie przycisku Zastosuj.

W tym momencie nasze urządzenie jest skonfigurowane w trybie routera (advanced) i gotowe do podłączenia. Urządzenie podłączamy według schematu zamieszczonego poniżej:

Powiązane zagadnienia:

Podobne zagadnienia: