0
Корзина пуста
Назад к новостям

Сервисные маршрутизаторы для настройки безопасной удаленной работы

В связи с введенным режимом самоизоляции для многих компаний впервые встала задача о переходе на удаленную работу. 

Чтобы организовать безопасную работу на удаленке, возникает необходимость пробросить порты с узлов внутренней сети во внешнюю.

Маршрутизаторы:

ESR-10 Eltex - 4 порта RJ-45, 2 порта SFP
ESR-21 Eltex - 8 портов RJ-45, 4 порта SFP, 3 порта Serial


Для конфигурирования маршрутизатора используем консоль.


Для начала, нужно создать объекты, которыми будем оперировать дальше в конфигурации.



Объекты: 

1. Создаем объект с названием HTTP для порта 8080

object-group service HTTP
  port-range 8080
exit

2. Создаем IP-адреса аплинка и сервера(или другого хоста в нашей локальной сети), до которого планируем пробросить порт

object-group network UPLINK
  ip address-range X.X.X.X    где X.X.X.X белый IP нашего маршрутизатора без маски
exit
object-group network SERVER
  ip address-range 192.168.1.2      где 192.168.1.2 - серый IP сервера в нашей локальной сети без маски
exit

3. Создаем бридж (нужно, если планируем использовать одну серую сеть на нескольких портах), указываем зону безопасности (по-умолчанию для локальной сети trusted) и задаем локальную сеть

bridge 1
  vlan 2  (опционально)
  security-zone trusted
  ip address 192.168.1.1/24
  enable
exit

Порты:

1. Настроим порт для соединения с провайдером. Порт должен быть в режиме routerport. В заводском конфиге первый порт как раз в таком режиме.

interface gigabitethernet 1/0/1
  description "UPLINLK"
  security-zone untrusted
  ip address X.X.X.X/n   где n – размер маски подсети белой подсети
exit

2. Настроим локальный порт 1/0/2. Остальные порты настраиваются аналогично

interface gigabitethernet 1/0/2
  mode switchport
  switchport access vlan 2 (опционально, если этот vlan был объявлен в bridge 1)
exit

Firewall:

1. Настроим firewall для прохождения трафика к серверу по порту 8080

security zone-pair untrusted trusted
  rule 1
    action permit
    match protocol tcp
    match destination-address SERVER
    match destination-port HTTP
    enable
  exit
exit

Rule 1 – определяет очередность выполнения правила. Чем меньше номер, тем раньше будет выполняться правило. Не обязательно начинать с первого номера и в дальнейшем можно добавлять правила с любым номером в допустимом диапазоне. В конце всех правил стоит неявное deny all. В целом работа правил схожа с логикой ACL.


2. Создадим правило, разрешающее любой исходящий трафик из локальной сети в сторону интернета

security zone-pair trusted untrusted
  rule 1
    action permit
    match protocol any
    match source-address any
    match destination-address any
    enable
  exit
exit

3. Создадим правило, позволяющее прохождение локального трафика без ограничений.

security zone-pair trusted trusted
  rule 1
    action permit
    match protocol any
    match source-address any
    match destination-address any
    enable
  exit
exit

Примечание
Если в будущем планируются какие любо ограничения локального трафика, рекомендуется задать номер правила побольше, например 10, чтобы правила, создаваемые в будущем, можно было легко поставить приоритетом выше или ниже только что созданного правила.


4. Создадим пул адресов, на который будет транслироваться трафик. В качестве примера выберем трансляцию на адрес 192.168.1.2 на порт 8080.

nat destination
  pool SERVER
    ip address 192.168.1.2
  exit


В результате при обращении на белый IP нашего маршрутизатора по порту 8080, он будет пересылать пакеты на локальный адрес 192.168.1.2 на порт 8080.

*Если необходимо обращаться на белый IP по одному порту (например 8080), но в локальной сети попадать на сервер на другой порт (например 80), в пуле нужно указать номер порта назначения.

  pool SERVER
    ip address 192.168.1.2
    ip port 80
   exit

Проброс портов:

Создадим правило для проброса tcp и udp портов с одинаковым значением придется создать два отдельных правила.

  ruleset DNAT
    from zone untrusted
    rule 1
      match protocol tcp
      match destination-address UPLINK
      match destination-port HTTP
      action destination-nat pool SERVER
      enable
    exit

Проверка:

Проверить проброс портов можно командами:

esr# show ip nat destination pools
esr# show ip nat destination rulesets
esr# show ip nat proxy-arp
esr# show ip nat translations 


Сервисные маршрутизаторы для настройки безопасной удаленной работы:

ESR-10 Eltex - 4 порта RJ-45, 2 порта SFP
ESR-21 Eltex - 8 портов RJ-45, 4 порта SFP, 3 порта Serial

Можете заказать у нас! А наши инженеры помогут Вам с настройкой!

 

Назад к новостям
закрыть