Сервисные маршрутизаторы для настройки безопасной удаленной работы
В связи с введенным режимом самоизоляции для многих компаний впервые встала задача о переходе на удаленную работу.
Чтобы организовать безопасную работу на удаленке, возникает необходимость пробросить порты с узлов внутренней сети во внешнюю.
Маршрутизаторы:
ESR-10 Eltex - 4 порта RJ-45, 2 порта SFP
ESR-21 Eltex - 8 портов RJ-45, 4 порта SFP, 3 порта Serial
Для конфигурирования маршрутизатора используем консоль.
Для начала, нужно создать объекты, которыми будем оперировать дальше в конфигурации.
Объекты:
1. Создаем объект с названием HTTP для порта 8080
object-group service HTTP
port-range 8080
exit
2. Создаем IP-адреса аплинка и сервера(или другого хоста в нашей локальной сети), до которого планируем пробросить порт
object-group network UPLINK
ip address-range X.X.X.X где X.X.X.X белый IP нашего маршрутизатора без маски
exit
object-group network SERVER
ip address-range 192.168.1.2 где 192.168.1.2 - серый IP сервера в нашей локальной сети без маски
exit
3. Создаем бридж (нужно, если планируем использовать одну серую сеть на нескольких портах), указываем зону безопасности (по-умолчанию для локальной сети trusted) и задаем локальную сеть
bridge 1
vlan 2 (опционально)
security-zone trusted
ip address 192.168.1.1/24
enable
exit
Порты:
1. Настроим порт для соединения с провайдером. Порт должен быть в режиме routerport. В заводском конфиге первый порт как раз в таком режиме.
interface gigabitethernet 1/0/1
description "UPLINLK"
security-zone untrusted
ip address X.X.X.X/n где n – размер маски подсети белой подсети
exit
2. Настроим локальный порт 1/0/2. Остальные порты настраиваются аналогично
interface gigabitethernet 1/0/2
mode switchport
switchport access vlan 2 (опционально, если этот vlan был объявлен в bridge 1)
exit
Firewall:
1. Настроим firewall для прохождения трафика к серверу по порту 8080
security zone-pair untrusted trusted
rule 1
action permit
match protocol tcp
match destination-address SERVER
match destination-port HTTP
enable
exit
exit
Rule 1 – определяет очередность выполнения правила. Чем меньше номер, тем раньше будет выполняться правило. Не обязательно начинать с первого номера и в дальнейшем можно добавлять правила с любым номером в допустимом диапазоне. В конце всех правил стоит неявное deny all. В целом работа правил схожа с логикой ACL.
2. Создадим правило, разрешающее любой исходящий трафик из локальной сети в сторону интернета
security zone-pair trusted untrusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
3. Создадим правило, позволяющее прохождение локального трафика без ограничений.
security zone-pair trusted trusted
rule 1
action permit
match protocol any
match source-address any
match destination-address any
enable
exit
exit
Примечание
Если в будущем планируются какие любо ограничения локального трафика, рекомендуется задать номер правила побольше, например 10, чтобы правила, создаваемые в будущем, можно было легко поставить приоритетом выше или ниже только что созданного правила.
4. Создадим пул адресов, на который будет транслироваться трафик. В качестве примера выберем трансляцию на адрес 192.168.1.2 на порт 8080.
nat destination
pool SERVER
ip address 192.168.1.2
exit
В результате при обращении на белый IP нашего маршрутизатора по порту 8080, он будет пересылать пакеты на локальный адрес 192.168.1.2 на порт 8080.
*Если необходимо обращаться на белый IP по одному порту (например 8080), но в локальной сети попадать на сервер на другой порт (например 80), в пуле нужно указать номер порта назначения.
pool SERVER
ip address 192.168.1.2
ip port 80
exit
Проброс портов:
Создадим правило для проброса tcp и udp портов с одинаковым значением придется создать два отдельных правила.
ruleset DNAT
from zone untrusted
rule 1
match protocol tcp
match destination-address UPLINK
match destination-port HTTP
action destination-nat pool SERVER
enable
exit
Проверка:
Проверить проброс портов можно командами:
esr# show ip nat destination pools
esr# show ip nat destination rulesets
esr# show ip nat proxy-arp
esr# show ip nat translations
Сервисные маршрутизаторы для настройки безопасной удаленной работы:
ESR-10 Eltex - 4 порта RJ-45, 2 порта SFP
ESR-21 Eltex - 8 портов RJ-45, 4 порта SFP, 3 порта Serial
Можете заказать у нас! А наши инженеры помогут Вам с настройкой!