Wdrożenie w trybie routera
1. Pierwsze podłączenie do urządzenia
Przy pierwszym podłączeniu do urządzenia należy pamiętać, że pierwszy interfejs w domyślnej konfiguracji jest zdefiniowany jako interfejs zewnętrzny (out). Natomiast pozostałe interfejsy są interfejsami wewnętrznymi zgrupowanymi w tzw. Bridge, który posiada adresację 10.0.0.254/8 będącą adresem managementowym urządzenia:
Komputer po podłączeniu do jednego z interfejsów urządzenia (poza interfejsem out) automatycznie uzyskuje adres IP przydzielony przez usługę DHCP na urządzeniu Stormshield (10.0.0.10-10.0.0.100). Konsola zarządzająca dostępna jest z poziomu przeglądarki internetowej pod adresem: https://10.0.0.254/admin (login: admin / hasło: admin).
2. Wdrożenie urządzenia w trybie routera (advanced)
Aby wstępnie skonfigurować urządzenie w trybie routera będziemy musieli przejść przez następujące kroki:
- Wyciągnięcie interfejsów out oraz in z grupy „bridge”
- Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)
- Wskazanie bramy głównej dla urządzenia
- Przepuszczenie całego ruchu w module Firewall
- Tworzenie reguły translacji adresów NAT
- Dodanie adresów serwerów DNS dla urządzenia (opcjonalne)
- Uruchomienie usługi DHCP dla komputerów w sieci wewnętrznej
W poniższym przykładzie urządzenie zostanie wdrożone w sieci o adresacji 192.168.100.0/24(255.255.255.0). Naszą bramą będzie urządzenie dostarczone przez naszego dostawcy, które będzie dostępne pod adresem 87.54.22.13. Urządzenie NETASQ/Stormshield będzie występowało w sieci LAN pod adresem 192.168.100.254.
W związku z powyższym dane, które nas będą interesowały to:
Adres sieci LAN: 192.168.100.0/24 (255.255.255.0)
Adres urządzenia NETASQ/Stormshield w sieci LAN: 192.168.100.254
Adres zewnętrzny urządzenia NETASQ/Stormshield: 87.54.22.14/30 (255.255.255.252)
Adres bramy: 87.54.22.13
Adresy serwerów DNS: 194.204.152.34 / 194.204.159.1
2.1 Wyciągnięcie interfejsów out oraz in z grupy „bridge”
W pierwszym kroku przechodzimy do menu Konfiguracja sieci -> Interfejsy i wyciągamy interfejsy out oraz in z grupy bridge:
2.2 Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)
Następnie nadajemy adresację dla interfejsu zewnętrznego (IP: 87.54.22.14 Maska: 255.255.255.252):
Następnie we właściwościach interfejsu wewnętrznego (in) nadajemy adresację w sieci LAN (IP: 192.168.100.254 Maska: 255.255.255.0):
Od tej pory urządzenie będzie już dostępne na drugim interfejsie (in) pod adresem 192.168.100.254 (https://192.168.100.254/admin).
2.3 Wskazanie bramy głównej dla urządzenia
W kolejnym kroku logujemy się do urządzenia już pod nowym adresem IP i przechodzimy do menu Konfiguracja sieci -> Routing. Następnie w zakładce Ustawienia Bramy wskazujemy adres bramy dostarczonej przez naszego dostawcę (ISP):
Następnie nadajemy nazwę dla obiektu sieciowego, którym będzie nasza brama główna oraz jej adres (w naszym przypadku będzie to adres 87.54.22.13):
2.4 Przepuszczenie całego ruchu w module Firewall
W kolejnym kroku przechodzimy do menu Polityki ochrony -> Firewall i NAT. Następnie wybieramy pierwszą niezdefiniowaną politykę (Filter 05):
Następnie dodajemy nową pustą regułę, która zezwala na cały ruch w obrębie wszystkich sieci, klikając Dodaj -> Pusta reguła:
Utworzona reguła powinna wyglądać w następujący sposób:
UWAGA! Stworzenie powyższej reguły w module Firewall ma na celu początkowe przepuszczenie całego ruchu w obrębie urządzenia i ze względu na bezpieczeństwo nie jest ona zalecana przy dalszej eksploatacji urządzenia. Zaleca się stworzenie reguł przepuszczających tylko wybrany ruch oraz stosowanie polityk filtrowania. Tworzenie reguł w module Firewall oraz stosowanie polityk filtrowania opisane jest w osobnych artykułach dostępnych na stronie www.stormshield.pl.
2.5 Tworzenie reguły translacji adresów NAT
Po zdefiniowaniu powyższej reguły przechodzimy w ramach tego samego profilu (Filter 05) do zakładki NAT i dodajemy regułę dla translacji adresów poprzez kliknięcie Dodaj -> Maskarada reguły:
W nowoutworzonej regule NAT definiujemy translację adresów dla wszystkich sieci wewnętrznych (obiekt Network_internals). Utworzona reguła powinna wyglądać następująco:
Na koniec zapisujemy wprowadzone zmiany i akceptujemy wybraną politykę poprzez kliknięcie przycisku Zapisz i zastosuj.
2.6 Dodanie adresów serwerów DNS dla urządzenia (opcjonalne)
Aby zdefiniować adresy serwerów DNS dla urządzenia NETASQ/Stormshield przechodzimy do menu Ustawienia systemowe -> Konfiguracja urządzenia, a następnie w zakładce PROXY – VLAN – DNS przechodzimy do sekcji Ustawienia serwerów DNS dla urządzenia i dodajemy interesujące nas serwery DNS:
2.7 Uruchomienie usługi DHCP dla komputerów w sieci wewnętrznej
Aby uruchomić usługi serwera DHCP w celu przydzielenia adresów IP dla komputerów wewnątrz sieci przechodzimy w menu do Konfiguracja sieci -> Serwer DHCP, a następnie:
- włączamy usługę DHCP i wybieramy tryb DHCP SERWER
- wskazujemy domyślną bramę główną dla komputerów (w naszym wypadku będzie to adres urządzenia w sieci wewnętrznej – Firewall_in (192.168.100.254)
- wskazujemy preferowany oraz alternatywny serwer DNS:
Następnie wskazujemy zakres adresów IP, które będą przydzielane poszczególnym komputerom w sieci wewnętrznej:
W naszym przypadku będzie to zakres 192.168.100.1 – 192.168.100.100:
W ostatnim kroku zapisujemy wprowadzone zmiany poprzez kliknięcie przycisku Zastosuj.
W tym momencie nasze urządzenie jest skonfigurowane w trybie routera (advanced) i gotowe do podłączenia. Urządzenie podłączamy według schematu zamieszczonego poniżej:
