Pierwsze podłączenie – Tryb routera

Wdrożenie w trybie routera

1. Pierwsze podłączenie do urządzenia

Przy pierwszym podłączeniu do urządzenia należy pamiętać, że pierwszy interfejs w domyślnej konfiguracji jest zdefiniowany jako interfejs zewnętrzny (out). Natomiast pozostałe interfejsy są interfejsami wewnętrznymi zgrupowanymi w tzw. Bridge, który posiada adresację 10.0.0.254/8 będącą adresem managementowym urządzenia:

Netasq Stromshield - Pierwsze podłączenie

Komputer po podłączeniu do jednego z interfejsów urządzenia (poza interfejsem out) automatycznie uzyskuje adres IP przydzielony przez usługę DHCP na urządzeniu Stormshield (10.0.0.10-10.0.0.100). Konsola zarządzająca dostępna jest z poziomu przeglądarki internetowej pod adresem: https://10.0.0.254/admin (login: admin / hasło: admin).

 

2. Wdrożenie urządzenia w trybie routera (advanced)

Aby wstępnie skonfigurować urządzenie w trybie routera będziemy musieli przejść przez następujące kroki:

  1. Wyciągnięcie interfejsów out oraz in z grupy „bridge”
  2. Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)
  3. Wskazanie bramy głównej dla urządzenia
  4. Przepuszczenie całego ruchu w module Firewall
  5. Tworzenie reguły translacji adresów NAT
  6. Dodanie adresów serwerów DNS dla urządzenia (opcjonalne)
  7. Uruchomienie usługi DHCP dla komputerów w sieci wewnętrznej

W poniższym przykładzie urządzenie zostanie wdrożone w sieci o adresacji 192.168.100.0/24(255.255.255.0). Naszą bramą będzie urządzenie dostarczone przez naszego dostawcy, które będzie dostępne pod adresem 87.54.22.13. Urządzenie NETASQ/Stormshield będzie występowało w sieci LAN pod adresem 192.168.100.254.

W związku z powyższym dane, które nas będą interesowały to:

Adres sieci LAN: 192.168.100.0/24 (255.255.255.0)
Adres urządzenia NETASQ/Stormshield w sieci LAN: 192.168.100.254

Adres zewnętrzny urządzenia NETASQ/Stormshield: 87.54.22.14/30 (255.255.255.252)
Adres bramy: 87.54.22.13
Adresy serwerów DNS: 194.204.152.34 / 194.204.159.1

 

2.1 Wyciągnięcie interfejsów out oraz in z grupy „bridge”

W pierwszym kroku przechodzimy do menu Konfiguracja sieci -> Interfejsy i wyciągamy interfejsy out oraz in z grupy bridge:

Netasq Stromshield - Pierwsze podłączenie

 

 

2.2 Nadanie adresacji statycznej dla interfejsu zewnętrznego (out) i wewnętrznego (in)

Następnie nadajemy adresację dla interfejsu zewnętrznego (IP: 87.54.22.14 Maska: 255.255.255.252):

Netasq Stromshield - Pierwsze podłączenie

 

Następnie we właściwościach interfejsu wewnętrznego (in) nadajemy adresację w sieci LAN (IP: 192.168.100.254 Maska: 255.255.255.0):

Netasq Stromshield - Pierwsze podłączenie

Od tej pory urządzenie będzie już dostępne na drugim interfejsie (in) pod adresem 192.168.100.254 (https://192.168.100.254/admin).

 

2.3 Wskazanie bramy głównej dla urządzenia

W kolejnym kroku logujemy się do urządzenia już pod nowym adresem IP i przechodzimy do menu Konfiguracja sieci -> Routing. Następnie w zakładce Ustawienia Bramy wskazujemy adres bramy dostarczonej przez naszego dostawcę (ISP):

Netasq Stromshield - Pierwsze podłączenie

 

Następnie nadajemy nazwę dla obiektu sieciowego, którym będzie nasza brama główna oraz jej adres (w naszym przypadku będzie to adres 87.54.22.13):

Netasq Stromshield - Pierwsze podłączenie

 

2.4 Przepuszczenie całego ruchu w module Firewall

W kolejnym kroku przechodzimy do menu Polityki ochrony -> Firewall i NAT. Następnie wybieramy pierwszą niezdefiniowaną politykę (Filter 05):

Netasq Stromshield - Pierwsze podłączenie

 

Następnie dodajemy nową pustą regułę, która zezwala na cały ruch w obrębie wszystkich sieci, klikając Dodaj -> Pusta reguła:

Netasq Stromshield - Pierwsze podłączenie

 

Utworzona reguła powinna wyglądać w następujący sposób:

Netasq Stromshield - Pierwsze podłączenie

 

UWAGA! Stworzenie powyższej reguły w module Firewall ma na celu początkowe przepuszczenie całego ruchu w obrębie urządzenia i ze względu na bezpieczeństwo nie jest ona zalecana przy dalszej eksploatacji urządzenia. Zaleca się stworzenie reguł przepuszczających tylko wybrany ruch oraz stosowanie polityk filtrowania. Tworzenie reguł w module Firewall oraz stosowanie polityk filtrowania opisane jest w osobnych artykułach dostępnych na stronie www.stormshield.pl.

 

2.5 Tworzenie reguły translacji adresów NAT

Po zdefiniowaniu powyższej reguły przechodzimy w ramach tego samego profilu (Filter 05) do zakładki NAT i dodajemy regułę dla translacji adresów poprzez kliknięcie Dodaj -> Maskarada reguły:

Netasq Stromshield - Pierwsze podłączenie

 

W nowoutworzonej regule NAT definiujemy translację adresów dla wszystkich sieci wewnętrznych (obiekt Network_internals). Utworzona reguła powinna wyglądać następująco:

Netasq Stromshield - Pierwsze podłączenie

 

Na koniec zapisujemy wprowadzone zmiany i akceptujemy wybraną politykę poprzez kliknięcie przycisku Zapisz i zastosuj.

 

2.6 Dodanie adresów serwerów DNS dla urządzenia (opcjonalne)

Aby zdefiniować adresy serwerów DNS dla urządzenia NETASQ/Stormshield przechodzimy do menu Ustawienia systemowe -> Konfiguracja urządzenia, a następnie w zakładce PROXY – VLAN – DNS przechodzimy do sekcji Ustawienia serwerów DNS dla urządzenia i dodajemy interesujące nas serwery DNS:

Netasq Stromshield - Pierwsze podłączenie

 

2.7 Uruchomienie usługi DHCP dla komputerów w sieci wewnętrznej

Aby uruchomić usługi serwera DHCP w celu przydzielenia adresów IP dla komputerów wewnątrz sieci przechodzimy w menu do Konfiguracja sieci -> Serwer DHCP, a następnie:

  • włączamy usługę DHCP i wybieramy tryb DHCP SERWER
  • wskazujemy domyślną bramę główną dla komputerów (w naszym wypadku będzie to adres urządzenia w sieci wewnętrznej – Firewall_in (192.168.100.254)
  • wskazujemy preferowany oraz alternatywny serwer DNS:

Netasq Stromshield - Pierwsze podłączenie

 

Następnie wskazujemy zakres adresów IP, które będą przydzielane poszczególnym komputerom w sieci wewnętrznej:

Netasq Stromshield - Pierwsze podłączenie

 

W naszym przypadku będzie to zakres 192.168.100.1 – 192.168.100.100:

Netasq Stromshield - Pierwsze podłączenie

 

W ostatnim kroku zapisujemy wprowadzone zmiany poprzez kliknięcie przycisku Zastosuj.

 

W tym momencie nasze urządzenie jest skonfigurowane w trybie routera (advanced) i gotowe do podłączenia. Urządzenie podłączamy według schematu zamieszczonego poniżej:

Netasq Stromshield - Pierwsze podłączenie