VyOS: Первые шаги

Узнайте, как начать работу с VyOS, настраивая подключение к провайдеру, DHCP-сервер и мощный firewall для обеспечения безопасности вашей сети. Погрузитесь в мир сетевой конфигурации с VyOS и освойте основы управления сетью с нашим пошаговым руководством.

В этой статье мы рассмотрим процесс замены маршрутизатора, работающего на базе RouterOS, на маршрутизатор, основанный на операционной системе VyOS. Сразу отмечу, что мы не будем останавливаться на установке и первоначальной настройке, так как эти шаги легко находятся в Интернете.

Мы начнем с минимальной конфигурации, чтобы познакомиться с операционной системой VyOS.

Наш текущий маршрутизатор подключен к провайдеру по протоколу IPoE. Наша задача - назначить IP-адрес на интерфейсе, настроить брандмауэр и сетевую трансляцию адресов (NAT).

Настройка подключения к провайдеру

Для начала настроим IP-адрес на интерфейсе, который подключен к сети провайдера.

set interfaces ethernet eth0 address 1.1.1.2/30

Затем создадим маршрут по умолчанию:

set protocols static route 0.0.0.0/0 next-hop 1.1.1.1

Далее, чтобы синхронизировать время, настроим часовой пояс и серверы времени, однако будем осторожны с серверами времени, чтобы не доверять тем, которые могут быть недоступны из нашей страны:

set system time-zone Europe/Moscow
set service ntp server 0.ru.pool.ntp.org
set service ntp server 1.ru.pool.ntp.org
set service ntp server 2.ru.pool.ntp.org
set service ntp server 3.ru.pool.ntp.org

Теперь настроим внешний NAT, но вместо маскировки (masquerade) используем статическую запись:

set nat source rule 1 outbound-interface name eth0
set nat source rule 1 translation address 1.1.1.2

Локальная сеть

Поскольку мы не можем предугадать, что произойдет в будущем, создадим бридж на всякий случай и будем ориентироваться от этого бриджа.

Сначала создадим бридж, назначим ему адрес, и добавим пока только один интерфейс, который подключен к локальной сети.

set interfaces bridge br0 address 192.168.200.1/24
set interfaces bridge br0 member interface eth2

Естественно, в нашей сети должен быть DHCP сервер. Вот его настройки:

set service dhcp-server shared-network-name 'local'
set service dhcp-server shared-network-name 'local' subnet 192.168.200.0/24
set service dhcp-server shared-network-name 'local' subnet 192.168.200.0/24 subnet-id 200
set service dhcp-server shared-network-name 'local' subnet 192.168.200.0/24 option domain-search my.loc
set service dhcp-server shared-network-name 'local' subnet 192.168.200.0/24 option default-router 192.168.200.1
set service dhcp-server shared-network-name 'local' subnet 192.168.200.0/24 option name-server 192.168.200.100
set service dhcp-server shared-network-name 'local' subnet 192.168.200.0/24 option name-server 192.168.200.101
set service dhcp-server shared-network-name 'local' subnet 192.168.200.0/24 lease 300
set service dhcp-server shared-network-name 'local' subnet 192.168.200.0/24 range local-pool start 192.168.200.21
set service dhcp-server shared-network-name 'local' subnet 192.168.200.0/24 range local-pool stop 192.168.200.99

Теперь осталось совсем немного.

Настройка Firewall

Для начала создадим интерфейсный список (аналог RouterOS), чтобы удобно настраивать firewall.

set firewall group interface-group ISP interface eth0

Далее, создадим пользовательскую цепочку. Обратите внимание, что мы сразу задаем действие по умолчанию. В RouterOS для этих целей мы в конце создавали правило для отбрасывания (drop). Также заполним правила по умолчанию, почему именно они такие, вы можете узнать в этой статье.

set firewall ipv4 name ISP-Input default-action jump
set firewall ipv4 name ISP-Input default-jump-target ISP-Input-Allow
set firewall ipv4 name ISP-Forward default-action drop
set firewall ipv4 name ISP-Input-Allow default-action drop
commit

Теперь зададим правила для каждой цепочки.

set firewall ipv4 name ISP-Input rule 1 state established
set firewall ipv4 name ISP-Input rule 1 action accept
set firewall ipv4 name ISP-Input rule 2 state related
set firewall ipv4 name ISP-Input rule 2 action accept
set firewall ipv4 name ISP-Input rule 3 state invalid
set firewall ipv4 name ISP-Input rule 3 action drop

set firewall ipv4 name ISP-Input-Allow rule 10 protocol icmp
set firewall ipv4 name ISP-Input-Allow rule 10 action accept
set firewall ipv4 name ISP-Input-Allow rule 20 protocol tcp
set firewall ipv4 name ISP-Input-Allow rule 20 destination port 22
set firewall ipv4 name ISP-Input-Allow rule 20 action accept

set firewall ipv4 name ISP-Forward rule 1 state established
set firewall ipv4 name ISP-Forward rule 1 action accept
set firewall ipv4 name ISP-Forward rule 2 state related
set firewall ipv4 name ISP-Forward rule 2 action accept
set firewall ipv4 name ISP-Forward rule 3 state invalid
set firewall ipv4 name ISP-Forward rule 3 action drop
set firewall ipv4 name ISP-Forward rule 4 connection-status nat destination
set firewall ipv4 name ISP-Forward rule 4 action accept
commit

Наконец, необходимо ссылаться на созданные цепочки.

set firewall ipv4 input filter rule 1 inbound-interface group ISP
set firewall ipv4 input filter rule 1 jump-target ISP-Input
set firewall ipv4 input filter rule 1 action jump

set firewall ipv4 forward filter rule 1 inbound-interface group ISP
set firewall ipv4 forward filter rule 1 jump-target ISP-Forward
set firewall ipv4 forward filter rule 1 action jump
commit

Мы рассмотрели основные шаги по настройке маршрутизатора на основе VyOS, начиная с настройки подключения к провайдеру и заканчивая настройкой firewall для обеспечения безопасности сети. Эти конфигурации помогут вам освоиться с VyOS и подготовить вашу сеть к работе.

Поделиться

Обсуждение