Vyatta

Содержание

1 Настройка имени
2 Настройка репозитория
3 Настройка времени
4 Управление учётными записеми
5 Настройка сети
6 DNS cервер
7 DHCP сервер
8 SNMP
9 OpenVPN
10 NAT
11 DNAT (Port Forwarding)
12 Настройка PPPoE клиента
13 Firewall
- 13.1 Обычный
- 13.2 Zone Based

Настройка имени

Имя хоста

set system host-name router

Домен хоста

set system domain-name mynet.local

Настройка репозитория

configure
set system package repository community components main
set system package repository community distribution stable
set system package repository community url http://mirror.yandex.ru/debian/
commit
save

Настройка времени

Настройка часового пояса

set system time-zone Europe/Moscow

Управление учётными записеми

Смена пароля

set system login user ubnt authentication plaintext-password mypassword

Настройка сети

Настройка интерфейса

set interfaces ethernet eth0 address 192.168.25.9/28
set interfaces ethernet eth0 description local

Настройка шлюза по умолчанию

set system gateway-address 192.168.25.1

Указание DNS серверов

set system name-server 8.8.8.8

DNS cервер

Включение кэширующего DNS сервера на инрфейсе eth0

set service dns forwarding listen-on eth0

Количество записей в кэшэ

set service dns forwarding cache-size 500

DHCP сервер

Настройка сервера

edit service dhcp-server shared-network-name local
edit subnet 192.168.1.0/24
set start 192.168.1.100 stop 192.168.1.200
set default-router 192.168.1.1
set dns-server 192.168.1.1
set domain-name mynet.local

Настройка привязки выдачи ip

set service dhcp‐server shared‐network‐name local subnet 192.168.1.0/24 static‐mapping myhost ip‐address 192.168.1.10
set service dhcp‐server shared‐network‐name local subnet 192.168.1.0/24 static‐mapping myhost mac‐address 00:15:c5:b4:22:77

SNMP

set service snmp contact admin@ipnp.su
set service snmp description "main router"

Настраиваем прова доступа

edit service snmp community MyComunityRO
set authorization ro
set client 192.168.0.201
set client 192.168.0.202
edit service snmp community MyComunityRW
set authorization rw
set client 192.168.0.200

SNMP trap

set service snmp trap-target 192.168.0.200

OpenVPN

Настройка клиента (авторизация по сертификатам)

edit interfaces openvpn vtun0
set mode client
set protocol udp
set encryption aes256 
set remote-host ovpn.ipnp.su
set remote-port 4000
set tls ca-cert-file /config/auth/ca.crt
set tls cert-file /config/auth/router.crt
set tls key-file /config/auth/router.key

NAT

Настрока NAT (eth1 - внешний интерфейс,xxx.yyy.zzz.www инет адрес, 192.168.0.0/24 локальная сеть для которой нвстраивается NAT )

configure
set service nat rule 5000 type source
set service nat rule 5000 source address 192.168.0.0/24
set service nat rule 5000 outside-address address xxx.yyy.zzz.www
set service nat rule 5000 outbound-interface eth1
commit
save

DNAT (Port Forwarding)

Настройка PPPoE клиента

Заходим в конфигурационный режим и выполняем следующие команды:

set intefaces ethernet eth0 pppoe 0 user-id pppoeuser — имя пользователя
set intefaces ethernet eth0 pppoe 0 password pppoepassword — пароль
set intefaces ethernet eth0 pppoe 0 default-route auto — принимаем маршрут по умолчанию через pppoe0 после установки сессии от концентратора
set intefaces ethernet eth0 pppoe 0 name-server auto — принимаем ДНС-сервера от концентратора

Firewall

Обычный

edit firewall name to-router
set rule 20 description "admin control"
set rule 20 action accept
set rule 20 protocol tcp
set rule 20 source address 192.168.1.2
set rule 20 destination port ssh
set rule 30 description "Accept ICMP Unreachable"
set rule 30 description "Accept ICMP"
set rule 30 action accept
set rule 30 protocol icmp
set rule 30 icmp type 3
set rule 32 description "Accept ICMP Echo Request"
set rule 32 action accept
set rule 32 protocol icmp
set rule 32 icmp type 8
set rule 34 description "Accept ICMP Time-Exceeded"
set rule 34 action accept
set rule 34 protocol icmp
set rule 34 icmp type 11

Применяем группу правил to-router к инрерфейсу eth1, правила будут только принимать только для трафика предназначеного для роутера.

set interfaces ethernet eth1 firewall local name to-router

Zone Based

Создаём зоны lan и wan eth0

set zone-policy zone lan description "local net"
set zone-policy zone wan description "inet"

привязваем зоны к интерфейсам

set zone-policy zone lan interface eth0
set zone-policy zone wan interface eth1

Cоздаём правила для зон

edit firewall name to-wan
set rule 10 action accept 
set rule 10 state established enable 
set rule 10 state related enable   
set rule 20 action accept 
set rule 20 destination port 80,443
set rule 20 protocol tcp

edit firewall name to-lan
set rule 10 action accept 
set rule 10 state established enable 
set rule 10 state related enable

Применяем правила файрвола к парам зон:

set zone-policy zone lan from wan firewall name to-lan
set zone-policy zone wan from lan firewall name to-wan