Меню

Dfl 260e dns настройка



Dfl 260e dns настройка

Этот пример описывает настройки DNS Relay для межсетевых экранов. Все межсетевые экраны DFL (DFL-210/800/1600/2500) поддерживают эту функцию, начиная с прошивок v2.04 и более поздних.

Примечание: Что касается этой функции, она обеспечивает только передачу/пересылку DNS пакетов, т.к. D-Link DFL межсетевые экраны не имеют встроенного DNS-сервера в ядро операционной системы. Таким образом, они не могут заменить реальный DNS сервер для обеспечения конвертации доменных имен и относительной функциональности.

  • LAN IP на межсетевом экране: 192.168.1.1 (с функцией DNS relay)
  • Lannet на межсетевом экране: 192.168.1.0/24
  • DNS Сервер в Интернет: 12.0.0.1

1. Настройка адресов
Зайдите Objects -> Address book -> InterfaceAddresses

Создайте IP Address с именем dns_server с адресом 12.0.0.1

Нажмите Ok.

2. Создайте IP правила для перенаправления DNS пакетов в Интернет

Создайте новое правило IP Rule с действием SAT.

Во вкладке General:

Name: SAT_DNS_Relay
Action: SAT
Service: dns_all

Address Filter:

Source Interface: lan
Source Network: lannet
Destination Interface: core
Destination Network: lan_ip

Во вкладке SAT:

General:

Translate the: Destination IP Address
New IP Address: dns_server

Нажмите Ok.

Создайте аналогичное правило IP Rule с действием NAT. Если среда не NAT, создайте вместо этого правило ALLOW.

Во вкладке General:

Name: Allow_DNS_Relay
Action: NAT
Service: dns_all

Address Filter:

Source Interface: lan
Source Network: lannet
Destination Interface: core
Destination Network: lan_ip

Нажмите Ok.

Убедитесь, что два этих правила находятся перед другими правилами (т.е. allow_standard правилами).

И также, установите все персональные компьютеры PC, чтобы иметь firewall lan_ip (192.168.1.1) в качестве DNS сервера.

Сохраните и активизируйте конфигурацию межсетевого экрана.

Источник

Dfl 260e dns настройка

На межсетевых экранах серии DFL-260E/860E/870/1660/2560 DNS релей настраивается при помощи IP политик. Для этого необходимо создать такую политику, которая перехватит DNS трафик наплавляемый на само устройство и отправит его на указанный DNS сервер.

Настройка DNS-Relay выполняется в 2 шага. Шаг 1, создание объекта IP с адресом DNS сервера. Шаг 2, создание самой политике релей.

Шаг 1. Создание объекта IP с IP адресом DNS сервера.

Создание объекта с IP адресом через веб интерфейс:

Зайдите на веб интерфейс, Objects → address book, нажмите кнопку add, из выпадающего меню выберите IP Addresses (рис 1.)

В поле Name укажите имя объекта (в примере my_dns), а в поле Addresses укажите IP адрес хоста (в примере 8.8.8.8), куда необходимо перенаправить DNS запрос, затем нажмите кнопку ОК. Пример выполнения этих действий вы можете увидеть на рисунке 2.

Читайте также:  Фиксированные настройки тюнера что это


Рисунок 2.

Создание объекта с IP адресом через CLI:

Для создания объекта с IP адресом DNS сервера через CLI выполните следующую команду:

add Address IP4Address my_dns Address=8.8.8.8

Шаг 2. Создания IP политики для перенаправления DNS запросов.

Создание IP Политики через веб интерфейс:

Пройдите в веб интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку add, из выпадающего меню выберите IP Policy. (Рис. 3)

В поле Name укажите название политики (в примере dns_relay). Раздел Filter заполните следующим образом:
Service: dns-all
Интерфейс и сеть источника: lan1 и lan1_net
Интерфейс и сеть назначения: core и lan1_ip

В разделе Source Translation из выпадающего меню Address Translation выберите NAT.

В разделе Destination Translation выполните следующие настройки:
Address translation: укажите SAT
Address action: Укажите Single IP
New IP address: Выберите объект с DNS сервером на который отправлять запросы (в примере my_dns)

Нажмите кнопку ОК.

Пример заполненной формы вы можете увидеть на рисунке 4.

Создание IP политики через CLI

Для создание IP политики с выше описанными свойствами выполните команду:

add IPPolicy Name=dns_relay Service=dns-all SourceInterface=lan1 DestinationInterface=core SourceNetwork=InterfaceAddresses/lan1_net DestinationNetwork=InterfaceAddresses/lan1_ip SourceAddressTranslation=NAT DestAddressTranslation=SAT DestAddressAction=SingleIP DestNewIP=my_dns

Для того, чтобы выполненные настройки вступили в силу, необходимо выполнить их активацию. Для этого в веб интерфейсе выберите Configuration → Save and Activate

Источник

Токарчук Андрей

Мне 30 лет. Профессионально занимаюсь PHP-программированием. В работе использую 1C-Битрикс, Symfony, Doctrine и многое другое. А вообще мне нравится всё новое и интересное 🙂

Делаем IPSEC туннель между Dlink DFL-260E и Mikrotik 450G

Всем привет! В этом посте я расскажу, как организовать безопасный ipsec-туннель между D-link DFL-260E (актуально для линейки устройств DFL: 210\260E\800\860E) и Mikrotik 450G. Будет много картинок и рабочий пример конфига. Так что, если у вас есть интерес к сабжу — велкам под кат.

Схема сети

Пусть у нас имеется две локальных сети, которые нужно объединить через IPsec туннель.
Сеть A (DFL — 192.168.0.1/24) и сеть B (Mikrotik — 192.168.1.1/24). Выглядит это все примерно так:


Также обращаю внимание, что у вас должно быть два публичных статических белых адреса для обоих маршрутизаторов. В принципе, если у вас в этой схеме будет два Mikrotik, то это не обязательно, т.к. в свежих версиях они поддерживают такую фишку, как IP Cloud, где в роли IPsec-endpoint может выступать не ip адрес, а символическое имя. Но у меня был DFL, поэтому статика.

Читайте также:  Настройка сонара на эхолоте

Подготовка

Во время активного изучения сабжа на этих железках я узнал про несколько грабель. Первые из них состоят в том, что по-умолчанию DFL-260e (прошивка RU) не подерживает необходимые для IPSec алгоритмы шифрования (3Des, AES), а работает только с теми(NULL, DES), которые подвластны нашим чекистам. Полноценное шифрование доступно в общемировой (WW) прошивке. Так что первым делом обновляем прошивку стандартными средствами. На российском FTP D-Link вы их не найдете. Я нашел свежую прошивку на этом сайте. Качал версию 6310-DFL-260E_Ax_FW_v2.60.02.02-upgrade.img

После обновления роутер перезагрузится и вы увидите новый интерфейс. Настройки должны сохраниться Не скажу, что он стал симпатичнее, но менее топорный это точно.

Настраиваем на нём доступ в интернет, работу LAN, DHCP, т.е. всё, как обычно. Единственный момент, у меня были какие-то грабли при предыдущей настройке, поэтому у меня вся сеть сидит не в LAN сегменте, а в DMZ. Знаю, что неправильно, граблей уже и не помню, поэтому держите в уме, что в сети А, DMZ — это по сути LAN.

Теперь займемся подготовкой Mikrotik. Там уже не просто прошивка, а вполне себе система пакетного менеджмента, поэтому обновляем пакеты в System -> Packages.

ПО обновили, доступ к интернету настроили с обоих концов, проверили пинги по публичным адресам из обеих подсетей. Тогда всё ок, можно начинать.

Настраиваем туннель со стороны DFL-260E

Первым делом создаём в адресной книги объекты удалённой сети (Network) и точки туннеля (Endpoint).

К чести D-link, он умеет работать с endpoint с динамическим IP адресом. Для этого надо перед IP прописать в виде dns:hostname.com

Дальше создаём в Objects -> Address book -> Keyring) PSK-key, по сути пароль от туннеля.

После этого определем алгоритмы шифрования IKE (Objects -> VPN objects -> IKE Algrithms)…

и алгоритмы шифрования IPSec (Objects -> VPN objects -> IPSec Algrithms).

Теперь у нас есть все данные, чтобы создавать сам туннель (Network -> VPN and tunnels -> IPSec).

После сохранения и применения настроек (Configuration -> Apply configuration) у вас среди маршрутов должны появиться автоматические маршруты созданные для туннеля.

Читайте также:  Cms настройка датчика движения

Осталось добавить правила, чтобы трафик мог ходить по туннелю (Network -> Policies -> Firewalling). Я разрешил пинг везде, а для тоннелей создал отдельную папку с правилами.

Ок, применяем настройки и идём настраивать другой конец.

Настраиваем Mikrotik

Подклбчаемся по WinBox / WebFig к роутеру и идём в IP -> IPSec -> Policies. Добавляем туда новую политику для ipsec.

Теперь идём в IP->IPSec->Peers и добавляем DFL-ку.

Дальше добавляем сведения об используемых алгоритмах шифрования.

Теперь идём в Interfaces и добавляем IPIP-туннель.

Настройки применяются мгновенно, так что по идее после этого мы должны увидеть сертификаты поднятого туннеля со стороны Mikrotik…

И со стороны DFL (Status->Subsystems->IPSec)…

Дальше настраиваем Firewall. Столбец «In Interface» = ether1-gateway (интерфейс, торчащий в интернет).

Не забываем про NAT для новой сети (порядок правил важен, надо выше masquerade).

Это кусок дефолтовой конфигурации, я его не трогал.

Маршруты выставились так:

Теперь, чтобы трафик шел от Mikrotik в сторону DFL нужно добавить соответствующий маршрут. В графе Dst Address пишем сеть назначения (сеть DFL), в поле gateway указываем интерфейс туннеля, а в поле Pref.Source указываем адрес Mikrotik с этой стороны туннеля.

Если будете настраивать динамический конец туннеля (IPCloud), то оно в секции IP.

Если вы внесли изменения в тоннель и он упал

Немного о возможных ошибках в логах DFL:
1. statusmsg=«No proposal chosen» — не правильно выбраны методы шифрования
2. reason=«Invalid proposal» — то же, что и п.1
3. reason=«IKE_INVALID_COOKIE» — туннель уже был поднят, но после этого были внесены изменения в его настройки. Заходим на DFL «Status->IPsec->Habratest_cloud_IPsec->справа вверху страницы List all active IKE SAs» и удаляем устаревший IKE SA. Перезагружаем DFL

Заключение

Что мне понравилось в Microtik, так это продуманность. Да, есть грабли, но в общем чувствуется, что железка создана что называется админом для админа. Одно то, что в Firewall показывается в real-time режиме количество пакетов по каждому правилу чего стоит. Конечно лучше использовать железки одного вендора, но, как показала практика связать DFL и Mikrotik вполне реально. За рамками статьи остались вопросы бенчмаркинга туннелей, и переача трафика последовательно через несколько туннелей, но думаю в будущем я посвещу отдельную статью этим вопросам.

Дальше приведу пример конфига Microtik, а ссылки, вы, как всегда найдёте в конце статьи. Удачи, траварищи!

Источник

Adblock
detector