Файл: Проектирование системы защищённого доступа к локальной сети через интернет на примере МУП "РСП".pdf

Добавляем IP на интерфейс

Рисунок . Добавление IP адреса на интерфейс

Добавляем default route

Рисунок . Добавление default route

Добавляем DNS:

Рисунок . Добавление DNS

Далее нужно объединить порты роутера 2-5 в бридж (например для того чтобы сетевой накопитель видел сервера напрямую внутри маршрутизатора и обратно). В них будем подключать два сервера, сетевой накопитель и аппаратный конфигуратор одного из серверов – HP ILO 4. Адреса устройствам выдаем согласно таблице:

Таблица

Локальные ресурсы с Ip Адресами

Рисунок . Объединение физических портов устройства

Далее вешаем на внутренние интерфейсы адреса 192.168.0.1/24 и 192.168.1.1/24 и объединяем их в бридж.

Рисунок . Локальные адресные пространства

В сети 192.168.0.1/24 будут располагаться сервера, а в адресном пространстве 192.168.1.1/24 сетевой накопитель.

Теперь перейдем к настройке самого PPTP сервера. Для этого сначала необходимо создать профиль в которым будут указаны атрибуты будущего сервера (например вид шифрования тоннеля). Создадим профиль PPP muprsp-ppp-profile. Тип шифрования в нем будет MPPE128 stateless.

Рисунок . Профиль с настройками сервера по РРТР

Далее нужно завести рабочие учетные записи с выше созданным профилем для маршрутизаторов в офисах. Здесь буду указаны логины и пароли, а также прописан маршрут до удаленной сети маршрутизатора офиса, чтобы конечные хосты видели серверное адресное пространство. На роутерах в офисах необходимо будет прописать два маршрута до сетей 192.168.0.1/24 и 192.168.1.1/24, соответственно. Пример настройки роутеров в офисах будет описан отдельно ниже. Приведем пример настройки профиля одного из офисов (Пример: офис – L47 все остальные аналогично).

Рисунок . Профиль с настройками для клиента L47 по PPTP

На Рисунке 18 видно, что у офиса L47 внутренней сетью выступает адресное пространство 192.168.55.0/24, а удаленный адрес подключения до микротика 192.168.88.101 в тоннеле. Адрес 192.168.88.101 является широковещательным для всех хостов внутри сети 192.168.55.0/24

Далее настраиваем остальные учетные записи аналогично. Офиса 4 – им соотвествуют учетные записи A15, I2, L47, BUH_rsp, учетная запись inzh1 – служебная ( для подключения к маршрутизатору из вне).

Как было написано выше у каждого офиса своя подсеть класса С и профилях необходимо не забывать указывать маршрут через адрес удаленного подключения, до внутренней сети офиса согласно таблице маршрутизации:

Таблица

Маршрутизация

Рисунок . Список подключенных офисов (пользователей)

Первоначальная настройка и настройка VPN сервера на роутере в дата центре закончены, далее нужно будет настроить маршрутизаторы в офисах.

2.3.2 Настройка маршрутизатора в офисе L47

В Офисе L47 используется маршрутизатор keenetic giga 3 версия прошивки 2.15.C.3.0-2. Имеет 4 ethernet-lan порта и один wan-порт для подключения интернет. Для подключения большего числа хостов используется неуправляемый коммутатор tp-link TL-SG1016D и патч-панель BRAND - REX 110 Style 24xRJ45

Заходим на веб - интерфейс устройства и сразу меняем домашнюю сеть на адрес 192.168.55.1, согласно таблице маршрутизации.

Рисунок . Домашняя сеть роутера L47

Выход в интернет предоставляется по статистическому ип адпесу и производится вручную. Необходимо ввести следующие параметры :ип адрес, маска подсети, шлюз и dns.

Рисунок . Настройка подключения к Интернет

После успешного подключения к интернету нужно пробросить vpn тоннель до дата центра с микротиком, в настройках указываем ip adreass дата центра, а также логин\пароль заранее подготовленной соответствующей учетной записи на микротике. Не забываем про галочку шифрование.

Рисунок . Настройка подключения до Дата-центра

После успешного подключения нужно будет прописать маршруты до внутренних локальных сетей дата центра, в нашем случае их два - до 192.168.0.0 и 192.168.1.0 (сервера и файловое хранилище соответственно). Поле адрес шлюза выставляем согласно таблице маршрутизации. Интерфейс подключения указываем наше vpn подключение до датацентра.

Рисунок . Параметры статистического маршрута до сети 192.168.1.0

Рисунок . Параметры статистического маршрута до сети 192.168.0.0

Теперь офис L_47 обладает полным доступом к локальным ресурсам организации через интернет, а именно:

доступ в к серверу hpgen9 с 1с по rdp сессии локально

доступ к серверу hpml360 программа домовладелец

доступ к файловому хранилищу компании nas 102

2.3.3 Настройка маршрутизатора в офисе I2

В Офисе I2 используется маршрутизатор keenetic giga 3 версия прошивки
v2.07(AAUW.5)C3. Имеет 4 ethernet-lan порта и один wan-порт для подключения интернет. Для подключения большего числа хостов используется неуправляемый коммутатор tp-link TL-SG1016D и патч-панель BRAND - REX 110 Style 24xRJ45

Заходим на веб - интерфейс устройства и сразу меняем домашнюю сеть на адрес 192.168.56.1, согласно таблице маршрутизации.

Рисунок . Домашняя сеть роутера

Выход в интернет осуществляется с помощью технологи IPoE. Никакие настройки не требуются. Достаточно подключить роутер к интернету и открыть браузер с любого устройства. После успешного ввода пары логин/пароль в браузере устройства – интернет появится автоматически.

Рисунок . Настройка подключения к Интернет

После успешного подключения к интернету нужно пробросить vpn тоннель до дата центра с микротиком, в настройках указываем ip adreass дата центра, а также логин\пароль заранее подготовленной соответствующей учетной записи на микротике. Не забываем про галочку шифрование.

Рисунок . Настройка подключения до Дата-центра

После успешного подключения нужно будет прописать маршруты до внутренних локальных сетей дата центра, в нашем случае их два - до 192.168.0.0 и 192.168.1.0 (сервера и файловое хранилище соответственно). Поле адрес шлюза выставляем согласно таблице маршрутизации. Интерфейс подключения указываем наше vpn подключение до датацентра.

Рисунок . Параметры статистического маршрута до сети 192.168.0.0

Рисунок . Параметры статистического маршрута до сети 192.168.1.0

Теперь офис I2 обладает полным доступом к локальным ресурсам организации через интернет, а именно:

• доступ в к серверу hp gen9 с 1с по rdp сесси локально;
• доступ к серверу hp ml 360 программа домовладелец;
• доступ к файловому хранилищу компании nas 102.

2.3.4 Настройка маршрутизатора в офисе A15

В Офисе A15 используется маршрутизатор keenetic extra 2 версия прошивки v2.07(ABGH.4)C2. Имеет 4 ethernet-lan порта и один wan-порт для подключения интернет. Для подключения большего числа хостов используется неуправляемый коммутатор tp-link TL-SG1016D и патч-панель BRAND - REX 110 Style 24xRJ45

Заходим на веб - интерфейс устройства и сразу меняем домашнюю сеть на адрес 192.168.14.1, согласно таблице маршрутизации.

Рисунок . Домашняя сеть роутера

Выход в интернет предоставляется по статистическому ип адпесу и производится вручную. Необходимо ввести следующие параметры :ип адрес, маска подсети, шлюз и dns, а также MAC-adress.

Рисунок . Настройка подключения к Интернет

После успешного подключения к интернету нужно пробросить vpn тоннель до дата центра с микротиком, в настройках указываем ip adreass дата центра, а также логин\пароль заранее подготовленной соответствующей учетной записи на микротике. Не забываем про галочку шифрование.

Рисунок . Настройка подключения до Дата-центра

После успешного подключения нужно будет прописать маршруты до внутренних локальных сетей дата центра, в нашем случае их два - до 192.168.0.0 и 192.168.1.0 (сервера и файловое хранилище соответственно). Поле адрес шлюза выставляем согласно таблице маршрутизации. Интерфейс подключения указываем наше vpn подключение до датацентра.

Рисунок . Параметры статистического маршрута до сети 192.168.0.0

Рисунок . Параметры статистического маршрута до сети 192.168.1.0

Теперь офис A15 обладает полным доступом к локальным ресурсам организации через интернет, а именно:

• доступ в к серверу hp gen9 с 1с по rdp сесси локально;
• доступ к серверу hp ml 360 программа домовладелец;
• доступ к файловому хранилищу компании nas 102.

2.3.5 Натройка маршрутизатора в офисе BUH_RSPВ

Офисе BUH_RSP используется маршрутизатор keenetic omni 2 версия прошивки 2.15.C.3.0-2. Имеет 4 ethernet-lan порта и один wan-порт для подключения интернет. Для подключения большего числа хостов используется неуправляемый коммутатор tp-link TL-SG1016D и патч-панель BRAND - REX 110 Style 24xRJ45.

Заходим на веб - интерфейс устройства и сразу меняем домашнюю сеть на адрес 192.168.50.1, согласно таблице маршрутизации.

Рисунок . Домашняя сеть роутера

Выход в интернет предоставляется по статистическому ип адпесу и производится вручную. Необходимо ввести следующие параметры :ип адрес, маска подсети, шлюз и dns

Рисунок . Настройка подключения к Интернет

После успешного подключения к интернету нужно пробросить vpn тоннель до дата центра с микротиком, в настройках указываем ip adreass дата центра, а также логин\пароль заранее подготовленной соответствующей учетной записи на микротике. Не забываем про галочку шифрование.

Рисунок . Настройка подключения до Дата-центра

После успешного подключения нужно будет прописать маршруты до внутренних локальных сетей дата центра, в нашем случае их два - до 192.168.0.0 и 192.168.1.0 (сервера и файловое хранилище соответственно). Поле адрес шлюза выставляем согласно таблице маршрутизации. Интерфейс подключения указываем наше vpn подключение до датацентра.

Рисунок . Параметры статистического маршрута до сети 192.168.1.0

Рисунок . Параметры статистического маршрута до сети 192.168.0.0

Теперь офис BUH_RSP обладает полным доступом к локальным ресурсам организации через интернет, а именно:

• доступ в к серверу hpgen9 с 1с по rdp сессии локально;
• доступ к серверу hpml360 программа домовладелец;
• доступ к файловому хранилищу компании nas 102.

2.3.6 Подключение отдельного удаленного пользователя

Подключение удаленного пользователя.

Ранее мы рассматривали подключение офисов к локальным ресурсам в датацентре. Теперь рассмотрим подключение единичного удаленного пользователя через интернет.

Создадим учетную запись на микротике аналогично учетным данным офисов.