Scribd Logo
Upload

Welcome to Scribd!

  • Referat e J P

    Uploaded by

    Pwz
    24 views7 pages

    Original Title

    REFERAT-E-J-P (1)

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pdf or txt
    24 views7 pages

    Referat e J P

    Uploaded by

    Pwz

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pdf or txt
    of 7

    VPN-DHCP NAT-FIREWALL OSPF-QoS

    w oparciu o dystrybucj

    VYATTA
    Przygotowali: Ewelina Zamyka Jarosaw Olszewski Pawe Wjciak Micha Szalew Emil Gniecki Grzegorz Zieliski

    Uczelnia Warszawska im. M.K.Skodowskiej - VZIN2

    Str. 1 z 7

    Zaoenia : Firma posiada trzy oddziay a w nich sieci komputerowe oznaczone jako : Sie A , Sie B i Sie C . Oddzia A uzyskuje adresy IP od serwera DHCP, ma poczenie z internetem i poczenie VPN do pozostaych oddziaw przyczym do oddziau C ma poczenie VPN poprzez router Vyatta 2. Cao zamysu tej sieci przedstawia rysunek poniej. Poczenie pomidzy sieciami A i C realizowane jest przez kana GRE. Jest to kana, ktry pracuje wewntrz kanau OpenVPN. Jego dziaanie opiera si wycznie o adresy prywatne, ktrych routing zaczyna dziaa rwnolegle z kanaem VPN. Zatrzymanie tuneli vtunX zatrzymuje prac kanau GRE oznaczonego jako tunX. W sieci A znajduje si rwnie serwer WWW, SSH o adresie IP 10.10.10.100 oraz firewall, ktry dopuszcza ruch na portach 80, 8080 i 22.

    Cao uruchomimy w wirtualnym rodowisku za pomoc VirtualBox'a i siedmiu maszyn wirtualnych. Trzy z nich bd routerami Vyatta i trzy Windows XP, jedna maszyna jest serwerem linux. Interfejsy eth0 routerw ustawimy jako Bridge a interfejsy eth1 jako : LAN1 dla sieci A, LAN2 dla sieci B i LAN3 dla sieci C.

    Uczelnia Warszawska im. M.K.Skodowskiej - VZIN2

    Str. 2 z 7

    Przystpujemy do konfiguracji pierwszego routera Vyatta1. Jego interfejsy s nastpujce: eth0 bridge , IP- 192.168.0.10/24, eth1 (sie lokalna) LAN1 IP- 10.10.1.1/24 . Wydajemy nastpujce komendy w celu ustawienia interfejsw sieciowych oraz zdalnego dostpu do routera:
    vyatta@vyatta$configure vyatta@vyatta#setinterfaceetherneteth0address192.168.0.10/24 vyatta@vyatta#setinterfaceetherneteth1address10.10.1.1/24 vyatta@vyatta#setservicesssh vyatta@vyatta#commit

    Pozostae ustawienia wykonamy zdalnie za pomoc klienta SSH. Teraz ustawimy kana OpenVPN w trybie Site-to-Site. Zapewni to prywatne poczenie sieci A z sieci B. Wpisujemy nastpujce polecenia:
    vyatta@vyatta#setinterfaceopenvpnvtun0 vyatta@vyatta#setinterfaceopenvpnvtun0modesitetosite vyatta@vyatta#setinterfaceopenvpnvtun0localaddress192.168.100.1 vyatta@vyatta#setinterfaceopenvpnvtun0localport2000 vyatta@vyatta#setinterfaceopenvpnvtun0remoteport2000 vyatta@vyatta#setinterfaceopenvpnvtun0remoteaddres192.168.100.2 vyatta@vyatta#setinterfaceopenvpnvtun0remotehost192.168.0.20 vyatta@vyatta#runvpnopenvpngenerate/root/tunel0 vyatta@vyatta#setinterfaceopenvpnvtun0sharedsecret/root/tunel0 vyatta@vyatta#commit vyatta@vyatta#sudonano/root/tunel0(skopiujmyklucz) vyatta@vyatta#setprotocolstaticinterfaceroute10.10.2.0/24nexthopinterfacevtun0 vyatta@vyatta#commit

    Przystpujemy do konfiguracji drugiego routera Vyatta2. Teraz zajmiemy si ustawieniem routera Vyatta2 dla drugiej sieci - B. Ustawimy interfejsy oraz zdalny dostp.
    vyatta@vyatta$configure vyatta@vyatta#setinterfaceetherneteth0address192.168.0.20/24 vyatta@vyatta#setinterfaceetherneteth1address10.10.2.1/24 vyatta@vyatta#setservicesssh vyatta@vyatta#commit

    Teraz ustawimy kana OpenVPN w trybie Site-to-Site. Zapewni to prywatne poczenie sieci B z sieci A. Wpisujemy nastpujce polecenia:
    vyatta@vyatta#setinterfaceopenvpnvtun0 vyatta@vyatta#setinterfaceopenvpnvtun0modesitetosite vyatta@vyatta#setinterfaceopenvpnvtun0localaddress192.168.100.2 vyatta@vyatta#setinterfaceopenvpnvtun0localport2000 vyatta@vyatta#setinterfaceopenvpnvtun0remoteport2000 vyatta@vyatta#setinterfaceopenvpnvtun0remoteaddres192.168.100.1 vyatta@vyatta#setinterfaceopenvpnvtun0remotehost192.168.0.10 vyatta@vyatta#runvpnopenvpngenerate/root/tunel0 vyatta@vyatta#setinterfaceopenvpnvtun0sharedsecret/root/tunel0 vyatta@vyatta#commit vyatta@vyatta#sudonano/root/tunel0(wklejamyskopiowanyklucz) vyatta@vyatta#setprotocolstaticinterfaceroute10.10.1.0/24nexthopinterfacevtun0 vyatta@vyatta#commit

    Wane: Klucze na routerach, ktre cz si kanaem VPN musz by takie same. Zgodno tych kluczy oznacza pozwolenie na poczenie.

    Uczelnia Warszawska im. M.K.Skodowskiej - VZIN2

    Str. 3 z 7

    Konfiguracja drugiego kanau VPN vtun1 dla sieci B i C.


    vyatta@vyatta#setinterfaceopenvpnvtun1 vyatta@vyatta#setinterfaceopenvpnvtun1modesitetosite vyatta@vyatta#setinterfaceopenvpnvtun1localaddress192.168.100.3 vyatta@vyatta#setinterfaceopenvpnvtun1localport3000 vyatta@vyatta#setinterfaceopenvpnvtun1remoteport3000 vyatta@vyatta#setinterfaceopenvpnvtun1remoteaddres192.168.100.4 vyatta@vyatta#setinterfaceopenvpnvtun1remotehost192.168.0.30 vyatta@vyatta#runvpnopenvpngenerate/root/tunel1 vyatta@vyatta#setinterfaceopenvpnvtun1sharedsecret/root/tunel1 vyatta@vyatta#commit vyatta@vyatta#sudonano/root/tunel0(kopiujemyklucz) vyatta@vyatta#setprotocolstaticinterfaceroute10.10.3.0/24nexthopinterfacevtun1 vyatta@vyatta#commit

    Po tym etapie mamy skonfigurowane dwa routery Vyatta1 i Vyatta2. Mamy wic poczenie VPN pomidzy sieciami A i B oraz otwarty kana dla sieci C. Pora na konfiguracj trzeciego routera Vyatta3 dla sieci C. Przystpujemy do konfiguracji trzeciego routera Vyatta3. Teraz zajmiemy si ustawieniem routera Vyatta3 dla drugiej sieci - B. Ustawimy interfejsy oraz zdalny dostp.
    vyatta@vyatta$configure vyatta@vyatta#setinterfaceetherneteth0address192.168.0.30/24 vyatta@vyatta#setinterfaceetherneteth1address10.10.3.1/24 vyatta@vyatta#setservicesssh vyatta@vyatta#commit

    Teraz ustawimy kana OpenVPN w trybie Site-to-Site. Zapewni to prywatne poczenie sieci C z sieci B. Wpisujemy nastpujce polecenia:
    vyatta@vyatta#setinterfaceopenvpnvtun1 vyatta@vyatta#setinterfaceopenvpnvtun1modesitetosite vyatta@vyatta#setinterfaceopenvpnvtun1localaddress192.168.100.4 vyatta@vyatta#setinterfaceopenvpnvtun1localport3000 vyatta@vyatta#setinterfaceopenvpnvtun1remoteport3000 vyatta@vyatta#setinterfaceopenvpnvtun1remoteaddres192.168.100.3 vyatta@vyatta#setinterfaceopenvpnvtun1remotehost192.168.0.20 vyatta@vyatta#setinterfaceopenvpnvtun1sharedsecret/root/tunel1 vyatta@vyatta#runvpnopenvpngenerate/root/tunel1 vyatta@vyatta#commit vyatta@vyatta#sudonano/root/tunel1(wklejamyskopiowanyklucz) vyatta@vyatta#setprotocolstaticinterfaceroute10.10.2.0/24nexthopinterfacevtun1 vyatta@vyatta#commit

    Jeli wszystkie klucze bd identyczne to po drobnych zabiegach forwardingu na routerze Vyatta2 utworzymy przeskok z sieci A do sieci C poprzez kana VPN.

    Uczelnia Warszawska im. M.K.Skodowskiej - VZIN2

    Str. 4 z 7

    Przystpujemy do konfiguracji serwera DHCP (interfejs eth1) Vyatta1. Jego interfejsy s nastpujce: eth0 bridge , IP- 192.168.0.10/24, eth1 (sie lokalna) LAN1 IP- 10.10.1.1/24 . Wydajemy nastpujce komendy w celu ustawienia interfejsw sieciowych:
    vyatta@vyatta$configure vyatta@vyatta#setinterfaceetherneteth0address192.168.0.10/24 vyatta@vyatta#setinterfaceetherneteth1address10.10.1.1/24 vyatta@vyatta#setservicesssh vyatta@vyatta#commit

    Pozostae ustawienia wykonamy zdalnie za pomoc klienta SSH.


    vyatta@vyatta#setservicedhcpserver vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCP vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCPsubnet10.10.1.0/24start 10.10.1.2stop10.10.1.254 vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCPsubnet10.10.1.0/24 defaultrouter10.10.1.1 vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCPsubnet10.10.1.0/24 dnsserver10.10.1.1 vyatta@vyatta#setservicednsforwardinglistenoneth1 vyatta@vyatta#setservicednsforwardingcachesize1000 vyatta@vyatta#commit

    Przystpujemy do konfiguracji serwera DHCP (interfejs eth1) Vyatta2. Jego interfejsy s nastpujce: eth0 bridge , IP- 192.168.0.20/24, eth1 (sie lokalna) LAN2 IP- 10.10.2.1/24 . Wydajemy nastpujce komendy w celu ustawienia interfejsw sieciowych:
    vyatta@vyatta$configure vyatta@vyatta#setinterfaceetherneteth0address192.168.0.20/24 vyatta@vyatta#setinterfaceetherneteth1address10.10.2.1/24 vyatta@vyatta#setservicesssh vyatta@vyatta#commit

    Pozostae ustawienia wykonamy zdalnie za pomoc klienta SSH.


    vyatta@vyatta#setservicedhcpserver vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCP vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCPsubnet10.10.2.0/24start 10.10.2.2stop10.10.2.254 vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCPsubnet10.10.2.0/24 defaultrouter10.10.2.1 vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCPsubnet10.10.2.0/24 dnsserver10.10.2.1 vyatta@vyatta#setservicednsforwardinglistenoneth1 vyatta@vyatta#setservicednsforwardingcachesize1000 vyatta@vyatta#commit

    Uczelnia Warszawska im. M.K.Skodowskiej - VZIN2

    Str. 5 z 7

    Przystpujemy do konfiguracji serwera DHCP (interfejs eth1) Vyatta3. Jego interfejsy s nastpujce: eth0 bridge , IP- 192.168.0.30/24, eth1 (sie lokalna) LAN3 IP- 10.10.3.1/24 . Wydajemy nastpujce komendy w celu ustawienia interfejsw sieciowych:
    vyatta@vyatta$configure vyatta@vyatta#setinterfaceetherneteth0address192.168.0.30/24 vyatta@vyatta#setinterfaceetherneteth1address10.10.3.1/24 vyatta@vyatta#setservicesssh vyatta@vyatta#commit

    Pozostae ustawienia wykonamy zdalnie za pomoc klienta SSH.


    vyatta@vyatta#setservicedhcpserver vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCP vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCPsubnet10.10.3.0/24start 10.10.3.2stop10.10.3.254 vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCPsubnet10.10.3.0/24 defaultrouter10.10.3.1 vyatta@vyatta#setservicedhcpserversharednetworknameSERWERDHCPsubnet10.10.3.0/24 dnsserver10.10.3.1 vyatta@vyatta#setservicednsforwardinglistenoneth1 vyatta@vyatta#setservicednsforwardingcachesize1000 vyatta@vyatta#commit

    Konfiguracja kanau GRE tun0. Vyatta1.


    vyatta@vyatta#setinterfacetunneltun0 vyatta@vyatta#setinterfacetunneltun0encapsulationgre vyatta@vyatta#setinterfacetunneltun0localip192.168.100.1 vyatta@vyatta#setinterfacetunneltun0remoteip192.168.100.2 vyatta@vyatta#setinterfacetunneltun0address192.168.100.1/27 vyatta@vyatta#setprotocolstaticinterfaceroute10.10.3.0/24nexthopinterfacetun0 vyatta@vyatta#commit

    Konfiguracja kanau GRE tun0. Vyatta2.


    vyatta@vyatta#setinterfacetunneltun0 vyatta@vyatta#setinterfacetunneltun0encapsulationgre vyatta@vyatta#setinterfacetunneltun0localip192.168.100.2 vyatta@vyatta#setinterfacetunneltun0remoteip192.168.100.1 vyatta@vyatta#setinterfacetunneltun0address192.168.100.2/27 vyatta@vyatta#commit vyatta@vyatta#setinterfacetunneltun1 vyatta@vyatta#setinterfacetunneltun1encapsulationgre vyatta@vyatta#setinterfacetunneltun1localip192.168.100.3 vyatta@vyatta#setinterfacetunneltun1remoteip192.168.100.4 vyatta@vyatta#setinterfacetunneltun1address192.168.100.3/27 vyatta@vyatta#commit

    Konfiguracja kanau GRE tun0. Vyatta3.


    vyatta@vyatta#setinterfacetunneltun1 vyatta@vyatta#setinterfacetunneltun1encapsulationgre vyatta@vyatta#setinterfacetunneltun1localip192.168.100.4 vyatta@vyatta#setinterfacetunneltun1remoteip192.168.100.3 vyatta@vyatta#setinterfacetunneltun1address192.168.100.3/27 vyatta@vyatta#setprotocolstaticinterfaceroute10.10.1.0/24nexthopinterfacetun1 vyatta@vyatta#commit

    Uczelnia Warszawska im. M.K.Skodowskiej - VZIN2

    Str. 6 z 7

    Konfiguracja FIREWALL dla portu 22 (SSH). Vyatta1.


    vyatta@vyatta#setfirewallnameLOCAL vyatta@vyatta#setfirewallnameLOCALactionaccept vyatta@vyatta#setfirewallnameLOCALdescriptionSSH vyatta@vyatta#setfirewallnameLOCALrule10 vyatta@vyatta#setfirewallnameLOCALdestinationport22 vyatta@vyatta#setfirewallnameLOCALprotocoltcp Regua20akceptujepoaczeniajuustanowione. vyatta@vyatta#setfirewallnameLOCALrule20 vyatta@vyatta#setfirewallnameLOCALactionaccept vyatta@vyatta#setfirewallnameLOCALdescriptionEstablished vyatta@vyatta#setfirewallnameLOCALstateestablishedenable vyatta@vyatta#commit vyatta@vyatta#setinterfacesetherneteth0firewalllocalnameLOCAL(zbindowaniereguydoethX) vyatta@vyatta#commit Pozostaereguydotyczyportw80,8080.IchkonfiguracjajestanalogicznadoreguySSH.

    Konfiguracja protokou OSPF Vyatta1.


    vyatta@vyatta#setprotocolsospfarea0 vyatta@vyatta#setprotocolsospfarea0network10.10.1.0/24 vyatta@vyatta#setprotocolsospfarea0network192.168.100.1 vyatta@vyatta#commit

    Konfiguracja NAT Vyatta1. (dla serwera http)


    vyatta@vyatta#setprotocolsnatrule10 vyatta@vyatta#setprotocolsnatrule10typemasquarade vyatta@vyatta#setprotocolsnatrule10sourceaddress10.10.1.100/24 vyatta@vyatta#setprotocolsnatrule10outboundinterfaceeth0 vyatta@vyatta#commit

    Konfiguracja QoS Vyatta1. (dla serwera http)


    vyatta@vyatta#setqospolicytrafficshaperSPEED vyatta@vyatta#setqospolicytrafficshaperSPEEDbandwidth100mbit vyatta@vyatta#setqospolicytrafficshaperSPEEDclass5 vyatta@vyatta#setqospolicytrafficshaperSPEEDclass5bandwidth20% vyatta@vyatta#setqospolicytrafficshaperSPEEDclass5matchSerwerWWWipsourceaddres 10.10.1.100/32 vyatta@vyatta#setqospolicytrafficshaperSPEEDdefaultbandwidth80% vyatta@vyatta#commit PrzypisaniepolitykiQoSdointerfejsu: vyatta@vyatta#setinterfacesetherneteth0qospolicyoutSPEED Powyszapolitykautrzymuje,iserwerWWWwykorzystuje20%dostpnejprzepustowoci.Jelizniej niekorzystaoddajejpozostaemuruchowisieciowemu.

    Uczelnia Warszawska im. M.K.Skodowskiej - VZIN2

    Str. 7 z 7

    You might also like