Попросили меня тут помочь с настройкой роутера в офисе.
Уже на месте обнаружил что в качестве маршрутизатора стоит Cisco 871
Маршрутизатор Cisco 871-K9
Веб интерфейса нету, точнее есть но считай что нету. Это надо IE5 искать или мозилу еще 10й версии, сейчас уже что то за 120 версию.
И судя по интернету тут основной режим настройки консоль, через консольный кабель и COM порт.
Суть задачи: небольшой офис на 10 пользователей, веб сервер, сетевое хранилище типа NAS. Дать пользователям интернет а сервер сделать доступным как внутри организации так и снаружи.
IP адрес "белый" но дается по dhcp с привязкой по порту. В общем всегда один и тот же.
Покурив пару дней интернет что-то там настроил и оно даже заработало
Router(config)#no ip domain lookup - отключим поиск при вводе неправильной команды
Router(config)#line console 0
Router(config-line)#logging synchronous - запретим прерывать строку ввода диагностическими сообщениями
Router(config-line)#exec-timeout 0 0 - отключим тайм-аут сессии и не забудем включить после настройки.
Router(config)#aaa new-model - каккойто новый тип аунтификации
Настроим получение IP адреса от провайдера
Router(config)#interface fastEthernet 4
Router(config-if)#ip address dhcp (при статическом адресе прописываем IP и маску)
Router(config-if)#no shutdown - включаем интерфейс (по умолчанию он выключен)
Настраивам внутренний интерфейс.
Присваеваем ip адрес роутера в своей сети
Router(config)#interface vlan 1 (у 871 настроить порты 0-3 можно только через vlan)
Router(config-if)#ip address 192.168.1.1 255.255.255.0 - присвоим ip адрес внутреннему интерфейсу
Router(config-if)#no shutdown - включаем интерфейс (на всякий случай)
Настроим DHCP сервер
Router(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10 - исключаем адреса из выдачи dhcp сервером.
Router(config)#ip dhcp pool Office-LAN - задаем имя пулу
Router(dhcp-config)#network 192.168.1.0 255.255.255.0 - указываем в какой сети он выдает ip адреса
Router(dhcp-config)#default-router 192.168.1.1 - указываем в качестве шлюза ip самого роутера
Router(dhcp-config)#dns-server 8.8.8.8 - задаем DNS сервер, для примера гугловский но можно и тот что указал вам провайдер.
Настроим NAT
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 - создаем лист доступа и сразу присаиваем ему имя "1" и указываем для какой сети с "шаблонной маской"
Router(config)#ip nat inside source list 1 interface FastEthernet 4 overload - откуда берем "list 1" куда отрпавим "FastEthernet 4" указываем интерфейс а не IP
Укажем какой интерфейс входящий а какой исходящий
Router(config)#interface vlan 1
Router(config-if)#ip nat inside - Vlan 1 смотрит во внутренную сеть (in - input, вход)
Router(config-if)#exit
Router(config)#interface FastEthernet 4
Router(config-if)#ip nat outside - FastEthernet 4 смотрит во внешную сеть (out - output, выход)
Router(config-if)#exit
Делаем прооброс порта для ВЕБ сервера для доступа к нему из вне
Router(config)#ip nat inside source static tcp 192.168.1.2 80 interface FastEthernet4 80
Теперь о безопасности самого роутера.
Web интерфейс работает только под IE 5.5 и то криво, плюсом порт 80 занят сервером – не включаем.
Telnet – передача логинов/паролей в открытом виде – не включаем.
Настроим SSH.
Для этого обязательно нужно указать хостнейм, доменное имя и сгенерировать ключ шифрования.
Router(config)#hostname Router_R1 –указываем имя для нашего роутера.
Router_R1(config)#ip domain name Router_R1.local – указываем доменное имя
Router_R1(config)#crypto key generate rsa – запустим генерацию ключа на запрос о длине ключа впишем 1024 (по умолчанию 512)
Router_R1(config)#ip ssh version 2 –включаем 2 версию ssh
Router_R1(config)#line vty 0 4 –линия управления (не понял если честно)
Router_R1(config-line)#transport input ssh – тут включаем сам ssh
Паставим пароль на SSH и на привилегированный вход для консольного ввода
Router_R1(config)#username admin privilege 15 secret 123456 - ssh логин/пароль
Router_R1(config)#enable secret 12345 - пароль на привилегированный режим
Router_R1(config)#service password-encryption - пароли будут зашифрованы даже в конфиге
Router_R1(config)#exit
Пытаемся ограничить доступ к SSH по IP
Создаем лист доступа
Router_R1(config)#ip access-list standard SSH - создаем лист с именем ssh для понимания что за список
Router_R1(config-std-nacl)#permit host 192.168.1.10 - указываем ip компа админа в сети
Router_R1(config-std-nacl)#permit host 10.10.10.10 - здесь укажем внешний ip домашнего компа админа
Router_R1(config)#line vty 0 4 – линия управления
Router_R1(config-line)#access-class SSH in - привязываем лист доступа (проверил на локальных машинах - работает)
Router(config)#line console 0
Router(config-line)#exec-timeout 0 5 - включим тайм-аут сессии отключеной в начале
Вроде худо-бедно настроили, и это както даже работает.
Так как меня еще попросили временно быть приходящим эникеем то не помешалобы иметь удаленный доступ к сети. Да и в процессе работы потребовалось подключить одного удаленного сотрудника к NAS серверу.
Можно на сервере 192.168.1.2 включить RDP, создать учетку пользователю и прокинуть порт. Но как то раз повесив сканер на порт 3389 на внешнем IP я был удивлен, его долбили с интервалом в 3-5 минут с разных IP, а для хохмы поробросив туда RDP с виртуалки долбить стали чаще и причем появились повторы с одинаковым ip, стали бутфорсить увидев что порт активен.
Не наш вариант, поэтому погрузился в изучение VPN технологии.
Сохраним конфиг через tftp что бы небыло больно в последствии
Router_R1#copy run tftp: - при запросе укажем tftp сервер.
Востанавливаем
Router_R1#erase startup
Router_R1#copy tftp: startup-config
Router_R1#reload - на предложение записать отказываемся
убил день на поиск адкватного конфига VPN
Router_R1(config)#aaa authentication ppp default local-case - включаем аутентификацию по внутренней базе пользователей
Router_R1(config)#vpdn enable - Включаем VDPN
Router_R1(config)#vpdn-group VPDN-PPTP - название группы
Router_R1(config-vpdn)#accept-dialin - разрешает маршрутизатору принимать подключение
Router_R1(config-vpdn-acc-in)#protocol pptp - используемый протокол
Router_R1(config-vpdn-acc-in)#Virtual-template 1 - интерфейс, используемый для доступа
Router_R1(config-vpdn)#pptp tunnel echo 10
Router_R1(config-vpdn)#ip pmtu
Router_R1(config-vpdn)#ip mtu adjust
Router_R1(config)#async-bootp dns-server 192.168.1.1 - типа внутренний dns сервер
Router_R1(config)#interface Virtual-template 1 - интерфейс используемый для клонирования
Router_R1(config-if)#ip unnumbered vlan1 - использование адреса, настроенного для VLAN 1
Router_R1(config-if)#ip nat inside
Router_R1(config-if)#ip virtual-reassembly - отвечает за сбор фрагментов пакетов
Router_R1(config-if)#autodetect encapsulation ppp - автодетект инкапсуляции ppp
Router_R1(config-if)#peer default ip address dhcp-pool Office-LAN - используем наш dhcp пулл
Router_R1(config-if)#ppp encrypt mppe auto - Использование MPPE шифрования с автоматически указанной силой шифрования
Router_R1(config-if)#ppp authentication ms-chap ms-chap-v2 - настройка разрешенных способов методов аутентификации
Router_R1(config)#username VPN_user privilege 0 password 0 VPN_password - создание локального пароля и логина для подключения с нулевыми правами для ssh
Статья больше для себя что-бы вспомнить что куда.
теги #Cisco #cisco871 #настройка #vpn