Заметки

хостнейм, айпишники
gre tunnel hq r - br r
frr (можно клонировать машину)
dhcp server hq r на три машины hq
учетные записи (branchadmin без пробела)
ssh
iperf замер пропускной способности (между hq r и isp)
backup skripts
контроллер домена


1
sudo su
nano /etc/hostname
nano /etc/hosts
выключаем NAT везде кроме ISP

2
nano /etc/network/interfaces
auto eth?
iface eth? inet static/dhcp на всех HQ кроме HQ-R
address ?
netmask ?
systemctl restart networking

раскометировать ip4 forvard - nano /etc/sysctl.conf
3включаем раздачу на ISP
SYSTEMCTL RESTART NETWORKING ДА СУКА
CLI -
ПКМ - ИЗМЕНИТЬ СОЕДИНЕНИЯ

НА ИСПЕ
iptables -t nat -A POSTROUTING -o eth0(который на нат) -s 1.1.1.0/30(подсети все) -j MASQUERADE
HQ r BR R чтобы в локалки шел инет
iptables -t nat -A POSTROUTING -o ethN(N-порт внешней сети) -s n (n-iP-address) -j MASQUERADE

4
----
когда понадобится инет нужен инет

apt install resolvconf - вставить диск установить
systemctl disable --now systemd-resolved
systemctl enable --now resolvconf
systemctl start resolvconf
nano /etc/resolvconf/resolv.conf.d/head --> nameserver 192.168.137.1(ip add dns сервера, этот на демке)
resolvconf -u
-----
создать файл gre.sh
nano gre.sh
в файле прописать следующее
#!/bin/sh
ip tunnel add tun1 mode gre remote 1.1.1.10 local 2.2.2.10 ttl 255
ip link set dev tun1 up
ip address add 10.0.1.2/30 dev tun1
ip address add 2001:10::2/126 dev tun1
сохранить и выйти
sh gre.sh

ВКЛЮЧАЕМ NAT НА ВИРТУАЛКАХ
sh gre.sh

5 frr
apt-cdrom add
apt update
apt install curl -y
mkdir /usr/share/keyrings – создать каталог для ключей
Установить ключи - curl –s https://deb.frrouting.org/frr/keys.gpg | sudo tee /usr/share/keyrings/frrouting.gpg > /dev/null
Зайти в файл - nano /etc/apt/sources.list – в нем написать следующее
deb [signed-by=/usr/share/keyrings/frrouting.gpg] https://deb.frrouting.org/frr stretch frr-stable
команда curl –s https://deb.frrouting.org/frr/keys.gpg | sudo tee /usr/share/keyrings/frrouting.gpg > /dev/null
Обновляемся и устанавливаем frr
dhclient
apt update && apt install frr
---
## Настройка frr
nano /etc/frr/daemons
ospfd = no – исправить на yes
ospf6d = no – исправить на yes
systemctl restart frr
Vtysh
configure
ip forwarding
int eth0 (интерфейс, который смотрит к конечному пользователю)
Ip ospf passive
Router ospf
Network 10.0.0.0/30 (подсеть gre туннеля и все подсети которые знает роутер кроме сетей которые смотрят на isp) area 0
Повторить для всех подсетей которые знает роутер
для ipv6
int eth(n)
ipv6 ospf6 area 0
ip forwarding
end
write
Повторить на всех роутерах
systemctl enable --now frr
Для того чтобы проверить необходимо написать команду
show ip route

Таkже после настройки на всех роутерах все узлы должны пинговаться друг с другом.

ВЫКЛЮЧИТЬ NAT НА ВИРТУАЛКАХ

6 ## Установка и настройка dhcp
apt-cdrom add
apt install isc-dhcp-server –y
nano /etc/default/isc-dhcp-server
INTERFACES = “eth0” – указать интерфейс смотрящий во внутреннюю сеть.
Выйти и сохранить
nano /etc/dhcp/dhcpd.conf
раскомментировать authoritative
создать запись типа, раскоментировать
subnet 172.16.100.0 netmask 255.255.255.0 {
range 172.16.100.10 172.16.100.50;
option routers 172.16.100.1;} – диапазон раздачи адресов
создать запись в самом низу типа
host hq-srv {
hardware Ethernet 00:00:00:00:00:00; - mac адрес интерфейса хоста
fixed-address 172.16.100.20;} – выдача фиксированного адреса
сохранить и выйти
systemctl enable --now isc-dhcp-server
проверка файлов на ошибки
dhcpd -t -cf /etc/default/isc-dhcp-server
dhcpd -t -cf /etc/dhcp/dhcp.conf
systemctl restart isc-dhcp-server


7 ПОЛЬЗОВАТЕЛИ
sudo adduser "имя нужного пользователя"
Отдельно для HQ-SRV прописать (или для той машины к торой вы будете по SSH подкл)
sudo usermod -aG sudo admin
полное имя с большой буквы, если 2 слова, то через нижнее подчеркивание

8 ## Настройка SSH
### На сервере ssh
apt-cdrom add
apt update && apt install ssh
nano /etc/ssh/sshd_config
Прописать
AllowUsers (пользователь админ) после #permitrootlogin
Изменить на нестандартный порт:
Найти строку #Port 22, раскоментировать и изменить на Port 2222
Установите запрет на доступ root;
Найти строки #PermitRootLogin prohibit, раскоментировать изменить на PermitRootLogin no
Banner ( Authorized access only! )
Banner "Authorized access only!"
Ограничьте ввод попыток до 4;
MaxAuthTries 4
Отключите пустые пароли;
PermitEmptyPasswords no
Установите предел времени аутентификации до 5 минут;
LoginGraceTime 5m
Настройте контроль доступа по HQ-SRV по SSH со всех устройств, кроме CLI
iptables -A INPUT -p tcp --dport 2222 -s 172.16.200.8/28(адрес CLI) -j DROP
nano /etc/network/if-post-down.d/iptables
#!/bin/sh
touch /etc/iptables.rules
chmod 640 /etc/iptables.rules
iptables-save > /etc/iptables.rules
exit 0
chmod +x /etc/network/if-post-down.d/iptables
nano /etc/network/if-pre-up.d/iptables
#!/bin/sh iptables-restore < /etc/iptables.rules
exit 0
chmod +x /etc/network/if-pre-up.d/iptables.rules
systemctl restart ssh
### Подключение с удаленного сервера
ssh administrator@172.16.100.10 -p2222 (если не подключается не писать -2222)
выйти exit


9##iperf
apt-cdrom add
apt install debian-archive-keyring dirmngr
nano /etc/apt/sources.list - добавить ссылку на репозиторий Debian:
deb https://archive.debian.org/debian/ stretch main contrib non-free
apt update
apt install iperf3
ISP:
iperf3 -s -запустить серверный режим
HQ-R:
Запустить iperf3 в режиме клиента:
script -c ‘iperf3 -c 10.10.10.1(IPv4 ISP, смотрящий в сторону HQ-R) --get-server-output' iperf3_logfile.txt (файл_журнала)
Для IPv6 всё идентично:
script -c ‘iperf3 -c 2001:10::1(IPv6 ISP, смотрящий в сторону HQ-R) –-get-server-output ' iperf3_logfile.txt (файл_журнала)
Посмотреть содержимое файла журнала после каждого тестирования:
cat iperf3_logfile.txt | less и сделать скриншот экрана.