Импортозамещение
идёт полным ходом и очень часто встречаются вопросы как настроить PPPoE подключение на маршрутизаторах Eltex
ESR. Рассмотрим на примере одного из моих товарищей, который стал обладателе
маршрутизатора Eltex ESR-200.
Есть
задача в рабочем офисе организовать работу локальной сети состоящей из парка
вычислительной техники и различной оргтехника. Клиенты офиса должны иметь
возможность выхода в Интернет через оптический кабель приходящего от
интернет-провайдера.
Рассмотрим
создание минимально необходимой базовой конфигурации, обеспечивающей решение
поставленной задачи это настройка PPPoE соединения и
DHCP сервера.
Обычно
я не использую заводскую конфигурацию т.к. приходится изменять многие настройки
для моего удобства. В нашем примере создадим собственную конфигурацию. Вопросы
обновления прошивки, и подключения к консольному порту для последующего
конфигурирования устройства в данном руководстве не рассматриваются.
1.
Удалим заводскую конфигурацию по
умолчанию. Для полного удаления текущей конфигурации устройства необходимо
выполнить следующую последовательность команд:
|
#copy system:default-config system:candidate-config #commit #confirm |
2.
Создадим необходимую конфигурацию.
Опишем в конфигурации
минимально необходимы объекты:
|
object-group service DHCP_SERVER description
"DHCP_SERVER" port-range 67 exit object-group service DHCP_CLIENT description
"DHCP_CLIENT" port-range 68 exit object-group service DNS port-range 53 exit object-group service NTP description "NTP" port-range 123 exit object-group service SSH description "SSH" port-range 22 exit object-group service SNMP description "SNMP" port-range 161 exit object-group network LOCAL_LAN description
"LOCAL_LAN" ip
prefix 192.168.1.0/24 exit |
Определим зоны безопасности настройки правил Firewall, это зоны для локальной
сети и сети Интернет.
|
security zone LOCAL_LAN description
"LOCAL_LAN_NETWORK" exit security zone INTERNET description
"INTERNET" exit |
Создадим интерфейс типа BRIDGE, и присвоим зону безопасности LOCAL_LAN. По умолчанию будем использовать VLAN=1. Если требуется использовать
другой VLAN,
то настройка интерфейсов может незначительно отличатся.
|
bridge 1 description
"LOCAL_LAN" vlan
1 security-zone LOCAL_LAN ip
address 192.168.1.1/24 enable exit |
Определим назначение
интерфейсов. Интерфейс Gi
1/0/1 будет использоваться для подключения к ISP, интерфейс Gi 1/0/2-4 для подключения к локальной
сети предприятия.
|
interface gigabitethernet 1/0/1 description
"INTERNET" security-zone INTERNET exit interface gigabitethernet 1/0/2 mode switchport security-zone LOCAL_LAN lldp
transmit lldp
receive exit interface gigabitethernet 1/0/3 mode switchport security-zone LOCAL_LAN lldp
transmit lldp
receive exit interface gigabitethernet 1/0/4 mode switchport security-zone LOCAL_LAN lldp
transmit lldp
receive exit |
Создадим PPPoE соединение которое будет работает с Интернет провайдером
через интерфейс gigabitethernet 1/0/1. В некоторых случаях
необходимо указать методы аутентификации, это зависит от настроек со стороны
оборудования провайдера.
|
tunnel pppoe 1 authentication method mschap authentication method
mschap-v2 authentication method eap authentication method pap interface gigabitethernet
1/0/1 description
"INTERNET_PPPOE" security-zone INTERNET ip tcp adjust-mss 1452 username <LOGIN>
password ascii-text <PASSWORD> enable exit |
Если планируете
использовать SNMP
необходимо включить и указать пароль для чтения и записи параметров.
|
snmp-server snmp-server community
public ro snmp-server community
private rw |
Опишем правила
прохождения трафика через Firewall
маршрутизатора. На маршрутизаторах ESR, Firewall
включён по умолчанию.
Разрешим прохождения
трафика из зоны безопасности локальной сети в сеть Интернет без ограничений.
|
security zone-pair LOCAL_LAN INTERNET rule 10 action permit enable exit exit |
Разрешим прохождения
трафика без ограничений в зоне безопасности локальной сети.
|
security zone-pair LOCAL_LAN LOCAL_LAN rule 10 action permit enable exit exit |
Разрешим прохождения
трафика из зоны безопасности локальной сети (LOCAL_LAN) зону self (на всех маршрутизаторах создана по
умолчанию зона безопасности self, к этой зоне
относятся все IP-адреса маршрутизатора и внутренние сервисы. Трафик между self-зоной и любой другой по умолчанию разрешён).
|
security zone-pair LOCAL_LAN self description
"разрешим подключение к маршрутизатору по протоколу SSH" rule 10 action permit match protocol tcp match destination-port SSH enable exit rule 20 description
"разрешим прохождение icmp на настроенный BRIGE
интерфейс с адресом 192.168.1.1" action permit match protocol icmp enable exit rule 30 description
"разрешим прохождение DHCP запросов на DHCP
сервер настроенный на ESR" action permit match protocol udp match source-port
DHCP_CLIENT match destination-port
DHCP_SERVER enable exit rule 40 description
"разрешим синхронизацию NTP от внутреннего NTP
сервера на ERS" action permit match protocol udp match destination-port NTP enable exit rule 50 description
"разрешим доступ к маршрутизатору по SNMP" description
"MONITORING SNMP" action permit match protocol udp match destination-port SNMP enable exit exit |
Разрешим прохождения трафика из сети Интернет в зону self.
|
security zone-pair INTERNET self rule 10 description
"разрешим синхронизацию времени ESR" action permit match protocol udp match destination-port NTP enable exit rule 20 description
"запретим ответы icmp на запросы из сети
Интернет" action deny match protocol icmp enable exit exit |
Настроим трансляцию адресов
|
nat source ruleset INTERNET to tunnel pppoe 1 rule 10 description "ACCESS
TO INTERNET" match source-address
LOCAL_LAN action source-nat interface enable exit exit exit |
Настроим DHCP сервер на ESR. Желательно использовать DNS-сервера предоставляемые
интернет-провайдером!
|
ip dhcp-server ip dhcp-server pool LAN-POOL network 192.168.1.0/24 address-range
192.168.1.10-192.168.1.254 default-router 192.168.1.1 dns-server 8.8.8.8 exit |
Настроим статический маршрут в сеть Интернет
|
ip route 0.0.0.0/0 tunnel pppoe 1 |
Включим SSH сервер для удалённого подключения к
маршрутизатору
|
ip ssh server |
Включим протокол LLDP
|
lldp enable |
Настроим протокол NTP для
синхронизации времени.
|
clock timezone gmt
+3 ntp enable ntp broadcast-client
enable ntp server
132.163.96.1 minpoll
4 exit ntp server
194.190.168.1 minpoll
4 exit |
Часть рабочего файла
конфигурации. Основанное отличие от примера настроек выше это использования VLAN=10.
|
hostname ESR object-group service DHCP_SERVER description
"DHCP_SERVER" port-range 67 exit object-group service DHCP_CLIENT description
"DHCP_CLIENT" port-range 68 exit object-group service DNS port-range 53 exit object-group service NTP description "NTP" port-range 123 exit object-group service SSH description "SSH" port-range 22 exit object-group service SNMP description "SNMP" port-range 161 exit object-group network LOCAL_LAN description
"LOCAL_LAN" ip
prefix 192.168.1.0/24 exit syslog max-files 3 syslog file-size 512 syslog file tmpsys:syslog/default severity info exit boot host auto-config boot host auto-update vlan 10 name "LOCAL_LAN" exit no spanning-tree domain lookup enable domain name-server XXX.XXX.XXX.XXX domain name-server XXX.XXX.XXX.XXX security zone LOCAL_LAN description
"LOCAL_LAN_NETWORK" exit security zone INTERNET description
"INTERNET" exit bridge 1 description
"LOCAL_LAN" vlan
10 security-zone LOCAL_LAN ip
address 192.168.1.1/24 no spanning-tree enable exit interface gigabitethernet 1/0/1 description
"INTERNET" security-zone INTERNET exit interface gigabitethernet 1/0/2 mode switchport security-zone LOCAL_LAN switchport access vlan 10 lldp
transmit lldp
receive exit interface gigabitethernet 1/0/3 mode switchport security-zone LOCAL_LAN switchport access vlan 10 lldp
transmit lldp
receive exit interface gigabitethernet 1/0/4 mode switchport security-zone LOCAL_LAN switchport access vlan 10 lldp
transmit lldp
receive exit tunnel pppoe 1 authentication method mschap authentication method
mschap-v2 authentication method eap authentication method pap interface gigabitethernet
1/0/1 description
"INTERNET_PPPOE" security-zone INTERNET ip tcp adjust-mss 1452 username <LOGIN> password ascii-text <PASSWORD> exit snmp-server snmp-server community
public ro snmp-server community
private rw security zone-pair LOCAL_LAN INTERNET rule 10 action permit enable exit exit security zone-pair LOCAL_LAN LOCAL_LAN rule 10 action permit enable exit exit security zone-pair LOCAL_LAN self description "разрешим
подключение к маршрутизатору по протоколу SSH" rule 10 action permit match protocol tcp match source-port any match destination-port SSH enable exit rule 20 description
"разрешим прохождение icmp на настроенный
BRIGE интерфейс с адресом 192.168.1.1" action permit match protocol icmp enable exit rule 30 description
"разрешим прохождение DHCP запросов на DHCP сервер настроенный на
ESR" action permit match protocol udp match source-port
DHCP_CLIENT match destination-port
DHCP_SERVER enable exit rule 40 description
"разрешим синхронизацию NTP от внутреннего NTP сервера на ERS" action permit match protocol udp match destination-port NTP enable exit rule 50 description "MONITORING
SNMP" action permit match protocol udp match destination-port SNMP enable exit exit security zone-pair INTERNET self rule 10 description
"разрешим синхронизацию времени ESR" action permit match protocol udp match destination-port NTP enable exit rule 20 description
"запретим ответы icmp на запросы из сети
Интернет" action deny match protocol icmp match source-port any match destination-port any enable exit exit security passwords default-expired ip firewall screen
dos-defense syn-flood 100 src-dst ip firewall screen
dos-defense icmp-threshold 100 ip firewall screen
dos-defense land ip firewall screen
suspicious-packets icmp-fragment ip firewall screen
suspicious-packets large-icmp ip firewall screen
suspicious-packets unknown-protocols ip firewall screen
spy-blocking syn-fin ip firewall screen
spy-blocking fin-no-ack ip firewall screen
spy-blocking tcp-no-flag ip firewall screen
spy-blocking spoofing ip firewall screen
spy-blocking tcp-all-flags nat source ruleset INTERNET to tunnel pppoe 1 rule 10 description "ACCESS
TO INTERNET" match source-address
LOCAL_LAN action source-nat interface enable exit exit exit ip dhcp-server ip dhcp-server pool LAN-POOL network 192.168.1.0/24 address-range
192.168.1.10-192.168.1.254 default-router 192.168.1.1 dns-server
8.8.8.8,192.168.1.1 exit ip route 0.0.0.0/0
tunnel pppoe 1 ip ssh server lldp enable clock timezone gmt
+7 ntp enable ntp broadcast-client
enable ntp server
132.163.96.1 minpoll 4 exit ntp server
194.190.168.1 minpoll 4 exit |
Проверка работоспособности настройки на ESR:
|
ESR# show tunnels status Tunnel Admin Link
MTU Local IP Remote IP Last change state state ---------------- -----
----- ------ ---------------- ---------------- ------------------------- pppoe 1
Up Up 1492
XXX.XXX.XXX.XX
XX.XXX.XXX.X 1 minute and
21 seconds ESR# ESR# ping ya.ru PING ya.ru (5.255.255.242)
56 bytes of data. !!!!! --- ya.ru ping statistics
--- 5 packets transmitted, 5
received, 0% packet loss, time 4005ms rtt min/avg/max/mdev = 45.634/47.485/49.124/1.206 ms ESR# |
Проверка с рабочей станции Windows.
|
C:\>ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : Primary Dns Suffix . . . . . .
. : Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . .
. . . . : No WINS Proxy Enabled. . . .
. . . . : No Ethernet adapter Ethernet: Connection-specific DNS Suffix . : Description . . . . . . .
. . . . : Realtek PCIe GbE Family Controller Physical Address. . . . . . . . . : 04-D4-C4-E8-BE-DB DHCP Enabled. . . . . . .
. . . . : Yes Autoconfiguration Enabled . . . . : Yes Link-local IPv6 Address .
. . . . : fe80::a2a5:7dba:75df:8d8c%10(Preferred) IPv4 Address. . . . . . .
. . . . : 192.168.1.170(Preferred) Subnet Mask . . . . . . .
. . . . : 255.255.255.0 Lease Obtained. . . . . . . . . . : 8 марта 2024 г.
21:42:55 Lease Expires . . . . . . . . . . : 9 марта 2024 г.
11:04:14 Default Gateway . . . . . . . . . : 192.168.1.1 DHCP Server . . . . . . .
. . . . : 192.168.1.1 DHCPv6 IAID . . . . . . .
. . . . : 168088772 DHCPv6 Client DUID. . . .
. . . . : 00-01-00-01-29-AD-E6-77-04-D4-C4-E8-BE-DB DNS Servers . . . . . . .
. . . . : 192.168.1.1
8.8.8.8 NetBIOS over Tcpip.
. . . . . . . : Enabled C:\>ping ya.ru Pinging ya.ru
[5.255.255.242] with 32 bytes of data: Reply from 5.255.255.242:
bytes=32 time=46ms TTL=57 Reply from 5.255.255.242:
bytes=32 time=48ms TTL=57 Reply from 5.255.255.242:
bytes=32 time=46ms TTL=57 Reply from 5.255.255.242:
bytes=32 time=47ms TTL=57 Ping statistics for
5.255.255.242: Packets: Sent = 4, Received = 4, Lost = 0
(0% loss), Approximate round trip
times in milli-seconds: Minimum = 46ms, Maximum = 48ms, Average =
46ms C:\> |