Внешние и локальные интерфейсы

В статье описана настройка внешних и локальных интерфейсов.

На вкладке Внешние и локальные настраиваются Ethernet-интерфейсы:

Локальный Ethernet - настройка локальной сети.
Внешний Ethernet - настройка подключения к интернету. Как правило, вся необходимая информация для настройки содержится в договоре с интернет-провайдером.
Подключение по PPTP (Point-to-Point Tunneling Protocol) - один из старейших VPN-протоколов, разработанный для обеспечения защищенного доступа через интернет. Основан на использовании протокола PPP (Point-to-Point Protocol) для аутентификации и шифрования данных.
Подключение по L2TP - подключение с применением протокола L2TP иногда используется интернет-провайдерами в целях обеспечения более надежной авторизации.
Подключение по PPPoE - подключение с применением протокола PPPoE традиционно используется провайдерами, предлагающими подключение через xDSL.
Loopback-интерфейс - виртуальный интерфейс, который может использоваться для динамической маршрутизации (BGP и OSPF), удаленного администрирования и подключения пользователей по VPN. Преимущество Loopback-интерфейса в том, что он никогда не перестанет работать, пока его не отключат административно.

Для настройки внешних и локальных интерфейсов нажмите Добавить:

Выберите нужный интерфейс и следуйте инструкции:

Ручная настройка

Для настройки такого подключения в веб-интерфейсе выполните действия:

1. Выберите сетевую карту:

2. Заполните поля:

Название интерфейса - имя для идентификации интерфейса;
Зона - выберите объект типа Зона, в состав которой будет входить создаваемый сетевой интерфейс. Максимальное количество сетевых интерфейсов в зоне - 64;
Сетевая карта - сетевой адаптер, который будет использоваться для подключения к интернет-провайдеру;
Тег VLAN - VLAN ID. Такой сетевой интерфейс считается VLAN-интерфейсом. Также может быть создан один Ethernet-интерфейс без указания VLAN принадлежащий этому сегменту сети, который будет принимать нетегированный трафик. Обычные Ethernet-интерфейсы без указания VLAN ID создаются на физическом интерфейсе только в единичном экземпляре. Поле заполняется в том случае, если сетевая карта уже используется;
Автоматическая настройка через DHCP - используйте, если ваш интернет-провайдер поддерживает автоматическую настройку Ethernet-интерфейса с помощью протокола DHCP;
IP-адрес/маска - можно назначить на интерфейс несколько IP-адресов. Как минимум, должен быть указан хотя бы один IP-адрес;
Шлюз - IP-адрес шлюза;
DNS - доступно два поля для указания DNS сервера (необязательно).
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

При выборе пункта Локальный Ethernet и заполнении поля Шлюз доступ в интернет будет отсутствовать.

Поле Шлюз в Локальном интерфейсе задается только если:

Нет Внешнего интерфейса NGFW;
NGFW используется как прокси-сервер.

3. Убедитесь в корректности введенных значений и нажмите на кнопку Добавить.

Автоматическая настройка

Используется, если ваш интернет-провайдер поддерживает возможность автоматической настройки Ethernet-интерфейса с помощью протокола DHCP.

1. Выберите сетевую карту.

2. Заполните поле Название. Поле Тег VLAN заполняется только в том случае, если сетевая карта уже используется:

3. При необходимости выберите объект типа Зона в одноименном поле.

4. Включите настройку Автоматическая конфигурация через DHCP.

5. Убедитесь в корректности введенных значений и нажмите на кнопку Добавить.

Ручная настройка

Для настройки такого подключения в веб-интерфейсе выполните действия:

1. Выберите сетевую карту:

2. Заполните поля:

Название интерфейса - имя, с помощью которого возможно в дальнейшем идентифицировать интерфейс;
Сетевая карта - сетевой адаптер, который будет использоваться для подключения к интернет-провайдеру;
Зона - выберите объект типа Зона, в состав которой будет входить создаваемый сетевой интерфейс. Максимальное количество сетевых интерфейсов в зоне - 64;
Тег VLAN- VLAN ID. Такой сетевой интерфейс считается VLAN-интерфейсом. Также может быть создан один Ethernet-интерфейс без указания VLAN принадлежащий этому сегменту сети, который будет принимать нетегированный трафик. Обычные Ethernet-интерфейсы без указания VLAN ID создаются на физическом интерфейсе только в единичном экземпляре. Поле заполняется только в том случае, если сетевая карта уже используется;
Автоматическая конфигурация через DHCP - используйте, если интернет-провайдер поддерживает автоматическую настройку Ethernet-интерфейса с помощью протокола DHCP;
IP-адрес/маска - можно назначить на интерфейс несколько IP-адресов. Должен быть указан хотя бы один IP-адрес;
Шлюз - укажите IP-адрес шлюза интернет-провайдера, через который будет осуществляться подключение к сети интернет;
DNS - доступно два поля для указания DNS-сервера (необязательно).
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

Автоматическая настройка

Используется, если интернет-провайдер поддерживает возможность автоматической настройки Ethernet-интерфейса с помощью протокола DHCP.

1. Выберите сетевую карту.

2. Заполните поле Название. Поле Тег VLAN заполняется только в том случае, если сетевая карта уже используется.

3. При необходимости выберите объект типа Зона в одноименном поле.

4. Включите настройку Автоматическая конфигурация через DHCP.

5. Убедитесь в корректности введенных значений и нажмите на кнопку Добавить.

Пример настройки:

Подключение по 3G и 4G

Для подключения к сетям операторов сотовой связи возможно использование 4G-роутеров с Ethernet-интерфейсами. Сервер Ideco NGFW поддерживает некоторые модели USB-модемов, например, Huawei E8372. При подключении USB-модем будет отображаться в Ideco NGFW как новый ethernet-интерфейс.

Для проверки скорости ранее настроенного интерфейса перейдите в раздел Управление сервером -> Терминал и введите speedtest-cli.

Пример вывода команды:

Для настройки такого подключения в веб-интерфейсе выполните действия:

1. Выберите сетевую карту:

2. Заполните поля:

Название - имя для идентификации интерфейса. Максимальное количество символов - 42;
Сетевая карта - сетевой адаптер, который будет использоваться для подключения к интернет-провайдеру;
Зона - выберите объект типа Зона, в состав которой будет входить создаваемый сетевой интерфейс. Максимальное количество сетевых интерфейсов в зоне - 64;
Тег VLAN - VLAN ID, в котором будет присутствовать NGFW. Такой сетевой интерфейс считается VLAN-интерфейсом. Заполняется только в том случае, если сетевая карта уже используется. Стандарт VLAN 802.3q;
Автоматическая конфигурация через DHCP - используйте, если интернет-провайдер поддерживает автоматическую настройку Ethernet-интерфейса с помощью протокола DHCP;
IP-адрес/маска - назначьте на интерфейс несколько IP-адресов. Должен быть указан хотя бы один IP-адрес;
Шлюз - IP-адрес шлюза;
DNS - доступно два поля для указания DNS-сервера (необязательно);
VPN-сервер - IP-адрес или доменное имя PPTP-сервера;
Логин - имя пользователя для подключения по PPTP;
Пароль - пароль для подключения по PPTP.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

3. Убедитесь в корректности введенных значений и нажмите на кнопку Добавить.

Пример вывода команды:

Для настройки такого подключения в веб-интерфейсе выполните действия:

1. Выберите сетевую карту:

2. Заполните поля:

Название - имя для идентификации интерфейса. Максимальное количество символов - 42;
Сетевая карта - сетевой адаптер, который будет использоваться для подключения к интернет-провайдеру;
Зона - выберите объект типа Зона, в состав которой будет входить создаваемый сетевой интерфейс. Максимальное количество сетевых интерфейсов в зоне - 64;
Тег VLAN - VLAN ID, в котором будет присутствовать NGFW. Такой сетевой интерфейс считается VLAN-интерфейсом. Заполняется только в том случае если сетевая карта уже используется. Стандарт VLAN 802.3q;
Автоматическая конфигурация через DHCP - используйте, если ваш интернет-провайдер поддерживает автоматическую настройку Ethernet-интерфейса с помощью протокола DHCP;
IP-адрес/маска - назначьте на интерфейс несколько IP-адресов. Должен быть указан хотя бы один IP-адрес;
Шлюз - IP-адрес шлюза;
DNS - доступно два поля для указания DNS-сервера (необязательно);
VPN-сервер - IP-адрес или доменное имя L2TP-сервера;
Логин - имя пользователя для подключения по L2TP;
Пароль - пароль для подключения по L2TP.
Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

3. Убедитесь в корректности введенных значений и нажмите на кнопку Добавить.

Пример вывода команды:

Для настройки такого подключения в веб-интерфейсе выполните действия:

1. Выберите сетевую карту:

2. Заполните поля:

Название - имя для идентификации интерфейса. Максимальное количество символов - 42;
Сетевая карта - сетевой адаптер, который будет использоваться для подключения к интернет-провайдеру;
Зона - выберите объект типа Зона, в состав которой будет входить создаваемый сетевой интерфейс. Максимальное количество сетевых интерфейсов в зоне - 64;
Тег VLAN - VLAN ID, в котором будет присутствовать NGFW. Такой сетевой интерфейс считается VLAN-интерфейсом. Заполняется только в том случае, если сетевая карта уже используется. Стандарт VLAN 802.3q;
Логин - имя пользователя для подключения по PPPoE;
Пароль - пароль для подключения по PPPoE;
Сервис - идентификатор сервиса. Необязательное поле;
Концентратор - идентификатор концентратора. Необязательное поле.
- Индекс интерфейса для Netflow - введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

3. Убедитесь в корректности введенных значений и нажмите на кнопку Добавить.

При подключении к провайдеру с использованием протокола PPPoE настройте DNS-сервер вручную, воспользовавшись статьей.

Пример вывода команды:

Нельзя создавать Loopback-интерфейс в настроенном кластере. Если все же требуется использовать Loopback-интерфейс, настройте его до объединения в кластер.

1. Заполните поля:

Название - введите название интерфейса;
IP-адрес/маска - введите IP-адрес, который требуется назначить на Loopback-интерфейс, с маской в формате x.x.x.x/x;
Комментарий - поле не обязательное.

Чтобы избежать проблем с подключением пользователей к Loopback-интерфейсу по VPN, IP-адрес Loopback-интерфейса не должен входить в диапазоны адресов, используемые для SNAT. Если включен автоматический SNAT локальных сетей, IP-адрес Loopback-интерфейса не должен входить в диапазоны:

10.0.0.0/8
192.168.0.0/16
172.16.0.0/12

2. Нажмите Добавить. Loopback-интерфейс появится в таблице внешних и локальных интерфейсов:

Особенности настройки Loopback-интерфейса

При работе с Loopback-интерфейсом используйте правила:

Для доступа к веб-интерфейсу Ideco NGFW укажите в адресной строке браузера <IP-адрес Loopback-интерфейса>:8443.
Для доступа к серверу по SSH:
- Разрешите доступ по SSH;
- Введите в терминале ssh login@<IP-адрес Loopback-интерфейса>.
Для подключения пользователей по VPN на устройстве пользователя при создании VPN-подключения в качестве шлюза укажите домен или IP-адрес Loopback-интерфейса.
В разделе BGP при добавлении BGP-соседей укажите в поле Исходящий интерфейс Loopback-интерфейс.
При настройке OSPF укажите в поле Интерфейс Loopback-интерфейс.
При создании маршрута Null route укажите Loopback-интерфейс в качестве шлюза для подсети/IP-адресов. В этом случае весь входящий на NGFW трафик, предназначенный для этих адресов, будет отбрасываться.
При создании DNAT-правила Файрвола в поле Адрес назначения укажите IP-адрес, назначенный на Loopback-интерфейс. Опубликованные ресурсы будут доступны по IP-адресу Loopback-интерфейса.
При создании SNAT-правила Файрвола в поле Сменить IP-адрес источника укажите IP-адрес, назначенный на Loopback-интерфейс. Исходный адрес, указанный в поле Адрес источника, будет заменен на адрес Loopback-интерфейса.

Для подключения к Loopback-интерфейсу настройте маршрутизацию до IP-адреса, назначенного на этот Loopback-интерфейс.

PreviousСетевые интерфейсы NextАгрегированные интерфейсы (LACP)

Last updated 11 days ago

Was this helpful?