Документация
Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Current »

ДИСКЛЕЙМЕР

Функционал, описанный в инструкции, НЕ предназначен и НЕ должен использоваться для:

  • Обхода установленных на территории Российской Федерации ограничений доступа к информационным ресурсам
  • Доступа к сайтам, внесённым в Единый реестр запрещённой информации

Ответственность за использование технологии в соответствии с действующим законодательством РФ лежит на лицах, осуществляющих её настройку и эксплуатацию.

Данная техническая инструкция предназначена исключительно для целей организации защищённого доступа к внутренним (приватным) сетевым ресурсам.

Настройка должна производиться только администраторами корпоративных сетей для служебных нужд компании с использованием выделенных для этих целей VPN-сервисов. 

Цель инструкции

В данной инструкции рассмотрен кейс настройки безопасного подключения из домашней или удаленной сети к внутренним ресурсам корпоративной сети. Например, к локальному файловому серверу, системе учета или IP-телефонии.

Мы создадим защищенный туннель (на примере WireGuard) между маршрутизатором и офисным сервером. Затем настроим правила так, чтобы трафик к внутренним служебным адресам офиса шел через этот туннель. Весь остальной интернет-трафик будет идти через основное соединение, не нагружая офисный канал/туннель и сохраняя скорость.

В зависимости от необходимости реализации (основной LAN-сегмент или дополнительный LAN-сегмент "Гостевая сеть"), можно назначить политики как для основной сети LAN, так и для дополнительной "Гостевой сети".

Ход настройки

Шаг 1:  Настройка VPN-туннеля (WireGuard)


1. Перейдите в меню "Сервисы" → "WireGuard" WEB-интерфейса роутера.

2. Загрузите конфигурацию из файла используя форму или нажмите "Добавить", чтобы настроить интерфейс вручную.

Присвойте интерфейсу любое понятное имя, например "WireGuard_1".


Внимание! В настройках пира (Peer) найдите галочку: «Маршрутизировать разрешенные IP-адреса в туннель» и убедитесь, что она включена.


Оставшиеся поля заполните в соответствии с вашей конфигурацией, нажмите "Применить". Статус туннеля должен быть "Включен/Подключен".

Шаг 2:  Создание отдельной таблицы маршрутов для VPN


1. Перейдите в меню "Сеть" → "Таблицы маршрутизации" WEB-интерфейса роутера.

2. В разделе "Таблицы маршрутизации" нажмите "Добавить" и укажите:

    • Имя - "Office_WG"
    • Номер таблицы - "200"

3. В разделе "Маршрутизация интерфейсов":

    • Найдите созданный интерфейс "WireGuard_1" и через редактирование присвойте ему таблицу "Office_WG", созданную ранее:
    • Найдите интерфейс LAN и через редактирование присвойте ему таблицу "Office_WG", созданную ранее:
    • Итоговый статус присвоения таблиц маршрутизации к интерфейсам можно увидеть в общей таблице:

Шаг 3:  Создание списка адресов для VPN


Это и есть список внутренних ресурсов, трафик до которых будет направлен через VPN.

1. Перейдите в раздел "Сеть" → "Списки адресов" WEB-интерфейса роутера

2. Нажатием кнопки "Добавить" создайте новый список:

    • Имя - введите любое понятное вам имя. Например - "Office_address_list" 
    • Добавьте нужные адреса в блоке "Содержимое списка". Каждый адрес вписывайте с новой строки.
      Можно добавлять домены (site.com), IP-адреса (192.168.5.10) или целые сети (10.0.0.0/8)

Примените изменения.

Шаг 4:  Создание правила для маршрутизации "Все из списка - маршрутизировать в интерфейс"


1. Перейдите в меню "Межсетевой экран" → "Правила для трафика", и создайте новое правило:

    • Включите правило
    • Название - "Office_WG"
    • Адрес назначения - выберите ранее созданный список адресов - "Office_address-list"
    • Действие - выберите "Маркировать в таблицу"
    • В опции "Таблица маршрутизации" выберите "Office_WG (200)"

Примените изменения.


После проделанных действий, весь трафик направленный к адресам, указанным в адресных списках, будет перенаправлен в интерфейс WireGuard_1.



  • No labels