ESR (13)
Маршрутизаторы серии ESR
Очень часто перед системным администратором встает проблема – внутри сети есть некий ресурс, это может быть WEB-сервер или почтовый сервер, не важно. Важно другое с одной стороны нужно предоставить доступ к сервису из сети Интернет, с другой стороны защитить его межсетевым экраном, как минимум.
Так как ресурс находится за межсетевым экраном, то назначить ему внешний ip-адрес невозможно. Тут и приходит на помощь технология трансляции сетевых адресов – NAT, а точнее DST-NAT.
Сегодня мы рассмотрим проброс портов (DST-NAT) на ESR-200
WIFI и VLAN. Первоначальная настройка Eltex ESR-200-FSTEC - типовая конфигурация. Часть 3.
Автор Алтунин Василий
В предыдущей статье – мы рассмотрели настройку ESR-200 для предоставления доступа к сети Интернет и через ЛВС, и через WIFI-роутер. Был рассмотрен идеальный вариант, когда до роутера дотянут прямой кабель и он подключен непосредственно в порт ESR-200.
К сожалению, это не всегда возможно физически. Сегодня мы как раз рассмотрим сценарий, при котором мы вынуждены включать WIFI-роутер в обычный, неуправляемый коммутатор, к которому подключены ПК нашей ЛВС.
WIFI. Первоначальная настройка Eltex ESR-200-FSTEC - типовая конфигурация. Часть 2.
Автор Алтунин Василий
Беспроводные сети WIFI сегодня используются повсеместно. Отсутствие проводов, необходимых для подключения устройства к Интернету позволяет сэкономить на прокладке кабелей и обслуживании, но вместе с тем привносит проблемы безопасности, всё-таки WIFI считается небезопасной сетью.
Поэтому прежде всего защищать стараются не саму сеть WIFI, а от доступа к ЛВС из сети WIFI. Для этого можно использовать межсетевой экран ESR-200.
В первой части – ссылка, мы рассмотрели настройку ESR-200 для предоставления доступа к сети Интернет пользователям ЛВС.
Сегодня мы рассмотрим распространенный сценарий подключения к интернету через локальную сеть и WIFI-маршрутизатор. При таком способе подключения главное позаботиться о том, чтобы устройства из ЛВС и устройства из сети WIFI не видели друг друга.
Типовая конфигурация. Первоначальная настройка Eltex ESR-200-FSTEC. Часть 1.
Автор Алтунин Василий
Сегодня мы настроим маршрутизатор ESR-200-FSTEC в качестве шлюза для доступа к сети интернет. Тем не менее, всё сказанное, применимо и к ESR-200.
Сразу хочу отметить, что в отличии от обычной версии ESR-200 версия FSTEC не имеет встроенного сервера BRAS (Broadband Remote Access Server), поэтому максимум, что вы можете сделать, это запретить определенным ip-адресам выходить в интернет, весь остальной функционал, например, белые/черные списки сайтов, фильтрация по URL и так далее, для вас будет недоступен.
Описанное в этой статье подразумевает, что ESR-200 сброшен до заводских настроек.
Почти все ЛВС так или иначе используют технологию VLAN. Здесь мы не будем рассматривать плюсы данной технологии, для ознакомления могу порекомендовать эту статью.
В этой статье мы рассмотрим, как получить доступ к устройству, находящемуся в VLAN из GNS3 и наоборот.
Поднимаем GRE-туннель между ESR-200 и Mikrotik CHR
Автор Алтунин Василий
Сегодня мы рассмотрим создание GRE-туннеля между ESR-200 и Mikrotik в GNS3.
В рамках этой статьи я не буду рассматривать, что такое GRE и зачем он нужен.
Тем кто не в курсе, что это такое, рекомендую вот эту статью и, видео что внутри, в них все очень подробно и доступно рассмотрено.
Обратите внимание – версия ESR-200-FSTEC не поддерживает IPSEC, поэтому для таких устройств я не рекомендую использовать GRE в открытых сетях, например, для связи сетей через Internet.
VPN поддерживается в Сервисных маршрутизаторах ESR.
В версиях Серисных криптомаршрутизаторов ESR-ST осуществлена поддержка алгоритмов шифрования по ГОСТ 28147-89, ГОСТ Р 34.12-2015.
DHCP-сервер является важнейшим сервисом любой большой ЛВС. Прописывать вручную ip-адреса на каждом устройстве в сети из 100 и более ПК превращается в сущий кошмар для системного администратора, поэтому без DHCP-сервера не обойтись. Как правило используется один DHCP-сервер. Со сроком аренды ip-адреса 1 день он нормально справляется со своими функциями.
Но, иногда, возникает потребность в непрерывном функционировании сети, когда даже час простоя может обернуться миллионными убытками. В этом случае необходимо резервировать всё критически важные сервисы сети.
Тут нам на помощь и приходит failover. Этот механизм позволяет добавить резервный DHCP-сервер, на который, в случае аварии, будет осуществлено автоматическое переключение.
В его основе лежит дублирование, в нашем случае DHCP-серверов, которые, как правило соединяются отдельным кабелем и обмениваются по нему служебной информацией, а так же, с заданной периодичностью, проверяют доступность друг - друга. Как только одно из устройств отключается или выходит из строя, второе берёт на себя его функции, таким образом, что пользователь даже не замечает, что что-то произошло.
В этой статье мы рассмотрим настройку failover для DHCP-сервера на ESR-200.
Это вторая часть, посвященная SNMP. Первую часть вы можете найти тут, подразумевается, что у вас всё уже настроено согласно первой части.
Помимо возможности получать по SNMP информацию от разнообразных датчиков и компонентов устройств для мониторинга состояния в протоколе SDNMP предусмотрен механизм информирования о событиях в режиме онлайн, это так называемые ловушки SNMP (SNMP traps).
Данный механизм позволяет получать с устройства некую информацию, при возникновении некоторого события, например, при подключении\отключении сетевого кабеля на порту.
Рассматривать настройку ловушек мы будем на примере ERS-200-FSTEC, а в качестве клиента будут выступать Debian Linux.
Сегодня мы рассмотрим настройку SNMP на ELTEX ESR-200-FSTEC для мониторинга параметров устройства.
Получение данных от устройства по SNMP мы будет осуществлять на виртуальную машину с установленными Debian 10 и на Windows 10 с помощью бесплатной программы MibBrowser.
Все ниже написанное может быть применено и к обычной ELTEX ESR-200.
Подробнее ...
Сегодня я хочу поделиться опытом настройки сервисного маршрутизатора ESR-20 - универсальный сервисный маршрутизатор, разработанный с учетом требований предприятий энергетической и нефтегазовой отраслей. Устройства поддерживают расширенные функции L3, VPN и Firewall. Это довольно универсальное устройство, которое в том числе можно применять в качестве межсетевого экрана.
Недавно я помогал настраивать этот маршрутизатор и в процессе столкнулся с особенностями, о которых и хочу рассказать.
В данной статье мы рассмотрим начинку ESR-100 FSTEC используя в качестве источника информации лог загрузки устройства.
Сам лог загрузки, немного урезанный, находится в конце статьи.
На сегодняшний день создано и используется огромное количество телекоммуникационного оборудования. Как правило производители неохотно раскрывают «начинку» подобных устройств. На сайте производителя, в лучшем случае, указаны базовые параметры устройства и, если вы захотите узнать, какие компоненты или программные средства использовал производитель, например, операционную систему или память, то сделать это непросто.
Данная статья будет полезна всем, кто в соответствии с требованиями ФСТЭК закупил новый межсетевой экран ESR-200 FSTEC. Впрочем, она применима и к ESR-100 FSTEC и ESR-1000 FSTEC.
Развитие информационных технологий в нашей стране ставит перед государством всё новые вызовы. Информационные технологии — это не только Интернет, с развлекательными и информационными сайтами, включая Госуслуги. Это и локальные вычислительные сети, и целый перечень оборудования от коммутаторов и межсетевых экранов, заканчивая оборудованием магистрального уровня. Любое телекоммуникационное оборудование может содержать уязвимости или просто закладки, позволяющие спецслужбам страны производителя получать доступ к оборудованию. Для того, чтобы избежать подобных угроз, такое оборудование нужно производить самому!