Lintrack Как LAN Шлюз И Мост OpenVPN

Lintrack Как LAN Шлюз И Мост OpenVPN

Этот учебник проведет вас через установку и настройку Lintrack, дистрибутива GNU/Linux, специализированного на сетевых задачах. Мы предоставим двум LAN доступ в интернет вместе с серверами DHCP и DNS кэша, а затем подключим наши сети с помощью OpenVPN в режиме моста. Вы сможете выполнить все это менее чем за час благодаря унифицированному интерфейсу конфигурации Lintrack.

План

Диаграмма ниже представляет сеть, которую мы собираемся создать.

Хосты rt1 и rt2 — это наши маршрутизаторы, работающие под управлением Lintrack. Оба имеют подключение к Интернету (например, через DSL модемы), публичный IP-адрес, доступный на интерфейсе eth0, и локальную сеть за ним.

Вам понадобятся два хоста x86 (обычный ПК должен подойти), с как минимум 128 МБ ОЗУ и 256 МБ дискового пространства (может быть карта Compact Flash), несколько карт Fast/Gigabit Ethernet и, если хотите, WiFi-карты на базе чипсетов Atheros, например, на популярном AR5213.

Если вы собираетесь установить Lintrack на VMware, обязательно используйте IDE-диск вместо стандартного SCSI. Если вы предпочитаете qemu, пожалуйста, протестируйте его работу с включенным и выключенным kqemu в случае проблем.

Установка

1. Скачайте установочный CD Lintrack 2.0: wget http://prdownloads.sourceforge.net/lintrack/lintrack-mini-2.0.iso?download
2. Запишите ISO-образ с помощью вашего любимого CD-программы.
3. Загрузите целевой компьютер с CD и нажмите Enter, когда будет предложено.
4. Введите ‘setup’ и нажмите Enter, установщик Lintrack начнет работу. Прочитайте краткую информацию и нажмите Enter.
5. Вам будет предложено выбрать целевой раздел, нажмите Enter, чтобы принять выбор по умолчанию и запустить cfdisk для его создания.
6. Используя стрелки на клавиатуре, перейдите к cfdisk и создайте новый раздел типа Linux (0x83). Вам не нужен раздел подкачки.
7. После выхода из cfdisk введите целевой раздел или просто нажмите Enter, чтобы принять выбор по умолчанию /dev/hda1.
8. Установщик предложит отформатировать целевой раздел как ext3, поэтому вы можете ввести заглавные YES и нажать Enter, чтобы отформатировать его (если вы еще этого не сделали). Если вы допустили ошибку, быстро нажмите Ctrl+C.
9. Теперь начинается процесс установки, и в зависимости от вашего оборудования он должен занять менее 5 минут.
10. В конце вас спросят, хотите ли вы установить загрузчик Lintrack (GRUB) в MBR. Скорее всего, вам просто нужно нажать Enter, чтобы сделать это, в противном случае введите NO и нажмите Enter.
11. Удалите установочный CD и перезагрузите, чтобы запустить Lintrack.

Основные Сетевые Настройки

Сначала мы настроим доступ в Интернет и основные службы для локальной сети, поэтому войдите как root, используя пароль “asn”.

Lintrack настраивается с помощью инструмента fcc, поэтому давайте запустим его на хосте rt1 и сделаем некоторые основные настройки:

fcc  
?  
ls  
cd sys  
ls  
set hostname rt1.lan  
set hostip 192.168.1.1

Подсказка: вы можете попробовать автозаполнение с помощью Tab (как в Bash), чтобы упростить ввод команд.

Теперь добавим и настроим интерфейс eth0:

cd / net if eth  
add +if eth0  
cd eth0  
set descr "Интернет-канал"  
add ip +addr main  
set ip main addr 80.40.1.1/30

Мост LAN:

cd ..  
add +if eth1  
cd .. br  
add +if br0  
cd br0  
set descr "Мост LAN"  
add +if eth1  
add ip +addr main  
set ip main addr 192.168.1.1/24

Маршрут по умолчанию и DNS-сервер (замените dns.server.ip.address на правильный IP-адрес):

cd / net  
set route quickgw 80.40.1.2  
add dns +servers dns.server.ip.address

Брандмауэр с двумя зонами - “интернет”:

cd fw  
add +zone internet  
cd internet  
add +matches uplink  
set uplink if eth0  
set srv forwarding to  
set actions masq true

…и “lan”:

cd ..  
add +zone lan  
cd lan  
add +matches bridge  
set bridge if br0  
cd srv  
set forwarding on igmp true dhcp true dns true  
cd .. actions  
set clampmss true

Наконец, мы включаем dnsmasq как DNS-кэш и DHCP-сервер:

cd / srv dnsmasq  
set boot true  
set dhcp true auth true from 192.168.1.50 to 192.168.1.150

Теперь выполните те же шаги на rt2, заменив имя хоста, IP-адреса и диапазон адресов DHCP (например, с 192.168.1.151 до 192.168.1.250).

Обратите внимание, что fcc работает с чем-то вроде конфигурационного файла - это означает, что внесенные изменения не будут применены немедленно. Тем не менее, мы вручную включим базовую сеть, чтобы иметь возможность войти через SSH, например, из более удобного графического терминала с функцией буфера обмена. Выйдите из fcc, нажав Ctrl+D или введя quit, и выполните следующее на обоих хостах:

cd /etc/rc.d  
./rc.firewall restart  
./rc.eth eth0 start  
./rc.eth eth1 start  
./rc.br br0 start  
./rcS.d/S40staticrt

Это должно дать вам доступ к обоим машинам из Интернета и проводной LAN.

Беспроводной Доступ

Теперь мы добавим точку доступа WiFi с безопасностью WPA2-PSK. Пропустите следующий раздел, если вы не хотите предоставлять своим пользователям беспроводной интернет.

Как обычно, запустите fcc на rt1 или rt2 (или на обоих), и введите следующие команды:

cd / net if ath  
info countrycode  
set countrycode 840  
set xchanmode true  
add +if wifi0  
cd wifi0  
set list freq true  
act list  
set channel 6

Обратите внимание, что вывод команды “act list” не сразу учитывает изменения, внесенные в код страны карты, радиорежим (a/b/g) и т.д. Самое простое решение - перезагрузить после внесения таких низкоуровневых изменений, чтобы драйвер madwifi загрузился с новыми настройками.

Теперь у нас настроен физический радиомодуль, давайте создадим реальный сетевой интерфейс на его основе:

add +if ath0  
cd ath0  
set descr "AP для LAN"  
set mode ap  
set essid "lintrack"

И чтобы обеспечить безопасность, мы включаем WPA2-PSK:

cd wpa  
set mode server  
set pskpass SomeVeryVeryLongPasswordToYourLocalAreaNetwork

Наконец, давайте добавим ath0 в локальный мост br0, чтобы пользователи WiFi могли общаться с пользователями Ethernet.

cd / net if br br0  
add +if ath0

Добавление OpenVPN

Наконец, давайте соединить обе LAN с помощью OpenVPN.

Сделайте rt1 сервером OpenVPN:

cd / net if openvpn  
add +if tap0  
cd tap0  
set descr "VPN к rt2" mode server tmode tap syscert false  
set genkey sure true  
act genkey  
get statickey

Скопируйте статический ключ OpenVPN в буфер обмена и выполните аналогичные команды на rt2:

cd / net if openvpn  
add +if tap0  
cd tap0  
set descr "VPN к rt1" mode client tmode tap syscert false  
set real 80.40.1.1  
set statickey

Последняя команда запускает vim, редактор файлов. Стоит научиться им пользоваться, но пока просто нажмите ‘a’, вставьте скопированный ключ, нажмите Escape, введите ‘:wq’ и нажмите Enter. Вы можете изменить редактор файлов, экспортировав переменную окружения $EDITOR перед запуском fcc, например, установив ее в mcedit.

Если у вас нет графического терминала, используйте scp для копирования файла /etc/fc/net/if/openvpn/tap0/statickey с rt1 на rt2.

Добавьте tap0 в локальные мосты - на обоих хостах выполните:

cd / net if br br0  
add +if tap0

Перезагрузите, и на этом все ;-).

В случае проблем с OpenVPN вы всегда можете перезапустить его в режиме отладки из оболочки, используя:

/etc/rc.d/rc.openvpn tap0 restart debug

Дальнейшие Действия

После проверки того, что все работает правильно, определенно стоит изменить пароль root (используйте команду passwd) и обновить систему:

pkg update  
pkg upgrade

Вы можете найти больше информации о Lintrack на его сайте - http://www.lintrack.org/. Не пропустите нашу вики, форум, Trac и особенно более подробную вводную статью на великом портале PolishLinux.org.