Hent Denne vejledning som PDF, der kan udskrives, Her

Opsætning af Edgerouter Lite (ERL3), til brug som router

 

1. Tilslut router med følgende forbindelser.

         eth0: Lokalt LAN (Din netværk)

         eth1: Global WAN (Internettet. Det store WWW)

         eth2: ikke tilsluttet

2. Sæt strøm på router, og lad den boote.

3. Fortsæt med nedenstående

 

Grundopsætning af router.

 

 Tilslut en computer med en web browser på eth0. Sæt denne computer til at køre med en FAST IP adresse i adresse området 192.168.1.X. Her 192.168.1.100. Default gateway sættes til 192.168.1.1. DNS er ikke nødvendig at sætte op, men er godt at gøre, for at teste forbindelsen, når vi har en grund forbindelse igennem routeren. Så kan forbindelsen testes. Her er DNS sat til GoogleDNS

 

 

Hop til adresse http://192.168.1.1 (Router retter selv til https://192.168.1.1), og ved advarsel fortsæt til websted alligevel.

 

For at logge ind bruges standard brugeren "ubnt" og password "ubnt" (Uden anførselstegn). Der kan forekomme at der er en "læs mig, og accepter" når du skal logge ind. Det er bare at acceptere.

Man kan her se at det kun er eth0 der er sat op, og at den har adresse 192.168.1.1/24 (subnet 255.255.255.0) Man kan også se at eth1 er connected, men har ikke nogen adresse. Det er den der skal sættes op. Tryk på "Actions" udenfor eth1. og vælg Config.

 

Vælg her "Use DHCP", Eller hvad der passer til den opsætning du skal bruge. Her er det Use DHCP. Man kan også ændre Decsription. Det har jeg gjort fra "eth1" til "internet". Derefter tryk "Save"

 

 Som man kan se er "internet" nu tildelt en IP adresse fra din udbyder. Man kan også ændre "Description" på eth0. til f.eks. MitNet, ved at trykke på Actions -> Config, og derefter ændre "Description ".

 

Gå videre ved at vælge fanebladet "Firewall/Nat"

 

Vælg Underfanen "NAT"

 

Vælg "+ Add Source NAT Rule"

 

 

 I "Description" skrives Navet på den Nat regel du er ved at oprette, her Min NAT. Sæt kryds i "Enable", Hvis der ikke allerede er (For at slå reglen til). "Outbound Interface" Vælges Det interface der er tilsluttet Internettet, ved denne opsætning er det eth1, det var den vi kaldte "internet" et par trin tilbage.

Ved "Translation" vælges "Use Masquerade" Det betyder at vi kører med Nat(Eller det der i Cisco verdnen kaldes for PAT = Port Adress Translation)

 

 

Tryk på "Save" Nederst, og opsætningen gemmes.

 

På nuværende tidspunkt burde der være hul igennem. (Alt efter om man har indtastet DNS server på den klient hvor man sidder på)

 

Opsætning af DHCP

 

Gå ind på routerens hjemmeside.

 

Vælg fanen "Services"

 

Stå på "DHCP" underfanen, og tryk på "+ Add DHCP Server"

 

Beskrivelser:

DHCP Name:   Navnet på det scope man er ved at oprette. Der kan være flere scopes, til flere interfaces.

                        Normalt er det interface adressen der bestemmer hvilket interface adresserne bliver delt ud på.

Subnet:              Det Subnet hvorpå der skal uddeles adresser. Nettet der hedder 192.168.1.0/24 passer til det

                         område der ligger på eth0 (192.168.1.1).

Range start:       Første adresse der bliver tildelt (Inklusive)

Range Stop:       Sidste adresse der bliver tildelt (Inklusive)

Router:              Bliver også kaldet for "default Gateway" Det er den adresse alle pakker skal sendes til der

                         ikke skal sendes intern på ens eget net.

DNS1:               DNS Server der skal uddeles af Router DHCP

DNS2:               DNS Server nummer 2 der skal uddeles af Router DHCP

Unifi Controler:  Bruges kun når man har Unifi enheder fra Ubiquiti, og dermed en Unifi Controler

Enable:              Her skal være kryds for at DHCP server uddeler adresser.

 

Det var grundopsætning, men der skal lige laves noget avanceret for at DHCP server fungerer optimal, ellers tager det lang tid at få en IP adresse..

 

I øverste højre hjørne på siden er der 2 knapper. Tryk på den der hedder "CLI" (Kan også laves med en SSH til 192.168.1.1, eller direkte på Console)

 

Her skrives de kommandoer man ser i vinduet herover. Oversigt.

Ubnt Login er samme som til webinterface (Standard: ubnt)

Password er det samme som til webinterface (Standard: ubnt)

  

Følgende kommandoer skal skrives ind i den skrevne rækkefølge BEMÆRK: Efter "shared-network-name" SKAL der stå det navn man har givet sit DHCP scope, og DER ER FORSKEL PÅ STORE OG små BOGSTAVER!

 

configure

set service dhcp-server shared-network-name MinDHCP authoritative enable

commit

save

 

Når der skrives "commit" VIL der komme et billede som ovenstående hvis man kører i den CLI der startes fra netinterface, og hele billedet vil blive grået ud. Der trykkes bare Refresh, og man kan arbejde videre.

For at slippe ud af CLI skrives der "exit" 2 gange, og man kan lukke vinduet.

 

Nu er DHCP server kørende, og kan udstede adresser, så folk kan komme på . Dette er en meget basic opsætning, så routeren fungerer. Nu skal vi så lige tweeke opsætningen lidt, så routeren arbejder bedre, og der tages lidt hensyn til sikkerhed.

  

Disable SSH og GUI på WAN siden.

 

Routeren vil som standard modtage SSH og WEB interface (GUI) forespørgsler på ALLE opsatte netværks stik. Det er ikke så godt på det stik hvor internettet er tilsluttet. Det vil blive ændret nu:

 

Åben en CLI og log på.

 

Skriv herefter:

 

configure

set service gui listen-address 192.168.1.1

set service ssh listen-address 192.168.1.1

commit

save

 

Der KAN gå lidt kludder i kontakten til routeren, men genstart webbrowser, eller SSH. Men hav tålmodighed. Og så skal IP'en, routeren skal lytte på, selvfølgelig stemme overens med den IP du har givet dit interne interface (eth0 i dette tilfælde..). Der kan sættes FLERE listen adresser ind, hvilket er godt hvis man ønsker at skifte IP på routeren, Hvis man HAR sat listen adress op, er det en god ide at tilføje den nye IP INDEN man skifter adresse, ellers har man savet den gren over hvor man selv sidder!!

 

Opsætte Routerens DNS, Timezone, Navn mm.:

 

Vælg nederst til venstre på GUI'en fanepbladet "System"

 

System host name:             Navnet på din router

System Gateway address:  Bruges ikke, men der er ROUTERENS default gateway. plejer at leveres i

                                            den DHCP tildeling du får fra din ubydder.

System Domain-name:       Hvis man har et domæne. ala. www.mitdomæne.dk

 

I timezone vælges default UTC, men vælg Time Zone som på billedet. og tryk select continent/ocean.

 

Vælg Europa, eller hvad der passer til dig.

 

Vælg Danmark, eller hvad der til dig.

 

Ved Danmark er der kun en mulighed... All. Vælg den.

 

Under Name Server, skriv f.eks. 8.8.8.8 og tryk "+ Add New"

 

Skriv 8.8.4.4 i den anden plads, eller hvad du nu vil.

 

Nederst til venstre er der en "Save" knap tryk på den.

 

Formindsk system ved at rykke denne knap  i øverste venstre hjørne på aktuel vindue

 

 

Opsætning af Firewall.

 

 

Log ind i GUI

 

Vælg fanen "Firewall/NAT"

 

Vælg underfanebladet "Firewall Policies"

 

Tryk på knappen "+ Add Ruleset"

 

Name:                                 Skriv et (sigende) navn for den regel du er ved at oprette

Description:                        Fri tekst til at beskrive din regel.

Default action:                    Hvad der sker med de pakker der modtages (og ikke passer med de

                                            regler der bliver opsat. Opsætning af regler sker længere nede 
                                            dokumentet).

                                            Drop :            Datapakker der modtages smides væk.

                                            Reject:           Der sendes et reply tilbage med "Access Denied"

                                            Accept:          Pakkerne sendes uhindret igennem  firewallen

Default Log:                        Skal der logges hver gang en pakke passer med reglen?

 

Efter opsætning trykkes på knappen "save"

 

Tryk for knappen "Actions" ud for den regel du lige har oprettet.

 

Vælg "Edit Ruleset" fra pulldown menuen

 

Tryk på "Add new Rule" nederst til venstre i dette vindue.

 

Description:                        Beskrivelse af den regel du er ved at oprette

Enable:                                Markeres hvis reglen skal gælde

Action:                                Hvad skal der gøres med de pakker der passer på reglen (se højere oppe

                                            for betydning af de forskellige valg)

Protocol:                             Hvilken protokol skal reglen gælde for.

Logging:                              Skal der logges hver gang reglen bliver brugt.

 

Vælg nu fanebladet "Advanced"

 

Sæt kryds i "Established"  (Betyder at hvis der er oprettet forbindelse fra indersiden, skal den også modtage svaret) Andet skal der ikke pilles ved på det faneblad. Ellers kan der på nettet finde nærmere beskrivelser på hvordan man bruger Firewallen mere avanceret.

 

Tryk på knappen "Save"

 

Så er der en regel  i din grundregel. Og det betyder at vi nu skal have sat reglen i funktion.. (Reglen bliver IKKE brugt endnu)

 

Vælg Fanebladet "Interfaces" i ovenstående Ruleset vindue.

 

Interface:                            Det Hardware interface du vil tilslutte reglen til (Her er det "eth1" der

                                            er vores forbindelse til omverdenen (WAN interface)).

Direction:                            I hvilken retning skal reglerne bruges. (I dette tilfælde er det "in" det

                                            betyder at det er pakker der kommer IND på vores interface, og dermed

                                            IND i routeren, der bliver holdt op mod  Firewall reglerne. Altså pakker

                                            fra det store internet.

Man kan også tildele regelsættet til flere interfaces, ved at trykke på knappen "+ Add Interface"

 

Når man er færdig med at tildele til interfaces trykkes der "Save Ruleset" i nederste højre hjørne.

 

Hvis man stadig kan komme på nettet, så virker det efter hensigten.

 

 

 

For at Kunne bruge den i et PXE boot enviroment, skrives følgende:

 

 

edit service dhcp-server shared-network-name MinDHCP subnet 192.168.1.0/24

 

set bootfile-server 192.168.1.50

 

set bootfile-name undionly.kpxe

 

Øverste linje Editerer det DHCP scope du har lavet (Her hedder den som før i denne vejledning MinDHCP. HUSK forskel på store og små bogstaver!)

 

Linje 2 og 3 er det der i windows verdnen hedder henholdsvis Option 66 og 67, og skal selvfølgelig tilpasses det der aktuelt skal bruges..