23T48 NAT-DNS-DHCP w 9 min. [Konfiguracja Fortinet]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:38 Topologia

1:23 Konfiguracja Polityki NAT

2:28 Włączenie Funkcjonalności DNS

4:08 Stworzenie nowego Service

4:31 Konfiguracja DHCP

8:22 Podsumowanie

Transkrypcja

W dzisiejszym odcinku pokażę jak skonfigurować na na Forigate trzy podstawowe rzeczy czyli NAT następnie będzie DNS, lokalny DNS na Fortigate i trzecim krokiem będzie DHCP. Na koniec wszystko sprawdzimy podłączymy stację końcową, zobaczymy czy ona łączy, otrzymuje adres, czy wywołujemy nazwę domenową lokalną i otrzymujemy właściwą odpowiedź i czy możemy się podłączyć do internetu.

To zacznijmy od tego co tu mamy: po prawej stronie mamy hosta Windows 7, który będzie otrzymywał adres z DHCP, który skonfigurujemy na naszym Fortigate. Tutaj również będzie skonfigurowany DNS jak również polityka Firewalla tutaj pozwalająca czy realizująca NATa czyli wyjście do internetu dla tego hosta. Adresacja wewnętrzna 172.168.1.0 maska 24 bity i tutaj mamy jakiś internet ale on nie jest istotny bo tu NATujemy na porcie pierwszym Fortigate, cały ruch, który wychodzi od LANu.

No to teraz punkt pierwszy czyli konfiguracja polityki NAT. Zaczynamy tutaj od obiektów i polityki Firewalla czyli tworzymy nową politykę: Create new. Nazwę polityki musimy jakąś wpisać niech to będzie internet. Następnie przychodzący incoming interface czyli ruch będzie wchodził pod tym drugim, wychodził pod tym pierwszym. W naszym przypadku port pierwszy to jest ten port WAN, port drugi to jest port LAN. Dalej konfigurujemy źródło i Destynation czyli docelowy ruch. Tutaj nic nie ograniczamy – All. Jeżeli chodzi o usługi też All, Accept i tu jest ważne żeby zaznaczyć NAT dla tej polityki czyli ruch będzie NATowany. Mamy już politykę stworzoną w którą będą trafiać pakiety, które będą kwalifIkowały się zgodnie z naszą regułą czyli wychodziły od lanu do
internetu będą NATowane.

Teraz kolejny krok czyli włączenie funkcjonalności DNS. Tutaj musimy wejść w tą zakładkę Feature Visibility i włączyć usługę DNS Database czyli domyślnie ta usługa nie jest włączona i ona nie będzie tutaj nam się przedstawiała w naszym menu. Trzeba ją włączyć tutaj w Feature Visibility a następnie zastosować i możemy przejść do Network i widzimy teraz możliwość konfiguracji DNS serwers czyli serwerów DNS. Mamy DNS database, tutaj tworzymy nową konfigurację, nową strefę, nazwę strefy. No bo tu może być wiele tych serwerów, które pracują w jednym obszarze, w jednej strefie, następnie nazwę domenową i możemy wpisać już konkretne wpisy. To jest przykład wpisu typu A czyli wpisujemy po prostu jakiś host name i powiązany adres IP z tym wpisem DNSowym. Niech to będzie local oczywiście automatycznie dla wpisanej wcześniej domeny netadminpro.pl dopisuje resztę tego wpisu. Czyli mamy local.netadminpro.pl adres IP związany z tym wpisem tym rekordem a z końcówką 1.1 i możemy zatwierdzić. Mamy wpis, tu klikamy OK.

Mamy konfigurację DNSa wykonaną i jeszcze musimy do tego wybrać czy stworzyć nowy service i wybrać na jakim porcie będzie działał ten DNS i klikamy Ok i mamy serwis stworzony na porcie drugim, mamy wpis w bazie DNS. Wszystko nam działa tak jakbyśmy chcieli. Jeszcze będziemy to testować.

Teraz kolejna rzecz to jest konfiguracja DHCP. DHCP konfigurujemy w kontekście tutaj portu czyli wchodzimy w Network interfaces, w kontekst tego fizycznego portu i tutaj wpisujemy oczywiście jakieś dane dotyczące tego portu czyli Alias możemy wpisać. Możemy, nawet tu musimy jeżeli chcemy konfigurować serwer DHCP musimy wpisać adres IP interfejsu i tu końcówka 1.1. Zaznaczamy jakie usługi będą z tym interfejsem powiązane No i teraz przechodzimy już do konfiguracji serwera DHCP. Czyli zaznaczamy, że będzie tu serwer DHCP uruchomiony na tym interfejsie. Jaki zakres adresacji będzie używany do przyznawania adresacji dla hostów od 1.2 do 1.10. Tu oczywiście
maska jest 24 bitowa jak tutaj widzisz na górze dla DHCP. Nie musimy całego tego zakresu przydzielać.

Wystarczy, że przydzielimy konkretny zakres i ten zakres tutaj określamy. Idąc dalej oczywiście maska, która jest powiązana z tym co będzie rozgłaszane do hostów czyli maska też 24 bitowa. Gateway ten sam co interfejs IP czyli konfigurujemy w kontekście interfejsu – już wiadomo dla tego Fortigate jaki będzie Difoult Gateway podawany. No i tutaj możemy oczywiście jeszcze podać jaki DNS serwer i tu możemy wyspecyfikować konkretny, podać adres IP, który jest powiązany z tym interfejsem albo adres IP, który jest powiązany z konfiguracją DNSa. My możemy tutaj w tym przykładzie wykonamy może specify i podamy konkretny adres IP, który wcześniej użyliśmy przy tworzeniu serwera DNS – końcówka 1.1. Ok, zatwierdzamy i mamy teraz już wszystkie elementy trzy skonfigurowane czyli NATa, DHCP i DNS.

Sprawdźmy zatem czy wszystko działa. Przechodzimy teraz do tej stacji testowej Windows, która otrzyma adres z DHCPa. Najpierw czyścimy tą konfigurację dynamiczną IP na interfejsie i odnawiamy i zobaczymy co ten Windows pobierze. Tu oczywiście klasyczne okno Windowsa no i zobaczmy co widzimy na tym interfejsie. Widzimy, że mamy adresację 172.168.1.2. Czyli pierwszy adres, który z tej puli przypisywaliśmy. Brama domyślna końcówka 1.1. No i zgodnie z tym naszym pomysłem konfiguracji maska 24 bitowa. Wszystko się zgadza. Teraz spróbujmy zapingować ten nasz wpis w DNSie, który stworzyliśmy. Czyli local.netadminpro.pl

No i po pierwsze widać, że odpowiada czyli nazwa została rozwiązana przez nasz lokalny serwer DNS. Po drugie widzimy, że została rozwiązana na adres 172.168.1.1 i wszystko widać działa zgodnie z oczekiwaniem. Możemy też sprawdzić czy wychodzimy do internetu czyli adres publiczny 8.8.8.8 widać, że ping działa czyli wyjście do internetu jest.

Tutaj możemy jeszcze na koniec sprawdzić w tych bardziej rozbudowanych informacjach o DNSie jaki został przypisany nam serwer DNS w ramach tej informacji z DHCP czyli 172.168.1.1 Sprawdźmy 172.168.1.0 końcówka 1 to jest ten Interfejs pod 2 na Fortigate. Czyli widać, że wszystko zgodnie z naszym oczekiwaniem zadziałało i z naszą konfiguracją.

Na dzisiaj to tyle. Jeżeli masz jakieś pytanie co do konfiguracji albo inne jakieś podobne zakresy Cię interesują to oczywiście pisz w komentarzu. Na koniec mam do Ciebie prośbę jeszcze o komentarz taktyczny polegający na tym, że tą tutaj ikonkę, którą pokazuję wpisz po prostu w komentarzu. Będę wtedy wiedział, że to jest właśnie ten komentarz taktyczny. To jest o tyle dla nas tutaj istotne robiących ten kanał, że wtedy zwiększa się widoczność tego co robimy i docieramy do większej ilości osób więc jeżeli chcesz wesprzeć nas w naszym działaniu to poproszę Cię o tą o ten komentarz taktyczny i jeżeli masz jakiekolwiek inne sugestie to oczywiście też pisz, lajkuj i wyrażaj co tam uważasz na temat tego materiału. Tak żebyśmy mogli robić ciekawsze rzeczy w przyszłości. Do zobaczenia w kolejnym odcinku.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.