<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>шлюз &#8902; Clip-Clap</title>
	<atom:link href="https://clip-clap.ru/tag/%d1%88%d0%bb%d1%8e%d0%b7/feed/" rel="self" type="application/rss+xml" />
	<link>https://clip-clap.ru/tag/шлюз/</link>
	<description></description>
	<lastBuildDate>Sun, 09 Aug 2020 06:31:26 +0000</lastBuildDate>
	<language>ru-RU</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=6.5.8</generator>

<image>
	<url>https://clip-clap.ru/wp-content/uploads/2020/07/cropped-favicon-32x32.png</url>
	<title>шлюз &#8902; Clip-Clap</title>
	<link>https://clip-clap.ru/tag/шлюз/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Настройка шлюза на CentOS 7</title>
		<link>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/centos/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%bd%d0%b0-centos-7/</link>
					<comments>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/centos/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%bd%d0%b0-centos-7/#respond</comments>
		
		<dc:creator><![CDATA[Admin]]></dc:creator>
		<pubDate>Sun, 09 Aug 2020 06:31:22 +0000</pubDate>
				<category><![CDATA[CentOS]]></category>
		<category><![CDATA[шлюз]]></category>
		<guid isPermaLink="false">https://clip-clap.ru/?p=1492</guid>

					<description><![CDATA[<p>В данной заметке я хочу рассмотреть простой и быстрый вариант настройки шлюза для организации доступа в интернет из локальной сети</p>
<p>Сообщение <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/centos/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%bd%d0%b0-centos-7/">Настройка шлюза на CentOS 7</a> появились сначала на <a href="https://clip-clap.ru">Clip-Clap</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>В данной заметке я хочу рассмотреть простой и быстрый вариант настройки шлюза для организации доступа в интернет из локальной сети на базе CentOS 7. Не будет никакого дополнительного функционала, только самое необходимое для доступа к интернету компьютеров за шлюзом.</p>


</br>



<h2 class="wp-block-heading">Введение</h2>



<p>В нашем распоряжении будет следующий сервер для настройки шлюза:</p>



<pre class="wp-block-preformatted"># cat /etc/redhat-release
CentOS Linux release 7.1.1503 (Core)</pre>



<p>Использовался <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/centos/%d1%83%d1%81%d1%82%d0%b0%d0%bd%d0%be%d0%b2%d0%ba%d0%b0-centos-7/" target="_blank" rel="noreferrer noopener">образ minimal для установки CentOS 7</a>. Если вы еще не выполнили установку, рекомендую воспользоваться моим материалом на эту тему. На сервере две сетевые карты <strong>eth0</strong> и <strong>eth1</strong>:</p>



<ul><li>eth0 подключена к интернету</li><li>eth1 подключена к локальной сети вместе с компьютерами</li></ul>



<p>В данной статье мы выполним необходимые предварительные настройки на сервере, включим nat, настроим firewall и установим средство мониторинга сетевой активности.</p>



<p>Если у вас недостаточно опыта и вы не чувствуете в себе сил разобраться с настройкой шлюза самому с помощью консоли сервера &#8212; попробуйте дистрибутив на основе centos для организации шлюза и прокси сервера в локальной сети &#8212; clearos. С его помощью можно через браузер настроить весь необходимый функционал. В отдельной статье я подробно рассказал о <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8-%d0%bf%d1%80%d0%be%d0%ba%d1%81%d0%b8-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%b0-%d0%bd%d0%b0-%d0%b1%d0%b0/" target="_blank" rel="noreferrer noopener">настройке clearos</a>.</p>


</br>



<h2 class="wp-block-heading">Предварительная настройка&nbsp;сервера</h2>



<p>Любую настройку сервера я рекомендую начинать с обновления:</p>



<pre class="wp-block-preformatted"># yum -y update</pre>



<p>После этого я устанавливаю mc, так как привык к нему и постоянно пользуюсь:</p>



<pre class="wp-block-preformatted">#&nbsp;yum -y install mc</pre>



<p>Дальше отключаем selinux. Находим&nbsp;файл&nbsp;/etc/sysconfig/selinux и редактируем его:</p>



<pre class="wp-block-preformatted"># mcedit /etc/sysconfig/selinux</pre>



<p>Приводим строку с соответствующим параметром к следующему виду:</p>



<pre class="wp-block-preformatted">SELINUX=disabled</pre>



<p>Чтобы применить изменения, перезагружаем сервер:</p>



<pre class="wp-block-preformatted"># reboot</pre>



<p>Более подробно о <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/centos/centos-7-%d0%b8-8-%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%b0-%d0%bf%d0%be%d1%81%d0%bb%d0%b5-%d1%83%d1%81%d1%82%d0%b0%d0%bd%d0%be%d0%b2%d0%ba/" target="_blank" rel="noreferrer noopener">базовой настройке сервера CentOS 7</a> читайте отдельно. Мы же двигаемся дальше.</p>



<p>Теперь настроим сеть.</p>



<p>Сначала удаляем&nbsp;NetworkManager. Он нам не понадобится, выполним все настройки вручную. Иногда он может вызывать непонятные ошибки, я предпочитаю им не пользоваться:</p>



<pre class="wp-block-preformatted"># systemctl stop NetworkManager.service
# systemctl disable NetworkManager.service</pre>



<p>Теперь включаем классическую службу сети в CentOS 7:</p>



<pre class="wp-block-preformatted"># systemctl enable network.service</pre>



<p>Настраиваем сетевые интерфейсы:</p>



<pre class="wp-block-preformatted"># mcedit&nbsp;/etc/sysconfig/network-scripts/ifcfg-eth0

HWADDR=00:15:5D:01:0F:06
TYPE="Ethernet"
BOOTPROTO="dhcp"
DEFROUTE="yes"
PEERDNS="yes"
PEERROUTES="yes"
NAME="eth0"
UUID="4e65030c-da90-4fb8-bde4-028424fe3710"
ONBOOT="yes"</pre>



<pre class="wp-block-preformatted"># mcedit&nbsp;/etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1
HWADDR=00:15:5d:01:0f:12
TYPE=Ethernet
ONBOOT=yes
IPADDR=192.168.10.1
NETMASK=255.255.255.0</pre>



<p>Перезапускаем службу сети:</p>



<pre class="wp-block-preformatted"># systemctl restart network.service</pre>



<p>Смотрим, что получилось:</p>



<pre class="wp-block-preformatted"># ip a</pre>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2015/11/centos-gate-01.png" alt="Сетевые параметры в CentOS 7" class="wp-image-2337"/></figure></div>



<p>Вы настраивайте&nbsp;сеть в зависимости от своих условий. Если внешний адаптер получает настройки не по dhcp, как у меня, а в статике, то не забудьте настроить шлюз по-умолчанию и dns сервер. Как это сделать написано в моей&nbsp;статье о сетевых параметрах, ссылку на которую я приводил выше.Прежде чем двигаться дальше, убедитесь, что вы все верно настроили &#8212;&nbsp;на сервере работает интернет, компьютеры из локальной сети пингуют сервер по адресу на eth1.</p>


</br>



<h2 class="wp-block-heading">Включаем маршрутизацию, firewall и nat</h2>



<p>Чтобы сервер мог маршрутизировать пакеты между сетевыми адаптерами, необходимо выполнить следующую настройку. Находим&nbsp;файл&nbsp;/etc/sysctl.conf и вставляем&nbsp;туда строку:</p>



<pre class="wp-block-preformatted"># mcedit&nbsp;/etc/sysctl.conf
net.ipv4.ip_forward = 1</pre>



<p>Чтобы заработала настройка, выполняем команду:</p>



<pre class="wp-block-preformatted">#&nbsp;sysctl -p</pre>



<p>Теперь приступаем к самому главному &#8212; настройке фаерволла. Опять же отсылаю вас к своему материалу, где я <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/centos/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-iptables-%d0%b2-centos-7/" target="_blank" rel="noreferrer noopener">очень подробно рассмотрел вопрос настройки iptables в CentOS 7</a>. Там же приведен готовый скрипт для iptables. Так что выполняем все необходимые действия без пояснений.</p>



<p>Отключаем firewalld:</p>



<pre class="wp-block-preformatted"># systemctl stop firewalld
# systemctl disable firewalld</pre>



<p>Устанавливаем службы iptables:</p>



<pre class="wp-block-preformatted"># yum -y install iptables-services</pre>



<p>Скачиваем скрипт с правилами <a href="https://clip-clap.ru/wp-content/uploads/2020/08/iptables.zip" target="_blank" rel="noreferrer noopener">iptables.sh</a>. Данные правила включают NAT, закрывают доступ к серверу снаружи, разрешают пинги, разрешают всем пользователям локальной сети доступ в интернет. Дополнительный функционал отключен. В скрипте подробно описаны все правила. Вам необходимо только заменить в начале переменные на свои. В моем случае это будет выглядеть так:</p>



<pre class="wp-block-preformatted"># Внешний интерфейс
export WAN=eth0
export WAN_IP=192.168.1.25
# Локальная сеть
export LAN1=eth1
export LAN1_IP_RANGE=192.168.10.1/24</pre>



<p>Помещаем отредактированный скрипт в /etc/iptables.sh и делаем его исполняемым:</p>



<pre class="wp-block-preformatted"># chmod 0740 /etc/iptables.sh</pre>



<p>Запускаем iptables:</p>



<pre class="wp-block-preformatted"># systemctl start iptables.service</pre>



<p>Добавляем их в автозагрузку:</p>



<pre class="wp-block-preformatted"># systemctl enable&nbsp;iptables.service</pre>



<p>Выполняем скрипт с правилами:</p>



<pre class="wp-block-preformatted"># /etc/iptables.sh</pre>



<p>Проверяем установленные правила:</p>



<pre class="wp-block-preformatted"># iptables -L -v -n</pre>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2015/11/centos-gate-02.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2015/11/centos-gate-02.png" alt="активные правила iptables" class="wp-image-2338"/></a></figure></div>



<p>Если у вас то же самое, значит вы все сделали правильно.</p>



<p>По сути наш шлюз уже готов и может обслуживать клиентов. Но не работает одна важна служба, без которой нормальной работы с интернетом не получится. Нам нужно настроить кэширущий dns сервер для клиентов локальной сети. Можно пойти по простому и очень простому пути. Простой путь это выполнить простейшую настройку dns сервера bind. Как это сделать у меня опять же&nbsp;подробно написано отдельно &#8212;&nbsp;<a href="https://serveradmin.ru/nastroyka-dns-servera-bind-v-centos-7/" target="_blank" rel="noreferrer noopener">настройка Bind 9 в CentOS 7</a>. Рекомендую ознакомиться, там рассмотрены интересные нюансы настройки.</p>



<p>Очень простой путь это установить dnsmasq, который помимо dns сервера включает в себя еще и dhcp сервер, который нам может пригодиться.</p>


</br>



<h2 class="wp-block-heading">Установка и настройка&nbsp;dnsmasq в CentOS 7</h2>



<p>С большой долей вероятности&nbsp;<strong>dnsmasq&nbsp;</strong>у вас уже установлен. Проверить это можно следующей командой:</p>



<pre class="wp-block-preformatted"># rpm -qa | grep dnsmasq
dnsmasq-2.66-14.el7_1.x86_64</pre>



<p>Если вывод такой же, значит пакет уже стоит. Если нет, то устанавливаем dnsmasq командой:</p>



<pre class="wp-block-preformatted">#&nbsp;yum -y install dnsmasq</pre>



<p>Редактируем файл конфигурации /etc/dnsmasq.conf и приводим его к очень простому виду:</p>



<pre class="wp-block-preformatted"># mcedit&nbsp;/etc/dnsmasq.conf

domain-needed
bogus-priv
interface=eth1
dhcp-range=192.168.10.50,192.168.10.150,24h</pre>



<p>Запускаем dnsmasq:</p>



<pre class="wp-block-preformatted"># systemctl start dnsmasq</pre>



<p>Либо перезапускаем, если он был у вас запущен:</p>



<pre class="wp-block-preformatted"># systemctl restart&nbsp;dnsmasq</pre>



<p>Добавляем&nbsp;dnsmasq в автозагрузку:</p>



<pre class="wp-block-preformatted">#&nbsp;systemctl enable&nbsp;dnsmasq</pre>



<p>Я редактировал конфиг, когда у меня уже был установлен и запущен dnsmasq. И он то ли завис, то ли просто затупил, но я не мог его перезагрузить или остановить с помощью&nbsp;systemctl. Пришлось перезагрузить сервер. После этого все нормально заработало. Клиент на windows получил сетевые настройки. Информация об этом появилась в логе /var/log/messages. Я проверил на клиенте интернет, все было в порядке, он работал.</p>



<p>На этом настройка завершена, шлюзом под CentOS 7 можно пользоваться.</p>


</br>



<h2 class="wp-block-heading">Анализ сетевой активности на шлюзе в linux</h2>



<p>В данной конфигурации шлюз может успешно функционировать. Но иногда хочется посмотреть, а что вообще на нем происходит. Например, кто-то занимает весь канал, интернет тормозит, а мы как слепые котята сидим и не видим ничего. Нужно какое-то средство для просмотра загрузки сети на шлюзе. И такое средство есть &#8212; программа&nbsp;<strong>iftop</strong>.</p>



<p>Она отсутствует в стандартном репозитории CentOS 7. Для ее установки необходимо подключить репозиторий epel:</p>



<pre class="wp-block-preformatted"># yum -y install epel-release</pre>



<p>Устанавливаем iftop на CentOS 7:</p>



<pre class="wp-block-preformatted"># yum -y install iftop</pre>



<p>Теперь мы можем смотреть загрузку сети на шлюзе в режиме реального времени. Чтобы увидеть сетевую активность, достаточно запустить iftop:</p>



<pre class="wp-block-preformatted"># iftop</pre>



<p>По-умолчанию она слушает интерфейс eth0. Это внешний интерфейс шлюза, на нем все подключения будут отображены от имени самого шлюза и определить, кто же в сети занимает канал мы не сможем. Чтобы это увидеть, необходимо запустить просмотр сетевой активности на локальном интерфейсе. Сделать это не сложно, достаточно запустить iftop с параметром:</p>



<pre class="wp-block-preformatted"># iftop -i eth1 -P</pre>



<p>Теперь уже гораздо интереснее. Я еще добавил параметр&nbsp;<strong>-P</strong>, который отображает порты, по которым проходят соединения. Посмотрим, кто больше всех загружает канал интернета:</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2015/11/centos-gate-03.png" alt="Анализ сетевой активности на шлюзе" class="wp-image-2339"/></figure></div>



<p>В моем случае это пользователь с ip&nbsp;192.168.10.98, на котором я запустил проверку скорости интернета с серверов Яндекса.</p>



<p>Если у вас не большая сеть и не много пользователей, то с помощью этой простой и эффективной утилиты вы сможете легко определить, кто, к примеру, качает торренты или чем-то еще загружает канал.</p>


</br>



<h2 class="wp-block-heading">Заключение</h2>



<p>С помощью бесплатного дистрибутива Linux мы смогли за считанные минуты настроить шлюз для организации доступа в интернет компьютеров из локальной сети. У меня ушло минут 10 на настройку шлюза по этой инструкции. Если вы делаете это первый раз, то конечно у вас уйдет гораздо больше времени. Нужно будет разобраться в нюансах, к тому же я дал много ссылок на дополнительный материал.</p>



<p>Давайте разберемся в том, что мы сделали:</p>



<ol><li>Выполнили предварительную настройку сервера, подготовили его к работе.</li><li>Включили маршрутизацию.</li><li>Настроили firewall.</li><li>Включили NAT.</li><li>Установили и настроили dnsmasq для организации служб dns и dhcp.</li><li>Проанализировали сетевую активность шлюза, узнали кто загружает канал интернета.</li></ol>



<p>Это минимально необходимый функционал для организации работы шлюза на CentOS 7. Следующим этапом может быть настройка прокси сервера, шейпера траффика, настройка 2-х и более провайдеров и много другое. Что-то из этого я рассмотрю в своих будущих статьях.</p>
<p>Сообщение <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/centos/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%bd%d0%b0-centos-7/">Настройка шлюза на CentOS 7</a> появились сначала на <a href="https://clip-clap.ru">Clip-Clap</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/centos/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%bd%d0%b0-centos-7/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Настройка шлюза и прокси сервера на базе ClearOS</title>
		<link>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8-%d0%bf%d1%80%d0%be%d0%ba%d1%81%d0%b8-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%b0-%d0%bd%d0%b0-%d0%b1%d0%b0/</link>
					<comments>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8-%d0%bf%d1%80%d0%be%d0%ba%d1%81%d0%b8-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%b0-%d0%bd%d0%b0-%d0%b1%d0%b0/#respond</comments>
		
		<dc:creator><![CDATA[Admin]]></dc:creator>
		<pubDate>Sat, 08 Aug 2020 21:56:48 +0000</pubDate>
				<category><![CDATA[Linux]]></category>
		<category><![CDATA[ClearOS]]></category>
		<category><![CDATA[шлюз]]></category>
		<guid isPermaLink="false">https://clip-clap.ru/?p=1476</guid>

					<description><![CDATA[<p>Мне давно знаком дистрибутив для быстрого и удобного развертывания шлюза с удобной web панелью для управления. Я решил описать установку и</p>
<p>Сообщение <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8-%d0%bf%d1%80%d0%be%d0%ba%d1%81%d0%b8-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%b0-%d0%bd%d0%b0-%d0%b1%d0%b0/">Настройка шлюза и прокси сервера на базе ClearOS</a> появились сначала на <a href="https://clip-clap.ru">Clip-Clap</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Мне давно знаком дистрибутив для быстрого и удобного развертывания шлюза с удобной web панелью для управления. Я решил описать установку и настройку clearos в бесплатной редакции community для организации шлюза и прокси сервера. Данный продукт вполне подойдет для малого и среднего офиса со стандартными требованиями к маршрутизатору.</p>


</br>



<p>Что такое ClearOS? Если кратко, то это программный шлюз на базе операционной системы CentOS для малого и среднего бизнеса, в случае необходимости и для домашнего использования. Все управление происходит через браузер в удобной web панели. Освоить настройку и управление не трудно даже если вы вообще ничего не знаете о linux. Подробнее о системе можно почитать на&nbsp;<a href="https://www.clearos.com/" target="_blank" rel="noreferrer noopener">официальном сайте</a>. Приведу оттуда любопытное видео, мне понравилось.<br>Watch this video on YouTube</p>



<p>Теперь расскажу своими словами что это такое и чем оно мне нравится:</p>



<ol><li><strong>Во-первых</strong>, clearos действительно легко настраивается. Я не скажу, что прям каждый сможет это сделать, какое-то понимание в работе шлюзов должно быть, но знаний непосредственно линукса может не быть совсем. Через браузер реально все настроить и заставить работать. Функционал достаточный для среднестатистического офиса.</li><li><strong>Во-вторых</strong>, в clearos все сделано удобно в том плане, что если зайти на сервер по ssh, то увидите обычные конфиги привычного софта &#8212; squid, iptables, dnsmasq и другие. Сверху у вас обертка из веб панели, а внутри привычные конфиги. Панель не уродует их, не прячет, не приводит к неудобочитаемому виду. Если вы неплохо разбираетесь в centos, то без проблем сможете настроить в консоли все, что вам нужно. Например, меня не устраивал функционал openvpn, реализованный через стандартное управление. Я просто зашел в консоль и настроил так, как мне нужно. Конечно, я потерял возможность управлять ей через web панель, но тем не менее смог получить необходимый функционал. Это удобно еще и потому, что в панели управления очень мало настроек, большинство остается по-умолчанию и не настраивается. Если вы понимаете что делаете и хотите узнать больше, вы просто смотрите конфиг программы через консоль.</li><li><strong>В-третьих</strong>, внутри у вас обычная CentOS. Вы с ней можете делать все, что делаете с обычным сервером. Установить новые пакеты, посмотреть другие настройки. Главное не делать то, что мешает работе веб панели управления.</li><li><strong>В-четвертых</strong>, она легко бэкапится. Я проверял несколько раз. Есть нюансы, о которых нужно знать. Я расскажу об этом ниже. Но в общем и целом, можно без лишних телодвижений забэкапить настройки сервера и восстановить их на другом железе.</li></ol>



<p>Теперь о минусах, с которыми я сам сталкивался. На всякий случай нужно отключать автоматическое обновление. Один раз после обновления перестал работать dnsmasq, который выступал в роли dns и dhcp сервера в локальной сети. Была небольшая ошибка в конфиге, которая возникла после обновления. Для меня не составило никакого труда зайти в консоль сервера, посмотреть логи, понять и исправить ошибку. Но для офиса, где не было системного администратора linux это обернулось серьезными проблемами и перебоями в работе сети. Все, что получало сетевые настройки по dhcp не работало некоторое время.</p>



<p>Вторым минусом, хотя это и не совсем минус, является маленькое количество настроек. Я понимаю, что это сделано для простоты как для самих пользователей, так и создателей&nbsp;дистрибутива. Чем больше возможностей, тем труднее поддерживать и настраивать. Простой пример &#8212; авторизация в openvpn сделана по сертификату и паролю. Мне, например, достаточно только авторизации по сертификату, но стандартный функционал не позволяет так сделать. Либо на прокси списки контроля доступа возможны только при авторизации по имени пользователя, по ip сделать не получится, хотя последнее мне кажется удобнее.</p>



<p>&nbsp;Но в общем и целом продукт годный, можно пользоваться, отключив на всякий случай автообновление.</p>


</br>



<h2 class="wp-block-heading">Установка ClearOS</h2>



<p>Прежде чем установить, нам надо скачать clearos. Зайдя на сайт, может показать неочевидным что и где качать. На сегодняшний день существуют 3 редакции clearos:</p>



<ol><li><strong>Community</strong>&nbsp;&#8212; бесплатная версия с базовым функционалом, платные пакеты для расширения функционала можно покупать отдельно.</li><li><strong>Home</strong>&nbsp;&#8212; для домашнего использования. Стоит 3 доллара в месяц. У нее свои пакеты в магазине для этой редакции.</li><li><strong>Business</strong>&nbsp;&#8212; расширенная версия со своим магазином и пакетами. Стоит 9 долларов в месяц.</li></ol>



<p>Нас интересует установка clearos в редакции Community. Скачать ее можно <a href="https://www.clearos.com/clearfoundation/software/clearos-downloads" target="_blank" rel="noreferrer noopener">по ссылке</a>, выбрав соответствующую редакцию. Про саму установку рассказывать нечего, так как используется стандартный установщик centos. Там все идентично стандартной установке centos. Обязательно настройте сетевое подключение во время установки clearos. Без него невозможна дальнейшая настройка.</p>



<p>Качайте, устанавливайте и начинайте настройку.</p>



<h2 class="wp-block-heading">Начальная настройка шлюза</h2>



<p>После установки, первый запуск нас встречает информационной страницей:</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-01.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-01-1024x593.png" alt="Начало настройки ClearOS" class="wp-image-4107"/></a></figure></div>



<p>Здесь же сделаем первоначальную настройку сетевых интерфейсов. Жмем на ссылку&nbsp;<strong>Network Console</strong>. Заходим под учеткой root и настраиваем сеть.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-04.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-04-1024x769.png" alt="Настройка сети" class="wp-image-4110"/></a></figure></div>



<figure class="wp-block-table"><table><tbody><tr><td>eth0 192.168.1.101</td><td>В моем случае это внешний интерфейс, по которому я получаю интернет</td></tr><tr><td>eth1 10.0.0.1</td><td>Внутренний интерфейс, который будет подключен к локальной сети</td></tr></tbody></table></figure>



<p>Для продолжения настройки clearos необходимо в браузере открыть страницу по ip, указанному в установке. В моем случае это&nbsp;<em>https://192.168.1.101:81</em>. При входе браузер предупредит о недоверенном сертификате. Так и должно быть, все равно переходите на страницу. Вас встречает окно логина в систему.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-02.png" alt="Логин в систему" class="wp-image-4108"/></figure></div>



<p>Вводите указанную при установке учетную запись root. Язык рекомендую везде использовать английский. Во-первых, перевод на русский не очень понятный, во-вторых, все инструкции на английском языке. В рунете нет документации по clearos. Основной источник информации &#8212; база знаний и форум на официальном сайте.</p>



<p>Я не буду приводить описание всех шагов настройщика. Остановлюсь только на ключевых. Вам зададут вопрос про&nbsp;<strong>Network Mode</strong>. Мы настраиваем шлюз, поэтому выбираем&nbsp;<strong>Gateway Mode</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-03.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-03-1024x657.png" alt="Модель работы ClearOS" class="wp-image-4109"/></a></figure></div>



<p>Сеть уже настроили. Если ничего менять не надо, то двигаетесь дальше. Потом указываем dns сервер либо вручную, либо, если настройки по dhcp получали, то он уже будет прописан. Дальше выбираете редакцию, в нашем случае&nbsp;<strong>Community</strong>. Затем надо зарегистрировать установку. Вам нужна учетная запись на сайте clearos. Идите и зарегистрируйтесь. Данные от этого аккаунта нужно будет ввести в регистрации установки.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-05.png" alt="Регистрация системы" class="wp-image-4111"/></figure></div>



<p>На следующем этапе устанавливаются обновления. Это не так быстро, придется подождать минут 5-10, пока все установится. Хотя не факт, зависит от скачанного дистрибутива. Дальше указываем имя домена и сервера. Можете писать все, что угодно. Если сервер будет смотреть в интернет и есть доменное имя, можно реальное указать. Если не хочется, то придумайте что-то вроде gate.local.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-06.png" alt="Имя сервера" class="wp-image-4112"/></figure></div>



<p>Потом идет установка времени и самое интересное &#8212; выбор дополнительных пакетов. Пока ничего не выбирайте. Будем ставить все необходимое по мере настройки функционала, поэтому выбирайте&nbsp;<strong>Skip Wizard</strong>.</p>



<p>На этом все, начальная настройка clearos завершена. Можете настроить dashboard так, как вам нравится. Выбирать особо не из чего, поставьте те виджеты, что есть в наличии. Давайте сразу включим&nbsp;<strong>DHCP сервер</strong>. Идем в раздел&nbsp;Network -&gt; Infrastructure -&gt; DHCP&nbsp;Server&nbsp;и включаем его на локальном интерфейсе:</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-13.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-13.png" alt="Настройка DHCP" class="wp-image-4119"/></a></figure></div>



<p>Настройки можно оставить по-умолчанию, только выбрать диапазон ip, из которого будут выдаваться адреса. Я выбрал 100-254.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-14.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-14.png" alt="Параметры DHCP" class="wp-image-4120"/></a></figure></div>



<p>В таком виде уже можно подключать устройства в сеть. Они будут получать ip адреса и иметь доступ в интернет.</p>


</br>



<h2 class="wp-block-heading">Настройка firewall</h2>



<p>Продолжим настройку clearos&nbsp;настройкой&nbsp;firewall. Изначально у нас уже есть возможность настраивать блокировку входящих соединений сервера. Но этого мало. Нам понадобится как минимум проброс портов и создание более сложных правил блокировки. Для этого нам необходимо установить несколько дополнительных пакетов из Marketplace. Идем туда и выбираем:</p>



<ul><li><strong>Custom Firewall</strong>&nbsp;для создания любых правил iptables.</li><li><strong>Port Forwarding</strong>&nbsp;для проброса портов.</li></ul>



<p>После установки в разделе firewall есть 3 пункта:</p>



<ul><li>Custom Firewall</li><li>Incoming Firewall</li><li>Port Forwarding</li></ul>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-07.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-07.png" alt="Настройка Firewall в ClearOS" class="wp-image-4113"/></a></figure></div>



<p>По-умолчанию у нас есть одно входящее правило во фаерволе, которое разрешает подключение к web панели управления по 81 порту. Но, допустим, вам надо ограничить доступ по этому порту и разрешить только с определенных адресов. Стандартный функционал раздела <strong>Incoming Firewall</strong> не позволяет это сделать. Нам необходимо написать полное правило для iptables и поместить его в <strong>Custom Firewall</strong>. Подробнее о написание правил для фаервола рассказано в отдельной статье, посвещенной <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/centos/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-iptables-%d0%b2-centos-7/" target="_blank" rel="noreferrer noopener">настройке iptables</a>. Я здесь не буду останавливаться на написании правил. Это отдельная тема. Приведу только пару примеров.</p>



<p>Но сразу хочу предупредить. С правилом доступа к серверу экспериментировать не советую. Сам я с первой попытки отключил себе доступ к серверу по 81-му порту. И вот я сижу, сервер передо мной, но я не могу ничего сделать. Через браузер зайти не могу в панель управления. Через консоль сервера никаких вариантов нет, перезагрузка не помогает, ssh по-умолчанию выключен. Для админа, который не разбирается в линуксе это тупик, ничего не сделать, надо переустанавливать сервер.</p>



<p>Я конечно же решил проблему. Открыл на сервере вторую консоль через Alt+F2, зашел root&#8217;ом в систему. Посмотрел какие сейчас действуют правила iptables.</p>



<pre class="wp-block-preformatted"># iptables -L -v -n</pre>



<p>Сбросил их.</p>



<pre class="wp-block-preformatted"># iptables -F</pre>



<p>И сделал фаервол открытым.</p>



<pre class="wp-block-preformatted"># iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT</pre>



<p>После этого снова подключился к серверу через браузер.</p>



<p>Сразу уточню, что по-молчанию в firewall заблокировано все, что не разрешено явно. То, что в разделе&nbsp;Incoming Firewall указано как открытый входящий порт 81, на сервере выглядит немного не так. Открыт не только входящий порт, но и исходящий. Я же в ручном правиле открыл только входящий порт, не указав исходящий. В итоге доступ к серверу потерял. Не повторяйте моих ошибок. С фаерволом работайте очень аккуратно и без особой надобности не трогайте правило, которое разрешает подключение к серверу по 81-му порту.</p>



<p>Вот и примеры. Разрешаем доступ к ssh только с адреса 192.168.1.112.</p>



<pre class="wp-block-preformatted">iptables -A INPUT -s 192.168.1.112 -d 192.168.1.101/32 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.101/32 -d 192.168.1.101/32 -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT</pre>



<p>Добавляете эти правила в&nbsp;<strong>Custom Firewall</strong>&nbsp;и сможете подключаться по ssh, предварительно запустив сервис в разделе&nbsp;Network -&gt; Infrastructure -&gt; SSH Server.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-08.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-08-1024x567.png" alt="SSH доступ" class="wp-image-4114"/></a></figure></div>



<p>Вот другой пример. Вам надо какому-то ip адресу полностью запретить доступ в интернет. Делаете правило в&nbsp;Custom Firewall для ip 10.0.0.15.</p>



<pre class="wp-block-preformatted">iptables -I FORWARD 1 -s 10.0.0.15&nbsp;-j DROP</pre>



<p>Щелкнут мышкой по правилу, вы можете увидеть его целиком.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-09.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-09-1024x639.png" alt="Настройка Custom Firewall в ClearOS" class="wp-image-4115"/></a></figure></div>



<p>Добавлять можете какие угодно правила. Синтаксис идентичен обычному синтаксису для iptables.</p>


</br>



<p>Теперь настроим проброс порта. Это сделать очень просто. Допустим, у нас есть web сервер по адресу 10.0.0.5. Нам надо настроить forward&nbsp;80-го порта. Идем в раздел&nbsp;Network -&gt; Firewall -&gt; Port Forwarding&nbsp;и создаем новое правило, выбрав&nbsp;<strong>Add by: Port</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-10.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-10-1024x527.png" alt="Проброс портов" class="wp-image-4116"/></a></figure></div>



<p>И сохраняете. Больше вам ничего делать не надо. Все необходимые правила будут созданы автоматически. Можно посмотреть на сервере по ssh,что это за правила:</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-11.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-11.png" alt="Правила iptables" class="wp-image-4117"/></a></figure></div>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-12.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-12.png" alt="Правила iptables" class="wp-image-4118"/></a></figure></div>



<p>С настройкой firewall в clearos закончили. Обозначил основные функции.</p>


</br>



<h2 class="wp-block-heading">Настройка proxy сервера</h2>



<p>Теперь рассмотрим настройку proxy сервера на clearos. Идем в Marketplace и ставим пакеты&nbsp;<strong>Web Proxy Server</strong>,&nbsp;<strong>Content Filter Engine</strong>&nbsp;и&nbsp;<strong>Filter and Proxy Report</strong>. Первый это прокси сервер squid, второй &#8212; контент фильтр dansguardian. Прокси сервер может работать в одном из трех режимов:</p>



<ol><li><strong>Transparent Mode + No User Authentication</strong>. В этом режиме все http запросы из локальной сети автоматически перенаправляются на порт 3128 прокси сервера с помощью правила на фаерволе. При данной настройке на компьютерах пользователей не нужно делать никаких настроек. Выход в интернет для пользователей полностью прозрачен. Существенный минус такого режима &#8212; невозможно проксировать https соединения. А их сейчас все больше и больше. Вы ни статистику по ним не сможете увидеть, ни заблокировать. С учетом того, что сейчас все популярные сайты перешли на https, данный режим работы прокси бесполезен.</li><li><strong>Non-Transparent + No User Authentication</strong>. В данном режиме в браузере пользователя необходимо в обязательном порядке установить адрес прокси сервера, иначе доступ в интернет будет закрыт. Пользователи авторизуются прозрачно, доступ в интернет у всех один и тот же. Возможно блокировать доступ как к обычным, так и https сайтам. Минус этого режима в том, что нет возможности настроить разный доступ разным группам пользователей. Можно либо всем все закрыть, либо всем открыть.</li><li><strong>Non-Transparent + User Authentication</strong>. В этом режиме больше всего настроек. Выход в интернет осуществляется с авторизацией по имени пользователя. Можно настраивать списки доступа для различных групп пользователей. Как и в предыдущем режиме необходима настройка прокси сервера в свойствах браузера. Главным минусом этого режима &#8212; после запуска браузера необходимо вручную ввести имя пользователя и пароль для доступа в интернет.</li></ol>



<p>С такими вводными лично для меня является приемлемым только второй вариант работы прокси, на нем я и остановлюсь. Без фильтрации https трафика смысла в прокси нет вообще, а вводить вручную каждый раз пароль логин и пароль, я считаю издевательством над пользователями.</p>



<p>Идем в раздел&nbsp;Gateway -&gt; Content Filter and Proxy -&gt; Web Proxy Server, выбираем режим работы&nbsp;<strong>Non-Transparent + No User Authentication</strong>. После сохранения страница настроек выглядит следующим образом.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-15.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-15-1024x469.png" alt="Запуск Proxy Server" class="wp-image-4121"/></a></figure></div>



<p>Для запуска Proxy не забудьте нажать&nbsp;Start. После этого прокси сервер будет запущен с заданными параметрами.&nbsp;В данном случае доступ в интернет будет как без прокси, так и с прокси. Если у пользователя в браузере указан адрес прокси сервера, то он будет выходить через прокси, будет логироваться вся его активность в интернете. Если прокси не указан, то доступ в интернет будет прямой. Может кому-то понадобится именно такой режим, можно на этом остановиться. Если мы хотим блокировать доступ к определенным сайтам, то продолжаем настройку.</p>



<h2 class="wp-block-heading">Блокировка сайтов в ClearOS</h2>



<p>Перейдем к запретам. Открываем&nbsp;Gateway -&gt; Content Filter and Proxy -&gt;&nbsp;Content Filter Engine. Нажимаем&nbsp;<strong>Configure Policy</strong>&nbsp;для добавления блокировки сайтов.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-16.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-16-1024x694.png" alt="Настройка запрета сайтов" class="wp-image-4122"/></a></figure></div>



<p>Открываем на редактирование список&nbsp;<strong>Banned Sites</strong>&nbsp;и добавляем туда адрес сайта. В моем примере это будет популярная социальная сеть vk.com.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-17.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-17.png" alt="Блокировка сайта" class="wp-image-4123"/></a></figure></div>



<p>Сохраняем настройки и запускаем модуль.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-18.png" alt="Запуск модуля фильтрации сайтов" class="wp-image-4124"/></figure></div>



<p>Теперь доступ в интернет будет заблокирован всем, у кого в настройках браузера не установлен прокси сервер. При попытке открыть любую страницу, пользователь будет получать сообщение.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-19.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-19.png" alt="Предупреждение" class="wp-image-4125"/></a></figure></div>



<p>Добавляем, как указано, адрес proxy server в браузер.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-20.png" alt="Настройки proxy в браузере" class="wp-image-4126"/></figure></div>



<p>Теперь интернет заработал, а на заблокированный сайт зайти не получится. Браузер будет сообщать, что невозможно открыть страницу. По идее, пользователя должно перенаправлять на страницу с сообщением о том, что сайт заблокирован. Но этого функционала нет, либо я не понял, как его настроить. Сайт просто блокируется без перенаправления и какой-либо информации. Просто недоступен и все. Факт блокировки доступа отражается в лог файле модуля&nbsp;<em>dansguardian/access.log</em>. Посмотреть его можно в разделе&nbsp;Reports -&gt; Log Viewer, выбрав соответствующий лог и сделав поиск по слову DENIED.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-21.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-21-1024x614.png" alt="Логи proxy" class="wp-image-4127"/></a></figure></div>



<p>Посмотреть отчеты по какому адресу кто куда ходил можно в разделе&nbsp;Reports -&gt; Filter and Proxy Report, конкретно отчет&nbsp;<strong>Top IPs</strong>. Там будет список всех IP адресов, которые выходили в интернет с помощью proxy. При нажатии на IP, открывается подробная статистика по нему. Ответ вообще не информативен. Сортировка по размеру выглядит странно, смотрите сами.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-22.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-22.png" alt="Отчет по ip" class="wp-image-4128"/></a></figure></div>



<p>Понять из этого отчета, куда пользователь ходил чаще у меня не очень получается. Все как-то криво и не наглядно. К слову, в предыдущих версиях clearos интерфейс был более удобный. Все было мельче и более наглядно, так как умещалось больше информации. Ну а тут что есть, то есть.</p>



<p>Настроек в модуле фильтрации достаточно много, можно самому посмотреть, почитать в&nbsp;<a href="https://www.clearos.com/resources/documentation/clearos/content:en_us:7_ug_content_filter" target="_blank" rel="noreferrer noopener">документации</a>. Долго все расписывать. В раздел&nbsp;<strong>Exception IPs</strong>&nbsp;можно добавить ip адреса сайтов, на которые всегда будет доступ, в&nbsp;<strong>Banned IPs</strong>&nbsp;наоборот, заносятся адреса, на которые доступ нужно запретить. Если вы будете использовать авторизацию по имени пользователя, то в настройках модуля можно создать различные политики для разных групп пользователей. Кому-то все разрешить, кому-то частично. Я тестировал этот функционал, он работает. Нужно только настроить модуль&nbsp;Directory Server в разделе&nbsp;System -&gt; Account Manager&nbsp;и в нем создать пользователей с группами. Но мне показалось неудобным вводить логин с паролем для выхода в интернет, поэтому я не стал акцентировать внимание на этом режиме.</p>


</br>



<h2 class="wp-block-heading">Настройка vpn на базе openvpn</h2>



<p>Настроим еще одну важную функцию &#8212; vpn сервер. Тут мне в целом все понравилось. Не так много решений, где можно без проблем, удобно и быстро создавать сертификаты для пользователей openvpn и сразу же из web интерфейса забирать их с файлом конфигурации. Идем в Markeplace и ставим пакет&nbsp;<strong>OpenVPN</strong>. Открываем раздел&nbsp;Network -&gt; VPN -&gt; OpenVPN&nbsp;и начинаем настраивать.</p>



<p>Первым делом нам предложат сконфигурировать сертификаты для сервера. Сделаем это.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-23.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-23-1024x412.png" alt="Генерация сертификатов" class="wp-image-4129"/></a></figure></div>



<p>В поля для ввода можно писать все, что угодно. Принципиального значения это не имеет.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-24.png" alt="Параметры сертификата" class="wp-image-4130"/></figure></div>



<p>После создания сертификатов снова возвращаемся в раздел OpenVPN и разрешаем создать в фаерволе необходимые правила.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-25.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-25.png" alt="Настройка openvpn в ClearOS" class="wp-image-4131"/></a></figure></div>



<p>В общем-то все, теперь справа жмем&nbsp;Start&nbsp;и запускаем модуль. Нам нужно создать пользователя для доступа по vpn. Идем в раздел&nbsp;System -&gt; Account Manager&nbsp;и жмем&nbsp;<strong>Install and initialize Built-in Directory</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-26.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-26.png" alt="Установка openldap" class="wp-image-4132"/></a></figure></div>



<p>Ждем окончания процесса, потом идем в раздел&nbsp;Accounts&nbsp;и создаем там пользователя.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-27.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-27.png" alt="Создание аккаунта для vpn" class="wp-image-4133"/></a></figure></div>



<p>Выходим из панели управления под пользователем root и логинимся под только что созданным пользователем. После входа нам нужно будет еще раз подтвердить пароль. Делаем это.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-28.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-28.png" alt="Смена пароля" class="wp-image-4134"/></a></figure></div>



<p>В правом верхнем углу нажимайте на имя пользователя и выбирайте User Certificates.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-29.png" alt="Создание сертификата для openvpn" class="wp-image-4135"/></figure></div>



<p>Вводите пароль и создавайте сертификат. Теперь его надо скачать. Вам нужны 3 файла:</p>


</br>



<ul><li>Certificate</li><li>Certificate Authority</li><li>Private Key</li></ul>



<p>Ниже выбирайте тип системы, для которой хотите скачать конфигурационный файл openvpn и скачивайте его. Я буду показывать на примере Windows. В конфигурационном файле сразу же отредактируйте параметр remote. Если у вас там не указан реально существующий домен, то его необходимо заменить на внешний ip адрес сервера clearos. В моем случае строка выглядела так:</p>



<pre class="wp-block-preformatted">remote gate.local 1194</pre>



<p>Я заменил на</p>



<pre class="wp-block-preformatted">remote 192.168.1.101&nbsp;1194</pre>



<p>Напомню, что в моем случае это внешний ip адрес, который смотрит в интернет. Так как это не публичный&nbsp;ip адрес, мне нужно будет пробросить порт 1194 еще на вышестоящем роутере. Но у вас скорее всего это будет уже внешний IP адрес, если вы настраиваете шлюз в интернет.</p>



<p>Конфигурационный файл вместе с сертификатами копируйте в папку&nbsp;<em>C:\Program Files\OpenVPN\config</em>, запускайте openvpn и пробуйте подключиться. Вы должны подключиться к серверу и увидеть все компьютеры в локальной сети за шлюзом. Во время подключения вам нужно будет ввести логин и пароль созданного пользователя vpn.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2016/10/clearos-30.png" alt="Подключение по vpn к ClearOS" class="wp-image-4136"/></figure></div>



<p>Если не подключается, то в первую очередь проверьте, запущен ли модуль openvpn, затем создано ли правило на фаерволе, разрешающее входящие подключения по порту 1194.</p>



<p>Каждому клиенту будет назначаться один и тот же ip адрес в туннеле. По-умолчанию, туннель образует подсеть&nbsp;10.8.0.0/24. Конфиг сервера можно подсмотреть в консоли в файле&nbsp;<em>/etc/openvpn/clients.conf</em>. Менять его через консоль не рекомендую, он будет снова изменен при перезапуске сервиса. Полезно просто узнать остальные настройки. Через веб панель их не видно.</p>



<p>В общем и целом все нормально работает. OpenVPN завелся без плясок с бубном, что, считаю, неплохо. Функционал достаточный, пользоваться удобно.</p>



<h2 class="wp-block-heading">Backup настроек</h2>



<p>Расскажу про backup настроек clearos, так как есть некоторый опыт. Существуют 2 пакета для бэкапа:</p>



<ol><li><strong>Configuration Backup and Restore</strong>. По-умолчанию уже установлен в системе.</li><li><strong>Baremetal Backup and Restore</strong>. Ставится отдельно из магазина.</li></ol>



<p>Первый позволяет просто сохранить текущие настройки в файл и скачать файл на компьютер. Второй может работать по расписанию и регулярно сохранять backup на флешку. Сам бэкап из себя представляет список пакетов и файлов конфигурации к ним. В общем и целом он нормально работает, я восстанавливал системы, но есть нюанс.</p>



<p>Backup clearos будет работать, только если вы восстанавливаете настройки на ту же версию системы. А версия системы достаточно часто меняется. Простой пример. Вы установили систему и настроили бэкап. Пол года все было нормально, вы регулярно делали бэкапы. Но сервер неожиданно ломается. Вы скачиваете образ с сайта, устанавливаете его, накатываете бэкап, а он вам сообщает, что не может восстановить настройки, так как версия системы отличается.</p>



<p>На ум приходит следующий вариант. Вы ставите сервер и сохраняете образ диска, с которого его ставили. Когда надо восстановить настройки, вы ставите сервер из старого образа и думаете, что все будет нормально. Но опять засада. Во время установки сервер скачивает последние обновления. Этот процесс нельзя ни отменить, ни пропустить!!! Такая вот загвоздка. Выход только один &#8212; держать постоянно актуальную версию системы. Но как я уже говорил, иногда могут возникнуть проблемы после обновления. Хотя у меня они реально были только один раз. Незначительная ошибка, которую я быстро исправил. Но тем не менее. Имейте ввиду такую особенность и решите, как вам лучше бэкапить сервер. Если это будет виртуальная машина, то бэкапить лучше на уровне виртуалки.</p>



<p>Не буду подробно расписывать, как сделать сам бэкап. Достаточно зайти в меню модуля и кликнуть пару раз мышкой. Там нет ничего сложного.</p>



<h2 class="wp-block-heading">Дополнительные возможности</h2>



<p>Упомяну еще несколько полезный бесплатных модулей, которые я сам проверил и мне они показались полезными:</p>



<ol><li><strong>Bandwidth and QoS Manager</strong>. В работе я его не проверял, но поставил и посмотрел настройки. Ничего сложного нету, думаю он будет работать. Позволяет настроить приоритизацию трафика и ширину канала по ip адресам.</li><li><strong>Network Map</strong>. Регулярно сканирует сеть и обнаруживает устройства. Позволяет вручную описать устройство на основе его MAC.</li><li><strong>Network Report и Network Visualizer</strong>. Строят отчеты и отображают текущую сетевую загрузку по интерфейсам. Не сильно информативно, но лучше, чем ничего.</li><li><strong>NTP Server</strong>. Сервер времени, по которому другие компьютеры в сети могут синхронизировать время. Полезно, когда вся сеть имеет одно и то же время.</li><li><strong>Services</strong>. Отображает список сервисов на сервере. Позволяет добавлять или исключать их из автозагрузки.</li></ol>



<p>Я устанавливал и проверял работу почтового сервера. У меня все получилось настроить через веб панель. Каких-то проблем не возникло. Установил пакет, добавил пользователей, настроил подключение клиентом по imap. Не понравилось то, что нет бесплатного пакета с web интерфейсом. Roundcube стоит 25 долларов. В принципе, немного, если вам действительно нужен почтовый сервер с веб интерфейсом. Но лично я считаю, что почтовый сервер должен быть отдельной ролью с очень гибкими настройками. Это мое мнение, я просто умею настраивать почтовые сервера. Если у вас такого навыка нет, вам возможно подойдет почтовый сервер на clearos. Настроить его не трудно.</p>



<p>ClearOS может выступать в роли контроллера домена, но не уверен, что это будет нормально работать. Самба еще далека от идеала в качестве контроллера. Есть функционал файлового сервера. Но лично я всегда рассматривал ClearOS как удобный шлюз в интернет, который можно настроить мышкой. Остальной функционал не использовал. Не люблю системы, где все в одном. Предпочитаю их разделять.</p>



<h2 class="wp-block-heading">Заключение</h2>



<p>Я рассмотрел только основные возможности ClearOS, но даже это получилось очень объемным материалом. В целом, система дружелюбная, разобраться можно просто пробуя настройки и проверяя изменения. Я рекомендую эту систему тем, кто непременно хочет программный шлюз, но при этом не очень разбирается в настройках. Какое-то понимание, конечно, необходимо, но тут даже методом тыка можно что-то получить. Настроек очень мало, основная их часть от пользователя скрыта. В этом вижу основное преимущество данной сборки.</p>



<p>У меня есть опыт нескольких лет использования ClearOS. Ставил не я, досталось в наследство, так и познакомился. Система работает и свои функции выполняет. Что-то я в консоли сам донастраивал, когда было нужно. Например, соединил две ClearOS с помощью OpenVPN по схеме сервер &#8212; сервер. Не клиент &#8212; серверная модель, как описано тут, а просто два сервера. Можно ставить дополнительные пакеты по необходимости. Тот же&nbsp;<strong>MC</strong>&nbsp;поставить не проблема, подойдет стандартная команда centos &#8212; yum install mc.</p>



<p>Система интересная и вполне надежная, можно пользоваться.</p>
<p>Сообщение <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8-%d0%bf%d1%80%d0%be%d0%ba%d1%81%d0%b8-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%b0-%d0%bd%d0%b0-%d0%b1%d0%b0/">Настройка шлюза и прокси сервера на базе ClearOS</a> появились сначала на <a href="https://clip-clap.ru">Clip-Clap</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8-%d0%bf%d1%80%d0%be%d0%ba%d1%81%d0%b8-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%b0-%d0%bd%d0%b0-%d0%b1%d0%b0/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Настройка интернет шлюза ИКС с фильтрацией HTTPS трафика</title>
		<link>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8%d0%ba%d1%81-%d1%81-%d1%84%d0%b8%d0%bb%d1%8c%d1%82%d1%80/</link>
					<comments>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8%d0%ba%d1%81-%d1%81-%d1%84%d0%b8%d0%bb%d1%8c%d1%82%d1%80/#respond</comments>
		
		<dc:creator><![CDATA[Admin]]></dc:creator>
		<pubDate>Sat, 08 Aug 2020 20:58:50 +0000</pubDate>
				<category><![CDATA[Linux]]></category>
		<category><![CDATA[HTTPS]]></category>
		<category><![CDATA[шлюз]]></category>
		<guid isPermaLink="false">https://clip-clap.ru/?p=1465</guid>

					<description><![CDATA[<p>Сегодня хочу рассказать о необычном продукте росскийской разработки &#8212; интернет шлюзе ИКС. Ранее мне не приходилось о нем ничего слышать,</p>
<p>Сообщение <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8%d0%ba%d1%81-%d1%81-%d1%84%d0%b8%d0%bb%d1%8c%d1%82%d1%80/">Настройка интернет шлюза ИКС с фильтрацией HTTPS трафика</a> появились сначала на <a href="https://clip-clap.ru">Clip-Clap</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Сегодня хочу рассказать о необычном продукте росскийской разработки &#8212; интернет шлюзе ИКС. Ранее мне не приходилось о нем ничего слышать, тем более пробовать в деле, но после тестов могу сказать, что решение мне в целом понравилось. Это платный продукт c freebsd под капотом, но все управление только через web-интерфейс. В консоль лазить не надо.</p>


</br>



<h2 class="wp-block-heading">Введение</h2>



<p>Эта статья заказная. Ко мне обратились авторы продукта и предложили оценить его и написать по нему статью. Требований никаких не предъявляли. С сайта скачивается полнофункциональный триал на 35 дней. Я посмотрел описание, меня заинтересовал функционал, поэтому я согласился. У меня есть пара очень старых статей, которые описывают заявленный в ИКС функционал, но делают это не очень хорошо, поэтому под статьями десятки комментариев. Функционал востребованный, статьи популярны, с множеством комментариев и вопросов.</p>



<p>Мне показалось, что готовое коробочное решение, которое решает схожие задачи, будет полезно и интересно. Забегая вперед скажу, что это так и есть. Продукт в целом мне понравился, сделан добротно. Заявленный функционал работает нормально.</p>



<p>Для прокси серверов сейчас практически нет альтернатив, везде используют squid. К нему колхозят всякие авторизации, статистики, отчеты и т.д. Получается всегда так себе. Обслуживать неудобно. Я сам лично использовал шлюзы на базе описанного sams + squid с авторизацией по ip. Так же настраивал squid на работу в AD с доступом к ресурсам по группам домена. Работало вполне нормально, но не очень удобно.</p>



<p>Со временем перестал работать с этими продуктами, потому что мне надоело обслуживать все это. Надоели наколенные поделки. Готовые платные шлюзы сам не использовал никогда, потому что заказчики чаще всего не хотят платить за то, что можно настроить бесплатно, а я не любил это настраивать. В итоге просто исключил этот сегмент из своей сферы деятельности.</p>



<h2 class="wp-block-heading">Что такое Интернет Контроль Сервер (ИКС)</h2>



<p>Переходим теперь к ИКС. Сами разработчики позиционируют свой продукт как безопасный интернет-шлюз в связи с тем, что он соответствует требованиям ФСТЭК России. В чем именно состоят эти требования и насколько это влияет на безопасность я судить не берусь, потому что с сертификацией не знаком вообще.</p>


</br>



<p>Тем не менее, с безопасностью, по идее, проблем быть не должно, потому что под капотом этого решения стандартные проверенные временем инструменты. В основе операционная система&nbsp;<strong>Freebsd</strong>, которую традиционно любят использовать в сборках под шлюзы. Например, самый популярный шлюз с веб интерфейсом &#8212; pfsense использует freebsd.</p>



<p>В качестве firewall используется традиционные для bsd систем&nbsp;<strong>ipfw</strong>&nbsp;и&nbsp;<strong>pf</strong>, в качестве прокси все тот же&nbsp;<strong>squid</strong>, в качестве телефонии&nbsp;<strong>asterisk</strong>, файлового сервера&nbsp;<strong>samba</strong>&nbsp;и т.д. То есть все стандартное, но завернутое в единый web интерфейс. Мне сам интерфейс понравился. Выглядит современно, красиво, работает шустро. В процессе настройки у меня к нему претензий не было.</p>



<p>Среди преимуществ разработчики выделяют следующее:</p>



<ul><li>Отечественная разработка, зарегистрированная в едином реестре российских программ для ЭВМ и БД. Соответствует ФЗ №188 и статье 14 ФЗ №44. Может использоваться в бюджетных учреждениях и коммерческих организациях любого уровня.</li><li>Объединение в одном продукте практически всех служб, которые требуются для функционирования современной локальной сети &#8212; шлюз, почта, телефония, файловый сервер, чат.</li><li>Простая и интуитивная (тут у меня есть сомнения) настройка, с которой справится любой эникей.</li><li>Льготные цены для учебных заведений и библиотек.</li></ul>



<p>После изучения функционала, просмотра цен и тестирования, я понял, в какую нишу в основном метят разработчики &#8212; бюджетные учреждения, в том числе школы. Смысл в том, что сейчас все больше и больше всяких законодательных требований к контролю за интернетом и трафиком. Бюджетные учреждения обязаны как-то заниматься этим вопросом, а не пускать его на самотек и доверять своим админам, которые, как известно, не очень, из-за низких зарплат бюджетников.</p>



<p>В целом, продукт отвечает на поставленные вопросы. Он действительно прост в управлении и имеет под капотом все необходимые инструменты для выполнения требований закона по контролю за интернет активностью. Он автоматом обновляет списки Минюста и Госнаркоконтроля и ограничивает доступ в интернет в соответствии с этими списками.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-01.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-01.png" alt="Базы Минюста и госнаркоконтроля для фильтрации трафика" class="wp-image-8760"/></a></figure></div>



<p>Когда я изучал сайт и читал описание, думал, что это очередная поделка с лейблом &#171;отечественное&#187;, созданное под распил бюджетных денег. Когда уже потестировал, могу сказать, что продукт в целом качественный и решает вопросы не только бюджетников, но и коммерческих организаций. Я бы такой купил и поставил в организацию. Думаю, после описания возможностей и демонстрации отчетов, вам тоже его захочется. Это я для тех, кто настраивал отчеты сквида в Sams или LightSquid и им подобным панелям. В ИКС все гораздо удобнее и нагляднее.</p>



<p>Ну и помимо собственно функционала прокси-сервера с анализом трафика там есть мультиван, объединение сетей, отказоустойчивость на основе&nbsp;<a href="https://ru.wikipedia.org/wiki/CARP" target="_blank" rel="noreferrer noopener">CARP</a>&nbsp;и многое другое. То есть продукт вполне функциональный с претензией на enterprise.</p>



<p>Некоторые полезные ссылки:</p>



<ul><li><a href="https://xserver.a-real.ru/description/iks_description.php/?utm_source=serveradmin&amp;utm_medium=text&amp;utm_campaign=gateway&amp;utm_content=june&amp;utm_term=description" target="_blank" rel="noreferrer noopener">Описание</a>&nbsp;и основные&nbsp;<a href="https://xserver.a-real.ru/description/benefits.php/?utm_source=serveradmin&amp;utm_medium=text&amp;utm_campaign=gateway&amp;utm_content=june&amp;utm_term=benefits" target="_blank" rel="noreferrer noopener">преимущества</a></li><li><a href="https://xserver.a-real.ru/support/videolessons/?utm_source=serveradmin&amp;utm_medium=text&amp;utm_campaign=gateway&amp;utm_content=june&amp;utm_term=videolessons" target="_blank" rel="noreferrer noopener">Видеоуроки</a>&nbsp;и прошедшие&nbsp;<a href="https://xserver.a-real.ru/support/onlines/?utm_source=serveradmin&amp;utm_medium=text&amp;utm_campaign=gateway&amp;utm_content=june&amp;utm_term=onlines" target="_blank" rel="noreferrer noopener">вебинары</a></li><li>Документация в&nbsp;<a href="https://doc.a-real.ru/docu/ics50" target="_blank" rel="noreferrer noopener">wiki</a>&nbsp;и&nbsp;<a href="http://xserver.a-real.ru/download/%D0%A0%D0%90%20%D0%98%D0%9A%D0%A1%202016%20-%20%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82%20%D1%88%D0%BB%D1%8E%D0%B7.pdf" target="_blank" rel="noreferrer noopener">pdf</a></li><li><a href="https://xserver.a-real.ru/download/?utm_source=serveradmin&amp;utm_medium=text&amp;utm_campaign=gateway&amp;utm_content=june&amp;utm_term=download" target="_blank" rel="noreferrer noopener">Загрузка</a>&nbsp;(данные можно казать любые, проверки нет) и&nbsp;<a href="https://xserver.a-real.ru/cost/?utm_source=serveradmin&amp;utm_medium=text&amp;utm_campaign=gateway&amp;utm_content=june&amp;utm_term=cost" target="_blank" rel="noreferrer noopener">стоимость</a>.</li></ul>



<p>О ценах судить не берусь. У каждого свои представления. Если все настраивать самостоятельно, то нужен будет админ с зарплатой каждый месяц выше, чем единоразовая покупка, скажем, на 100 пользователей. Сужу по зарплатам в Москве. Этим же шлюзом сможет управлять любой эникей, посмотрев обучающие ролики и обратившись в тех поддержку.</p>


</br>



<h2 class="wp-block-heading">Установка российского интернет-шлюза ИКС</h2>



<p>С установкой российского интернет-шлюза ИКС никаких сложностей нет. Инсталлятор очень простой с минимумом настроек, плюс на русском языке. Поставить сможет практически любой и не возникнет вопросов, а как разбить диск на разделы, сколько выделить под /var, /home и т.д. <img src="https://s.w.org/images/core/emoji/15.0.3/72x72/1f642.png" alt="🙂" class="wp-smiley" style="height: 1em; max-height: 1em;" /></p>



<p>Системные требования тоже очень скромные. На сайте они указаны, но понятно, что это все очень условно. Внутри неприхотливая freebsd, которая в качестве шлюза требует очень скромных ресурсов. А вот если вы развернетесь на полную с установкой почтового и файлового сервера, то ресурсов потребуется уже побольше. Для простого шлюза начать можно с 1 ядра и 2 Гб памяти. Если есть возможность, я бы начал с 2 ядра, 4 гига оперативы. Диск подбирать по потребностям, начиная 50 Гб. Я буду ставить на виртуальную машину KVM.</p>



<p>Установщик нас встречает выбором языка.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-02.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-02.png" alt="Установка ИКС шлюза" class="wp-image-8761"/></a></figure></div>



<p>Дальше принимаете лицензионное соглашение и переходите к настройке сети.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-03.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-03.png" alt="Выбор сетевого интерфейса" class="wp-image-8762"/></a></figure></div>



<p>Выбрать нужно интерфейс, который будет смотреть в локалку. Указываем ему ip адрес, маску и имя сервера. Я все выбрал дефолтное &#8212; 192.168.0.1/24.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-04.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-04.png" alt="Сетевые настройки для локального интерфейса" class="wp-image-8763"/></a></figure></div>



<p>Дальше выбираем диск, часовой пояс и начинается установка. Не буду на этом задерживаться, там нечего выбирать, все оставляем дефолтное. После завершения установки извлекаем установочный диск и перезагружаем сервер.</p>



<p>После загрузки сервера видим информацию для подключения к web интерфейсу. Учетная запись root и пароль 00000 (пять нулей).</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-07.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-07.png" alt="Информация о подключении к ИКС серверу через браузер" class="wp-image-8765"/></a></figure></div>



<p>У меня иногда почему-то сразу же загружалась консоль восстановления, через которую можно так же управлять сервером. Если что, ее дефолтный пароль&nbsp;<strong>recovery</strong>. Эта инфа есть в документации, но я не сразу понял, что это вообще такое и какой нужен пароль.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-06.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-06.png" alt="Консоль восстановления" class="wp-image-8764"/></a></figure></div>



<p>Теперь можно отправляться по адресу&nbsp;<em>https://192.168.0.1:81</em>&nbsp;и начинать настройку безопасного интернет шлюза.</p>


</br>



<h2 class="wp-block-heading">Настройка доступа в интернет</h2>



<p>В принципе, шлюз уже сейчас практически готов к работе. Нам нужно только выполнить начальную настройку сетевых адаптеров. Для этого идем в раздел&nbsp;<strong>Сеть -&gt; Мастер настройки сети</strong>. Указываем параметры для WAN и LAN интерфейсов и применяем их. Рекомендую осмысленно называть интерфейсы. По именам потом проще будет оперировать в настройке firewall.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-08.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-08.png" alt="Мастер настройки сети" class="wp-image-8766"/></a></figure></div>



<p>У меня получилось примерно так. Теперь нам нужно создать пользователя, на котором будем тренироваться. Если я правильно понял подход к организации доступа в интернет, то он выдается только тем, кому разрешено. То есть по умолчанию, сейчас шлюз в интернет никого не пускает. Добавим нового пользователя и назначим ему IP адрес.</p>



<p>Идем в раздел&nbsp;<strong>Пользователи и Статистика -&gt; Пользователи</strong>&nbsp;и добавляем нового пользователя. В настройках пользователя на вкладке IP/MAC-адреса указываем ip адрес этого пользователя.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-09.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-09-1024x306.png" alt="Добавление пользователя в ИКС" class="wp-image-8767"/></a></figure></div>



<p>Теперь идем на компьютер пользователя и прописываем ему адрес прокси сервера. В данном случае 192.168.0.1 и порт 3128. После этого у пользователя появится доступ в интернет. Концепция такая, что неконтролируемого доступа в сеть нет ни у кого. Разрешено только тому, кого вы сами добавите и разрешите доступ.</p>



<p>По пользователю доступна полная статистка в удобном виде. Ее можно посмотреть как в разрезе самого пользователя, так и в целом по системе. Вот пример статистики пользователя.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-10.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-10-1024x367.png" alt="Статистика интернет трафика пользователя" class="wp-image-8768"/></a></figure></div>



<p>А вот системный отчет по всем пользователям.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-11.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-11-1024x619.png" alt="Отчет трафика по всем пользователям" class="wp-image-8769"/></a></figure></div>



<p>Если пользователю нужно отдельно открывать что-то еще, кроме http, то можно добавить правила фаервола либо конкретно пользователю, либо всей группе, в которой он состоит. Удобный подход, причем делается это все через веб интерфейс с наглядной визуализацией.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-12.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-12.png" alt="Отдельное правило firewall для пользователя" class="wp-image-8770"/></a></figure></div>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-13.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-13-1024x319.png" alt="Список правил пользователя" class="wp-image-8771"/></a></figure></div>



<p>С простым доступом в интернет закончили. Переходим к более интересным штукам, таким как ограничение доступа.</p>


</br>



<h2 class="wp-block-heading">Фильтрация HTTPS трафика в интернет-шлюзе ИКС</h2>



<p>Рассмотрим теперь ситуацию, когда нам нужно запретить пользователю или группе пользователей доступ к какому-то сайту. Пусть это будет mail.ru. Идем в настройки правил пользователя и добавляем&nbsp;<strong>Запрещающее правило прокси</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-14.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-14-1024x383.png" alt="Запрет на доступ к сайту" class="wp-image-8772"/></a></figure></div>



<p>Идем к пользователю и проверяем. Если сайт открыть по http, то будет видно запрещающее сообщение. Если сайт https, то никакого сообщения не будет, он просто не откроется.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-15.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-15.png" alt="Запрет на доступ к сайту" class="wp-image-8773"/></a></figure></div>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-16.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-16.png" alt="Блокировка https сайта" class="wp-image-8774"/></a></figure></div>



<p>Пользователей можно объединять в группы и настраивать запреты по группам. Помимо ограничений по адресам сайтов, можно настроить и другие правила запретов и разрешений.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-17.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-17.png" alt="Правила организации доступа пользователей в интернет" class="wp-image-8775"/></a></figure></div>



<p>Давайте теперь включим контентный фильтр и настроим ограничения доступа на основе содержимого https страниц. Фильтровать можно будет как по готовым спискам от госорганов, так и создавать свои. Для этого нам надо включить&nbsp;<strong>Контент-фильтр</strong>&nbsp;в разделе&nbsp;<strong>Защита</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-18.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-18.png" alt="Включение контент-фильтра" class="wp-image-8776"/></a></figure></div>



<p>Далее нужно создать сертификат, который будет использоваться для MITM. То есть нам надо этот сертификат поместить на прокси сервер и в доверенные сертификаты клиента. Только в таком случае возможно анализировать и разбирать https трафик. Других способов нет. Создаем сертификат в разделе&nbsp;<strong>Защита -&gt; Сертификаты</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-19.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-19-1024x307.png" alt="Создание сертификата" class="wp-image-8777"/></a></figure></div>



<p>Теперь указываем прокси серверу использовать этот сертификат. Идем в раздел&nbsp;<strong>Сеть -&gt; Прокси -&gt; Настройки</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-20.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-20-1024x414.png" alt="Настройка прокси на фильтрацию по содержимому" class="wp-image-8778"/></a></figure></div>



<p>Делаем экспорт этого сертификата и передаем его на компьютер клиента.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-21.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-21.png" alt="Экспорт сертификата" class="wp-image-8779"/></a></figure></div>



<p>На компьютере клиента устанавливаем этот сертификат в хранилище&nbsp;<strong>Доверенные корневые центры сертификации</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-22.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-22.png" alt="Установка сертификата пользователю для MITM" class="wp-image-8780"/></a></figure></div>



<p>Теперь нам можно создать свой список в Контент-фильтре. Я назвал его&nbsp;<em>Мой список</em>&nbsp;и добавил туда слово google, которое фильтр будет искать в содержимом страницы.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-23.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-23.png" alt="Добавление списка в контент фильтр" class="wp-image-8781"/></a></figure></div>



<p>Добавляем пользователю правило&nbsp;<strong>Сканировать трафик с помощью контент-фильтра</strong>.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-24.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-24.png" alt="Сканирование трафика пользователя" class="wp-image-8782"/></a></figure></div>



<p>Теперь идем на компьютер пользователя и пробуем открыть сайт google.com, где на странице точно встречается слово google.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-25.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-25.png" alt="Запрет сайта на основе контент фильтра" class="wp-image-8783"/></a></figure></div>



<p>Если на каком-то сайте будет встречаться слово google, открываться он не будет. Можно убедиться, что MITM работает, проверив сертификат любого https сайта. Там будет стоять метка нашего CA.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-26.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-26.png" alt="MITM для анализа содержимого https трафика " class="wp-image-8784"/></a></figure></div>



<p>Если браузер использует не системное хранилище сертификатов, а свое, например Firefox, то сертификат нужно добавить отдельно в браузер через его настройки.</p>


</br>



<p>Таким образом&nbsp;<strong>фильтруется https трафик</strong>. С помощью подмены сертификата можно смотреть подробную статистику по всем посещенным страницам пользователя. Срабатывание контент-фильтра логируется.</p>



<h2 class="wp-block-heading">Отчеты по трафику</h2>



<p>Отдельно хочу показать вам отчеты, которые рисует ИКС шлюз. Мне они очень понравились. Сами по себе информативны, плюс возможность гибких настроек. Я такого нигде больше не видел. Вот несколько примеров.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-27.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-27-1024x540.png" alt="Отчет трафика по категориям сайтов" class="wp-image-8785"/></a></figure></div>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-28.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-28-1024x318.png" alt="Отчет по поисковым фразам" class="wp-image-8786"/></a></figure></div>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-29.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-29-1024x545.png" alt="Отчет по посещаемым сайтам" class="wp-image-8787"/></a></figure></div>



<p>И так далее. Отчеты реально удобные и наглядные. Можно строить свои через конструктор. Работает экспорт.</p>



<h2 class="wp-block-heading">Что еще умеет интернет шлюз ИКС</h2>



<p>Функционал этого шлюза огромен. Куча всяких модулей, списков доступа и т.д. Половина из этого платное с отдельной подпиской. Я все не проверял, так как надо тестовый доступ запрашивать, да и долго все проверять.</p>



<p>Из того, что я проверил и это работало &#8212; файловый сервер и почтовый сервер. Под капотом файлового сервера samba. Я просто расшарил папку и настроил в ней доступ по пользователям. Авторизация была по паролю. Работает просто и надежно.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-30.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-30-1024x243.png" alt="Общая сетевая папка" class="wp-image-8788"/></a></figure></div>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-31.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-31.png" alt="Доступ к сетевой папке" class="wp-image-8789"/></a></figure></div>



<p>Попробовал почтовый сервер. Что там внутри не проверял, думаю, что postfix. Функционал понравился. Сразу интегрировано несколько spam фильтров, как платный от Kaspersky (он хорошо, я его много где использую и всегда рекомендую), так и бесплатные. В принципе, для настройки почтового сервера в нем не обязательно разбираться, все настраивается через web интерфейс. Сравните это с ручной настройкой примерно такого же функционала.</p>



<p>Jabber и сервер телефонии не пробовал настраивать. Судя по тому, что все предыдущее работало без плясок с бубном, подозреваю, что и это будет работать.</p>



<p>У сервера встроенный простенький мониторинг.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-32.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-32-1024x549.png" alt="Встроенный в ИКС мониторинг" class="wp-image-8790"/></a></figure></div>



<p>Я забыл упомянуть, что в качестве файловой системы&nbsp;<strong>используется zfs</strong>&nbsp;со всеми ее фишками &#8212; софтовый рейд, снепшоты и т.д.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-33.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-33.png" alt="zfs spanshot" class="wp-image-8791"/></a></figure></div>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-34.png"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2019/06/internet-gate-iks-34.png" alt="восстановление из snapshot" class="wp-image-8792"/></a></figure></div>



<p>Сервер умеет слать уведомления на почту, в ICQ и Jabber. Не хватает тут Telegram. Я лично не знаю людей, которые пользуются ICQ в наше время.</p>



<p>Данный шлюз может выступать в качестве web и ftp сервера. Просто невероятный комбайн <img src="https://s.w.org/images/core/emoji/15.0.3/72x72/1f642.png" alt="🙂" class="wp-smiley" style="height: 1em; max-height: 1em;" /> Я такого еще не видел. Ах да, забыл сказать про VPN. Он умеет PPTP и OpenVPN. Я не тестировал, но не думаю, что там могут быть проблемы. OpenVPN все интернет шлюзы умеют настраивать.</p>



<p>Еще забыл сказать, что он интегрируется с AD. Может брать пользователей оттуда.</p>


</br>



<h2 class="wp-block-heading">Заключение</h2>



<p>Я потратил целый день на исследование и настройку сертифицированного интернет шлюза ИКС от российских разработчиков. И он мне понравился. В голове даже план созрел, как это все можно отладить, настроить, проработать стратегию внедрения и ставить в госы или малые и средние компании.</p>



<p>Взять два бюджетных сервера или простых компьютера. Настроить отказоустойчивость с помощью CARP, чтобы не потерять связь при выходе одного из строя, и внедрять в организации. У разработчиков есть готовые видеоролики по управлению и неплохая документация. Соответственно, надо внедрить и обучить местный персонал. Реально этот шлюз покрывает большинство потребностей малого и среднего бизнеса по ИТ инфраструктуре.</p>



<p>А уж тем, кому нужно соблюдать требования закона в плане ограничения доступа к информации в интернете это может стать настоящей находкой и простым способом закрытия вопроса за вполне приемлемую цену. Так что берите на вооружение, кому интересно, и внедряйте. Сам я уже давно этим не занимаюсь.</p>



<p>Я тестировал множество различных комбайнов с web панелями в свое время, когда занимался обслуживанием офисов. Идея была внедрить и оставить на обслуживание местным специалистам. Нужно было максимально простое и стабильное решение. В бесплатных сборках функционала, подобного ИКС, нет нигде, это точно. С платными я не знаком вообще, не тестировал ни один. Наверняка есть какие-то аналоги. Интересно было бы сравнить.</p>
<p>Сообщение <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8%d0%ba%d1%81-%d1%81-%d1%84%d0%b8%d0%bb%d1%8c%d1%82%d1%80/">Настройка интернет шлюза ИКС с фильтрацией HTTPS трафика</a> появились сначала на <a href="https://clip-clap.ru">Clip-Clap</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0-%d0%b8%d0%ba%d1%81-%d1%81-%d1%84%d0%b8%d0%bb%d1%8c%d1%82%d1%80/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Настройка VPN + ipsec с помощью интернет шлюза ИКС</title>
		<link>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/freebsd/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-vpn-ipsec-%d1%81-%d0%bf%d0%be%d0%bc%d0%be%d1%89%d1%8c%d1%8e-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0/</link>
					<comments>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/freebsd/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-vpn-ipsec-%d1%81-%d0%bf%d0%be%d0%bc%d0%be%d1%89%d1%8c%d1%8e-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0/#respond</comments>
		
		<dc:creator><![CDATA[Admin]]></dc:creator>
		<pubDate>Sat, 08 Aug 2020 20:33:16 +0000</pubDate>
				<category><![CDATA[Freebsd]]></category>
		<category><![CDATA[ipsec]]></category>
		<category><![CDATA[VPN]]></category>
		<category><![CDATA[шлюз]]></category>
		<guid isPermaLink="false">https://clip-clap.ru/?p=1462</guid>

					<description><![CDATA[<p>Некоторое время назад я писал заказной обзор на интернет шлюз ИКС от отечественных разработчиков. 22 июня 2020 года у них</p>
<p>Сообщение <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/freebsd/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-vpn-ipsec-%d1%81-%d0%bf%d0%be%d0%bc%d0%be%d1%89%d1%8c%d1%8e-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0/">Настройка VPN + ipsec с помощью интернет шлюза ИКС</a> появились сначала на <a href="https://clip-clap.ru">Clip-Clap</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p>Некоторое время назад я писал заказной обзор на интернет шлюз ИКС от отечественных разработчиков. 22 июня 2020 года у них вышел новый релиз. У меня заказали его анонс и разбор. Для того, чтобы не повторяться с прошлым материалом, я постараюсь интересно и полезно дополнительно рассказать о том, что можно настроить с помощью этого шлюза.</p>


</br>



<p>В общем и целом это программный шлюз на базе ОС Freebsd, с помощью которого можно:</p>



<ol><li>Настроить прокси сервер с разбором всего трафика в том числе с помощью MITM для расшифровки https соединений.</li><li>Сделать ограничения доступа к сайтам на основе готовых списков от Минюста, Госнаркоконтроля и т.д.</li><li>Использовать списки пользователей и групп для централизованного ограничения и управления доступом и отчетами.</li><li>Настроить свои VPN туннели или подключиться к существующим на базе стороннего оборудования.</li><li>Запустить базовый функционал следующих сервисов &#8212; почта, файловый сервер, ip телефония, jabber.</li></ol>



<p>При всем при этом интернет шлюз ИКС умеет:</p>



<ul><li>Настраиваться полностью через web интерфейс. В консоль ходить не надо вообще.</li><li>Интеграцию с AD с помощью Kerberos и NTLM.</li><li>Строить красивые графики и отчеты, которые не стыдно показать.</li><li>Мульти WAN и отказоустойчивость на базе CARP.</li></ul>



<p>Ну и до кучи он имеет сертификацию ФСТЭК (как я понял, сейчас она в стадии продления) и включен в единый реестр российского ПО, что в некоторых случаях очень важно. Бесплатно можно использовать шлюз для работы с ним до 9-ти пользователей, либо получить 35-ти дневную бесплатную версию без ограничения числа пользователей для теста. В обоих случаях это будут полнофункциональные варианты работы шлюза.</p>



<p>После первого знакомства с продуктом и тестирования основного функционала, у меня осталось положительное впечатление. Я хорошо знаком с вопросом настройки шлюзов и контроля трафика в небольших и средних компаниях, так как много занимался этой темой, когда обслуживал офисы. По запросам руководства настраивал ограничение доступа, предоставлял отчеты и т.д. Дело чаще всего бесполезное, но тем не менее, запросы такие были регулярно.</p>



<p>В комментариях к первой статье я получил некоторое количество негатива в сторону ИКС. Якобы это поделка со сменой лейбла на базе готовых open source наработок. Но по факту, никто так и не привел примера, с помощью какого готового бесплатного продукта можно получить схожий функционал. Да, есть pfsense, но у него, к примеру, нет нормальных отчетов, которые можно показать руководству. LightSquid в данном случае не подходит, так как на его отчеты и самому смотреть не хочется, не то, что показывать кому-то.</p>



<p>В общем, я считаю, что интернет шлюз ИКС неплохой продукт и может быть полезен, поэтому согласился написать по нему очередную статью. Она будет на тему организации VPN туннелей. Эту тему я еще не разбирал, так что будет интересно посмотреть, что и как он умеет делать.</p>


</br>



<h2 class="wp-block-heading">Что нового в ИКС 7.1</h2>



<p>Пройдемся кратенько по изменениям новой версии. Итак, что изменилось с выходом ИКС 7.1?</p>



<ol><li>Перешли на кодовую базу Freebsd 12.1.</li><li>Добавили авторизацию пользователей из AD через&nbsp;<a href="https://doc-new.a-real.ru/index.php?article=137#kerberos" target="_blank" rel="noreferrer noopener">Kerberos</a>. Раньше только NTLM была.</li><li>Добавили авторизация по звонку в&nbsp;<a href="https://doc-new.a-real.ru/index.php?article=52" target="_blank" rel="noreferrer noopener">Captive Portal</a>: в публичной wi-fi сети можно авторизовываться путем звонка на определенный номер.</li><li>Появилась возможность получить IPSec туннель с оборудованием других вендоров (mikrotik, cisco и пр.).</li><li>Прочие небольшие доработки и исправления, в том числе на основе запросов клиентов.</li></ol>



<p>Тестированием работы подключения к VPN туннелям ipsec на базе микротиков займемся далее. Тема актуальная, так как микротики последнее время очень активно используют организации.</p>



<h2 class="wp-block-heading">Подключение к стороннему IPSEC туннелю</h2>



<p>Допустим, у вас есть какая-то удаленная локальная сеть (192.168.88.0/24), которую обслуживает Mikrotik с настроенным l2tp + ipsec. И вам нужно подключиться к нему, чтобы ходить в эту сеть. Настраивается все достаточно просто, наглядно и логично. Хотя я и делал это первый раз, все получилось сразу без чтения документации <img src="https://s.w.org/images/core/emoji/15.0.3/72x72/1f642.png" alt="🙂" class="wp-smiley" style="height: 1em; max-height: 1em;" /> Единственное, не сразу нашел, где собственно добавлять новое подключнние к vpn.</p>



<p>Логика объединения сетей с помощью VPN одинакова везде. Нам нужно:</p>



<ol><li>Подключиться к VPN.</li><li>Настроить маршруты.</li><li>Настроить firewall.</li><li>Проверить подключение.</li></ol>



<p>Начинаем с настройки подключения. Идем в раздел&nbsp;<strong>Сеть -&gt; Провайдеры и сети -&gt; Добавить -&gt; Провайдер l2tp</strong>. На этом моменте я немного залип, так как не понял, что надо добавить именно провайдера. Я же не провайдера подключаю, а удаленный филиал.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-01.png" alt="Подключение к l2tp туннелю" class="wp-image-12085"/></figure></div>



<p>Дальше заполняем необходимые параметры. Для Mikrotik достаточно следующих.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-02.png" alt="Параметры l2tp" class="wp-image-12086"/></figure></div>



<p>Если настроен ipsec, указываем его пароль на соседней вкладке.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-03.png" alt="Настройка ipsec в икс" class="wp-image-12087"/></figure></div>



<p>После сохранения настроек сразу же идет подключение. На микротике вижу его.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-04.png" alt="Лог l2tp подключения в микротике" class="wp-image-12088"/></figure></div>



<p>Дальше важный момент, на котором постоянно зависают новички, настраивающие VPN. Они не понимают, как работает маршрутизация и ожидают, что теперь они сразу же смогут обращаться в удаленную сеть, которую подключили через VPN. В данном случае нет. Ваши запросы будут приходить на дефолтный шлюз, а он не будет знать, что с ними делать. Чтобы он понимал, что их надо отправлять в vpn туннель, надо создать отдельный маршрут для этого.</p>


</br>



<p>В шлюзе ИКС можно создавать готовые сущности, а потом ими оперировать в настройках. Это удобно и наглядно. Создадим сущность VPN-сеть и назовем ее filial01. Для этого здесь же, в разделе&nbsp;<strong>Провайдеры и сети</strong>&nbsp;создаем VPN-сеть.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-05.png" alt="Создание vpn сети" class="wp-image-12089"/></figure></div>



<p>Отправляемся в раздел&nbsp;<strong>Маршруты</strong>&nbsp;и добавляем новый маршрут.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-06.png" alt="Настройка маршрута для vpn" class="wp-image-12090"/></figure></div>



<p>После этого можно уже проверить связь, так как в фаерволе по умолчанию разрешены пинги. Идем в раздел&nbsp;<strong>Сетевые утилиты</strong>&nbsp;и пингуем один из адресов из удаленной подсети.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-07.png" alt="Пинг через vpn туннель" class="wp-image-12091"/></figure></div>



<p>Далее нужно добавить разрешающее правило в фаерволе для vpn трафика. Можете разрешить весь трафик или указать что-то конкретное. На ваше усмотрение. Интерфейс наглядный и понятный.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-08.png" alt="Добавление правила firewall в икс" class="wp-image-12092"/></figure></div>



<p>Новое правило появляется в списке.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-09.png" target="_blank" rel="noreferrer noopener"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-09.png" alt="Список правил firewall" class="wp-image-12093"/></a></figure></div>



<p>Вообще, мне понравился интерфейс управления правилами фаервола. Пожалуй, это один из наиболее удобных и наглядных интерфейсов, которые мне доводилось видеть. Слева список сетевых сущностей в виде интерфейсов и сетей. При нажатии на какую-то сущность, появляются все правила и маршруты, связанные с ней.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-10.png" target="_blank" rel="noreferrer noopener"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-10.png" alt="Сегментация правил" class="wp-image-12094"/></a></figure></div>



<p>Удобно разбираться в сложных конфигурациях с десятками правил. При этом, все настраивается через веб интерфейс. Не надо лазить в консоль. Под капотом pf и ipfw.</p>


</br>



<p>Напоследок добавлю, что для того, чтобы связь между сетями через vpn работала, на удаленном микротике так же нужно добавить маршрут, который будет указывать, что трафик для сети 192.168.0.0/24 должен идти через l2tp туннель.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-11.png" alt="Добавление маршрута в микротик" class="wp-image-12095"/></figure></div>



<p>И не забыть про firewall. Надо так же разрешить нужный трафик. Не буду на этом останавливаться в рамках данной статьи.</p>



<p>Разобрал данный кейс просто чтобы продемонстрировать вам интерфейс управления. Мне лично он понравился. Удобно и наглядно. Хотя может это только мое восприятие, так как я хорошо ориентируюсь в подобных шлюзах. Возможно новичку все будет не так очевидно и понятно.</p>


</br>



<h2 class="wp-block-heading">Настройка своего VPN сервера</h2>



<p>Теперь разберу еще один полезный, на мой взгляд, кейс. Так как ИКС бесплатен для 8-ми пользователей, его можно использовать как личный vpn сервер с удобным веб интерфейсом. Я покажу это на примере настройки OpenVPN сервера.</p>



<p>Идем в раздел&nbsp;<strong>VPN</strong>&nbsp;и запускаем OpenVPN.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-12.png" alt="Запуск openvpn сервера в икс" class="wp-image-12096"/></figure></div>



<p>Нам надо выпустить сертификаты для работы openvpn. Для этого идем в раздел&nbsp;<strong>Защита -&gt; Сертификаты</strong>&nbsp;и добавляем новый.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-13.png" alt="Создание CA сертификата" class="wp-image-12097"/></figure></div>



<p>Настройки можно оставить дефолтными, только название указать. И обязательно на вкладке&nbsp;<em>Настройки</em>&nbsp;указать, что это CA сертификат.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-14.png" alt="Свойства сертификата" class="wp-image-12098"/></figure></div>



<p>Рекомендую срок действия подольше поставить, чтобы потом не заниматься перевыпуском. После создания CA сертификата, надо добавить сертификат самого сервера. Для этого выбираем созданный сертификат и нажимаем Добавить.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-15.png" alt="Добавление сертификата сервера openvpn" class="wp-image-12099"/></figure></div>



<p>Здесь тоже можно все дефолтное оставить, только поменяйте&nbsp;<em>Имя или адрес хоста</em>&nbsp;на что-то отличное от значения CA, иначе openvpn будет ругаться на сертификат при подключении. У меня на скриншоте это не сделано.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-16.png" alt="Параметры сертификата" class="wp-image-12100"/></figure></div>



<p>На вкладке&nbsp;<em>Настройки</em>&nbsp;обязательно указать, что это&nbsp;<em>Конечный сертификат</em>.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-17.png" alt="Настройка сертификата openvpn" class="wp-image-12101"/></figure></div>



<p>Должно получиться вот так &#8212; один сертификат за другим.</p>



<div class="wp-block-image"><figure class="aligncenter"><a href="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-18.png" target="_blank" rel="noreferrer noopener"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-18.png" alt="Список сертификатов в ИКС" class="wp-image-12102"/></a></figure></div>



<p>Идем в&nbsp;<strong>Провайдеры и сети</strong>&nbsp;и добавляем Openvpn-сеть.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-19.png" alt="Добавление openvpn-сети" class="wp-image-12103"/></figure></div>



<p>Вам доступен весь основной функционал Openvpn, за который я его люблю. Можете заменять пользователю дефолтный шлюз, прокидывать необходимые маршруты и dns сервера, разрешать трафик между клиентами. На вкладке&nbsp;<em>Шифрование и сертификаты</em>&nbsp;укажите созданные ранее сертификаты.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-20.png" alt="Выбор сертификатов для vpn" class="wp-image-12104"/></figure></div>



<p>Возвращаемся в раздел VPN и добавляем пользователя.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-21.png" alt="Добавление openvpn пользователя" class="wp-image-12105"/></figure></div>



<p>Разрешаем ему OpenVPN доступ и указываем созданную ранее OpenVPN-сеть.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-22.png" alt="Активация openvpn доступа" class="wp-image-12106"/></figure></div>



<p>Далее идем в настройки пользователя и на вкладке OpenVPN скачиваем конфиг для подключения.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-23.png" alt="Экспорт openvpn конфигурации пользователя" class="wp-image-12107"/></figure></div>



<p>Перед выгрузкой вас попросят указать внешний интерфейс, по которому пользователи будут подключаться к openvpn серверу. Он будет указан в параметре&nbsp;<strong>remote</strong>&nbsp;конфига openvpn. Скачанный конфиг кладем в папку с OpenVPN и подключаемся.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-24.png" alt="подключение к openvpn серверу" class="wp-image-12108"/></figure></div>



<p>Ваше подключение будет отображаться во вкладке&nbsp;<em>Текущие сеансы</em>.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-25.png" alt="Список активных openvpn сеансов" class="wp-image-12109"/></figure></div>



<p>Так же факт подключения будет записан в журнал событий.</p>



<div class="wp-block-image"><figure class="aligncenter"><img decoding="async" src="https://serveradmin.ru/wp-content/uploads/2020/07/ics-vpn-nastroyka-26.png" alt="Статистика openvpn подключений" class="wp-image-12110"/></figure></div>


</br>



<p>Это удобно, когда пользователей много и нужен контроль.</p>



<p>Вот в целом и все. Надеюсь у вас появилось представление о том, как все это работает в интернет шлюзе ИКС. По мне так все удобно и наглядно. Можно управлять большим количеством пользователей и сетей. То есть продукт может быть одинаково полезен как для больших организаций, так и для небольших коллективов или одиночных пользователей.</p>



<p>К примеру, вы можете установить себе собственный шлюз на базе ИКС, завести на него несколько удаленных подсетей через openvpn client на той стороне. Раскидать маршруты по удаленным сетям и самому подключаться к этому серверу для того, чтобы получать удаленный доступ ко всем подключенным объектам. Я примерно по такой схеме давно настроил себе vpn сервер и использую для управлением своим личным хозяйством, которого у меня много.</p>



<h2 class="wp-block-heading">Заключение</h2>



<p>Как я уже сказал ранее, интернет шлюз ИКС лично мне нравится. Приятный и законченный продукт, которым можно пользоваться, если у вас есть потребность в его функционале. При этом все полностью настраивается через web интерфейс и работает. Лазить в консоль не надо вообще. То есть это история не только для линуксоидов. Даже если вы не админ, но хотите себе в офис что-то подобное, можете осилить самостоятельно с помощью документации и метода тыка.</p>


</br>



<p>Мне кажется такая штука хорошо зайдет для бюджетников. Например, в школы, больницы, поликлиники. Там зачастую не нужно какого-то особенного функционала, но при этом надо прикрыться документами и обеспечить соблюдение блокировки доступа по спискам гос. структур. Тут все это есть, плюс сам по себе он работает хорошо. То есть это не компромисс, когда надо соблюсти определенные требования, а потом мучиться, используя откровенно некачественный продукт, как часто бывает. ИКС приятен и удобен в использовании.</p>
<p>Сообщение <a href="https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/freebsd/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-vpn-ipsec-%d1%81-%d0%bf%d0%be%d0%bc%d0%be%d1%89%d1%8c%d1%8e-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0/">Настройка VPN + ipsec с помощью интернет шлюза ИКС</a> появились сначала на <a href="https://clip-clap.ru">Clip-Clap</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://clip-clap.ru/it/%d1%81%d0%be%d1%84%d1%82-%d0%b8-%d0%be%d1%81/linux/freebsd/%d0%bd%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-vpn-ipsec-%d1%81-%d0%bf%d0%be%d0%bc%d0%be%d1%89%d1%8c%d1%8e-%d0%b8%d0%bd%d1%82%d0%b5%d1%80%d0%bd%d0%b5%d1%82-%d1%88%d0%bb%d1%8e%d0%b7%d0%b0/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>

<!--
Performance optimized by W3 Total Cache. Learn more: https://www.boldgrid.com/w3-total-cache/?utm_source=w3tc&utm_medium=footer_comment&utm_campaign=free_plugin

Кэширование страницы с использованием Disk: Enhanced 
Минифицировано с помощью Disk
Кэширование БД с использованием Disk (Request-wide (широкий запрос) modification query)

Served from: clip-clap.ru @ 2026-07-03 07:59:03 by W3 Total Cache
-->