將會了解到如何在家居辦公環境下配置EdgeRouter來給辦公室環境(LAN)連接互聯網(WAN)。
注意:如果你對配置過程不感興趣,只是需要一個配置實例。
這裡有三個網絡:
1、WAN – DHCP客戶端(從運營商獲取公網地址)
2、LAN - 172.16.0.1/24
3、WLAN - 172.16.1.1/24
工具/原料
EdgeRouter路由器
電腦+瀏覽器(建議火狐或谷歌Chrome瀏覽器並設置為默認)
方法/步驟
物理網絡圖
設置界面
首先我們看默認的IP配置,只有端口0默認配置了192.168.1.1/24的IP地址,而其他端口默認沒有配置IP地址,所以第一次訪問EdgeRouter的Web界面只能通過端口1連接電腦進行配置。將電腦IP設置為192.168.1.x/24,並通過瀏覽器訪問192.168.1.1:
為端口設置IP地址
從儀表板頁面(Dashboard)我們可以配置各個接口的IP地址並可以給一些描述。事實上,因為我們已經連接了端口0,所以我們應該先對端口1和端口2進行配置,最後再配置端口0:
設置DHCP服務器
我們將要創建2個DHCP服務器 1)用於LAN子網,2)用於無線LAN子網。
配置DNS轉發
在之前的DHCP服務器頁面我們將路由器的地址定義為DNS服務器,所以我們要啟用DNS轉發來收聽來自於LAN(eth1)和WLAN(eth2)的DNS請求。
配置 NAT
我們在LAN和WLAN上使用的是私有地址,所以我們需要在出站接口eth0上設置NAT掩蔽規則。
狀態防火牆
下面的防火牆的例子只是非常基本的(並且不推薦)。基本上這樣設置會允許來自LAN、WLAN所有流量或者從路由器發起的到互聯網的流量,但會丟棄互聯網發起的所有流量。
在我們跳轉到例子之前,我們應該先討論一下EdgeOS的防火牆術語IN、OUT以及LOCAL。將一個防火牆規則應用到一個接口的IN防火牆會影響這個接口的流入流量但只有在流量經路由器中轉時有效。OUT是通過路由器中轉將會離開相應接口的流量。LOCAL是目的為路由器的流量(例如,如果你想在你的路由器上使用網頁用戶界面,你需要在LOCAL上允許端口443)。在使用IN和OUT規則時,有人會說IN更好因為如果你想丟棄一個數據包,在入口就將數據包丟棄要好過數據包通過整個數據包處理路徑僅在數據包離開路由器時將其丟棄。
首先我們使用“添加規則集”(Add Ruleset)來創建WAN_IN和WAN_LOCAL規則集。
在WAN_IN選擇“編輯規則集”(Edit Ruleset)
點擊“添加一條新的規則”(Add a New Rule)
第一條規則會“接受”所有狀態為Established或者Related的數據包
在“高級”(Advanced)選項卡選擇狀態
對於第二條規則,我們將丟棄狀態為Invalid的數據包
現在將防火牆規則集應用到一個接口/方向。
現在我們基本上添加同樣的2條規則到WAN_LOCAL並將其應用到eth0/local
注意:應用防火牆規則後無法再通過端口0訪問路由器,因為已經在端口1和端口2配置了IP已經DHCP服務器,所以我們可以從端口1或者端口2連接到電腦繼續配置。這裡我們將電腦連接到端口1,IP設置為DHCP,並通過172.16.0.1訪問路由器。
配置端口0回到路由器設置界面,我們先設置端口0的IP為DHCP獲取。
注意:這個例子中使用的DHCP客戶端來獲取地址
系統設置
上面例子中的配置結果可以在這裡看到:
