Mise en route : Couche 3, NAT et DHCP
Resolution
J’ai déballé mon pare-feu et fait ce que vous m’avez dit, maintenant ce qui ?
Dans l'acompte précédent, mise en route-la préparation du pare-feu, J'ai déballé mon pare-feu, maintenant quoi?, nous avons décrit les premières étapes après le déballage de votre pare-feu et de le mettre en marche. Cette semaine, nous allons jeter un oeil à où à partir d’ici et configurer les interfaces de la couche 3, mis en place le bon acheminement et activer NAT afin que le pare-feu peut fonctionner comme une passerelle internet.
Avant que nous commencions, je vais décrire quelques petites choses qui peuvent être différentes dans votre réseau que vous aurez envie de noter :
Dans les exemples ci-dessous, mon FAI m’a attribué l’internet sous-réseau IP de 198.51.100.0/28 que je veux commencer à utiliser l’interface untrust du pare-feu au lieu du routeur. Pour y parvenir, NAT devra être désactivé, et peut-être d’autres choses doivent être changées pour y parvenir. Comme les étapes pour y parvenir varient en fonction de plusieurs facteurs, vous devrez peut-être assitance par votre FAI pour reconfigurer votre routeur. Comme il n’est pas absolument nécessaire d’utiliser une plage d’adresses IP publique, vous pouvez tout simplement continuer à utiliser la plage IP de votre fournisseur d’accès fourni.
Veuillez noter ces paramètres pour votre réseau :
Mon router IP sera : 198.51.100.1
IP de mon pare-feu sera : 198.51.100.2
Adresse IP interne de mon pare-feu sera : 10.0.0.1
Plage de mon client DHCP sera : 10.0.0.50-10.0.0.250
1. Préparer les zones
Pour commencer, nous allons tout d’abord reconfigurer les zones que nous utilisons actuellement pour nos fils virtuel, donc nous pouvons réutiliser les mêmes zones. Si vous préférez changer les noms, vous pouvez faire de nouvelles zones ou simplement renommer ceux déjà existants.
- Accédez à l’onglet réseau.
- Zones ouvertes dans le volet gauche.
- Continuez d’ouvrir les objets de zone de confiance et de changer le Type de Layer 3, puis cliquez sur OK. Répétez cette opération pour la zone untrust.
Ne vous inquiétez pas si la zone interfaces est vide après cette modification,nous allons corriger cela dans l'étape suivante.
2. Préparer les interfaces
- Accédez à l’onglet réseau.
- Interfaces ouvertes dans le volet gauche. Nous allons voir nos 2 interfaces VWire qui sont déjà connectés à l’internet mais qui font actuellement défaut de configuration de la zone, en raison de l’étape précédente.
- Commencer par ouvrir ethernet1/1, qui sera notre externes, ou untrust, de l’interface.
Sur la liste déroulante de Type d’Interface, changer le fil virtuel à Layer 3.
Ensuite, affectez la valeur default au routeur virtuel et la zone de sécurité à Untrust.
Ensuite, nous allons ajouter une adresse IP à l’interface.
- Accédez à l’onglet IPv4.
- Cliquez sur ajouter.
- Entrez l’adresse IP externe fourni votre fournisseur d’accès.
Cliquez sur OK et passez à l’ethernet1/2. Définissez l'Interface à Layer3, Virtual Router à default et la zone de sécurité à la confiance.
Dans l’onglet IPv4, affectez l’adresse IP de l’interface 10.0.0.1/24 et ouvrez l’onglet Avancé.
Dans cet onglet, nous allons définir un profil de gestion qui nous permettra de faire un ping à l’interface, ce qui pourrait être utile si jamais il faut résoudre les problèmes de réseau interne. Dans la liste déroulante profil de gestion, cliquez sur le lien Profil de gestion :
Pour l’instant, nous n’autoriserons le service ping sur l’interface.
Retour à la page interfaces en cliquant OK sur les boîtes de dialogue de deux configuration. La page interfaces devrait maintenant ressembler à ceci :
3. Configuration du routage
Ensuite, nous avons besoin pour s’assurer que le pare-feu pourront accéder à Internet, donc il n’ont pas besoin d’une passerelle par défaut.
- Accédez à l’onglet réseau.
- Ouvrez les routeurs virtuels dans le volet gauche.
- Ouvrez le défaut VR (virtual router).
Cela fera apparaître la configuration du routeur virtuel nous utiliserons pour nos nouvelles interfaces de la couche 3. On l’appelle un routeur virtuel parce que le pare-feu n’emploie pas un unique cas de routage, mais peut avoir plusieurs, tous liés à différentes interfaces. Pour les instances de routage très différents les uns des autres et rend la ségrégation au niveau routage réseau possible. Pour l’instant, nous allons coller à celle que nous avons :
Ajouter un itinéraire statique.
- Ouvrir des itinéraires statiques dans le volet gauche.
- Cliquez sur Ajouter pour démarrer un nouvel itinéraire.
Nous allons définir la destination à 0.0.0.0/0, ce qui englobe tous les sous-réseaux IP qui ne sont pas connectés sur le pare-feu et l’interface de sortie ethernet1/1 car il s’agit de l’interface externe connecté au routeur internet. Enfin, nous allons définir l’adresse IP du routeur comme le saut suivant.
4. Configuration de DHCP
Notre prochaine étape sera de permettre à un serveur DHCP sur l’interface de confiance afin que les utilisateurs se connectant au réseau sans une adresse IP statique configurée peuvent se connecter.
- Accédez à l’onglet réseau.
- Dans le volet gauche, ouvrez DHCP.
- Cliquez sur Ajouter pour démarrer une nouvelle configuration de serveur DHCP.
Nous allons définir l’interface ethernet1/2 car il s’agit de l’intérieur interface. Pour empêcher les adresses IP en double dans le réseau au cas où quelqu'un a défini une configuration d'adresse IP statique o leur poste de travail, nous pouvons activer ping IP lors de l'ATTRIBUTION de nouvelles IP. Cette option envoie un ping sur une adresse IP, prête à être assignée à un hôte. Dans le cas où le ping reçoit une réponse, le serveur DHCP choisit une adresse IP différente pour assigner et répète l’étape. Nous allons définir le contrat de location pour 1 jour et les Pools d’IP de « 10.0.0.50-10.0.0.250 » pour fournir aux utilisateurs avec 201 adresses IP.
Dans l’onglet Options, nous pouvons configurer quel passerelle par défaut et les serveurs DNS, les clients reçoivent lorsqu’ils demandent une adresse DHCP. Nous devons définir la passerelle comme 10.0.0.1 comme ça c’est l’adresse IP interne du pare-feu. J’ai mis les serveurs DNS de Google 4.2.2.2 et 8.8.8.8, mais vous pouvez configurer les serveurs DNS de votre propre ISP :
Cliquez sur OK pour terminer ce bit et nous allons passer à la dernière partie où nous configurer NAT.
5. Configuration NAT
La dernière partie de cette configuration consiste à configurer la traduction des adresses réseau. Cela fera en sorte que tous les hôtes internes vont à l’internet à l’aide de l’adresse IP externe du pare-feu comme source. Cela est nécessaire car les plages IP du réseau privé 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16 ne sont pas routées sur Internet et ne peuvent être utilisées que sur un réseau privé derrière une passerelle compatible NAT.
- Accédez à l’onglet stratégies.
- Ouvrir NAT dans le volet gauche.
- Cliquez sur Ajouter pour créer une nouvelle stratégie NAT.
Nous allons donner la règle NAT un nom facile à identifier :
Ensuite, nous allons aller à l' onglet paquet d'origine , où nous allons définir les zones source et de destination et l'interface de destination.
- Cliquez sur Ajouter pour insérer une nouvelle zone de source.
- Dans le menu déroulant, sélectionnez la zone de confiance.
- Dans la zone de destination, choisissez untrust dans la liste déroulante.
- Pour l’interface de destination, définissez ethernet1/1, comme il s’agit de l’interface externe.
- Laissez tout le reste est et passez à l’onglet Packet traduit.
Enfin, à partir de l' onglet paquets traduits , nous allons configurer la traduction d'adresses source. Définissez le type de traduction sur IP et port dynamiques pour garantir que plusieurs clients internes peuvent effectuer des connexions sortantes simultanées cachées derrière une adresse IP.
À propos des autresoptions —
- Dynamic IP est très pratique pour masquer un groupe d'ADRESSES IP derrière un autre groupe d'ADRESSES IP de taille égale. Cela peut se produire si une connexion est établie avec un réseau secondaire, où les adresses IP peut-être se chevaucher, ou lorsque le routage vers le sous-réseau LAN n’est pas possible.
- Adresse IP statique est généralement définie si un seul hôte aura l’usage exclusif d’une adresse IP NAT.
En tant que type d'adresse, nous choisirons d'utiliser l'adresse de l'Interface
Sélectionnez ethernet1/1
et sélectionnez son adresse IP configurée.
Cliquez sur OK pour terminer la configuration NAT.
6. Nettoyage et validation
Une dernière étape avant d’aller de l’avant et de commettre cette configuration est de supprimer l’objet virtuel fil utilisé précédemment.
Accédez à l’onglet réseau et ouvrir des fils virtuel dans le volet gauche. Une fois là, mettez en surbrillance la valeur par défaut-VWire, puis cliquez sur supprimer.
Lorsque la valeur par défaut-VWire est supprimé, allez-y et valider la configuration.
7. Actualiser l’adresse IP du client et ARP
Nous avons maintenant avec succès passé le pare-feu du fil virtuel au déploiement de la couche 3. Une mise en garde à considérer est que maintenant les interfaces ne sont plus agissant comme une bosse-in-the-Wire-thEY ont leur propre adresse Mac et certains clients. Potentiellement, le routeur peut ont besoin d’avoir son cache ARP rafraîchi avant l’interfaces can succesfully communiquer avec le pare-feu.
Sur un hôte windows, cela peut être accompli par à partir d’une invite de commandes en tant qu’administrateur
et l’exécution « arp -d » pour effacer le cache ARP et ' ipconfig / renew "afin d’obtenir un bail DHCP du nouveau serveur DHCP.
C:\ > ARP-d
C:\ > ipconfig/renew
Windows IP configuration
Ethernet Adapter lablan:
suffixe DNS spécifique à la connexion. :
Adresse IP. . . . . . . . . . . . :
masque de sous-réseau 10.0.0.50. . . . . . . . . . . : 255.255.255.0
passerelle par défaut. . . . . . . . . : 10.0.0.1
J’espère que vous avez apprécié cet article. S’il vous plaît n’hésitez pas à laisser vos commentaires ci-dessous !
Cordialement,
Tom Piens
Si vous avez apprécié cet article, veuillez également jeter un oeil aux articles du suivi :
J’ai déballé mon pare-feu et que vous souhaitez configurer VLANs — sous-interfaces
J’ai déballé mon pare-feu, mais où sont les journaux ?