Getting Started: Firewall als PPPoE oder DHCP-Client
Resolution
Beim Einrichten einer Firewall in einem kleineren Büro oder in einem Off-the-Grid-Ort kann der lokale ISP Sie nur über ein Kabel-oder DSL-Modem verbinden, das eine Konfiguration Ihrer externen Schnittstelle als DHCP-Client oder PPPoE-Client erfordert.
Tipp: Wenn Ihr ISP ihn unterstützt, versuchen Sie, eine Verbindung im "Bridge"-Modus zu erhalten, so dass die externe IP-Adresse direkt an Ihre externe Schnittstelle und nicht an das DSL oder Kabelmodem bedient wird. Dadurch wird sichergestellt, dass NAT nur auf der Firewall erfolgt.
Konfiguration der Untrust-Schnittstelle als Client
Der erste Schritt, um Ihre Firewall zu verbinden, ist die Konfiguration der externen Schnittstelle, so dass Sie in der Lage ist, DHCP-Parameter zu empfangen oder PPPoE-Verhandlungen einzurichten und sich mit dem ISP zu verbinden.
In der Registerkarte Interfaces muss die Schnittstelle auf den Layer3-Modus eingestellt werden. Bitte werfen Sie zuerst einen Blick auf diesen Artikel, wenn Sie diesen Schritt noch nicht gesehen haben und ihre Schnittstellen weiterhin im vVirtual Wire-Modus konfiguriert sind: Start: Layer 3, NAT und DHCP
Vergewissern Sie sich, dass das intervace einem virtuellen Router und einer Zone zugeordnet wird.
Wenn der ISP normale DHCP-Dienste anbietet, wählen Sie
- ' DHCP-Client ' aus dem IPv4-Tab (Anmerkung: die Firewall unterstützt derzeit nicht den IPv6-DHCP-Client-Modus).
Den DHCP-Client-Modus aktivieren
Wählen, um automatisch eine Standardroute aus den DHCP-Parametern zu erstellen, die vom ISP empfangen werden. Wenn diese Option nicht aktiviert ist, muss eine Standard-Route manuell im virtuellen Router hinzugefügt werden.
Wenn der ISP eine PPPoE-Authentifizierung benötigt, wählen Sie den PPPoE-funkknopf, stellen Sie sicher, dass "enable" ausgewählt ist und stellen Sie den Benutzernamen und das Passwort zur Verfügung, die Ihr ISP für Ihre
Wählen Sie die erweiterte Registerkarte, um zusätzliche Verbindungsparameter einzugeben.
- Das Authentifizierungsprotokoll kann auf PAP, CHAP oder Auto eingestellt werden
- Wenn der ISP in der Lage war, eine statische IP-Adresse oder ein Subnetz zur Verfügung zu stellen, muss er hier konfiguriert werden. Wenn der ISP eine IP dynamisch zuweist, sollte dieses Feld auf "None" gesetzt werden.
- Aktivieren Sie die automatische Standardroute, um diese Informationen vom PPPoE-Peer zu erhalten, wenn diese Option nicht ausgewählt bleibt, muss eine manuelle Standardroute im virtuellen Router erstellt werden.
- Wenn dies vom ISP verlangt wird, kann ein Access-Konzentrator und ein Service-String zur PPPoE-Konfiguration hinzugefügt werden, der PPPoE-Endpunkt kann auch in einem passiven Zustand eingestellt werden, in dem der Client auf den Access-Konzentrator wartet, um den ersten Frame zu senden.
Sobald die gewünschte Methode ausgewählt wurde, klicken Sie auf OK und überTragen Sie die Konfiguration. Sobald die Übergabe abgeschlossen ist, werden die Links "PPPoE/DHCP Client Runtime Info" mit der Arbeit beginnen und Feedback zum aktuellen Status der Schnittstelle geben.
Der DHCP-Client-Status wird Renew-und Release-Buttons enthalten, der PPPoE-Client-Status hat einen Connect oder Disconnect-Button.
DHCP oder PPPoE-Vererbung auf dem lokalen Subnetz
Die Informationen, die vom ISP DHCP oder PPPoE Server erhalten werden, können wiederum verwendet werden, um die Clients im lokalen Netzwerk mit DNS, WINS, NIS, NTP, POP3, SMTP und DNS suffic zu bevölkern, indem Sie Vererbung ermöglichen. Auf diese Weise können den Nutzern Regional spezifische DNS-Server zugewiesen werden, die beispielsweise die Reaktionsfähigkeit verbessern können.
Stellen Sie bei der Konfiguration der LAN-Schnittstelle sicher, dass Sie dem gleichen virtuellen Router wie die Untrust-Schnittstelle zugeordnet ist, und weisen Sie Ihr eine entsprechende Zone zu:
Zuweisen Sie der Schnittstelle eine IP-Adresse und eine Subnetzmaske zu
Als Nächstes erstellen Sie ein neues DHCP-Profil und weisen einen IP-Pool im Subnetz der Schnittstelle zu
In der Registerkarte Optionen kann die Erbschaft aktiviert werden:
Ihre Clients erhalten nun die gleichen DNS-Einstellungen, wie Sie vom ISP vertrieben werden.
NAT
Da die Untrust-Schnittstelle keine statische Schnittstelle hat, müssen alle ausgehenden NAT-Regeln einfach nur auf den Interface-Namen in der Quell Übersetzung gesetzt werden.
Protokolle überPrüfen
In den Systemprotokollen wird der Subtyp ' DHCP ' sowohl DHCP-Server als auch DHCP-Client-Informationen zurückgeben, Subtyp ' PPPoE ' wird PPPoE-Konnektivitätsprotokolle zurückgeben.
oder mit folgendem Befehl aus dem CLI:
> Log-System-Subtyp gleiche DHCP-Richtung gleich rückwärts
Hier können Sie sich gerne äußern!
Schnitter