Domácí síťování a Firewall Zyxel USG20-VPN | Kapitola 5
Seznam kapitol
Pokud chcete mít data v bezpečí, potřebujete dobrý firewall. Navíc se svět mění a tato potřeba se stává naléhavější. Zyxel USG20-VPN je cenově dostupné řešení ze světa skutečných firewallů. Pojďme se podívat, co takový firewall pro malé firmy a podnikatele nabízí navíc oproti běžným domácím firewallům.
Konfigurace s VDSL modemem v Bridge
Zde uvedený postup je podobný pro mnoho dalších bran a firewallů včetně Mikrotiku (Návod)!
Proč? Proč zapojovat DSL modem do bridge a nekoupit rovnou parádní a drahý modem? Především u VDSL modemů velmi záleží na použité VDSL čipové sadě, délce vedení do ústředny a protilehlém DSLAMu. Dražší VDSL modem může mít funkční firewall, dostávat pravidelné aktualizace, nezasekávat se a nabízet všechny požadované služby, přitom jeho VDSL čipové sadě nemusí vyhovovat konkrétní kombinace protilehlého DSLAMu a vedení. Může být výhodnější použít (vhodný!) laciný VDSL modem zapojený do bridge (pouhé propojení) a to důležité nechat dělat pořádné zařízení.
Pokud Zyxel připojíte do domácí brány, budete za dalším NATem. NAT je výborná věc, ale musí to být NAT pod vaší správou a jen jeden. Dva NATy za sebou jsou zlo! Všechno jsem dopodrobna rozepsal zde a zde.
Důvody, proč neřetězit NATy, jsme už probrali (zde) a vysvětlili jsme si i způsob, jak přepnete modem do režimu bridge, ale pro pořádek to trochu shrnu:
- NAT přepisuje hlavičku datových paketů a způsobuje zpoždění, dvojnásobné zpoždění je zbytečné!
- Laciný modem bude mít nevýkonný procesor a pokud by NAToval, brzdil by náš celkem slušný firewall.
- Firewall v laciném představeném modemu by mohl způsobovat další konfigurační potíže.
- Bezpečnost by se mohla paradoxně snížit a počet problémů naopak zvýšit.
Co chceme je, aby se VDSL modem změnil v prostý mediakonvertor, který převádí VDSL na Ethernet.
Pro úplnost, návody jsou zde, zde a také zde. Postup pro Comtrend je detailně popsán i zde.
Letem světem
Obecně se v DSL modemu odeberou všechny stávající služby, WAN services, PTM i ATM.
Přidá se nové PTM rozhraní:
A pro něj se nastaví přemostění s nastavením čísla VLAN podle návodu poskytovatele VDSL.
Aktuálně VDSL modem vytvořil propojení mezi VDSL a ethernetem, ale nevytáčí PPPoE spojení (Co to je?).
Teď máme fyzické propojení mezi VDSL modemem a DSLAM, to ale nestačí. Nad DSL (VDSL i ADSL) se obecně musí vytočit PPPoE spojení, jakási VPN, aby se vytvořil tunel pro data směřující na internet. PPPoE musí vytočit zařízení, které má získat veřejnou IPv4 adresu, tedy náš Zyxel, který bude poskytovat připojení všem počítačům v síti. Pokud PPPoE spojení vytočí váš počítač, bude mít jen váš počítač přístup do internetu.
My chceme, aby veřejná IPv4 adresa byla WAN adresou našeho nového firewallu. Proto vstoupíme do konfigurace Zyxelu a nastavíme vytáčení PPPoE spojení (vše je popsáno zde).
Pokud u služby nesvítí žárovka, služba není aktivní! A stejně musíme nastavit přihlašovací jméno a heslo - podle vašeho poskytovatele připojení, proto stiskněte tlačítko EDIT.
Nejprve je dobré vytvořit "objekt přihlašovacích údajů", což jsou údaje nutné pro navázání PPPoE spojení, které potřebujete pro ADSL v VDSL linky.
V druhém kroku tyto přihlašovací údaje nastavte do tohoto PPPoE připojení. Rozhraní nezapomeňte zapnout a nastavit, aby bylo stále aktivní.
Pokud jste konfigurovali správně, svítí u konfigurace žárovka (zapnuto) a navíc se vybarví ikonka "internetu".
Komentáře naleznete na konci poslední kapitoly.
