| Скачать в формате PDF | 
|
|---|
Использование USB-модемов в С-Терра Шлюз
Дополнительный файл:
Документ описывает ряд необходимых процедур, которые нужно выполнить на С-Терра Шлюз, чтобы реализовать возможность по использованию USB-модема в качестве канала связи.
· Huawei E3372h-153 (HiLink).
Примечание: также должны работать те USB-модемы, которые используют драйвер CDC Ethernet (далее будет описано то, как определить поддерживается ли тот или иной USB-модем на С-Терра Шлюз).
Работа USB-модемов протестирована на ОС x64 и классе СКЗИ КС1.
1. Одновременно поддерживается только один USB-модем.
Это ограничение связано с особенностями самих USB-модемов. Например, у всех модемов Huawei E3372h-153 одинаковый MAC-адрес (возможность изменить отсутствует) на сетевом интерфейсе, который создается в операционной системе С-Терра Шлюз. Также на модеме Huawei E3372h-153 нет штатных способов изменить подсеть на его сетевом интерфейсе (подсеть по умолчанию 192.168.8.0/24, 192.168.8.1 – IP-адрес шлюза по умолчанию).
2. С-Терра Шлюз с USB-модемом может выступать только инициатором защищенных/незащищенных соединений.
Опять же причиной этого ограничения является отсутствие возможности на USB-модеме Huawei E3372h-153 настраивать статический destination NAT (трансляция внешнего WAN IP-адреса USB-модема в IP-адрес Шлюза 192.168.8.X/24, который назначен на интерфейсе USB-модема).
3. Модем Huawei E3372h-153 имеет web-интерфейс, который доступен по IP-адресу 192.168.8.1 без пароля, обязательно установите надежный пароль и ограничьте доступ к web-интерфейсу при помощи межсетевого экрана.
4. Если дополнительно планируется использовать С-Терра Шлюз с USB-модемом для доступа в Интернет клиентам, располагающимся за шлюзом, то на интерфейсе USB-модема (usb0) нужно настроить NAT при помощи iptables (ВАЖНО: см. вывод №5 (касающийся настройки source NAT) главы «Порядок прохождения цепочек пакетами» документа «Использование утилиты «iptables»).
Инженер, планирующий использовать данную инструкцию, должен свободно ориентироваться в настройке базовых сценариев продукта «С-Терра Шлюз» (например, site-to-site IPsec), а также должен знать и понимать следующие технологии и протоколы: PKI, IPsec, NAT, Firewall.
Перед настройкой С-Терра Шлюз (ОС x64/СКЗИ КС1) должен быть инициализирован.
1. USB-модем должен быть заведомо исправен.
2. В USB-модем должна быть вставлена SIM-карта с возможностью выхода в Интернет.
Цель данной настройки – отображение сетевого интерфейса USB-модема в консоли cisco-like.
Выполните следующие шаги:
USB-модем не должен быть подключен в С-Терра Шлюз.
1. Загрузите deb-пакеты usb-modeswitch_2.5.2~sterra~2_amd64.deb, usb-modeswitch-data_20170806~sterra~2_all.deb с личного кабинета Партнера (https://www.s-terra.ru/auth/).
2. Скопируйте пакеты usb-modeswitch_2.5.2~sterra~2_amd64.deb, usb-modeswitch-data_20170806~sterra~2_all.deb на USB-flash накопитель (файловые системы FAT32/NTFS поддерживаются) и подключите его к С-Терра Шлюз.
3. Подключитесь к консоли С-Терра Шлюз (speed 115200), пройдите процедуру локальной аутентификации (по умолчанию administrator/s-terra).
4. Войдите в linux bash:
administrator@sterragate] system
Entering system shell...
5. Определите директорию, в которую был смонтирован USB-flash накопитель и перейдите в нее:
root@sterragate:~# mount | grep media
/dev/sdb1 on /media/D02EAFF72EAFD52E type ntfs (rw,relatime,uid=0,gid=0,fmask=0177,dmask=077,nls=utf8,errors=continue,mft_zone_multiplier=1)
В данном примере USB-flash накопитель был смонтирован в директорию /media/D02EAFF72EAFD52E.
root@sterragate:~# cd /media/D02EAFF72EAFD52E
root@sterragate:/media/D02EAFF72EAFD52E#
6. Установите пакет usb-modeswitch-data_20170806~steerra~2_all.deb:
root@sterragate:/media/D02EAFF72EAFD52E# dpkg -i usb-modeswitch-data_20170806~steerra~2_all.deb
Selecting previously unselected package usb-modeswitch-data.
(Reading database ... 18014 files and directories currently installed.)
Unpacking usb-modeswitch-data (from usb-modeswitch-data_20170806~sterra~2_all.deb) ...
Setting up usb-modeswitch-data (20170806~sterra~2) ...
7. Установите пакет usb-modeswitch_2.5.2~sterra~2_amd64.deb:
root@sterragate:/media/D02EAFF72EAFD52E# dpkg -i usb-modeswitch_2.5.2~sterra~2_amd64.deb
Selecting previously unselected package usb-modeswitch.
(Reading database ... 18507 files and directories currently installed.)
Unpacking usb-modeswitch (from usb-modeswitch_2.5.2~sterra~2_amd64.deb) ...
Setting up usb-modeswitch (2.5.2~sterra~2) ...
8. Перейдите в директорию /root:
root@sterragate:/media/D02EAFF72EAFD52E# cd /root
root@sterragate:~#
9. Извлеките USB-flash накопитель и вставьте USB-модем в свободный USB порт на С-Терра Шлюз.
10. Подождите 30 секунд и убедитесь, что в системе появился интерфейс с именем usb0:
root@sterragate:~# ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:90:0b:76:db:b2 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:90:0b:76:db:b3 brd ff:ff:ff:ff:ff:ff
4: eth2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:90:0b:76:db:b4 brd ff:ff:ff:ff:ff:ff
5: usb0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 0c:5b:8f:27:9a:64 brd ff:ff:ff:ff:ff:ff
Видно, что появился интерфейс usb0.
Если планируется использовать отличный от Huawei E3372h-153 модем, то, можно считать, что он поддерживается, если при его подключении к С-Терра Шлюза появляется интерфейс с именем usb0.
11. Добавьте новый интерфейс в файл /etc/ifaliases.cf (в качестве имени укажите FastEthernet0/0, если 0/0 занято, то 0/1 и так далее):
Новый интерфейс нужно добавлять перед строкой «interface (name="default" pattern="*")».
Произвольные имена интерфейсов не поддерживаются.
root@sterragate:~# vim.tiny /etc/ifaliases.cf
interface (name="GigabitEthernet0/0" pattern="eth0")
interface (name="GigabitEthernet0/1" pattern="eth1")
interface (name="GigabitEthernet0/2" pattern="eth2")
interface (name="FastEthernet0/0" pattern="usb0")
interface (name="default" pattern="*")
где:
name="FastEthernet0/0" – имя интерфейса, под которым модем будет отображаться в консоли cisco-like;
pattern="usb0" – имя интерфейса в выводе команды ip address show.
12. Пересчитайте контрольную сумму файла /etc/ifaliases.cf:
root@sterragate:~# integr_mgr calc -f /etc/ifaliases.cf
SUCCESS: Operation was successful.
13. Зайдите в консоль cisco-like, задайте IP-адрес 192.168.8.100/24 на интерфейсе FastEthernet0/0 и маршрут по умолчанию через 192.168.8.1 (актуально для модема Huawei E3372h-153, на других – IP-адреса могут отличаться):
root@sterragate:~# su cscons
sterragate#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
sterragate(config)#interface fastEthernet 0/0
sterragate(config-if)#no shutdown
sterragate(config-if)#ip address 192.168.8.100 255.255.255.0
sterragate(config)#ip route 0.0.0.0 0.0.0.0 192.168.8.1
14. Примените настройки (настройки применяются при выходе из конфигурационного режима):
sterragate(config)#end
sterragate#
15. Убедитесь, что Интернет доступен:
sterragate#ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 100(128) bytes of data.
108 bytes from 8.8.8.8: icmp_req=1 ttl=118 time=234 ms
108 bytes from 8.8.8.8: icmp_req=2 ttl=118 time=84.1 ms
108 bytes from 8.8.8.8: icmp_req=3 ttl=118 time=96.6 ms
108 bytes from 8.8.8.8: icmp_req=4 ttl=118 time=92.6 ms
108 bytes from 8.8.8.8: icmp_req=5 ttl=118 time=77.5 ms
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 77.500/117.045/234.264/58.985 ms
16. Далее никаких дополнительных особенностей, касающихся использования USB-модема, в настройки защищенных соединений нет.