Скачать
в формате PDF 
|
|---|
Использование USB-модемов в «С-Терра Шлюз»
Документ описывает ряд необходимых процедур, которые нужно выполнить на «С-Терра Шлюз», чтобы реализовать возможность по использованию USB-модема в качестве канала связи.
Производителем проверена поддержка следующих USB‑модемов с «С‑Терра Шлюз» 4.3:
· Huawei E3372h-153 (HiLink);
· Huawei e8372h-320;
· ZTE MF833T;
· ZTE MF79RU.
Если USB‑модема нет в списке поддерживаемых USB‑модемов и он отсутствует в списке неподдерживаемых USB‑модемов, то совместимость USB‑модема с «С‑Терра Шлюз» может быть проверена самостоятельно в соответствии с методикой, изложенной в Приложении.
Следующие USB-модемы не будут работать с «С‑Терра Шлюз» 4.3:
· Huawei Brovi e3372-325;
· Alcatel IK41VE1-2BALRU1;
· Alcatel IK41VE1-2AALRU1.
1. USB‑модем должен быть совместим с «С‑Терра Шлюз» 4.3 в соответствии с требованиями, изложенными в главе «Список поддерживаемых USB-модемов».
2. При необходимости использования нескольких USB‑модемов на одном «С‑Терра Шлюз» каждый из модемов должен иметь уникальный MAC‑адрес в пределах «С‑Терра Шлюз». В некоторых случаях может оказаться, что все USB-модемы одного производителя имеют одинаковый MAC-адрес без возможности его изменения. Это не позволит одновременно пользоваться двумя модемами одного производителя. Допускается одновременное использование разных производителей, либо модемов одной фирмы, но с разными MAC-адресами, однако в этом случае все модемы должны быть подключены в систему одновременно.
3. Следует обращать внимание, что встречаются случаи, когда на штатной прошивке внутренние подсети модемов невозможно изменить, например у модема Huawei E3372h-153 и Huawei e8372h-320 - это подсеть 192.168.8.0/24, а у ZTE MF833T и ZTE MF79RU - 192.168.0.0/24.
4. Если на USB модеме отсутствуют функции DMZ или Port Forwarding, то «С-Терра Шлюз» не может выступать в роли ответчика защищенных/незащищенных соединений. То есть, если на USB модеме нельзя настроить трансляцию внешнего WAN IP-адреса USB-модема в IP-адрес Шлюза, который назначен на интерфейсе USB-модема, то «С-Терра Шлюз» может быть только инициатором защищенных/незащищенных соединений.
5. Модемы Huawei E3372h-153, Huawei e8372h-320 и ZTE MF833T и ZTE MF79RU имеют web-интерфейс, который доступен по IP-адресам 192.168.8.1 и 192.168.0.1 соответственно.
Обязательно установите надежный пароль к web-интерфейсу модема.
6. Если дополнительно планируется использовать «С-Терра Шлюз» с USB-модемом для доступа в Интернет клиентам, располагающимся за шлюзом, то на интерфейсе USB-модема (usb0) нужно настроить NAT при помощи iptables (ВАЖНО: см. соответствующий пункт документа «Использование утилиты «iptables»).
Инженер, планирующий использовать данную инструкцию, должен свободно ориентироваться в настройке базовых сценариев продукта «С-Терра Шлюз» (например, site-to-site IPsec), а также должен знать и понимать следующие технологии и протоколы: PKI, IPsec, NAT, Firewall.
Перед настройкой «С-Терра Шлюз» должен быть инициализирован (подробнее на http://doc.s-terra.ru раздел «С-Терра Шлюз» ->«С-Терра Шлюз» 4.3 -> «Подключение ПАК и инициализация «С-Терра Шлюз» на вычислительных системах архитектуры Intel x86-64»).
1. USB-модем должен быть заведомо исправен и находиться в списке поддерживаемых.
2. В USB-модем должна быть вставлена SIM-карта с возможностью выхода в Интернет.
Выполните описанные ниже шаги.
1. Подключитесь к локальной консоли «С-Терра Шлюз» и пройдите процедуру аутентификации (по умолчанию administrator/s-terra).
2. Войдите в linux bash:
administrator@sterragate] system
Entering system shell...
3. Вставьте USB-модем любой свободный USB порт на «С-Терра Шлюз».
4. Подождите 30 секунд и убедитесь, что в системе появился новый сетевой интерфейс:
root@sterragate:~# ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:90:0b:76:db:b2 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:90:0b:76:db:b3 brd ff:ff:ff:ff:ff:ff
4: eth2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:90:0b:76:db:b4 brd ff:ff:ff:ff:ff:ff
5: eth3: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 0c:5b:8f:27:9a:64 brd ff:ff:ff:ff:ff:ff
Видно, что появился интерфейс eth3.
5. Обновите карту сетевых интерфейсов, для этого воспользуйтесь утилитой netifcfg. Выполните последовательно следующие команды:
root@sterragate:~# netifcfg enum > enum
root@sterragate:~# netifcfg map enum
SUCCESS: Operation was successful.
update-initramfs: Generating /boot/initrd.img-4.9.0-8-amd64
После выполнения перезагрузите устройство:
root@sterragate:~# reboot
6. После выполнения пункта 5 модем будет отображаться в системе как сетевой интерфейс с именем usb0 (а в cisco-like как UsbEthernet 0).
· Для задания статического адреса можно воспользоваться возможностями cisco-like консоли (IP-адрес, приведенный ниже подойдет для Huawei E3372h-153, для других модемов подсеть может отличаться):
o Войдите в cisco-like консоль из linux bash:
root@sterragate:~# su cscons
o Перейдите в режим настройки:
sterragate #configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
o Задайте адрес 192.168.8.100/24 на интерфейсе UsbEthernet 0 и включите его:
sterragate (config)# interface UsbEthernet 0
sterragate (config-if)# ip address 192.168.8.100 255.255.255.0
sterragate (config-if)# no shutdown
o После успешного включения интерфейса UsbEthernet 0 следует задать шлюз по умолчанию (192.168.8.1 - для Huawei E3372h-153) в cisco-like консоли:
sterragate (config)# ip route 0.0.0.0 0.0.0.0 192.168.8.1
· Для настройки получения адреса по DHCP следует создать отдельный конфигурационный файл в каталоге /etc/network/interfaces.d/. Назвать его нужно так же, как называется в системе сам интерфейс (usb0), но имя файла не должно содержать точек и специальных символов. Отключим интерфейс и редактируем файл из linux bash (IP-адрес, приведенный ниже подойдет для Huawei E3372h-153, для других модемов подсеть может отличаться; шлюз по умолчанию в cisco-like консоли указывать не нужно, он будет получен по DHCP):
o root@sterragate:~# ifdown usb0
Команда ifdown нужна для того, чтобы остановить работу интерфейса, однако работает она только с теми интерфейсами, которые описаны в конфигурациях /etc/network/interfaces или /etc/network/interfaces.d/*. Если интерфейс там не описан, то команда выдаст ошибку ifdown: unknown interface usb0 (в таком случае на ошибку можно не обращать внимания).
Команду ifdown следует выполнять перед любым изменением параметров интерфейса в конфигурационных файлах.
o root@sterragate:~# vim.tiny /etc/network/interfaces.d/usb0
auto usb0
allow-hotplug usb0
iface usb0 inet dhcp
o После редактирования файла /etc/network/interfaces.d/usb0 для применения настроек следует включить интерфейс usb0:
root@sterragate:~# ifup usb0
7. Убедитесь, что интерфейс usb0 запущен и на нем имеется адрес:
root@sterragate:~# ip address show
11: usb0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:a0:c6:00:00:00 brd ff:ff:ff:ff:ff:ff
inet 192.168.8.100/24 brd 192.168.0.255 scope global usb0
valid_lft forever preferred_lft forever
8. Убедитесь, что Интернет доступен:
root@sterragate:~# ping 8.8.8.8 -с 5
PING 8.8.8.8 (8.8.8.8) 100(128) bytes of data.
108 bytes from 8.8.8.8: icmp_req=1 ttl=118 time=234 ms
108 bytes from 8.8.8.8: icmp_req=2 ttl=118 time=84.1 ms
108 bytes from 8.8.8.8: icmp_req=3 ttl=118 time=96.6 ms
108 bytes from 8.8.8.8: icmp_req=4 ttl=118 time=92.6 ms
108 bytes from 8.8.8.8: icmp_req=5 ttl=118 time=77.5 ms
--- 8.8.8.8 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 77.500/117.045/234.264/58.985 ms
9. Далее никаких дополнительных особенностей, касающихся использования USB-модема, в настройке защищенных соединений нет - с ним нужно работать как с обычным сетевым интерфейсом.
Модем является совместимым с «С‑Терра Шлюз» если он определяется в «С‑Терра Шлюз» и имеет статический MAC‑адрес.
Для проверки совместимости выполните следующие действия:
1. Вставьте USB-модем в любой свободный USB порт на «С-Терра Шлюз» и проконтролируйте появление нового сетевого интерфейса, соответствующего USB-модему. В течение 30 секунд в системе должен появиться новый сетевой интерфейс (в приведенном выводе eth3):
root@sterragate:~# ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:90:0b:76:db:b2 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:90:0b:76:db:b3 brd ff:ff:ff:ff:ff:ff
4: eth2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:90:0b:76:db:b4 brd ff:ff:ff:ff:ff:ff
5: eth3: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 0c:5b:8f:27:9a:64 brd ff:ff:ff:ff:ff:ff
Если в течение 30 секунд новый сетевой интерфейс в системе не появился, то модем не может использоваться с «С‑Терра Шлюз».
2. Проконтролируйте статичность (неизменность) MAC‑адреса сетевого интерфейса, соответствующего модему, при выполнении каждой из следующих операций:
· Переподключение модема к тому же самому USB‑порту «С-Терра Шлюз»;
· Подключение модема к другому USB‑порту «С-Терра Шлюз»;
· Перезагрузка ОС «С-Терра Шлюз» командой reboot;
· Выполнении цикла отключения/включения питания «С-Терра Шлюз» с подключенным к его USB‑порту модемом.
Если при выполнении всех указанных операций MAC‑адрес сетевого интерфейса, соответствующего модему, в выводе ip address show, остается неизменным, то модем может использоваться совместно с «С-Терра Шлюз». В противном случае модем использоваться с «С‑Терра Шлюз» 4.3 использоваться не может.
Имеет брандмауэр, который позволяет использовать:
· "черный" и "белый" списки,
· применять фильтрацию по адресам
· выключать ping порта WAN
Позволяет настроить параметры, чтобы разрешить использование специальных приложений (онлайн-игр, видео-конференций, IP-телефонии) через LAN.
Позволяет настроить DMZ
Поддерживает NAT; симметричный (Symmetric NAT) и конический (Cone NAT)
Имеет брандмауэр, который позволяет использовать:
· фильтрацию пакетов
· переадресацию портов (протоколы [TCP/UDP | TCP | UDP])
· настроить DMZ
Есть поддержка DMZ
Дополнительных опций не имеет.