Установка Untangle NG Firewall — один из вариантов развития событий при разворачивании инфраструктуры с нуля в том случае, когда на гипервизоре мы так же хотим поднять и межсетевой экран. Межсетевые экраны могут быть разные. Установка Untangle NG Firewall выбрана в связи с устраивающей для малого предприятия функциональностью, её бесплатностью, а так же готовностью к развёртке в виртуальной среде. Для того чтобы развернуть корпоративный фаерволл, минимум нам необходимо иметь на гипервизоре два сетевых интерфейса. В один интерфейс у нас будет входить аплинк от провайдера, на другом интерфейсе будет поднята локальная сеть, а физически мы подключем его по гигабитному (и более) каналу к свитчу, который свяжет гипервизор с остальной сетью фирмы. Итак, приступим 🙂
Настройка гипервизора
Так как мы устанавливаем Untangle NG Firewall на только что установленный гипервизор, где из всех настроек был создан лишь доп раздел на USB флешке. То нам сначала необходимо настроить дополнительный интерфейс, который будет обслуживать локальную сеть.
Авторизуемся в веб интерфейсе
Переходим в Networking > Virtual Switches и нажимаем Add standard virtual switch
Добавление второго vSwitch
У меня в данном сервере 4 гигабитных сетевых интерфейса. При установке, vmnic0 гипервизор использовал для организации работы vSwitch0 и всего гипервизора в целом, этим интерфейсом мы займёмся потом. Из незадействованных интерфейсов остались vmnic1, vmnic2 и vmnic3. Для организации доступа в интернет я буду использовать vmnic3 и назову его vSwitch3.
Добавление vSwitch3 для WAN
Далее нужно заранее предположить будет ли у нас резервный канал интернета и если будет то точно ли это будет один канал. Я предполагаю в далёком будущем наличие второго аплинка, потому vmnic2 мы трогать не будем.
Из имеющихся в наличии и ещё никак не использованных интерфейсов остаётся vmnic1. Тут стоит подумать чего вы хотите добиться в итоге. Ничего не мешает оставить всё как есть, и просто vmnic0 на котором сейчас работает гипервизор не трогать и использовать этот интерфейс для выхода в сеть. Или можно например для выхода в сеть использовать vmnic1, создав на нём отдельный интерфейс LAN, а vmnic0 сделать как «административный» интерфейс. Поднять на нём отдельный фаерволл и использовать его исключительно для сисадминского доступа или нужд. В любом случае вы ограничиваетесь только фантазией. Никто не запрещает например поднять внутри сервера какой-либо NAS и выделить отдельный гигабитный порт для нужд этого нас. Мы же в свою очередь ограничимся двумя интерфейсами WAN на vmnic3 и LAN на vmnic0.
Добавляем Port group — WAN
Переходим в Networking > Port groups > Add port group. Называем группу WAN и выбираем свитч vSwitch3
Добавление Port Group — WAN
Переименовываем Port group VM Network в LAN
В этом же окне, выбираем группу VM Network, жмём Edit Settings и изменяем название VM Network на LAN. В итоге у нас должно получиться следующее:
Результат настройки групп портов ESXi
Установка Untangle — Создаём виртмашину с Untangle NG Firewall
Создавать будем виртмашину со следующими параметрами:
- RAM: 2GB
- vCPU: 2
- HDD: 16GB
- Guest OS family: Linux
- Guest OS version: Debian 10
- В CDROM примонтирован образ untangle-15.1.0-amd64.iso залитый на датастор на флешке
Создаём виртуальную машину Untangle NG Firewall на ESXi 7
Установка Untangle
- Select a language: English
- Select your location: other > Europe > Russian Federation
- Configure locales: Unated States
- Keymap to use: American English
- Ожидаем пока всё загрузится
- Configure the clock: Выбираем свой часовой пояс
- Partition disks > Write the changes to disks: Yes
- Нажимаем Continue и ждём
- По окончанию установки так же жмём Continue и грузимся в интерфейс шлюза (прямо в окне гипервизор)
Приступаем к первичной настройке Untangle NG Firewall
Первичная настройка Untangle NG Firewall
Нажав Continue на предидущем экране, попадаем на стартовый экран и жмём Run Setup Wizard. Когда вылезет EULA, принимаем (выбора то у нас нету)
Задаём пароль администратора
Задаём пароль администратора
Убеждаемся что интерфейсы которые определил Untangle соответствуют целевым порт группам.
Проверяем соответствие интерфейсов и групп портов
Настраиваем WAN интерфейс. В моём случае инторнеты раздаёт свитч управляющей компании. Потому адрес я получаю от их роутера по DHCP.
Настраиваем параметры WAN интерфейса
Настраиваем LAN интерфейс
Работать Untangle будет в режиме роутера. Его локальным адресом будет 192.168.1.1, DHCP сервер на данном этапе включён и пригодится в процессе развёртывания инфраструктуры.
Настраиваем параметры LAN интерфейса
Относительно автообновлений, это вопрос больше религиозный нежели функциональный, кто-то любит сам жать на кнопку, прочитав всю информацию об апдейте, кому-то лишь бы оно само что-то делало и не отвлекало от интересных дел. Я оставлю автообновления включенными. Относительно центральной панели управления — имхо очень удобная штука снимающая немного геморроя в обслуживании. Тоже оставлю включёнными.
Автообоновления и центральная панель управления
Собственно после нажатия кнопки Finish можно считать что установка Untangle NG Firewall закончена. Останется только ввести логин и пароль от учётки Untangle, если нужно добавить фаерволл в центральную панель управления. Теперь у нас есть роутер, развёрнутый в виртуальной среде раздающий интернет, адреса по DHCP, а так же обслуживающий DNS запросы.
Подписывайтесь на рассылку, или следите за новыми статьями в блоге Яндекс Дзен
2 комментария
На самом деле хватит и одного сетевого порта на сервере, если использовать управляемый коммутатор.
Безусловно, если есть управляемый коммутатор, можно воспользоваться вланами