Endian Firewall 2 3 Rc1 Manual Book[1]
Transcript of Endian Firewall 2 3 Rc1 Manual Book[1]
Endian Firewall2.3 rc1~ Manual Book ~
คคมมอการตอการตดตดตงและการปรงและการปรบแตบแตงง Endian Firewall สำหรสำหรบผบผเรเรมตมตนน
Endian Firewall 2.3 rc1 - Manual Book
1
คำนำคำนำ
E-book เลมนเกดจากแรงบลดาลใจในการทำ Firewall โดยมนไดเรมตนจากการทเราไมรเรองอะไรเลยวาGreen, Red, Blue, Orange มนคออะไร? โดยเรารเพยงแควาขอใหเปดเครอง ตอสายLan set IP Addressและกขอใหมนออกเนตไดเทานน แตในโลกแหงความเปนจรงนนเราจำเปนตองใช Firewall, Proxy, Load
Balance
แต... เราจะไปถามใครดละ ????
จนมวนหนงทผมไดพบกบเพอนๆท ThaiAdmin เราจงไดรวาทนเปนสงคมแหงการแบงปนจรงๆมทงความชวยเหลอ มตรภาพ
ในเวลาทเรามปญหาอะไร ThaiAdmin จะคอยเปนเวบทใหความชวยเหลอ ชวยแกปญหาใหเราเสมอมา...นอกจากทผมจะไดรบการแกไขแลว ยงเปนแหลงทสำหรบศกษาความรใหมๆไดดอกดวย
แตเนองจากวา topic ตางๆทเกยวกบ Endian Firewall นนยงปะปนกบ Topicอนๆทำใหมอใหมทตองการจะศกษาเกดความสบสนในการใชงาน Endian Firewall บางทกหาไมเจอ
หรอเจอกไมตรงประเดน บางทานยงตดตงไมไดดวยซำเพราะไมไดศกษาตามลำดบการใชงานจรง จงทำใหระบบ Firewall ทออกมานน ไมมประสทธภาพเอาซะเลย...
ผมเองกขอถอโอกาสนทำ E-Book เกยวกบการตดตงและปรบแตงขนมา โดยขอเปนเจาภาพงานละกนทงๆทเปนเปดกาบๆนละ ดทสด จะไดอยตรงกลางระหวางคนเกง และคนทไมเกง
สวนเพอนๆใน Thaiadmin ทเกง ทานใดตองการจะเพมเตม จะแกไขตรงไหน รบกวน PM หรอ DMมาใหผมนะครบ
ผมจะสง Link ไปใหชวยทำทนทครบ ความรของทานจะเปนสงทคนยกยอง( อยากใหมาชวยกนเยอะๆ คนละเรอง คนละบท ผมกดใจแลว.. ^o^ )
สดทายน... E-book อนน ไมสงวนสทธแตอยางใด ใครจะเพม ใครจะแกไข ใครจะสำเนา กไดครบหหามนำามนำ!! ทกๆขอความ หรอสวนหนงสวนใด ในE-book ไปใชในเชงพาณชย โดยเดดขาด...
Somhpong Ph.Soi62@ThaiAdmin
13 Oct 2009
ปล.ออกตวกอนนะครบ วาผมไมใชเทพ ไมใชเซยน แตอยากใหทกๆคนไดมาเจอกนทนครบ....
ref : http://www.thaiadmin.org/board/index.php?topic=112996.0
Endian Firewall 2.3 rc1 - Manual Book
2
สารบสารบญญ
Part 1 :Endian Firewall (EFW) Overview -Endian Firewall Community คออะไร? (Neoboyd@Thaiadmin) -ทำไมถงตองใช EFW? แลวมนดอยางไร? -การดาวนโหลด EFW(Neoboyd@Thaiadmin) -
การจดเตรยม Hardware (Neoboyd@Thaiadmin) -เรมการตดตงโปรแกรม (Soi62@Thaiadmin) -
Part 2 :เรยนร Network พนฐาน (Neoboyd@Thaiadmin) -การปรบแตงคาเรมตน (Green & Red) (Neoboyd@Thaiadmin) -การออกแบบ Network รวมกบ EFW เบองตน -
Green, Red, Blue และ Orange(DMZ) คออะไร (Neoboyd@Thaiadmin) -ขา Red ทชาว ThaiAdmin ใชกนบอยๆ มอะไรบาง? -
Part 3 :การเซต Proxy พนฐาน (Neoboyd@Thaiadmin) -
Part 4 :การ config Firewall พนฐาน -การ config system access -การ config outgoing -
Part 5 :การ config Logging เพอใชในการเกบ Log -การเลอกด Log ตามชวงเวลา -
Part 6 :การ Config VPN serverOpen VPN Client to Site (tototyt@thaiadmin)Open Vpn Site to Site (tototyt@thaiadmin)
-
IPSEC
Part 7 :FAQ -
Part 8 :Appendix (ภาพผนวก) -Credits (รายนามผรวมจดทำ) -
Endian Firewall 2.3 rc1 - Manual Book
3
Endian Firewall (EFW) Overview
First Sceen (Dashboard)
Dashboard Quality of Service and BandwidthManagement
Endian Firewall 2.3 rc1 - Manual Book
4
Intrusion Prevention System Group-based content filtering & enhancedWeb Security
Enhanced Network Address Translation (NAT)
Other....- Traffic-based Hotspot tickets and automatic user generation- Event handling and notification- SNMP support- Revamped Mail Security- Sophos Anti-Virus (optional)- Commtouch RPD (optional)
Endian Firewall 2.3 rc1 - Manual Book
5
Endian Firewall Community คคออะไรออะไร?
Endian Firewall Community คอ ลนกซประเภทหนงทออกแบบมาเพอความปลอดภยซงถกเปลยนทกระบบเพอมาเปน อปกรณทางดานความปลอดภยของเครอขายดวยการทำงานแบบ Unified
Threat Management (UTM)* ตวซอฟทแวรถกออกแบบใหใชงานไดงาย งายตอการตดตงใชงานและการจดการโดยคณลกษณะทเพมเขามาไดแก...
1. Stateful packet inspection firewall**
2. Application-level proxies for various protocols (HTTP, FTP, POP3, SMTP) with Antivirussupport
3. Virus and spamfiltering for email traffic (POP and SMTP)4. Content filtering of Web traffic
5. VPN solution (based on OpenVPN)
ขอดทสำคญของ Endian Firewall คอเปน software แบบ Open source สนบสนนโดย บรษท Endian S.r.l.
* Network firewall + E-mail spam filtering + Anti-virus capability + IDS or IPS = UTM** Stateful packet inspection firewall
ทำไมถทำไมถงตงตองใชองใช EFW? แลแลวมวมนดนดอยอยางไรางไร?
1. ทานไมตองเสยเงนซอ Firewall จากคายดงๆ ในราคาแพงๆ เพราะ EFW ทำไดหมด และเปน OpenSource2. ทานไมจำเปนตองรคำสง Linux มากมายหรอขนสง เพราะทานสามารถ config ทกอยางไดจาก Web
Browser***3. ไมจำเปนตองจดหา จดซอเครองใหมๆ เครองแรง เพราะเราไมตองการใชงานมากมายขนาดประมวลผล3D
เครองทมๆอยก เพยงพออยแลว4. ทานไมตองจาง consult, ไมตองจางใครมาตดตงให และเบอทตองใหคนอน config
และกไมตรงตามความตองการ ปญหาเหลานจะหมดไป เพราะทานจะเปนคนทำเอง แกไขเอง ไมมคาใชจาย5. มแหลง community ดๆท ThaiAdmin อยแลว ไมตองกลว วาทานจะอยคนเดยว อยางเดยวดาย
" ถถานานบขบขอดอดไดไดครบทครบทงง 5 ขขอแลอแลวว เรามาเรเรามาเรมกมกนเลยดนเลยดกวกวาคราครบบ ^o^ "
***Web Browser : โปรแกรมทใชในการเปดเวบตางๆ เชน Internet Explorer, FireFox, Safari, Chrome, etc...
การการ Download EFWในปจจบน Endian Firewall ไดพฒนามาถง version 2.3 rc1
และยงคงพฒนาอยางตอเนองซงยงคงมออกมาอยางตอเนอง โดยเราสามารถดาวนโหลจากเวบไซตท...
Endian Firewall Community 2.3 Release Candidate
ซงมขนาด 123 MB. ซงหลงจาก download เราจะไดเปนไฟล ISO ใหใชโปรแกรมทสามารถเขยนไฟล ISO ไดเขยนลงแผน CD เทานน ซงความเรวทใชในการเขยน CD ตรงน ควรใช speed
ทไมตองสงมากเพอปองกนการอานแผนไมได ผมแนะนำท 4x ~ 12X ครบจะผดพลาดนอย
การจการจดเตรดเตรยมยม Hardware พพนฐานนฐาน
ความตองการระบบของ Endian Firewall Community Edition มดงน1. การดแลนตามจำนวน Zone ทเราม ซงจะพดถงอกครงตอนทเราทำการออกแบบระบบ network
Endian Firewall 2.3 rc1 - Manual Book
6
2. ตวอปกรณฮารดแวรทมความเขากนไดกบ Linux operating system ซงสามารถดไดทน Linux.comarticle for more details. คณสามารถทดลองตรวจสอบความเขากนไดของระบบดวยการทดลองตดตง
CentOS 4.6 operating system. ถาการตดตง CentOS สามารถตดตงไดอยางปกตและสามารถใชงานระบบเครอขาย ซดรอม และเปดใชงานทเกบขอมลตางๆไดอยางนนถอไดวาตวอปกรณของคณมความเขากนไดกบระบบเปนอยางด
ปญหาสวนใหญในการตดตงอปกรณเกดขนจาก driver ไมมมาใหใน version ทเปนของ linuxแตคณกสามารถหลกเลยงปญหาดงกลาวดวยการใชการดแลนทม chipset เปนของทาง Realtek หรอIntel การดจอแบบออนบอรดทเปนของ intel หรอ Nvidia และพยายามหลกเลยงการใชซอฟทแวร
Raid ยงไงการเลอกใช hardware ใหนกถงความเปนจรงในการออกแบบระบบวา เราจะตองเพมอปกรณและความตองการมากนอยแคไหน ขนอยกบการใชงานเปรยบเทยบกบขนาดของระบบทจะตองรองรบ
การนำอการนำอปกรณปกรณ Computer เกเกาเพาเพอนำมาตอนำมาตดตดตงง Endian Firewall
ถาคณมอปกรณคอมเกา คณสามารถนำมนมาใชตดตงสำหรบระบบ Network ขนาดเลกโดยอาจจะมผใชสก 25คนรวมกบการเชอมตอ Vpn 5 connection โดยระบบดงกลาวมดงน...
Recommend Spec :• Pentium 3.1 GHz.
• 512 MB. RAM• 8 GB. Hard Disk Drive
• 1 x 100 Mb. Network Cards (Green & Red ในขาเดยวกน)• พดลมทมแรงลมดและรองรบการทำงาน 24 hrs. x 365 days
สำหรบระบบขนาดกลางทมผใช 50 คนขนไปและการเชอมตอ vpn 10 connections ขอแนะนำใหเปนเสปคดงน:
Performance Spec :• Pentium4 2.8 GHz. up
• 1~4 GB. RAM up• 20~80 GB. Hard Disk Drive (Caching, Logging)*
• 4 x 100 Mb. Network Cards (Green, Red, Blue, Orange ตามการใขงาน)• พดลมทมแรงลมดและรองรบการทำงาน 24 hrs. x 365 days
*Caching : คอการชวยลดภาระการดาวนโหลดไฟลตางๆจาก ISP โดยตรง Client จะดาวนโหลดขอมลตางๆจากEFW กอนไปดาวนโหลดท ISP โดยตรง
*Logging : การเกบ Log ใน EFW เนองจากตาม พรบ. ตองเกบอยางนอย 90 วน ซงอาจจะตองใชเนอทมาก...
Endian Firewall 2.3 rc1 - Manual Book
7
เรเรมการตมการตดตดตงโปรแกรมงโปรแกรม
1. ขนแรกใหทำการตดตงโดยใสแผน CD ทไรทมาจากหวขอทแลวลงใน CD-Rom Driveแลวเปดเครองจะปรากฎดงรป
ถาไมขนแบบนแสดงวาทานยงไมไดตง Boot ท CD-Rom Drive ใหไปปรบแตงใหถกตอง....
2. เมอกด Enter เขามาจะพบหนาจอแบบดานลางนครบ ในทนเราเลอกภาษาองกฤษนะครบ แลวกด Enterไปขนตอนตอไป..
Endian Firewall 2.3 rc1 - Manual Book
8
3. เมอพบหนาจอน เปนหนาจอตอนรบ เพอเรมการตดตง กด Enter ผานไปไดเลยครบ
4. หนานสำหรบแจงทานวา หลงจากลง EFW ขอมลใน HDD ของทานจะสญหายทงหมด เพราะ Endianจะทำการแบงเนอทใหมทงหมด ใหเลอก Yes แลวกด Enter ตอไปไดเลยครบ
Endian Firewall 2.3 rc1 - Manual Book
9
5. หนานตองการบอกทานวาตองการใชงาน console ผาน Serial หรอไม ถาเราใชก Yesแตในทนผมไมไดใชนะครบ เพราะเราดผาน ขา Green อยแลว.... ผมจงเลอก No แลวกด Enter ไปเลยครบ.....
6. ถาขนหนาจอแบบน ใหรอสกประมาณ 5-10 นาทครบ ระบบลงตดตง ชวงนเดนเลนกอนไดครบ
Endian Firewall 2.3 rc1 - Manual Book
10
7. ถามาถงตรงนแลว เขาตองการใหกำหนด IP Address ของวงใน หรอทเราเรยกวาขอ Green ครบเปลยนตามททานตองการไดเลย แตถายงไมรวาจะตงวาอะไรด กตงตามผม(ในรปดานขวา)ไดครบ.... แลวกกด
Enter ตอไป ใหเรยบรอย...
8. เมอกำหนด IP Address ไปแลว ระบบจะทำการ Eject แผน CD ใหครบ... แตถาถาดไมออกและมขอความแบบนไมตองตกใจครบ EFW ตองการใหเราเอาแผนออก เพราะระบบจะทำการรบตใหมครบ
9. EFW ถกตดตงเสรจสมบรณแลว กด Enter เพอ Reboot ระบบใหมอกครง...
Endian Firewall 2.3 rc1 - Manual Book
11
10. ระบบจะ Shutdown อตโนมต ใหรอประมาณ 10 วนาท ไมตองทำอะไรครบ
11. หลงจากรบตขนมาใหมแลว จะพบหนาตาแบบน ถาไมขนใหเชคดแผน CD ครบ วาเอาออกรยง.... ?สวนหนาจอนเราไมตองกดอะไรเพมครบ รออยางเดยว
Endian Firewall 2.3 rc1 - Manual Book
12
12. ระบบกำลงโหลด config ตางๆขนมาตามลำดบครบ
13. หลงจากทบตเรยบรอยแลว จะพบหนาตาแบบดานลางครบ ในหนาจอจะบอกวา ขา Green IP อะไร....0-Shell : คอมมานด สำหรบคนทเกงๆ linux กสบายไปครบ ใครทไมเกงหรอไมร ไมตองกลวครบ
เดยวเรามวธเขาแบบงายๆในบทตอไป
Endian Firewall 2.3 rc1 - Manual Book
13
1-Restore Factory : เวลาทเรา config ผด แลวทำใหไมสามารถเขา EFW ไดเราไมตองลงใหมทงหมดนะครบ ใหเลอกขอน ระบบจะ Clear ทกอยางใหเหมอนกบตอนลงเสรจใหมๆเลยครบ
2-Reboot : ใชเวลาท EFW แฮงคหรอมปญหา เรากเลอกขอนเพอใหระบบ รบตใหมไดทนทครบ
14. ถาทานตองการทดสอบ EFW Shell ทานตองใช username=root ; password=endian ดงรป...
และถาตองการออกมายงเมนเดมใหพมพคำวา exit แลวกดปม Enter ครบ...
จบการตดตงครบ....
Endian Firewall 2.3 rc1 - Manual Book
14
การปรการปรบแตบแตงคงคาเราเรมตมตนน
หลงจากทตดตง Endian Firewall แลวเราจะเขามาสการ Config ซงจะทำผานทางหนาเวบโดยใหเราพมพ http://ตามดวย ip ทเรากำหนดในขนตอนท 7 ของการตดตงและกำหนด IP ของ Green กจะไดหนาตางตามรปขางลางน
1. ใหเรากดปม >>> เพอเรมการ config เลยนะครบ
2. กำหนดคาตดตงภาษาเปน English(English)และเขตเวลา Asia/Bangkok
3. คลกท Accept License เพมยอมรบในสทธของการใชซอฟทแวร
Endian Firewall 2.3 rc1 - Manual Book
15
4. ในขนตอนนจะเปนการทำ Restore จากไฟล Backup ในกรณทคณเคยตดตง Endian Firewallไวกอนแลวสามารถ Restore ตวระบบใหกลบมาทำงานไดอกครงทนท แตถาเปนการตดตงใหมใหเลอก NOและกดทปม >>>
ในกรณทเปนการ Restore ใหเลอกตวเลอกเปน Yes และกดปม >>> จากนนระบบจะให Browse เพอใสไฟลConfig ทได Backup ไวและเรมตนระบบตอไดในทนท
5. จากนนใหทำการกำหนดรหสผานเพอใชในการเขาเวบและการ Remote โดยใช SSH เพอการตงคาระบบ
Endian Firewall 2.3 rc1 - Manual Book
16
ทงนการตงคารหสตองมความยาวไมนอยกวา 6 ตวอกษรนะครบ เมอตงคาเสรจแลวใหกดปม >>>
6. ขนตอนในการกำหนดประเภทของ Red Interface ทใชในการตอ Internet ซงรปแบบของคณเปนแบบไหนซงสามารถอธบายไดดงน
1. Ethernet Static เปนการกำหนด IP ใหกบการดแลนโดยระบเลขหมาย IP แบบถาวร2. Ethernet Dhcp เปนการกำหนด IP ใหกบการดแลนโดยไดรบ IP จาก DHCP Server หรออปกรณทจาย
IP ได3. PPPOE เปนการเชอมตอ internet แบบ Adsl รปแบบหนงทจะตองใส username password และไดรบ
IP จาก ISP ซง IP ทไดรบจะขนอยกบการบรการทสมครใชอาจจะเปน Fix หรอ Dynamic กได4. Adslแบบ USB หรอ PCI คอ adsl ทม interface ทเปน usb หรอ pci การดซงจะตางจากขอ 3
ตรงทจะมขนตอนในการใส driver ของตวอปกรณเพม5. ISDN เปนรปแบบการตอโมเดมชนดหนงทมลกษณะแบบ digital
ไมคอยไดรบความนยมเพราะมความเรวนอย แตมความเสถยรมาก6. Analog/UMTS Modem เปนรปแบบการเชอมตอแบบโมเดมอนาลอกรวมถงการเชอมตอแบบ UMTS*
ซงพบในการเชอมตอสำหรบโทรศพทมอถอ7. Gateway เปนการกำหนดให Endian เปนทางผานสำหรบการเชอมตอ Internet โดยหนาทของการ Nat
จะไปอยท router
*UMTS ยอมาจาก "Universal Mobile Telecommunication System" เปนเครอขายในยค 3Gทมพฒนาการมาจากเครอขาย GSM, GPRS และ EDGE ซงหลาย ๆ ครงอาจเรยกไดวาเปนเครอขาย W-CDMAโดยมจดมงหมายเพอตอบสนองความตองการใชงานดานการรบ-สงขอมลทมาก ขนของลกคา เครอขาย UMTSนนจะมความเรวในการรบสงขอมลสงถง 2 Mbit/sec ซงมความเรวในการรบ-สงขอมลทมากกวาเครอขาย EDGEทใชบรการในปจจบนถง 4 เทา
Endian Firewall 2.3 rc1 - Manual Book
17
7.การกำหนดรปแบบของระบบเครอขายวาม Network Zone ไหนบางซงในขนตอนนจะม Zoneทเกยวของระหวาง Blue กบ Orange ซงสามารถอธบายไดดงน...
1. Orange Zone สวนใหญจะใชในการทำ DMZ เพอใชในการวาง Server เพอใหบรการตางๆ ดวยการMap กบ Public IP ทไดรบจาก ISP
2. Blue Zone สวนใหญใชในการทำ Wifi Zone เพอใหปลอดภยกบการใชงาน
*สำหรบบทน เราจะขามเรอง Blue & Orange ออกไปกอนนะครบ เพราะปองกนความสบสนของทกทานใหเลอกเปน None ไปกอนแลวกดปม >>>
Endian Firewall 2.3 rc1 - Manual Book
18
8.ขนตอนการกำหนดการเขาใชงาน Internet
8.1 Red interface เปนแบบ Ethernet Static1. IP address ใหใสคา ip ทอยในชวงทเราไดรบมาซงสามารถออก Internet
ไดซงสวนใหญจะเปนการเชอมตอประเภท Leased Line แบบตางๆ หรอ Adsl ทเปนแบบFixed IP โดยให Ip 1 เบอรระบในชอง IP address พรอมระบ Subnet Mask ในชองดานขาง
2. Add additional Addresses(One IP/Netmask or IP/CIDR perline): คอการระบIPทไดซงอยในชวง ยกตวอยางเชนในการออกแบบระบบคณไดตดตง Leased Line ซงม IP 8เบอร 1 เบอรสำหรบ Network Class, 1 เบอร สำหรบ Router, 1 เบอรสำหรบ Broadcastingและอก 1 เบอรสำหรบ Endian Firewall ทนเบอร IP ทเหลอ อก 4เบอรใหคณนำมาใสในชอง เพอทจะนำมา Map เขาไปใน Orange Zone เพอใหบรการServer ในแบบตางๆ ซงรปแบบการใสอาจจะเปน 172.16.1.10/255.255.255.0 หรอ172.16.1.10/24 ทละบรรทดจนครบ
3. เลอก Interface หรอการดแลนใบทใชเชอมตอ4. Default Gateway ทเราใชออก Internet
Endian Firewall 2.3 rc1 - Manual Book
19
8.2 Red interface เปนแบบ Ethernet DHCP1. ใหเลอก Interface ทใชในการตอ Internet แบบ DHCP2. MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได ถาไมใสจะใชคามาตรฐาน3. Spoof Mac address with อนนใหใส Mac address ของการดแลน
จะไมใสกไดครบเพราะระบบตรวจเจอเอง4. ระบ Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul
เราสามารถกำหนดคา Dns server ไดเอง5. จากนนกดปม >>> ไปขนตอนถดไป
Endian Firewall 2.3 rc1 - Manual Book
20
8.3 Red interface เปนแบบ PPPOE1. ใหเลอก Interface ทใชในการตอ Internet2. ในชอง Add additional Addresses(One IP/Netmask or IP/CIDR perline):ในกรณทคณม
Adsl แบบ Corporate หรอแบบ Premium ทได IP มามากกวา 1 ip ใหทำการระบลงในชองนซง Concept ตรงนใหมองวาเราใส username และ password เพอ authen และเชอมโยง IPทไดใสไวในชอง Add additional Addresses(One IP/Netmask or IP/CIDR perline):เพอทำการ Online ระบบ แตถาในกรณใช Adsl แบบทวๆไปท IP เปนแบบ Dynamicกไมตองใสลงไปกไดครบ
3. กำนด Username4. Password5. Authentication ปกตบานเราใช PAP or Chap6. คา MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได
ถาไมใสจะใชคามาตรฐาน7. ระบ Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul
เราสามารถกำหนดคา Dns server ไดเอง8. Service ระบชอผใหบรการอาจจะเปนชอ ISP9. Concentractor Name โดยปกตจะระบชอผดแล
10. จากนนกดปม >>> เพอไปขนตอนถดไป
Endian Firewall 2.3 rc1 - Manual Book
21
8.4 Adsl (USB,PCI) การเชอมตอ Adsl โดยใช Modem ทมการเชอมตอแบบ USB หรอรปแบบทเปนการด PCI
1.ใหทำการเลอกประเภทของ Modem ทเราใช จากนนกดปม >>>
Endian Firewall 2.3 rc1 - Manual Book
22
2.ใหทำการเลอกรปแบบการเชอมตอ ซง ISP สวนใหญในประเทศไทยใชรปแบบ PPPOEจากนนกดปม >>>
3.ใหกำหนดคาในชอง VPI / VCI ซงคาดงกลาวจะมดงน3.1 ใหใสคา VPI (ดไดจากตารางขางลาง เลอกตาม ISP ทใช)3.2 ใหใสคา VCI (ดไดจากตารางขางลาง เลอกตาม ISP ทใช)
Endian Firewall 2.3 rc1 - Manual Book
23
3.3 Encapsulation เปนแบบ LLC ซงสวนใหญจะใชการเขารหสแบบน3.4 MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได ถาไมใสจะใชคามาตรฐาน3.5 Add additional Addresses(One IP/Netmask or IP/CIDR perline): ในกรณทคณม Adsl แบบ
Corporate หรอแบบ Premium ทได IP มามากกวา 1 ip ใหทำการระบลงในชองน ซง Conceptตรงนใหมองวาเราใส username และ password เพอ authen และเชอมโยง IP ทไดใสไวในชอง Addadditional Addresses(One IP/Netmask or IP/CIDR perline): เพอทำการ Online ระบบแตถาในกรณใช Adsl แบบทวๆไปท IP เปนแบบ Dynamic กไมตองใสลงไปกไดครบ
3.6 ใหใส Username3.7 Password3.8 Authentication ปกตบานเราใช PAP or Chap3.9 Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul
เราสามารถกำหนดคา Dns server ไดเอง เมอเสรจแลวใหกดปม >>>
ตารางคา VPI / VCI แตละ ISP
ISP VPI VCI
Cslox 0 35
Samart 0 35
TOT 1 32
True 0 100
TT&T 0 33
CATTELECOM 0 33
Buddy BB 0 35
Endian Firewall 2.3 rc1 - Manual Book
24
8.5 ISDN1. ใหทำการเลอก Modem ทใชในการตอ ISDN2. ใสหมายเลขโทรศำพททใชในการตอ Internet3. ใสหมายเลขโทรศพทในระบบของเรา4. ระบ Usename5. ระบ Password6. ระบรปแบบการ Authen ซงสวนใหญจะใช PAP or CHAP อยแลว7. Add additional Addresses(One IP/Netmask or IP/CIDR perline): ในกรณทคณม ISDN
แบบ Corporate หรอแบบ Premium ทได IP มามากกวา 1 ip ใหทำการระบลงในชองน ซงConcept ตรงนใหมองวาเราใส username และ password เพอ authen และเชอมโยง IPทไดใสไวในชอง Add additional Addresses(One IP/Netmask or IP/CIDR perline):เพอทำการ Online ระบบ แตถาในกรณใช ISDN แบบทวๆไปท IP เปนแบบ Dynamicกไมตองใสลงไปกไดครบ
8. MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได ถาไมใสจะใชคามาตรฐาน9. Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul
เราสามารถกำหนดคา Dns server ไดเอง เมอเสรจแลวใหกดปม >>>
Endian Firewall 2.3 rc1 - Manual Book
25
8.6 Analog /UMTS Modem1. ทำการกำหนด Port ทใชในการตอโทรศพทซงสวนใหญจะเปน /dev/ttyS0/2. ใหทำการเลอกประเภทของ Modem ในระบบ โทรศพทมอถอทคณใช จากนนกดปม >>>
Endian Firewall 2.3 rc1 - Manual Book
26
3. ใหกำหนดความเรวในชองสญญาณของสาย4. ใหกำหนดชอของ Access Point ซงคาตรงนถามไดจากผใหบรการระบบโทรศพทมอถอ5. ระบ Username6. ระบ Password7. ระบรปแบบการ Authen ซงสวนใหญจะใช PAP or CHAP อยแลว8. Add additional Addresses(One IP/Netmask or IP/CIDR perline):
ในบานเรามการใชงานในรปแบบ Personal Use เทานนเพราะฉนนในสวนนนไมตองใสกไดเพราะยง IPทไดรบจาก ISP นาจะเปนแบบ Dynamic
9. MTU เปนการกำหนดคานาดของ packet ทใหญทสดทสามารถสงได ถาไมใสจะใชคามาตรฐาน10. Dns ม2แบบ แบบอตโนมต คา Dns server จะกำหนดโดย ISP แตถา Manul เราสามารถกำหนดคา
Dns server ไดเอง เมอเสรจแลวใหกดปม >>>
Endian Firewall 2.3 rc1 - Manual Book
27
8.7 Gatewayใหระบ IP ทใชในการเชอมตอออก Internet จากนนใหกดปม >>>
Endian Firewall 2.3 rc1 - Manual Book
28
9.ระบหมายเลข DNS Server ทง 2 ชด (ถาทานยงไมทราบวาของทานตองกำหนดคาใด ใหใชคา DNSของทรดงในรปไปกอน) จากนนกดปม >>>
ถา DNS Server ของเจาอนๆ กมดงนครบHiNet by CAT :DNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134
HiNet by TTTDNS : 202.129.27.135 / 61.19.245.246 / 61.19.254.134
Endian Firewall 2.3 rc1 - Manual Book
29
TTT ( 3BB )DNS : 202.69.137.137 / 202.69.137.138
TOTDNS : 203.113.127.199 / 203.113.24.199
TrueDNS: 203.144.207.29 / 203.144.207.49
10. เปนการกำหนดในสวนของการแจงเตอนทางอเมล โดยใหใสตามลำดบดงน...1. Email ของ ผดแลระบบ2. Email ของ Endian ทเรากำหนดไว3. smtp server ของเรา
จากนนกด >>>
11.จากนนกใหกดปม OK, Apply Configuration เพอยนยนคาทเรากำหนด
Endian Firewall 2.3 rc1 - Manual Book
30
12.จากนนระบบจะทำการตงคาทำหมดแลวเรมตนระบบขนมา
13. จากนนใหเปด Browser ขนมาใหมแลวใหพมพ http://ตามดวย IP Green Zone จะไดตามรป
14.ใหใสรหส login โดย default ในสวนของ Webconfig User จะเปน Admin สวน passwordจะเปนตามทเรากำหนดในขนตอนท 5
Endian Firewall 2.3 rc1 - Manual Book
31
15. และเมอรหสผานถกตองคณกจะไดพบหนา Dash Board ตามหนาจอขางลางดงน
~ กจะจบในสวนของการเรมตนระบบนะครบ ~
Endian Firewall 2.3 rc1 - Manual Book
32
การออกแบบการออกแบบ Network รรวมกวมกบบ EFW เบเบองตองตนน
จากคำนยามในการแบง Zone Linux Firewall ในรปแบบตาง สามารถแบง Zone ออกเปน 4 Zone ไดดงน1. RED : ซงใชสำหรบเชอมตอกบเครอขายภายนอก (untrusted network หรอ Internet)2. GREEN : ซงใชเชอมตอกบเครอขายภายใน (trusted network หรอ Intranet(Lan))3. ORANGE : ซงใชเชอมตอกบสวนทใหบรการงานดานตางๆ ของ Server (DMZ หรอ Server Zone)4. BLUE : ซงใชเชอมตอกบเครอขายทเปนระบบไรสาย (เครอขายไรสาย หรอ Wireless )
ซงการนำมาใชงานจรงๆ ไมจำเปนวาคณจะตองยดตดวา Zone ไหนทำหนาทอะไรไดเพยงอยางเดยวมนอยทการนำมาใชมากกวาเชนจากรปตวอยางดานลาง
ตตวอยวอยางทางท 1 : การนำการนำ Endian มาใชมาใชงานเปงานเปนน Server Firewall Nat Proxy เพเพออ Management และเกและเกบบ logททวไปวไป
Endian Firewall 2.3 rc1 - Manual Book
33
ตตวอยวอยางทางท 2 : การนำการนำ Endian มาแบมาแบงการเขงการเขาถาถงง Server โดยการแบโดยการแบงง Zone DMZ เปเปนน 2 วงวง
Endian Firewall 2.3 rc1 - Manual Book
34
ตตวอยวอยางทางท 3 : การนำการนำ Endian มาใชมาใชในรในรปแบบทปแบบทมม Zone ครบทครบทงง 4 Zone ตามคำนตามคำนยามของยามของ Endian Firewall
Endian Firewall 2.3 rc1 - Manual Book
35
ตตวอยวอยางทางท 4 : การนำการนำ Endian Firewall มาใชมาใชในการทำหนในการทำหนาทาทเปเปนน Gatewayเพเพอดอดแลและจแลและจดการในระบบเครดการในระบบเครอขอขายเชายเชนน การจการจดเกดเกบบ log กำหนดสกำหนดสทธทธในการใชในการใชงานงาน internet หรหรอการทำอการทำ Traffic
Mornitor รวมถรวมถงการรงการรกษาความปลอดภกษาความปลอดภยในการเขยในการเขาใชาใชงานงาน internet
Endian Firewall 2.3 rc1 - Manual Book
36
Endian Firewall 2.3 rc1 - Manual Book
37
การการ Config Endian Firewall เบเบองตองตนแบบหลนแบบหลกสกสตรเรตรเรงรงรดด
เนองจากทางทมงานไดปรกษากนแลวและมความเหนมาจบตรงทจะทำ Manual ในการเชอมตอแบบ1Wan(RED) + 1 Lan(Green) โดย ทมจะเปน Leased Line หรอ Adsl นะครบ ดงนนจากจดนไปรปทงหมดในการ Config จะอางองจาก Requirement ดงน ถาเปนการใชงานทเปนลกษณะ Adsl ทง 2 เสนขอใหผอานนำเอา Config ของ Adsl อกสายมาใชในการกำหนดคานะครบ
โดยในสวนของการกำหนดคาเบองตน ทกครงหลงจากทเราลงโปรแกรมเสรจแลว และเปดเขามาทหนาเวบ ตวEndian จะใหเราทำการ Config Red ซงจะเปนอะไรกแลวแต นนถอวาเปน Main Uplink หรอ Internet สายหลกซงในการทำ Internet สายสำรองนนเราจะมากำหนดกนอกท ซงขนตอนดงกลาวมดงน
1. เมอ Login ระบบเขามาทหนา Dashboard แลวใหตรวจเชคระบบ ของเราดกอนวา Interface ทงหมดอยในสถานะ UP ทงหมดหรอยง เพราะนนหมายความวาระบบกำลง Online อยเพอทจะไดทำการConfig ระบบตอไป พรอมทงตรวจสอบการทำงานของระบบพนฐานเชน CPU MEMORY HDDวาเปนไงบาง ซงใน version นยงมปญหาเรองการเกบ log อาจจะตองรอ build ถดไปในการแกปญหาจดทสงเกตตอไปคอ Uplinks ของทานอยในสถานะ Connect หรอยง ใหตรวจเชคใหเรยบรอย
2. โดยปกตพวกเราหลายๆคนกอยากจะทำใหเนตใชไดกอนกใหไปทำการเทส เรองของ internetวาเขาเวบไดไหม ถาไดเราจะตองเกบ log พรอมทำ Authentication โดยอยางแรกใหเราดทความตองการระบบพนฐานกอนวาระบบเดมทใช เครองคอมพวเตอรในเครอขายนน ใชงาน IP ระบบไหนอย ซงสวนใหญจะมอย 2 แบบคอ Fix และDynamic IP ถาเครองลกขายมการ Set เปนแบบ Fix ไว คณอาจจะไมใชงานในสวนของ DHCP กไดแตถาคณมองวาในกรณทเครองลกมปญหาเรอง IP และอยากใหแกไขไดจากท Endian ผมขอแนะนำใหใชเปนDHCP จะดกวาซงในคมอจะเปนเพยงการสอนในการตดตงอยางงาย สวนขนตอนในเชงลกจะนำเสนออทนะครบ
ไปท Service -> DHCP-SERVER จากนนทำการกำหนดคาของ DHCP เพอใหเครอง Client สามารถออนไลนโดยใหใช IP ทกำหนดโดย Endian Firewall โดยในชอง Start Address ใหใส IP แรกในชวงของ DHCPและ End address คอ IP สดทายของ IP จากนนสงทตองกำหนดกคอ Primary Dns และ Secondary Dns
Endian Firewall 2.3 rc1 - Manual Book
38
ใหใสลงไป ในสวนของ NTP ใหระบ IP ของ Time-server นะครบ แลวอยาลมทำเครองหมาย Enable แลว ClickSave นะเทานระบบกจะทำการแจก IP ใหเครองลกขายแลว ซงจะมผลตอการดแลระบบ และงายตอการทำ policy
ใน Version ใหมนไดเพมความสามารถในการแจก IP โดยปกต Dhcp server จะทำการแจก IPทอยในชวงของ Network ทเรากำหนดไว หากแตวา Version ใหมนสามารถกำหนดใหแจก IPใหอตโนมตเฉพาะเครองทเราทำการ Fixed Lease ยกตวอยาง
Ex.: ผมถอ Notebook นำมาเชอมตอเขาเครอขายโดยท set tcp/ip เปนแบบ Optain autoระบบจะทำการถาม IP เปนท Dhcp ของ Endian แตเนองจากผมไดเปด Function ทชอวา Allow only fixedlease ซงในสวนนระบบจะแจก IP ใหกบเครองทมรายการอยใน Current Fixed lease ดงนน Notebookผมจะไมสามารถออนไลนเพราะไมไดรบ IP จาก Endian ตองไปกำหนด manual เอาเองใน tcp/ip propertiesของ windows
วธแกไขกแคทำการ Add fixed lease ของ notebook ผมโดยดคา Mac address จากการดแลนโดยใชคำสง ipconfig /all แลวนำคา ทไดไปเพมใน Add a Fixed Lease พรอมกำหนด IP และระบชอเครองจากนนก save และทำการเชอมตอใหมกจะไดรบ IP ทกำหนดไวอตโนมต
จากนนถาสงเกตใหดจะมเมน Add a Fixed Lease คอการทำใหเครองลกขายจากเดม ทได Dynamic IP จากDHCP-server ของ Endian ถกกำหนดคา IP ตายตวและเปลยนแปลงไมได ทกครงทระบบออนไลนขนมา ถาuser ไมไดเปลยน IP เองและยงคงใช Config แบบ Dhcp เราสามารถกำหนด หมายเลข IPใหคอมพวเตอรเครองนนๆได โดยไมตองไป set ดวยตวเองทเครองคอมพวเตอรนนๆ
วธการทำ Static DHCPใหเรากดทปม Add a fied lease จากนน สงทจำเปนในการทำ Fixed lease มอย 3 อยางคอ
Endian Firewall 2.3 rc1 - Manual Book
39
1. Computer Name เพอกำกบวาเปนคอมพวเตอรเครองไหน2. Mac Address เพอทจะไดรวาคอมพวเตอรทเรากำหนดนนมาจากเครองไหน
และจะงายขนเมอเราใสชอเครอง3. IP เมอร Mac address และชอเครองกถงคราวทเราจะระบ IP
วาตองการใหเครองคอมพวเตอรนนได IP อะไร
ขอกำหนดของวธน1. ผใชไมสามารถแกไขเรองของการ Setup Tcp/Ip เองได2. Mac address 1 ชด สามารถม IP ไดแค 1 เลข3. IP ท Set manual ไมควรอยในชวง ทเราไดใชในการกำหนด Dhcp แบบ Fix Lease4. ใน Version ใหมนจะม Function Allow only Fixed lease ถาใชคำสงนหามลมไปแอดในสวนของ
Current fixed lease
*** รอใสรป Cap มายงไมครบ ***
*** ตองเพมในสวนของการ update DNS เพราะระบบสวนใหญใช Windows Server ซงจะมผลมากถา Clientเปน Dynamic แตไมไดใช Dhcp ท Window server เราจะแกยงไงให Dns server ของ Window สามารถ
รไดวาตอนน ip ของเครอง client ชอนนๆ ip อะไร ใหดวธการแกไขจาก Faq ขอ2***
3. โดย Default ขององคประกอบในการออกแบบ Internet เมอเครอง Client ม IP ช Gatewayไปทเชอมไปยง Internet ไดกจะสามารถเปดเวบตางๆได แตเราตองการใหระบบทงหมดทเชอมออกไป internetวงผาน Proxy ดงนนเราจะตองทำการแกไขไมใหเครอง Client วงออกไปท internetไดโดยตรงดวยการไปตงคาท Firewall
แลว Firewall มนคออะไร Firewall เปรยบเสมอนเครองกรองชนดหนงทจะกรองเอาเฉพาะขอมลทเราตองการใหผานทงเขาและออกไปยงเครอขายของเราไปท internet หรอกลบเขามาทเครอขายภานในของเรา เนองจากวา Endian Firewall ออกแบบทมลกษณะงายตอผใชแตอาจจะยากสำหรบคนทไมมพนฐานในเรอง Iptable routing port สามารถทจะกำหนดคา firewall ไดงายขนหากเราสงเกตทหวของตาราง Port Forwarding/Nat และ Outgoing Firewall จะมคำศพทประมาณเนย
Source? --> Destination? Service? Policy? Actions
แปลไดวา จดเชอมตอเรมจากทไหน ปลายทางไปทไหน ดวยรปแบบการเชอมตอวธไหน อนญาตหรอไมมผลยงไง ซงทกครงในการตงกฎ ขอใหเอาแนวคดนใชในการ กำหนดนโยบายตางๆ ในการเชอมระบบนะครบจะทำใหงายขน
*** รอ update รป concpet การ forward ให server หรอ client ใหบรการรปแบบตาง ***
การตงคาท Firewall -> Port Forwarding/Natในสวนนจะขอนำกลบมาพดอกครงหลงจากทระบบไดทำการกำหนดการใชงาน Internet พนฐานกอน เพราะ PortForwarding/Nat เปนการใหบรการระบบตางๆของ Server ภายในเครอขายใหสามารถ onlineโดยมการปองกนดวย Endian Firewall
*** รอ update รป concpet การวงออก internet ***
การตงคาท Firewall -> Outgoing Traffic เปนการออกกฎ ในการเชอมตอออกไปท Internet เนองจากวาคมอนพยายามใหขนตอน Config นอยทสด โดยใหไปคลก Disable port 80 และ 443 เพอทำการบลอกไมใหuser เลนเนตไดในกรณทยงไมทำการยนยนตน พรอมทงปองกนปญหาทวา user ทำการแกไข proxyทเครองเพอจะเลนเนตโดยไมยนยนตน
Endian Firewall 2.3 rc1 - Manual Book
40
4. Proxy การเกบขอมลทเราได download เปดด หรอใดๆกตามทมาจาก internet มาเกบไวในเครอง Proxyserver ซงเปนอก 1 ความสามารถท Endian ทำได โดยกอนทเราจะเรมใชงาน Proxyระบบจะตองมความพรอมดงน
1. เครอง Client ออนไลนและสามารถปงมายง เครอง Endian ไดเรยบรอยแลว2. การกำหนดคา Proxy ทเครอง Client วธการขนอยกบ Browser ทใชแต Concept ทก Browser
เหมอนกนคอจะตองร IP และ Port ของ Proxy-Server3. ในระบบ Endian Firewall version 2.3 rc1 ไดนำความสามารถ Automatic Configuration
Script มาใชในการชวยตงคาโดยการใชงานไฟล proxy.pac ซงขางในจะปน Scriptในการชวยตงคา proxy ใหอตโนมต ซงวธการกงายเพยงแคกำหนดคา address ของ ไฟลproxy.pac เชน http://Ipของเครองendain/proxy.pac ซงถาเปนระบบ Domainสามารถนำไปเพมไดใน Group Policy ไดเลย ซงประโยชนของมนคอ คณไมตองเดนไป setproxy ใหเครอง client ทกเครองทม เปนการลดภาระใหกบ Admin และ support
*** การ Set Proxy ใน Group Policy ของ Domain ใน Windows Server ****1. ใหไปท User Configuration2. Windows Settings3. Internet Explorer Maintenance4. Connection5. Proxy Setting double click ขนมา6. Enable proxy settings ใสคา ip ของ endian ทชอง http และ port7. ตกถกท Use the same proxy server for all addresse
***การ Set Proxy ใน Group Policy ของ Windows server ให Disable หามเปลยนคา Proxy ใน IE***
1.ไปท Start เลอก Run พมพ gpedit.msc2. ไปท User Configuration > Administrative Templets > Windows components > Internet
Explorer3. หา Disable Changinging proxy settings4. เลอก Enabled แคนกแกไมไดแลวครบ
*** Msn เลนผาน proxy ไมได ***
Endian Firewall 2.3 rc1 - Manual Book
41
1. ใหไปใสคา proxy ใน msn2. กำหนดคา username และ password ของ user ทจะใช3. ทดสอบอกครงควรจะใชงานไดแลว
เรมตนใหไปท Proxy แลวทำการ Enable proxy เพอใหมนทำงาน
5. เมอระบบ Proxy เรมตนทำงานแลวจะไดหนาตาอยางภาพขางลาง จากนนทชอง ของ Green Orange หรอBlue ใหเราเลอก
1. Not Transparent ซงแลวแตวา Zone ไหนทตองการทำ Authentication2. Transparent ในกรณทเราตองการใหออก internet ไดเลยโดยทไมมการทำ Authentication
จากนนเขาส Proxy Setting1. ในชอง Port Used by Proxy เปนการกำหนดคา Port ของ Proxy server2. Error Langauge การแจงเตอนError ตางๆวาเปนภาษาอะไร3. Visible Hostname เปนการกำหนด ชอเครอง Proxy-server นะครบ4. Email Used For notification อนนเปนอเมลของผดแลระบบ เอาไวแจงเวลางานเขา5. minimum download size ขนาดทเลกทสดทอนญาตให download6. Maximum upload Size คอขนาดทใหญทสดทอนญาตให upload ได7. Allowed port คอ port ทอนญาตใหเชอมตอผาน proxy รวมถงในสวน SSL8. Log Settings ใหทำเครองหมายทงหมด เพราะ log ทเกบจะเชอมโยงถงกน
ซงในขนตอนนจะมตวททำหนาทเกบการใชงานของผใชคอ log user agent9. By pass tranparent proxy เนองจากในรปแบบการ config ของเราใชเปนแบบตอง
Authentication เพราะฉนนในสวนนจงไมไดใชงานนะครบ10. Cache Size on harddisk อนนเราจะกำหนดขนาดของ proxy ใน harddisk
ยงมากกเกบไดมากแต ดวยความทขอมลมาก การทจะดงหนาเวบใน cacheขนมาแสดงจงชาตามไปดวย ขอใหดความเหมาะสมในเรอง Harddiskทใช จำนวนuserและลกษณะของ cache วาเปนอะไร
11. Cache Size within Memory เปนขนาด Cache ทจะเขาไปพกขอมลอยใน Ramปกตตรงจดนคอครงหนงของแรมทงหมดทม
12. Maximum Object Size ขนาดของไฟลทใหญทสดทจะถกจดเกบใน proxy กำหนดใหญมากไปกมผลในการทำใหเปดเวบไดชาลง เพราะสวนใหญททำ cache เพอใหเปดเวบไดเรวขน
Endian Firewall 2.3 rc1 - Manual Book
42
คงไมไดมงเนนใหโหลดไฟลจาก cache ไดเรวขนถกไหมครบ แตหากสงเกตในรปดๆ ในversion นนาจะใสหนวยในสวนของตวเวบมาผด ทถกตองเปน KB
13. Minimum Object size ขนาดของไฟลทเลกทสดทจะถกจดเกบใน proxyปกตผมจะเกบไฟลเลกมากกวาไฟลใหญ เพราะขอมลใน internet เนตสวนใหญจะเปนไฟล jpgswf html ซงขนาดกไมนาจะเกน 1024Kb. หรอ ประมาณ 1 Mb. แตหากสงเกตในรปดๆ ในversion นนาจะใสหนวยในสวนของตวเวบมาผด ทถกตองเปน KB
14. Clear Cache ในกรณทใชๆไปแลวเปดเวบไดชาระบบเรม อดมากๆ นานๆทกให Clear cacheสกครงจะไดลาง index ทำให squid ทำงานไดดขน
15. Enable Offline mode ใชในกรณทระบบของ offline ระบบจะสงขอมลออกจาก cacheไปอยางเดยวทำใหผใชไมทราบวาในขณะนน internet ขาดการเชอมตออย
16. Do not cache this destinations คอ ใหเราระบ url ทไมตองการใหระบบทำการเกบ cacheนะครบ
17. Upstream Proxy คอการเอา Proxy ของเราไปเกาะกบ proxy ของทอนซงอาจจะม speedและขนาดของ cache ทดกวา ใหญกวา และเรวกวาโดย วธการกำหนดคา คอใส ip:portusername password นะครบ จากนนให Click Saveไปขนตอนถดไป
Endian Firewall 2.3 rc1 - Manual Book
43
Endian Firewall 2.3 rc1 - Manual Book
44
6. จากนนใหไปทเมน Antivirus เพอจะกำหนดคาขนาดของการแสกนเพราะตรงจดนถาเราตงคาตวเลขมากหมายถงขนาดของไฟลทเวลาเราเปดหนาเวบแลวมการโหลดไฟลนามสกลใดๆกตามจะตองถกแสกนไวรสซงจะทำใหชามากถาเครองไมแรงจรงๆ ตรงนควรจะกำหนดใหนอยเขาไวจะชวยไดมาก
7. เขาสขนตอนการทำ Authentication วธการยนยนตวตนในระบบทเราใชกนจะมกนอยหลายวธ ซงจะมแบบLocal ทใชการกำหนด username password ทเครอง Endian เลยโดยตรง หรอแบบ Windows Authenticationคอการใช Ldap ของ Window Domain ในการตรวจสอบสทธของผใช หรอแบบ Radius Serverทจะตองเชอมเครอง Endian ใหวงไปถาม Username และ Password จากเครอง Radius Serverและทำการยนยนตวตน
จากในรปนจะเปนวธการกำหนด Authentication แบบ Local เพอใหงาย สดวกรวดเรวในการขนระบบใหมโดยใหทำตามขนตอนดงน
1. Authentication Realm ตรงนคณอาจจะใชเปนชอใหเขาใจวา ผใชกำลง loginเขามาในระบบของ proxy เรานะครบ
2. Number of Child Authentication children กคอจำนวนครงท login ซำเขามาไดกหนาจอ3. Number of different ips per user กคอจำนวนของ IP ทตางกน ของ user
คนเดยวกนนทใชเชอมตอเขามาไดมากสดก IP เชน user ไป login ใช comupterไดหลายเครองพรอมๆ กนทนเราตองการจำกดให user ท loginวงมาจากทเครองเดยวกใหใสแค 1 ในชองน
4. Authentication cache TTL คอเวลาหลงจากท user loginเขามาในระบบแลวจะอยไดนานแคไหน
5. User/IP Cache TTL คอระยะเวลาท user ใช IP จากทตางๆกนนนนานแคไหนซงปกตกจะใหนานเทากบ ขอ 4
6. Min Password Lenght กำหนดความยาวตวอกษรวาจะใชกตวขอใหทำจดนกอนเพราะจะไดไมมปญหาตอนตงรหสผานของ user
7. Manage User คอสวนทเขาไปตงรหสผานใหกบ user8. Manage Group คอการ จดกลมโดยการกำหนด User วาอยในกลมไหน
Endian Firewall 2.3 rc1 - Manual Book
45
หนาตางขนตอนการเพม USER เมอ Click ท Add NCSA user
Endian Firewall 2.3 rc1 - Manual Book
46
จะไดหนาตางขางลางน จากนนกใส user password จากนนกด create user
จากรปตวอยางผม Create User มา 2 คนคอ Admin กบ User จากนนใหกลบมาทหนา Authentication
Endian Firewall 2.3 rc1 - Manual Book
47
เมอกลบมาทหนา authentication ให click ทปม Manage Group เพอกำหนดกลม
Endian Firewall 2.3 rc1 - Manual Book
48
เมอเขามาแลวกจะปรากฎหนาตางตามรปขางลาง
Endian Firewall 2.3 rc1 - Manual Book
49
ผมไดทำการเพม Group admin และทำการ add user admin เขาไปใน Group Adminและเมอเสรจเรยบรอยใหกด Create Group เมอ add ทก User และ ทก Group แลวจะไดดงภาพถดไป
Endian Firewall 2.3 rc1 - Manual Book
50
add ทก User และ ทก Group และจดการเรอง Group แลว ใหกด Apply
กจะเสรจสนการกำหนด User และ Group
Endian Firewall 2.3 rc1 - Manual Book
51
การกำหนด Group Policy ใหมผลตอการใชงาน Internet แบบงายๆ1. ใหเขามาท Proxy -> Access Policy จากนนใหลบ Policy เกาทงทงหมด2. แลวใหกดปม Add Access Policy ใหมจะไดเหมอนรปถดไป
Endian Firewall 2.3 rc1 - Manual Book
52
3.ทำการกำหนด Policy โดยไลตามชองไปเลยนะครบ1. Source Type เปนตวกำหนดจดเรมตนของ Policy ในตวอยางผมเลอกเปน Any เพราะตองการให
Authentication ทกเครองทวงออกไป Internet เลย2. Destination ทเราตองการใหวงออกไปผม เลอก Any เชนกนเพราะตองการทำ Authenticaiton กบ
user ทวงออก internet3. Authentication รปแบบการเชอมตอนมผลยงไง แบบไหน คอเปนแบบองกลม หรอรายบคคล
กใหกำหนดในชอง Allowed Users4. Time Restriction ผลของคำสงนจะทำงานชวงเวลาใด ใหเราเปดปดการทำงานเรองเวลาทตรงน5. Active Days ถาขอ 4 เปดใชงาน กใหกำหนดในชอง Active Days วาวนไหนบางใหมผลของ policy6. Start Hours, Start Minutes, Stop Hours และ Stop Minutes ถาขอ 4 เปดใชงาน
จะตองกำหนดลงไป ชวงเวลาทมผลของ policy7. User Agents ใหมการจำกดการใช Browser หรอไม ถาเราจะกำหนดให click เลอกวาใช Browser
อะไรไดบาง8. Access Policy ใหเลอกเปน Allow เพราะเราจะอนญาตใหใชเนตไดหลง Authentication9. Filter Profile ในสวนนคณอาจจะให Endian ทำการ Filter เฉพาะ Virus อยางเดยวกได
10. Position ตรงนกำหนดลำดบของ Policy11. Enable Policy Rule คอเปดใชงาน policy ตวนหรอไม จากนนกดปม Update Policy
จะไดดงรปถดไป
Endian Firewall 2.3 rc1 - Manual Book
53
Endian Firewall 2.3 rc1 - Manual Book
54
จากนนใหกด Apply เพอยนยน Policy ทเราไดกำหนดไวใหทำงาน เมอกด apply จะไดดงรปถดไป
ระบบกจะแสดง Policy แบบสรปทเราไดกำหนดไป หลงจากนนใหคณ Rebootระบบอกสกครงจากนนกใหทดลองเปดเวบและ login ดวยรหสและรหสผานทกำหนดไววาใชงานไดไหม
Endian Firewall 2.3 rc1 - Manual Book
55
ถงจดน user ทงหมดทเรา Set ไวจะไมสามารถเลน internet ได จนกวาจะ login ท browser ดวย usernameและ password ทเรากำหนดไว
*** รอ update ***
การตรวจเชการตรวจเชควควาระบบทำงานไดาระบบทำงานไดสมบสมบรณรณหรหรอยอยงโดยใชงโดยใช Live log และและ Proxylog
*** รอ update ***
*** รอupdate ***
การการ Backup Configuration และการและการ Restore Configuration*** รอupdate ***
*** จบในสจบในสวนขอองการวนขอองการ Config Endian Firewall เบเบองตองตนแบบหลนแบบหลกสกสตรเรตรเรงรงรดด***
Endian Firewall 2.3 rc1 - Manual Book
56
การกำหนด Content filter
**** กำลง Update ****
Endian Firewall 2.3 rc1 - Manual Book
57
FAQ
Q: ทำไมหลงจากทเราลง EFW เสรจแลว มนขน "GRUB Loading Stage 2 ......" แลวเครองไมยอมบตเขา EFW?A: หลงจากททานไดตดตงแลว แต EFW ไมบตเขาระบบ แลวขนขอความดงกลาว มสาเหตมาจากตอนททานตดตงทานไดไปเลอกการใชงาน console ผาน Serial port ของเครอง แตเครองโดนปด portดงกลาวเอาไว วธแกคอ...ทานตองรบตเครอง แลวเขาไปเปด Serial port ใน BIOS เพยงเทานระบบ EFWจะบตเขาไดเปนปกตครบ
Q: DNS server ของ Window Server มปญหากบเครอง Client ทเปน Dynamic ทไดรบ IP จาก Endianfirewall เราจะแกยงไงให Dns server ของ Window ม ip ตรงกนกบเครอง client ชอนนๆA: ในสวนของ Windows Server ททำหนาทเปน Dns Server ของ Domain ใหไปกำหนดคา Allow Dynamicupdate แบบ Non-secure and Secure นะครบ จากนนกไปเรงในสวนของการลบคา Dns ทไม updateในสวนของ Aging Scavenge
Q:A:
Q:A:
Q:A:
Endian Firewall 2.3 rc1 - Manual Book
58
Part 6 Config Open VPN
6.1 Open VPN Client to Site
การคอนฟการคอนฟกก OpenVPN แบบแบบ Host-to-Net ( Client to Site ) บนบน Endian Firewall Community 2.3RC1โดย อดศร ขาวสงข (ปรปรบปรบปรงโดยงโดย ไพรสารไพรสาร สสเทาเทา: tototyt ,แกแกไขภาพและเรไขภาพและเรยบเรยบเรยงโดยยงโดย ออศเรศศเรศเทพนรเทพนรนทรนทร:Noktualek )จดทำเมอ 2/07/2008 (ปรปรบปรบปรงง 27/10/2009)
ทดลองบน efw 2.3 RC1
บทนำบทนำเมเมอเราตอเราตดตดตงง Endian Firewall Community แลแลวว กกจะมจะมแอพพลแอพพลเคชเคชนทนทเปเปนน OpenVPN
ททสามารถพรสามารถพรอมใชอมใชงานไดงานได ททงแบบงแบบ net-to-net และและ host-to-net ซซงในทงในทนนจะกลจะกลาวถาวถงการใชงการใชงานแบบงานแบบ host-
to-net
การเชการเชอมตอมตออ VPN แบบแบบ host-to-net จะเปจะเปนดนดงรงรปทปท 1 โดยดโดยดานซานซายของรายของรปกปกเปเปนเครนเครอขอขายภายในายภายใน (LAN)
ททอยอยในองคในองคกรของเราและมกรของเราและมการเชการเชอมตอมตอกอกบเครบเครอขอขายาย Internet เพเพอใหอใหเครเครอขอขายาย LAN
ของเราสามารถตของเราสามารถตดตดตอไปยอไปยงโลกภายนอกทงโลกภายนอกทเปเปนอนอนเตอรนเตอรเนเนตไดตได แตแตโลกภายนอกโลกภายนอก (Internet)
ไมไมสามารถทะลสามารถทะลผผานเขานเขาไปสาไปสเครเครอขอขายาย LAN ของเราไดของเราไดโดยงโดยงายายเพราะตเพราะตดเรดเรองของระบบความปลอดภองของระบบความปลอดภยและเทคนยและเทคนคการออกแบบเครคการออกแบบเครอขอขายายดดงนงนนถนถาจะใหาจะใหโลกภายนอกสามารถทะลโลกภายนอกสามารถทะลผผานเขานเขาไปยาไปยงเครงเครอขอขายาย LAN
ไดไดโดยมโดยมความปลอดภความปลอดภยกยกจะตจะตองประยองประยกตกตเอาระบบเอาระบบ VPN มาใชมาใชงานงาน
Endian Firewall 2.3 rc1 - Manual Book
59
รปท 1 การเชอมตอ VPN แบบ host-to-net หรอ client to site
สสงทงทจำเปจำเปนสำหรนสำหรบการทำบการทำ VPN1. Public IP แบบ Fix IP สำหรบสาขาหลก Site A2. ถาไม Fix IP ใหใช Dynamic DSN ครบ3. IP วงแลนสำหรบสาขาหลก และ IP วงแลนสำหรบเครองทจะ VPN เขามาควรอยคนละ Subnet เชน
ทสาขาหลก วง 192.168.1.0/24 สำหรบเครองทจะ remote เขามาควรเปน 192.168.121.0/24ทตองกำหนดคาใหตางกนเพอปองกนการสบสนนะครบ เพราะหากคอนฟกทสาขาหลก 192.168.1.1/24 เปนEndian Firewall แลวเครองท Remote จากอกทหนงม ADSL Router เปน 192.168.1.1/24 จะพบวา IPAddress เหมอนกน เมอทำการเชอมตอ VPN เขามาจะเกดความยงยากในการจดการ
การคอนฟการคอนฟกฝกฝงง Server1. เชอมตอไปยง Endian Firewall Community ผาน Web Browser(https://server_ip_address:10443)2. ไปทเมน vpn ดานบน และเลอกเมนยอยเปน Openvpn Server ดานซายมอ และ Tab Serverconfiguration3. ปอนคา Dynamic IP pool start address และ Dynamic IP pool end address ซงคอ IP Addressของเครอขายภายใน (LAN) ทจะจายใหกบเครอง ( Roadwarrior ) ทจะเชอมตอเขามานนเอง
คลกท checkbox ของ OpenVPN Server enabled ใหมเครองหมายถก กำหนดวง IPสำหรบลกขายทจะทำการ VPN เขามาโดยไมใหซำกบ DHCP ในรปคอแจก IP 192.168.1.230-254 จำนวน25 เครอง ดงรปท 2
รปท 2 การคอนฟก Server configuration
4. คลกปม Save and restart ของรปท 25. คลกแทบ Accounts ดงตวอยางในรปท 3 แลวคลกปม Add account
Endian Firewall 2.3 rc1 - Manual Book
60
รปท 3 Accounts
6. ใส Username และ Password คลกท checkbox ของ Direct all client traffic throughthe VPN server ใหมเครองหมายถก ดงตวอยางในรปท 4 แลวคลกปม Save
รปท 4 Add new user
Endian Firewall 2.3 rc1 - Manual Book
61
7. คลกทปม Restart OpenVPN server ดงรปท 5
รปท 5
8. คลกแทบ Advanceed ปอนตางๆ ดงตวอยางในรปท 6 เสรจแลวคลกปม Save and restart
รปท 6 Advanced
9. คลกลงค Download CA Certificate เพอนำไฟล XXX.cer ไปใชงานท Clientดงตวอยางในรปท 7 (ในขนตอนนใหสงเกตวาบางครงหากใช IE 8 จะไดไฟล xxx.cer (xxxคอชอเครองทเรากำหนดไวตอนตดตง) แตหากใช CommetBird Browser กจะไดไฟล xxx.pem
Endian Firewall 2.3 rc1 - Manual Book
62
รปท 7 Download CA Certification
ลองตรวจสอบ Status และ Services กอนวาทำงานหรอยงครบ หากสถานะยงเปน STOPEDใหกลบไปทำการแกไขใหม ตามขนตอนขางตนจนกวาสถานะเปน RUNNING ครบดงตวอยางในรปท 7.1
รปท 7.1 Open VPN Server Status
การคอนฟการคอนฟกฝกฝงง Client1. ดาวนโหลดโปรแกรม OpenVPN GUI for Windows ไดจาก http://openvpn.se/ เลอกเมน Download
ดานซายมอ และเลอกเมน Stable เลอกดาวนโหลดโปรแกรมทเปน Installation Packageซงในขณะทเขยนบทความนมชอไฟลเปน openvpn-2.0.9-gui-1.0.3-install.exe
รปท 8
2. ตดตงโปรแกรมทดาวนโหลดมาลงในเครองทตองการจะใหเปน OpenVPN clientโดยของผเขยนตดตงเปนแบบ Default คอไมไดเลอก Options เพมเตมใด ๆซงการตดตงจะตดตงไฟลไวในตำแหนง C:\Program Files\OpenVPN
3. เมอตดตงโปรแกรมแลวจะปรากฏ Icon อยบน Taskbar ดานลางขวา ดงรปท 9
รปท 9 OpenVPN icon
Endian Firewall 2.3 rc1 - Manual Book
63
4. สำเนาไฟล client.ovpn จากโฟลเดอร C:\Program Files\OpenVPN\sample-configไปไวในตำแหนง C:\Program Files\OpenVPN\config โดยใชชอไฟลเปนชอเดม หรออนๆตามทตองการกได5. คลกเมาสขวาบน VPN Icon ตามรปท 9 แลวเลอกเมน Edit Configหรอจะเปดไฟลคอนฟกจากตำแหนงไฟลโดยตรงนนคอไฟล C:\ProgramFiles\OpenVPN\config\client.ovpn6. แกไขเพมเตมไฟลคอนฟกดงกลาวใหมคาตอไปน อยในไฟล (หรอ ลบ config คาเกาใหหมดแลวcopy คา config ดานลางทเปนตวหนา โดยแกไขใหเหมาะสมกบการใชงาน
clientdev tapproto udp (เปน tcp กไดเชนกนหากรปท 6 เลอก tcp)remote site-001a.dyndns.org หรอ xxx.xxx.xxx.xxx 1194resolv-retry infinitenobindpersist-keypersist-tunca cacert.pem (ตงคาใหสมพนธกบขอ 9)auth-user-passcomp-lzo
หมายเหตหมายเหต หลงคำวา remote เปนคา IP Address ของ OpenVPN Server กได แลวใสคา port 1194หลงคำวา ca สามารถระบ path ของไฟลได (ในกรณไฟล CA วางไวทตำแหนงอน)
7. ให disable คำวา cert client.crt และ key client.key ในไฟล client.ovpn ดวยการเอาเครองหมาย";" ไปไวขางหนา(ขอนไมตองทำหากทำขอ 6 โดยการเครยคาเกาทงไปแลว)8. สำเนาไฟล CA (xxxx.cer) ทดาวนโหลดมาจาก OpenVPN Server (ในขนตอนท 9ของการคอนฟกฝง Server) ไปไวทตำแหนง config ของโปรแกรมคอ C:\ProgramFiles\OpenVPN\config
การเชการเชอมตอมตอใชอใชงานงาน
1. เลอกเมน Connect บน Icon ของ OpenVPN Client แลวจะมการถาม user และ password ดงรปท10
Endian Firewall 2.3 rc1 - Manual Book
64
รปท 10
2. เมอ Connect ไดแลว OpenVPN Icon บน Taskbar จะเปลยนสเปนสเขยวดงรปท 11
รปท 11
3. เมอตรวจสอบด IP Address ทไดรบจาก Server กจะตรงกบชวงของ IP pool ทไดเซตไวดงรปท 12
Endian Firewall 2.3 rc1 - Manual Book
65
รปท 12
4. ทฝงของ OpenVPN Server เมอทำการมอนเตอรดสถานะการเชอมตอกจะเหน userทกำลงเชอมตอใชงานอยดงรปท 13 ซงสามารถทจะ kill การใชงานได
รปท 13
การใชงานกบ userหลายคนสามารถทำใหสะดวกมากขนดวยการสำเนาไฟลคอนฟกตนแบบททำการปรบแตงเรยบรอยแลวพรอมไฟล CA ทดาวนโหลดมาจาก Server สงใหคนอน ๆ
ปปญหาทญหาทพบและแนวทางการแกพบและแนวทางการแกไขไข ( แบบสแบบสวนตวนตวสวสวนตวนตวว )
1. เครอง Server แจก IP ใหแต Client ไมรบสงเกตไดจากไมม IP ขนมา
Endian Firewall 2.3 rc1 - Manual Book
66
ผมไมทราบสาเหตนะครบ แตผมแกแกปปญหาญหาโดยใส IP เองตามทเรากำหนดชวงไวใน DynamicIP pool start address แลว Restart เครองใหมอกครง
ลอง Connect ใหมอกครง กจะได IP ตามรปแลวครบ
Endian Firewall 2.3 rc1 - Manual Book
67
2. Connect ไดแตใชงานบางอยางไมได ใหตรวจสอบในสวนของ Firewall ตรง VPN trafficหากเปดใชงาน Enable VPN Firewall อยจะไมสามารถทำงานบางอยางได
แกแกปปญหาญหา โดยใหยกเลกการทำงานมนกอนหากยงไมกำหนดคา rule ใดๆ
ตตวอยวอยางของการใชางของการใชงานงาน Open VPN
Endian Firewall 2.3 rc1 - Manual Book
68
1. เราสามารถเขา Webconfig ของ Endian จากภายนอกไดเลยโดยไมตองทำ Forward ผานRouter
2. Ping Private IP Address จาก VPN Client ไปยง IP Address ของสาขาได
3. Remote Admin File Sharing Printer Sharing และอนๆ กใชงานไดเหมอนอยในวงเนตเวรคเดยวกนครบ
Endian Firewall 2.3 rc1 - Manual Book
69
ขขอจำกอจำกดด VPN Client to Site โดยใชโดยใช ADSL1. ความเรวสงสดททำไดขนอยกบความเรวตำสด ADSL ของเครอง client หรอ endian server2. ไมเหมาะกบการแชรไฟลเปน Database โดยการ Map drive เชนโปรแกรมบญช Express
เพราะการประมวลผลจะเกดขนทเครองทเปน VPN Client เขาไป ดงนนจงตองดงขอมลจำนวนมากมาใชจาก Siteทแชรงานไว จงเกดขอจำกดในการใชงาน การแกไข ควรใชงานแบบ Terminal หรอ Remote Desktop
3. โปรแกรม Open VPN สำหรบเครอง Client(Open VPN 2.0.9) ยงมปญหาการใชงานกบ Windows 74. การใชงาน Internet บนเครองทเปน VPN Client ในการเขาเวปไซตตางๆ จะวงผานตว gateway
Endian Server ทำใหจะไดความเรวเทากบ ขา Upload ของ Endian Server (ใครมวธแกบางครบ)5. จากขอ 4 หากในเครอขาย LAN ของสาขาตง Policy Firewall ตางๆไว เครองท VPN
เขามาอาจจะไมไดอยใน Policy นนๆ จงอาจจะเกอาจจะเกดความไมดความไมปลอดภปลอดภยตยตอเครอเครอขอขายไดายได6. ไมสามารถใชงานเปนชอเครองได แนะนำใหระบเปน IP Address7. หากใชงานบางอยางไมไดเชนการ Sharing folder ใหเปลยน Protocal จาก UDP เปน TCP ในรปท 6
และการคอนฟกคา client ในขอท 68. อปกรณ เครอขายบางตวอาจจะมปญหากบวง IP Class A เชน 10.0.0.0/24 ผมทดลองกบ Endian
2.2 ปรากฏวามนไมแจก IP วงนใหกบ Client VPN ครบ แตพอเปลยนมาเปนวง 192.168.0.0/24สามารถทำงานตามปกต ดวยเหตนอาจจะเปนสาเหตเดยวกบในหวขอปญหาทพบและวธการแกไขขางตนกเปนไปได ซงอาจจะเปน Bug ของโปรแกรม
* ทเหลอกอยทวาใครจะกำหนด Rule ใหทำงานอะไรไดบางและอนๆ ทยงไมกลาวถง ขอใหโชคดทกทานครบ
6.2 Open VPN Site to Site หรอ แบบแบบ Net-to-Net บนบน Endian Firewall
โดย อดศร ขาวสงขเขยนเมอ 25/11/2006 ( ปรบปรงโดย : นายไพรสาร สเทา )ทดลองบน Endian Firewall 2.3
บทนำบทนำผเขยนไดทดลองใชงาน OpenVPN แบบ Net-to-Net บน Endian Firewall 2.3 ซงเซตงายดครบกเลยไดเอามาแนะนำกน ซงการใชงาน VPN แบบ net-to-net อาจจะเรยกอกชอเปนแบบ Site-to-Site
หรอบางทกอาจจะเรยกวา Intranet VPN
ความตความตองการของระบบองการของระบบการทดลองในทนสมมตวาองคกรของเรามสำนกงานอย 2 แหง เปน Site A และ Site B ดงรปซงในความเปนจรงแลวอาจจะมจำนวน Site มากกวาน แตการประยกตใชงาน กใชหลกการทจะกลาวถงนไดครบและทงสอง Site ไดเชาใชบรการอนเตอรเนตจากผใหบรการเรยบรอยแลว นนหมายถงทงสอง Site
Endian Firewall 2.3 rc1 - Manual Book
70
สามารถใชงานอนเตอรได แตมความตองการเพมเตมคอ ตองการใหเครอขายภายในทใช IP เปน Private IP
ของทงสอง Site สามารถเชอมตอกนไดโดยมความปลอดภยของขอมลทนาเชอถอได
ทางออกในทนคอการใชระบบ VPN โดยเลอกเปน OpenVPN เพราะเปน Open Source ทไมตองลงทนซอและเลอกทจะใช OpenVPN บน Endian Firewll ครบ
รปท 1 การเชอมตอ VPN แบบ host-to-hots
ขขนตอนการเซนตอนการเซตมตมดดงนงน
ในทนผเขยนขอแสดงตวอยางการเซตท Site A สวน Site B กใหใชหลกการเซตทเปนแบบเดยวกนดงน
การคอนฟการคอนฟกฝกฝงง Server Site A* ขนตอนเหมอนกนกบทำแบบ Host-to-Net หรอ Client To Site
นนเอง หากทานทำไปแลวกขามขนตอนนไดเลย1. ตดตง Endian Firewall ทง 2 Site
2. เชอมตอไปยง Endian Firewall Community ผาน Web Browser(https://server_ip_address:10443)
3. ไปทเมน vpn ดานบน และเลอกเมนยอยเปน Openvpn Server ดานซายมอและ Tab Server configuration
4. ปอนคา Dynamic IP pool start address และ Dynamic IP pool end addressซงคอ IP Address ของเครอขายภายใน (LAN) ทจะจายใหกบเครอง (Roadwarrior ) ทจะเชอมตอเขามานนเอง
คลกท checkbox ของ OpenVPN Server enabled ใหมเครองหมายถกดงรปท 2
Endian Firewall 2.3 rc1 - Manual Book
71
รปท 2 การคอนฟก Server configuration
5. คลกปม Save and restart ของรปท 26. คลกแทบ Accounts ดงตวอยางในรปท 3 แลวคลกปม Addaccount
รปท 3 Accounts7. ใส Username และ Password คลกท checkbox ของ Direct all clienttraffic through the VPN server ใหมเครองหมายถก ดงตวอยางในรปท 4แลวคลกปม Save
Endian Firewall 2.3 rc1 - Manual Book
72
รปท 4 Add new user
8. คลกทปม Restart OpenVPN server ของรปท 5
รปท 59. คลกแทบ Advanceed ปอนตางๆ ดงตวอยางในรปท 6เสรจแลวคลกปม Save and restart
รปท 6 Advanced10. คลกลงค Download CA Certificate เพอนำไฟล XXX.cerไปใชงานท Server Site B ดงตวอยางในรปท 7
Endian Firewall 2.3 rc1 - Manual Book
73
รปท 7 Download CA Certification
ลองตรวจสอบ Status และ Services กอนวาทำงานหรอยงครบหากสถานะยงเปน STOPED ใหกลบไปทำการแกไขใหมตามขนตอนขางตนจนกวาสถานะเปน RUNNING ครบ ดงตวอยางในรปท7.1
รปท 7.1 Open VPN Server Status
การคอนฟการคอนฟกฝกฝงง Server Site B
1. ในสวนของ Site B ใหทำการเพมในสวนของ OpenVPN client(Gw2Gw) คลกปม Add tunnel configuration
Endian Firewall 2.3 rc1 - Manual Book
74
รปท 8 OpenVPN client (Gw2Gw)
2. จากนนใหปอนขอมลของการสราง Add VPN tunnel ดงรปท 9โดยคาสำคญเปนดงน
- Connection Name : ปอนชอตามทตองการ- Connection to : ระบ Public IP ของ VPN Server ฝง Site A- Upload ca file : ใชไฟล CA ทดานวโหลดมาจาก VPN Server ฝง Site A- Username : ระบ username ของ VPN Server ฝง Site A- Password : ระบ password ของ VPN Sever ฝง Site A- Remark : ปอนคำอธบายอะไรกได
Endian Firewall 2.3 rc1 - Manual Book
75
รปท 9 Add VPN tunnel3. คลกปม Advanced tunnel configuration เพอ ปรบแตงคาเพมเตมตามรปท 10
Connection configuration
- Fallback VPN servers : ตรงนอานเอาเองนะครบผมกแปลไมออก ประมาณวาเกยวกบ Protเราใชพนฐานของมนละกน (1194) เรากไมตองใสอะไร
- Connection type: Routed
- Bridge to : GREEN
- Block DHCP responses coming from tunnel:
- NAT : * ตรงนใหตก หากตองการใหใหสองฝง Pingหากนเจอและอนๆ
- Protocol: UDP
HTTP proxy configuration * ตรงนผมไมใสครบ นาจะเกยวกบผานProxy
HTTP proxy :
Proxy username :
Proxy password :
Forge proxy user-agent :
Endian Firewall 2.3 rc1 - Manual Book
76
รปท 10 Advanced tunnel configuration
4. เมอทำการบนทกคาและใหลองเขาไปด (แกไข) จะเหน CA ดงรปท11
ปท 11 Advanced tunnel configuration
Endian Firewall 2.3 rc1 - Manual Book
77
5. เมอมการเชอมตอมาจากเครองฝงตรงขาม Siate A ไดแลวจะแสดงผลในสวนของ Connection status and control ดงรปท 12ซงจะเหนวาเครองฝงเราไดจาย IP Address ทเปนในชวงทเรากำหนดในGlobal settings ใหกบ VPN Server ฝง Site B และ Status ท Site Bจะเปน established ดงรปท 13ซงเมอมการเชอมตอแบบนสำเรจแลวทงสองดาน จะทำใหเครอง Clientทอยดานหลงของ VPN Server ของทงสองดาน สามารถตดตอถงกนได
ตตวอยวอยางสถานะางสถานะ Site A
รปท 12 Connection status and control ท Site A
ตตวอยวอยางสถานะางสถานะ Site B
รปท 13 Status ท Site B
Endian Firewall 2.3 rc1 - Manual Book
78
* หากตหากตองการใหองการให Site A สามารถใชสามารถใชงานฝงานฝงง Site Bไดไดกกมมหลหลกการเหมกการเหมอนกอนกนตามทนตามทกลกลาวมาาวมา
ปปญหาทญหาทพบและแนวทางการแกพบและแนวทางการแกไขไข
1. Connect ไดแลว ( Status เปน established ) แต Ping หากนไมเจอ
การตรวจและแกการตรวจและแกไขไข
- ใหตรวจสอบตรง Advanced tunnel configuration ลมตก NAT หรอเปลา- ตรง Filewall / VPN firewall configuration หากยงไมกำหนด Rule ใด ๆ
ใหยกเลกการทำงานไปกอน(Disable)- Ping จาก Site B เจอ Site A แต Ping จาก Site A กลบไมเจอ Site B
ใหตรวจสอบวาลมทำขนตอนทงหมดทฝงตรงขามหรอเลา ซงทงสองขางสถานะจะตองเปน established
2. Connect สองฝงไดแลว ( Status เปน established ) Ping หากนเจอแตออกเนตแลวมปญหา
การตรวจและแกการตรวจและแกไขไข
- รอปรบปรง......
Referrence ขอขอบคณผจดทำเวปไซตดานลางดวยครบ
http://www.easyzonecorp.net/network/view.php?ID=241http://www.itwizard.info/technology/linux/efw/ovpn_host_to_net/efw_ovpn_host_to_net.html
http://samba-beginner.blogspot.com/2009/01/setup-openvpn-endian-firewall.htmlhttp://samba-beginner.blogspot.com/2009/02/openvpn-endian-firewall.html
Endian Firewall 2.3 rc1 - Manual Book
79