Konfiguracja i zabezpieczenie łącza Neostrada Plus za pomocą rutera NetScreen 5GT ADSL Neostrada Plus to usługa stałego, szerokopasmowego dostępu do Internetu oferowana przez Telekomunikację Polską S.A., bazująca na technologii ADSL Anex A. Umożliwia ona użytkownikowi jednoczesne korzystanie z Internetu i telefonu na bazie tradycyjnych, komutowanych łącz. Szybkość transmisji danych w Neostradzie Plus zależy od wykupionego abonamentu i wynosi od 128 Kbs do 1024 Kbs. Pasmo charakteryzuje się asymetrycznością, co oznacza, że inna jest prędkość dla połączeń przychodzących, a inna dla wychodzących. W tradycyjnym ujęciu korzystanie z Neostrady wymaga zainstalowania i skonfigurowania na komputerze PC odpowiedniego oprogramowania dostępowego oraz podłączenie modemu (najczęściej w wersji USB). Szczegółowe informacje na ten temat dostępne są na stronie: http://www.neostrada.pl/. Dostęp do Internetu poprzez Neostrada Plus może zostać bardzo uproszczony i odpowiednio zabezpieczony za pomocą routera Juniper Networks NetScreen 5GT ADSL. Zastosowane tego urządzenia dostarcza wiele korzyści, z których najważniejsze to: Użytkownik nie musi na swoim komputerze instalować i konfigurować aplikacji dostępowej do Neostrada Plus oraz podpinać modemu ADSL. Użytkownik może podłączyć do Internetu w bardzo prosty sposób całą sieć, a nie tylko pojedynczy komputer. Użytkownik może wydzielić specjalne strefy bezpieczeństwa separujące komputery domowe od komputerów używanych do pracy zawodowej. Proces podłączenia komputera PC do Internetu poprzez Neostrada Plus z użyciem 5GT ADSL trwa zaledwie klika sekund. Zasoby komputera PC są chronione przed nieupoważnioną ingerencją z Internetu za pomocą zabezpieczeń NetScreen ScreenOS wbudowanych w urządzeniu 5GT ADSL. Użytkownik wykorzystując 5GT ADSL może w bardzo prosty sposób nawiązać połączenie VPN (IPSec) do sieci wewnętrznej swojej korporacji i bezpiecznie korzystać z jej zasobów. Użytkownik może eliminować wirusy oraz inne zagrożenia internetowe bezpośrednio na urządzeniu 5GT ADSL niedopuszczając do ich pojawienia się w sieci wewnętrznej. W przypadku dużych korporacji urządzenie może być w trywialny sposób włączone w ogólnozakładową politykę bezpieczeństwa. Użytkownik ma możliwość bezpiecznego udostępniania usług dla innych odbiorców Internetu. Użytkownik ma możliwość zbudowania restrykcyjnego systemu dostępu do serwisów informacyjnych (np. ochrona sieci domowej przed dostępem do pornografii).
Procedura konfiguracji rutera NetScreen 5GT ADSL w zakresie zestawienia łącza Neostrada i ochrony sieci lokalnej użytkownika. 1. Podłącz kabel telefoniczny do rozdzielacza zawierającego dwa gniazda telefoniczne RJ11 (jeżeli telefon i Neostrada pracują na wspólnej linii patrz rysunek poniżej). Rysunek 1. Podłączenie 5GT ADSL do linii telefonicznej 2. Do jednego z gniazd podłącz mikrofiltr przeznaczony do odseparowania głosu od danych. Taki mikrofiltr można kupić w dowolnym Telepunkcie TPSA lub w Internecie (choćby nawet na Allegro). Mikrofiltr jest także dostarczany w pakietach instalacyjnych Neostrada (np. razem z modemem USB/ADSL). TPSA na ogół stosuje filtr speedtouch DSL4126001. Następnie do gniazda mikrofiltru podłącz telefon, telefaks lub automatyczną sekretarkę. 3. Do drugiego gniazda rozdzielacza włóż końcówkę kabla RJ11 (dostarczany jest w zestawie 5GT ADLS), a drugi koniec kabla podłącz do gniazda ADSL urządzenia Netscreen 5GT ADSL. 4. 5GT ADSL ma cztery gniazda RJ45 strefy Trusted oznaczone cyframi 1-4. Połącz jedno z tych gniazd kablem sieciowym typu skrętka z kartą sieciową komputera lub przełącznikiem/hubem jeżeli planujesz podłączyć istniejącą sieć lokalną z Internetem. 5. Podłącz zasilacz do urządzenia 5GT ADSL. Diody POWER i STATUS powinny sygnalizować rozpoczęcie pracy zielonym kolorem (na początku STATUS może chwilowo świecić na czerwono). 6. Skonfiguruj odpowiednio sieć TCP/IP Twojego komputera. Jeżeli jest to stacja Windows XP przejdź do Panel sterowania/połączenia sieciowe i dwukrotnie kliknij na ikonę Połączenie lokalne skojarzone z kartą sieciową do której podpięty jest 5GT ADSL, a następnie wybierz Właściwości/Protokół internetowy (TCP/IP) / Właściwości / Ogólne. Ustawienia powinny być następujące: 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2/9
7. Uruchom przeglądarkę i wpisz jeden z następujących adresów odnośnika: http://ns.setup, http://192.168.1.1. Na ekranie przeglądarki powinien ukazać się następujący ekran (jeżeli jest to pierwsza konfiguracja urządzenia): 8. Upewnij się, że opcje zaznaczone są jak powyżej i naciśnij Next. Otrzymasz następujący ekran: 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3/9
9. Zaznacz Enable NAT co pozwoli połączyć z Internetem całą Twoją lokalna sieć. Naciśnij Next i otrzymasz następujący ekran: 10. Jeżeli podłączasz do Internetu swoją lokalną, domową sieć wybierz Trust-Untrust Mode. W takim przypadku porty Trusted 1-4 będzie można wykorzystać jak czteroportowy przełącznik sieciowy i podpiąć do urządzenia pozostałe komputery w sieci. Opcja Home- Work Mode służy do odseparowania komputerów domowych od komputerów używanych do pracy tak, aby nie było przepływu informacji pomiędzy nimi. Zadbaj o zaznaczenie opcji Choose Adsl interface as outgoing interface. Jeżeli tego nie uczynisz system założy iż Internet podpięty jest do gniazda sieciowego UNTRUSTED, a nie modemu ADSL. W dalszej części zajmiemy się typową konfiguracją Trust-Untrust Mode. Naciśnij Next aby uzyskać następujący ekran: 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4/9
11. Jesteśmy na etapie konfiguracji kluczowych parametrów ADSL. Zadbaj o ustawienia jak wyżej, czyli: VPI/VCI: 0/35; Multiplexing Method: VC (enkapsulacja VCMUX); Operating Mode: Auto (można też ewentualnie zaznaczyć ITU DMT ale powinno to być wykryte automatycznie). 12. Zaznacz Dynamic IP via PPPoA (PPP ponad ATM), a w pola dostępowe Username i Password wpisz parametry dostępowe do systemu Neostrada otrzymane po rejestracji Neostrada w serwisie http://www.rejestracja.neostrada.pl (w tym miejscu nie będziemy zajmować się rejestracja samej usługi zakładając, że Neostrada jest już zarejestrowana). Są to na ogół dane typu: xxxxxxx@nesotrada.pl; xxxxxxxx. Naciśnij Next przechodząc do następnego ekranu: 13. W pole Trust Zone Interface IP Address wpisz adres IP, który chcesz nadać urządzeniu 5GT ADSL po stronie sieci lokalnej (interfejsy Trusted). Pamiętaj, że Twój komputer i urządzenie 5GT ADSL muszą mieć adresy IP pochodzące z tej samej klasy (podsieci) 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5/9
adresowej. Aktualny adres IP komputera możesz sprawdzić za pomocą polecenia ipconfig (Start/Uruchom/cmd). W pole Netmask wpisz maskę sieci i naciśnij Next. Uwaga: klasa adresowa przyjęta w tym miejscu może mieć bardzo istotne znaczenie dla łączności z innymi systemami. Powinna to być tzw. adresacja prywatna (np. także 10.10.10.0). Jeżeli planujesz używać połączenia VPN za pomocą oprogramowania instalowanego na stacji roboczej (np. Check Point SecureClient) zadbaj o to, aby nie użyć adresacji już wykorzystywanej w sieci, z którą zestawiasz kanał VPN. 14. Otrzymasz następujący ekran: 15. Dla wygody, zwłaszcza gdy używasz więcej niż jednego komputera, wybierz Yes co spowoduje automatyczne nadawanie adresu IP Twojej stacji roboczej po jej włączeniu do sieci i negocjacji połączenia z 5GT ADSL. Wybierz adres początkowy i końcowy zakresu adresów, które mogą być używane. Pamiętaj, aby adresy te pochodziły z tej samej klasy co adres nadany w punkcie 13. 16. Ten etap kończy wstępną konfiguracje urządzenia o czym informuje stosowny ekran. Urządzenie 5GT ADSL inicjuje na nowo swoją pracę co powinno zakończyć się następującym stanem diod LED: POWER kolor zielony; STATUS migający na zielono; ADSL kolor zielony. 17. Połącz się przeglądarką z adresem IP nadanym w punkcie 13 i otrzymasz następujący ekran: 18. Wpisz hasło, które nadałeś podczas wstępnego etapu konfiguracji urządzenia (punkty 7-16) i otrzymasz ekran powitalny systemu zarządzania WebUI 5GT ADSL: 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 6/9
Konfiguracja i zabezpieczenie łącza Neostrada Plus za pomocą rutera NetScreen 5GT ADSL 19. Wybierz Network/PPPoA/ adsl1/edit 20. Ustaw opcję Auto-Connect i Clear IP on Disconnect. Umożliwia to automatyczne nawiązywanie połączenia po inicjacji urządzenia lub wymuszeniu zmiany IP przez system Neostrada. 21. Wybierz Network/Interfaces/ adsl1/edit: 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 7/9
22. Jeżeli przycisk odpowiadający Bind to PPPoA ma nazwę Connect (co występuje w sytuacji kiedy opis w górnej części formatki jest następujący: Interface: adsl1 (IP/Netmask: 0.0.0.0/32) naciśnij ten przycisk co rozpoczyna proces autoryzacji dostępu do systemu Neostrada zgodnie z danymi określonymi w punkcie 12. Każdorazowo też będziesz musiał aktywować połączenie Neostrada w taki właśnie sposób jeżeli nie ustawiłeś opcji zgodnie z punktem 20. Pozostałe opcje konfiguracyjne mają bezpośredni związek z funkcjonowaniem systemu zabezpieczeń (firewall, VPN, AV i IPS). Dodatkowe informacje na ten temat dostępne są pod adresem http://www.clico.pl/hardware/netscreen/html/support.html. Jak już wspominano Telekomunikacja Polska S.A. dostarcza usługę Neostrada z asymetrycznym podziałem pasma. Oznacza to, że przepustowość dla połączeń przychodzących jest inna niż dla połączeń wychodzących. W opcji WebUI Reports/Counters/Interface Bandwidth widoczny jest transfer dla połączeń wychodzących: 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 8/9
Jeżeli chcesz sprawdzić kompletne parametry łącza musisz to zrealizować za pośrednictwem interfejsu CLI (linia poleceń): 1. Połącz się za pomocą aplikacji Telnet 1 (np. Start/Uruchom/cmd/telnet) z adresem określonym w punkcie konfiguracyjnym 13. 2. Podaj odpowiednie dane autoryzacyjne zgodnie z punktem 18. 3. Wprowadź polecenie get interface adsl1 i otrzymasz ekran podobny do następującego: Rysunek 2. 192 kbps dotyczy połączeń wychodzących, a 768kbps przychodzących 1 Urządzenie NetScreen-5GT ADSL może być zarządzane za pomocą linii poleceń CLI poprzez protokoły Telnet, SSH oraz konsolę szeregową. 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 9/9