QUICK START GUIDE SERIE S Rev 1.0 PARAGRAFO ARGOMENTO PAGINA 1.1 Connessione dell apparato 3 1.2 Primo accesso all apparato 3 1.3 Wizard 4 2 Gestioni credenziali di acceso 6 2.1 Credenziali di accesso area Admin 6 2.2 Credenziali di accesso area Setup 7 3 Easy firewall 7 3.1 Forward 8 3.1.1 Forward esempi pratici 9 3.2 NAT 10 3.2.1 NAT esempi pratici 11 3.3 Servizi 13 3.3.1 Servizi esempi pratici 14 3.4 Admins 14 3.5 Siti diretti 15 3.6 Mail Proxy 15 3.7 SMTP Proxy 15 3.8 No Log 16 3.9 Strumenti Speciali di Easy Firewall 16 3.9.1 Lucchetto 16 3.9.2 Wizard Unlock 17 3.9.3 Restore 17 4 Configurazione Rete 18 4.1 Schede di Rete 18 1
PARAGRAFO ARGOMENTO PAGINA 4.1.1 Configurazione LAN (eth0) 19 4.1.2 Configurazione WAN (eth1) 19 4.2 Route & Failover 20 4.2.1 Router 21 4.2.2 Failover 21 4.2.3 Route statiche 22 4.3 Multi ADSL 22 4.3.1 ADSL Routing 23 4.3.1.1 Adsl Routing esempi pratici 24 5 Gestione VPN 25 5.1 VPN GRE 25 5.2 VPN OpenVPN 27 5.2.1 OpenVPN Server per PC 27 5.2.2 OpenVPN LAN to LAN 31 6 WebFilter 34 6.1 Gestione Gruppi di navigazione 34 6.2 Appartenenza ai Gruppi di Navigazione 39 6.2.1 Appartenenza ai Gruppi di Navigazione per indirizzo IP 39 6.2.2 Appartenenza ai Gruppi di Navigazione per Utente 40 6.3 Pagina di blocco 41 7 Server di posta 42 7.1 Gestione Utenti 42 7.2 Polling di posta remota 43 7.3 Posta configurazione 46 7.3.1 Autenticazione Smart Host 46 7.3.2 Domini gestiti localmente 47 7.3.3 Controllo RELAY 48 7.3.4 Domain routing 49 7.3.5 Alias 50 7.3.6 Virtual User 51 8 Guida in Linea (Knowledge Base) 52 2
1.1 Connessione dell apparato Per interconnettere l appliance alla propria LAN seguire i seguenti passaggi: - Collegare la porta ethernet LAN dell appliance alla propria rete locale aziendale usando un cavo UTP Classe 5 o superiore. - Collegare la porta ethernet WAN dell appliance al proprio router usando un cavo UTP Classe 5 o superiore. - N.B. Le porte ethernet LAN e WAN devono sempre essere collegate a due reti separate. - Collegare il cavo di alimentazione fornito alla presa elettrica a muro e al dispositivo nell apposito connettore. - Dopo tre minuti c.a l appliance sarà disponibile in rete. 1.2 Primo accesso all apparato S620R Impostazioni di fabbrica dell appliance: - Indirizzo IP LAN: 192.168.4.1 - Indirizzo IP WAN: 10.9.0.1 - Nome Utente: Admin - Password: riportata sull etichetta - Gateway 10.9.0.2 - DNS1 151.99.125.2 - DNS2 151.99.125.1 - Time Server time.nist.gov 3
1.3 Wizard Una volta collegato l apparato alla propria rete, seguendo i passi al punto 1.1, impostare sul proprio PC un indirizzo IP statico della rete 192.168.4.x (es. 192.168.4.5) in modo da poter raggiungere l appliance via WEB. Lanciare il proprio browser, inserire nella barra degli indirizzi l IP dell appliance 192.168.4.1 Inseriamo nome utente e password (rispettivamente Admin e la password riportata sull etichetta) negli appositi campi e selezioniamo Login. Al primo accesso viene visualizzato il Wizard che permette di configurare le impostazioni base dell apparato in modo rapido. Nome macchina: Inserire il nome host che vogliamo assegnare all apparato. Email amministratore: inserire l indirizzo mail dell amministratore di rete che riceverà giornalmente i log dell apparato. Per modifiche successive riconfigurare l alias postmaster. Email assistenza: inserire l indirizzo mail del rivenditore del dispositivo che riceverà mensilmente la configurazione dell apparato ed eventuali warning legati a problematiche hardware. Per modifiche successive riconfigurare l alias assistenza (Paragrafo 7.3.5). Indirizzo IP LAN (eth0): Inserire l indirizzo IP che vogliamo assegnare alla porta ethernet LAN che sarà utilizzato come gateway dalla rete locale aziendale. Netmask: Inserire la Subnet Mask relativa all IP assegnato alla porta LAN. DNS1, DNS2: Inserire due indirizzi IP che l apparato utilizzerà per la risoluzione DNS, tipicamente vengono forniti direttamente dal provider. Interfaccia WAN (eth1): Protocollo Statico: Con il protocollo impostato su statico la porta ethernet WAN verrà configurata con IP statico in base alle impostazioni inserite nei campi seguenti. Protocollo DHCP: Con il protocollo impostato su DHCP la porta ethernet WAN otterrà la configurazione dell IP, del gateway e dei DNS dal router. N.B. per poter utilizzare questa funzione sul router deve essere attivo il server DHCP e la WAN dell appliance deve essere collegata all avvio dell apparato. Indirizzo IP WAN: Inserire l indirizzo IP che vogliamo assegnare alla porta ethernet WAN; tale indirizzo deve essere della stessa classe dell IP presente sul router in modo che possa interfacciarsi con quest ultimo, ad esempio: IP router 192.168.1.1, IP lato WAN 192.168.1.1 Netmask: Inserire la Subnet Mask relativa all IP assegnato alla porta WAN. Gateway (Router): Indirizzo ip del Ruoter che l appliance utilizzerà come gateway. N.B. la classe di indirizzamento IP per le porte LAN e WAN deve sempre essere diversa. 4
Una volta compilati tutti i campi selezionare salva per applicare la configurazione. ATTENZIONE: non disconnettere l apparato dalla rete elettrica fino a che non sarà disponibile in rete al nuovo indirizzo ip assegnato. Il wizard è richiamabile in qualsiasi momento inserendo nella barra degli indirizzi del proprio browser http://ipdilanappliance/wizard. 5
2 Gestioni credenziali di acceso E consigliato modificare le credenziali di accesso all apparato. 2.1 Credenziali di accesso area Admin Dall home page dell apparato selezioniamo Setup nel menù a sinistra. Una volta eseguito il log in selezioniamo Altro e Credenziali accesso area Admin, dalla lista utenti selezioniamo Utente Admin. Nella schermata successiva selezionare la spunta in corrispondenza del campo Password Imposta a e inserire nella casella di testo a fianco la nuova password. Per applicare le modifiche selezionare Salva. Tramite gli utenti presenti in questa lista è possibile accedere all area di Admin, aprire il lucchetto (Paragrafo 3.9.1) direttamente da Homepage e disabilitare temporaneamente la pagina di blocco (Paragrafo 6.3) durante la navigazione web. 6
2.1 Credenziali di accesso area Setup Dall home page dell apparato selezioniamo Setup nel menù a sinistra. Una volta eseguito il log in selezioniamo Altro e Modifica password, dalla lista utenti selezioniamo Admin. Inseriamo nel campo Nuova password, e nel campo di conferma, la password per l accesso all area di setup. Tramite queste credenziali è possibile avere accesso completo all area di setup e direttamente in console tramite ssh. 3 Easy firewall Di default l appliance consente connessioni solo sulle porte TCP dalla 7 alla 134 e alle porte 443, 1723, 3389. Alcune delle porte aperte sono filtrate come la 80 TCP, filtro web sui contenuti, 25 e 110, filtro antispam e antivirus, e 21, filtro antivirus. Dall esterno di default l appliance non accetta connessioni su nessuna porta e non risponde al ping. E possibile personalizzare le regole di firewalling tramite l apposita interfaccia Easy Firewall raggiungibile selezionando Admin nel menù a sinistra dalla Home page. Una volta eseguito il log in selezioniamo Rete e Easy Firewall 7
3.1 Forward Tramite la tabella Forward è possibile definire porte accessibili dalla LAN verso Internet. Selezionando Nuova regola è possibile accedere al menu di configurazione per le regole di Forward: IP di lan (opzionale): compilare questo campo solo se si vuole limitare la regola ad un determinato IP sorgente della nostra LAN. Se omesso la regola è valida per tutta la LAN. IP di destinazione (opz.): compilare questo campo solo se si vuole limitare la regola ad un determinato IP di destinazione. Se omesso la regola è valida verso qualsiasi destinazione. Porta di destinazione: permette di scegliere la porta da un elenco di servizi noti. Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP. Per gestire entrambi i protocolli vanno create due regole. Dalla porta: inserire il numero della porta da gestire. Alla porta (opzionale): compilando questo campo viene gestito il range di porte compreso fra il valore inserito in Dalla porta e Alla porta. Se omesso verrà gestita solo la porta contenuta nel campo Dalla porta. Orario di validità: Definisce l orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando Permetti il range o la porta specificati saranno disponibili dalla LAN verso Internet. Selezionando Scarta il range o la porta specificati non verranno concessi dalla LAN verso Internet. Selezionando Scarta e Logga il range o la porta specificati non verranno concessi dalla LAN verso Internet e verrà generato un log ad ogni richiesta scartata. Selezionare Crea per aggiungere la regola. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest ultima viene verificata e se corretta applicata. E possibile tramite il tasto Applica ricaricare completamente le regole di firewalling. 8
3.1.1 Forward esempi pratici Come concedere la porta 993 TCP per tutta la LAN verso qualsiasi destinazione: Una volta creata la regola appare nella tabella Forward come di seguito: 9
Come impedire all ip 192.168.4.50 di connettersi alla porta 3389 TCP verso Internet: Una volta creata la regola appare nella tabella Forward come di seguito: 3.2 NAT Tramite la tabella NAT è possibile rendere disponibili verso Internet dei servizi presenti all interno della LAN, ad esempio Web Server, Desktop Remoto, eccetera. N.B. assicurarsi sempre che i servizi pubblicati su Internet siano servizi sicuri. Selezionando Nuova regola è possibile acceder al menu di configurazione per le regole di NAT. Indirizzo IP wan (opzionale): Selezionare l ip di WAN del firewall sul quale abilitare la NAT. Utilizzabile solo nel caso di WAN virtuali o multiple. Se non specificato la NAT viene abilitata sull interfaccia eth1. 10
Indirizzo IP interno: inserire l indirizzo IP di LAN sul quale reindirizzare la connessione da Internet. Indirizzo IP chiamante Internet: Permette di abilitare la NAT per un solo IP pubblico sorgente. Se omesso la NAT sarà valida per qualsiasi IP pubblico sorgente. Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP. Porte note: permette di scegliere la porta da un elenco di servizi noti. Dalla porta: inserire il numero della porta da inoltrare verso l IP di LAN specificato. Alla porta (opzionale): compilando questo campo viene inoltrato sull IP interno specificato il range di porte compreso fra il valore inserito in Dalla porta e Alla porta. Se si definisce un range di porte lo stesso range va riportato anche nei campi relativi a Porta Interna LAN (opzionale). Se omesso verrà gestita solo la porta contenuta nel campo Dalla porta. Porta Interna LAN (opzionale): Nel caso la NAT sia di una singola porta è possibile ridirigere una chiamata esterna su una porta interna differente specificando tale porta nel campo Dalla porta (opzionale). Selezionare Aggiungi per aggiungere la regola. N.B. Per poter usufruire della funzionalità di NAT è necessario che l appliance sia raggiungibile da internet o con IP pubblico statico direttamente sull interfaccia eth1 o nattando dal router tutte le porte sull ip privato di eth1. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest ultima viene verificata e se corretta applicata. E possibile tramite il tasto Applica ricaricare completamente le regole di firewalling. 3.2.1 NAT esempi pratici Come Inoltrare la porta 80 TCP da internet verso la porta 80 TCP dell ip 192.168.4.50 11
Una volta creata la regola appare nella tabella NAT come di seguito: Come inoltrare la porta 81 TCP da Internet verso la porta 80 TCP dell IP 192.168.4.51 Una volta creata la regola appare nella tabella NAT come di seguito: 12
3.3 Servizi Tramite la tabella Servizi è possibile rendere disponibili verso Internet dei servizi presenti direttamente sull appliance. Ad esempio aprendo la porta 22 TCP sarebbe possibile connettersi in console tramite SSH dall esterno. Selezionando Nuova regola è possibile acceder al menu di configurazione per i Servizi: Indirizzo IP chiamante (opzionale): compilare questo campo solo se si vuole limitare la regola ad un determinato IP pubblico sorgente. Se omesso la regola è valida qualsiasi IP sorgente. IP Destinazione (opz.): permette di definire su quale IP WAN deve essere in ascolto la porta specificata. Se omesso la regola sarà effettiva su tutte le WAN virtuali o fisiche. Porta di destinazione: permette di scegliere la porta da un elenco di servizi noti. Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP. Per gestire entrambi i protocolli vanno create due regole. Dalla porta: inserire il numero della porta da gestire. Alla porta (opzionale): compilando questo campo viene gestito il range di porte compreso fra il valore inserito in Dalla porta e Alla porta. Se omesso verrà gestita solo la porta contenuta nel campo Dalla porta. Orario di validità: Definisce l orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando Permetti il range o la porta specificati saranno disponibili da Internet. Selezionando Scarta il range o la porta specificati non saranno disponibili Internet. Selezionando Scarta e Logga il range o la porta specificati non saranno disponibili da Internet e verrà generato un log ad ogni richiesta scartata. Selezionare Crea per aggiungere la regola. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest ultima viene verificata e se corretta applicata. E possibile tramite il tasto Applica ricaricare completamente le regole di firewalling. 13
3.3.1 Servizi esempi pratici Come rendere disponibile la console SSH a qualsiasi IP pubblico sorgente: N.B. per potersi collegare in ssh bisogna conoscere nome utente e password di Setup (Paragrafo 2.2). Una volta creata la regola appare nella tabella Servizi come di seguito: 3.4 Admis Tramite la tabella Adminis è possibile definire IP della LAN che avranno tutte le porte aperte in uscita. Tali client pur avendo tutte le porte aperte verso l esterno passano comunque attraverso i filtri dell appliance come ad esempio il WebFilter. Indirizzo IP del PC di lan Trusted: permette di definire l ip di LAN sul quale deve agire la regola. Orario di validità: Definisce l orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando Permetti l IP specificato avrà tutte le porte aperte dalla LAN verso Internet. Selezionando NEGA l IP specificato non potrà effettuare alcuna connessione verso Intenet Selezionando NEGA e Logga l IP specificato non potrà effettuare alcuna connessione verso Intenet e verrà generato un log ad ogni richiesta scartata. 14
Selezionare Crea per aggiungere la regola. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest ultima viene verificata e se corretta applicata. E possibile tramite il tasto Applica ricaricare completamente le regole di firewalling. 3.5 Siti diretti Tramite la tabella Siti diretti è possibile definire siti web attendibili sui quali l appliance non applica alcun tipo di filtro e non fa nemmeno caching. Sito Web Remoto (ip o nome): permette di definire il sito per il quale avrà effetto la regola. Inserire il nome completo del sito, comprensivo di www, o l IP pubblico corrispondente. Orario di validità: Definisce l orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando Permetti Il sito web specificato sarà raggiungibile da tutti i client della LAN senza alcun filtro da parte dell apliance. Selezionando NEGA blocca la connessione al sito specificato per tutti i client della LAN. Selezionando NEGA e Logga blocca la connessione al sito specificato per tutti i client della LAN e verrà generato un log ad ogni richiesta scartata. 3.6 Mail Proxy Tramite la tabella Mail Proxy è possibile definire IP della LAN che non avranno alcun filtro sulle connessioni POP3. Client LAN (ip o nome): permette di definire l IP di LAN per il quale avrà effetto la regola. Orario di validità: Definisce l orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando Permetti l ip specificato non avrà nessun filtro sulle connessioni POP3. Selezionando NEGA l IP specificato non potrà effettuare connessioni in POP3. Selezionando NEGA e Logga l IP specificato non potrà effettuare connessioni in POP3 e verrà generato un log ad ogni richiesta scartata. 3.7 SMTP Proxy Tramite la tabella SMTP Proxy è possibile definire server SMTP esterni ritenuti attendibili. Sulle connessioni verso questi SMTP non verrà effettuato alcun filtraggio antivirus e antispam. Server SMTP remoto: permette di definire l IP o il nome del server SMTP per il quale avrà effetto la regola. Orario di validità: Definisce l orario in cui la regola è attiva. Se omesso la regola è sempre attiva. 15
Azione: Selezionando Permetti sulle connessioni verso l SMTP specificato non verranno applicati filtri antispam e antivirus. Selezionando NEGA non sarà possibile connettersi al server SMTP specificato. Selezionando NEGA e Logga non sarà possibile connettersi al server SMTP specificato e verrà generato un log ad ogni richiesta scartata. 3.8 No Log Tramite la tabella No Log è possibile definire IP della LAN sui quali non verranno applicati il filtro antivirus e il filtro sui contenuti in navigazione, per tali client non vengono registrati nemmeno i log di navigazione. Indirizzo di LAN del PC da NON filtrare in Navigazione: permette di definire l IP di LAN per il quale avrà effetto la regola. Orario di validità: Definisce l orario in cui la regola è attiva. Se omesso la regola è sempre attiva. Azione: Selezionando Permetti per l IP di LAN specificato non verrà applicato nessun filtro in navigazione http. Selezionando NEGA non sarà possibile per l ip specificato navigare in HTTP. Selezionando NEGA e Logga non sarà possibile per l ip specificato navigare in HTTP e verrà generato un log ad ogni richiesta scartata. 3.9 Strumenti Speciali di Easy Firewall 3.9.1 Lucchetto Il lucchetto, presente anche nell home page del firewall, permette tramite un semplice click di aprire tutte le porte dalla LAN verso Internet e disabilitare tutti i filtri effettuati dall appliance. Questa caratteristica può essere utile in caso di malfunzionamenti da parte di qualche applicazione o sito web, se una volta disarmato il firewall il problema persiste allora la problematica non è riconducibile all appliance. Diversamente se il problema viene risolto si ha la certezza che l applicativo utilizzato tenta di connettersi a una porta o a un sito bloccati. 16
Quando il firewall è disarmato appare il seguente messaggio. Per chiudere il lucchetto, e quindi riarmare il firewall, è sufficiente selezionare l icona del lucchetto aperto oppure riavviare l appliance. N.B. Disarmando il firewall tutte le NAT e i servizi erogati verso internet dall appliance vengono temporaneamente disabilitati, sarà raggiungibile dall esterno sono sulla porta 22 TCP per agevolare un eventuale assistenza remota. 3.9.2 Wizard Unlock Wizard Unlock ci permette di visualizzare gli ultimi pacchetti scartati dall appliance dalla LAN verso Internet e viceversa con la possibilità, selezionando direttamente la porta interessata, di creare una regola di sblocco per tutta la LAN o solo per l IP che ha effettuato la richiesta. 3.9.3 Restore Ogni giorno, non appena viene eseguito l accesso all interfaccia di Easy Firewall, viene creato un backup delle regole allo stato attuale in modo da poterle facilmente ripristinare in seguito a modifiche accidentali. La lista delle configurazioni precedenti è accessibile selezionando il tasto Restore. 17
4 Configurazione Rete Dal menù Configurazione Rete, accessibile sotto Setup Rete, è possibile configurare gli indirizzi IP da assegnare alle porte ethernet dell appliance, eventuali route statiche, il nome Host del dispositivo, in caso si più connettività ADSl il failover e su alcuni apparati il bilanciamento MULTI Adsl. 4.1 Schede di Rete Tramite questo menù è possibile modificare gli indirizzi IP delle singole schede di rete presenti sull apparato ma anche creare interfacce virtuali. Per configurare una porta ethernet selezionarla dalla lista. 18
4.1.1 Configurazione LAN (eth0) Indirizzo IP: Inserire l indirizzo IP che vogliamo assegnare alla porta ethernet LAN che sarà utilizzato come gateway dalla rete locale aziendale. Netmask: Inserire la Subnet Mask relativa all IP assegnato. Time server: Inserire l ip di un Time Server dal quale il firewall può ricavare la data e l ora corrette, ad esempio time.nist.gov. IP Aggiuntivo: Permette di aggiungere IP di LAN virtuale per essere usato, ad esempio, come gateway da host con classi differenti dal LAN principale. Una volta compilati tutti i campi selezionare Salva e riavviare l appliance per applicare la configurazione. ATTENZIONE: non disconnettere l apparato dalla rete elettrica durante il riavvio fino a che non sarà disponibile in rete al nuovo indirizzo ip assegnato. 4.1.2 Configurazione WAN (eth1) Interfaccia: Permette di impostare un nome identificativo all interfaccia ethernet ad esempio WAN. DHCP: Si: Con il protocollo impostato su DHCP la porta ethernet WAN otterrà la configurazione dell IP, del gateway e dei DNS dal router. N.B. per poter utilizzare questa funzione sul router deve essere attivo il server DHCP e la WAN dell appliance deve essere collegata all avvio dell apparato. No: Con il protocollo impostato su statico la porta ethernet WAN verrà configurata con IP statico in base alle impostazioni inserite nei campi seguenti. 19
Indirizzo IP: Inserire l indirizzo IP che vogliamo assegnare alla porta ethernet WAN, tale indirizzo deve essere della stessa classe dell IP presente sul router in modo che possa interfacciarsi con quest ultimo, ad esempio: IP router 192.168.1.1, IP lato WAN 192.168.1.2 Netmask: Inserire la Subnet Mask relativa all IP assegnato. Gateway (Router): Indirizzo ip del Ruoter che l appliance utilizzerà come gateway. Una volta compilati tutti i campi selezionare Salva e riavviare l appliance per applicare la configurazione. ATTENZIONE: non disconnettere l apparato dalla rete elettrica fino a che non sarà disponibile in rete al nuovo indirizzo ip assegnato o alla porta LAN. IP Aggiuntivo: Permette di aggiungere IP di WAN virtuale per sfruttare ad esempio più IP pubblici forniti dal provider. Una volta compilati tutti i campi selezionare Salva e riavviare l appliance per applicare la configurazione. ATTENZIONE: non disconnettere l apparato dalla rete elettrica durante il riavvio fino a che non sarà disponibile in rete. 4.2 Route & Failover Tramite questo menù è possibile configurare il default gateway dell appliance, un eventuale ADSL di backup (failover) e delle route statiche. 20
4.2.1 Router Indirizzo Router: Indirizzo ip del Ruoter che l appliance utilizzerà come gateway. N.B. Il default gateway deve essere sempre raggiungibile tramite l interfaccia di rete eth1. Una volta compilati tutti i campi selezionare Salva e riavviare l appliance per applicare la configurazione. ATTENZIONE: non disconnettere l apparato dalla rete elettrica durante il riavvio fino a che non sarà disponibile in rete. 4.2.2 Failover Abilitando la funzione Failover verifica costantemente lo stato dell ADSL principale, se dovesse cadere ridirigere in automatico tutto il traffico sull ADSL di backup. Il router di backup può essere raggiunto sia tramite eth1, utilizzando un interfaccia virtuale o direttamente con l ip principale se il router appartiene alla stessa classe, o tramite interfacce di rete aggiuntive, se l apparato ne è provvisto, appositamente configurate. Abilita: Si: Funzionalità Failover abilitata. No: Funzionalità Failover disabilitata. Router di backup: Inserire l indirizzo IP del gateway che fornisce la connettività verso l ADSL di backup. Indirizzo IP da pingare per il controllo del gateway di default: Inserire un IP pubblico che sarà utilizzato per testare il funzionamento dell ADSL principale. N.B. l IP in questione deve rispondere al ping. Notifica il seguente indirizzo email: Inserire un indirizzo mail che riceverà una notifica non appena entra in funzione il Failover. Selezionare Salva per applicare la configurazione. 21
4.2.3 Route Statiche Tramite questa interfaccia è possibile creare delle route statiche utili se si ha la necessità di utilizzare gateway differenti da quello di default per alcune destinazioni. Destinazione/maschera di rete: Inserire l ip e la relativa subnetmask per il quale si intende utilizzare un gateway differente da quello di default. Gateway da utilizzare: Inserire l ip del gateway da utilizzare per la destinazione specificata. Tale indirizzo deve essere raggiungibile dal firewall. 4.3 Multi ADSL La funzionalità Multi ADSL è disponibile solo su alcuni modelli della Serie S. Permette di utilizzare 2 o più ADSL in bilanciamento di carico, ovvero il traffico in uscita verrà smistato sulle ADSL disponibili in base alle impostazioni definite dall'amministratore. 22
Abilitato: Si: Funzionalità Multi ADSL attiva. No: Funzionalità Multi ADSL disattiva. ADSL Numero 1 connessa alla ethernet eth1: L ADSL primaria è quella collegata all eth1 (come configurare l interfaccia eth1 al punto 4.1.2). Impostare la velocità della linea ADSL. ADSL Numero 2 connessa alla ethernet: Selezionare dal menù l interfaccia al quale è collegato il router che fornisce la connettività all ADSL2 ed inserire l IP del router stesso. Impostare la velocità della linea ADSL. N.B. l interfaccia dovrà avere un indirizzo IP della stessa classe del router. Non è possibile usare interfacce virtuali per questo tipo di configurazione. Procedere in questo modo per tutte le ADSL che si intendono configurare. Selezionare Salva e applica per attivare il bilanciamento. 4.3.1 Adsl Routing Tramite la tabella Adsl Routing presente in Easy Firewall (paragrafo 3) è possibile instradare connessioni in base alla porta di destinazione su una determinata ADSL. Selezionando Nuova regola è possibile accedere al menu di configurazione per le regole di Adsl Routing: IP di lan (opzionale): compilare questo campo solo se si vuole limitare la regola ad un determinato IP sorgente della nostra LAN. Se omesso la regola è valida per tutta la LAN. IP di destinazione (opz.): compilare questo campo solo se si vuole limitare la regola ad un determinato IP di destinazione. Se omesso la regola è valida verso qualsiasi destinazione. Porta di destinazione: permette di scegliere la porta da un elenco di servizi noti. 23
Protocollo: Definisce il protocollo considerato dalla regola, TCP o UDP. Per gestire entrambi i protocolli vanno create due regole. Dalla porta: inserire il numero della porta da gestire. Alla porta (opzionale): compilando questo campo viene gestito il range di porte compreso fra il valore inserito in Dalla porta e Alla porta. Se omesso verrà gestita solo la porta contenuta nel campo Dalla porta. Usa ADSL numero: Selezionare dal menù l ADSL sulla quale vogliamo instradare le connessioni verso le porte specificate. Una volta creata la regola appare nella tabella Adsl Routing come di seguito: Se omesso la regola è sempre attiva. Selezionare Crea per aggiungere la regola. Dopo aver aggiunto una regola in qualsiasi sezione di Easy Firewall quest ultima viene verificata e se corretta applicata. E possibile tramite il tasto Applica ricaricare completamente le regole di firewalling. 4.3.1.1 Adsl Routing esempi pratici Come instradare le connessioni SMTP sull ADSL numero 1 24
Una volta creata la regola appare nella tabella Adsl Routing come di seguito: 5 Gestione VPN L appliance supporta diversi tipi di VPN che possono essere usati contemporaneamente. N.B. Per poter utilizzare qualsiasi VPN in modalità server l appliance deve essere raggiungibile da internet o configurando opportunamente il router o con IP pubblico direttamente sull appliance stessa. 5.1 VPN GRE La VPN GRE, o pptp, è di rapida configurazione e nativamente compatibile con la grande maggioranza dei sistemi operativi. Tuttavia ha alcuni limiti come ad esempio l'impossibilità di accettare più di una connessione da un IP pubblico remoto e il suo protocollo non è supportato in modalità passante da alcuni router. Dal menù VPN Server GRE / L2TP, accessibile sotto Setup Rete, è possibile gestire le impostazioni per tale tipologia di VPN. Dal pannello di gestione selezionare Opzioni VPN GRE per gestire le configurazioni generali. 25
Nel pannello Opzioni VPN GRE verificare che il range di indirizzi Indirzzi IP lato server ed Indirizzi IP lato client siano della stessa classe della rete LAN ed eventualmente modificarli in base alle proprie esigenze. Una volta ultimate le modifiche selezionare Salva. Dal pannello di gestione selezioniamo Utenti VPN per gestire le credenziali di accesso. Selezionare l icona per creare un nuovo utente. Nome Utente: Spuntare a fianco la casella di testo e inserire il nome utente che si intende utilizzare per la connessione remota. Password: Spuntare Imposta a e inserire nella casella a fianco la password relativa all utente che si sta creando. Indirizzo Assegnato: Permetti Qualunque: Una volta eseguita l autenticazione assegna un IP del range specificato in Opzioni VPN GRE in modo casuale. Nega: Non sarà possibile effettuare l accesso con queste credenziali. Assegna il seguente indirizzo IP: Inserire l indirizzo IP che si intende assegnare a questo utente ad ogni accesso. Una volta ultimata la configurazione selezionare Salva. 26
N.B. Per rendere utilizzabile la VPN GRE devono essere concesse le connessioni da internet sulla porta 1723 TCP del firewall (paragrafo 3.3). 5.2 VPN OpenVPN Tramite OpenVPN è possibile creare connessioni per singoli client remoti e gestire VPN LAN to LAN tramite apparati Gigasys. Dal menù VPN Openvpn, accessibile sotto Setup Rete, è possibile gestire le impostazioni per tale tipologia di VPN. Dal pannello Configurazioni attive è possibile gestire tutte le OpenVPN presenti sul sistema. 5.2.1 OpenVPN Server per PC Di default su tutti gli apparati è presente la OpenVPN chiamata server, con certificato digitale volutamente scaduto. Tale configurazione va utilizzata per la gestione di connessioni OpenVPN da parte di singoli host remoti che abbiano la necessità di collegarsi alla LAN aziendale. 27