У меня довольно часто бывает задача развернуть лабораторный стенд для макетирования тех или иных решений. Последнее время это чаще какие-то security решения (ngfw, ips, vpn и т.д.). Но почти всегда для схемы требуется какой-то простой роутер и желательно чтобы потреблял минимум ресурсов. Раньше я часто использовал проект freesco. Но иногда его возможностей все же не хватает. Тогда я наткнулся на отличную альтернативу - VyOS. Ниже я расскажу, где и как он может пригодиться, а главное сколько ресурсов потребляет.
Допустим, вам нужен роутер, чтобы симулировать Интернет:
Настраивать роутер из консоли не совсем удобно, поэтому первое что нам надо - получить доступ по SSH.
Настройка NAT для локальной сети:
vyos@vyos# set nat source rule 100 outbound-interface 'eth0' - WAN интерфейс
vyos@vyos# set nat source rule 100 source address '192.168.0.0/24' - локальная сеть
vyos@vyos# set nat source rule 100 translation address masquerade - включаем NAT
vyos@vyos# set nat destination rule 102 destination address 10.10.10.1 - внешний ip-адрес
vyos@vyos# set nat destination rule 102 destination port 3389
vyos@vyos# set nat destination rule 102 inbound-interface eth0 - внешний WAN интерфейс
vyos@vyos# set nat destination rule 102 protocol tcp
vyos@vyos# set nat destination rule 102 translation address 192.168.0.10 - внутренний ip-адрес
vyos@vyos# set nat destination rule 102 translation port 3389
Или вы изучаете работу BGP/OSPF в связке с каким-нибудь межсетевым экраном:
Для этого по причинам ограниченного функционала не подойдет Cisco Packet Tracer. Можно заморочиться с EVE-NG или с GNS3, но иногда куда проще просто развернуть виртуалки в VMware Workstation/ESXi или VIrtulaBox. Здесь и придет на помощь виртуальный роутер VyOS.
VyOS - opensource проект на основе Debian. Была такая компания - Vyatta Routing. Их купила компания Brocade Communications и закрыла исходники. Но группа энтузиастов создала форк из последней доступной версии. С тех пор проект неплохо развивается. Роутер предоставляет большое кол-во функций: Routing, VPN, Firewall, NAT, High Availability и т.д. Подробнее на картинке ниже.
Но нас интересует не это. Из плюсов данного роутера для лаб можно отметить следующее:
1) Полностью бесплатен. Не надо заморачиваться с лицензией cisco iou/iol;
2) Богатый функционал роутинга;
3) Очень понятный синтаксис для тех, кто привык работать с Cisco;
4) И самое главное - требуются очень скромные ресурсы - для запуска необходимо всего 1vCPU и 1GB RAM. Хотя после запуска виртуальная машина будет потреблять еще меньше:
Скачать образ (iso) можно здесь. На данный момент доступна версия v1.2.4 LTS. Кроме того, доступен для скачивания шаблон виртуальной машины (ova), что позволяет развернуть виртуалку буквально в пару кликов (import ova). К сожалению шаблон только для версии 1.1.7, но его функционала вполне достаточно.
Настройка
Просто для примера покажу на сколько просто начать работать с этим роутером. Допустим вы импортировали виртуальную машину, добавили нужное вам кол-во интерфейсов и запустили. После загрузки вы увидите поле аутентификации:
Login - vyos
Password - vyos
configuration - вход в режим конфигурации
set interfaces ethernet eth0 address 10.10.10.1/24 - настройка ip-адреса на интерфейсе eth0
set protocols static route 0.0.0.0/0 next-hop 10.10.10.254 distance '1' - маршрут по умолчанию
set service ssh - запуск удаленного доступа по ssh
commit - применить настройки
set interfaces ethernet eth0 address 10.10.10.1/24 - настройка ip-адреса на интерфейсе eth0
set protocols static route 0.0.0.0/0 next-hop 10.10.10.254 distance '1' - маршрут по умолчанию
set service ssh - запуск удаленного доступа по ssh
commit - применить настройки
save - сохранить настройки
Теперь можете подключаться своим любимым SSH клиентом и продолжать настройку. Для примера рассмотрим еще несколько конфигураций.
Настройка NAT для локальной сети:
vyos@vyos# set nat source rule 100 outbound-interface 'eth0' - WAN интерфейс
vyos@vyos# set nat source rule 100 source address '192.168.0.0/24' - локальная сеть
vyos@vyos# set nat source rule 100 translation address masquerade - включаем NAT
vyos@vyos# commit
vyos@vyos# save
Проброс портов (RDP):
vyos@vyos# set nat destination rule 102 description «RDP to Win10» vyos@vyos# set nat destination rule 102 destination address 10.10.10.1 - внешний ip-адрес
vyos@vyos# set nat destination rule 102 destination port 3389
vyos@vyos# set nat destination rule 102 inbound-interface eth0 - внешний WAN интерфейс
vyos@vyos# set nat destination rule 102 protocol tcp
vyos@vyos# set nat destination rule 102 translation address 192.168.0.10 - внутренний ip-адрес
vyos@vyos# set nat destination rule 102 translation port 3389
vyos@vyos# commit
vyos@vyos# save
Также имеется несколько полезных ресурсов:
Заключение
На этом пожалуй все. Если вы часто собираете макеты, то данный роутер вам однозначно пригодится.
Mikrotik гораздо удобнее и понятнее, чем VyOS. Пользуюсь и тем, и другим в больших количествах, и именно в качестве лайтового роутера без ресурсов и оперативки, при этом выполняющего функции от НАТа и статик-роутинга до BGP и MPLS, MikroTik гораздо удобнее. А если учесть, что он ещё и практически бесплатный -- то выбор очевиден. Любую виртуалку МТ можно регать на 2 месяца, по истечении которых виртуалка просто не обновляется.
ОтветитьУдалитьПодключите микротик например к Google Cloud по VPN с динамическим роутингом и потом нам расскажете про очевидный выбор ;)
УдалитьПростите, конечно, но по моему мнению, на обычном компе виртуалку поднять дело простое, ресурсов почти не потребляет. А при серьёзной работе, я, например, приобрёл сервер под виртуализацию. Если нужно создавать крупные проекты, то нужно приобретать соответствующие инструменты (сервер).
ОтветитьУдалить