Tutoriel Routeur VPN FVS338

Transcription

Configuration détaillée du FVS338 par Magicsam
Préliminaires
1) Se connecter au routeur :
Se connecter à l'interface de configuration de votre routeur en entrant l'adresse http://192.168.1.1 depuis
votre Navigateur Internet.
Nom d'utilisateur = admin
Mot de passe = password
NETGEAR Configuration Manager
User Name:
admin
Password:
Login
Reset
2) S'assurer que votre routeur a bien été livré avec la dernière version du firmware :
. Management
. Router Status
Router Status
System Name
Firmware Version
Primary
Secondary
FVS 338
V1.6.29
V1.6.26
LAN Port
MAC Address
IP Address
DHCP
IP Subnet Mask
00:00:00:00:00:00
192.168.1.1
enable
255.255.255.0
Broadband Configuration
WAN Mode
NAT (Network Address Translation)
Connection Type
State
IP Address
Subnet Mask
Gateway
Domain Name Server
MAC Address
active
enabled
DHCP
Connected
000.000.0.00
255.255.255.0
192.168.1.1
0.0.0.0
00:00:00:00:00:00
Dial-up Configuration
WAN Mode
Connection Type
State
IP Address
Subnet Mask
Gateway
Domain Name Server
passive
enabled
Dial-Up
Down
0.0.0.0
0.0.0.0
0.0.0.0
0.0.0.0
Show Statistics
Actuellement, dernier firmware disponible = 1.6.43
Page de Téléchargement FVS338 sur le site Netgear France
Page de Téléchargement FVS338 sur le Forum Netgear France
A noter que le FVS338 dispose de deux firmware, un firmware principal et un firmware secondaire de
secours.
3) Le cas échéant, procéder à la mise à jour du firmware si nécessaire :
. Management
. Router Upgrade
Firmware Upgrade
Locate and Select the Upgrade File from your Hard Disk:
Parcourir...
Upload
Cancel
Cliquer sur le bouton Parcourir et ouvrir le fichier .img du dernier firmware.
Cliquer ensuite sur le bouton Upload et patienter jusqu'à la fin du traitement, surtout ne pas l'interrompre.
- Pour la mise à jour du firmware, consulter le Tutorial de NicolasXP
http://www.netgear-forum.com/Images/nicolasxp/TUTO/MAJ/index.html
:
Configuration de base Internet
Le FVS338 dispose de deux ports WAN :
- un port RJ45 pour connecter votre modem/cable Ethernet et partager une connexion Internet haut débit
(Broadband)
- un port série DB-9 pour connecter un modem analogique et partager une connexion Internet bas
débit (Dialup)
1) Configuration d'une connexion haut débit via le port WAN RJ45
a) Si configuration à l'aide de l'Assistant de configuration
. WAN Setup
. Broadband ISP
Broadband ISP Settings
Setup Wizard
WAN Status
Does Your Internet Connection Require A Login?
No
Yes
Cliquer sur le bouton Setup Wizard
Setup Wizard(WAN1)
System Can Now Detect The Connection Type Of WAN Port, Or You Can Configure It By Yourself.
Do You Want System To Detect The Connection Type?
Yes.
No. I Want To Configure By Myself.
Next
Cocher le bouton radio Yes pour que le routeur détecte automatiquement le type de connexion ou procéder
à la configuration manuelle du routeur en cochant le deuxième bouton radio (No. I Want To Configure By
Myself).
Puis cliquer sur le Bouton Next.
Si détection automatique du type de connexion Internet
Le FVS338 peut détecter et configurer automatiquement votre type de connexion Internet.
L'assistant de configuration vérifie le type de connexion de votre ligne (protocole de connexion avec ou
sans login, IP internet fixe ou dynamique) et vous renvoie directement sur la page de configuration
correspondante.
Une fois sur la page appropriée, il faudra simplement compléter les derniers paramètres nécessitant
obligatoirement une configuration manuelle (login, password, nom de domaine, etc ...)
Si configuration manuelle du type de connexion Internet
Setup Wizard(WAN1)
Select the WAN connection type to be configured
Obtain an IP automatically
Static IP
PPPoE
PPTP
BigPond
Next
Configurer le protocole de connexion : PPPoE (pour la majorité des configurations) ou Static IP si votre FAI
vous attribue une adresse IP fixe.
Puis cliquer sur le Bouton Next.
Setup Wizard(WAN1)
Account Name
Domain Name
Login
login@clubadsl1
Password
Idle Timeout
Keep Connected
Idle Time
Minutes
Internet IP Address
Get Dynamically From ISP
Use Static IP Address
IP Address
.
.
.
IP Subnet Mask
.
.
.
Gateway IP Address
.
.
.
Domain Name Server (DNS) Address
Get Automatically From ISP
Use These DNS Servers
IP Address
194 . 117
Back
Apply
Cancel
Test
Configurer les paramètres de connexion indiqués par votre FAI (login, password, DNS).
Configurer Idle Timeout sur Keep Connected.
Puis cliquer sur le Bouton Apply.
. 200 . 10
ISP1 Configuration completed successfully
OK
Cliquer sur le bouton OK.
La configuration de vos paramètres de connexion ADSL est maintenant terminée.
Il vous est bien sûr possible de modifier de nouveau les paramètres par la suite sans repasser par
l'Assistant de configuration.
b) Si configuration manuelle du routeur
. WAN Setup
. Broadband ISP
Broadband ISP Settings
Setup Wizard
WAN Status
Does Your Internet Connection Require A Login?
No
Yes
Internet Service Provider Name
Other (PPPoE)
Account Name
Domain Name
Login
login@clubadsl1
Password
Idle Timeout
Keep Connected
Idle Time
Minutes
Internet IP Address
IP Address
.
.
.
IP Subnet Mask
.
.
.
Gateway IP Address
.
.
.
Domain Name Server (DNS) Address
IP Address
194 . 117
Apply
Cancel
Test
Configurer Internet Service Provider sur PPPoE (pour la majorité des configurations).
Configurer les paramètres de connexion indiqué par votre FAI (login, mot de passe, DNS).
. 200 . 10
Configurer Idle Timeout sur Keep Connected.
Puis cliquer sur le bouton Apply pour valider les paramètres.
c) Autres paramètres
. WAN Setup
. Mode
WAN Mode
NAT
Classical Routing
Auto-Rollover
Primary WAN Port
Broadband ISP
Dialup ISP
Enable Auto-Rollover (Use serial port if Broadband connection fails.)
Detect WAN failure by DNS lookup using:
Previously Configured DNS Server
Public DNS Server
Test Period is 30
seconds
Rollover after 2
failures
.
Apply
.
.
Cancel
- NAT (Network Address Translation)
Par défaut le FVS338 est configuré en mode NAT (Network Address Translation).
Le mode NAT permettant à tous les PC d'un même réseau local de partager une seule et même adresse IP
Internet.
Sur Internet, seul l'adresse IP du routeur est visible, les PC du réseau local utilisant une plage d'adresses IP
privées, adresses non visibles sur Internet.
Si vous n'avez qu'une seule adresse IP Internet, fixe ou variable, vous devez utilisez le FVS338 en mode
NAT.
En mode Classical Routing le FVS338 fonctionnera également comme un routeur mais sans NAT.
Choisir ce mode uniquement si votre FAI vous alloue plusieurs adresses IP Internet.
Chaque PC de votre réseau local devra alors être configuré avec une adresse IP Internet valide.
En dehors de ce cas, ne pas configurer le FVS338 dans ce mode car vous ne pourrez pas partager votre
accès Internet via le routeur.
- Primary WAN Port (connexion Internet principale)
Laisser configurer par défaut sur Broadband ISP (connexion ADSL haut débit).
. WAN Setup
. Options
WAN Options
Broadband
MTU Size (in bytes)
Default
Port Speed
Custom 1500
AutoSense
Uplink Bandwidth
102400
Kbps
Router's MAC Address
Use Default Address
Use This Computer's MAC
00:00:00:00:00:00
Use This MAC Address
Apply
Cancel
Laisser Broadband (connexion haut débit) sélectionné par défaut.
Laisser les paramètres de configuration par défaut.
2) Configuration d'une connexion bas débit via le port série DB-9
Le port série permet :
●
●
de fournir une connexion Internet de secours par modem analogique ; en cas de perte de la
connexion haut débit (par cable ou ADSL), le routeur basculera automatiquement sur la connexion
bas débit de secours (Auto-Rollover)
mais il est également possible de configurer la connexion bas débit via le port série comme
connexion Internet principale
a) Configuration d'un modem analogique via le port série en tant que connexion Internet principale
. WAN Setup
. Dialup ISP
Dialup ISP Settings
DIAL-UP Status
Dial-up Account
Account/User Name
login
Password:
Telephone
08...
Alternative Telephone
Connect automatically,disconnect after idle for 5
min
Connect and disconnect manually
Internet IP Address:
.
.
.
Primary DNS
.
.
.
Secondary DNS
.
.
.
DNS IP Address:
Modem:
Serial Line Speed:
115200
Modem Type
bps
Standard Modem
Modem Properties
Apply
Cancel
Configurer les paramètres de connexion indiqués par votre FAI (Account, Password, Telephone).
Cocher l'option Connect automatically pour permettre au routeur de composer automatiquement le numéro
de téléphone.
Saisir une durée en minute afin que le routeur se déconnecte automatiquement après un temps d'inactivité
déterminé (disconnect after idle for).
Configurer les paramètres du modem :
. Serial Line Speed : vitesse maximum de connexion du modem
. Modem Type : si le modem ne figure pas dans la liste choisir Standard Modem, si cela ne fonctionne pas
choisir User-defined et cliquer sur le bouton Modem Properties pour configurer les paramètres
correspondant à votre modem
Puis cliquer sur le bouton Apply pour valider les paramètres de configuration.
. WAN Setup
. Mode
WAN Mode
NAT
Classical Routing
Auto-Rollover
Primary WAN Port
Broadband ISP
Dialup ISP
Public DNS Server
Test Period is 30
seconds
Rollover after 2
failures
.
Apply
Cancel
- NAT (Network Address Translation)
Laisser configurer par défaut sur NAT (voir en 1) c)).
Configurer sur Dialup ISP (connexion bas débit analogique).
.
.
. WAN Setup
. Options
WAN Options
Dialup
MTU Size (in bytes)
Default
Port Speed
Custom 1500
AutoSense
Uplink Bandwidth
27
Router's MAC Address
Use Default Address
Use This Computer's MAC
Use This MAC Address
Apply
Cancel
Sélectionner Dialup (connexion bas débit analogique).
Laisser les paramètres de configuration par défaut.
b) Configuration d'une connexion Internet de secours via modem analogique (Auto-Rollover)
- Configurer la connexion Internet haut débit principale comme indiqué en 1) b).
- Configurer la connexion Internet bas débit de secours comme indiqué en 2) a).
Kbps
. WAN Setup
. Mode
WAN Mode
NAT
Classical Routing
Auto-Rollover
Primary WAN Port
Broadband ISP
Dialup ISP
✔
Public DNS Server
Test Period is 30
seconds
Rollover after 2
failures
.
Apply
Cancel
Configurer la connexion Internet haut débit (Broadband) comme connexion principale.
- Cocher l'option Enable Auto-Rollover.
.
.
Configuration de base Routeur
1) Activer le serveur DHCP
. Advanced
. LAN Setup
LAN IP Setup
LAN TCP/IP Setup
IP Address
192
. 168 . 1
IP Subnet Mask
255
. 255 . 255 . 0
.1
Multi Home LAN IPs Setup
RIP Direction
None
RIP Version
Disabled
Type of Authentication for RIP-2B/2M
None
MD5
DHCP
DHCP Log
Disable
DHCP Relay
Relay Gateway
.
.
.
DHCP Server
Starting IP Address
192
. 168 . 1
.2
Ending IP Address
192
. 168 . 1
. 254
.
.
WINS Server
Lease Time
.
24
Apply
Hours
cancel
Cocher l'option DHCP server.
Laisser tout le reste par défaut.
A noter qu'il est également possible de laisser un autre périphérique présent sur le réseau faire office de
serveur DHCP en lieu et place du FVS338.
Pour cela, il suffit de cocher l'option DHCP Relay et de saisir l'adresse IP local du périphérique faisant office
de serveur DHCP sur votre réseau.
A noter le bouton DHCP Log qui permet d'afficher la liste de toutes les adresses IP allouées sur votre
réseau local par le serveur DHCP du routeur.
2) Si nécessaire créer des sous réseaux
Cliquer sur le bouton Multi Home LAN IPs Setup.
Secondary LAN IP Setup
IP Address
Subnet mask
192.168.100.2
255.255.255.0
Add
Edit
Delete
Close
Cliquer sur le bouton Add.
Add/Edit Secondary LAN IP Address
IP Address
192
. 168
. 100
. 2
IP Subnet Mask
255
. 255
. 255
. 0
Back
Apply
Saisir un nouveau plan IP appartenant au même masque de sous réseau que le plan IP principal du
FVS338.
Puis cliquer sur le bouton Apply pour valider le nouveau sous réseau.
Vous pourrez ensuite affecter un groupe à chaque sous réseau, et par la suite bien sûr affecter des règles
de filtrage propres à chaque sous réseaux.
3) Créer des groupes de PC
. Security
. Groups and Hosts
Groups and Hosts
Known PCs and Devices
Name
IP Address
MAC Address
PC 1
192.168.1.2
00:00:00:00:00:01
default
PC 2
192.168.100.2
00:00:00:00:00:02
Marketing
Add
Apply
Cancel
Edit
Refresh
Group
Delete
Edit Group Names
Cliquer sur le bouton Edit Group Names.
Network Database Group Names
Group 1
default
Group 2
Marketing
Group 3
Sales
Group 4
Warehouse
Group 5
Support
Group 6
Lab1
Group 7
Lab2
Group 8
Others
Back
Apply
Cancel
Créer des groupes permettra par la suite d'appliquer des règles pare-feu spécifiques à chaque groupe ou
bien d'appliquer le blocage de sites seulement à certains groupes.
Simplement attribuer un nom à chaque groupe nécessaire, puis cliquer sur le bouton Apply.
4) Réservation d'adresse IP avec association d'adresse MAC
Réserver ensuite une adresse IP à chaque PC de votre réseau en cliquant sur le bouton Add.
Groups and Hosts Entry
Groups and Hosts Entry
Name:
PC 1
IP Address Type:
Reserved (DHCP Client)
IP Address:
192
MAC Address:
00:00:00:00:00:01
. 168 . 1
Back
Apply
.2
Cancel
Saisir le nom désiré (Name).
Configurer IP Address Type sur Reserved (DHCP Client) si l'adresse IP est attribuée par le serveur DHCP
du FVS338, si par contre la carte réseau du PC est configurée avec une adresse IP fixe sélectionner Fixed
(set on PC) et configurer impérativement la même adresse IP sur le FVS338.
Saisir l'adresse IP à attribuer (IP Address).
Entrer l'adresse MAC du PC correspondant (MAC Address).
Cliquer sur le bouton Apply et répéter l'opération pour chaque PC de votre réseau.
Réserver les adresses IP depuis le FVS338 présente plusieurs avantages :
1) Pas besoin de configurer chaque carte réseau de tous les PC du réseau en IP fixe (attribution IP
dynamique par défaut).
2) Du fait que chaque PC est associé à son adresse MAC, les utilisateurs ne peuvent pas outrepasser les
restrictions en changeant d'adresse IP.
3) Réserver une adresse IP depuis le FVS338 nous sera d'une grande utilité par la suite, pour définir les
règles du pare-feu ou identifier certains évènements sur le journal système du routeur.
5) Regroupement des PC par groupe
Affecter enfin chaque PC à un groupe à l'aide du menu déroulant Group de la liste Known PCs and Devices
(voir photo d'écran en 3)).
Puis cliquer sur le bouton Apply pour valider les paramètres de configuration Group and Hosts Entry.
Configuration Avancée
1) Le menu Security
. Groups and Hosts (voir photo d'écran dans la partie Configuration de base Routeur)
. Schedule
(définir de un à trois plannings utilisés par la suite avec le menu Rules)
Schedule
Schedule 1
Schedule 2
Schedule 3
Schedule 1 Configuration
Days:
✔
✔
Every Day
Sunday
✔
Monday
✔
Tuesday
✔
Wednesday
✔
Thursday
✔
Friday
✔
Time of day:
✔
All Day
Start Time
0
Hour 0
Minute AM
End Time
11
Hour 59
Minute PM
Date/Time
(GMT+01:00) Europe
✔
Automatically Adjust for Daylight Savings Time
Use Default NTP Servers
Use Custom NTP Servers
Server 1 Name/IP Address
time-g.netgear.com
Server 2 Name/IP Address
time-h.netgear.com
Current Time: 2005-03-12 19:32:39
Apply
Cancel
- Simplement définir de un à trois plannings par jours et/ou plages horaires.
Saturday
Il vous sera ainsi possible d'affecter un planning différent en fonction d'un ou plusieurs groupes de PC.
Exemple d'utilisation : un planning autorisant un accès Internet en semaine de 14H00 à 20H00 aux enfants,
et un second planning autorisant un accès Internet le Week end de 8H00 à 22H00 aux enfants.
- Date/Time (Fuseau Horaire) : (GMT+01:00) pour la France.
Si nécessaire cocher l'option Automatically Adjust for Daylight Savings Time pour ajuster l'heure indiquée
par le routeur de + ou - 1H en fonction de l'horaire d'été ou d'hiver.
Possibilité également d'utiliser l'adresse IP d'un serveur NTP de votre choix en activant l'option Use Custom
NTP Servers.
. Source MAC Filter (filtrage de la connexion Internet partagée par adresse MAC)
Source MAC Filter
✔
Enable Source MAC Address Filtering
MAC addresses to be Blocked
MAC Address
00:00:00:00:00:01
Add
Apply
Delete
Cancel
Refresh
Par défaut, le filtrage par adresse MAC est désactivé.
Chaque PC du réseau local peut bénéficier de la connexion Internet partagée.
En activant le filtrage par adresse MAC, chaque PC dont l'adresse MAC est bloquée sera privée de
connexion Internet.
Cocher l'option Enable Source MAC Address Filtering.
Source MAC to be Blocked
MAC Address:
00:00:00:00:00:01
Back
Apply
Cancel
Simplement saisir l'adresse MAC du PC à bloquer.
Cliquer sur le bouton Apply et recommencer l'opération pour chaque PC à bloquer.
Puis cliquer sur le bouton Apply pour valider les paramètres de configuration de la page Source MAC Filter.
. Block Sites
Block Sites
Web Components
Proxy
Java
ActiveX
Cookies
Keyword Blocking
✔
Turn keyword blocking on
Add Keyword
Block sites containing these keywords or domain names:
Delete Keyword
Apply Keyword Blocking to:
✔
default
✔
Marketing
Sales
Warehouse
Support
Lab1
Lab2
Others
Trusted Domains
Add Trusted Domain
Allow these domains without any filtering:
Delete All
Delete Trusted Domain
Delete All
Apply
Cancel
- Web Components
Cocher les composants Internet que vous souhaitez bloquer.
(Attention !, certains sites Internet ne s'afficheront plus correctement en bloquant ces composants)
. Proxy : bloque les serveurs Proxy.
. Java : bloque les applets Java.
. ActiveX : bloque les composants ActiveX utilisés par Internet Explorer et Windows Update.
. Cookies : bloque tous les Cookies.
- Keyword Blocking
Activer cette option permet de faire du filtrage de contenu des sites Internet (contrôle parentale, blocage des
pub, etc ...).
Le fonctionnement est assez simple :
. cocher l'option Turn keyword blocking on
. ajouter un à un dans la liste les mots clés ou nom de domaine (jusqu'à 32) que vous souhaitez voir bloquer
à l'aide du bouton Add Keyword
. cocher ensuite le ou les groupes de PC (Apply Keyword Blocking to:) pour lesquels le blocage de site doit
s'appliquer (default et Marketing dans mon exemple)
- Trusted Domains (nom de domaine de confiance)
Permet d'autoriser les noms de domaine de confiance, il suffit de saisir l'adresse exacte du nom de domaine
de confiance (www.netgear.com par exemple) à l'aide du bouton Add Trusted Domain.
Les sites de confiance ne tiendront pas compte du blocage par mot clé.
. Services
(pour créer des services supplémentaires qui seront ensuite utilisés avec le menu Rules)
Services
Custom Service Table
#
Name
Type
Priority
Ports (TCP or UDP)
1
BitTorrent
TCP
None
6881...7881
Add Custom Service
Cliquer sur le bouton Add Custom Service.
Edit Service
Delete Service
Services
Service Definition
Name:
BitTorrent
Type:
TCP
Start Port:
6881
Finish Port:
7881
Default QoS Priority:
None
Back
Apply
Cancel
Name : indiquer un nom au service à créer.
Type : TCP, UDP, TCP/UDP ou ICMP.
Start Port, Finish Port : plage de ports à autoriser (par exemple pour BitTorrent = 6881 à 7881).
Default QoS Priority : niveau de priorité QoS du service (pour en savoir plus voir la partie Quality of Service
un peu plus loin)
Puis cliquer sur le bouton Apply pour valider le nouveau service.
. Rules (Pare-feu)
Rules
Outbound Services
#
Enable
Service Name
Action
LAN Users
WAN Servers
Priority
Log
1
✔
Sasser
BLOCK always
default
Any
None
Never
Default
Yes
Any
Any
Any
None
Never
ALLOW always
Add
Edit
Move
Delete
Action
LAN Server IP address WAN Users Destination Priority
Inbound Services
#
Enable Service Name
1
✔
FTP
ALLOW Always
192.168.1.2
Any
Broadband
None
Never
Default
Yes
Any
BLOCK always
--
Any
Any
None
Always
Add
✔
Log
Edit
Move
Delete
Enable VPN Passthrough (IPSec, PPTP, L2TP)
Drop fragmented IP packets
✔
Block TCP flood
✔
Block UDP flood
✔
Enable DNS proxy
✔
Enable Stealth Mode
Respond to Ping on Internet Ports
Apply
Cancel
Par défaut, le pare feu bloque toutes les communications entrantes et autorise toutes les communications
sortantes.
- Outbound Services (services sortants)
Exemple d'utilisation : Bloquer un port sortant potentiellement dangereux utilisé par le ver Sasser.
Outbound Services
Service
Sasser
Action
BLOCK always
Select Schedule
Schedule 1
LAN Users
default
start:
.
.
.
finish:
.
.
.
WAN Users
Any
start:
.
.
.
finish:
.
.
.
QoS Priority
None
Log
Never
Back
Apply
Cancel
. Service : Any (service personnalisé crée en Service pour TCP et port 5554)
Toute une liste de service est déjà à votre disposition.
Un service correspondant à une application ou un protocole de communication déterminé (ex: HTTP, FTP,
NEWS ...).
Vous pouvez par la suite configurer vos propres services, Emule, BitTorrent, etc ... (voir plus haut en
Services)
. Action : BLOCK always
Vous avez aussi la possibilité de bloquer ou d'autoriser suivant l'un des trois plannings (Schedule)
paramétré plus haut (BLOCK by schedule,otherwise allow ou ALLOW by schedule,otherwise block).
. LAN Users : adresse IP du ou des PC de votre réseau local.
4 Possibilités :
- Any = bloquer tous les PC de votre réseau (pour bloquer un service déterminé par exemple).
- Single address = bloquer un PC déterminé.
- Address Range = bloquer plusieurs PC en configurant une plage d'adresses IP.
- par groupe = bloquer tous les PC appartenant à un groupe (dans mon exemple le groupe default).
. WAN Users : adresse IP Internet (pour tout bloquer (Any), une seule adresse IP (Single address) ou une
plage d'adresses IP (Address Range)).
. QoS Priority : niveau de priorité QoS du service (pour en savoir plus voir la partie Quality of Service un peu
plus loin)
. Log : pour choisir d'inscrire ou non l'évènement dans le journal.
Puis cliquer sur le bouton Apply pour valider la nouvelle règle.
A noter aussi la possibilité de modifier la règle par défaut autorisant toute communication sortante (ALLOW
always) pour au contraire bloquer toute communication sortante (BLOCK always).
- Inbound Services (services entrants)
Exemple d'utilisation : Ouvrir les ports nécessaires pour utiliser un client FTP (ce qui s'appelle du Port
Forwarding).
Inbound Services
Service
FTP(TCP:20..21) +None
Action
ALLOW always
Select Schedule
Schedule 1
192
Send to LAN Server
. 168 . 1
.2
Translate to Port Number
WAN Users
Any
Public Destination IP Address
start:
.
.
.
finish:
.
.
.
Broadband
.
.
QoS Priority
.
None
Log
Never
Back
Apply
Cancel
Le principe est exactement le même que pour Outbound Services.
. Send to LAN Server : adresse IP du PC de votre réseau local.
Il ne vous est par contre pas possible de configurer plusieurs IP pour le même service.
. Public Destination IP Address : sélectionner la provenance du flux entrant à autoriser, port WAN
(Broadband) ou port série (Dialup).
Puis cliquer sur le bouton Apply pour valider la nouvelle règle.
- Options
. Enable VPN Passthrough (IPSec, PPTP, L2TP) = activer cette option si besoin d'établir un Tunnel VPN
sans aucun filtrage
. Drop fragmented IP packets = pour bloquer les paquets IP fragmentés, en fonction de la qualité de votre
ligne ADSL il peut être nécessaire de laisser cette option désactivée
. Block TCP flood = activer cette option pour se protéger d'attaques de type DoS (Denial of Service) qui
vous inondent de requêtes
. Block UDP flood = activer cette option pour se protéger d'attaques de type DoS (Denial of Service) qui
vous inondent de requêtes
. Enable DNS proxy = activer cette option pour autoriser les requêtes DNS
. Enable Stealth Mode = activer cette option pour configurer le pare-feu en mode invisible
. Respond to Ping on Internet Ports = ne pas cocher cette option pour plus de sécurité
Puis cliquer sur le bouton Apply pour valider les paramètres de configuration Rules.
. Logs and E-mail
(pour recevoir périodiquement un journal système du routeur)
Logs and E-mail
View Log
Log Identifier
FVS338
Include in log
✔
✔
✔
Include in Alerts
✔
System Error Messages
SYN Flood
Deny Policies
Ping of Death
Allow Policies
IP Spoofing
✔
Content Filtering
Login Failure
Data Inspection
WinNuke
General Attacks
IP Option Attacks
Unavailable Policies
✔
Admin Login
Configuration Changes
Access Statistics
✔
All Websites and news groups visited
Verbose
E-mail Logs
Disable
Enable
✔
Respond to Identd from SMTP Server
E-mail Server Address:
mail.club-internet.fr
Return Mail Address:
[email protected]
Send To Mail Address:
[email protected]
✔
Authenticate with SMTP Server:
Login Plain
User Name:
CRAM-MD5
login
Password:
Syslog
Disable
Enable
Log Queue Length
64
(entries)
Log Threshold Time
24
( hours )
Alert Queue Length
8
(entries)
Apply
Cancel
- Log identifier = Saisir un identifiant permettant d'indiquer la provenance du journal système.
- Include in Log
Permet de configurer les évènements système que vous souhaitez que le routeur consigne dans un journal.
A noter les options les plus intéressantes :
. System Error Messages : messages d'erreur système
. General Attacks : tentatives d'intrusion
. Content Filtering : est utile uniquement si vous filtrer l'accès Internet de certains PC de votre réseau (Block
Sites)
. All Websites and news groups visited : pour visualiser l'intégralité des sites Internet et news groups visités
(à utiliser avec modération pour ne pas surcharger le journal)
. Admin login (connexions à l'interface Web du routeur) : permet de vérifier qui, sur le réseau local, accède
au menu de configuration de votre routeur (et donc au paramétrage)
- Include in Alerts
Permet de configurer les alertes de sécurité que vous souhaitez que le routeur consigne dans un journal
(attaques DoS connues et balayage de ports, flooding, etc ...).
- E-mail Logs
Cocher l'option Enable.
Puis configurer votre e-mail et le serveur d'envoi correspondant.
Si votre serveur SMTP requiert une identification, cocher l'option Authenticate with SMTP Server et
configurer vos identifiants.
- Syslog
Le laisser désactivé par défaut.
N'est utile que si vous souhaitez utiliser un serveur Syslog externe pour récupérer le journal du FVS338.
2) Le menu Management
. Router Status (voir photo d'écran dans la partie Préliminaires)
Cette page indique pas mal d'informations bien utile sur la configuration de votre routeur : version du
Firmware, adresse IP Internet attribuée, modem connecté ou non, etc ...
- Bouton Show Statistics
System Up Time 2 Days 13:21:43
Port
Broadband
LAN
Status
Up
Up
TxPkts
10642
4145
Poll Interval :
RxPkts
11496
2066
Collisions
0
0
Tx B/s
4657838
1399740
Rx B/s
1847497
249657
Set Interval
(secs)
Up Time
2 Days 13:21:43
2 Days 13:21:43
Stop
Quelques informations intéressantes concernant les différentes connexions du routeur (le temps de
connexion entre autres).
Broadband = Connexion Internet
LAN = Connexion Réseau Local
. Set Password
Set Password
User Name is Admin
Old Full Access Password
New Full Access Password
Repeat New Full Access Password
User Name is Guest
Old Read Only Password
New Read Only Password
Repeat New Read Only Password
Administrator login times out after idle for 5
minutes.
Apply
Cancel
Afin de modifier le mot de passe par défaut (=password) permettant d'accéder à l'interface de configuration
du routeur.
Pour une meilleure sécurité, il est vivement conseillé de systématiquement modifier ce mot de passe.
Compte admin = accès complet à l'interface de configuration
Compte guest = accès limité à l'interface de configuration (uniquement en lecture, pas possible de modifier
les paramètres de configuration)
. Remote Management
Remote Management
✔
Allow Remote Management
Allow remote access by:
Everyone (Be sure to change default password)
IP address range :
Only this PC:
Port Number:
From
.
.
.
To
.
.
.
.
.
.
8080
IP Address to connect to this device:
(Be sure to type "https", not "http")
0.0.0.0
Apply
Cancel
Permet d'accéder à l'interface de configuration de votre routeur depuis un poste distant via Internet.
- Cocher l'option Allow Remote Management.
- Autoriser l'accès distant à un seul ordinateur (Only this PC), une plage d'adresses d'IP (IP address range)
ou bien à n'importe quelle adresse IP (Everyone).
- L'adresse https pour accéder à votre routeur est indiquée en IP Address to connect to this device.
Elle est de la forme https://adresse IP Internet du routeur:8080 (8080 étant le port configuré par défaut pour
la gestion à distance).
- A noter que mettre en place une adresse Dynamic DNS (voir un peu plus bas) facilite grandement la
gestion à distance.
L'adresse https://nom de domaine.dyndns.org:8080 permettra d'accéder à l'interface de configuration du
routeur sans avoir besoin de connaître son adresse IP Internet à ce moment la.
. Diagnostics
Diagnostics
Ping or Trace an IP address
IP Address
.
.
.
Ping
Trace Route
Perform a DNS Lookup
Internet Name
Lookup
IP address
DNS Server: 000.000.0.00 000.00.00.000
Display the Routing Table
Display
Reboot the Router
Reboot
Capture Packets
Packet Trace
- Ping or trace an IP adress
Permet de tester la communication vers une adresse IP.
Equivalent à la commande Ping bien connue.
- Perform a DNS Lookup
Permet de convertir un nom de domaine Internet en adresse IP.
- Display the Routing Table
Permet d'afficher la table de routage interne du routeur.
- Reboot the Router
Permet de réinitialiser le routeur de façon logiciel, cela revient un peu à brancher et débrancher la prise
secteur.
Option intéressante car moins agressif pour l'électronique que de le débrancher du secteur.
- Capture Packets
Packet Trace
Interface
Start Capture
LAN
Export Packet Capture to PC
Back
Option très intéressante car elle permet de surveiller à la demande tout le traffic LAN ou WAN de votre
routeur et l'exporter dans un fichier.
Utile pour avoir une idée précise de ce qui se passe et déceler l'origine d'un problème en particulier sur le
réseau.
. Settings Backup
Settings Backup
Save a copy of current settings
Back Up
Restore saved settings from file
Parcourir...
Restore
Revert to factory default settings
Erase
Permet de sauvegarder, à l'aide du bouton Back Up, et restaurer, à l'aide du bouton Restore, la
configuration du routeur dans un fichier sur disque dur.
A noter aussi le bouton Erase qui permet de réinitialiser le FVS338 au paramétrage d'usine (exactement
identique que de faire un reset matériel avec le petit bouton situé à l'arrière du routeur).
. Router Upgrade (voir photo d'écran dans la partie Préliminaires)
Fonction indispensable pour mettre à jour le firmware du routeur.
3) Le menu Advanced
. LAN Setup (voir photo d'écran et explications dans la partie Configuration de base Routeur)
. Port Triggering
Port Triggering
Port Triggering Rules
#
Enable
Name
Outgoing Ports
Incoming Ports
1
Yes
IRC
6660-6669
113-113
Add
Edit
Delete
Status
Port Triggering Rule
Name
IRC
Enable
Disable
Outgoing (Trigger) Port Range
Start Port:
6660
(1~65534)
End Port:
6669
(1~65534)
Start Port:
113
(1~65534)
End Port:
113
(1~65534)
Incoming (Response) Port Range
Apply
Cancel
Le Port Triggering est une ouverture dynamique de ports symétrique ou asymétrique.
C'est utile lorsqu'une requête sortante nécessite une réponse en retour (requête entrante) sur un port
entrant différent du port sortant.
Exemple concret : IRC
Certains serveurs IRC (ports sortants entre 6660 et 6669 pour se connecter, Outgoing Start Port / Outgoing
End Port) demandent une authentification qui s'effectue par un retour sur le port entrant 113 (Incoming Start
Port / Incoming End Port).
(Un grand merci à Dwarf
pour son explication sur le Forum).
Précisions :
. un seul PC à la fois peut utiliser une application en Port Triggering
. une fois que le PC en question n'a plus besoin du Port Triggering pour l'application déterminée, il y a un
délai d'attente avant qu'un autre PC du réseau local puisse utiliser cette application en Port Triggering
(nécessaire car le Routeur ne peut pas être sûr que l'application soit toujours utilisée ou non par le premier
PC)
. le Port Triggering est en principe utile pour certains jeux en ligne et logiciels de messagerie instantanée
4) Le menu WAN Setup
. Broadband ISP (voir photo d'écran dans la partie Configuration de base Internet)
. Dialup ISP (voir photo d'écran dans la partie Configuration de base Internet)
. Mode (voir photo d'écran dans la partie Configuration de base Internet)
. Options (voir photo d'écran dans la partie Configuration de base Internet)
. Dynamic DNS
Dynamic DNS
Use a dynamic DNS service
None
DynDNS.org
Click here for information
TZO.com
Click here for free trial
Oray.net
Click here to register
Update every 30 days
DynDNS
Host and Domain Name
login.dyndns.org
example: yourname.dyndns.org
User Name
login
Password
Use wildcards
Apply
Cancel
Show Status
Permet d'affecter un nom de domaine DynDNS.org au routeur.
C'est une façon d'avoir un nom de domaine fixe tout en conservant le bénéfice d'une adresse IP dynamique.
Très utile pour mettre en place un serveur FTP ou faciliter la gestion à distance de votre routeur.
pour créer votre nom de domaine DynDNS :
Consulter le Tutorial de Petit Bill
http://www.netgear-forum.com/forum/index.php?showtopic=423
A noter également que le FVS338 permet aussi d'utiliser les services de nom de domaine TZO.com et Oray.
net.
. Traffic Meter (indicateur du volume de trafic Internet avec possibilité de limitation)
Traffic Meter
Broadband
Internet Traffic Meter
✔
Enable Traffic Meter
No limit
Download only
Both Directions
Monthly Limit
5000
0
Increase this month's limit by
This month's limit:
(MBytes)
(MBytes)
(MBytes)
Traffic counter
Restart traffic counter at 12 :
✔
pm
on the 1st
day of each month
Send E-mail Report before restarting counter
Restart Counter Now
When Limit is reached:
Block all traffic
Block all traffic except E-mail
✔
Send E-mail alert
Internet Traffic Statistics
Start Date/Time:
00:00:00 00:00:00
Outgoing Traffic Volume:
(MBytes)
Incoming Traffic Volume:
(MBytes)
Total Traffic Volume:
(MBytes)
Average per day
% of Standard Limit:
% of this Month's Limit:
Traffic by Protocol
Apply
Cocher l'option Enable Traffic Meter.
Cancel
Par défaut, aucune limitation de volume de trafic Internet n'est activée (No Limit), il est cependant possible
de limiter le volume du trafic Internet dans le sens entrant seulement afin de limiter le volume de
téléchargement (Download only) ou bien dans les deux sens entrant et sortant (Both Directions).
Spécifier ensuite le volume limite de trafic en MBytes en Monthly Limit.
A noter également qu'il est possible d'augmenter temporairement la limite mensuelle de volume en cochant
l'option Increase this month's limit by.
Déterminer ensuite la date et l'heure de remise à zéro du compteur de trafic à l'aide de l'option Traffic
counter (dans mon exemple tous les premiers jour du mois à midi).
L'option When Limit is reached permet ensuite de bloquer l'intégralité du trafic Internet lorsque le volume
limite mensuel est atteint (Block all traffic) ou bien de continuer à autoriser uniquement l'envoi / réception
d'E-Mail (Block all traffic except E-mail).
Cocher l'option Send E-mail Report before restarting counter si vous souhaitez recevoir un rapport par Email chaque fois que le compteur de trafic est remis à zéro.
Le cadre Internet Traffic Statitics ainsi que le bouton Traffic by Protocol permettent quand à eux de vous
indiquer quelques statistiques concernant le volume du trafic Internet.
Quality of Service (QoS)
Le paramétrage de la QoS, ou Qualité de Service, détermine un niveau de priorité de chaque service via le
trafic du pare-feu.
La QoS est configuré individuellement pour chaque service.
Chaque service dispose d'un niveau de priorité par défaut qu'il est possible de laisser inchangé.
Vous pouvez également modifier le niveau de priorité par défaut de chaque service : priorité moindre ou au
contraire plus élevée.
La QoS ne modifie pas la bande passante WAN.
Mais le mix du trafic via le port WAN est optimisé en octroyant à certains services un niveau de priorité
supérieur par rapport à d'autres.
Le niveau de priorité QoS des services peut être optimisé sur les menus de configuration suivants (voir en
Configuration Avancée) :
●
●
●
Security / Services / bouton Add Custom Service
Security / Rules / Outbound Services / bouton Add
Security / Rules / Inbound Services / bouton Add
L'option de configuration en question est facilement identifiable : QoS Priority.
Le niveau de priorité variant de la valeur None à la valeur 6.
None représentant le niveau de priorité le moins important, et 6 le niveau de priorité le plus élevé.
A noter que chaque service déjà pré configuré sur le FVS338 est paramétré avec un niveau de priorité par
défaut sur la valeur None (priorité la moins importante).
A vous donc d'optimiser le niveau de priorité QoS de chaque service afin de répartir au mieux l'utilisation de
la bande passante Internet sur votre réseau.
Les possibilités de configuration sont multiples :
●
●
●
Limiter la consommation de la bande passante allouée aux téléchargements (via les logiciels de P2P
par exemple), afin de conserver une qualité de navigation Internet suffisante sur l'ensemble du réseau
Limiter ou interdire la consommation de la bande passante allouée aux téléchargements à un ou
plusieurs PC bien précis de votre réseau local
Répartir la consommation de la bande passante en fonction des besoins spécifiques de chacun des
PC ou groupes de PC de votre réseau (PC destinés à un usage exclusif de navigation Internet et
consultation de mails, PC ayant besoin de faire du streaming vidéo via Internet ou tout autre activité
grosse consommatrice de bande passante, etc ...)
Configuration VPN
Le FVS338 peut gérer jusqu'à 50 tunnels VPN (Virtual Private Networking).
Un tunnel VPN permet une connexion sécurisée et cryptée entre votre réseau local, et un réseau local ou
un ordinateur distant.
Consulter mon Tutoriel VPN et Routeurs Netgear ici :
http://www.netgear-forum.com/Images/magicsam/Tutorial_VPN.htm

Tutoriel Routeur VPN FVS338

Transcription

Documents pareils

schéma IP.

Routeur VPN avec switch 4 ports 10/100Mbps Firewall D

GigaTribe

Notice de paramétrage Routeurs ZyXel

routeur free

Tutoriel Routeur VPN FVS114

Services - libobi.org

I. Branchement du routeur (vérification)

formulaire installateur terminal de paiement avec connexion internet