Быстрый старт VyOS - Настройка NAT-шлюза за 10 минут

Данное руководство поможет быстро настроить базовую конфигурацию VyOS в качестве NAT-шлюза с двумя сетевыми интерфейсами.

Предварительные условия

После установки VyOS войдите в систему используя учетные данные по умолчанию:

Username: vyos
Password: vyos

Режим конфигурации

Для внесения изменений в конфигурацию необходимо войти в режим конфигурации:

vyos@vyos:~$ configure
[edit]
vyos@vyos#

Обратите внимание, что приглашение командной строки изменилось с $ на #, что указывает на нахождение в режиме конфигурации.

Команды commit и save

commit - применяет изменения конфигурации
save - сохраняет конфигурацию на постоянной основе

Важно: Изменения в конфигурации не вступят в силу, пока не будет выполнена команда commit.

Конфигурация интерфейсов

WAN интерфейс (eth0)

Настройка внешнего интерфейса для получения IP-адреса через DHCP:

set interfaces ethernet eth0 address dhcp
set interfaces ethernet eth0 description 'WAN'

LAN интерфейс (eth1)

Настройка внутреннего интерфейса со статическим IP-адресом:

set interfaces ethernet eth1 address '192.168.0.1/24'
set interfaces ethernet eth1 description 'LAN'

Настройка SSH

Включение SSH для удаленного управления:

set service ssh port 22

Конфигурация DHCP и DNS

DHCP сервер

Настройка DHCP-сервера для внутренней сети:

set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 option default-router '192.168.0.1'
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 option name-server '192.168.0.1'
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 option domain-name 'internal-network'
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 range 0 start '192.168.0.9'
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 range 0 stop '192.168.0.254'
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 subnet-id 1

Параметры:

default-router: Шлюз по умолчанию для клиентов
name-server: DNS-сервер для клиентов
domain-name: Доменное имя
range: Диапазон выдаваемых IP-адресов (192.168.0.9 - 192.168.0.254)
lease: Время аренды адреса (по умолчанию 86400 секунд)

DNS forwarding

Настройка DNS-пересылки:

set service dns forwarding listen-address '192.168.0.1'
set service dns forwarding allow-from '192.168.0.0/24'

Конфигурация NAT

Настройка Source NAT для доступа внутренней сети в интернет:

set nat source rule 100 outbound-interface name 'eth0'
set nat source rule 100 source address '192.168.0.0/24'
set nat source rule 100 translation address 'masquerade'

Параметры:

rule 100: Номер правила
outbound-interface: Исходящий интерфейс (WAN)
source address: Адреса источника (внутренняя сеть)
masquerade: IP-маскарадинг (замена адреса источника на адрес WAN-интерфейса)

Конфигурация межсетевого экрана

VyOS 1.5.x использует nftables в качестве backend для firewall.

Настройка групп адресов

Создание группы адресов для внутренней сети:

set firewall group address-group LAN-NETWORKS address '192.168.0.0/24'

Правила для входящего трафика (eth0 → router)

Создание правил для защиты самого маршрутизатора:

set firewall ipv4 input filter default-action 'drop'
set firewall ipv4 input filter rule 10 action 'accept'
set firewall ipv4 input filter rule 10 state established
set firewall ipv4 input filter rule 10 state related
set firewall ipv4 input filter rule 20 action 'drop'
set firewall ipv4 input filter rule 20 state invalid
set firewall ipv4 input filter rule 30 action 'accept'
set firewall ipv4 input filter rule 30 protocol 'icmp'
set firewall ipv4 input filter rule 40 action 'accept'
set firewall ipv4 input filter rule 40 source group address-group 'LAN-NETWORKS'

Логика правил:

default-action drop: Блокировка всего трафика по умолчанию
rule 10: Разрешение established/related соединений
rule 20: Отбрасывание invalid пакетов
rule 30: Разрешение ICMP (ping)
rule 40: Разрешение трафика из внутренней сети

Правила для транзитного трафика (eth0 → eth1)

Создание правил для трафика, проходящего через маршрутизатор:

set firewall ipv4 forward filter default-action 'drop'
set firewall ipv4 forward filter rule 10 action 'accept'
set firewall ipv4 forward filter rule 10 state established
set firewall ipv4 forward filter rule 10 state related
set firewall ipv4 forward filter rule 20 action 'drop'
set firewall ipv4 forward filter rule 20 state invalid
set firewall ipv4 forward filter rule 30 action 'accept'
set firewall ipv4 forward filter rule 30 source group address-group 'LAN-NETWORKS'

Применение конфигурации

Применение и сохранение изменений:

commit
save

После выполнения этих команд базовая конфигурация NAT-шлюза готова к работе.

Усиление безопасности

Замена пользователя по умолчанию

Создание нового пользователя с правами администратора:

set system login user admin authentication plaintext-password 'secure_password'
set system login user admin authentication public-keys user@host key 'AAAAB3Nz....'
set system login user admin authentication public-keys user@host type 'ssh-rsa'

Удаление пользователя по умолчанию:

delete system login user vyos

Отключение парольной аутентификации

Для повышения безопасности рекомендуется использовать только аутентификацию по SSH-ключам:

set service ssh disable-password-authentication

Не забудьте применить изменения:

commit
save

Проверка конфигурации

Проверка состояния интерфейсов:

show interfaces

Проверка таблицы маршрутизации:

show ip route

Проверка NAT:

show nat source rules
show nat source statistics

Проверка правил firewall:

show firewall

Просмотр активных DHCP-аренд:

show dhcp server leases

Следующие шаги

После настройки базовой конфигурации можно переходить к более сложным задачам:

Настройка VPN (WireGuard, OpenVPN, IPsec)
Конфигурация протоколов динамической маршрутизации (BGP, OSPF)
Настройка QoS и политик трафика
Конфигурация высокой доступности (VRRP)
Интеграция с системами мониторинга

Подробнее об этом читайте в разделах Конфигурация и Руководство администратора .

Документация VyOS Установка VyOS и управление образами