说明: 本环境使用vmware虚拟的esxi环境.
环境:
ESXi version: 6.7
ROS version: 6.45.8
ESXi IP: 192.168.2.9 管理地址, 网关192.168.2.2
vmware安装esxi使用nat网络,并添加2个网卡,具体安装过程略.
winbox version: 3.22
ROS添加两个网卡,一个为外网,一个为内网.
外网IP: 192.168.2.10
内网: 192.168.3.1
ESXi网络配置:
1. 添加标准交换机,网络-》虚拟交换机-》添加标准虚拟交换机,命名为vSwith1作为虚拟主机的网络
2. 创建端口组LAN用于连接内网虚拟主机,网络-》端口组-》添加端口组,虚拟交换机选择上一步创建的vSwitch1,默认vmnic0网卡上的VM Network作为公网出口。
3. 配置内网管理端口组并设置内网管理端口IP地址
交换机配置静态路由:
ip route-static 0.0.0.0 0 192.168.2.2
ip route-static 192.168.3.0 24 192.168.2.10
ROS安装:
1. 下载CHR平台的ova模板后导入esxi中.
2. ros设置两个网卡,cpu,内存根据需要调整,我这边是做功能测试的没有调整。
启动ros并连上控制台后输入用户名admin,默认密码为空,并输入/int print查看网络接口情况,这里name已经修改过了,默认的应该是ether1,ether2吧.
将ether1作为外网口,ether2作为内网口,设置外网口ip地址:
ip address add address=192.168.2.10/24 interface=ether1 #设置WAN口IP地址为192.168.2.10,掩码为24
ip route add gateway=192.168.2.2 #设置默认网关为192.168.1.1
删除IP命令:
[admin@MikroTik] >/int print
[admin@MikroTik] >ip address remove [0]
设置完成后可以通过web或winbox连接ros了.
进入后先设置密码, old password为空,填入新密码点击change即可.
修改网卡名称方便识别,当然也可以不改。
将ether1修改为WAN, ether2修改为LAN.
设置LAN所属网段及网关地址, IP–> address
添加完成后如下所示:
设置DNS,IP –> dns
说明:
勾选Aloow Remote Requets时会占用大量的外网带宽,同时也会引起dns攻击一般不需要勾选。
设置防火墙IP–> firewall,设置snat主虚拟主机可以上网。
如下新创建的虚拟机(网络选择LAN)可以ping通外网
添加DNAT实现外网可以访问内网服务:
IP–>Firewall点击加号Chain选择dstnat, Dst.Address设置ros的外网地址,Protocol选择6(tcp),
Dst.Port这里是外网访问端口,多个端口写法22,80,443
在Action页面
Action选择dst-nat
To Addresses为内网服务地址
To Ports为内网服务端口
添加完成如下所示:
设置Filter Rules
IP–>Firewall–>Filter Rules
添加完成如下所示:
设置完成可以测试下,如果可以看到内网服务则配置成功,这里内网服务器已安装nginx:
IP-Services关闭除了winbox服务外的所有其他服务:
