Manual de configuración FQR7200 del Firewall QNO

En este manual vamos a mostrar cómo configurar un FQR7200 con 2 WANS con opciones de balanceo, reglas de Q.o.S para mejorar el tráfico, restricciones para el usuario, gestión del firewall y gestión de grupos.

Manual de configuración FQR7200 del Firewall QNO

Estas características que ofrece el QNO FQR7200 hacen que sea un producto orientado a colegio, medianas empresas y entornos similares.

Grupo de PCS’1 IP,S de rango 30.x à 192.168.30.1 al 192.168.30.8

Grupo de PCS’2  IP,S de rango 40.x à 192.168.40.1 al 192.168.40.8

Se aprecian un grupo de PC’s de van a un Switch y de ahí al QNO. Éste a su vez tiene 2 WAN’S que le entran por sus entradas respectivas y que con ellas salen a Internet.

Configuración de entrada al dispositivo

Para acceder a la configuración debe configurarse la interfaz de red del PC para obtener una IP automáticamente.

Para obtener dirección dinámica hay que editar las propiedades TCP/IP y seleccionar la opción “Obtener una dirección IP automáticamente”.

Conecta el puerto LAN del QNO al puerto LAN del PC y después de unos segundos obtendrás una dirección IP.

En caso de GNU/Linux, se debería editar el archivo /etc/network/interfaces añadiendo si no están ya :

Auto eth0 à Donde eth0 es la interface de red, puede ser ethX.

Iface eth0 inet dhcp.

Y quitar la ip fija que existiera si la hubiere.

Una vez configurado para obtener una ip automática, entraremos al QNO.

Para ello, nos iremos a nuestro navegador favorito y pondremos:

http://192.168.1.1

Entraremos y pondremos como nombre de usuario y password admin/admin que es que trae el QNO por defecto.

Automáticamente entraremos en la pantalla de configuración del QNO.

Lo primero que haremos una vez dentro de la interface de configuración es cambiar el password que trae por defecto.

Este paso es muy importante que se haga, ya que si no se cambia el password que trae por defecto, el QNO no guarda los cambios de ningún parámetro.

Para ello nos dirigimos a System Tool >>  Password Setup

Y aquí procedemos a cambiar el password por uno nuevo, finalizando este proceso aplicando los cambios “Apply

Una vez hecho esto el QNO nos echará de la interface web y nos condicionará a volver a entrar pero esta vez con la nueva contraseña que hemos puesto.

Después en la pantalla de Home, no hay que tocar nada. Únicamente sirve de monitorización del estado de las WAN’S o reglas y políticas que tienes activadas

Configurando la Red

Una vez realizado esto procedemos a configurar la red.

En ella le tenemos que asignar una IP fija al QNO para que no entre en conflicto, con otros dispositivos de la red existente, y crear dos subredes para los distintos grupos de PC’s.

Entramos en la pestaña de NetWork Connection :

Después de cumplimentar respectivamente los campos de HostName y Domain Name, en este caso con QNO y smb.com.

Haremos Click Unified IP Management para configurar las 2 subredes de los Pc’s.

Una vez dentro de esta pestaña definiremos la IP que le vamos a otorgar a la parte LAN del QNO.

En este caso en LAN Setting pondremos como :

  • Device IP Address : 192.168.0.254
  • Subnet Mask : 255.255.255.0

En este caso vamos a usar el rango 192.168.0.X como rango para aplicarlo a la parte LAN del QNO.

Nota : Este rango suele ser utilizado por los routers convencionales por defecto, es importante que los dispositivos no estén dentro de un mismo rango para que no se produzca conflicto.

Una vez le hemos cambiando la IP de la parte Lan, procedemos a configurar las 2 subredes antes de reiniciar el QNO para entrar con nuestra nueva IP.

Para ello Activamos la casilla de Multiple Subnet

  • Lan IP Adress : 192.168.30.1
  • Subnet Mask: 255.255.255.0

Y hacemos click en “Add to list”.

Después definimos la segunda subred:

  • Lan IP Adress : 192.168.40.1
  • Subnet Mask: 255.255.255.0

Y hacemos click en “Add to list”

Después podemos activar el Servidor DHCP, si lo requerimos o no. En este caso no lo vamos a activar asi que dejaremos esta opción sin activar. Ya que esta función estaría gestionada por otro elemento en la red.

Aplicamos cambios y se reiniciará el QNO, ya que hemos cambiado el rango LAN.

Ahora para volver a entrar, tendremos que apuntar a la IP que pusimos en Device IP Address.

Una vez hemos vuelto a entrar, volvemos a la pestaña de NetWorK Connection para configurar las WAN’S.

Nota : En la interfaz USB, se podría añadir un router Honewey 3G que podría utilizarse como Failover en caso de fallo de las WAN’S.

La WAN 1 la vamos a definir como Static IP

  • IP : 192.168.1.88
  • SUBNET MASK : 255.255.255.0
  • DEFAULT GATEWAY : 192.168.1.1 (IP QUE HAGA DE PUERTA ENLANCE)
  • DNS-SERVER : 8.8.8.8

Nota : Para gestionar el dispositivo desde fuera, tendremos que ir previamente a Firewall >> General Policy >> Enabled |Remote Management.

Acto seguido en la misma pestaña de configuración de la WAN1, tienes la opción para gestionar la WAN en una franja horaria, o para definir si se requiere hacer BACKUP de la misma. Por ejemplo en una oficina de 8:00 a 21:00

Definimos la segunda WAN2

  • IP : 192.168.2.88
  • SUBNET MASK : 255.255.255.0
  • DEFAULT GATEWAY : 192.168.2.1
  • DNS-SERVER : 8.8.8.8

Balanceo de Wan’s

Por defecto el QNO trae la opciones de autobalanceo entre WANS, éstos ajustes y niveles de carga del tráfico se pueden definir en la pestaña | Network >> Traffic Management.

Se configurar el balanceo de carga, para que cuando el trafico estuviera a un nivel entrara en juego la otra WAN. Se podría hacer a nivel de sesiones o a nivel de ip entre otras.

Internet Filter

Bien, una vez hemos configurado las WAN’S.

Podemos empezar a aplicar algunos Filtros que trae el QNO.

Internet Filter

Aquí podemos activar una serie de restricciones para el navegador o a nivel aplicaciones. Bloqueo de Applets de Java para que no puedan jugar a juegos Java.

O Bloqueo del MSN para que los usuarios en el trabajo no puedan utilizarlo.

También podemos añadir excepciones a nivel ip, para que éstas políticas no les afecten.

Del mismo modo, podemos activar filtro para la descarga de archivos. Por si queremos bloquear .EXE y Flash para garantizar de que no se ejecuten archivos con código malicioso en nuestros PC’s.

Como antes podemos añadir excepciones a nivel IP.

En esta pestaña se muestra información sobre el router 3G pinchado en la ranura USB, entre otras cosas muestra el nivel de señal que está teniendo el modem 3G.

Y ofrece la posibilidad de gestionarlo para añadirle funciones de backup de la WANX o que entre en juego en modo balanceo a partir de una fecha determinada.

Hardware Optimization

En esta opción podemos priorizar la CPU del QNO y poner a disposición todos sus recursos para optimizar la gestión del trafico sobre una determinada IP, MAC o SERVICIO.

Esto es útil en Cibercafés o usuarios que juegan a videojuegos o ven  videos y provocan un trafico muy denso que suele derivar en ‘lag’ y desconexiones que afectan al resto de usuarios.

Explico brevemente las opciones :

  • Mac Address: Source MAC Address: Aquí el QNO optimizará sus recursos cuando verifique que el trafico viene de esa fuente MAC.
  • Mac Adress: Destination Adress: El QNO priorizará cuando corroboré que el destino es esa MAC.

En caso IP Address, funciona del mismo modo pero a nivel IP.

También podríamos hacer con los puertos únicamente.

Por ejemplo, imaginemos que tenemos el juego Wifisafe S.L que utiliza los puertos 4549 TCP/UP y el puerto 2877 TCP/UDP.

Para obtener una mayor rendimiento del QNO sobre éste puerto y aplique toda su potencia deberíamos crear 4 reglas. Una definida para cada puerto y protocolo.

Es decir, puerto 4549 TCP | puerto 4549 UDP | puerto 2877 TCP | PUERTO 2877 UDP

Añadimos el protocolo, el nº del puerto, activamos la casilla Enable y Add to List.

Luego aplicamos cambios y listo.

1.8 Q.O.S Y Grupos

Aquí vamos a definir unos grupos de ip’s a los cuales vamos aplicarles una política de ancho de banda determinada.

El Q.o.S son una serie de reglas que sirven para asignar un determinado ancho de banda de subida y bajada o sobre un servicio.

En el QNO podemos asignarlas mediante ip’s o mediante grupos.

Nosotros lo haremos de las dos formas.

Primeramente crearemos un grupo que se llamará “ROCK” el cual tendrá comprendidos los 4 pc's del grupo 1 en la figura 1.1

Para ello nos vamos a:

  • Group Management >> Local Ip Group >>
  • En Name: LOS SUAVES.
  • IP ADDRESS: 192.168.40.1 to 8

Esto comprende el rango desde la 192.168.40.1 al 192.168.40.8.

Y apretamos a la te cla Add to IP List.

Luego acto seguido, para crear el grupo apretamos a la tecla Add Group.

Después abajo, en Group Name : Ponemos el nombre del grupo, en este caso ROCK.

Group Name: ROCK.

Y apretamos a Apply

Entonces ya tendremos el grupo ROCK creado y nos figurará arriba a la derecha.

Ahora tenemos que pasar el rango de IP al grupo ROCK, para ello:

Seleccionaremos el rango de ip y apretaremos a la tecla |>>>>|

Aplicamos los cambios y listo, ya tendremos el grupo ROCK, con el rango 192.168.1.40 -8.

Bien en “The Maximum Bandwith provided by ISP”

Definiremos el ancho de banda Maximo que nos otorga nuestro ISP para cada WAN, en nuestro caso lo dejaremos en 10.000 KBits.

Quality of Service

Aquí definiremos las reglas de ancho de banda.

Podemos seleccionar la WAN que queremos aplicar.

En nuestro caso vamos asignar una política de ancho de banda de bajada limitada a 50 Kbit/sec de bajada para todo el grupo.

Tal y como muestra la figura de abajo.

Interface: WAN1

Service : En este caso vamos a limitarlo para todo el trafico, pero podríamos hacerlo sobre un servicio determinado, y si no existiera en la lista, se podría crear en Advanced Functions.

IP GROUP à Seleccionamos nuestro grupo “ROCK” que comprende el rango ip’s que he anteriormente hemos definido. No obstante si quisiéramos hacerlo sobre una ip exclusiva podríamos hacerlo también.

Direction : Aquí definimos donde queremos aplicar la regla, subida, bajada, subida en lan, bajada en lan…

Mini Rate : El mínmo ancho de banda, en este caso 50.

Max Rate : El máximo de ancho de banda, en este caso 50.

Por último hacemos click en Share total bandwith. (Asignación del ancho de banda sobre todas las ip, la otra opción sería especificada por cada IP)

Y activamos la pestaña de Enabled.

Y nos aparecerá la regla abajo como aquí:

Al igual, que en el Internet Filter, también podemos agregar excepciones de IP, para que no se le aplique ningún tipo de regla de Q.o.S independientemente en la WAN  que esté.

1.9 Firewall

Desde WifiSafe recomendamos a todos los usarios del QNO, que tengan activadas todas las casillas de este apartado.

Si desactivas la principal * Firewall"

Ésta hace que todas las casillas se desactiven.

SPI : Es un algoritmo de análisis de paquetes, se suele basar en la cabecera de los paquetes y ésta es la base  de la prevención de Virus ARP.

D.o.S : Bloquea el trafico masivo por el protocolo no orientado, UDP.

Remote Management: Para poder administrar el QNO de forma remota, es muy útil, pero hay gente que prefiere tenerlo desactivo y sólo poder entrar desde la LAN. Cada administrador elige la opción que más le conviene.

Prevent ARP Virus Attack : Se basa en un ataque sobre las tablas ARP, ya que la mayoría de asociaciones de la IP a la MAC son dinámicas, sobrescribiendo ésta podrían hacerse pasar por otra persona.

2.0 Advanced Function

En esta pestaña nos encontramos con las siguientes opciones.

DMZ/Forwarding.

Aquí podemos encontrar entre otras opciones para redirigir un trafico de una ip privada a una ip pública.

Por ejemplo, supongamos que tenemos un servidor ftp en la ip 192.168.40.7.

Pues en el forwarding.

Aplicaríamos cambios y listo. Con esta regla conseguiríamos que nada mas apuntar a esa ip, estaríamos apuntando a la ip y el puerto.

Por tanto su pusiéramos en el navegador 192.168.40.7 o su ip publica redirigiría por ese puerto, en este caso el 21 correspondiente a los ftp servers por defecto.

Luego Tenemos varias opciones UPNP SETUP,  donde podríamos crear un servicio y hacer que el trafico que entra por un puerto salga por el otro. Y opciones como Routing Setup, One to One NAT, DDNS Setup o MAC CLONE, las cuales para más detalles se puede consultar el manual oficial del QNO.

Por defecto los QNO usan el modo NAT por defecto, no se necesita configurar nada.

Por ejemplo el One to One NAT se suele utilizar para mapear ip’s publicas a ip’s internas de rango privados.

2.1 System Tool

En esta pestaña lo más importante que deberíamos tener en cuenta es el System Time.

Esto es esencial para indicarle al QNO en que mundo vive.

Recordemos que sin haber modificado el password por defecto los cambios no se guardan, esto se hace en Password Setup.

También existen opciones de Backup, para salvar la configuración del QNO o su respectiva actualización de firmware en “Firmware Upgrade”.

2.2 Logs.

Aquí se puede monitorizar todo el tema de los Logs que genera el  QNO.

Se podrían enviar a través de SMS con el modem 3G, en la opción SEND SMS.

Así como si tuviéramos un servidor syslog podríamos activarlo en la opciones  >> Enable Syslog.

En este apartado convendría marcar todos los logs, ya que toda información es poca cuando se trata de administrar nuestra red.

Syn Flooding, Ip Spoofing, Win Nuke, Ping of Death, Unauthorized Login Attemp

WifiSafe se dirige a profesionales, pequeñas y medianas empresas, grandes organizaciones y compañías o administraciones públicas, como una alternativa de solución segura y profesional.

CONOCE NUESTROS PRODUCTOS Y SOLUCIONES WIRELESS
.

Para obtener más información, ponte en contacto con el Departamento de Soporte 807 450 005 o el Departamento de Pedidos 902 506 100 o envía un correo electrónico a info@wifisafe.com

PRODUCTOS Y SOLUCIONES WIRELESS