vyOS là tường lửa miễn phí và mã nguồn mở dựa trên Debian Linux. vyOS có thể được triển khai trong cả ảo hóa và đám mây, nó hỗ trợ KVM, VMWare, Proxmox, Hyper-V, Nutanic, Xen, v.v. vyOS có thể được sử dụng như một nền tảng bộ định tuyến và tường lửa, nó cung cấp định tuyến mạng dựa trên phần mềm, tường lửa, VPN và bảo mật.
Trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách cài đặt và cấu hình bộ định tuyến vyOS trong máy ảo KVM.
Trong hướng dẫn này, bạn sẽ tạo máy ảo vyOS bằng virt-manager GUI ứng dụng.
Mở ứng dụng virt-manager của bạn và tạo một máy ảo mới.
Chọn tùy chọn để cài đặt từ ảnh ISO phương tiện và nhấp vào Chuyển tiếp.
Chọn tệp ISO của vyOS và chọn hệ điều hành để cài đặt vào Debian 11 và nhấp vào Chuyển tiếp.
Nhập kích thước bộ nhớ cho vyOS và CPU, sau đó nhấp vào Chuyển tiếp.
Nhập kích thước đĩa để cài đặt vyOS và nhấp vào Chuyển tiếp.
Đổi tên thành vyos và đối với lựa chọn Mạng, chọn NAT mặc định và nhấp vào Kết thúc.
Bây giờ bạn đã tạo máy ảo cho vyOS.
Khởi động máy ảo vyos và khi máy hoạt động, bạn sẽ thấy màn hình sau.
Chọn Trực tiếp (amd64-vyos) và nhấn ENTER.
Sau khi máy hoạt động, hãy đăng nhập bằng người dùng mặc định vyos và mật khẩu trống.
Để cài đặt vyOS trên máy ảo, hãy nhập dòng lệnh bên dưới.
Bây giờ bạn sẽ thiết lập phân vùng và mật khẩu cho vyOS.
Để hoàn tất cài đặt vyOS, bạn sẽ cài đặt GRUB.
Trình cài đặt vyOS sẽ tự động phát hiện đĩa của bạn để cài đặt GRUB. Trong ví dụ này, đĩa là /dev/vda, bây giờ hãy nhấn ENTER để xác nhận cài đặt GRUB.
Sau khi cài đặt GRUB hoàn tất, hãy chạy lệnh reboot để khởi động lại máy ảo vyOS của bạn.
Dưới đây là GRUB của máy ảo vyOS.
Bây giờ hãy đăng nhập bằng người dùng mặc định là vyos và nhập mật khẩu của bạn. Dưới đây bạn đã cài đặt thành công vyOS trên ảo hóa KVM.
Cấu hình vyOS hiện tại đang sử dụng mạng mặc định trên loại ảo hóa KVM NAT.
Bây giờ bạn sẽ tạo một mạng ảo mới trên ảo hóa KVM và đính kèm mạng ảo vào máy ảo vyOS.
Trên Mạng Cài đặt virt-manager, nhấp vào nút + để thêm Mạng mới.
Nhập tên và cấu hình mạng chi tiết như bên dưới.
Bây giờ hãy tắt máy ảo vyOS của bạn và mở cấu hình chi tiết của máy ảo vyOS, nhấp vào nút Thêm phần cứng để thêm giao diện mạng mới.
Chọn "Mạng" và "Nguồn mạng" thành "nội bộ: Mạng bị cô lập". Bây giờ hãy nhấp vào Hoàn tất.
Bây giờ hãy khởi động lại máy ảo vyOS để bắt đầu cấu hình mạng vyOS.
Đăng nhập vào bộ định tuyến vyOS của bạn bằng người dùng vyos và mật khẩu mạnh của bạn.
Bây giờ hãy chạy lệnh configure để bắt đầu chế độ cấu hình trên vyOS.
Kiểm tra các giao diện mạng khả dụng trên vyOS bằng lệnh sau.
Như bạn có thể thấy trên ảnh chụp màn hình bên dưới, trong ví dụ này, chúng ta có hai giao diện mạng eth0 và eth1.
Ngoài ra, bạn sẽ nhận thấy khi vào chế độ chỉnh sửa, bạn sẽ thấy [edit] trên tên máy chủ vyOS. Ngoài ra, bạn sẽ nhận thấy sự khác biệt khi vào chế độ chỉnh sửa, shell được đổi thành user@hostname#, thay vì user@hostname:~$.
Đầu tiên, bạn sẽ cần quyết định giao diện nào sẽ được sử dụng làm EXTERNAL/WAN và giao diện nào sẽ được sử dụng làm INTERNAL/LAN.
Trong ví dụ này, giao diện EXTERNAL/WAN sẽ là eth0 và INTERNAL/LAN sẽ là giao diện eth1.
Trong ví dụ này, eth0 sẽ nhận được địa chỉ IP 192.168.100.15. Ngoài ra, bạn sẽ thiết lập định tuyến tĩnh cho eth0 đến máy chủ KVM trên địa chỉ IP 192.168.100.1.
Sau mỗi lần thay đổi, hãy chạy lệnh commit để áp dụng cấu hình mới, sau đó chạy save để lưu các thay đổi mới.
Chạy lệnh sau để thiết lập địa chỉ IP cho eth1 thành 192.168.50.10 và thêm mô tả cho giao diện eth1 vào LAN. Bây giờ hãy xác nhận cấu hình và lưu các thay đổi.
Tiếp theo, chạy lệnh bên dưới để tạo quy tắc NAT mới cho giao diện LAN eth1 địa chỉ IP 192.168.50.0/24.
Bạn sẽ tạo NAT đi mới cho địa chỉ IP eth1 192.168.50.0/24 đến giao diện EXTERNAL/WAN eth0. Kiểu NAT ở đây là masquerade, sau đó commit những thay đổi mới và lưu cấu hình mới.
Chạy lệnh sau để thiết lập dịch vụ chuyển tiếp DNS. Trong ví dụ này, dịch vụ DNS sẽ chạy trên địa chỉ IP LAN 192.168.50.10 và cho phép truy cập từ mạng nội bộ eth1. Sau đó cam kết cấu hình và lưu các thay đổi.
Tiếp theo, hãy định nghĩa bộ chuyển tiếp cho dịch vụ DNS. Trong ví dụ này, chúng tôi sẽ sử dụng Cloudflare và Google public DNS làm bộ chuyển tiếp.
Chạy lệnh sau để thiết lập bộ chuyển tiếp DNS cho Cloudflare và Google DNS. Sau đó xác nhận các thay đổi và lưu cấu hình.
Bây giờ hãy chạy lệnh bên dưới để thay đổi DNS vyOS thành máy chủ DNS cục bộ 192.168.50.10. Sau đó cam kết các thay đổi và lưu cấu hình.
Để xác minh cấu hình mạng, hãy chạy lệnh sau để ping internet.
Nếu cấu hình mạng của bạn chính xác, bạn sẽ có thể ping internet bên ngoài mạng.
Tiếp theo, hãy chạy lệnh bên dưới để kiểm tra các giao diện mạng chi tiết.
Bây giờ bạn sẽ thấy địa chỉ IP chi tiết cho Giao diện eh0 và eth1.
Để kiểm tra các quy tắc NAT, hãy chạy lệnh sau.
Bây giờ bạn sẽ nhận được kết quả đầu ra sau. Quy tắc nat số 100 gõ NAT ra ngoài đến giao diện eth0 và nguồn là mạng eth1.
Tiếp theo, hãy chạy lệnh sau để kiểm tra dịch vụ chuyển tiếp DNS.
Bạn sẽ nhận được kết quả đầu ra như sau. Dịch vụ chuyển tiếp DNS đang chạy trên giao diện eth1 192.168.50.10 và sử dụng máy chủ DNS công cộng Cloudflare và Google làm bộ chuyển tiếp.
e
Chỉnh sửa cấu hình mạng /etc/netplan/01-netcfg.yaml.
Sao chép cấu hình sau để thiết lập địa chỉ IP tĩnh cho hệ thống Ubuntu.
Lưu và đóng tệp khi bạn hoàn tất.
Bây giờ hãy áp dụng các thay đổi mới bằng lệnh netplan bên dưới.
Sau đó, hãy xác minh địa chỉ IP trên hệ thống Ubuntu và xác minh bảng định tuyến của mạng Ubuntu.
Bên dưới, bạn có thể thấy hệ thống Ubuntu có địa chỉ IP tĩnh chính xác 192.168.50.100 với cổng mặc định của địa chỉ IP vyOS 192.168.50.10.
Bây giờ hãy chạy lệnh ping bên dưới để xác minh kết nối với bộ định tuyến vyOS.
Dưới đây, bạn có thể thấy máy khách Ubuntu có thể kết nối với bộ định tuyến vyOS.
Tiếp theo, hãy chạy lệnh bên dưới để kiểm tra kết nối với internet.
Dưới đây, bạn có thể thấy hệ thống Ubuntu có thể kết nối với internet thông qua bộ định tuyến vyOS.
Trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách cài đặt và cấu hình bộ định tuyến vyOS trong máy ảo KVM.
Điều kiện tiên quyết
- Hệ thống Linux có ảo hóa KVM
- Tệp ISO của vyOS
- Máy khách Linux
Tạo máy ảo vyOS
Để tạo máy ảo mới cho vyOS, bạn có thể sử dụng chế độ dòng lệnh từ thiết bị đầu cuối hoặc sử dụng ứng dụng GUI bằng virt-manager.Trong hướng dẫn này, bạn sẽ tạo máy ảo vyOS bằng virt-manager GUI ứng dụng.
Mở ứng dụng virt-manager của bạn và tạo một máy ảo mới.
Chọn tùy chọn để cài đặt từ ảnh ISO phương tiện và nhấp vào Chuyển tiếp.
Chọn tệp ISO của vyOS và chọn hệ điều hành để cài đặt vào Debian 11 và nhấp vào Chuyển tiếp.
Nhập kích thước bộ nhớ cho vyOS và CPU, sau đó nhấp vào Chuyển tiếp.
Nhập kích thước đĩa để cài đặt vyOS và nhấp vào Chuyển tiếp.
Đổi tên thành vyos và đối với lựa chọn Mạng, chọn NAT mặc định và nhấp vào Kết thúc.
Bây giờ bạn đã tạo máy ảo cho vyOS.
Cài đặt Bộ định tuyến vyOS
Sau khi tạo máy ảo cho vyOS, giờ bạn đã sẵn sàng cài đặt vyOS trên ảo hóa KVM của mình.Khởi động máy ảo vyos và khi máy hoạt động, bạn sẽ thấy màn hình sau.
Chọn Trực tiếp (amd64-vyos) và nhấn ENTER.
Sau khi máy hoạt động, hãy đăng nhập bằng người dùng mặc định vyos và mật khẩu trống.
Để cài đặt vyOS trên máy ảo, hãy nhập dòng lệnh bên dưới.
Mã:
cài đặt hình ảnh- Nhấn ENTER để xác nhận và tiếp tục cài đặt.
- Đối với phân vùng, hãy nhấn ENTER để sử dụng chế độ Tự động.
- Bây giờ hãy nhấn ENTER một lần nữa để xác nhận cài đặt vyOS trên đĩa của bạn.
Bây giờ bạn sẽ thiết lập phân vùng và mật khẩu cho vyOS.
- Nhập Yes để xác nhận và hủy phân vùng mặc định.
- Đối với kích thước của phân vùng gốc, hãy giữ nguyên mặc định và nhấn ENTER.
- Giữ nguyên tên hình ảnh cho vyOS theo mặc định và nhấn ENTER để tiếp tục.
- Bây giờ hãy nhấn ENTER một lần nữa để sao chép cấu hình mặc định config.boot vào cài đặt của bạn.
- Nhập mật khẩu mới cho người dùng vyos và lặp lại mật khẩu. Vui lòng sử dụng mật khẩu mạnh cho mật khẩu người dùng vyos.
Để hoàn tất cài đặt vyOS, bạn sẽ cài đặt GRUB.
Trình cài đặt vyOS sẽ tự động phát hiện đĩa của bạn để cài đặt GRUB. Trong ví dụ này, đĩa là /dev/vda, bây giờ hãy nhấn ENTER để xác nhận cài đặt GRUB.
Sau khi cài đặt GRUB hoàn tất, hãy chạy lệnh reboot để khởi động lại máy ảo vyOS của bạn.
Dưới đây là GRUB của máy ảo vyOS.
Bây giờ hãy đăng nhập bằng người dùng mặc định là vyos và nhập mật khẩu của bạn. Dưới đây bạn đã cài đặt thành công vyOS trên ảo hóa KVM.
Tạo Giao diện Mạng Bổ sung
Trong ví dụ này, bạn sẽ thiết lập giao diện mạng cho vyOS.Cấu hình vyOS hiện tại đang sử dụng mạng mặc định trên loại ảo hóa KVM NAT.
Bây giờ bạn sẽ tạo một mạng ảo mới trên ảo hóa KVM và đính kèm mạng ảo vào máy ảo vyOS.
Trên Mạng Cài đặt virt-manager, nhấp vào nút + để thêm Mạng mới.
Nhập tên và cấu hình mạng chi tiết như bên dưới.
- Tên: nội bộ
- Chế độ: Cách ly
- Mạng IPv4: 192.168.50.0/24
- DHCPv4 Bắt đầu - Kết thúc: 192.168.50.128 - 192.168.50.254
Bây giờ hãy tắt máy ảo vyOS của bạn và mở cấu hình chi tiết của máy ảo vyOS, nhấp vào nút Thêm phần cứng để thêm giao diện mạng mới.
Chọn "Mạng" và "Nguồn mạng" thành "nội bộ: Mạng bị cô lập". Bây giờ hãy nhấp vào Hoàn tất.
Bây giờ hãy khởi động lại máy ảo vyOS để bắt đầu cấu hình mạng vyOS.
Thiết lập vyOS
Bây giờ bạn đã gắn một giao diện mạng mới vào máy ảo vyOS. Tiếp theo, bạn sẽ bắt đầu thiết lập bộ định tuyến vyOS.Đăng nhập vào bộ định tuyến vyOS của bạn bằng người dùng vyos và mật khẩu mạnh của bạn.
Bây giờ hãy chạy lệnh configure để bắt đầu chế độ cấu hình trên vyOS.
Mã:
configure
Mã:
ip aNgoài ra, bạn sẽ nhận thấy khi vào chế độ chỉnh sửa, bạn sẽ thấy [edit] trên tên máy chủ vyOS. Ngoài ra, bạn sẽ nhận thấy sự khác biệt khi vào chế độ chỉnh sửa, shell được đổi thành user@hostname#, thay vì user@hostname:~$.
Định nghĩa WAN và LAN
Bây giờ bạn đã vào chế độ chỉnh sửa trên vyOS. Hãy bắt đầu cấu hình địa chỉ IP trên vyOS.Đầu tiên, bạn sẽ cần quyết định giao diện nào sẽ được sử dụng làm EXTERNAL/WAN và giao diện nào sẽ được sử dụng làm INTERNAL/LAN.
Trong ví dụ này, giao diện EXTERNAL/WAN sẽ là eth0 và INTERNAL/LAN sẽ là giao diện eth1.
Thiết lập eth0 WAN
Bây giờ hãy chạy lệnh sau để thiết lập giao diện WAN/EXTERNAL eth0.Trong ví dụ này, eth0 sẽ nhận được địa chỉ IP 192.168.100.15. Ngoài ra, bạn sẽ thiết lập định tuyến tĩnh cho eth0 đến máy chủ KVM trên địa chỉ IP 192.168.100.1.
Sau mỗi lần thay đổi, hãy chạy lệnh commit để áp dụng cấu hình mới, sau đó chạy save để lưu các thay đổi mới.
Mã:
set interfaces ethernet eth0 address 192.168.100.15/24
set protocols static route 0.0.0.0/0 next-hop 192.168.100.1
commit
saveThiết lập eth1 LAN
Bây giờ bạn sẽ thiết lập giao diện eth1 cho INTERNAL/LAN. Giao diện này sẽ được các máy ảo trong bộ định tuyến vyOS sử dụng.Chạy lệnh sau để thiết lập địa chỉ IP cho eth1 thành 192.168.50.10 và thêm mô tả cho giao diện eth1 vào LAN. Bây giờ hãy xác nhận cấu hình và lưu các thay đổi.
Mã:
đặt giao diện ethernet eth1 địa chỉ 192.168.50.10/24
đặt giao diện ethernet eth1 mô tả LAN
xác nhận
lưuTiếp theo, chạy lệnh bên dưới để tạo quy tắc NAT mới cho giao diện LAN eth1 địa chỉ IP 192.168.50.0/24.
Bạn sẽ tạo NAT đi mới cho địa chỉ IP eth1 192.168.50.0/24 đến giao diện EXTERNAL/WAN eth0. Kiểu NAT ở đây là masquerade, sau đó commit những thay đổi mới và lưu cấu hình mới.
Mã:
đặt quy tắc nguồn nat 100 địa chỉ nguồn 192.168.50.0/24
đặt quy tắc nguồn nat 100 giao diện outbound eth0
đặt quy tắc nguồn nat 100 địa chỉ dịch masquerade
commit
lưuThiết lập chuyển tiếp DNS
Bây giờ bạn sẽ thiết lập chuyển tiếp DNS trên vyOS.Chạy lệnh sau để thiết lập dịch vụ chuyển tiếp DNS. Trong ví dụ này, dịch vụ DNS sẽ chạy trên địa chỉ IP LAN 192.168.50.10 và cho phép truy cập từ mạng nội bộ eth1. Sau đó cam kết cấu hình và lưu các thay đổi.
Mã:
set service dns forwarding listen-address 192.168.50.10
set service dns forwarding allow-from 192.168.50.0/24
set service dns forwarding cache-size 0
commit
saveTiếp theo, hãy định nghĩa bộ chuyển tiếp cho dịch vụ DNS. Trong ví dụ này, chúng tôi sẽ sử dụng Cloudflare và Google public DNS làm bộ chuyển tiếp.
Chạy lệnh sau để thiết lập bộ chuyển tiếp DNS cho Cloudflare và Google DNS. Sau đó xác nhận các thay đổi và lưu cấu hình.
Mã:
đặt dịch vụ chuyển tiếp DNS máy chủ tên 1.1.1.1
đặt dịch vụ chuyển tiếp DNS máy chủ tên 8.8.8.8
xác nhận
lưuBây giờ hãy chạy lệnh bên dưới để thay đổi DNS vyOS thành máy chủ DNS cục bộ 192.168.50.10. Sau đó cam kết các thay đổi và lưu cấu hình.
Mã:
set system name-server 192.168.50.10
cam kết
lưuKiểm tra cấu hình mạng
Bây giờ bạn đã hoàn tất cấu hình mạng trên vyOS, bao gồm địa chỉ IP WAN, địa chỉ IP LAN và dịch vụ Chuyển tiếp DNS.Để xác minh cấu hình mạng, hãy chạy lệnh sau để ping internet.
Mã:
chạy ping youtube.com count 3Tiếp theo, hãy chạy lệnh bên dưới để kiểm tra các giao diện mạng chi tiết.
Mã:
hiển thị giao diệnĐể kiểm tra các quy tắc NAT, hãy chạy lệnh sau.
Mã:
show nat source rulesTiếp theo, hãy chạy lệnh sau để kiểm tra dịch vụ chuyển tiếp DNS.
Mã:
configure
show service dnse
Thiết lập Hệ thống Máy khách Ubuntu 20.04
Ở phía máy khách, bạn sẽ cần thiết lập một địa chỉ IP tĩnh với cổng mặc định đến địa chỉ IP vyOS 192.168.50.10. Trong ví dụ này, máy khách là hệ thống Ubuntu 20.04.Chỉnh sửa cấu hình mạng /etc/netplan/01-netcfg.yaml.
Mã:
sudo nano /etc/netplan/01-netcfg.yamlLưu và đóng tệp khi bạn hoàn tất.
Bây giờ hãy áp dụng các thay đổi mới bằng lệnh netplan bên dưới.
Mã:
sudo netplan apply
Mã:
ip a
route -nBây giờ hãy chạy lệnh ping bên dưới để xác minh kết nối với bộ định tuyến vyOS.
Mã:
ping 192.168.50.10 -c3Tiếp theo, hãy chạy lệnh bên dưới để kiểm tra kết nối với internet.
Mã:
ping 1.1.1.1 -c3
ping google.com -c3