Подключение филиала к головному офису по LTE
через VPN сотового оператора с аутентификацией

Требуется подключить удалённый филиал к корпоративной сети, используя услуги сотового оператора: мобильную передачу данных по LTE и виртуальную частную сеть (VPN). Для работы VPN оператор создал приватную точку доступа, доступ к которой осуществляется на основе имени пользователя и пароля.

Используется устройство NSG–1700 с опцией LTE/3G в позиции m1. SIM-карта оператора установлена в верхнее гнездо. Запрос PIN-кода на карте отключён.

Курсивом обозначены существенные настройки, установленные по умолчанию.

ip
: nat
: : POSTROUTING       
: : : 1               
: : : : out-interface = "m1"
: : : : target = "MASQUERADE"
port
: m1
: : type = "lte"
: : adm-state = "up"
: : provider
: : : main
: : : : APN = "hornsnhoofs.operator.ru"
: : : : password = "ostapbinibragim"
: : : : username = "4ernomorsk"
: : ifAddress
: : : configurable = "dhcp"
: eth0
: : ifAddress
: : : prefix = "192.168.1.1/24"

Для автоматической настройки клиентов в локальной сети офиса можно использовать службы DHCP и DNS-proxy:

services 
: dhcp 
: : eth0
: : : adm-state = "up" 
: : : dns1 = "192.168.1.1" 
: : : gateway = "192.168.1.1" 
: : : ip-address-pool
: : : : from = "192.168.1.2"
: : : : to = "192.168.1.254"
: : : mask = "255.255.255.0" 
: dns
: : eth0 
: : : adm-state = "up"

Дополнительные замечания:

Указанные настройки действительны в любом из режимов 4G/3G/2G. Фактический режим работы выбирается автоматически. Просмотреть его можно командой port.m1.radio-info.

DNS-прокси обращается к реальному DNS, который назначается сотовым оператором в процессе подключения. Для работы DNS-прокси необходимо, чтобы она была запущена до подключения к оператору.

Обязательно задание пароля для доступа к устройству.

В целях безопасности настоятельно рекомендуется также:

• Отключить Telnet и использовать для удалённого управления только SSH
• Заблокировать HTTP с помощью фильтров и использовать для удалённого управления только HTTPS