28.04.2026

Настройка FW-HQ (IDECO NGFW NOVUM)

Включаем ISP, RTR-COD, RTR-BR, FW-BR и FW-HQ.

 

FW-HQ

Для первоначальной настройки создадим управляющий интерфейс mgmt с произвольным адресом.

Выберем порт, смотрящий в локальную сеть.

 

 

 

В результате должно получиться:

 

Переходим на ADM-HQ

  • Назначаем имя на устройство в формате FQDN (adm-hq.au.team)
  • Назначаем IP-адрес из той же сети что и FW-HQ (10.1.0.2/30)

Пароль toor

 

 

Надо проверить тег VLAN на интерфейсе ВМ. Если есть, пока убрать

 

Открываем браузер https://10.1.0.1:8443/

Вводим пароль от IDECO (admin/P@ssw0rdP@ssw0rd)

  • Назначаем имя на устройство в формате FQDN (fw-hq.au.team)

  • Создаём VLAN интерфейс на основе физического и указываем VID и IP-адрес в соответствии с L2 и L3

 

Переходим к настройке ВМ и добавляем тег VLAN

  • Перенастраиваем IP-адрес на интерфейсе для ADM-HQ в соответствие с L3. Переходим в Центр управления системой (пароль — toor), далее открываем Сеть — Ethernet-интерфейс. Удаляем старый адрес и добавляем новые данные (10.1.1.46/28, шлюз — 10.1.1.33, DNS — 10.1.1.10)

 

Теперь доступ в веб-интерфейс управления FW-HQ, обращаясь по https://10.1.1.33:8443

  • выполняем вход и удаляем IP-адрес с интерфейса mgmt
  • НО не удаляем сам интерфейс

 

теперь есть соответствие как L2, так и L3

 

Скачаем корневой сертификат:

 

Добавим в хранилище для ADM-HQ. Открываем терминал, переходим в root (пароль toor):

su —

Копируем сертификат в хранилище

mv /home/user/Загрузки/root_ca.crt /etc/pki/ca-trust/source/anchors/

Обновляем

update-ca-trust

Далее необходимо перезапустить браузер и перейти на IDECO https://10.1.1.33:8443

 

Выполним добавление Ethernet-интерфейса с ролью WAN

  • для подключения к ISP в соответствие с L3

Выберем роль WAN, порт смотрящий в сторону ISP.

 

Для доступа к сети интернет нужно настроить Балансировку и резервирование:

 

Проверить доступ в сеть Интернет с FW-HQ:

 

Проверить наличие лицензии:

 

Создать все необходимые VLAN (10 и 30) в соответствие с L2 и L3 аналогично как для vlan 20

 

Так как авторизация по требованию задания подразумевается из-под доменных пользователей

  • временно включим режим «Разрешить интернет всем» для установки и развёртывания домена FreeIPA на SRV-HQ

 

Отключим перехват пользовательских запросов DNS

 

Проверить доступ в сеть Интернет с ADM-HQ