Untangle UTM 安裝記錄

我是一個不喜歡將做了什麼事都要記下來的人，所以每年的成果報告總是讓我傷透腦筋。但是這次非記錄下來不可！

本校的防火牆 Juniiper ssg-140 因為一次雷擊而重傷（一個wan port燒掉、管理介面無法登入），又苦苦等等不到市府的更新。一台十幾萬的設備，實在花不下去。苦惱之餘，剛好搜尋到外埔國中郭老師分享的資料。從郭老師的網路足跡中感覺到他真的是為資訊教育衋心衋力，沒有半點藏私。既然是郭老師推薦的，那一定是好物。決定了，就是Untangle了！雖然郭老師是採取bridge的方式佈署，而我是要取代我們學校的Router，但我還是對郭老師的判斷深具信心。

但麻煩來了！雖然有線網路部分一個下午就設定好了，但無線認證部分卻花了我一個多禮拜以準備大學聯考最後全力衝刺的拼命態度才得以完成！

由於遍尋google，一直沒找到依照學校環境設置的例子，為了不讓其他人也像我一樣花費太多時間、精力。因此，非留下記錄不可。

使用後，效果超乎預期，真是衷心建議教網中心，以後不用花大錢配發防火牆了，辦幾場研習，每幾年配台電腦教室用的主機並多二、三片網卡，效能、防護都大大超越juniper 或 fortinet，而且彈性十足。抵得上十幾萬的防火牆加上幾十萬的防毒與入侵偵測。

好了，開始進入主題：

先介紹我使用的設備：

我手上是沒設備的，剛好一位同仁的電腦壞了，我的判斷是主機板故障（但我手邊沒有零件可供更換），結果送給電腦公司的人處理，他們竟然說全壞了。要買整組電腦~~，我趕緊要求，那壞掉的東西要還給我們學校。

後來想到，幾年前資源班的電腦也是因為主機板壞了，但他們等不及維修的時間，所以買了一片主機板，而舊的則丟給我運用（我竟然忘了），翻箱倒櫃後，還真的找到了塵封已久的主機板。

沒想到將這二個相隔許久的組合一組裝後，竟然可以開機耶！再加上二片當備品的intel網卡，就成了我們學校的救星了！

一、到官網下載Untangle的iso檔→http://www.untangle.com/get-untangle/

依序選擇主機cpu類型（我是用64-bit的），iso檔（如果有用VM，則下載OVA），按下START DOWNLOAD

下載下來的iso檔可以用光碟片燒錄起來，而我是用“ISO to USB”，將它做成USB安裝碟，環保又快速。

二、接下來用光碟或USB開機，由於已經有人提供完整的安裝畫面，請自行參考http://www.hkitblog.com/?p=25441，ip的設定請依各校情況自行修改。

特別注意：因為我們學校的juniper已經不行了，所以我是選擇安裝成Router模式。internal address 是設定為 140.128.223.254（本校預設閘道）

三、安裝完，開始設定：

1.本校的環境→Ａ、Ｂ點分別是10.222.79.2（學校端），10.222.79.1（教網端），預設閘道140.128.223.254（安裝時，指定的ip位置）。

2.執行瀏覽器，輸入管理ip（140.128.223.254），輸入管理者帳密。

3.先點擊Config，再點擊Network。

4.選擇上方Interfaces標籤，再點擊“External”（對外網卡Wan）右方的“編輯鈕”，修改成貴校的ip

5.先設定Ａ、Ｂ點：將箭頭處改成各校自己的ip（Ａ點是學校端，也就是該介面的ip、Ｂ點是市網端，也就是全校網路皆會由此介面進出）

修改完畢，按下右下方的Done，儲存設定

6.再設定全校路由：

一樣在上方Interfaces標籤，再點擊其它任何一個你要當成校內路由的網卡，“Interface yaes_lan”（這是我改過後的名稱），按右方的“編輯鈕”，進入修改成貴校的ip

在下方Interface Name中可把介面名稱改成自己容易懂的。Config Type要選“Addressed”

別忘了按下右下方的Done儲存

7.再來要設定連接全校無線ap的網卡了：

選擇你要設定的網卡並按右邊的編輯鈕（這裡我已經改名了）

=====================================================================================================================

此設定頁下方還要設定

別忘了按下Done儲存。

8.再來是防火牆設定：按下Settings，在上方Rules標籤做設定

規則的語法跟Linux的iptables很接近，看了就懂了，所以不贅述。設定完後還是要按Done儲存。

9.重要的來了：

9.1.如果要做無線網路使用者認證（區域網路也可以），一定要讓DNS查詢能通過Untangel主機（我在這裡卡了一個多星期）

回頭來設定Network，點擊Advanced標籤，再點擊Filter Rules標籤，Allow DNS into untangle 2-1前的核取一定要勾，因為下一個步騢的管制方法是藉由修改client端的DNS查詢來達成目的的。

在這裡說明一下我的理解（不知道對不對？）。前面設定防火牆FireWall時，應該是決定流過Untangle的規則，而這裡的Filter應該是設定流入Untangle本身的規則。

最最重要的，還有以下設定：Bypass Rules如果沒有打開DNS Sessions，你永遠無法讓認證的電腦們出去（因為DNS全被擋掉了，這裡花了我一個多星期才發現）

9.2.接下右邊的編輯鈕後：規則的樣子就是如下，讓53 port 通過Untange

別忘了，設定好後，都要按下Done或OK鈕。設定才會儲存及執行。

10.終於可以設定無線認證了：

10.1.按下Captive Portal的設定鈕

10.2.點擊Capture Rules標籤，增加一個規則（例：Wireless_Radius），該勾選的都要勾選並進入編輯：

10.3.做如下勾選：TC_wireless_radius就是：凡是經由此介面來的封包，都需經由認證才能放行。如果勾選了Any Non-WAN，則不論有線、無線，都要經過教網中心的主機認證，才能上網。

設定完按Done

10.4.切換到Captive Page標籤，參考如下設定。可以按下“Preview Captive Portal Page”預覽。

10.5.接著要設定無線認證的主機了：

10.6.

別忘了按下Done儲存。

11.結束，可以上機測試了！其它的就一一調整後，再去System→Backup中把最後的參數備份下來。