Salve,
ho una Lan1 con accesso ad internet e firewall e dhcp 192.168.x.1 e una trentina di pc, ho acquistato il Netgear Router Wireless WNR3500 per creare una ulteriore Lan2 e ho assegnato dalla parte esterna 192.168.x.50 della Lan1 e dalla parte interna con dhcp ho creato la Lan2 192.168.z.1 per poter collegare dei pc ospiti in wireless e andare su internet... fino a qui tutto Ok.
Quello che vorrei sarebbe che i pc delle due Lan non si vedessero per un fatto di sicurezza, mentre adesso i pc della Lan2 vedono i pc della Lan1, mentre i pc della Lan1 non vedono quelli della Lan2.... penso si debba creare delle static route ma non so come se sul firewall della Lan 1 o sul router della Lan2...
potete aiutarmi, grazie.

è normale che sia cosi, per via della gestione del NAT. Se quello che ti interessa è andare su internet con un unico gateway, devi creare un tunnel all' interno del primo segmento LAN.

come ho detto vado in internet anche dalla Lan2 ma vedo pure i pc della Lan1, cosa invece che vorrei evitare.
Cosa dovrei impostare per fare quello che mi hai detto, puoi spiegarmi meglio o indicarmi qualcosa che mi faccia capire ? grazie.

http://www.hwupgrade.it/forum/showthread.php?t=2171590&highlight=tunnel

qui ho spiegato come creare il tutto.

dalla lan1 alla lan2 a meno che non siano in funzione protocolli di routing o tu non abbia inserito rotte statiche sugli host non ci dovrebbero essere problemi (a meno dei casi sopra riportati nessun host della lan1 dovrebbe essere in grado di raggiungere gli host della lan2)...per il discorso contrario ti serve un FW prima del gateway della lan2 che droppi i pacchetti destinati alla subnet della lan1. Vedi un po' se nel WNR3500 c'è la possibilità di impostare una qualche ACL in questo senso e dovresti aver risolto.

qui ho spiegato come creare il tutto.

però andrebbe rivisto la mask lato router WAN in quanto presenta soli 2 host per subnet

edit: ho detto una fesseria, i 2 host sono sufficienti per la WAN, poi ha un range di 254 PC sull'altra subnet

non siano in funzione protocolli di routing o tu non abbia inserito rotte statiche non c' entrano nulla nè protocolli di routing dinamico, nè rotte statiche in quanto esiste un NAT (restricted cone) in mezzo. L' unica cosa che può abilitare il passaggio di pacchetti è un portforward.

però andrebbe rivisto la mask lato router WAN in quanto presenta soli 2 host per subnet

la maschera deve essere quella obbligatoriamente. L' importante che gateway e wan-interface siano sulla stessa subnet.

allora dovresti spiegarmi come funziona la mia rete a casa. Io ho una sottorete che funziona esattamente così...se volessi inbire l'accesso dalla lan2 alla lan 1 dovrei semplicemente mettere una ACL sul router/fw che fa da gateway per la lan2.

la maschera deve essere quella obbligatoriamente. L' importante che gateway e wan-interface siano sulla stessa subnet.

sisi, hai ragione, mi sono reso conto pochi istanti fa, infatti ho editato

allora dovresti spiegarmi come funziona la mia rete a casa. Io ho una sottorete che funziona esattamente così...se volessi inbire l'accesso dalla lan2 alla lan 1 dovrei semplicemente mettere una ACL sul router/fw che fa da gateway per la lan2.

perchè invece di disporli a stella li hai messo in daisy-chain :sofico:

:D scherzo logicamente

allora dovresti spiegarmi come funziona la mia rete a casa. Io ho una sottorete che funziona esattamente così...se volessi inbire l'accesso dalla lan2 alla lan 1 dovrei semplicemente mettere una ACL sul router/fw che fa da gateway per la lan2.

certo, è un ulteriore modo per bloccare il traffico, ma non si devono scomodare termini come routing dinamico e statico che non c' entrano nulla.
Il perchè la lan2 possa raggiungere la lan1 è semplice e risiede nel funzionamento del NAT ristretto:
quando un host_lan2 si connette, attraverso il gateway alla lan1 (o ad internet) quest' ultimo tiene traccia della connessione aperte (da qui i famosi problemi di sapurazione della tabella di NAT che chi fa P2P ben conosce) ed effettua un forward trasparente delle risposte. Se anche dicessimo agli host della lan1 di raggiungere la lan2 attraverso la wan-interface del secondo router (static route), questi (in assenza di regole di forward) dropperebbe i pacchetti.

certo, è un ulteriore modo per bloccare il traffico, ma non si devono scomodare termini come routing dinamico e statico che non c' entrano nulla.
Il perchè la lan2 possa raggiungere la lan1 è semplice e risiede nel funzionamento del NAT ristretto:
quando un host_lan2 si connette, attraverso il gateway alla lan1 (o ad internet) quest' ultimo tiene traccia della connessione aperte (da qui i famosi problemi di sapurazione della tabella di NAT che chi fa P2P ben conosce) ed effettua un forward trasparente delle risposte. Se anche dicessimo agli host della lan1 di raggiungere la lan2 attraverso la wan-interface del secondo router (static route), questi (in assenza di regole di forward) dropperebbe i pacchetti.

un router puro (che abbia una default route impostata) non droppa pacchetti: che poi un router consumer grade di solito integri un rudimentale FW e quindi di default non consenta ai pacchetti originati dalla wan di attraversarlo a meno di impostare un portforwarding è un altro paio di maniche...ripeto nel mio setup casalingo i pacchetti traversano il router (che funziona come router PURO) di confine tra lan1 e lan2 in entrambe le direzioni indipendentemente da dove si originino senza necessità di forwardare alcun chè (a condizione che evidentemente l'host della lan1 sappia come raggiungere la lan2).

un router puro non droppa pacchetti: che poi un router consumer grade di solito integri un rudimentale FW e quindi di default non consenta ai pacchetti originati dalla wan di attraversarlo a meno di impostare un portforwarding è un altro paio di maniche...ripeto nel mio setup casalingo i pacchetti traversano il router (che funziona come router PURO) di confine tra lan1 e lan2 in entrambe le direzioni indipendentemente da dove si originino senza necessità di forwardare alcun chè (a condizione che evidentemente l'host della lan1 sappia come raggiungere la lan2).
un isr (alias router broadband) non è un router puro (i router puri non fanno NAT), e le cose funzionano come ho appena spiegato e non è questione di firewall, ma di raggiungibilità fisica. Se poi utilizzi (puoi iniziare con il citare il modello) un router puro (hardware o software che sia) oppure un gateway (nativo o adattato) il discorso è diverso, ma non inerente a questa trattazione.

dunque: router draytek vigor 2800 come gateway per internet e router cisco 1841 con "dietro" la subnet 2...rotta statica impostata sul draytek (per raggiungere la subnet 2) che punta all'interfaccia sulla subnet 1 del cisco e default route impostata sul cisco che punta verso il draytek. Niente nat...magari sono io che non ho spiegato al cisco che così non può funzionare (come ai calabroni che stando alle leggi della fisica non possono volare :D )però ti assicuro che da qualsiasi PC della subnet 1 posso avviare ad esempio una sessione remote dektop su una macchina nella subnet 2 e viceversa. Inutile aggiungere che se imposto una ACL ad hoc sul cisco dalla subnet 2 non raggiungo più la subnet 1 ma posso continuare a navigare su internet anche da "dietro" al cisco. Visto che c'ero ho provato anche a sostituire il cisco con un draytek broadband (uno di quelli senza modem integrato per intenderci: porte ethernet sia verso la "wan" che verso la "lan")...se disabilito il FW funziona tutto a meraviglia. :)

Niente nat
e allora di che stiamo a parlare? questo l' ho indicato 10 post fa, circa: non tutti (quasi nessun) router domestico consente di disabilitare il NAT , ergo di deve agirare il problema in modo diverso.

Visto che c'ero ho provato anche a sostituire il cisco con un draytek broadband (uno di quelli senza modem integrato per intenderci: porte ethernet sia verso la "wan" che verso la "lan")...se disabilito il FW funziona tutto a meraviglia.
direi se disabiliti il NAT (ed eventualmente anche il firewall, dato che in alcun modelli di default il firewall è speculare) e di fatto lo trasformi in un gateway, altrimenti non passi nemmeno (senza sfruttare una vulnerabilità intrinseca del Cone) se lo prendi a morsi il router. Del resto, a NAT attivo, verso quale host interno dovrebbero essere redirette le connessioni ricevute sulla wan-interface?

non tutti (quasi nessun) router domestico consente di disabilitare il NAT

forse più quelli broadband non lo permettono, di solito quelli con modem interno danno sempre la possibilità di disabilitare il NAT per il protocollo IPoA, cioè per quelle connessioni business dove il NAT non è richiesto


un chiarimento sul discorso router puro, hai scritto che un router puro non fa NAT, se prendiamo un Cisco, per semplicità il 1841 di Spectrum7glr, se non erro ha 2 interfacce, se non dai nessun comando per il NAT, è corretto considerarlo un router puro?

Un router puro lavora a livello 3 ruotando pacchetti fra varie interfacce. Ovviamente vengono offerte varie altre funzionalità tra cui il NAT. Dal momento che tale funzionalità viene attivata, smette di essere un router e diventa un server NAT, con quello che ne consegue in uscita e soprattutto in ingresso (ad esempio man mano che si restringe il tipo di NAT si ha un maggiore consumo di risorsa). Quanto al fatto se un router con 2 sole interfacce possa essere chiamato router la risposta è ni: si tratta in realtà di uno stub-router ovvero un dispositivo hub-and-spoke con una sola rotta obbligata almeno in default.

in effetti mi sono scaricato il manuale del netgear e mi sono accorto che non ha la possibilità di esporre verso l'esterno una lan ...cercando poi in rete devo dire che hai ragione e quello che a me sembra una funzionalità base di un router (appunto comportarsi da router: routare i pacchetti) è in realtà presente solo su pochissimi modelli (cisco a parte). Evidentemente con cisco, mikrotik e draytek sono abituato bene :)

in effetti mi sono scaricato il manuale del netgear e mi sono accorto che non ha la possibilità di esporre verso l'esterno una lan
In realtà può esporre alcuni servizi attraverso il port-forwarding o la DMZ (almeno su alcuni modelli)

sì, ci sono vari helper per il nat, arrivando fino ad una DMZ (ma solo per host specifici)...ma di base è come dici tu: i router consumer non sono in grado di fare i router puri e semplici (o almeno non possono essere "privati" delle feature aggiuntive al punto di tornare a svolgere il roulo del router propriamente detto).

Detto questo, e chiarito che il NAT in sè impedisce il agli host della lan1 di accedere alla lan2, rimane il fatto che se il netgear permette di configurare una qualche ACL dovrebbe essere sufficiente applicare un filtro sul FW integrato per ottenere il risultato voluto da chi ha posto la questione che qui si discute...o mi sfugge qualcosa? :)