PDA

View Full Version : Aiuto configurazione zywall 2


paotur
28-02-2011, 09:32
Ciao a tutti,

sul lavoro devo configurare un firewall hardware zyxell zywall 2 plus.
ci sbatto la testa da giorni ma non riesco e il manuale forse da per scontate troppe cose. vorrei sapere se qualcuno mi può dare una mano, anche indicandomi una guida "elementare" alla configurazione.

grazie

lamerone
28-02-2011, 12:09
Ciao a tutti,

sul lavoro devo configurare un firewall hardware zyxell zywall 2 plus.
ci sbatto la testa da giorni ma non riesco e il manuale forse da per scontate troppe cose. vorrei sapere se qualcuno mi può dare una mano, anche indicandomi una guida "elementare" alla configurazione.

grazie

generica come domanda, non ho questo router ma penso che sia un bel giocattolino.. cosa ci dovresti fare??? magari così se qualcuno può darti una mano lo farebbe con cognizione di causa.

paotur
28-02-2011, 20:50
cercherò di essere chiaro, per quanto sono un nabbo in ambito reti.
Ho una rete lan formata da un router alice, seguita dal firewall, quindi uno switch e poi una decina di pc.
la mia necessità è di configurare il firewall perchè mi permetta:
a) di accedere dall'esterno ai pc della rete lan.
b) da un pc della rete ad un altro pc della rete sfruttanto una modalità tipo desktop remoto o un vnc in modo che possa aiutare altri utenti in caso di problemi.

il problema è che il firewall mi blocca le connessioni in entrata dall'esterno. ed è ovvio :) ma ho lasciato aperta la porta vnc in maniera da potervi accedere dall'esterno. Ma per qualche settaggio io riesco ad accedere solo al server principale e non a tutti gli altri pc.
insomma il discorso è un pò lungo. non penso si possa chiarire in due parole. infatti speravo in qualche link ad un documento illuminante :)

ma accetto qualsiasi aiuto! grazie!

lamerone
01-03-2011, 09:23
Allora per quanto riguarda il raggiungimento del pc dall'esterno hai bisogno di ip pubblico, ovvero unservizio a pagamento fornito dal tuo provider(quello che ti passa l'adsl) oppure se il tuo router lo gestisce di un client ddns (dns dinamico) poi cosa fai, ti iscrivi al servizio ddns e setti questo servizio con il tuo indirizzo ip(sembra difficile ma si tratta di selezionare un link che il sito ddns ti mette a disposizione con la scritta seleziona tuo ip o copi e incolli l'ip che troverai sul sito whatsmyip) una volta ottenuto questo ed inserito il nome del sito virtuale(anche questo fattibile dal sito) apri il tuo router e gli dici qual'è il nome del sito virtuale che ti sei creato( o l'indirizzo che il servizio ddns ti da) e poi dici di forwardare le chiamate pubbliche su private, ovvero metti caso il tuo sito sia: prova.dyndns.it ed il tuo pc da raggiungere sia un Windows su connessione remota standard metterai: prova.dyndns.it public port 80 pvt port 3389(quella standard) sempre che voglia usare la porta 80 al massimo ti fai l'8080 quindi il tuo pc sarà raggiungibile all' indirizzo: prova.dyndns.it da internet ed al massimo se vuoi usare un'altra porta anziché 80 metti :8080 a seguire

paotur
01-03-2011, 13:39
allora, ho già un ip pubblico statico fornitomi dal provider adsl.
quindi il problema non è collegarmi al router, cosa che già faccio, ma far si che mi instradi le connessioni in entrata sui diversi pc della rete.

lamerone
01-03-2011, 19:39
allora, ho già un ip pubblico statico fornitomi dal provider adsl.
quindi il problema non è collegarmi al router, cosa che già faccio, ma far si che mi instradi le connessioni in entrata sui diversi pc della rete.

Allora butta la prima parte del mio intervento.... Devi solo forwardare le richieste quindi
Pc da raggiungere->192.168.1.2
Su router-> virtual server: 192.168.1.2 public 8080 private 3389
Quindi da internet metterai il tu ip pubblico:8080
( fermo restando che vuoi usare desktop remoto di windows e voglia mettere il pc in ascolto sulla porta 8080)
Per raggiungere poi i vari pc in LAN ti basta aprire le porte sul router ad es 5900 quella di default vnc o 3389 per desktop remoto mamma micrsoft

paotur
02-03-2011, 22:11
Allora, se tu hai come nick lamerone... io dovrei essere super pippa :)
quindi per favore andiamo piano piano e non diamo nulla per scontato!

io sono andato nella sezione NAT del firewall, sottosezione port forwarding.
e ho impostato il forwarding di tutte le connessioni in entrata sulla porta 5900 verso il server principale. 192.168.0.100

come faccio a dirgli che anche il 192.168.0.x può ricevere connessioni in entrata sulla stessa porta? avevo anche pensato di usare porte diverse. per cui avevo impostato la porta 5901...forwardata sulla 5900 del 192.168.0.x. Pensando che così se avessi provato ad accedere alla 5900 andavo sul server principale. altrimenti sarei andato sull'altro pc.
ma non funziona. o meglio, funge solo per il server principale.

a questo punto mi chiedo, perchè tutte le connessioni in entrata vengono automaticamente "filtrate" al server? c'entra il compito del router adsl? E in questo caso, essendo un router alice adsl, come posso configurarlo per ottenere quello che voglio?

in pratica... mi sembra che il router alice o il firewall non permettano di accedere alla lan, ma solo al server.

c'entra nulla l'address mapping? cosa che ho visto essere stata configurata da chi ha installato il firewall?

grazie sempre

lamerone
05-03-2011, 11:36
come faccio a dirgli che anche il 192.168.0.x può ricevere connessioni in entrata sulla stessa porta? avevo anche pensato di usare porte diverse. per cui avevo impostato la porta 5901...forwardata sulla 5900 del 192.168.0.x. Pensando che così se avessi provato ad accedere alla 5900 andavo sul server principale. altrimenti sarei andato sull'altro pc.
ma non funziona. o meglio, funge solo per il server principale.

grazie sempre
scusa il ritardo, ma non ho ben capito questo passaggio...


in pratica... mi sembra che il router alice o il firewall non permettano di accedere alla lan, ma solo al server.


grazie sempre
una volta arrivato al firewall puoi arrivare anche alla lan:) come ti ho detto.. magari metto un pò d'ordine in quello che hai scritto e vedo cosa riesco a capirci..
onestamente la procedura per raggiungere la tua lan è quella di forwardare... magari se hai un server con più servizi lo metti in dmz e poi non ho capito se hai un solo router (alice) o ne hai anche altri... in cascata

paotur
05-03-2011, 23:36
ricapitoliamo.
un solo router adsl. seguito da un firewall. seguito da 2 switch.
la lan è formata da una decina di pc:
ipotizziamo...
192.168.0.1
192.168.0.2
192.168.0.3
192.168.0.4
192.168.0.5
...
e un server principale 192.168.0.100

dato un ip pubblico statico, AAA.BBB.CCC.DDD, nel momento in cui provo a collegarmi la connessione viene "indirizzata" solo su questo server principale, cioè su 192.168.0.100.
Quindi se ho due VNC attivi, uno sul server principale e uno su uno dei PC di sopra, collegandomi alla 5900 entro solo sul server principale.
Da qui la mia idea di forwardare la porta 5901 su uno dei PC della lan. Altrimenti il firewall come fa a capire che quella connessione dovrebbe andare ad un pc della lan, piuttosto che al server, se la porta di entrata fosse la stessa. Ho sbaglaito? esiste un metodo diverso?

una volta arrivato al firewall puoi arrivare anche alla lan

e proprio questo che non accade. io riesco ad entrare solo sul server principale. Quindi per qualche motivo (configurazione del router? configurazione del firewall? altro?) o entro sul server e da quello mi collego agli altri o nulla.

lamerone
06-03-2011, 09:19
ciao paotur, una domanda semplice.. come fai ad arrivare al server avendo l'ip pubblico? Hai già configurato un port forwarding?

mi viene il dubbio che la tua configurazione sia:

x.x.x.x
|
router alice-->server 192.168.0.100
|
|
router2-->switch1--switch2-->lan
perchè altrimenti per raggiungere il server 192.168.0.100 dietro il 2 router dovresti fare un doppio port forwarding...
e poi un'altra cosa, quando dici che provi a collegarti al server e la connessione viene dirottata lì intendi su tutte le porte oppure su una in particolare... se così fosse (tutte le porte raggiungibili a quell'indirizzo) potrebbe darsi che hai piazzato il server in DMZ.... cmq... ho scaricato il pdf del tuo routerino... è un pò tostarello :)

paotur
06-03-2011, 10:19
ecco, bravo. il pdf, tutto rigorosamente in inglese, è un pò tostarello :) perchè permette centinaia di configurazioni diverse.

comunque se ti leggi un pò di manuale e riesci ad indirizzarmi non posso che ringraziarti :ave:

allora, essendo un ambito lavorativo chi mi ha venduto il firewall ha fatto una installazione di massima, configurando già il firewall. Solo che sono persone incompetenti e non li voglio chiamare più per rifinire tutto il resto della rete.
però un abbozzo di configurazione c'è. e tra questo c'è il blocco di tutte le porte in entrata ad eccezione della 5900. e il forwarding della 5900 sull0 0.100.
poi, ti ripeto, ci sono altri settaggi che hanno fatto sull'address mapping.
e ovviamente le regole di firewall che ho settato io per far si che, ad esempio, non vi siano uscite sulla http se non da alcuni pc che io ho deciso.

quindi, per stringere, tutte le connessioni in entrata, esclusa la 5900, sono rifiutate.

riguardo al router sono sicuro che sia uno solo. ma non ti assicuro che la posizione sia come ti ho detto. credo che sia:

router adsl
|
|
zywall
|
|
switch -- switch -- parte di lan
|
|
parte di lan

cmq non c'è alcuna configurazione per il DMZ.

lamerone
06-03-2011, 23:51
Trovato.....da gestione nat/sua puoi fare quello che vuoi leggi questa guida velOce
Guia (ftp://ftp.zyxeltech.de/zywall2/document/zywall2_v3.62_QuickStartGuide.pdf)

paotur
07-03-2011, 09:23
grazie. è proprio il punto che pensavo di dover configurare... l'address mapping.
ora provo a sbrigarmela da solo e se riesco ti faccio una statuetta d'oro :winner:
questa cosa del nat è già spiegata nel manuale che ho ma forse è un pò meno comprensibile.
se non riesco ti ridisturbo per qualche chiarimento :)

lamerone
07-03-2011, 12:19
Allora, in linea di principio chiarisco un paio di cose,
1) il nat lo fa il tuo primo router quello Alice perché ti traduce il tuo indirizzo pubblico in ip privato per LAN quindi il tuo x.x.x.x diventa 192.168.0.0
2) collegando il tuo router xy a quello Alice dovresti sfruttare la porta wan di quest'ultimo(correggimi se non è così la tua configurazione) e quindi potresti decidere anche di cambiare tipo di subnet ad esempio 92.168.1.0 che, se le tue sub fossero del tipo 255.255.255.0, non sarebbero visibili dalla 192.168.0.0,
3) non farti trarre in inganno dagli stessi ip perché per come è strutturata la rete ti sei chiuso tutto tra il primo ed il secondo router quindi se vuoi essere raggiunto dall'esterno devi prima configurare il router Alice e poi il tuo es.
Sul primo router
Forwardare le chiamate su 5900 esterne su 5900 interne del II router e poi sul II router porta interna 5900 ed esterna pure ma sull'indirizzo del pc che vuoi far raggiungere...e così per tutti quelli che vuoi raggiungere da internet
Fcci sapere

paotur
10-03-2011, 00:28
Carissimo Lamerone, sei stato eccezionale. Con questo tuo ultimo msg mi hai proprio chiarito alcune cose che mi erano ancora oscure. Nabbo sono e nabbo resto. Ma sono riuscito a fare il collegamento che volevo :)

Ora mi sorgono altri interrogativi. Vediamo se puoi aiutarmi nuovamente. (stavolta la statua sarà di platino)
Dunque, l'attuale configurazione prevede il forwarding da parte del router alice sull'indirizzo ip WAN del firewall (192.168.1.10). Quindi tutto quello che entra evidentemente viene filtrato.

Ora, come ti dicevo, io ho messo in listening col VNC più PC. Quindi se mi connetto alla 5900 mi collego al server principale. E' corretto quindi usare la 5901 per un altro PC, e poi la 5902 e così via? E quindi dire al firewall... se ti arriva sulla 5901 manda a 192.168.0.1, se ti arriva sulla 5902 manda a 192.168.0.2... O c'è un altro metodo per far capire al firewall a quale dei vari PC voglio dirottare la connessione in ingresso?

Poi volevo chiederti come mai di certi settaggi del router adsl.
La mia lan interna è tutta 192.168.0.x. Solo il mio router alice è 192.168.1.1.
invece sul router trovo settati:

IMPOSTAZIONE SERVIZIO DHCP: da 192.168.1.2 a 192.168.1.254

IMPOSTAZIONE SERVIZIO NAPT: da 192.168.1.2 a 192.168.1.254

che senso ha?

E poi, ma questa cosa di lasciare tutte queste porte aperte in listening non è rischioso? Come posso assicurarmi che siano solo determinati PC della rete ad avere accesso? Tempo fa mi parlavano di un canale VPN. Che mi dici in proposito?
Inoltre dal firewall posso settare gli indirizzi in entrata ma a casa io ho un IP dinamico. Come faccio a dirgli quindi fai entrare solo me e non un'altro?

grazie

lamerone
10-03-2011, 17:45
Allora ti dico da subito che la VPN sarebbe la cosa migliore per passare attraverso internet ma ti consiglio di scaricare una buona guida dovrei rivedere la config del router ed in questi gg il tempo è tiranno. La confi del tuo router Alice secondo me potresti anche cambiarla perchè da degli il che il tuo xyksell blocca di sicuro(visto che dovresti abilitare il traffico broadcast o quantomeno configurare il relay agent per far passare l'assegnazione ip). Per la configurazione del forward devi per forza fare così perché il forward è attraverso due e non un solo router. Se ho tempo do un occhio al VPN. Facci saper cmq

lamerone
20-03-2011, 10:54
com'è andata a finire?????:)