PDA

View Full Version : Configurazione NAT Router punto-punto

M4g0RM
21-03-2019, 11:06
configurazione attuale router Cisco gestito esclusivamente dall ISP, se navigo esco l'IP 82.xx.xx.xx però l ISP mi fornisce
un pool di ip statici pubblici ovvero 63.xx.xx.64/29 quindi gli ip che ho disponibili sono dal 63.xx.xx.65 al 63.xx.xx.70
di cui il 65 è il gateway e il 70 è il broadcast,quindi ho 4 ip liberi per aprire porte collegarmi da fuori etc,
Problema: devo implementare un firewall su questa rete credo che utilizzerò opensense il firewall sarà posizionato dietro al router,
quindi WAN del firewall connessa a lan del Router Cisco , e LAN del Firewall connessa allo switch principale,
fin qui tutto bene il mio dubbio sta nella configurazione del NAT ,
ho sempre configurato firewall dietro a router con un solo ip publico quindi chiamavo l isp
e chiedevo di aprire la porta 3389 per il desktop remoto (esempio)verso l ip locale del Firewall,
poi dentro il firewall creavo la stessa regola specificando l ip di destinazione sul lato LAN del firewall
ora però gli ip pubblici sono 4 quindi come funziona , se voglio associare la porta 3389 dell ip 63.xx.xx.67 ad un ip che corrispone ad un server sulla lan
e la porta 3389 dell ip 63.xx.xx.68 ad un ip che corrispone ad un altro server nella lan come faccio? Posso specificare l ip di provenienza nelle condizioni delle regole su firewall?
Grazie a chi mi vorrà schiarire le idee
Kaya
21-03-2019, 12:33
configurazione attuale router Cisco gestito esclusivamente dall ISP, se navigo esco l'IP 82.xx.xx.xx però l ISP mi fornisce
un pool di ip statici pubblici ovvero 63.xx.xx.64/29 quindi gli ip che ho disponibili sono dal 63.xx.xx.65 al 63.xx.xx.70
di cui il 65 è il gateway e il 70 è il broadcast,quindi ho 4 ip liberi per aprire porte collegarmi da fuori etc,
Problema: devo implementare un firewall su questa rete credo che utilizzerò opensense il firewall sarà posizionato dietro al router,
quindi WAN del firewall connessa a lan del Router Cisco , e LAN del Firewall connessa allo switch principale,
fin qui tutto bene il mio dubbio sta nella configurazione del NAT ,
ho sempre configurato firewall dietro a router con un solo ip publico quindi chiamavo l isp
e chiedevo di aprire la porta 3389 per il desktop remoto (esempio)verso l ip locale del Firewall,
poi dentro il firewall creavo la stessa regola specificando l ip di destinazione sul lato LAN del firewall
ora però gli ip pubblici sono 4 quindi come funziona , se voglio associare la porta 3389 dell ip 63.xx.xx.67 ad un ip che corrispone ad un server sulla lan
e la porta 3389 dell ip 63.xx.xx.68 ad un ip che corrispone ad un altro server nella lan come faccio? Posso specificare l ip di provenienza nelle condizioni delle regole su firewall?
Grazie a chi mi vorrà schiarire le idee

Alla spicciola
su pfSense configui la porta WAN e gli crei 4 ip virtuali 63.xx.xx.66-> 69.
Poi configuri la porta LAN nella configurazione a te idonea (ipotizziamo 192.168.0.0/24).
Vai nelle regole di NAT e imposti quello che ti interessa (ad esempio porta 3389 su ip 192.168.0.10:3389). Puoi anche gestire la regola che lo faccia solo per specifiche sorgenti IP.
Nella sezione rules in automatico ti creerà la regola di accept (se non ricordo male) per la porta 3389 su ip virtuale che hai definito nella nat. Dalle rules puoi definire magari l'ip o i range di ip autorizzati (io parlo di pfSense, ma in genere il principio è uguale).
M4g0RM
21-03-2019, 13:07
Alla spicciola
su pfSense configui la porta WAN e gli crei 4 ip virtuali 63.xx.xx.66-> 69.
Poi configuri la porta LAN nella configurazione a te idonea (ipotizziamo 192.168.0.0/24).
Vai nelle regole di NAT e imposti quello che ti interessa (ad esempio porta 3389 su ip 192.168.0.10:3389). Puoi anche gestire la regola che lo faccia solo per specifiche sorgenti IP.
Nella sezione rules in automatico ti creerà la regola di accept (se non ricordo male) per la porta 3389 su ip virtuale che hai definito nella nat. Dalle rules puoi definire magari l'ip o i range di ip autorizzati (io parlo di pfSense, ma in genere il principio è uguale).
Grazie inannzitutto, quindi per "configurazione" della porta wan intendi solo di creare questi 4 ip virtuali , per quanto riguarda l indirizzo con cui esco su internet cioe 82.xx.xx.xx posso utilizzarlo per Openvpn oppure mi consigli di utilizzare uno dei 4 ip da configurare come virtuali?
per spiegarmi meglio il dhcp del router cisco mi assegna l ip 10.0.0.100 quindi l ip dell interfaccia WAN di Opensense sarà 10.0.0.100 , posso comunque creare dei virtual ip che fanno parte della subnet 63.xx.xx.64/29 sulla stessa WAN?
Kaya
21-03-2019, 14:17
Grazie inannzitutto, quindi per "configurazione" della porta wan intendi solo di creare questi 4 ip virtuali , per quanto riguarda l indirizzo con cui esco su internet cioe 82.xx.xx.xx posso utilizzarlo per Openvpn oppure mi consigli di utilizzare uno dei 4 ip da configurare come virtuali?
per spiegarmi meglio il dhcp del router cisco mi assegna l ip 10.0.0.100 quindi l ip dell interfaccia WAN di Opensense sarà 10.0.0.100 , posso comunque creare dei virtual ip che fanno parte della subnet 63.xx.xx.64/29 sulla stessa WAN?

Devi far cambiare la configurazione del router cisco.
Se lato LAN del cisco ti da una classe 10.0.x.x allora sei già su una subnet privata e si occupa il cisco di fare i "magheggi".
Serve quindi che lato lan del cisco venga assegnato l'ip di gateway (quind 62.xx.xx.65) e ci colleghi diretto il firewall sulla pporta WAN (e li assegni l'interfaccia fisica con ip .66 e poi i virtual a seguire)
M4g0RM
21-03-2019, 15:24
Devi far cambiare la configurazione del router cisco.
Se lato LAN del cisco ti da una classe 10.0.x.x allora sei già su una subnet privata e si occupa il cisco di fare i "magheggi".
Serve quindi che lato lan del cisco venga assegnato l'ip di gateway (quind 62.xx.xx.65) e ci colleghi diretto il firewall sulla pporta WAN (e li assegni l'interfaccia fisica con ip .66 e poi i virtual a seguire)
in realtà vorrei vevitre di fare questo perche su un altra porta lan del cisco cè un altra rete separata che dovrà rimanere cosi com è che non sarà sotto il firewall, quello che ho capito e che se io mi collego dietro al cisco o su qualsiasi porta dello switch o anche dal mio pc il dhcp mi rilascia un ip 10.0.0.x di cui il gateway (che è lui il Cisco) è 10.0.0.1e funziona tutto, ma anche se imposto l ip 63.xx.xx.69 sulla scheda di rete o insomma uno dei 5 ip navigo e funziona tutto e il gateway 63.xx.xx.65 è sempre lui ,quindi ricapitolando ho visto che si possono impostare ip virtuali su diverse subnet quindi io posso lasciare WAN opensense su 10.0.0.2 impostare i virtual ip 63.xx.xx.66,67,68,69,70 e dovrebbe prenderseli in automatico in quanto questi ip sono già raggiungibili/impostabili sulla LAN del cisco,ora quello che non riesco a capire è se devo fare qualcosa a livello di nat sul cisco tipo girare 3389 da 63.xx.xx.69 verso l ip di Opensense 10.0.0.2 , o se questo lavoro devo farlo solo su Opensense in quanto quando io creo l ip virtuale Opensense "impersona " quell indirizzo ip , quindi mi basta far aprire le porte su quell indirizzo ip 63.xx.xx.69 e non ho bisogno di fare nat sul nel cisco , oppure devo far fare dall assitenza(perche io non posso intervenire sul cisco) un nat verso se stesso tipo porta 3389 63.xx.xx.69 verso 63.xx.xx.69 non so se esiste questo tipo di config.
Dopo di che devo fare il nat su opn sense o con nat 1:1 o con port forwarding per ridirigere la richiesta che arriva sull ip publico in questione verso un ip della lan opensense che sarà 192.168.1.xx Secondo te potrebbe Funzionare??
Kaya
22-03-2019, 07:31
Premesso che non condivido l'impostazione che vuoi fare, la soluzione è più semplice di quanto credi.

Come ip WAN che metti sul firewall NON metti 10.0.0.2 ma metti uno degli ip che hai a disposizione 63.xx.xx.69.
Dopodichè ci penserà il router cisco a fare ROUTING (per l'appunto) verso l'interfaccia fisica/virtuale che hai impostato.

Tutto qua
M4g0RM
25-03-2019, 09:20
Premesso che non condivido l'impostazione che vuoi fare, la soluzione è più semplice di quanto credi.

Come ip WAN che metti sul firewall NON metti 10.0.0.2 ma metti uno degli ip che hai a disposizione 63.xx.xx.69.
Dopodichè ci penserà il router cisco a fare ROUTING (per l'appunto) verso l'interfaccia fisica/virtuale che hai impostato.

Tutto qua
Ok ho capito cosa intendi e farò cosi, quello che non capisco è che se ad esempio devo aprire la porta 3389 del 63.xx.xx.70 verso 192.168.1.123 cosa devo dire al ISP? "mi apri la 3389 del 63.xx.xx.70 verso se stesso"? o come posso fare devo fare aprire per forza tutto quantoo ovvero any verso any e poi le regole le faccio io con opensense?
Kaya
25-03-2019, 10:03
Ok ho capito cosa intendi e farò cosi, quello che non capisco è che se ad esempio devo aprire la porta 3389 del 63.xx.xx.70 verso 192.168.1.123 cosa devo dire al ISP? "mi apri la 3389 del 63.xx.xx.70 verso se stesso"? o come posso fare devo fare aprire per forza tutto quantoo ovvero any verso any e poi le regole le faccio io con opensense?

Essendo routing non c'è nat quindi non devi dire nulla.
A meno che non abbiano fatto configurazioni esotiche (dubito) cerco di spiegarmi con un esempio

Tu hai un ROUTER che ha dietro di se due reti. Una pubblica 63.XX.XX.70 e una privata. 10.0.X.X.
Se io chiedo una risorse su 63.XX.XX.66 il pacchetto fa più o meno questo giro:
55.XX.XX.1 <- diciamo il mio router
YY.YY.YY.YY <- tutti gli hop che ci sono fino ad arrivare a...
82.xx.xx.xx <- l'ip lato "internet" del cisco che, vedendo arrivare una richiesta per l'ip 63.XX.XX.66 la fa transitare...
63.XX.XX.65 <- fino all'altra interfaccia del router che, essendo nella stessa subnet poi la manda (tramite tabella ARP) a
63.XX.XX.66 <- questa è uno degli ip che sono impostati sul tuo firewall.
E' ora sul firewall che definisci la regola di port forwarding (nat) verso un ip privato della tua lan

Credo che devi un po ripassare il funzionamento dei protocolli di routing, ma spero di averti chiarito il principiio base
M4g0RM
25-03-2019, 13:50
Essendo routing non c'è nat quindi non devi dire nulla.
A meno che non abbiano fatto configurazioni esotiche (dubito) cerco di spiegarmi con un esempio

Tu hai un ROUTER che ha dietro di se due reti. Una pubblica 63.XX.XX.70 e una privata. 10.0.X.X.
Se io chiedo una risorse su 63.XX.XX.66 il pacchetto fa più o meno questo giro:
55.XX.XX.1 <- diciamo il mio router
YY.YY.YY.YY <- tutti gli hop che ci sono fino ad arrivare a...
82.xx.xx.xx <- l'ip lato "internet" del cisco che, vedendo arrivare una richiesta per l'ip 63.XX.XX.66 la fa transitare...
63.XX.XX.65 <- fino all'altra interfaccia del router che, essendo nella stessa subnet poi la manda (tramite tabella ARP) a
63.XX.XX.66 <- questa è uno degli ip che sono impostati sul tuo firewall.
E' ora sul firewall che definisci la regola di port forwarding (nat) verso un ip privato della tua lan

Credo che devi un po ripassare il funzionamento dei protocolli di routing, ma spero di averti chiarito il principiio base
Grazie sei stata abbastanza chiara,effettivamente dai test che sto facendo mi risulta che posso gestire io le porte,
che di default sono aperte, unico dubbio adesso se io volessi configurare Opensense come server Openvpn
, prima ero abituato a farmi aprire la 1194Udp verso l ip wan di Opensense ,
in questo caso l ip di Opensense è lo stesso ip pubblico e quindi a questo punto sono io a definire quali porte sono aperte su quali ip, quindi devo creare qualche regola sul firewall?