Condivisione IP con Netgear Firewall

[Cadde]

salve,

scusate la niubbagine ma vorrei sapere se con un "banale"
firewall netgear (progettato per fungere da router adsl / nat /vpn)
possa invece usarlo, assegnando un'indirizzo di una rete pubblica già esistente, per fare natting su quell'indirizzo.
Lo scopo primario del router/firewall in questione (fvs318, per esser precisi) sarebbe la "condivisione dell'indirizzo ip"...per porre rimedio alla penuria di IP pubblici...

[BTS]

io direi di sì

[Cadde]

ah, un'altra cosa....

le due reti, la pubblica e la privata dovrebbero viaggiare sugli stessi switch senza nessuna "separazione"...le macchine in rete privata passeranno prima per il router/nat per e poi usciranno in Internet....


E' fattibile tutto ciò oppure sto delirando???

[BTS]

la prima parte della frase... non la capisco.
la seconda è giusta

[Cadde]

tento di spiegare meglio:

la rete esistente è una classe pubblica con diversi switch collegati tra loro, classe 194.167.x.y.
Il problema è che gli indirizzi pubblici sono finiti e ho necessità di collegare altre macchine, anche solo per navigare. Ho quindi pensato di collegare un router netgear con un indirizzo pubblico e assegnare ai pc degli indirizzi privati da nattare col netgear. Le due reti (194.167.x.y pubblica e 192.168.100.x privata) comunicheranno a livello datalink attraverso gli stessi switch, senza nessuna separazione con vlan o cose del genere...
le postazioni useranno gli switch per raggiungere il router nat netgear (e viceversa) e poi il router netgear utilizza gli stessi switch per raggiungere il router CISCO per uscire in Internet

si può tutto ciò????

[BTS]

in teoria è perfetto... adesso devi mettere in pratica!

[Cadde]

si, ho solo il terrore di bloccare la rete con qualche fesseria e di
impedire la navigazione a circa 100 persone !!!

comunque grazie!!

[stepvr]

Quote:

Originariamente inviato da Cadde

... Le due reti (194.167.x.y pubblica e 192.168.100.x privata) comunicheranno a livello datalink attraverso gli stessi switch, senza nessuna separazione con vlan o cose del genere...

Si', la cosa funziona ma attenzione che se un solo switch ha le reti in comune, il firewall del netgear, o qualsiasi altro, sara' totalmente inutile in quanto si potra' raggiungere, dal pubblico, la rete privata in modo diretto. Se possibile, costruisci una vlan sullo switch (anche di una sola porta) oppure riorganizza gli switch in modo da separare fisicamente le due reti. E' importante che l'unico punto di contatto tra le reti passi sempre attraverso il firewall.

[cisketto]

Quote:

Originariamente inviato da Cadde

tento di spiegare meglio:

la rete esistente è una classe pubblica con diversi switch collegati tra loro, classe 194.167.x.y.
Il problema è che gli indirizzi pubblici sono finiti e ho necessità di collegare altre macchine, anche solo per navigare. Ho quindi pensato di collegare un router netgear con un indirizzo pubblico e assegnare ai pc degli indirizzi privati da nattare col netgear. Le due reti (194.167.x.y pubblica e 192.168.100.x privata) comunicheranno a livello datalink attraverso gli stessi switch, senza nessuna separazione con vlan o cose del genere...
le postazioni useranno gli switch per raggiungere il router nat netgear (e viceversa) e poi il router netgear utilizza gli stessi switch per raggiungere il router CISCO per uscire in Internet

si può tutto ciò????

Spiegati meglio!!! magari uno schema della rete farebbe comodo; cmq si puo fare ma vorrei tanto sapere come sn collegati gli apparati

[Cadde]

nn capisco bene cosa tu intenda per "raggiungere, dal pubblico, la rete privata in modo diretto"
la possibile interpretazione che mi viene in mente è questa: le macchine già esistenti e tuttora esposte su rete pubblica potrebbero, cambiando indirizzo, comunicare con le macchine della "rete privata" senza passare per il firewall (cosa, al momento, nn grave)
Da Internet invece non dovrebbe essere possibile raggiungere le macchine "teoricamente " dietro il firewall, a meno di port forwarding o cose del genere.
Non posso utilizzare vlan, gli switch sono tanti e tutti diversi (non managed)
Mi rendo conto che è una (mezza) porcheria ma al momento ho un bisogno impellente di aggiungere postazioni che possano almeno navigare via nat (tramite il firewall netgear)...

Riassumendo...
Allo switch (1 o +) io collego:

****le postazioni su rete pubblica
****il router Cisco su rete pubblica (1 porta collegata allo switch con ind 194.167.x.1, 1 seriale verso ISP)
****le nuove postazioni su rete privata 192.168.100.x
****il nuovo router/firewall/nat Netgear (1 porta collegata allo switch con ind 192.168.100.1 e l'altra collegata allo stesso switch con indirizzo pubblico 194.167.1.101

Le nuove postazioni dovrebbero avere come gateway il router Netgear 192.168.100.1 e uscire su Internet nattate
attraverso l'altra interfaccia del Netgear (lato Wan 194.167.x.101) usando il default gateway del -->Netgear (che corrisponde al default gateway di tutte le altre postazioni direttamente su rete pubblica) router Cisco 194.167.x.1

schema

pc 192.168.100.x ---switch--> [(192.168.100.1 Lan) Netgear/nat (194.167.1.101 Wan)]--switch-->[(194.167.1.1) Cisco (serial ISP)]

lo switch in questione è uno solo...o anche se fosse più d'uno il dominio di broadcast è unico....

[cisketto]

Ah meglio ora. Si si puo fare e neanche devi modificare la configurazione del cisco. Per quanto riguarda lo switch io ne userei 2 o in alternativa 1 ma con 2 Vlan configurate

[Cadde]

Quote:

Originariamente inviato da cisketto

Ah meglio ora. Si si puo fare e neanche devi modificare la configurazione del cisco. Per quanto riguarda lo switch io ne userei 2 o in alternativa 1 ma con 2 Vlan configurate

si il fatto di nn toccare il Cisco era un prerequisito...nn ho accesso a tale apparato...
x le vlan spero di poter aggiungere qualche switch decente a breve...

per quanto riguarda il Nat fatto col netgear fvs318 (apparato da 150 euro....) quante macchine pensate che mi regga in Nat con un bandwidth max di 2/3 Mbps? 30 me le regge? oppure mi dissanguo con un CIsco Pix 501-50 utenti?

[BTS]

vlan da settare tra chi?
è così indispensabile?

[stepvr]

Se fosse sufficiente uno switch per tagliare le reti, non sarebbero nati i firewall.

Quote:

Originariamente inviato da Cadde

... Da Internet invece non dovrebbe essere possibile raggiungere le macchine "teoricamente " dietro il firewall ...

Purtroppo e' falso. Vale per la maggior parte degli utenti ma quelli con un bricciolo di conoscenza in piu', entrano.

Quote:

Originariamente inviato da Cadde

... a meno di port forwarding o cose del genere.

Domanda: perche' un pacchetto di rete dovrebbe passare per il firewall quanto ha la strada spianata attraverso lo switch?

Quote:

Originariamente inviato da Cadde

Non posso utilizzare vlan, gli switch sono tanti e tutti diversi (non managed) ...

Riorganizza gli switch in modo che uno abbia solo gli IP pubblici. Niente collegamenti alla rete privata.

Quote:

Originariamente inviato da Cadde

Allo switch (1 o +) io collego:

****le postazioni su rete pubblica
****il router Cisco su rete pubblica (1 porta collegata allo switch con ind 194.167.x.1, 1 seriale verso ISP)
****le nuove postazioni su rete privata 192.168.100.x
****il nuovo router/firewall/nat Netgear (1 porta collegata allo switch con ind 192.168.100.1 e l'altra collegata allo stesso switch con indirizzo pubblico 194.167.1.101

Assolutamente da evitare se non esiste la vlan:
****le nuove postazioni su rete privata 192.168.100.x

Se vuoi toglierti la curiosita', prendi uno dei computer sul pubblico, aggiungi sulla scheda di rete oltre all'IP pubblico anche un IP secondario della tua rete privata. Da quel computer potrai, poi, raggiungere facilmente tutta la tua rete privata; con o senza firewall.

[Cadde]

Bè si il "livello di sicurezza delle macchine dietro al firewall" è molto basso in quanto sono fisicamente collegate alla stessa rete pubblica con tutte le altre macchine...in questo concordo...

Quote:

Domanda: perche' un pacchetto di rete dovrebbe passare per il firewall quanto ha la strada spianata attraverso lo switch?

I pacchetti che provengono dalle postazioni su rete privata in realtà nn sanno null'altro e inviano i pacchetti al loro default gateway che è il netgar nattante...
Non posso riorganizzare gli switch...è tutto fatto con cablaggio strutturato e ci sono 3 piani di mezzo...

Il fatto è che a me serve il "firewall" esclusivamente per permettermi di fare Nat con un solo indirizzo pubblico ed avere più pc a disposizione....
la sicurezza è realizzata a livello di rete pubblica (molto più a monte di tutto il nostro discorso..)
a me serve solo che funzioni e che non mi crei problemi alla rete pubblica (per non essere poi impiccato con un rigoroso CAT6!!!)

[BTS]

se dici che il discorso sicurezza è a monte, secondo me non ci saran problemi

[stepvr]

Quote:

Originariamente inviato da Cadde

I pacchetti che provengono dalle postazioni su rete privata in realtà nn sanno null'altro e inviano i pacchetti al loro default gateway che è il netgar nattante...

Vero ma il problema e' che ti aggirano il firewall dal pubblico al privato.

Quote:

Originariamente inviato da Cadde

Non posso riorganizzare gli switch...è tutto fatto con cablaggio strutturato e ci sono 3 piani di mezzo...

Hai una rete piuttosto estesa ... Occhio, perche' dal pubblico non fanno sconti a nessuno. Se vieni preso di mira, son guai.

[cisketto]

Ma xke 100000 problemi per una cosa cosi semplice? un router con 2 int ethernet che fa nat tanto semplice! se pero dici che puoi avere un pix a prezzi decenti allora meglio il pix che un firewall netgear!

[Cadde]

Quote:

Originariamente inviato da cisketto

Ma xke 100000 problemi per una cosa cosi semplice? un router con 2 int ethernet che fa nat tanto semplice! se pero dici che puoi avere un pix a prezzi decenti allora meglio il pix che un firewall netgear!

Si..si..il problema è che ho le "nuove postazioni" su rete privata andranno attaccate qua e là per 1000 mq e circa 3 piani....
il fatto di avere tutte queste macchine nello stesso dominio di broadcast (ci sono diversi switch...) mi dovrebbe poter consentire di realizzare la porcheria di cui parliamo da ore...
attaccare una nuova macchina in un qualsiasi punto dovrebbe richiedermi solo assegnarli un ip privato e passando per il netgear "nattante" (raggiunto magari attraverso altri 2 switch) giungere ad Internet!!
Insomma un Plug&Pray della connessione!!

[stepvr]

Quote:

Originariamente inviato da Cadde

Insomma un Plug&Pray della connessione!!

Normalmente si usa il DHCP. E' comodissimissimo!