Due Lan e WNR3500.

Aronne_I · 02-08-2010, 12:56

Salve,
ho una Lan1 con accesso ad internet e firewall e dhcp 192.168.x.1 e una trentina di pc, ho acquistato il Netgear Router Wireless WNR3500 per creare una ulteriore Lan2 e ho assegnato dalla parte esterna 192.168.x.50 della Lan1 e dalla parte interna con dhcp ho creato la Lan2 192.168.z.1 per poter collegare dei pc ospiti in wireless e andare su internet... fino a qui tutto Ok.
Quello che vorrei sarebbe che i pc delle due Lan non si vedessero per un fatto di sicurezza, mentre adesso i pc della Lan2 vedono i pc della Lan1, mentre i pc della Lan1 non vedono quelli della Lan2.... penso si debba creare delle static route ma non so come se sul firewall della Lan 1 o sul router della Lan2...
potete aiutarmi, grazie.

nuovoUtente86 · 02-08-2010, 13:01

è normale che sia cosi, per via della gestione del NAT. Se quello che ti interessa è andare su internet con un unico gateway, devi creare un tunnel all' interno del primo segmento LAN.

Aronne_I · 02-08-2010, 14:31

come ho detto vado in internet anche dalla Lan2 ma vedo pure i pc della Lan1, cosa invece che vorrei evitare.
Cosa dovrei impostare per fare quello che mi hai detto, puoi spiegarmi meglio o indicarmi qualcosa che mi faccia capire ? grazie.

nuovoUtente86 · 02-08-2010, 15:30

http://www.hwupgrade.it/forum/showth...ghlight=tunnel

qui ho spiegato come creare il tutto.

Spectrum7glr · 02-08-2010, 15:33

dalla lan1 alla lan2 a meno che non siano in funzione protocolli di routing o tu non abbia inserito rotte statiche sugli host non ci dovrebbero essere problemi (a meno dei casi sopra riportati nessun host della lan1 dovrebbe essere in grado di raggiungere gli host della lan2)...per il discorso contrario ti serve un FW prima del gateway della lan2 che droppi i pacchetti destinati alla subnet della lan1. Vedi un po' se nel WNR3500 c'è la possibilità di impostare una qualche ACL in questo senso e dovresti aver risolto.

Harry_Callahan · 02-08-2010, 15:43

Quote:

Originariamente inviato da nuovoUtente86

qui ho spiegato come creare il tutto.

però andrebbe rivisto la mask lato router WAN in quanto presenta soli 2 host per subnet

edit: ho detto una fesseria, i 2 host sono sufficienti per la WAN, poi ha un range di 254 PC sull'altra subnet

nuovoUtente86 · 02-08-2010, 15:46

Quote:

non siano in funzione protocolli di routing o tu non abbia inserito rotte statiche

non c' entrano nulla nè protocolli di routing dinamico, nè rotte statiche in quanto esiste un NAT (restricted cone) in mezzo. L' unica cosa che può abilitare il passaggio di pacchetti è un portforward.

nuovoUtente86 · 02-08-2010, 15:47

Quote:

Originariamente inviato da Harry_Callahan

però andrebbe rivisto la mask lato router WAN in quanto presenta soli 2 host per subnet

la maschera deve essere quella obbligatoriamente. L' importante che gateway e wan-interface siano sulla stessa subnet.

Spectrum7glr · 02-08-2010, 15:48

allora dovresti spiegarmi come funziona la mia rete a casa. Io ho una sottorete che funziona esattamente così...se volessi inbire l'accesso dalla lan2 alla lan 1 dovrei semplicemente mettere una ACL sul router/fw che fa da gateway per la lan2.

Harry_Callahan · 02-08-2010, 15:48

Quote:

Originariamente inviato da nuovoUtente86

la maschera deve essere quella obbligatoriamente. L' importante che gateway e wan-interface siano sulla stessa subnet.

sisi, hai ragione, mi sono reso conto pochi istanti fa, infatti ho editato

Harry_Callahan · 02-08-2010, 15:54

Quote:

Originariamente inviato da Spectrum7glr

allora dovresti spiegarmi come funziona la mia rete a casa. Io ho una sottorete che funziona esattamente così...se volessi inbire l'accesso dalla lan2 alla lan 1 dovrei semplicemente mettere una ACL sul router/fw che fa da gateway per la lan2.

perchè invece di disporli a stella li hai messo in daisy-chain

scherzo logicamente

nuovoUtente86 · 02-08-2010, 15:57

Quote:

Originariamente inviato da Spectrum7glr

allora dovresti spiegarmi come funziona la mia rete a casa. Io ho una sottorete che funziona esattamente così...se volessi inbire l'accesso dalla lan2 alla lan 1 dovrei semplicemente mettere una ACL sul router/fw che fa da gateway per la lan2.

certo, è un ulteriore modo per bloccare il traffico, ma non si devono scomodare termini come routing dinamico e statico che non c' entrano nulla.
Il perchè la lan2 possa raggiungere la lan1 è semplice e risiede nel funzionamento del NAT ristretto:
quando un host_lan2 si connette, attraverso il gateway alla lan1 (o ad internet) quest' ultimo tiene traccia della connessione aperte (da qui i famosi problemi di sapurazione della tabella di NAT che chi fa P2P ben conosce) ed effettua un forward trasparente delle risposte. Se anche dicessimo agli host della lan1 di raggiungere la lan2 attraverso la wan-interface del secondo router (static route), questi (in assenza di regole di forward) dropperebbe i pacchetti.

Spectrum7glr · 02-08-2010, 16:04

Quote:

Originariamente inviato da nuovoUtente86

certo, è un ulteriore modo per bloccare il traffico, ma non si devono scomodare termini come routing dinamico e statico che non c' entrano nulla.
Il perchè la lan2 possa raggiungere la lan1 è semplice e risiede nel funzionamento del NAT ristretto:
quando un host_lan2 si connette, attraverso il gateway alla lan1 (o ad internet) quest' ultimo tiene traccia della connessione aperte (da qui i famosi problemi di sapurazione della tabella di NAT che chi fa P2P ben conosce) ed effettua un forward trasparente delle risposte. Se anche dicessimo agli host della lan1 di raggiungere la lan2 attraverso la wan-interface del secondo router (static route), questi (in assenza di regole di forward) dropperebbe i pacchetti.

un router puro (che abbia una default route impostata) non droppa pacchetti: che poi un router consumer grade di solito integri un rudimentale FW e quindi di default non consenta ai pacchetti originati dalla wan di attraversarlo a meno di impostare un portforwarding è un altro paio di maniche...ripeto nel mio setup casalingo i pacchetti traversano il router (che funziona come router PURO) di confine tra lan1 e lan2 in entrambe le direzioni indipendentemente da dove si originino senza necessità di forwardare alcun chè (a condizione che evidentemente l'host della lan1 sappia come raggiungere la lan2).

nuovoUtente86 · 02-08-2010, 16:11

Quote:

Originariamente inviato da Spectrum7glr

un router puro non droppa pacchetti: che poi un router consumer grade di solito integri un rudimentale FW e quindi di default non consenta ai pacchetti originati dalla wan di attraversarlo a meno di impostare un portforwarding è un altro paio di maniche...ripeto nel mio setup casalingo i pacchetti traversano il router (che funziona come router PURO) di confine tra lan1 e lan2 in entrambe le direzioni indipendentemente da dove si originino senza necessità di forwardare alcun chè (a condizione che evidentemente l'host della lan1 sappia come raggiungere la lan2).

un isr (alias router broadband) non è un router puro (i router puri non fanno NAT), e le cose funzionano come ho appena spiegato e non è questione di firewall, ma di raggiungibilità fisica. Se poi utilizzi (puoi iniziare con il citare il modello) un router puro (hardware o software che sia) oppure un gateway (nativo o adattato) il discorso è diverso, ma non inerente a questa trattazione.

Spectrum7glr · 02-08-2010, 23:53

dunque: router draytek vigor 2800 come gateway per internet e router cisco 1841 con "dietro" la subnet 2...rotta statica impostata sul draytek (per raggiungere la subnet 2) che punta all'interfaccia sulla subnet 1 del cisco e default route impostata sul cisco che punta verso il draytek. Niente nat...magari sono io che non ho spiegato al cisco che così non può funzionare (come ai calabroni che stando alle leggi della fisica non possono volare

)però ti assicuro che da qualsiasi PC della subnet 1 posso avviare ad esempio una sessione remote dektop su una macchina nella subnet 2 e viceversa. Inutile aggiungere che se imposto una ACL ad hoc sul cisco dalla subnet 2 non raggiungo più la subnet 1 ma posso continuare a navigare su internet anche da "dietro" al cisco. Visto che c'ero ho provato anche a sostituire il cisco con un draytek broadband (uno di quelli senza modem integrato per intenderci: porte ethernet sia verso la "wan" che verso la "lan")...se disabilito il FW funziona tutto a meraviglia.

nuovoUtente86 · 03-08-2010, 10:57

Quote:

Niente nat

e allora di che stiamo a parlare? questo l' ho indicato 10 post fa, circa: non tutti (quasi nessun) router domestico consente di disabilitare il NAT , ergo di deve agirare il problema in modo diverso.

nuovoUtente86 · 03-08-2010, 11:02

Quote:

Visto che c'ero ho provato anche a sostituire il cisco con un draytek broadband (uno di quelli senza modem integrato per intenderci: porte ethernet sia verso la "wan" che verso la "lan")...se disabilito il FW funziona tutto a meraviglia.

direi se disabiliti il NAT (ed eventualmente anche il firewall, dato che in alcun modelli di default il firewall è speculare) e di fatto lo trasformi in un gateway, altrimenti non passi nemmeno (senza sfruttare una vulnerabilità intrinseca del Cone) se lo prendi a morsi il router. Del resto, a NAT attivo, verso quale host interno dovrebbero essere redirette le connessioni ricevute sulla wan-interface?

Harry_Callahan · 03-08-2010, 13:25

Quote:

Originariamente inviato da nuovoUtente86

non tutti (quasi nessun) router domestico consente di disabilitare il NAT

forse più quelli broadband non lo permettono, di solito quelli con modem interno danno sempre la possibilità di disabilitare il NAT per il protocollo IPoA, cioè per quelle connessioni business dove il NAT non è richiesto

un chiarimento sul discorso router puro, hai scritto che un router puro non fa NAT, se prendiamo un Cisco, per semplicità il 1841 di Spectrum7glr, se non erro ha 2 interfacce, se non dai nessun comando per il NAT, è corretto considerarlo un router puro?

nuovoUtente86 · 03-08-2010, 13:35

Un router puro lavora a livello 3 ruotando pacchetti fra varie interfacce. Ovviamente vengono offerte varie altre funzionalità tra cui il NAT. Dal momento che tale funzionalità viene attivata, smette di essere un router e diventa un server NAT, con quello che ne consegue in uscita e soprattutto in ingresso (ad esempio man mano che si restringe il tipo di NAT si ha un maggiore consumo di risorsa). Quanto al fatto se un router con 2 sole interfacce possa essere chiamato router la risposta è ni: si tratta in realtà di uno stub-router ovvero un dispositivo hub-and-spoke con una sola rotta obbligata almeno in default.

Spectrum7glr · 03-08-2010, 13:35

in effetti mi sono scaricato il manuale del netgear e mi sono accorto che non ha la possibilità di esporre verso l'esterno una lan ...cercando poi in rete devo dire che hai ragione e quello che a me sembra una funzionalità base di un router (appunto comportarsi da router: routare i pacchetti) è in realtà presente solo su pochissimi modelli (cisco a parte). Evidentemente con cisco, mikrotik e draytek sono abituato bene

02-08-2010, 12:56	#1
Aronne_I Junior Member Iscritto dal: Jun 2009 Messaggi: 7	Due Lan e WNR3500. Salve, ho una Lan1 con accesso ad internet e firewall e dhcp 192.168.x.1 e una trentina di pc, ho acquistato il Netgear Router Wireless WNR3500 per creare una ulteriore Lan2 e ho assegnato dalla parte esterna 192.168.x.50 della Lan1 e dalla parte interna con dhcp ho creato la Lan2 192.168.z.1 per poter collegare dei pc ospiti in wireless e andare su internet... fino a qui tutto Ok. Quello che vorrei sarebbe che i pc delle due Lan non si vedessero per un fatto di sicurezza, mentre adesso i pc della Lan2 vedono i pc della Lan1, mentre i pc della Lan1 non vedono quelli della Lan2.... penso si debba creare delle static route ma non so come se sul firewall della Lan 1 o sul router della Lan2... potete aiutarmi, grazie.

02-08-2010, 15:33	#5
Spectrum7glr Senior Member Iscritto dal: Jun 2002 Città: Verona Messaggi: 4957	dalla lan1 alla lan2 a meno che non siano in funzione protocolli di routing o tu non abbia inserito rotte statiche sugli host non ci dovrebbero essere problemi (a meno dei casi sopra riportati nessun host della lan1 dovrebbe essere in grado di raggiungere gli host della lan2)...per il discorso contrario ti serve un FW prima del gateway della lan2 che droppi i pacchetti destinati alla subnet della lan1. Vedi un po' se nel WNR3500 c'è la possibilità di impostare una qualche ACL in questo senso e dovresti aver risolto. __________________ case lian li; Intel pro/1000pt quad port pci-express; 9 dischi fissi WD RE3 320gb

02-08-2010, 15:48	#9
Spectrum7glr Senior Member Iscritto dal: Jun 2002 Città: Verona Messaggi: 4957	allora dovresti spiegarmi come funziona la mia rete a casa. Io ho una sottorete che funziona esattamente così...se volessi inbire l'accesso dalla lan2 alla lan 1 dovrei semplicemente mettere una ACL sul router/fw che fa da gateway per la lan2. __________________ case lian li; Intel pro/1000pt quad port pci-express; 9 dischi fissi WD RE3 320gb Ultima modifica di Spectrum7glr : 02-08-2010 alle 15:50.

02-08-2010, 23:53	#15
Spectrum7glr Senior Member Iscritto dal: Jun 2002 Città: Verona Messaggi: 4957	dunque: router draytek vigor 2800 come gateway per internet e router cisco 1841 con "dietro" la subnet 2...rotta statica impostata sul draytek (per raggiungere la subnet 2) che punta all'interfaccia sulla subnet 1 del cisco e default route impostata sul cisco che punta verso il draytek. Niente nat...magari sono io che non ho spiegato al cisco che così non può funzionare (come ai calabroni che stando alle leggi della fisica non possono volare )però ti assicuro che da qualsiasi PC della subnet 1 posso avviare ad esempio una sessione remote dektop su una macchina nella subnet 2 e viceversa. Inutile aggiungere che se imposto una ACL ad hoc sul cisco dalla subnet 2 non raggiungo più la subnet 1 ma posso continuare a navigare su internet anche da "dietro" al cisco. Visto che c'ero ho provato anche a sostituire il cisco con un draytek broadband (uno di quelli senza modem integrato per intenderci: porte ethernet sia verso la "wan" che verso la "lan")...se disabilito il FW funziona tutto a meraviglia. __________________ case lian li; Intel pro/1000pt quad port pci-express; 9 dischi fissi WD RE3 320gb Ultima modifica di Spectrum7glr : 03-08-2010 alle 00:12.

03-08-2010, 13:35	#19
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	Un router puro lavora a livello 3 ruotando pacchetti fra varie interfacce. Ovviamente vengono offerte varie altre funzionalità tra cui il NAT. Dal momento che tale funzionalità viene attivata, smette di essere un router e diventa un server NAT, con quello che ne consegue in uscita e soprattutto in ingresso (ad esempio man mano che si restringe il tipo di NAT si ha un maggiore consumo di risorsa). Quanto al fatto se un router con 2 sole interfacce possa essere chiamato router la risposta è ni: si tratta in realtà di uno stub-router ovvero un dispositivo hub-and-spoke con una sola rotta obbligata almeno in default. Ultima modifica di nuovoUtente86 : 03-08-2010 alle 13:39.

02-08-2010, 13:01	#2
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	è normale che sia cosi, per via della gestione del NAT. Se quello che ti interessa è andare su internet con un unico gateway, devi creare un tunnel all' interno del primo segmento LAN.

02-08-2010, 14:31	#3
Aronne_I Junior Member Iscritto dal: Jun 2009 Messaggi: 7	come ho detto vado in internet anche dalla Lan2 ma vedo pure i pc della Lan1, cosa invece che vorrei evitare. Cosa dovrei impostare per fare quello che mi hai detto, puoi spiegarmi meglio o indicarmi qualcosa che mi faccia capire ? grazie.

02-08-2010, 15:30	#4
nuovoUtente86 Senior Member Iscritto dal: Mar 2007 Messaggi: 7863	http://www.hwupgrade.it/forum/showth...ghlight=tunnel qui ho spiegato come creare il tutto.

Strumenti
Mostra una versione stampabile Invia questa pagina per email