Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Accesso a server in DMZ da LAN inserendo IP Pubblico

    Scheduled Pinned Locked Moved
    Italiano
    3
    8
    13.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tinex
      last edited by

      Ciao a tutti,
      volevo sottoporvi questo problema che non riesco a capire dove sto sbagliando.
      Configurazione vedi immagine allegata, spero si capisca  ;D
      Allora, se dalla mia lan inserisco l'indirizzo ip del server in dmz riesco a raggiugerlo tranquillamente,
      se invece dalla mia lan inserisco l'indirizzo ip pubblico, che sarebbe quello dell' adsl di telecom ,
      e per una serie di regole ho nattato ip:porta80 dell'ip pubblico verso ip server in dmz, non riesco a raggiungerlo?
      Da un pc remoto invece riesco a vedere tutto tranquillamente . per remoto intendo proprio fisicamente.
      Ho provato a disabilitare il NAT reflection , ma non ho risolto niente.
      So che deve esserci qualcosa con le regole su WAN o su LAN ma non riesco ad arrivarci a capire .
      Se potete darmi un aiutiino ?!?!
      Grazie
      WAN_LAN_DMZ.gif
      WAN_LAN_DMZ.gif_thumb

      1 Reply Last reply Reply Quote 0
      • T
        tinex
        last edited by

        Ho provato anche ad eseguire i passaggi ce ho trovato qui
        http://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks%3F
        ma niente da fare.. :o
        Qualcuno ha qualche idea ? Suggerimento
        Grazie

        1 Reply Last reply Reply Quote 0
        • Z
          Zanotti
          last edited by

          Vediamo se ho capito bene, tu pinghi il server in DMZ ma non riesci a pingare l'IP WAN del router giusto?
          Una prova semplice la puoi fare provando a pingare l'indirizzo WAN del tuo PFsense (10.0.0.10), se il pacchetto ritorna deve ritornare anche per l'IP 10.0.0.1 che è l'indirzzo LAN del tuo router. Se riesci a pingare anche quest'ultimo indirizzo allora il problema è solo sul router. Vai per gradi comunque, dal client in LAN comincia a pingare l'indirizzo WAN del Pfsense, se non riesci crea la regola apposta in RULES->LAN per quell'IP e per il protocollo ICMP e rifai la prova, ricordati che PFsense blocca tutto quello che non è esplicitamente consentito quindi nelle regole che usi abilita anche il log che riesci a farti un'idea migliore. Controlla che sui client in LAN ci sia il giusto gateway. Il NAT reflection in questo caso mi sa che non c'entra nulla.

          1 Reply Last reply Reply Quote 0
          • T
            tinex
            last edited by

            Qui cè lo zampino di tecom
            Allora vi spiego come ho proceduto per fare le prova. Premetto che non ho ancora risolto il problema.
            Tutte le prove di ping che mi ha detto Zanotti ( :Dthank u very much ;D) sono andate tutte a buon fine, inoltre tutte le regole su pfsense , come icmp per fare il ping, sono settate correttamente.
            Il modem in questione è un modem telecom alice gate w2+ come questo http://digilander.libero.it/viveretranquilli/84cd_1.jpg ma senza wireless.
            L'indirizzo ip assegnato è fisso come in una tipologia aziendale. Ho preso un altro alice gate w2+ modificato in firmware come USRobotics. ;D
            Come l'ho collegato alla linea adsl , è stato assegnato un indirizzo ip diverso da quello precendete e cosi vià ad ogni riavvio del modem.
            Da qui ho capito che in centrale te            com vi è un settaggio particolare che viene scaricato solo con il modem in comodato d'uso.
            Con il modem modificato ho poi impostato il Virtual Server su porta 80 e assegnato come indirizzo la wan di pfsense 10.0.0.10/8.
            Risultato: quando inserivo l'indirizzo ip pubblico, da un pc interno alla lan , mi compariva la login del mio router modificato, mentre se lo inserivo da un pc esterno (logmein del mio pc di casa), aprivo tranquillamente
            la pagina WEB del mio server in dmz. Qualche passo in avanti c'è stato , ovvero prima con il modem te**com non si ritornava nemmeno un errore, mentre con quello modifica mi chiedeva la login del router.
            C'è da precisare una cosa: essendo il modem modificato non vorrei che ci fosse qualche problema di NAT , o meglio vedendo l'immagine che allego , si nota che nel mentre creo la regola per il nat della porta 80, vengo informato che la porta 80 attualmente gestita dal modem router viene spostata nella porta 8080 , ma poi di fatto se vado a riaprire il la webconsole del modem con http://10.0.0.1:8080 non si apre nulla.
            A questo punto mi sorgono 2 dubbi:

            1. il modem modifica che ho usato per fare il test non va bene, occore prendere qualcosa come cisco oppure lynksys oppure dlink ?
            2. la te**com stessa che ti inibisce di utilizzare la porta 80 ed altre per scopi simili, in quanto rivende dei servizi fatti apposta per fare queste cose ?

            Qualcuno mi puo illuminare ?
            Grazie

            PS: Una volta terminato i test e ricollegato il modem in comodato , ho notato che il modem si è riavviato 2 volte come se si fosse aggiornato dalla centrale te**com , e di fatti l'indirizzo ip pubblico è tornato ad essere quello di prima.

            usrobotics.GIF
            usrobotics.GIF_thumb

            1 Reply Last reply Reply Quote 0
            • Z
              Zanotti
              last edited by

              ORa che ho visto bene qual'è il tuo modem mi viene in mente che non sei l'unico che ha avuto questo problema. Mi ricordo di un amico con il tuo stesso modem ma che era stato blindato dalla Telecom direttamente e non poteva fare nessuna variazione sulla configurazione. Soluzione? Ha cambiato router ed è passato ad un netgear e ora dorme tranquillo però posso dirti che non è una cosa che può funzionare sempre perchè ci sono settaggi che fanno direttamente in centrale, sempre stando a quello che questo amico mi diceva a detta di un tecnico della Telecom. Giusto per curiosità io proverei con un altro router…

              1 Reply Last reply Reply Quote 0
              • T
                tinex
                last edited by

                Grazie Zanotti, magari nel weekend proverò un altro modem , magari un netgear e vedere cosa salta fuori dalle prove..

                1 Reply Last reply Reply Quote 0
                • M
                  maxvig
                  last edited by

                  Io aspetterei a comprare un router
                  secondo me non riesci a vedere il server in DMZ con l'Ip nattato perche è nattato … sull'interfaccia WAN.
                  Ovvero solo il traffico che passa per l'interfaccia WAN natta gli indirizzi.
                  Se dall'interfaccia LAN vai in DMZ non passi da WAN.
                  Non capisco poi perche devi entrare in DMZ con l'indirizzo WAN, entra con quello della subnet e fai quello che devi fare.

                  Un caso diverso è quello del nome a dominio.
                  Se sulla DMZ hai un sito www.azienda.it, per raggiungerlo dalla lan devi andare a mettere il corrispondente nome e indirizzo interno della sottorete nelle eccezioni del DNS (sevices-> DNS forwarder)

                  facci sapere

                  1 Reply Last reply Reply Quote 0
                  • T
                    tinex
                    last edited by

                    Ciao maxvig,
                    hai ragione cavoli, solo il traffico che passa dalla wan natta gli indirizzi.
                    riepilogo brevemente:
                    allora nella dmz ho un server web LAMP su cui gira un' applicazione tipo calendario via web.
                    L'uso di questa applicazione è sia dall'interno che dall'esterno.
                    Quindi dall' interno via 192.168.5.10/24 e dall' esterno via indirizzo ip pubblico fisso dato dalla te**com.
                    L'applicazione non è registrata come dominio in internet e pertanto è raggiungibile solo attraverso ip pubblico dall'esterno.
                    Lo scopo mio era quello di rendere più elegante il fatto di avere un solo indirizzo ip (quello pubblico) da dover inserire, sia dalla lan che dall' esterno.
                    Purtroppo dalle prove che ho fatto e dalle considerazione con Zanotti , sono giunto alla conclusione che è più semplice fare due collegamenti sul desktop agli utenti , uno da usare internamente e uno da usare esternamente.  
                    Eppure , mi sembrava di aver visto qualcosa di fattibile da altre parti, oppure mi ricordo male in quanto vi erano più indirizzi ip …
                    Mi era venuto in mente come ultima sponda, quella di registrare un dominio con il redirect...  ;D
                    Una soluzione sarebbe quella di aggiungere una scheda di rete virtuale e di fare una route statica su quella scheda, un pò come descritto qui
                    http://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks%3F alla voce Method 3: Experimental Routing Tricks
                    ma mi sa che è più semplice fare i collegamenti .
                    Voi cosa dite ?
                    Grazie ancora a tutti intanto..

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post