accesso ssh web gui e ICMP da wan

test0

Buongiorno a Tutti,
come dal titolo avrei bisogno di aprire le relative porte e servizi sulla rete wan, che non è altro che la rete interna della segreteria (172.16.200.0/24) la quale è collegata ad internet attraverso un comune router.

pfSense in questo caso mi serve per portare la connessione su un laboratorio, separare le reti e fare un po' di prove con vpn ed altri strumenti.

La versione di pfSense è la 2.3.5 p2 (i386) e non posso fare un avanzamento in quanto è installata su un hardware alix (riciclato).

Quello che non mi riesce fare è creare una regola che mi permette di aprire le relative porte sul lato wan, così da poter amministrare il pfSense anche dalla rete della segreteria.

Ho fatto vari tentativi ed ho letto svariate cose in internet, ma non riesco a superare questo problema, se qualcuno fosse così gentile da darmi delle spiegazioni e diritte in merito sarei infinitamente grato.

test0

questo è uno dei test che ho fatto per aprire ssh su wan

federicop

Non mi è chiaro ciò che hai fatto, ovvero come hai strutturato la rete.

perchè passi da WAN? ovvero la WAN dove è collegata?
perchè amministri pfsense tramite SSH porta 22 e non tramite webgui porta 445 o 80?

sarebbe utile uno schema della tua infrastruttura

Anche perchè vedo che sulla tua regola, l'ip sorgente è lo stesso della LAN della segreteria quindi perchè non passi per la LAN?

test0

@federicop
la configurazione è la seguente
IP LAN 10.100.100.0/24 interfaccia lan 10.100.100.254
IP WAN 172.16.200.0/24 interfaccia wan 172.16.200.2

se configuro la rete wan in questo modo (di default)

ottengo le seguenti regole :

ed il ping ad esempio non funziona dalla rete 172.16.200.0 anche se inserisco l'apposita regola (quella sotto alle due inserite in automatico)

forse perché le prime due bloccano la terza ?
oppure è la terza ad essere sbagliata ?

kiokoman

@test0
la prima regola blocca la rete della tua rete lan_segreteria, sono indirizzi ip privati facente parte della rfc1918. devi togliere la spunta da "Block private networks"

federicop

@kiokoman ti ha risposto.. ma vedendo cosi è come se hai due LAN... ma credo non sia molto corretto usare la WAN come LAN... non è meglio configuare una VLAN o mettere un'altra interfaccia di rete?....

ovviamente mi faccio gli affari miei... era solo curiosità, l'importante è aver risolto il problema.

ciao

test0

Ringrazio per le risposte,
mi ero accorto che togliendo la spunta da "Block private networks" la cosa funzionava, però non sapendo bene a cosa servisse questa voce ho pensato di inserire un'eccezione a questa regola, ma evidentemente (non so perché) credo che non sia possibile.

In merito alla VLAN al posto della WAN non saprei cosa dirti in quanto non ho competenze per capire questa cosa, magari se hai tempo e mi spieghi o mi dai qualche riferimento cercherò di capire cosa vuoi dire e poi magari proverò a fare quanto dici.

kiokoman

@federicop
mah anche no se vuoi farti una rete interna come home-lab senza interferire con la configurazione principale, per smanettare senza fare danni va bene anche in doppia nat

federicop

@kiokoman concordo sul lab... anche se cosi facendo rischi di intopparti in qualche cosa perché la wan servirebbe per altro e alcune funzioni vanno in automatico considerando quella scheda coma wan...

ma ripeto per un lab può andare anche se preferirei smanettare con una macchina virtuale...

Ma ovviamente sono opinioni e abitudini