Controllo separato da WAN dedicata



  • Ciao a tutti!  :D

    Vi scrivo per chiedervi un consiglio, dopo essermi spulciato buona parte del forum e diversi tutorial.

    Ho necessita di implementare due schede WAN, una (WAN1, 192.168.1.15 con gateway 192.168.1.10) dedicata alla navigazione e ai vari servizi LAN->WAN1 e l'altra (WAN2, 192.168.1.5 con gateway 192.168.1.1) esclusivamente dedicata alla gestione del firewall via HTTPS e alla gestione di una alcune macchine interne tramite SSH (LINUX).

    Vorrei realizzare il tutto in modo semplice, ma non ho capito come fare… e non ci sono riuscito  :(

    1. E' necessario attivare il Load Balancer?
    2. Per il servizio SSH Pensavo di fare dei semplici Port Forward WAN2->LINUX e viceversa attivando l'Advanced Outbound NAT, ma ovviamnete non ci sono riuscito…
    3. Per HTTPS l'idea era analoga, mappando però WAN2 sull'IP della scheda di rete LAN... come sopra: nulla da fare!
    4. Per semplificare il problema, su tutte e tre le schede (LAN, WAN1 e WAN2) ho messo delle regole passa tutto, fatte di tutti asterischi con quadratino verde nell'intestazione di sx  :o

    Ovviamente da WAN1 riesco ad accedere a tutti i servizi (SSH e HTTPS compresi) ma da WAN2 nulla da fare!

    Ci ho sbattuto la testa per più di 3 gg, variando diverse cose, ma nulla da fare… suggerimenti?

    Grazie a tutti!



  • andiamo con ordine prima cosa:

    1. E' necessario attivare il Load Balancer?
      No, per quello che hai detto non ti serve. Il Load serve solo nel caso in cui vuoi bilanciare il traffico le due linee e non mi sempra il tuo caso.

    2. Per il servizio SSH Pensavo di fare dei semplici Port Forward WAN2->LINUX e viceversa attivando l'Advanced Outbound NAT, ma ovviamnete non ci sono riuscito..
      L'idea è giusta forse il prob. è la realizzazione pratica.prova a postare la parte di nat.
      PS: importante sarebbe capire come hai conf. anche i router prima di pf … e se ci sono IP Pubblici statici

    3. Per HTTPS l'idea era analoga, mappando però WAN2 sull'IP della scheda di rete LAN... come sopra: nulla da fare!
      come sopra. ... e qui c'è anche il firewall da capire come è conf.

    Ev. cercami in msn: info@mascomputer.net



  • Ciao Ma.S.Caos. e grazie della risposta!  ;D

    I router hanno uno un'IP dinamico (quello sulla scheda WAN) mentre c'è un IP fisso sulla OPT1. I router penso siano configurati bene: da WAN riesco ad accedere, ad esempio, ad SSH usando l'IP dinamico e riesco ad uscire senza problemi. Anche per il router su OPT1 credo non ci siano problemi: ho provato ad invertire i collegamenti mandando l'IP fisso su WAN e tutto ha funzionato correttamente sia in uscita che in ingresso (SSH e HTTPS). Ho provato anche ad invertire l'assegnazione delle schede di rete per verificare che non fosse un problema hardware… il risultato non è cambiato! :(

    Penso pure io che il problema sia nella configurazione. Sotto ho messo un po' di screenshot e di seguito gli IP riepilogativi:

    WAN 192.168.1.15 con gateway 192.168.1.10
    OPT1 192.168.1.7 con gateway 192.168.1.1
    LAN 172.22.41.1
    PC con linux che voglio raggiungere con SSH 172.22.41.2

    Ovviamente la regola "passa tutto" su LAN, WAN e OPT1 mi occorrono solo per isolare il problema, a regime andranno tolte.

    Consigli?

    Grazie!
















  • In primo luogo mi manca tutta la parte di NAT … che nello specifico è la più importante.

    Poi c'è un incongruenza tra il VIP che ho visto e le impostazioni dell'intefaccia su cui lo crei ... come puoi creare un vip 172.x.x.x su un interfaccia che è conf. 192.z.z.z ? Li ce sicuramente qualcosa che non va.

    Attento altre info.

    Ciaoz.-



  • Grazie della risposta!  :D

    Ok, probabilmente parte del problema è lì, sulle classi di IP differenti… gli indirizzi sul router collegato ad OPT1 devono essere del tipo 192.168.1.XXX perché il modem-router accetta solo 192.168.1.1, altrimenti non funziona il voip collegato. Purtroppo è un modem che è stato deliberatamente azzoppato di fabbrica prima di essere distribuito agli utenti, e per il quale mi sono già avvelenato il sangue in passato…

    Se conosci il tipo lo eviti!!! (se puoi  :'()

    Per la LAN mi occorre invece mantenere, per una situazione che ho ereditato da altri, la classe 172.22.41.XXX

    Comunque per il collegamento WAN<->LAN la differenza di classi di IP non mi pare generi problemi. Inoltre ho visto che da WAN raggiungo il pc interno anche senza impostare il VIP...

    Per i NAT ho fatto confusione: sopra manca l'outbound.  Ti aggiungo gli screenshot di seguito.

    Di nuovo grazie!





Locked