IP Pubblici, VIP e NAT



  • Salve a tutti,
    ho ricevuto dal mio ISP 8 IP address e stavo tentando di riconfigurare PfSense per riflettere la nuova situazione. Ho letto i numerosi (sia in intaliano che in inglese) articoli a riguardo ma c'e' qualcosa che ancora mi sfugge… tant'e'e che non funziona nulla...

    Provo a scrivere quello che ho capito:

    -  ho un indirizzo pubblico 82.252.137.33 con subnet 255.255.255.248 quindi posso usare gli IP da 33 a 38
    il router ISP ha un indirizzo pubblico 82.252.137.33
    -  sul router ISP il NAT e' gia' disattivato e e' attiva la funzione DMZ che ruota tutto il traffico all'indirizzo 82.252.137.34 (interfaccia WAN di PfSense)
    -  in PfSense ho cambiato appunto l'indirizzo della WAN
    -  ho generato 4 Virtual IP con la modalita' Proxy ARP
    -  poi ho provato ad impostare nella sezione NAT 1:1 il primo NAT che mi serviva, associando il primo IP pubblico con un IP privato di un server interno sulla rete DMZ
    -  a questo punto ho provato a raggiungere il server dall'esterno e/o a raggiungere l'esterno dal server senza alcuna risposta...

    le regole del firewall non le ho toccate in quanto il server gia' era autorizzato ad uscire...
    sbaglio qualche cosa ??

    Grazie per l'attenzione

    Claudio



  • A grandi linee hai fatto quasi tutto correttamente, devi però disabilitare il NAT-Reflection perchè non funziona con i NAT 1:1
    Poi se non ricordo male devi agire con le regola sulla WAN per poter abilitare forward e traffico in ingresso verso gli IP statici che ti ha dato il provider.
    Sarebbe utile comunque capire cosa fai degli IP che hai a disposizione in quanto per certe configurazioni è meglio settarli in CARP oppure OTHER piuttosto che tenerli come Proxy ARP.

    Ciao.



  • @Zanotti:

    A grandi linee hai fatto quasi tutto correttamente, devi però disabilitare il NAT-Reflection perchè non funziona con i NAT 1:1
    Poi se non ricordo male devi agire con le regola sulla WAN per poter abilitare forward e traffico in ingresso verso gli IP statici che ti ha dato il provider.
    Sarebbe utile comunque capire cosa fai degli IP che hai a disposizione in quanto per certe configurazioni è meglio settarli in CARP oppure OTHER piuttosto che tenerli come Proxy ARP.

    Ciao.

    Grazie della risposta: in realta' devo esporre siti web (almeno 3) e un server di posta ! Quindi mi serve di annunciare i 3 siti web (porta 80) e il server di posta (SMTPe POP3) sugli IP Virtuali che ho configurato.

    Che differenza passa tra CARP, OTHER e Proxy ?!? Provo a fare qualche tentativo ?!!

    Grazie ancora



  • La differenza tra CARP, OTHER e PROXY ARP la trovi a questo indirizzo a fine thread: http://forum.pfsense.org/index.php/topic,3987.msg24632.html#msg24632

    La differenza, non da poco, è che un indirizzo IP settato come PROXY ARP non è pingabile mentre un IP tipo CARP si. Capirai bene che per fare delle prove poter usare il ping è indispensabile.

    Per l'utilizzo che dovrai fare di questi ip io ti consiglio di settarli come CARP.



  • @Zanotti:

    La differenza tra CARP, OTHER e PROXY ARP la trovi a questo indirizzo a fine thread: http://forum.pfsense.org/index.php/topic,3987.msg24632.html#msg24632

    La differenza, non da poco, è che un indirizzo IP settato come PROXY ARP non è pingabile mentre un IP tipo CARP si. Capirai bene che per fare delle prove poter usare il ping è indispensabile.

    Per l'utilizzo che dovrai fare di questi ip io ti consiglio di settarli come CARP.

    grazie del consiglio, mi sembra mooooooolto pertinente…
    una cosa invece mi e' sfuggita, come disattivo e cos'è il NAT-Reflection ??
    stanotte provo senz'altro !!

    grazie

    Claudio



  • L'opzione la trovi sotto "System" –> "Advanced" -->"Disable NAT Reflection". Aggiungi la spunta e salvi.



  • @Zanotti:

    L'opzione la trovi sotto "System" –> "Advanced" -->"Disable NAT Reflection". Aggiungi la spunta e salvi.

    Allora aggiornamento….

    NAT Reflection era gia' disabilitato di suo...
    In effetti creando dei Virtual IP con l'opzione CARP il ping verso il VIP funziona anche se in fase di definizione viene richiesta una password (VHID Password) che immagino venga poi ignorata !!

    Pero' i Virtual IP non sono raggiunti e non raggiungono l'esterno...

    Ho anche provato a togliere completamente i filtri e, come suggerito da piu' parti, a rimuovere il Port Forward dal NAT...

    mi verrebbe in mente di resettare la configurazione e ricominciare da capo... con tutti le opzioni resettate... un'ultima domanda, se posso...

    come viene gestita o come deve essere gestita la network mask ?? Perche' io uso in DMZ una classe C intera mentre il mio ISP mi ha dato solo una /29 (solo 6 IP utilizzabili).. non e' che le classi di indirizzamento devono in qualche modo coincidere ??

    Grazie ancora per le risposte !!

    claudio



  • La DMZ puoi impostarla della classe che più ti viene comodo, io sulla mia ho una classe A per esempio.
    Domanda stupida, ma quante schede di rete hai fisicamente sul firewall?



  • @Zanotti:

    La DMZ puoi impostarla della classe che più ti viene comodo, io sulla mia ho una classe A per esempio.
    Domanda stupida, ma quante schede di rete hai fisicamente sul firewall?

    12, sono riuscito a convertire un vecchio Nokia 530 in uno splendido oggetto con PfSense… pero' questo aspetto degli IP mi sta facendo perdere un sacco di tempo, piu' che altro perche' non posso interrompere l'attivita' dell'ufficio al di la' di orari strani...

    Ho pero' dei sospetti sul router del mio ISP, in effetti dal mio host DMZ io riuscivo a pingare fino all'interfaccia Ethernet del router del Provider... ma non oltre... non vorrei che fosse rimasta qualche opzione di NAT attivata... altre idee non mi vengono ...

    qualche consiglio ?!?!

    grazie

    Claudio



  • @Vtamlist:

    @Zanotti:

    La DMZ puoi impostarla della classe che più ti viene comodo, io sulla mia ho una classe A per esempio.
    Domanda stupida, ma quante schede di rete hai fisicamente sul firewall?

    12, sono riuscito a convertire un vecchio Nokia 530 in uno splendido oggetto con PfSense… pero' questo aspetto degli IP mi sta facendo perdere un sacco di tempo, piu' che altro perche' non posso interrompere l'attivita' dell'ufficio al di la' di orari strani...

    Ho pero' dei sospetti sul router del mio ISP, in effetti dal mio host DMZ io riuscivo a pingare fino all'interfaccia Ethernet del router del Provider... ma non oltre... non vorrei che fosse rimasta qualche opzione di NAT attivata... altre idee non mi vengono ...

    qualche consiglio ?!?!

    grazie

    Claudio

    Probabilmente il tuo problema risiede nella configurazione della scheda ethernet che funge per la DMZ, ora non ho il mio firewall sottomano quindi posso solo ipotizzare che il problema sia nella regole firewall della DMZ e nel gateway. Domani mattina faccio un paio di prove col mio muletto e vediamo come risolvere la cosa.



  • Probabilmente il tuo problema risiede nella configurazione della scheda ethernet che funge per la DMZ

    Si inizia a vedere la luce !!!

    Allora il problema stava nel NAT del router del Provider che non era configurato correttamente per gestire i 6 IP pubblici, sono riuscito a raggiungere il primo server che mi serviva dall'esterno utilizzando il primo dei VIP Address che ho generato (opzione CARP).

    La domanda che adesso vorrei porvi e' la seguente:

    mi sembra di aver capito che se uso il NAT 1:1 con un indirizzo Virtuale devo eliminare le regole di Port Forwarding… ma se elimino il Port Forwarding come faccio a far convivere 4 IP pubblici per gestire 7 server esposti sulla rete (4 web, 2 web HTTPS, un FTP, server di posta) ?!?!

    grazie



  • Puoi fare una cosa di questo tipo: se hai abbastanza ethernet ad ognuna assegni un IP privato diverso per ogni IP pubblico cui risponde uno dei server. Quindi ad un certo punto avrai N DMZ con associate, via NAT 1:1, i tuoi IP pubblici. Una volta che hai fatto il NAT 1:1 a tutti gli effetti i tuoi IP pubblici vengono gestiti dalla WAN.

    La configurazione la completi impostando le regola firewall sulla WAN. Per esempio: Avendo un NAT1:1 del tipo 192.168.X.X:82.252.137.34

    Proto  Source  Port  Destination  Port              Gateway
    TCP/UDP   *        *  192.168.X.X  80 (HTTP)         *

    Il traffico sulla porta 80 in entrata sull'IP pubblico 82.252.137.34 viene automaticamente rediretto su 192.168.X.X IP privato dove riesiede il web server.

    Tornando alla regola che ho postato puoi impostare regole simili per i rimanenti IP pubblici che disponi usando protocolli SMTP, HTTPS e quant'altro. Per l'FTP invece il discorso è differente (lo approfondiremo se ti servira')



  • @Zanotti:

    Puoi fare una cosa di questo tipo: se hai abbastanza ethernet ad ognuna assegni un IP privato diverso per ogni IP pubblico cui risponde uno dei server. Quindi ad un certo punto avrai N DMZ con associate, via NAT 1:1, i tuoi IP pubblici. Una volta che hai fatto il NAT 1:1 a tutti gli effetti i tuoi IP pubblici vengono gestiti dalla WAN.

    La configurazione la completi impostando le regola firewall sulla WAN. Per esempio:

    Proto  Source  Port  Destination  Port              Gateway
    TCP/UDP   *        *  82.252.137.35  80 (HTTP)         *

    Grazie, ho capito, per questo mi chiedevi quante interfaccie ethernet avevo…
    pero' non e' un po' troppo macchinoso ?? e soprattutto non e' possibile fare diversamente ??

    io mi immaginavo che sull'indirizzo IP dato alla WAN (uno dei 6 pubblici) potessi lasciarci il port forwarding di qualche servizio o host meno importante... e sugli altri, con un NAT 1:1, ci attivavo i siti web che volevo esporre in rete pubblica...

    non e' cosi' ? mi sfugge ancora qualcosa!!

    comunque tante grazie per i preziosi consigli...

    CLaudio



  • Guarda, concettualmente le differenze tra NAT 1:1 e port forwarding sono minime. E' del tutto normale però avere configurazioni di pfSense con port forwarding in entrata/uscita e NAT 1:1 . Io stesso uso

    Concettualmente il NAT 1:1 funziona col traffico in ingresso come il port forwarding. In entrambi i casi e lo stesso tipo di regola si agisce lato WAN per permettere il traffico in ingresso verso una certa porta. Quindi una regola in WAN del tipo:

    Proto    Source    Port    Destination    Port                Gateway
    TCP/UDP  *          *      192.168.X.X  80 (HTTP)            *

    è identica sia che si usi il NAT 1:1 che il port forwarding. Entrambe lasciano passare il traffico in ingresso con destinazione la porta 80 verso l'IP su cui abbiamo fatto NAT 1:1 oppure port forwarding.

    Discorso diverso invece quando il pacchetto esce. Con il port forwarding il tuo server sfrutta per uscire l'IP della WAN e nient'altro. Con il NAT 1:1 invece il tuo server usa l'indirizzo IP pubblico con cui hai creato il NAT stesso. Un'importantissima differenza è quella che con il port forwarding tu sei limitato ai protocolli TCP/UDP mentre con il NAT 1:1 tu puoi usare qualunque protocollo, non meno importante l'ICMP.

    Questa comodità del NAT 1:1 ha un costo in termini di complessità della configurazione. Questo si traduce in scelta di come utilizzare i tuoi IP pubblici ( Proxy ARP, CARP, Other), e successivamente utilizzarli a tuo piacimento nel NAT 1:1 oppure come indirizzi delle interfacce ethernet. Maggiore complessità in questo senso significa però maggiore libertà e flessibilità qualora ti sia richiesto di fare variazioni al firewall o alla DMZ, migliore manutenzione perchè hai a che fare con più protocolli di rete rispetto al port forwarding e migliore gestione dei range di porte che vengono usati con gli alias.

    Il port forwarding invece è perfetto nelle cose semplici che non ti richiedono grandi cambiamenti o interventi sulla rete. E' perfetto se hai dei client su rete separata dalla LAN e vuoi che usino un proxy per uscire su Internet oppure ti serve che utilizzino solo POP3 o SMTP per la posta elettronica. E' perfetto quando devi abilitare lato WAN dei servizi come la VPN o un piccolo webserver sulla LAN oppure un FTP server.

    Tornando a noi, fatte le dovute considerazioni la scelta è tua, io davo per scontato che utilizzassi tutti gli IP pubblici disponibili su altrettante DMZ verso altrettanti server.
    Tu puoi fare benissimo una configurazione mista lasciando 1 o 2 IP pubblici con il NAT 1:1 e usare i rimanenti con il port forward abilitando l'ingresso per pochi servizi.



  • @Zanotti:

    Guarda, concettualmente le differenze tra NAT 1:1 e port forwarding sono minime.

    ...

    Tu puoi fare benissimo una configurazione mista lasciando 1 o 2 IP pubblici con il NAT 1:1 e usare i rimanenti con il port forward abilitando l'ingresso per pochi servizi.

    Spiegazione molto precisa e puntuale !!!

    Urge fare un po' di disegnini e buttare giu' uno schema di quello che vogliamo fare, senz'altro con queste spiegazioni abbiamo tutti gli elementi !!!

    Grazie molto, mi e' piaciuta l'idea di sfruttare qualche altra interfaccia per fare un misto !!!

    Magari poi racconto com'e' andata a finire !!

    Saluti

    Claudio



  • Mi sono appena imbattuto nella vostra conversazione, devo davvero fare i complimenti perchè finalmente c'è gente competente in giro !
    Da qui …ho desico di isrcivermi.

    Ciao a tutti e 2

    Andrea



  • Lieto di poter dare un aiuto ogni tanto.



  • Riuppo questa discussione perché la mia domanda è correlata…

    Premetto che sono ancora alle prime armi, sopratutto con questi argomenti (per cui vi chiedo un po' di clemenza o almeno un'indicazione su dove andare ad attingere informazioni).

    Mi trovo nella seguente condizione:
    Ho un modem/router con 5 indirizzi pubblici (più la possibilità di uscire con un indirizzo dinamico), quindi c'è pfSense (con 2 interfacce di rete: WAN e LAN) e "dietro" ci sono alcuni Pc, abilitati a navigare su Internet.
    Quando pfSense ha come indirizzo della WAN uno degli indirizzi pubblici anche i Pc vengono visti con lo stesso indirizzo, mentre se la WAN è nella stessa sottorete del modem/router hanno un indirizzo dinamico. Quello che vorrei fare è che i Pc "dietro" utilizzino l'IP dinamico mentre l'IP pubblico venga utilizzato dal firewall (per una connessione VPN): è possibile tutto ciò?


Log in to reply