Doppia NAT



  • Salve a tutti ragazzi …

    nei prossimi giorni dovrei montare un pfsense in un ufficio che hai mclink e il router di mclink, sul loro server risiede un sito internet, il router di mclink è configurato così:

    Start port  End port    ip address
    80              80            192.168.0.120

    Pensavo di montare pfsense al router mclink e poi pfsense allo switch, ma come posso ridirottare la porta 80 per far visitare il sito dall'esterno? basta una NATsimile:?

    If            Proto  Ext. port range  NAT IP                                  Int. port range
    WAN    TCP  80 (HTTP)  192.168.0.120                              80 (HTTP)
                                                            (ext.: xx.xx.xx.xx)

    e poi basta che cambio l'ip nel router di mclink e ci metto l'ip WAN di pfsense???

    grz1000



  • Puoi fare un port forward semplicissimo come puoi farlo verso una DMZ dove metterai quel server. ovviamente su di una subnet diversa. Oppure puoi aggiungere un indirizzo ip pubblico settato come CARP e usarlo in port forward o in NAT 1:1 verso il server. Dipende tutto da quello che hai in mente di fare.

    Per una cosa semplice semplice fai un port forward in ingresso dall'IP della WAN all'IP del server per la porta 80 e poi nelle regole di WAN apri la porta 80 su qualunque indirizzo in entrata.

    Personalmente non amo questa soluzione perchè per i server pubblicati preferisco le DMZ ma è comunque una soluzione funzionale per lavori non troppo impegnativi.

    Per quanto riguarda il router, dipende da cosa il router puo' fare (NAT, PAT, ecc) e come è configurato. Io comunque disabiliterei il firewall del router e gli farei redirigire tutto il traffico in entrata verso Pfsense dal momento che quest'ultimo è piu' flessibile nel creare e gestire le regole rispetto ad un router.

    Usare invece un router che ha già il suo ip pubblico, nattato verso Pfsense che dovrebbe avere sulla WAN un altro IP pubblico a sua volta nattato verso un ip di rete interna secondo me è poco efficiente e poco pratico in caso di server FTP passivi. Preferisco di gran lunga avere una configurazione piu' semplice con un router che mi fa solo da modem ADSL e pfsense che fa da firewall/VPN server.



  • Grz1000 Zaneti per la risposta,

    ho provato la soluzione peggiore, cioè il router natta verso pfsense e pfsense verso il server, ovviamente non mi ha funzionato :D non credo di avere l'esperienza sufficente almeno per ora :D, ho fatto un sacco di prove ho messo una regola blocca tutto sulla wan con log per vedere se sense mi bloccava, cambi di ip, un po tutto ma non è andata, siccome dovevo risolvere in fretta e non ho trovato come disabilitare il firewall ho lasciato il server diretto al router mclink e tutto l'ufficio dietro pfsense, e chi si doveva collegare al server per cartelle condivise lo faccio collegare per ip e non più per nome, però dovrò tornare, magari gli sostituisco il router con un modem semplice, ma non so assolutemente niente di come pfsense possa collegarsi con un modem, farò qualche ricerca, nel frattempo ogni consiglio è prezioso :D

    grz1000 di nuovo



  • Se vuoi una cosa fatta bene io ti consiglio di mettere il server Web su una DMZ. In pratica metti una terza scheda di rete sul Pfsense e gli assegni una subnet diversa da quella che usi per la rete Lan. A questa scheda di rete puoi collegare direttamente il server con cavo cross o se ti viene più comodo uno switch in cascata nel caso dovessi mantenere piu' server.

    Non appena il server è in DMZ, aggiungi alle regole di Lan la possibilità di andare su rete DMZ magari solo su porte specifiche, magari 80 in caso di siti web, o le canoniche porte di Netbios/CIFS/DNS per un server windows con Active Directory o DNS o quello che ti pare  ;D

    Lato Wan invece puoi aprire la porta 80 con un port forward verso l'ip del server sulla DMZ. Se vuoi usare uno o più IP pubblici puoi istruire Pfsense di quest'ultimi, settandoli come IP aggiuntivi a disposizione, CARP o ARP Proxy a seconda dei casi, e instradando verso DMZ il relativo traffico.

    Se decidi di collegare Pfsense al router lo puoi collegare direttamente con un cavo normalissimo impostando alla Wan l'ip pubblico. Dopodichè sempre che riesci a disabilitare il firewall del router o a istruirlo per redirezionare tutto il traffico verso Pfsense dovrai poi settare ques'ultimo in modo che faccia da firewall. Un primo test che puoi fare è andare nel menù di Pfsense dei pacchetti opzionali, se ti appare la lista vuol dire che il server ha fatto il fetch senza problemi.

    Magari posta un disegnino di quello che vorresti fare che magari saltano fuori piu' configurazioni possibili.



  • Allora io vorrei fare questo:

    router mclink (o modem se +semplice)
                                                                                                          ^
                                                                                                          ||
                                                                                                          v
                                                                                                    PFSENSE
                                                                                                          ^
                                                                                                          ||
                                                                                                          v
                                                                                                      SWITCH
                                                                                                          ^
                                                                                                          ||
                                                                                                          v
                                                                                      tutto l'ufficio compreso il SERVER!!!

    Ecco quello che vorrei fare, questo mi faciliterebbe molto anche dal punto di vista delle condivisioni, infatti il server ospita alcuni MDB e altri documenti che devono essere visibili da tutto l'ufficio!!! Non ho esperienza di DMZ purtroppo quindi cercavo una soluzione semplice, qualcosa che magari mi facesse fare una sola nat e non due che mi  risultato un disastro in quanto non capivo + chi era il problema e dove la richiesta andasse a cozzare :D, pensi che se sostituisco il router di mclink con un semplice modem e ablito la nat sulla 80 su pfsense risolvo?
    Se si mi devo documentare su come utilizzare il modem con pfsense!!!

    Grz1000



  • A chiccoooooooooooo … oggi sono tornato in quell'ufficio per finire il lavoro e ho scoperto il perchè del non funzionamento della "doppia nat", praticamente lo zyxell di mclink ha sia l'area NAT che l'area rules io cambiavo l'ip nella nat ma non nelle rules :D:D:D, cambiato ip e dirottato le richieste che arrivano sulla porta 80 verso pfsense e pfsense le redirotta sul server, un biiiiijùùù :D:D:D

    GRZ1000 ancora Zanetti ;)



  • Hehe ritorno per un piccolo problemino, e cioè da quando ho sistemato il tutto dietro pfsense, gli utenti lamentano lentezza nel navigare e tipo 2-3 volte al giorno devono riavviare il router di mclink perchè non riescono a visitare più alcun sito, però il loro sito rimane raggiungibilissimo dall'esterno (il server su cui risiede il sito è chiaramente con ip e dns fissi) e anche msn gli funziona. Ora siccome ci sono 2 cose che mi fanno pensare volevo un tuo parere:

    1. Questo problema può dipendere dal fatto che c'è (di sicuro) più di un utente che usa programmi p2p? (già mi è capitato lo stesso problema identico per colpa
          di un utente con emule)

    2. Può dipendere dal fatto che non ho diretto tutto il traffico dal router di mclink verso sense ma ho rediretto solo le porte 80 e 443?

    GRZ1000



  • Se è un router ZyXEL quasi sircuramente ha un prob. sul numero massimo di porte gestite in una sessione di nat. Se cerchi in internet trovi il comando per sbloccarlo tramite terminale.

    Matteo



  • Ciao Mas, prima di leggere la tua dritta ho risolto apportando 2 modifiche alla rete:

    1. Creata regola per blocco di tutte le porte sulla LAN a pfsense e aperte solo le porte per navigare e posta.
    2. Creata regola sullo zyxell che passa tutto il traffico di qualsiasi sorgente e qualsiasi porta/protocollo verso pfsense.

    Risultato: Niente più blocco della adsl da 2 giorni e non devono più riavviara lo zyxell la mattina per navigare ;)

    ps: per curiosità ho abilitato il log alla regola bloccante e ho alzato il numero di log a 200 un ip riempiva tutte e 200 le regole in tipo 5secodni per quante richieste effettuava su innumerevoli porte, sono giunto infatti alla conclusione che era lui di sicuro insieme ad altri 2-3 amici suoi che usano programmi p2p, e magari hanno anche qualche rara collezione di virus :d

    Grz1000 a te e Zanotti come al solito molto gentili :D


Locked