Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense con modem Fastweb DV220

    Scheduled Pinned Locked Moved Italiano
    11 Posts 4 Posters 3.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      miami71it
      last edited by

      salve a tutti, nessuno ha mai messo un pfsense dietro un modem DV220 fastweb?

      adsl con ip statico pubblico

      il modem non ha porta WAN, quindi ho impostato l'ip del modem 192.168.0.1 , sulla WAN di psense ho messo 192.168.0.254 con gateway il modem, configurato i dns , dhcp, tutto funziona perfettamente.

      abbiamo 3 sedi tutte con linee fastweb, e tutti i pfsense sono configurati nello stesso modo, per utilizzare desktop remoto e opnevpn, funzionano tutti tranne questa sede, la differenza tra le altre e questa che le altre hanno router con porta wan, questa sede ha un mode dv220.

      da fuori la pingo ma se entro in desk remoto non risponde, ho controllato mille volte la config e' corretta le porte sono aperte e le regole sono ok.
      secondo me il problema e' il modem, qualcuno ha gia' avuto questo problema? sul modem e' tutto aperto. ho comunque provato a nattare l'ip interno da fuori ,ad aprire la porta del desk remoto, ma nulla.

      qualche idea?

      1 Reply Last reply Reply Quote 0
      • P
        Pakken
        last edited by

        Non funziona perchè hai un doppio strato di NAT. Sul 192.168.0.1 crei una regola NAT/pfwd per la porta 3389/tcp verso il 192.168.0.254.
        Su pfsense crei una regola nat per la porta 3389/tcp con annessa policy verso l'IP della macchina interna che vuoi raggiungere. Con questa configurazione dovrai sempre fare il doppio passaggio, vale anche per la porta 1194 di Openvpn e per qualsiasi porta tu voglia nattare dall'esterno.
        ciao

        1 Reply Last reply Reply Quote 0
        • M
          miami71it
          last edited by

          ma non posso eliminare questo problema?

          1 Reply Last reply Reply Quote 0
          • M
            miami71it
            last edited by

            ho fatto come hai detto, tutto funziona grazie mille

            non avevo pensato di fare una doppia nat

            1 Reply Last reply Reply Quote 0
            • S
              sisko212
              last edited by

              Anche se funziona, io proverei a vedere se è possibile fare il bridge o il PPP, in modo da avere pfsense con l'ip pubblico del router e così gestisco il firewall direttamente da pfsense.
              Alla lunga son meno rogne.

              1 Reply Last reply Reply Quote 0
              • M
                miami71it
                last edited by

                nel senso che imposto il modem come bridge o ppp?

                1 Reply Last reply Reply Quote 0
                • D
                  delfi5
                  last edited by

                  Io invece lascerei il doppio NAT, oppure metti l'ip della WAN del pfSense in DMZ e risolvi il problema

                  1 Reply Last reply Reply Quote 0
                  • S
                    sisko212
                    last edited by

                    E' un errore considerare un doppio nat, una forma di sicurezza.
                    Sopratutto quando è gestito da un dispositivo economico come i vari router di fastweb, telecom etc.
                    Viste le tipologie di nat esistenti ( https://en.wikipedia.org/wiki/Network_address_translation ), e sopratutto, in un ottica futura di inserire altri servizi, tipo voip o altro può causare problemi.
                    Ad ogni modo il mio è solo un suggerimento, poi ognuno faccia come meglio crede.

                    1 Reply Last reply Reply Quote 0
                    • D
                      delfi5
                      last edited by

                      @sisko212:

                      E' un errore considerare un doppio nat, una forma di sicurezza.

                      Puoi argomentare questa tua affermazione?

                      1 Reply Last reply Reply Quote 0
                      • S
                        sisko212
                        last edited by

                        @delfi5:

                        Puoi argomentare questa tua affermazione?

                        Ragionando, mi immagino cosa deve fare un hacker per bucare i 2 firewall… quali sono le possibili strade ?
                        La prima è quella di preparare qualche pacchetto IP malformato per creare una sorta di overflow sul primo firewall, e riuscire ad avere una shell e scalare i privilegi sul dispositivo... dopo di chè deve fare altrettanto sul secondo firewall, e guadagnata la shell sul secondo può procedere a esplorare la lan, etc.etc.
                        La seconda strada potrebbe essere quella di vedere se c'è un servizio esposto su internet di qualche macchina interna, ad esempio, http o altro.
                        A questo punto il potenziale hacker può cercare una vulnerabilità su quel servizio per poi guadagnare i privilegi più elevati e procedere poi al resto.
                        Una terza strada è quella di mandare un eseguibile, un virus, via mail o su chiavetta usb, a qualcuno che lavori all'interno della lan, in modo da aprire quel pc verso internet per poi prenderne il controllo.
                        Delle tre qual'è la più probabile e meno faticosa ? Mandare un virus che apra una macchina su internet (quanta gente conosci che ha vecchi antivirus o non aggiornati, o patch di sistema non installate ?), trovare una vulnerabilità su un servizio http (o rdp come nel caso di inizio in questa discussione) di una macchina esposta, e che dunque viene lasciata in passthrough su qualche porta, o infine tentare di bucare 2 firewall ?
                        Per quello che ne so, ad oggi, con i firewall layer 3, come quelli basati su iptables o ipfw, non ci sono state grosse falle in se, e anche quando si sono presentate, sono state rapidamente pacthate, spesso molto prima appunto su iptables e ipfw che non nei vari router che danno in comodato d'uso le vare telco, che rimangono con vecchi firmware per anni.
                        Per piccole reti di... diciamo una 50ina di macchine, preferisco implementare un buon firewall con magari servizi di IDS, come appunto pfsense con snort, o strumenti di applicativi layer 7 (proxy con blacklist, antivirus etc.etc.), e separare le vlan della macchine esposte su internet, rispetto alla vlan interna, che non introdurre un ulteriore strato nat che poi può creare problemi con servizi di voip o altro.
                        Però ripeto... è una mia scelta.

                        1 Reply Last reply Reply Quote 0
                        • D
                          delfi5
                          last edited by

                          Ti ringrazio

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.