Pfsense con modem Fastweb DV220
-
salve a tutti, nessuno ha mai messo un pfsense dietro un modem DV220 fastweb?
adsl con ip statico pubblico
il modem non ha porta WAN, quindi ho impostato l'ip del modem 192.168.0.1 , sulla WAN di psense ho messo 192.168.0.254 con gateway il modem, configurato i dns , dhcp, tutto funziona perfettamente.
abbiamo 3 sedi tutte con linee fastweb, e tutti i pfsense sono configurati nello stesso modo, per utilizzare desktop remoto e opnevpn, funzionano tutti tranne questa sede, la differenza tra le altre e questa che le altre hanno router con porta wan, questa sede ha un mode dv220.
da fuori la pingo ma se entro in desk remoto non risponde, ho controllato mille volte la config e' corretta le porte sono aperte e le regole sono ok.
secondo me il problema e' il modem, qualcuno ha gia' avuto questo problema? sul modem e' tutto aperto. ho comunque provato a nattare l'ip interno da fuori ,ad aprire la porta del desk remoto, ma nulla.qualche idea?
-
Non funziona perchè hai un doppio strato di NAT. Sul 192.168.0.1 crei una regola NAT/pfwd per la porta 3389/tcp verso il 192.168.0.254.
Su pfsense crei una regola nat per la porta 3389/tcp con annessa policy verso l'IP della macchina interna che vuoi raggiungere. Con questa configurazione dovrai sempre fare il doppio passaggio, vale anche per la porta 1194 di Openvpn e per qualsiasi porta tu voglia nattare dall'esterno.
ciao -
ma non posso eliminare questo problema?
-
ho fatto come hai detto, tutto funziona grazie mille
non avevo pensato di fare una doppia nat
-
Anche se funziona, io proverei a vedere se è possibile fare il bridge o il PPP, in modo da avere pfsense con l'ip pubblico del router e così gestisco il firewall direttamente da pfsense.
Alla lunga son meno rogne. -
nel senso che imposto il modem come bridge o ppp?
-
Io invece lascerei il doppio NAT, oppure metti l'ip della WAN del pfSense in DMZ e risolvi il problema
-
E' un errore considerare un doppio nat, una forma di sicurezza.
Sopratutto quando è gestito da un dispositivo economico come i vari router di fastweb, telecom etc.
Viste le tipologie di nat esistenti ( https://en.wikipedia.org/wiki/Network_address_translation ), e sopratutto, in un ottica futura di inserire altri servizi, tipo voip o altro può causare problemi.
Ad ogni modo il mio è solo un suggerimento, poi ognuno faccia come meglio crede. -
E' un errore considerare un doppio nat, una forma di sicurezza.
Puoi argomentare questa tua affermazione?
-
Puoi argomentare questa tua affermazione?
Ragionando, mi immagino cosa deve fare un hacker per bucare i 2 firewall… quali sono le possibili strade ?
La prima è quella di preparare qualche pacchetto IP malformato per creare una sorta di overflow sul primo firewall, e riuscire ad avere una shell e scalare i privilegi sul dispositivo... dopo di chè deve fare altrettanto sul secondo firewall, e guadagnata la shell sul secondo può procedere a esplorare la lan, etc.etc.
La seconda strada potrebbe essere quella di vedere se c'è un servizio esposto su internet di qualche macchina interna, ad esempio, http o altro.
A questo punto il potenziale hacker può cercare una vulnerabilità su quel servizio per poi guadagnare i privilegi più elevati e procedere poi al resto.
Una terza strada è quella di mandare un eseguibile, un virus, via mail o su chiavetta usb, a qualcuno che lavori all'interno della lan, in modo da aprire quel pc verso internet per poi prenderne il controllo.
Delle tre qual'è la più probabile e meno faticosa ? Mandare un virus che apra una macchina su internet (quanta gente conosci che ha vecchi antivirus o non aggiornati, o patch di sistema non installate ?), trovare una vulnerabilità su un servizio http (o rdp come nel caso di inizio in questa discussione) di una macchina esposta, e che dunque viene lasciata in passthrough su qualche porta, o infine tentare di bucare 2 firewall ?
Per quello che ne so, ad oggi, con i firewall layer 3, come quelli basati su iptables o ipfw, non ci sono state grosse falle in se, e anche quando si sono presentate, sono state rapidamente pacthate, spesso molto prima appunto su iptables e ipfw che non nei vari router che danno in comodato d'uso le vare telco, che rimangono con vecchi firmware per anni.
Per piccole reti di... diciamo una 50ina di macchine, preferisco implementare un buon firewall con magari servizi di IDS, come appunto pfsense con snort, o strumenti di applicativi layer 7 (proxy con blacklist, antivirus etc.etc.), e separare le vlan della macchine esposte su internet, rispetto alla vlan interna, che non introdurre un ulteriore strato nat che poi può creare problemi con servizi di voip o altro.
Però ripeto... è una mia scelta. -
Ti ringrazio