Reti locali
 

con*****urazione firewall pfSense

Darth Vader 27 Ott 2014 18:56
Ciao a tutti,
ho la fibra con Telecom e volevo mettere un firewall tra la mia rete e
il router.
Siccome ho un PC vecchiotto da parte ho pensato di riciclarlo e provare
pfSense.

La rete esce all'esterno con un IP dinamico (anche se non e' ancora
cambiato) 188.16.x.x
e il router natta la rete interna con 192.168.1.0/24.

Ho collegato pfSense al router(192.168.1.1) e si e' preso l'IP
192.168.1.15
Ho quindi collegato all'altra scheda di rete di pfSense la rete interna
e le ho assegnato un
range di IP 10.0.0.1/24

Il tutto sembra funzionare bene, la rete passa dal firewall, riesco a
navigare, ma avendo
il doppio NAT non posso arrivare, da fuori, ai computer della rete
dentro.
Col semplice router potevo fare port forwarding e puntare la porta X al
PC della rete interna.
Ad esempio mi faceva comodo poter entrare via SSH nel PC1 da fuori, ora
non ci riesco piu'.

C'e' modo di risolvere il problema?

Ringrazio anticipatamente.
Andromeda 27 Ott 2014 19:04
Il 27/10/2014 18:56, Darth Vader ha scritto:
> Il tutto sembra funzionare bene, la rete passa dal firewall, riesco a
> navigare, ma avendo
> il doppio NAT non posso arrivare, da fuori, ai computer della rete
> dentro.
> Col semplice router potevo fare port forwarding e puntare la porta X al
> PC della rete interna.
> Ad esempio mi faceva comodo poter entrare via SSH nel PC1 da fuori, ora
> non ci riesco piu'.
>
> C'e' modo di risolvere il problema?

sul router fai portforwarding dall'esterno all'ip wan di pfsense (dagli
un ip statico o almeno riservato nel dhcp, prima di tutto);

sul pfsense fai portforwarding dalla wan all'indirizzo di pc1 (che anche
lui deve essere statico o almeno riservato nel dhcp).


Un modo migliore, ma non so se riesci a farlo con quel router, sarebbe
quello di mettere il router in bridge e far fare a pfsense
l'autenticazione pppoe e quindi avere l'ip esterno sulla wan di pfsense
(eliminando il doppio nat)





--
Mai mettersi a discutere con un *******
- prima ti porta al suo livello e poi ti batte con l'esperienza;
- chi ascolta potrebbe non capire la differenza.
Darth Vader 27 Ott 2014 20:29
Andromeda wrote:

> sul router fai portforwarding dall'esterno all'ip wan di pfsense
> (dagli un ip statico o almeno riservato nel dhcp, prima di tutto);
>
> sul pfsense fai portforwarding dalla wan all'indirizzo di pc1 (che
> anche lui deve essere statico o almeno riservato nel dhcp).

Domani provo, ma mi pare (vado a memoria) che il port forwarding
lo si possa fare solo porta per porta, quindi dovrei farlo per tutte
quelle che mi servono


> Un modo migliore, ma non so se riesci a farlo con quel router, sarebbe
> quello di mettere il router in bridge e far fare a pfsense
> l'autenticazione pppoe e quindi avere l'ip esterno sulla wan di
> pfsense (eliminando il doppio nat)

Lo so, ma non si puo' impostare in bridge il router telecom e niente
pppoe.

Comunque domani provo a vedere se coi 2 port forwarding ce la faccio.
Intanto grazie,

ciao
Aladino 28 Ott 2014 08:15
Darth Vader <vader@deathstar.com> wrote:

> Comunque domani provo a vedere se coi 2 port forwarding ce la faccio.
> Intanto grazie,
Io lo faccio con una VodafoneStation ed un ALIX con su pfSense. Se come
immagino, il firewall sarà h24, valuta l'acquisto di un *****ware
dedicato come l'ALIX, che consuma molto meno di un vecchio scassone... e
a mio parere molto più affidabile in quanto non ha nessuna parte
meccanica in movimento.

--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Arne Saknussemm 28 Ott 2014 11:37
On Mon, 27 Oct 2014 18:56:21 +0100
"Darth Vader" wrote in it.comp.reti.locali
<m2m10r$u6e$1@speranza.aioe.org>:


> La rete esce all'esterno con un IP dinamico (anche se non e' ancora
> cambiato) 188.16.x.x
> e il router natta la rete interna con 192.168.1.0/24.

[...]

> C'e' modo di risolvere il problema?

se il router supporta la modalità "bridge" ti basterà disattivare il
firewall del router e con*****urarlo in tale modalità; a questo punto il
router non farà più NAT ma sarà trasparente e la scheda WAN di pfSense
acquisirà un IP pubblico quindi le regole di filtraggio e forwarding
potranno essere impostate direttamente su pfSense
Arne Saknussemm 28 Ott 2014 11:39
On Mon, 27 Oct 2014 20:29:21 +0100
"Darth Vader" wrote in it.comp.reti.locali
<m2m6fe$d1e$1@speranza.aioe.org>:


> Lo so, ma non si puo' impostare in bridge il router telecom e niente
> pppoe.

ops... scusa ho risposto prima di leggere questo; però... se il router
è il classico "pirelli" fornito da telecom, se non ricordo male HA la
possibilità di fungere in modalità "bridge"; in alternativa potresti
valutare l'idea di acquistare un routerino ADSL che permetta l'uso in
modalità bridge; tutto sommato non ti costerà molto ed eviterai di
dover usare "con*****urazioni strane" :)
ObiWan 28 Ott 2014 15:18
:: On Mon, 27 Oct 2014 20:29:21 +0100
:: (it.comp.reti.locali)
:: <m2m6fe$d1e$1@speranza.aioe.org>
:: "Darth Vader" <vader@deathstar.com> wrote:

> Lo so, ma non si puo' impostare in bridge il router telecom e niente
> pppoe.

Che modello di router hai ? Mica per altro, ma mi sembra che il vecchio
"pirelli" bianco avesse la possibilità di funzionare come "bridge" ed
in tal caso avresti risolto il problema; in alternativa spendi due euro
per prenderti un router (anche "scrauso") con "modem ADSL" e che possa
funzionare anche come bridge e risolvi il problema alla radice :)
Arne Saknussemm 30 Ott 2014 09:40
On Tue, 28 Oct 2014 18:28:12 +0100
"Darth Vader" wrote in it.comp.reti.locali
<m2ol1u$dhl$2@speranza.aioe.org>:

> Certo se fosse possibile mettere il router in modalita' bridge/pppoe
> sarebbe il massimo, anche perche' spendere molti soldi non mi va.
> Del resto tutto era par*****o dall'idea di ricilare *****ware che ho
> gia'.

non ho provato, ma stando a quanto riportato qui

http://www.hwupgrade.it/forum/showthread.php?t=2587383

sembra sia possibile; se scorri in basso, troverai ad un certo punto
una sezione dal *****olo "Come con*****urare il modem/router Telecom in
bridge" che spiega come con*****urare il modem come "bridge"; considera
che nel tuo caso il "secondo router" di cui all'articolo sopra sarà il
tuo pfSense e che questo dovrà essere con*****urato in modo da gestire
PPoE sull'interfaccia WAN

http://www.interspective.net/2012/05/pfsense-initial-con*****uration-adsl-wan.html

il resto dovrebbe essere più o meno chiaro; in pratica a quel punto la
scheda WAN del pfSense si connetterà usando PPoE ed otterrà l'indirizzo
IP pubblico mentre il router telecom sarà "trasparente" (bridge); a
questo punto gestirai firewall, port forwarding e tutto il resto dal
tuo pfSense; unico "svantaggio" (se così vogliamo chiamarlo) è il fatto
che non avrai la wireless, ma a questo si rimedia facilmente e senza
spendere troppo semplicemente acquistando un normale AP e collegandolo
alla LAN o, se preferisci, ad un'interfaccia dedicata di pfSense (utile
se ti serve separare la WLAN dalla LAN cablata)
Arne Saknussemm 30 Ott 2014 09:49
On Thu, 30 Oct 2014 09:40:16 +0100
"Arne Saknussemm" wrote in it.comp.reti.locali
<20141030094016.000052c9@eternal-september.org>:

> non ho provato, ma stando a quanto riportato qui
>
> http://www.hwupgrade.it/forum/showthread.php?t=2587383
>
> sembra sia possibile; se scorri in basso, troverai ad un certo punto
> una sezione dal *****olo "Come con*****urare il modem/router Telecom in

giusto una nota aggiuntiva; nell'articolo di cui sopra per la
connessione PPoE vengono usate le credenziali "classiche" ossia
aliceadsl/aliceadsl; niente di male, tutto corretto, ma basta cambiare
tali credenziali come spiegato qui da telecom stessa

http://assistenzatecnica.telecomitalia.it/at/Informazioni_privati/ipv6

a questo punto, dovrai attivare il supporto IPv6 in pfSense

https://doc.pfsense.org/index.php/Is_there_IPv6_support_available

https://forum.pfsense.org/index.php?board=52.0

ovvio, quanto sopra non è obbligatorio, ma visto che c'è la possibilità
di avere IPv6 nativo (senza tunnel broker) ... perchè non approfittarne

:)
Arne Saknussemm 30 Ott 2014 10:34
On Thu, 30 Oct 2014 09:49:50 +0100
"Arne Saknussemm" wrote in it.comp.reti.locali
<20141030094950.00003b85@eternal-september.org>:

>
> a questo punto, dovrai attivare il supporto IPv6 in pfSense
>
> https://doc.pfsense.org/index.php/Is_there_IPv6_support_available
>
> https://forum.pfsense.org/index.php?board=52.0
>

dimenticavo http://wiki.aa.org.uk/Router_-_PFSense in pratica dovrai
attivare IPv6 in "advanced networking" e poi con*****urare l'interfaccia
WAN in modo da usare SLAAC (e non DHCPv6) per ottenere la con***** WAN
relativa ad IPv6

ciao e... fammi sapere :)
Arne Saknussemm 31 Ott 2014 09:05
:: On Thu, 30 Oct 2014 17:17:52 +0100
:: (it.comp.reti.locali)
:: <m2u5tb$pae$1@speranza.aioe.org>
:: "Darth Vader" <vader@deathstar.com> wrote:

> Una domanda da niubbo, so piu' o meno la differenza tra IPv4 e IPv6,
> ma a me che ho una rete 'normale' e neanche dei server da pubblicare
> a cosa puo' servirmi IPv6?

C'era stata una discussione in proposito su questo stesso gruppo; ti
rimando a quella

https://groups.google.com/forum/?_escaped_fragment_=to*****/it.comp.reti.locali/GJz_yZAJLbc#!to*****/it.comp.reti.locali/GJz_yZAJLbc

ciao

--
WARNING: The Law of Large Numbers also applies to ******* The number
of ******* of any given form is never zero, nor can you make it so.
Arne Saknussemm 13 Nov 2014 09:34
On Thu, 13 Nov 2014 08:23:02 +0100
"Darth Vader" wrote in it.comp.reti.locali
<m41mat$ta3$1@speranza.aioe.org>:

> Il router VDSL fornito da Telecom effettivamente funziona in modalita'
> bridge con i parametri suggeriti nell'altro posto
> (aliceadsl/aliceadsl). Si perdono pero' il wi-fi che va disattivato

quello è praticamente un obbligo dato che, con*****urando il router in
modalità bridge, si perdono (appunto) tutte le funzionalità di NAT,
routing etc... quindi non è possibile usare la WiFi; ad ogni modo, come
hai giustamente scritto, la cosa è risolvibile usando un normale AP :)


> (si deve usare un AP a parte) e, soprattutto, l' IP cambia (ho avuto
> lo stesso per 4 mesi, appena ho usato il bridge ne ha preso un'altro)
> e non e' un IP fisso.

il fatto che tu abbia avuto lo stesso IP per quattro mesi non significa
che quell'indirizzo IP fosse fisso :P (del resto un normale contratto
"Alice" ha IP dinamico); ad ogni modo... prova a forzare il MAC della
scheda di rete WAN ;) al proposito dai un'occhiata qui

https://forum.pfsense.org/index.php/to*****,21523.0.html

> L'unico modo per usare una VPN e' quindi iscriversi ad un servizio di
> dyndns e, successivamente, impostarlo su pfSense.

quello avresti dovuto farlo comunque visto che, come ho scritto sopra,
la connessione Alice non prevede un IP statico e quindi l'indirizzo
potrà cambiare nel tempo. Tra l'altro attivare il dyndns può essere
utile anche ad altri scopi, ad esempio se volessi pubblicare servizi di
vario genere (es. ftp o http...) o comunque quando si abbia un
indirizzo dinamico e si voglia essere in grado di raggiungere comunque
la propria WAN pur non conoscendone l'IP attuale

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.