Veřejná IP přes ADSL, jak nastavit ?

Ahoj,
tohle není zrovna moje parketa, tak se raději hloupě zeptám..

Na pobočce nám zřídili ADSL internet s veřejnou IP adresou. Uvnitř sítě to vypadá následně:

ADSL ----> [Zyxel P660, mód routing, WAN PPPoE] ----> [Zyxel ZyWall 5, mód router, WAN ethernet] ---> (stanice v síti + server)

Cílem je zpřístupnit pro administraci server z netu, zatím mi není jasné jak na to.
Na netu jsem našel, že mám první router P660 přenastavit do režimu bridge a ZyWall5 nastavit jako PPPoE na WAN. AFAIK by pak všechny příchozí požadavky z WAN řídil přímo ZyWall5, tedy druhý krok by znamenalo "něco" nastavit na druhém routeru tak, aby pustil požadavky z adresy XXX:80 na server.
Uvažuju správně ?

Nakresli si to znova, akorat kolem tech krabek napis IPcka jaky jsou na tech portech, OK ? Pak ti reknu co jak nastavit abys to mel jednoduchy.
Ve zkratce nemen rezimy, tim to rozdrbes, nastav si portforward.

Uvazujes spravne, bridge na prvnim, ten tedy pouzivat jen jako modem, na druhem pppoe a to "neco" je ten portforwarding viz Jezevec prede mnou.

Verejna IP je 83.208.xx.xx
Vnitrni sit je prekladana na 192.168.1.* -> na server potrebuju .20
Zatim nevim jake adresy koluji mezi obema routery, musim se na to podivat.
Dnes odpoledne az budu na miste tak to doplnim.

Doplneno:
ADSL ---> 88.208.x.x[Zyxel P660, mód routing, WAN PPPoE]10.0.0.138 ----> 10.0.0.1(DHCP)[Zyxel ZyWall 5, mód router, WAN ethernet]192.168.1.1 --->...
--->192.168.1.20[Server]

A mas nejakej extremni duvod tam mit ten druhej router? Protoze ti staci switch.

Citace:

---

Původně odeslal Jezevec

A mas nejakej extremni duvod tam mit ten druhej router? Protoze ti staci switch.

---

Záleží na tom který myslíš. Původně tam byl jen ZyWall a "drát ze zdi, kde je internet", netuším vůbec jak to bylo připojeno a ani jsem po tom nepátral. Teď se zavedl kyslíkovej ADSL a dostali jsme další škatuli. Ten ZyWall se kupoval hlavně jako FW a to plní dokonale. Není reálné vyhodit router za 9k a nahradit ho krabičkou s poloviční funkčností. A ten ZyWall AFAIK ADSL neumí, takže tam asi budou muset zůstat oba.

Jako další možnost ještě zvažuju VPN na ten ZyWall, ale s tím jsem kdysi už zápasil s nulovým výsledkem.

Chmm, mno davat si na DSL krabku za 9k .. ale budiz, prepni si ten prvni na bridge a uvidis, teoreticky by ten druhej mel dostat tu verenou adresu. Rikam teoreticky, protoze praxe je jak znamo ... :D (zrovna neco resim s providerem, asi nam po siti behaj pidimuzici ... :D )

Tak počkej - teď nevím jestli si rozumíme. ZyXel ZyWall5 je perfektní firewall který filtruje veškerou komunikaci z/do firmy a umí ještě spoustu dalších věcí. Tam si myslím, že ta investice byla (cca 3 roky zpět) opodstatněná.
Ten druhej ZyXel P660 mám dali před týdnem jako součást služby a kdyby to šlo, klidně se bez něj obejdu. Rozhodně jsme nekupovali za 9 kolíků druhej router kvůli ADSL ;-)

Teď jedna stupidní otázka - jak poznám, že na O2 nekecají a veřejná IP adresa funguje?
Technicky vzato, pokud teď zadám naši veřejnou adresu, mělo by mě vyskočit přihlášení na P660. Žádné nastavení které by to blokovalo jsem tam nenašel - a i kdyby, nejede ani ping. A log je taky prázdný.
Já jen abych pak nerozvrtal celou síť a pak zjistil, že bych byla úplně jinde...

Vetsina krabek ma defaultne zakazano vse => neodpovi ti ani na ping. Podivej se trebas na mojeip.cz, jestli tu IP mas.

Ad investice, mam zhruba stejne dlouho doma krabky s WiFi WRT54G za tenkrat asi 3k a jelikoz je to tucnak, tak to umi presne to co tucnak - tudiz cokoli.

Tak sem si s tím včera trochu hrál a jsem zpátky na začátku. Po přepnutí P660 na bridge se rozpadlo spojení a nedostal sem se ani na ten router. Pomohl až přítel reset a obnova nastavení.
Jinak firewall je nastaven tak, aby požadavky z venku propouštěl a krom toho vše co blokuje zaznamenal. Takže by to mělo buď fungovat, nebo bych to pak měl najít v logu. Nefunugje obojí.
Nejvíc mě ale vytočilo, že po resetu si router slíznul úplně jinou "veřejnou IP". Někde sem už četl, že veřejná <> vyhrazená, takže se vracím zpátky na začátek snažení :mad:

A laborujes s tim po dilech ? = pripojis si PC k te 660, nejdriv to rozchodis tak a pak teprve pripojis ten svuj router ? Jinak to nerozjedes. Tomu PC dej v tom bridge rezimu DHCPkem liznout IPcko, pokud nepude, tak mu vnut MAC adresu ty krabky.

Pořád se nedaří, je mi jasné že dělám něco špatně, ale už se v tom úplně ztrácím.
Prvně jsem to zkoušel tak jak popisuju - tedy konfiguraci obou prvků naráz.
Po prostudování manuálu jsem poučen, že ZyWall 5 umí taky PPPoE zkusil nastavit přímo přístup k WAN bez té nové krabičky, ale nedokázal si slíznout IP. Ani staticky, ani automaticky. O2 má na Zyxelu P660 nastavenou automatiku, ale navíc je tam heslo (předpokládám login O2/O2, ale jen hádám - kdysi jsem to už s technikem nastavoval) a další parametry, které na ZyWall5 nenajdu. Bohužel neumí ani naklonovat adresu. Takže druhý pokus taky selhal.
Potřetí jsem zkusil zopakovat první postup s tím, že P660 přepnu na bridge, ale v tom případě vůbec nechápu CO půjde dál do sítě. PPPoE přece ne, to by tam ten modem nemusel figurovat a Ethernet asi taky ne, když na tom nic nedokážu nahodit.

PS: Nějaký PC k prvkům můžu sice dotáhnout, ale změnit mu MAC neumím (ono to pod Win jde?), navíc mě štve že dělám kolem sítí už přes 10 let a tady se plácám jako BFU :-(

pls mohl by mě někdo navést trochu konkrétněji ? screeny podle potřeby postnu..

Citace:

---

Původně odeslal Aigor

...ale změnit mu MAC neumím (ono to pod Win jde?)

---

Jasně že jo, ve vlastnostech síťovky na kartě "Advanced".

Citace:

---

Původně odeslal Peca-on-line

Jasně že jo, ve vlastnostech síťovky na kartě "Advanced".

---

...pokud by to síťovka neumožňovala (už jsem se s pár takovýma setkal), tak se dá MAC libovolně nastavit v registrech, viz
http://www.klcconsulting.net/Change_MAC_w2k.htm

ja bych navrhoval jeste trochu jine reseni, krabicka O2 nebude v bridge modu, ale normalne dostane verejnou ip addressu, pokud je ten FW tak nutny a stal takovy hacky tak urcite pujde prepnout do transparent modu a server dostane ip primo od O2 krabicky, jak psal Jezevec nastavis NAT pro ten server a to je vse.

s velkou pravdepodobnosti tak nejaka autentizace bude, minimalne uzivatelske jmeno kdyz ne i heslo!

Jinak bych si asi pujcil jakykoliv hloupy ADSL modem, prepnul ho do bridge modu a na portu toho FW zapnul pppoe - to musi takova krabice umet obzvlaste jeli to jak jsi psal router... (co to teda je router nebo fw?, je vubec ten firewall statefull?)

Pánové díky za všechny rady, o víkendu jsem nad tím strávil několik hodin a nakonec se zadařilo. Mám to ovšem řešeno dvojitým NAT forwardem, ostatní metody selhaly. Jako nejlogičtější metodu bych viděl vyhodit krabičku od O2 a všechno nastavit na firewallu, ale to by znamenalo další předlouhý telefonát na zákaznikou linku (minimálně kvůli user/heslo) a do toho se mi dvakrát nechce. Časem se tomu ale stejně nevyhnu, jak se bude řešit propojení poboček přes VPN.
Ten hlavní router ZyWall5 je prodáván jako HW Firewall, proto možná to zmatení. Umí toho celkem dost. Možná by to nějaký Linux uměl taky, ale určitě ne tak uživatelsky přívětivě, v této velikosti a s podobnou spotřebou (no flame). Krom toho, já to neplatím - jen nastavuju.
Celý problém byl v tom, nastavit správně kombinaci pravidel FW spolu s přesměrováním portů. Přístup jsem ověřovat přes internet na mobilu, abych měl zpětnou odezvu. Z vybraných adres mám teď přístup přes https jak na hlavní router/FW, tak na server.

co myslis dvojitym NAT forwardem :) preci pokud zustala verejna adresa na prvnim boxu tak na tom firewalu staci static NAT ne?

Citace:

---

Původně odeslal sasha

co myslis dvojitym NAT forwardem :) preci pokud zustala verejna adresa na prvnim boxu tak na tom firewalu staci static NAT ne?

---

Myslím tím, že na krabičce od O2 je první forward a na firewallu je druhej - už na server.

Ten dvojity NAT je proste pro me nepochopitelna prasarna.
PPP user/heslo je o2/o2, ale tos tu jiz sam psal, takze me nenapada v cem by mohl byt jeste problem.

Citace:

---

Původně odeslal monsoon

Ten dvojity NAT je proste pro me nepochopitelna prasarna.
PPP user/heslo je o2/o2, ale tos tu jiz sam psal, takze me nenapada v cem by mohl byt jeste problem.

---

Uznávám, ale problém je v tom, že to co jsem psal prostě nefunguje ;-)

PS: Byť je to čuňárna, tak přiznávám, že toto řešení má jednu sympatickou featurku - když nastavuju blokování obsahu na hlavním firewallu, postiženému se objeví hláška, že stránka/obsah je blokovaný. Pokud to nastavím na O2 krabičce, všechno se chová jako by server měl výpadek, takže uživatelé tak nenadávají >:}

no to s tim ale nesouvisi, vzdyt blokovani obsahu muze na tom hlavnim fw fungovat i bez NATU vis?
jinak taky se Ti muze stat, ze do budoucna s tim nejake aplikace budou mit problem!
co bych take videl jako slabinu je, ze treba nemuzes potom na tom fw nastavit blokovani vnitrnich address protoze jednu z nich pouzivas coz znamena ze ten prechod je vice nachylny k utokum... ale to uz je preci jenom detail.
jinak souhlas s monsoonem, kazdopadne dulezite je ze ti to funguje

Citace:

---

Původně odeslal sasha

no to s tim ale nesouvisi, vzdyt blokovani obsahu muze na tom hlavnim fw fungovat i bez NATU vis?
jinak taky se Ti muze stat, ze do budoucna s tim nejake aplikace budou mit problem!

---

Kvuli blokovani obsahu to urcite nedelam, jen se branim reseni, kdy cast funkci prenesu na O2 krabicku a pozdeji to budu konfigurovat zase zpet. Mozna jsem paranoidni, ale preci jenom tu P660 beru jako prvni obrannou linii se zakladnim firewallem a pokud by ji nekdo napadl, je tam IMHO vetsi rizko nez na "velkem firewallu".
Blokovani obsahu je jenom bonbonek, to je nastaveno na obou prvcich, ale na venkovni krabicce mam par problemovych serveru, kde by nekteri zbytecne rvali ze jsou blokovane, takto je klid.

Citace:

---

Původně odeslal sasha

co bych take videl jako slabinu je, ze treba nemuzes potom na tom fw nastavit blokovani vnitrnich address protoze jednu z nich pouzivas coz znamena ze ten prechod je vice nachylny k utokum...

---

Tomu nerozumim, muzes mi to nejak vysvetlit? Na vnitrni adresu se dostanu jen z vybranych IP a jen https protokolem a to je smerovano jen na jediny stroj. Na zadnou jinou vnitrni adresu se dostat neda, takove pakety fw zahazuje.

Neber to jako flame, jsem rad ze mi nekdo rekne i zapory tohoto reseni - znovu uznavam, ze je to nejspis jen moje neschopnost vyloucit z reseni O2 krabicku, ale nevim co jeste vyzkouset. Zatim vsechno funguje vice nez dobre a uz me zoufale tlacil cas.

Citace:

---

Původně odeslal Aigor

Tomu nerozumim, muzes mi to nejak vysvetlit? Na vnitrni adresu se dostanu jen z vybranych IP a jen https protokolem a to je smerovano jen na jediny stroj. Na zadnou jinou vnitrni adresu se dostat neda, takove pakety fw zahazuje.

Neber to jako flame, jsem rad ze mi nekdo rekne i zapory tohoto reseni - znovu uznavam, ze je to nejspis jen moje neschopnost vyloucit z reseni O2 krabicku, ale nevim co jeste vyzkouset. Zatim vsechno funguje vice nez dobre a uz me zoufale tlacil cas.

---

v pohode, zadny flame, vis co clovek uz ma zabehle nejake sve zvyklosti, ktere ale vychazeji z jineho prostredi....
to co jsem myslel je ochrana proti spoofingu, je to standardni konfigurace kdy na tvem routru do internetu (pripadne firewallu) nakonfigurujes pravidlo ktere zahodi jakekoliv pakety, ktere prichazeji z internetu a maji IP z privatnich rozsahu. pokud mas web server a je povoleny pristup z internetu = odkudkoliv tak na nej jednoduse mohu utocit pakety ktere maji zdrojovou adresu v tve interni siti a neprimo tak mohu utocit i na zarizeni, ktere sedi v rozsahu te zdrojove adresy.

jsem docela nevyspaly tak snad jsem to napsal srozumitelne :)

Priznam se, ze mi to uplne jasne neni - mozna si sedim na vedeni.. Neni mi jasne, jak se dovnitr z internetu muzou dostat pakety se zdrojovou adresou z privatniho rozsahu (jako podvrzene?, netusim jak to jde..), nicmene na web server to neni, jen na https management konzolu serveru a ten po 5 neuspesnych pokusech zdrojovou adresu trvale zabanuje. Snad je tedy pro bezpecnost udelano dost.

zcela jednoduse, pokud pravidlo na fw nema striktne definovane zdrojove adresy je tam any - tzn ze kdokoliv muze poslat MEGA paketu, ktere budou mit cil tvoji verejnou adresu a port 443 a zdrojovou vnitrni sit na tom neni nic divneho... jedine co se stane, ze tvuj server bude posilat odpoved na tu zdrojovou adresu, ktera muze byt zcela nahodou ziva na tve vnitrni siti ;-)

zabezpecene? hmm prijde na to :)

Dovysvetlim:

Mejme router s verejnou IP a.b.c.d a privatni 192.168.1.1/24 a stanici s 192.168.1.2/24. Kdyz se mi povede na tvuj router zvenku poslat paket s cilovou IP 192.168.1.2, tak s nim router udela co ? No posle ho do vnitrni site, rozsah preci zna. A voiala, muzeme vesele komunikovat. Taktez pokud ti z vnitrni site budu adresovat neznamou privatni IP (rekneme 10.1.1.1), tak to router posle do internetu - na svoji default routu.

Proto bys mel mit na routeru neco takovyho:

-A FORWARD -o eth0 -j private (zevnitr ven)
-A private -d 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable
-A private -d 172.16.0.0/12 -j REJECT --reject-with icmp-net-unreachable
-A private -d 10.0.0.0/8 -j REJECT --reject-with icmp-net-unreachable

-A FORWARD -i eth0 -j private2 (zvenku dovnitr)
-A private2 -s 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable
-A private2 -s 172.16.0.0/12 -j REJECT --reject-with icmp-net-unreachable
-A private2 -s 10.0.0.0/8 -j REJECT --reject-with icmp-net-unreachable

Edit: Jop, predpokladam samo ze eth0 je rozhrani do netu, ktery ma tu verejnou IP.

rozsirim :)

Action Protocol Source Destination Port Description
Deny IP 10.0.0.0/8 Any Any RFC 1918 Private Network
Deny IP 192.168.0.0/16 Any Any RFC 1918 Private Network
Deny IP 172.16.0.0/12 Any Any RFC 1918 Private Network
Deny IP DMZ subnet Any Any DMZ network
Deny IP 127.0.0.0/8 Any Any Loopback Network
Deny IP 0.0.0.0/8 Any Any Historic Broadcast
Deny IP 224.0.0.0/4 Any Any Class D Multicast
Deny IP 240.0.0.0/5 Any Any Class E Multicast
Deny IP 248.0.0.0/5 Any Any Unallocated
Deny IP 255.255.255.255/32 Any Any Broadcast
Deny IP Any router ip Any Drop all traffic destined to the router
Deny TCP Any Any 135-139, 445 MS ports
Deny UDP Any Any 135-139, 445 MS ports
Deny TCP Any Any 23, 111, 512 -514, 2049, 6000-6063 Unix Ports
Deny UDP Any Any 111, 2049, 6000-6063 Unix Ports
Deny UDP Any Any 69, 161, 162, 514 SNMP, syslog, TFTP
Permit IP Any DMZ NET Any Allow access to DMZ
Permit IP Any NAT addresses Any Allow access to NAT address of DMZ FW
Deny IP Any Any Any Drop all other traffic

tohle je takova zakladni sablona pro prichozi interface na border routru, samozrejme co je potreba se pripadne povoli...

stejne tak existuje sablona pro vnitrni interface na routru...

koho to zajima vice viz www.sans.org ;-)

pripadne prakticky priklad z ktereho jsem si ten kousek vzal... :) http://www.sans.org/reading_room/whi...lyst_gcfw_1621

Jen si dovolim k prvotnimu prolemu ...

Kdyz nastavis prvni router na Bridge, musis pres nej z druhyho stroje vytocit PPPoE spojeni se jmenem a heslem (O2/O2 , ale bere cokoliv). Jde to i z blbejch Woken. Takze presne tohle vytaceni PPPoE musis nastavit na WAN port druhyho routeru a musi to chodit.

Jinak nepsal jsi, ze mas pevnou verejnou IP, takze se muze obcas zmenit, ale to bejva opravdu jen obcas, kdyz se meni u O2 konfigurace DSLAMu a tak, rozhodne se nestane, ze po resetu modemu dostanes jinou, tak to nefunguje.

OK, už je mi to jasnější, teď jen přijít na to, jak to nastavit na Zyxelu, ev. jak ověřit jestli to (ne)funguje.

Ohledně pevné adresy, měnit by se neměla - aspoň jim to tvrdili na O2 lince (což ještě nemusí nic znamena, že ano ;-) )

no jestli je potreba z internetu pristup na sluzbu ve vnitr tak by se opravdu menit nemela :) a nebo si nastavit aby jsi dostal sms nebo mail z routru potom co se zmeni.

Ale ne, staci mit neco jako dyndns ... tech sluzeb je hromada a kazdej rozumnej router nakou podporuje.

Citace:

---

Původně odeslal sasha

koho to zajima vice viz www.sans.org ;-)

pripadne prakticky priklad z ktereho jsem si ten kousek vzal... :) http://www.sans.org/reading_room/whi...lyst_gcfw_1621

---

Dovolím si trochu OT - nějaký podobný zdroj v CZ, ať už server, nebo literatura k této problematice? Dost mě irituje, že v těchto věcech se moc neorientuju a moje angličtina není moc použitelná na studium :-(

to se omlouvam, ale zadny cesky zdroj neznam, mozna pohledat na svetsiti.cz
heled na to ani moc anglictinu umet nemusis, naucis se par slovicek a je to :D

Citace:

---

Původně odeslal Jezevec

Ale ne, staci mit neco jako dyndns ... tech sluzeb je hromada a kazdej rozumnej router nakou podporuje.

---

na to jsem nepomyslel, ja tim sledoval ze administrator hned vi na jakou addressu se prihlasit, navic psat do ssh webovou addresu mi prislo trosku hmm vesely :)

Citace:

---

Původně odeslal sasha

na to ani moc anglictinu umet nemusis, naucis se par slovicek a je to :D

---

Nejde o to, ze bych ji neumel vubec, odborny text si prelozim, ale tu vetu musim cist 5x a pak si to rict v cestine, abych se mohl soustredit na obsah. S mym casovym programem nez bych neco nastudoval, tak jsem spokojenej duchodce. Problem u nas dostupne prelozene literatury je zpravidla 3-5 let zpozdeni proti originalu, nevim jak moc je to akutni v oblasti sitove bezpecnosti.

nevim o zadnych knihach ktere by byly na urovni a prelozeny do cestiny, pokud jsou v cestine tak jsou to cesti autori.
vetsinou je literatura vazana na training a naslednou certifikaci a ty firmy si to hlidaji stejne tak lide kteri za to zaplatili balik

Citace:

---

Původně odeslal sasha

na to jsem nepomyslel, ja tim sledoval ze administrator hned vi na jakou addressu se prihlasit, navic psat do ssh webovou addresu mi prislo trosku hmm vesely :)

---

Neznam zanyho admina kterej by se logoval na IP, si vazne myslis ze si pamatuju 40 IPcek ? To by me z toho brzo mrsklo, specielne kdyz se cas od casu menej. A DNS s webem nema prakticky nic spolecnyho.

2Aigor: Mozna ti neudelam taky radost, ale pokud chces cokoli ohledne siti, tak EN je nutnost. V CZ najdes naprosty minimum zdroju.

tak samozrejme se nehlasim na ip (ikdyz dost jich mam uz v hlave ;-) ) ale pokud na te NAT ip frci web servise tak je docela vtipne se pri prekladani dozvedet zekrome ocguru.cz taky oc-rt01-guru.cz...
kdyz tak mi pisni pokud si nerozumime abychom to tu nespemovali.