Veřejná IP přes ADSL, jak nastavit ?

[Aigor]

Ahoj,
tohle není zrovna moje parketa, tak se raději hloupě zeptám..

Na pobočce nám zřídili ADSL internet s veřejnou IP adresou. Uvnitř sítě to vypadá následně:

ADSL ----> [Zyxel P660, mód routing, WAN PPPoE] ----> [Zyxel ZyWall 5, mód router, WAN ethernet] ---> (stanice v síti + server)

Cílem je zpřístupnit pro administraci server z netu, zatím mi není jasné jak na to.
Na netu jsem našel, že mám první router P660 přenastavit do režimu bridge a ZyWall5 nastavit jako PPPoE na WAN. AFAIK by pak všechny příchozí požadavky z WAN řídil přímo ZyWall5, tedy druhý krok by znamenalo "něco" nastavit na druhém routeru tak, aby pustil požadavky z adresy XXX:80 na server.
Uvažuju správně ?

[Jezevec]

Nakresli si to znova, akorat kolem tech krabek napis IPcka jaky jsou na tech portech, OK ? Pak ti reknu co jak nastavit abys to mel jednoduchy.
Ve zkratce nemen rezimy, tim to rozdrbes, nastav si portforward.

[monsoon]

Uvazujes spravne, bridge na prvnim, ten tedy pouzivat jen jako modem, na druhem pppoe a to "neco" je ten portforwarding viz Jezevec prede mnou.

[Aigor]

Verejna IP je 83.208.xx.xx
Vnitrni sit je prekladana na 192.168.1.* -> na server potrebuju .20
Zatim nevim jake adresy koluji mezi obema routery, musim se na to podivat.
Dnes odpoledne az budu na miste tak to doplnim.

Doplneno:
ADSL ---> 88.208.x.x[Zyxel P660, mód routing, WAN PPPoE]10.0.0.138 ----> 10.0.0.1(DHCP)[Zyxel ZyWall 5, mód router, WAN ethernet]192.168.1.1 --->...
--->192.168.1.20[Server]

[Jezevec]

A mas nejakej extremni duvod tam mit ten druhej router? Protoze ti staci switch.

[Aigor]

A mas nejakej extremni duvod tam mit ten druhej router? Protoze ti staci switch.

Záleží na tom který myslíš. Původně tam byl jen ZyWall a "drát ze zdi, kde je internet", netuším vůbec jak to bylo připojeno a ani jsem po tom nepátral. Teď se zavedl kyslíkovej ADSL a dostali jsme další škatuli. Ten ZyWall se kupoval hlavně jako FW a to plní dokonale. Není reálné vyhodit router za 9k a nahradit ho krabičkou s poloviční funkčností. A ten ZyWall AFAIK ADSL neumí, takže tam asi budou muset zůstat oba.

Jako další možnost ještě zvažuju VPN na ten ZyWall, ale s tím jsem kdysi už zápasil s nulovým výsledkem.

[Jezevec]

Chmm, mno davat si na DSL krabku za 9k .. ale budiz, prepni si ten prvni na bridge a uvidis, teoreticky by ten druhej mel dostat tu verenou adresu. Rikam teoreticky, protoze praxe je jak znamo ... (zrovna neco resim s providerem, asi nam po siti behaj pidimuzici ... )

[Aigor]

Tak počkej - teď nevím jestli si rozumíme. ZyXel ZyWall5 je perfektní firewall který filtruje veškerou komunikaci z/do firmy a umí ještě spoustu dalších věcí. Tam si myslím, že ta investice byla (cca 3 roky zpět) opodstatněná.
Ten druhej ZyXel P660 mám dali před týdnem jako součást služby a kdyby to šlo, klidně se bez něj obejdu. Rozhodně jsme nekupovali za 9 kolíků druhej router kvůli ADSL

Teď jedna stupidní otázka - jak poznám, že na O2 nekecají a veřejná IP adresa funguje?
Technicky vzato, pokud teď zadám naši veřejnou adresu, mělo by mě vyskočit přihlášení na P660. Žádné nastavení které by to blokovalo jsem tam nenašel - a i kdyby, nejede ani ping. A log je taky prázdný.
Já jen abych pak nerozvrtal celou síť a pak zjistil, že bych byla úplně jinde...

[Jezevec]

Vetsina krabek ma defaultne zakazano vse => neodpovi ti ani na ping. Podivej se trebas na mojeip.cz, jestli tu IP mas.

Ad investice, mam zhruba stejne dlouho doma krabky s WiFi WRT54G za tenkrat asi 3k a jelikoz je to tucnak, tak to umi presne to co tucnak - tudiz cokoli.

[Aigor]

Tak sem si s tím včera trochu hrál a jsem zpátky na začátku. Po přepnutí P660 na bridge se rozpadlo spojení a nedostal sem se ani na ten router. Pomohl až přítel reset a obnova nastavení.
Jinak firewall je nastaven tak, aby požadavky z venku propouštěl a krom toho vše co blokuje zaznamenal. Takže by to mělo buď fungovat, nebo bych to pak měl najít v logu. Nefunugje obojí.
Nejvíc mě ale vytočilo, že po resetu si router slíznul úplně jinou "veřejnou IP". Někde sem už četl, že veřejná <> vyhrazená, takže se vracím zpátky na začátek snažení

[Jezevec]

A laborujes s tim po dilech ? = pripojis si PC k te 660, nejdriv to rozchodis tak a pak teprve pripojis ten svuj router ? Jinak to nerozjedes. Tomu PC dej v tom bridge rezimu DHCPkem liznout IPcko, pokud nepude, tak mu vnut MAC adresu ty krabky.

[Aigor]

Pořád se nedaří, je mi jasné že dělám něco špatně, ale už se v tom úplně ztrácím.
Prvně jsem to zkoušel tak jak popisuju - tedy konfiguraci obou prvků naráz.
Po prostudování manuálu jsem poučen, že ZyWall 5 umí taky PPPoE zkusil nastavit přímo přístup k WAN bez té nové krabičky, ale nedokázal si slíznout IP. Ani staticky, ani automaticky. O2 má na Zyxelu P660 nastavenou automatiku, ale navíc je tam heslo (předpokládám login O2/O2, ale jen hádám - kdysi jsem to už s technikem nastavoval) a další parametry, které na ZyWall5 nenajdu. Bohužel neumí ani naklonovat adresu. Takže druhý pokus taky selhal.
Potřetí jsem zkusil zopakovat první postup s tím, že P660 přepnu na bridge, ale v tom případě vůbec nechápu CO půjde dál do sítě. PPPoE přece ne, to by tam ten modem nemusel figurovat a Ethernet asi taky ne, když na tom nic nedokážu nahodit.

PS: Nějaký PC k prvkům můžu sice dotáhnout, ale změnit mu MAC neumím (ono to pod Win jde?), navíc mě štve že dělám kolem sítí už přes 10 let a tady se plácám jako BFU

pls mohl by mě někdo navést trochu konkrétněji ? screeny podle potřeby postnu..

[Peca-on-line]

...ale změnit mu MAC neumím (ono to pod Win jde?)

Jasně že jo, ve vlastnostech síťovky na kartě "Advanced".

[Dismembered]

Jasně že jo, ve vlastnostech síťovky na kartě "Advanced".

...pokud by to síťovka neumožňovala (už jsem se s pár takovýma setkal), tak se dá MAC libovolně nastavit v registrech, viz
http://www.klcconsulting.net/Change_MAC_w2k.htm

[sasha]

ja bych navrhoval jeste trochu jine reseni, krabicka O2 nebude v bridge modu, ale normalne dostane verejnou ip addressu, pokud je ten FW tak nutny a stal takovy hacky tak urcite pujde prepnout do transparent modu a server dostane ip primo od O2 krabicky, jak psal Jezevec nastavis NAT pro ten server a to je vse.

s velkou pravdepodobnosti tak nejaka autentizace bude, minimalne uzivatelske jmeno kdyz ne i heslo!

Jinak bych si asi pujcil jakykoliv hloupy ADSL modem, prepnul ho do bridge modu a na portu toho FW zapnul pppoe - to musi takova krabice umet obzvlaste jeli to jak jsi psal router... (co to teda je router nebo fw?, je vubec ten firewall statefull?)

[Aigor]

Pánové díky za všechny rady, o víkendu jsem nad tím strávil několik hodin a nakonec se zadařilo. Mám to ovšem řešeno dvojitým NAT forwardem, ostatní metody selhaly. Jako nejlogičtější metodu bych viděl vyhodit krabičku od O2 a všechno nastavit na firewallu, ale to by znamenalo další předlouhý telefonát na zákaznikou linku (minimálně kvůli user/heslo) a do toho se mi dvakrát nechce. Časem se tomu ale stejně nevyhnu, jak se bude řešit propojení poboček přes VPN.
Ten hlavní router ZyWall5 je prodáván jako HW Firewall, proto možná to zmatení. Umí toho celkem dost. Možná by to nějaký Linux uměl taky, ale určitě ne tak uživatelsky přívětivě, v této velikosti a s podobnou spotřebou (no flame). Krom toho, já to neplatím - jen nastavuju.
Celý problém byl v tom, nastavit správně kombinaci pravidel FW spolu s přesměrováním portů. Přístup jsem ověřovat přes internet na mobilu, abych měl zpětnou odezvu. Z vybraných adres mám teď přístup přes https jak na hlavní router/FW, tak na server.

[sasha]

co myslis dvojitym NAT forwardem preci pokud zustala verejna adresa na prvnim boxu tak na tom firewalu staci static NAT ne?

[Aigor]

co myslis dvojitym NAT forwardem preci pokud zustala verejna adresa na prvnim boxu tak na tom firewalu staci static NAT ne?

Myslím tím, že na krabičce od O2 je první forward a na firewallu je druhej - už na server.

[monsoon]

Ten dvojity NAT je proste pro me nepochopitelna prasarna.
PPP user/heslo je o2/o2, ale tos tu jiz sam psal, takze me nenapada v cem by mohl byt jeste problem.

[Aigor]

Ten dvojity NAT je proste pro me nepochopitelna prasarna.
PPP user/heslo je o2/o2, ale tos tu jiz sam psal, takze me nenapada v cem by mohl byt jeste problem.

Uznávám, ale problém je v tom, že to co jsem psal prostě nefunguje

PS: Byť je to čuňárna, tak přiznávám, že toto řešení má jednu sympatickou featurku - když nastavuju blokování obsahu na hlavním firewallu, postiženému se objeví hláška, že stránka/obsah je blokovaný. Pokud to nastavím na O2 krabičce, všechno se chová jako by server měl výpadek, takže uživatelé tak nenadávají

[sasha]

no to s tim ale nesouvisi, vzdyt blokovani obsahu muze na tom hlavnim fw fungovat i bez NATU vis?
jinak taky se Ti muze stat, ze do budoucna s tim nejake aplikace budou mit problem!
co bych take videl jako slabinu je, ze treba nemuzes potom na tom fw nastavit blokovani vnitrnich address protoze jednu z nich pouzivas coz znamena ze ten prechod je vice nachylny k utokum... ale to uz je preci jenom detail.
jinak souhlas s monsoonem, kazdopadne dulezite je ze ti to funguje

[Aigor]

no to s tim ale nesouvisi, vzdyt blokovani obsahu muze na tom hlavnim fw fungovat i bez NATU vis?
jinak taky se Ti muze stat, ze do budoucna s tim nejake aplikace budou mit problem!

Kvuli blokovani obsahu to urcite nedelam, jen se branim reseni, kdy cast funkci prenesu na O2 krabicku a pozdeji to budu konfigurovat zase zpet. Mozna jsem paranoidni, ale preci jenom tu P660 beru jako prvni obrannou linii se zakladnim firewallem a pokud by ji nekdo napadl, je tam IMHO vetsi rizko nez na "velkem firewallu".
Blokovani obsahu je jenom bonbonek, to je nastaveno na obou prvcich, ale na venkovni krabicce mam par problemovych serveru, kde by nekteri zbytecne rvali ze jsou blokovane, takto je klid.

co bych take videl jako slabinu je, ze treba nemuzes potom na tom fw nastavit blokovani vnitrnich address protoze jednu z nich pouzivas coz znamena ze ten prechod je vice nachylny k utokum...

Tomu nerozumim, muzes mi to nejak vysvetlit? Na vnitrni adresu se dostanu jen z vybranych IP a jen https protokolem a to je smerovano jen na jediny stroj. Na zadnou jinou vnitrni adresu se dostat neda, takove pakety fw zahazuje.

Neber to jako flame, jsem rad ze mi nekdo rekne i zapory tohoto reseni - znovu uznavam, ze je to nejspis jen moje neschopnost vyloucit z reseni O2 krabicku, ale nevim co jeste vyzkouset. Zatim vsechno funguje vice nez dobre a uz me zoufale tlacil cas.

[sasha]

Tomu nerozumim, muzes mi to nejak vysvetlit? Na vnitrni adresu se dostanu jen z vybranych IP a jen https protokolem a to je smerovano jen na jediny stroj. Na zadnou jinou vnitrni adresu se dostat neda, takove pakety fw zahazuje.

Neber to jako flame, jsem rad ze mi nekdo rekne i zapory tohoto reseni - znovu uznavam, ze je to nejspis jen moje neschopnost vyloucit z reseni O2 krabicku, ale nevim co jeste vyzkouset. Zatim vsechno funguje vice nez dobre a uz me zoufale tlacil cas.

v pohode, zadny flame, vis co clovek uz ma zabehle nejake sve zvyklosti, ktere ale vychazeji z jineho prostredi....
to co jsem myslel je ochrana proti spoofingu, je to standardni konfigurace kdy na tvem routru do internetu (pripadne firewallu) nakonfigurujes pravidlo ktere zahodi jakekoliv pakety, ktere prichazeji z internetu a maji IP z privatnich rozsahu. pokud mas web server a je povoleny pristup z internetu = odkudkoliv tak na nej jednoduse mohu utocit pakety ktere maji zdrojovou adresu v tve interni siti a neprimo tak mohu utocit i na zarizeni, ktere sedi v rozsahu te zdrojove adresy.

jsem docela nevyspaly tak snad jsem to napsal srozumitelne

[Aigor]

Priznam se, ze mi to uplne jasne neni - mozna si sedim na vedeni.. Neni mi jasne, jak se dovnitr z internetu muzou dostat pakety se zdrojovou adresou z privatniho rozsahu (jako podvrzene?, netusim jak to jde..), nicmene na web server to neni, jen na https management konzolu serveru a ten po 5 neuspesnych pokusech zdrojovou adresu trvale zabanuje. Snad je tedy pro bezpecnost udelano dost.

[sasha]

zcela jednoduse, pokud pravidlo na fw nema striktne definovane zdrojove adresy je tam any - tzn ze kdokoliv muze poslat MEGA paketu, ktere budou mit cil tvoji verejnou adresu a port 443 a zdrojovou vnitrni sit na tom neni nic divneho... jedine co se stane, ze tvuj server bude posilat odpoved na tu zdrojovou adresu, ktera muze byt zcela nahodou ziva na tve vnitrni siti

zabezpecene? hmm prijde na to