Salve a tutti, vi scrivo per chidervi un aiuto nel risolvere questo mio gap.
Allora, in azienda abbiamo un CISCO 877 con adsl TELECOM con 8 IP PUBBLICI. A seguire abbiamo un FIREWALL della FORTINET serie 60, che gestisce tutto il traffico tra i vari rami di rete.
Ho questa necessità: vorrei utilizzare nel lato WAN del ROUTER tutti gl'indirizzi PUBBLICI disponibili (su 8 -> 5), a cui devo associare una rotta verso server diversi, utilizzando la sola ETH0 del ROUTER e la WAN del FIREWALL.
I vari server sono a loro volta suddivisi tra la DMZ, WAN2, e LAN del FIREWALL.
Attaccare le seconde schede di rete dei vari server (es. server di posta su DMZ) direttamente ad una ETH del ROUTER sarebbe una soluzione, ma vorrei far passare tutto sotto il FIREWALL.
Granzie in anticio di tutto l'aiuto che potete darmi.
Luca
Configurazione di più IP PUBBLICI (particolare)
Moderatore: Federico.Lagni
-
lorbellu
- Network Emperor
- Messaggi: 313
- Iscritto il: gio 25 ott , 2007 6:14 pm
Ciao,
Scusa ma non ho capito proprio tutto dal tuo post. Ad ogni modo quello che devi fare tu non é estremamente complicato, almeno dal punto di vista del router.
Anzitutto gli 8 indirizzi pubblici vanno sul lato LAN e non lato WAN. Sul lato WAN avrai sicuramente un indirizzo punto-punto con maschera 255.255.255.252
Lato LAN invece come detto devi mettere il primo dei tuoi 8 indirizzi pubblici, programmandolo sull'interfaccia VLAN1.
A questo punto devi collegare sia la WAN che la DMZ del Fortigate ad due porte qualsiasi dell'877.
A questo punto avrai la seguente situazione:
1)Il 1° IP pubblico é la VLAN1 del router (quindi, di default tutte le interfacce ethernet dell'877)
2)Il 2° IP pubblico é la WAN del Fortigate che presumibilmente sarà l'IP su cui il Fortigate farà il NAT della LAN ad indirizzamento privato (es. 192.168.1.0 255.255.255.0)
3)Il 3° IP pubblico é la DMZ del Fortigate che funge da gateway verso i server che altresì avranno indirizzo pubblico (confermamelo)
4)I server avranno quindi 2 schede di rete (occhio a disabilitare il routing per la sicurezza), una lato LAN e l'altra lato DMZ entrambe connesse ad uno switch (magari su due VLAN diverse)
Dovrai quindi creare alcune rotte statiche ad host per routare i pacchetti diretti ai server, direttamente tramite l'IP della DMZ, oltre ovviamente alla default route tramite l'interfaccia WAN del router:
Ecco un abbozzo di conf:
interface eth0
description Interfaccia verso WAN Fortigate 60
Interface eth1
description Interfaccia verso DMZ Fortigate 60
Interface vlan1
ip address 1°IP_Pubblico 255.255.248.0
!
Interface atm0.1 poit-to-point
ip address IP_WAN_lato_router 255.255.255.252
!
!
!
ip route 4°IP_Pubblico 255.255.255.255 3°IP_Pubblico(DMZ)
ip route 5°IP_Pubblico 255.255.255.255 3°IP_Pubblico(DMZ)
ip route 0.0.0.0 0.0.0.0 atm0.1
Saluti
Scusa ma non ho capito proprio tutto dal tuo post. Ad ogni modo quello che devi fare tu non é estremamente complicato, almeno dal punto di vista del router.
Anzitutto gli 8 indirizzi pubblici vanno sul lato LAN e non lato WAN. Sul lato WAN avrai sicuramente un indirizzo punto-punto con maschera 255.255.255.252
Lato LAN invece come detto devi mettere il primo dei tuoi 8 indirizzi pubblici, programmandolo sull'interfaccia VLAN1.
A questo punto devi collegare sia la WAN che la DMZ del Fortigate ad due porte qualsiasi dell'877.
A questo punto avrai la seguente situazione:
1)Il 1° IP pubblico é la VLAN1 del router (quindi, di default tutte le interfacce ethernet dell'877)
2)Il 2° IP pubblico é la WAN del Fortigate che presumibilmente sarà l'IP su cui il Fortigate farà il NAT della LAN ad indirizzamento privato (es. 192.168.1.0 255.255.255.0)
3)Il 3° IP pubblico é la DMZ del Fortigate che funge da gateway verso i server che altresì avranno indirizzo pubblico (confermamelo)
4)I server avranno quindi 2 schede di rete (occhio a disabilitare il routing per la sicurezza), una lato LAN e l'altra lato DMZ entrambe connesse ad uno switch (magari su due VLAN diverse)
Dovrai quindi creare alcune rotte statiche ad host per routare i pacchetti diretti ai server, direttamente tramite l'IP della DMZ, oltre ovviamente alla default route tramite l'interfaccia WAN del router:
Ecco un abbozzo di conf:
interface eth0
description Interfaccia verso WAN Fortigate 60
Interface eth1
description Interfaccia verso DMZ Fortigate 60
Interface vlan1
ip address 1°IP_Pubblico 255.255.248.0
!
Interface atm0.1 poit-to-point
ip address IP_WAN_lato_router 255.255.255.252
!
!
!
ip route 4°IP_Pubblico 255.255.255.255 3°IP_Pubblico(DMZ)
ip route 5°IP_Pubblico 255.255.255.255 3°IP_Pubblico(DMZ)
ip route 0.0.0.0 0.0.0.0 atm0.1
Saluti
Lorbellu
-
sonoio
- n00b
- Messaggi: 5
- Iscritto il: mar 30 dic , 2008 6:53 pm
Ciao Lorbellu, intanto ti ringrazio per la risposta.
Ti escplico alcune puntualizzazioni:
1) volontariamente ho richiesto se era possibile mettere gli IP PUBBLICI lato WAN del CISCO, e questo per una configurazione più pulita e sicura. Non vorrei sbagliarmi, ma dai post che ho letto di Wizard, mi pare di aver visto che è possibile farlo... Cmq, la mia attuale configurazione è quella che hai descritto tu.
2) se collego la DMZ del FORTIGATE direttamente ad una ETH del CISCO (in mezzo ci metto anche uno SWITCH), e poi collego la II^ scheda di rete di uno dei server (che può avere un IP PUBBLICO su tale scheda), ottengo in parte quello che voglio, perchè il traffico che esce dalla ETH sul CISCO a cui mi sono collegato, entra direttamente sui server (hanno anche il frewall di Microsoft installato.
A cosa punto idealmente:
1) tutto il traffico arriva alla WAN del FORTINET, poi sono io che con le policy, con le rotte, con quant'altro disponibile, faccio arrivare alla DMZ il traffico che mi interessa.
Ti preparo uno schema cosi mi spiego meglio.
Intanto ho deciso di fare anche come mi hai suggerito tu.
A prestisstimo.
sonoio
Ti escplico alcune puntualizzazioni:
1) volontariamente ho richiesto se era possibile mettere gli IP PUBBLICI lato WAN del CISCO, e questo per una configurazione più pulita e sicura. Non vorrei sbagliarmi, ma dai post che ho letto di Wizard, mi pare di aver visto che è possibile farlo... Cmq, la mia attuale configurazione è quella che hai descritto tu.
2) se collego la DMZ del FORTIGATE direttamente ad una ETH del CISCO (in mezzo ci metto anche uno SWITCH), e poi collego la II^ scheda di rete di uno dei server (che può avere un IP PUBBLICO su tale scheda), ottengo in parte quello che voglio, perchè il traffico che esce dalla ETH sul CISCO a cui mi sono collegato, entra direttamente sui server (hanno anche il frewall di Microsoft installato.
A cosa punto idealmente:
1) tutto il traffico arriva alla WAN del FORTINET, poi sono io che con le policy, con le rotte, con quant'altro disponibile, faccio arrivare alla DMZ il traffico che mi interessa.
Ti preparo uno schema cosi mi spiego meglio.
Intanto ho deciso di fare anche come mi hai suggerito tu.
A prestisstimo.
sonoio
-
lorbellu
- Network Emperor
- Messaggi: 313
- Iscritto il: gio 25 ott , 2007 6:14 pm
Ciao,
In attesa di vedere lo schema il problema di non passare per i server é dato dal fatto che piazzando la ethernet del router su uno switch senza specificare le rotte ad host, non hai modo di dire al router di dialogare tramite il FORTIGATE in quanto sia il router che i server si vedono direttamente con una rotta connessa (che ha una metrica inferiore).
Ciao
Lorbellu
In attesa di vedere lo schema il problema di non passare per i server é dato dal fatto che piazzando la ethernet del router su uno switch senza specificare le rotte ad host, non hai modo di dire al router di dialogare tramite il FORTIGATE in quanto sia il router che i server si vedono direttamente con una rotta connessa (che ha una metrica inferiore).
Ciao
Lorbellu
Lorbellu
