CiscoForums.it

Salve a tutti!
Spero di essere nel forum giusto.

Premessa:
Ho una rete aziendale "sotto" un router firewall di circa 12 pc + un server (per i back-up e servizi di posta).
Tutti i pc hanno un IP privato tipo 192.168.0.xxx.
Ho fatto richiesta, alla Telecom, altri 8 Ip fissi aggiuntivi perchè vorrei poter mettere in rete altri PC/Apparecchiature che siano dotati di un IP Pubblico e quindi visibili dall'esterno.
(vendo videoregistratori digitali che forniscono un servizio di videosorveglianza su pc o videofonini attraverso internet).

Che cosa ho ora in azienda:..
Il router firewall è un Netgear DG834 che mi "permette" di fare NAT/port-forwarding (ma non voglio chiedere altri 8 Ip fissi per attribuire ad ogni macchina un proprio IP Pubblico)
Un Server con Windows Server 2003.
Un assortimento di pc e portatili con diversi SO (da Windows 98 a Windows XP).

La domanda a questo punto è:
"come faccio a rendere visibili i videoregistratori digitali (su cui posso settare i parametri di rete necessari) su internet (con gli IP pubblici fissi aggiuntivi di Telecom) condividendo fisicamente le calbature all'interno della mia LAN aziendale (dove ci sono i miei PC che devono mantenere gli Ip Privati tipo 192.168.0.xxx)?"

mi hanno proposto di installare un Firewall Cisco PIX 501 (con 50 utenze)... è la soluzione giusta per gestire la rete come vorrei fare io?

Non credo sia una cosa particolarmente difficile da architettare.. ma non vorrei sbagliare ed acquistare qualcosa (un firewall) che in realtà non mi serve o che non è il piu' indicato...
(da listino si parla di 1100 euro + 75 euro/ora per installazione e istruzione)

Altro dubbio... ma concentratevi e scusate se è un po' contorto..
"Dopo l'installazione del firewall (se è la soluzione giusta)... posso, dall'interno della mia rete aziendale (con un ip privato), richiamare uno degli altri 8 ip fissi aggiuntivi (pubblici) dove troverò un videoregistratore, nello stesso modo che farebbe un "utente internet esterno" (cioè estraneo alla mia rete con gli ip pubblici)?... ovvero simulare la connessione da remoto?
..o è possibile che il firewall mi "neghi" l'uscita all'esterno "rigirandomi" direttamente all'altra macchina in rete?"

Grazie per ogni suggerimento che mi vorrete dare!!

Il router firewall è un Netgear DG834 che mi "permette" di fare NAT/port-forwarding (ma non voglio chiedere altri 8 Ip fissi per attribuire ad ogni macchina un proprio IP Pubblico)

Non sono un affezionato di netgear, ma non vedo il motivo per cui non possa fare ciò che chiedi.

"Dopo l'installazione del firewall (se è la soluzione giusta)... posso, dall'interno della mia rete aziendale (con un ip privato), richiamare uno degli altri 8 ip fissi aggiuntivi (pubblici) dove troverò un videoregistratore, nello stesso modo che farebbe un "utente internet esterno" (cioè estraneo alla mia rete con gli ip pubblici)?... ovvero simulare la connessione da remoto?
..o è possibile che il firewall mi "neghi" l'uscita all'esterno "rigirandomi" direttamente all'altra macchina in rete?"

non mi è ben chiara la parte finale della domanda, ma cmq è una cosa che dipende dal firewall, è da valutare dipendetemente dal vendor (ti conviene googlare un po').

Diciamo che io posso fare quello che dovrei fare .. il problema è che non lo posso fare bene...
cioè .. ora come ora posso reindirizzare le chiamate (su certe porte) agli indirizzi della mia rete (ip privati),
.. ma voglio poter gestire alcune macchine come pubbliche.. cioè raggiungibili direttamente dall'esterno (con ip pubblici aggiuntivi) pur mantenendo il resto della mia rete come privata.

Il dubbio fondamentale era:
mantenendo il Netgear solo per fare Routing... per quanto riguarda il Firewall (che dovrebbe essere quello che gestisce il traffico, se ho capito bene) ...il modello che mi hanno consigliato, il Cisco PIX 501, è a vostro parere la soluzione migliore?
Attraverso un software (che immagino sia in dotazione) posso settare il firewall, quando necessario, in modo da aggiungere o re-indirizzare il traffico interno<->esterno?

è questo lo schema?

Internet <---> Modem <---> Firewall <---> Switch <---> Server
______________________________________|<-------> Pc con IP Privato
______________________________________|<-------> Pc con IP Pubblico

Io credo tu abbia due strade:
La prima nat statico, la seconda doppio indirizzo sul firewall pub/privato.
Il 501 è un piccolo firewal e l'unico "software" che puoi utilizzare sul pix oltre alla command line è il pdm. Se hai molto traffico ti sconsiglio di adottare la seconda strada.
Con il nat statico tu continueresti ad usare gli indirizzi privati per tutti i pc e nel contempo a dare visibilità dall'esterno a quelli che ti servono.
Quello che vuoi far fare al firewall lo fa qualsiasi router cisco

tonycimo ha scritto:Io credo tu abbia due strade:
La prima nat statico, la seconda doppio indirizzo sul firewall pub/privato.
Il 501 è un piccolo firewal e l'unico "software" che puoi utilizzare sul pix oltre alla command line è il pdm. Se hai molto traffico ti sconsiglio di adottare la seconda strada.
Con il nat statico tu continueresti ad usare gli indirizzi privati per tutti i pc e nel contempo a dare visibilità dall'esterno a quelli che ti servono.
Quello che vuoi far fare al firewall lo fa qualsiasi router cisco

Grazie.. ho dato un occhio agli screenshot del PDM:
http://www.netcraftsmen.net/welcher/papers/pdm.html

mi sembra a colpo d'occhio una interfaccia abbastanza intuitiva, ma non capisco bene di cosa parli quando dici "nat statico" o "doppio indirizzo".. ..con il "nat statico" posso fare quello che volevo.. mescolare nella mia LAN macchine pubbliche e private .. mentre con il "doppio indirizzo"?

Scusa (nell'ignoranza si vive bene)

Qual e' un prezzo equo per il Pix 501 50 utenze? (mi chiedono 1000, ma vedo anche 680..su qualche sito in giro...
e, in linea di massima ci vuole molto tempo per configurarlo.. considerando che ho 10 pc e 1 server senza particolari esigenze (per ora).

il prezzo onestamente non lo so.
Per doppio indirizzo intendo:
tu hai uno switch, quindi configuri la porta che va verso il fw come trunk, che porti sia la vlan degli indirizzi privati che quella delgi indirizzi pub.
Sul fw devi configurare due inerfacce virtuali, una con un indirizzo priv ed una con un indirizzo pub.
Così però sfrutti un altro indirizzo e molto di + la cpu del fw

TRUNK
VLAN
INTERFACCIE VIRTUALI

MI SA CHE NON PARLIAMO LA STESSA LINGUA... non so se sono in grado di fare quelle robe...
(o magari ho già provato a farlo senza sapere che si definiscono in quel modo )

Tutorial?