Jump to content









Photo

Απαλλαγείτε από το double-NAT (διπλό NAT)


  • Please log in to reply
8 replies to this topic

#1 pligor

pligor

    Junior IT

  • Members
  • PipPip
  • 25 posts

Posted 11 September 2010 - 02:17 AM

Ας υποθέσουμε πως έχουμε ένα modem/router και ένα dedicated firewall ή κάποιο δεύτερο router με δυνατότητες firewall.
Επειδή δεν θέλουμε να έχουμε διπλό NAT θα πρέπει να αναγάγουμε το modem/router μας σε απλό adsl modemάκι.
- Αρχικά απενεργοποιούμε το firewall, το wireless και άλλες προφανείς επιλογές (ανάλογα τι έχει ο καθένας) όπως για παράδειγμα το SPI (state packet inspection)
- Μετά σε ένα linksys modem/router πηγαίνουμε στο Advanced Routing και απενεργοποιούμε το NAT. Εδώ χάνουμε και τη σύνδεση με το internet.
- Μετά επιστρέφουμε στο basic setup και επειδή δεν θέλουμε πλέον την επιλογή PPPoE (το authentication θα το αναλάβει το δεύτερο router/firewall) θα επιλέξουμε το encapsulation: Bridged Mode το οποίο μετατρέπει το modem/router
σε απλό modem. Όπως θα παρατηρήσετε αρκετές επιλογές όπως αυτές για username και password θα "φύγουν". Σημειώνουμε την τιμή του MTU διότι θα την χρειαστούμε.
- Αν και δεν είναι κρίσιμο μπορούμε να ορίσουμε στο modem/router (πλέον απλά modem) ως subnet mask το 255.255.255.252 ώστε να έχουμε διαθέσιμες όλες και όλες μονο 2 IP διευθύνσεις. Μία αυτή του router πχ. 192.168.1.1 και μία αυτή
του υπολογιστή που θα συνδέσουμε κάποια στιγμή στο μέλλον αν θέλουμε να αλλάξουμε τις ρυθμίσεις πχ. 192.168.1.2
- Επειτά γυρνάμε στο router/firewall ή dedicated firewall που έχουμε εγκαταστήσει και ίσως παλιότερα αυτό στo WAN interface του να είχε δυναμική IP μέσω DHCP ή κάποια σταθερή local-IP διεύθυνση. Τώρα θα πρέπει να αλλάξουμε τις
ρυθμίσεις. Το dedicated firewall θα πρέπει να χρησιμοποιήσει το modem για να συνδεθεί στον πάροχο internet. Τυπικά θα πρέπει να επιλέξουμε PPPoE  και να ορίσουμε το ως username: username@<πάροχος>.gr ws password το password που
εχετε για την συνδεση στο internet. Τέλος αξιοποιούμε την τιμή του MTU που σώσαμε προηγουμένως, στην δική μου περίπτωση 1492.

Δημοσιεύω αυτό το post για όσους βρίσκονται πίσω από διπλό NAT και τους δημιουργεί διάφορα προβλήματα αλλά και για να μοιραστώ τον ενθουσιασμό μου που όλο αυτό έπαιξε με την πρώτη χωρίς πονοκεφάλους.
Η αλήθεια είναι πως βρήκα αρκετά forum στο internet που απέτρεπαν την απενεργοποίηση του NAT, δηλαδή συνιστούσαν χρήση DMZ κτλ. αλλά το γεγονός πίσω από διπλό NAT παραμένει και δεν είναι θεμιτό.

Επίσης βρήκα κάποια links που ανέφεραν πως υπάρχει η αντίθετη δυνατότητα, δηλαδή τη μεριά του NAT να αναλάβει το modem/router και να απενεργοποιηθεί το NAT στο dedicated firewall.
Συγκεκριμένα ανέφεραν πως γίνεται με χρήση static route στην πλευρά του modem με
Destination: αν χρησιμοποιείτε για παράδειγμα το 192.168.1.x τότε το destination να είναι το 192.168.1.0
subnet: (μάλλον!) το subnet του LAN , δηλαδή τυπικά το 255.255.255.0
gateway: θα πρέπει να είναι το WAN IP address του dedicated firewall.

Όπως φαντάζομαι σε αυτή η περίπτωση το authentication αναλαμβάνει κανονικά το modem/router χωρίς να επηρεάζουμε κάτι στην επιλογή encaptulation.

Από τη μεριά του m0n0wall (είναι το dedicated firewall που εγώ χρησιμοποιώ σε αυτή τη περίπτωση) θα έχουμε Enable Outbound NAT: yes
Δεν καθορίζουμε κανέναν κανόνα στο Advanced Outbound NAT τα αφήνουμε ως έχει.
Επίσης στο WAN interface το block private networks θα πρέπει να το απενεργοποιήσουμε.

Αυτή την υλοποίηση δεν την έχω δοκιμάσει αλλά αν έχετε παρόμοιο στήσιμο δικτύου με το δικό μου και το δοκιμάσετε πείτε μου αν δουλεύει :)
Δεν προτίμησα αυτή τη λύση διότι κάθε φορά που θα ήθελα να αλλάξω κάτι στο modem/router θα έπρεπε να πάω με το laptop να συνδεθώ στο ίδιο το modem/router, που κανονικά είναι συνδεδεμένο μόνο με το dedicated firewall.
Έτσι τώρα έχω όλες τις ρυθμίσεις να αναλαμβάνει το ίδιο το dedicated firewall.
Αν έχετε παρατηρήσεις σχετικά με θέματα ασφαλείας κτλ. πείτε μου!



#2 Nikos Kastanas

Nikos Kastanas

    Skilled IT Pro

  • Members
  • PipPipPipPip
  • 760 posts

Posted 11 September 2010 - 12:40 PM

Μπραβο για το αρθρο.

μια παρατηρηση μονο, στο monowall το MTU καλυτερα στο 1400 γιατι με 1492 ειχα προβληματα σε συγκεκριμενα sites me ssl.

 

ΝΚ


twitter_logo.png


#3 costasppc

costasppc

    Senior IT Pro!

  • Members
  • PipPipPipPipPip
  • 924 posts

Posted 11 September 2010 - 03:17 PM

To m0n0wall δεν προτείνεται για εταιρικές υλοποιήσεις, προτιμάται το pfsense -merlinios θα έχει άποψη εδώ ;-)

Βρίσκω επίσης λίγο παράξενο να έχεις dedicated firewall και νστραφείς σε λύση opensource υλοποίησης (η οποία γίνεται συνήθως για λόγους κόστους).

Με εκτίμηση

Κώστας
ACSA, ACT, ACTS, ACTC 10.7, 10.6
?CTS: WS 2008 R2, Server Virtualization
6425, 6426, 6419 done...

#4 merlinios

merlinios

    IT Pro

  • Members
  • PipPipPip
  • 349 posts

Posted 13 September 2010 - 05:54 AM

Το m0n0wall καλό...άλλα για το σπίτι. Θα προτείνω με σειρά προτεραιότητας για εταιρικό περιβάλλον Mikrotik ( απλά κάνει παπάδες , rock solid , δυνατότητα να στηθεί σε routerboards άλλα και σε x86 hardware , φτηνό και άμεσα συγκρίσιμο με ένα cisco, τεράστια κοινότητα και υποστήριξη κτλ κτλ κτλ.. ) και pfsense όπως ανέφερε και ο φίλος costasppc. 


#5 Nikos Kastanas

Nikos Kastanas

    Skilled IT Pro

  • Members
  • PipPipPipPip
  • 760 posts

Posted 13 September 2010 - 02:48 PM

γιατι πιστευω οτι ειναι αναποδα.

pfsense σπιτι και monowall στο γραφειο

και ο ολογος ειναι απλος, απο την στιγμη που ειναι το ιδιο προιον, το monowall σου δινει την δυνατοτητα να το κανεις rebuild  με οτι drivers θελεις η να του αλλαξεις τα φωτα στην κυριολεξια.

Παντα σε free products αναφερμαι.

 

 

ΝΚ


twitter_logo.png


#6 merlinios

merlinios

    IT Pro

  • Members
  • PipPipPip
  • 349 posts

Posted 13 September 2010 - 03:17 PM

Να και ο λόγος που για μένα δεν κάνει για εταιρική χρήση.... " να κανεις rebuild drivers ktl ktl ktl " Φυσικά και κάνει αντίστοιχα παπάδες και αυτό... Απλά δεν μου εμπνέει εμπιστοσύνη.   Άποψή μου φυσικά!!


#7 pligor

pligor

    Junior IT

  • Members
  • PipPip
  • 25 posts

Posted 15 September 2010 - 06:40 AM

Νίκο σε ευχαριστώ για το info για το MTU. Ίσως δεν ξέρω ακριβώς τι παίζει. Το MTU θα πρέπει να το ορίσει κανείς όσο πιο μεγάλο γίνεται έτσι δεν είναι? Αυτή η "default" ας πούμε τιμή 1492 απλά την αντέγραψα από τις ρυθμίσεις του router. αν είναι default του router ή της otenet δεν γνωρίζω. Πως ακριβώς όμως βρίσκει κανείς την βέλτιστη τιμή?
Στο άρθρο που έγραψα βασικά ανέφερα το m0n0wall επειδή αυτό είχα διαθέσιμο και σε αυτό έγινε η δοκιμή. Σίγουρα σε άλλες υλοποιήσεις θα υπάρχουν αντίστοιχες επιλογές. Είναι εύκολο να κάνει την αναγωγή κάποιος νομίζω, δεν χρειάζεται να το κάνουμε τελείως for dummies. Πάντως το m0n0wall το έχω για testing εδώ στο σπίτι όχι απαραίτητα για εταιρική χρήση.

Μιας και αναφέρετε τις διαφορές μεταξύ m0n0wall και pfsense δεν ισχύει πως το ένα βασίζεται στο άλλο? Κάτι τέτοιο διάβασα κάπου αν θυμάμαι καλά. Αν κάνω λάθος διαψεύστε με.

Το παραπάνω άρθρο το ανέβασα διορθωμένο και με εικόνες στο blog Applied Ideas που δημιούργησα πριν λίγο καιρό με έναν καλό συνάδελφο και φίλο.
URL: http://i-apply.blogspot.com

Πείτε μου αν σας αρέσει εκεί το άρθρο και γενικότερα τι πιστεύετε για το blog.
Το προορίζουμε ως ένα blog κυρίως τεχνολογικού ενδιαφέροντος στο οποίο θα δημοσιεύουμε άρθρα ή στήλες καθαρά δικά μας, από δικές μας εμπειρίες γνώσεις κτλ.
Προσωπικά είμαι κατά της αναδημοσίευσης που γίνεται όλο και περισσότερο στο internet και περισσότερο!
Εσείς δεν τάσσεστε υπέρ της δημιουργικής ευχαρίστησης της συγγραφής ενός πλήρης άρθρου? :) (ανεξαρτήτως πόσο συχνά ασχολείστε λόγω έλλειψης χρόνου, υποχρεώσεις κτλ.)


#8 merlinios

merlinios

    IT Pro

  • Members
  • PipPipPip
  • 349 posts

Posted 15 September 2010 - 03:00 PM

Ρίξε μια ματιά για το mtu εδώ αν θέλεις για να δεις τι περίπου ισχύει

http://www.dslreports.com/tweaks/MTU




#9 Nikos Kastanas

Nikos Kastanas

    Skilled IT Pro

  • Members
  • PipPipPipPip
  • 760 posts

Posted 16 September 2010 - 09:49 PM

στο monowall μπορεις να βαλεις mtu 0, ετσι την τιμη την οριζει ο παροχος σου.

 

 

ΝΚ


twitter_logo.png





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users