Portale
Donazioni
Ciao Ragazzi,
spero sia la sezione giusta.
In ufficio ho un 7430, e mi è stato dato il compito di inserire un Firewall Watchguard nella rete.
Per quanto tutto navigava, le regole si SNAT non funzionavano. Mi chiedo se ho sbagliato qualcosa nella configurazione del Fritz.
Ho fatto così:
1-Tutta la rete aziendale usava 'nativamente' il Fritz come gateway 192.168.0.1; quindi alla porta Trusted del Watchguard ho dato 192.168.0.1 di modo da non dover fare il giro su tutti i client. La porta Esterna del Watchguard è diventata 192.168.10.2 e il Fritz 192.168.10.1.
2- Bene, navigo e primo step concluso.
3- Sul Fritz ho rimosso tutte le Abilitazioni Porta precedenti, e ho creato un Exposed Host su 192.168.10.2 poiché mi pare d'aver capito che tutto il traffico che non matcha le regole di Abilitazioni Porta viene comunque NON bloccato dal firewall SPI integrato ma rediretto all'Exposed Host, quando ce n'è ovviamente uno configurato. In caso contrario giustamente interviene il Firewall del Fritz e tutto viene droppato.
4- Ho creato una route nel Fritz per cui la rete 192.168.0.0/24 ha come route 192.168.10.2.
5-Tuttavia tutte le regole ('normali' NAT, niente di particolare, le stesse che avevo fatto in Abilitazioni Porta nel Fritz) propriamente impostate sul Watchguard non funzionano. Non le vedo nemmeno arrivare, parrebbero 'morire' nel Fritz.
6-Ho rimosso il Firewall e riconfigurato le Abilitazioni Porta per far lavorare l'Azienda, cercando nel frattempo cosa sto sbagliando.
Avete qualche suggerimento?
Purtroppo sono agli inizi della mie avventure con Firewall di un certo tipo e configurazioni che vanno oltre i NAT su un 'normale' router, quindi probabilissimo che sono io Niubbo...
EDIT:
grazie al consueto support di AVM, sempre veloce e impeccabile, (anche se in questo caso la risposta è stata una nozione tecnica puramente di cortesia, visto che non mi lamentavo di un vero problema, quindi Kudos +1000 ad AVM!!!) credo di aver capito.
Ho sbagliato tra Watchguard e Fritz usando una subnet /24, quindi non era abbastanza l'Exposed Host ma avrei dovuto fare un inoltro ben esteso di porte.
Se ho capito bene l'alternativa è usare la subnet /30, di modo da avere per esempio
Fritz: 172.18.10.1/30
Watchguard Esterna: 172.18.10.2/30
Watchguard Interna: 192.168.0.1/24 ( o come da esigenza)
LAN: 192.168.0.0/24
in questo caso l'inoltro porte è totale poiché uso una subnet punto punto in cui è esplicito che l'inoltro non può che essere su 172.18.10.2, avendo il Fritz 172.18.10.1
Ho capito bene?
Anche la route che avevo fatto in realtà dovrebbe essere superflua...
spero sia la sezione giusta.
In ufficio ho un 7430, e mi è stato dato il compito di inserire un Firewall Watchguard nella rete.
Per quanto tutto navigava, le regole si SNAT non funzionavano. Mi chiedo se ho sbagliato qualcosa nella configurazione del Fritz.
Ho fatto così:
1-Tutta la rete aziendale usava 'nativamente' il Fritz come gateway 192.168.0.1; quindi alla porta Trusted del Watchguard ho dato 192.168.0.1 di modo da non dover fare il giro su tutti i client. La porta Esterna del Watchguard è diventata 192.168.10.2 e il Fritz 192.168.10.1.
2- Bene, navigo e primo step concluso.
3- Sul Fritz ho rimosso tutte le Abilitazioni Porta precedenti, e ho creato un Exposed Host su 192.168.10.2 poiché mi pare d'aver capito che tutto il traffico che non matcha le regole di Abilitazioni Porta viene comunque NON bloccato dal firewall SPI integrato ma rediretto all'Exposed Host, quando ce n'è ovviamente uno configurato. In caso contrario giustamente interviene il Firewall del Fritz e tutto viene droppato.
4- Ho creato una route nel Fritz per cui la rete 192.168.0.0/24 ha come route 192.168.10.2.
5-Tuttavia tutte le regole ('normali' NAT, niente di particolare, le stesse che avevo fatto in Abilitazioni Porta nel Fritz) propriamente impostate sul Watchguard non funzionano. Non le vedo nemmeno arrivare, parrebbero 'morire' nel Fritz.
6-Ho rimosso il Firewall e riconfigurato le Abilitazioni Porta per far lavorare l'Azienda, cercando nel frattempo cosa sto sbagliando.
Avete qualche suggerimento?
Purtroppo sono agli inizi della mie avventure con Firewall di un certo tipo e configurazioni che vanno oltre i NAT su un 'normale' router, quindi probabilissimo che sono io Niubbo...
EDIT:
grazie al consueto support di AVM, sempre veloce e impeccabile, (anche se in questo caso la risposta è stata una nozione tecnica puramente di cortesia, visto che non mi lamentavo di un vero problema, quindi Kudos +1000 ad AVM!!!) credo di aver capito.
Ho sbagliato tra Watchguard e Fritz usando una subnet /24, quindi non era abbastanza l'Exposed Host ma avrei dovuto fare un inoltro ben esteso di porte.
Se ho capito bene l'alternativa è usare la subnet /30, di modo da avere per esempio
Fritz: 172.18.10.1/30
Watchguard Esterna: 172.18.10.2/30
Watchguard Interna: 192.168.0.1/24 ( o come da esigenza)
LAN: 192.168.0.0/24
in questo caso l'inoltro porte è totale poiché uso una subnet punto punto in cui è esplicito che l'inoltro non può che essere su 172.18.10.2, avendo il Fritz 172.18.10.1
Ho capito bene?
Anche la route che avevo fatto in realtà dovrebbe essere superflua...
