pfSense Gold Subscription

Author Topic: pfsense con modem Fastweb DV220  (Read 1412 times)

0 Members and 1 Guest are viewing this topic.

Offline miami71it

  • Full Member
  • ***
  • Posts: 115
  • Karma: +0/-0
    • View Profile
pfsense con modem Fastweb DV220
« on: October 23, 2015, 02:47:41 am »
salve a tutti, nessuno ha mai messo un pfsense dietro un modem DV220 fastweb?

adsl con ip statico pubblico

il modem non ha porta WAN, quindi ho impostato l'ip del modem 192.168.0.1 , sulla WAN di psense ho messo 192.168.0.254 con gateway il modem, configurato i dns , dhcp, tutto funziona perfettamente.

abbiamo 3 sedi tutte con linee fastweb, e tutti i pfsense sono configurati nello stesso modo, per utilizzare desktop remoto e opnevpn, funzionano tutti tranne questa sede, la differenza tra le altre e questa che le altre hanno router con porta wan, questa sede ha un mode dv220.

da fuori la pingo ma se entro in desk remoto non risponde, ho controllato mille volte la config e' corretta le porte sono aperte e le regole sono ok.
secondo me il problema e' il modem, qualcuno ha gia' avuto questo problema? sul modem e' tutto aperto. ho comunque provato a nattare l'ip interno da fuori ,ad aprire la porta del desk remoto, ma nulla.

qualche idea?

Offline Pakken

  • Jr. Member
  • **
  • Posts: 45
  • Karma: +0/-0
    • View Profile
Re: pfsense con modem Fastweb DV220
« Reply #1 on: October 23, 2015, 04:18:31 am »
Non funziona perchè hai un doppio strato di NAT. Sul 192.168.0.1 crei una regola NAT/pfwd per la porta 3389/tcp verso il 192.168.0.254.
Su pfsense crei una regola nat per la porta 3389/tcp con annessa policy verso l'IP della macchina interna che vuoi raggiungere. Con questa configurazione dovrai sempre fare il doppio passaggio, vale anche per la porta 1194 di Openvpn e per qualsiasi porta tu voglia nattare dall'esterno.
ciao

Offline miami71it

  • Full Member
  • ***
  • Posts: 115
  • Karma: +0/-0
    • View Profile
Re: pfsense con modem Fastweb DV220
« Reply #2 on: October 23, 2015, 08:22:14 am »
ma non posso eliminare questo problema?

Offline miami71it

  • Full Member
  • ***
  • Posts: 115
  • Karma: +0/-0
    • View Profile
Re: pfsense con modem Fastweb DV220
« Reply #3 on: October 23, 2015, 08:48:40 am »
ho fatto come hai detto, tutto funziona grazie mille

non avevo pensato di fare una doppia nat


Offline sisko212

  • Jr. Member
  • **
  • Posts: 97
  • Karma: +2/-0
  • conversationexchange.com
    • View Profile
    • A tribute to a real genius
Re: pfsense con modem Fastweb DV220
« Reply #4 on: October 27, 2015, 03:43:31 am »
Anche se funziona, io proverei a vedere se è possibile fare il bridge o il PPP, in modo da avere pfsense con l'ip pubblico del router e così gestisco il firewall direttamente da pfsense.
Alla lunga son meno rogne.

Offline miami71it

  • Full Member
  • ***
  • Posts: 115
  • Karma: +0/-0
    • View Profile
Re: pfsense con modem Fastweb DV220
« Reply #5 on: October 27, 2015, 04:34:00 am »
nel senso che imposto il modem come bridge o ppp?

Offline delfi5

  • Full Member
  • ***
  • Posts: 129
  • Karma: +2/-0
    • View Profile
Re: pfsense con modem Fastweb DV220
« Reply #6 on: October 27, 2015, 09:11:25 am »
Io invece lascerei il doppio NAT, oppure metti l'ip della WAN del pfSense in DMZ e risolvi il problema

Offline sisko212

  • Jr. Member
  • **
  • Posts: 97
  • Karma: +2/-0
  • conversationexchange.com
    • View Profile
    • A tribute to a real genius
Re: pfsense con modem Fastweb DV220
« Reply #7 on: October 27, 2015, 11:24:59 am »
E' un errore considerare un doppio nat, una forma di sicurezza.
Sopratutto quando è gestito da un dispositivo economico come i vari router di fastweb, telecom etc.
Viste le tipologie di nat esistenti ( https://en.wikipedia.org/wiki/Network_address_translation ), e sopratutto, in un ottica futura di inserire altri servizi, tipo voip o altro può causare problemi.
Ad ogni modo il mio è solo un suggerimento, poi ognuno faccia come meglio crede.

Offline delfi5

  • Full Member
  • ***
  • Posts: 129
  • Karma: +2/-0
    • View Profile
Re: pfsense con modem Fastweb DV220
« Reply #8 on: October 28, 2015, 05:00:32 am »
E' un errore considerare un doppio nat, una forma di sicurezza.
Puoi argomentare questa tua affermazione?

Offline sisko212

  • Jr. Member
  • **
  • Posts: 97
  • Karma: +2/-0
  • conversationexchange.com
    • View Profile
    • A tribute to a real genius
Re: pfsense con modem Fastweb DV220
« Reply #9 on: October 28, 2015, 05:57:59 am »
Puoi argomentare questa tua affermazione?

Ragionando, mi immagino cosa deve fare un hacker per bucare i 2 firewall... quali sono le possibili strade ?
La prima è quella di preparare qualche pacchetto IP malformato per creare una sorta di overflow sul primo firewall, e riuscire ad avere una shell e scalare i privilegi sul dispositivo... dopo di chè deve fare altrettanto sul secondo firewall, e guadagnata la shell sul secondo può procedere a esplorare la lan, etc.etc.
La seconda strada potrebbe essere quella di vedere se c'è un servizio esposto su internet di qualche macchina interna, ad esempio, http o altro.
A questo punto il potenziale hacker può cercare una vulnerabilità su quel servizio per poi guadagnare i privilegi più elevati e procedere poi al resto.
Una terza strada è quella di mandare un eseguibile, un virus, via mail o su chiavetta usb, a qualcuno che lavori all'interno della lan, in modo da aprire quel pc verso internet per poi prenderne il controllo.
Delle tre qual'è la più probabile e meno faticosa ? Mandare un virus che apra una macchina su internet (quanta gente conosci che ha vecchi antivirus o non aggiornati, o patch di sistema non installate ?), trovare una vulnerabilità su un servizio http (o rdp come nel caso di inizio in questa discussione) di una macchina esposta, e che dunque viene lasciata in passthrough su qualche porta, o infine tentare di bucare 2 firewall ?
Per quello che ne so, ad oggi, con i firewall layer 3, come quelli basati su iptables o ipfw, non ci sono state grosse falle in se, e anche quando si sono presentate, sono state rapidamente pacthate, spesso molto prima appunto su iptables e ipfw che non nei vari router che danno in comodato d'uso le vare telco, che rimangono con vecchi firmware per anni.
Per piccole reti di... diciamo una 50ina di macchine, preferisco implementare un buon firewall con magari servizi di IDS, come appunto pfsense con snort, o strumenti di applicativi layer 7 (proxy con blacklist, antivirus etc.etc.), e separare le vlan della macchine esposte su internet, rispetto alla vlan interna, che non introdurre un ulteriore strato nat che poi può creare problemi con servizi di voip o altro.
Però ripeto... è una mia scelta.
« Last Edit: October 28, 2015, 06:05:08 am by sisko212 »

Offline delfi5

  • Full Member
  • ***
  • Posts: 129
  • Karma: +2/-0
    • View Profile
Re: pfsense con modem Fastweb DV220
« Reply #10 on: November 01, 2015, 04:38:55 am »
Ti ringrazio