configurazione firewall pfSense

Discussione:

(troppo vecchio per rispondere)

Darth Vader

2014-10-27 17:56:21 UTC

Ciao a tutti,
ho la fibra con Telecom e volevo mettere un firewall tra la mia rete e
il router.
Siccome ho un PC vecchiotto da parte ho pensato di riciclarlo e provare
pfSense.

La rete esce all'esterno con un IP dinamico (anche se non e' ancora
cambiato) 188.16.x.x
e il router natta la rete interna con 192.168.1.0/24.

Ho collegato pfSense al router(192.168.1.1) e si e' preso l'IP
192.168.1.15
Ho quindi collegato all'altra scheda di rete di pfSense la rete interna
e le ho assegnato un
range di IP 10.0.0.1/24

Il tutto sembra funzionare bene, la rete passa dal firewall, riesco a
navigare, ma avendo
il doppio NAT non posso arrivare, da fuori, ai computer della rete
dentro.
Col semplice router potevo fare port forwarding e puntare la porta X al
PC della rete interna.
Ad esempio mi faceva comodo poter entrare via SSH nel PC1 da fuori, ora
non ci riesco piu'.

C'e' modo di risolvere il problema?

Ringrazio anticipatamente.

Andromeda

2014-10-27 18:04:09 UTC

Permalink

Post by Darth Vader
Il tutto sembra funzionare bene, la rete passa dal firewall, riesco a
navigare, ma avendo
il doppio NAT non posso arrivare, da fuori, ai computer della rete
dentro.
Col semplice router potevo fare port forwarding e puntare la porta X al
PC della rete interna.
Ad esempio mi faceva comodo poter entrare via SSH nel PC1 da fuori, ora
non ci riesco piu'.
C'e' modo di risolvere il problema?

sul router fai portforwarding dall'esterno all'ip wan di pfsense (dagli
un ip statico o almeno riservato nel dhcp, prima di tutto);

sul pfsense fai portforwarding dalla wan all'indirizzo di pc1 (che anche
lui deve essere statico o almeno riservato nel dhcp).

Un modo migliore, ma non so se riesci a farlo con quel router, sarebbe
quello di mettere il router in bridge e far fare a pfsense
l'autenticazione pppoe e quindi avere l'ip esterno sulla wan di pfsense
(eliminando il doppio nat)

--
Mai mettersi a discutere con un idiota:
- prima ti porta al suo livello e poi ti batte con l'esperienza;
- chi ascolta potrebbe non capire la differenza.

Darth Vader

2014-10-27 19:29:21 UTC

Permalink

Post by Andromeda
sul router fai portforwarding dall'esterno all'ip wan di pfsense
(dagli un ip statico o almeno riservato nel dhcp, prima di tutto);
sul pfsense fai portforwarding dalla wan all'indirizzo di pc1 (che
anche lui deve essere statico o almeno riservato nel dhcp).

Domani provo, ma mi pare (vado a memoria) che il port forwarding
lo si possa fare solo porta per porta, quindi dovrei farlo per tutte
quelle che mi servono

Post by Andromeda
Un modo migliore, ma non so se riesci a farlo con quel router, sarebbe
quello di mettere il router in bridge e far fare a pfsense
l'autenticazione pppoe e quindi avere l'ip esterno sulla wan di
pfsense (eliminando il doppio nat)

Lo so, ma non si puo' impostare in bridge il router telecom e niente
pppoe.

Comunque domani provo a vedere se coi 2 port forwarding ce la faccio.
Intanto grazie,

ciao

Aladino

2014-10-28 07:15:22 UTC

Permalink

Post by Darth Vader
Comunque domani provo a vedere se coi 2 port forwarding ce la faccio.
Intanto grazie,

Io lo faccio con una VodafoneStation ed un ALIX con su pfSense. Se come
immagino, il firewall sarà h24, valuta l'acquisto di un hardware
dedicato come l'ALIX, che consuma molto meno di un vecchio scassone... e
a mio parere molto più affidabile in quanto non ha nessuna parte
meccanica in movimento.

--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.

Darth Vader

2014-10-28 17:24:47 UTC

Permalink

Post by Aladino

Post by Darth Vader
Comunque domani provo a vedere se coi 2 port forwarding ce la faccio.
Intanto grazie,

Io lo faccio con una VodafoneStation ed un ALIX con su pfSense. Se
come immagino, il firewall sarà h24, valuta l'acquisto di un hardware
dedicato come l'ALIX, che consuma molto meno di un vecchio
scassone... e a mio parere molto più affidabile in quanto non ha
nessuna parte meccanica in movimento.

Si'. Intanto voglio verificare che vada tutto, ed anche impratichirmi
con pfSense che ammetto conosco poco.
Ovvio che se tutto funziona bene, pensero' a passare ad un sistema che
consuma poco :)

ciao

Arne Saknussemm

2014-10-28 10:39:44 UTC

Permalink

On Mon, 27 Oct 2014 20:29:21 +0100
"Darth Vader" wrote in it.comp.reti.locali

Post by Darth Vader
Lo so, ma non si puo' impostare in bridge il router telecom e niente
pppoe.

ops... scusa ho risposto prima di leggere questo; però... se il router
è il classico "pirelli" fornito da telecom, se non ricordo male HA la
possibilità di fungere in modalità "bridge"; in alternativa potresti
valutare l'idea di acquistare un routerino ADSL che permetta l'uso in
modalità bridge; tutto sommato non ti costerà molto ed eviterai di
dover usare "configurazioni strane" :)

Darth Vader

2014-10-28 17:28:12 UTC

Permalink

Post by Arne Saknussemm

Post by Darth Vader
Lo so, ma non si puo' impostare in bridge il router telecom e niente
pppoe.

Purtroppo sono ancora fuori e rientro domani, comunque il router che
mi hanno dato e' per la 'fibra' telecom (in realta' e' VDSL) e mi pare
non possa essere messo in modalita' bridge.
Qua c'e' il .pdf, non ho trovato il produttore (forse Technicolor?)
http://tinyurl.com/q9glqpv

Conosci un eventuale router VDSL con modalita' bridge (che sia
compatibile con telecom)? O vanno bene i normali ADSL?

Certo se fosse possibile mettere il router in modalita' bridge/pppoe
sarebbe il massimo, anche perche' spendere molti soldi non mi va.
Del resto tutto era partito dall'idea di ricilare hardware che ho gia'.

ciao

Arne Saknussemm

2014-10-30 08:40:16 UTC

Permalink

On Tue, 28 Oct 2014 18:28:12 +0100
"Darth Vader" wrote in it.comp.reti.locali

Post by Darth Vader
Certo se fosse possibile mettere il router in modalita' bridge/pppoe
sarebbe il massimo, anche perche' spendere molti soldi non mi va.
Del resto tutto era partito dall'idea di ricilare hardware che ho gia'.

non ho provato, ma stando a quanto riportato qui

http://www.hwupgrade.it/forum/showthread.php?t=2587383

sembra sia possibile; se scorri in basso, troverai ad un certo punto
una sezione dal titolo "Come configurare il modem/router Telecom in
bridge" che spiega come configurare il modem come "bridge"; considera
che nel tuo caso il "secondo router" di cui all'articolo sopra sarà il
tuo pfSense e che questo dovrà essere configurato in modo da gestire
PPoE sull'interfaccia WAN

http://www.interspective.net/2012/05/pfsense-initial-configuration-adsl-wan.html

il resto dovrebbe essere più o meno chiaro; in pratica a quel punto la
scheda WAN del pfSense si connetterà usando PPoE ed otterrà l'indirizzo
IP pubblico mentre il router telecom sarà "trasparente" (bridge); a
questo punto gestirai firewall, port forwarding e tutto il resto dal
tuo pfSense; unico "svantaggio" (se così vogliamo chiamarlo) è il fatto
che non avrai la wireless, ma a questo si rimedia facilmente e senza
spendere troppo semplicemente acquistando un normale AP e collegandolo
alla LAN o, se preferisci, ad un'interfaccia dedicata di pfSense (utile
se ti serve separare la WLAN dalla LAN cablata)

Arne Saknussemm

2014-10-30 08:49:50 UTC

Permalink

On Thu, 30 Oct 2014 09:40:16 +0100
"Arne Saknussemm" wrote in it.comp.reti.locali

Post by Arne Saknussemm
non ho provato, ma stando a quanto riportato qui
http://www.hwupgrade.it/forum/showthread.php?t=2587383
sembra sia possibile; se scorri in basso, troverai ad un certo punto
una sezione dal titolo "Come configurare il modem/router Telecom in

giusto una nota aggiuntiva; nell'articolo di cui sopra per la
connessione PPoE vengono usate le credenziali "classiche" ossia
aliceadsl/aliceadsl; niente di male, tutto corretto, ma basta cambiare
tali credenziali come spiegato qui da telecom stessa

http://assistenzatecnica.telecomitalia.it/at/Informazioni_privati/ipv6

a questo punto, dovrai attivare il supporto IPv6 in pfSense

https://doc.pfsense.org/index.php/Is_there_IPv6_support_available

https://forum.pfsense.org/index.php?board=52.0

ovvio, quanto sopra non è obbligatorio, ma visto che c'è la possibilità
di avere IPv6 nativo (senza tunnel broker) ... perchè non approfittarne

:)

Arne Saknussemm

2014-10-30 09:34:15 UTC

Permalink

On Thu, 30 Oct 2014 09:49:50 +0100
"Arne Saknussemm" wrote in it.comp.reti.locali

Post by Arne Saknussemm
a questo punto, dovrai attivare il supporto IPv6 in pfSense
https://doc.pfsense.org/index.php/Is_there_IPv6_support_available
https://forum.pfsense.org/index.php?board=52.0

dimenticavo http://wiki.aa.org.uk/Router_-_PFSense in pratica dovrai
attivare IPv6 in "advanced networking" e poi configurare l'interfaccia
WAN in modo da usare SLAAC (e non DHCPv6) per ottenere la config WAN
relativa ad IPv6

ciao e... fammi sapere :)

Darth Vader

2014-10-30 16:17:52 UTC

Permalink

Post by Arne Saknussemm
dimenticavo http://wiki.aa.org.uk/Router_-_PFSense in pratica dovrai
attivare IPv6 in "advanced networking" e poi configurare l'interfaccia
WAN in modo da usare SLAAC (e non DHCPv6) per ottenere la config WAN
relativa ad IPv6

Nel weekend provo tutto, grazie sei stato gentilissimo.
Una domanda da niubbo, so piu' o meno la differenza tra IPv4 e IPv6,
ma a me che ho una rete 'normale' e neanche dei server da pubblicare
a cosa puo' servirmi IPv6?
Perche' capisco la bellezza di avere degli IP se hai dei servizi o delle
macchine, io al piu' posso usarlo per il mio NAS.

Post by Arne Saknussemm
ciao e... fammi sapere :)

Certo, vi faccio un report completo, devo solo trovare il tempo di
giocarci un po'.

ciao

Arne Saknussemm

2014-10-31 08:05:34 UTC

Permalink

:: On Thu, 30 Oct 2014 17:17:52 +0100
:: (it.comp.reti.locali)

Post by Darth Vader
Una domanda da niubbo, so piu' o meno la differenza tra IPv4 e IPv6,
ma a me che ho una rete 'normale' e neanche dei server da pubblicare
a cosa puo' servirmi IPv6?

C'era stata una discussione in proposito su questo stesso gruppo; ti
rimando a quella

https://groups.google.com/forum/?_escaped_fragment_=topic/it.comp.reti.locali/GJz_yZAJLbc#!topic/it.comp.reti.locali/GJz_yZAJLbc

ciao

--
WARNING: The Law of Large Numbers also applies to assholes. The number
of assholes of any given form is never zero, nor can you make it so.

ObiWan

2014-10-28 14:18:19 UTC

Permalink

:: On Mon, 27 Oct 2014 20:29:21 +0100
:: (it.comp.reti.locali)

Post by Darth Vader
Lo so, ma non si puo' impostare in bridge il router telecom e niente
pppoe.

Che modello di router hai ? Mica per altro, ma mi sembra che il vecchio
"pirelli" bianco avesse la possibilità di funzionare come "bridge" ed
in tal caso avresti risolto il problema; in alternativa spendi due euro
per prenderti un router (anche "scrauso") con "modem ADSL" e che possa
funzionare anche come bridge e risolvi il problema alla radice :)

Darth Vader

2014-10-28 17:50:42 UTC

Permalink

Post by ObiWan

Post by Darth Vader
Lo so, ma non si puo' impostare in bridge il router telecom e niente
pppoe.

Che modello di router hai ? Mica per altro, ma mi sembra che il
vecchio "pirelli" bianco avesse la possibilità di funzionare come
"bridge" ed in tal caso avresti risolto il problema; in alternativa
spendi due euro per prenderti un router (anche "scrauso") con "modem
ADSL" e che possa funzionare anche come bridge e risolvi il problema
alla radice :)

Come ho scritto nell'altro post non posso controllare fino a domani, ma
mi pare sia questo (ho trovato solo questo .pdf di installazione)
http://tinyurl.com/q9glqpv

Il massimo sarebbe mettere il router in bridge/pppoe, altrimenti dovro'
per forza acquistare un router.
Chiedo anche a te: ne conosci da poco con supporto VDSL?

ciao

giovanni.v

2014-10-28 18:43:29 UTC

Permalink

Post by Darth Vader
Il massimo sarebbe mettere il router in bridge/pppoe

Non testato, qui ci sono delle indicazioni, quasi alla fine della
inutile collezione di schermate:
http://www.hwupgrade.it/forum/showpost.php?p=39811568&postcount=2

Comunque di modem/router vdsl2 consumer cominciano ad essercene parecchi
ma non sò come vadano.
Segnalo che Telecom nella sua offerta di riferimento wholesale dice:

"lato modem VDSL2 è preferenziale l’uso di piattaforme basate su chipset
VDSL2 di tipo 'vector friendly' Broadcom 6368/63168/63268 o Lantiq
VRX288/208 con supporto fino al profilo 17a"

Magari può aiutare a non comprare qualcosa di sbagliato.

--
TeeBX VoIP communication platform (coming soon)
http://code.google.com/p/teebx/
-----------------------------------------------
Lightweight++ Business Friendly++ Open++

Arne Saknussemm

2014-10-28 10:37:32 UTC

Permalink

On Mon, 27 Oct 2014 18:56:21 +0100
"Darth Vader" wrote in it.comp.reti.locali

Post by Darth Vader
La rete esce all'esterno con un IP dinamico (anche se non e' ancora
cambiato) 188.16.x.x
e il router natta la rete interna con 192.168.1.0/24.

[...]

Post by Darth Vader
C'e' modo di risolvere il problema?

se il router supporta la modalità "bridge" ti basterà disattivare il
firewall del router e configurarlo in tale modalità; a questo punto il
router non farà più NAT ma sarà trasparente e la scheda WAN di pfSense
acquisirà un IP pubblico quindi le regole di filtraggio e forwarding
potranno essere impostate direttamente su pfSense

Darth Vader

2014-11-13 07:23:02 UTC

Permalink

Post by Arne Saknussemm
se il router supporta la modalità "bridge" ti basterà disattivare il
firewall del router e configurarlo in tale modalità; a questo punto il
router non farà più NAT ma sarà trasparente e la scheda WAN di pfSense
acquisirà un IP pubblico quindi le regole di filtraggio e forwarding
potranno essere impostate direttamente su pfSense

Posto qua l'aggiornamento se mai servisse a qualcuno.

Il router VDSL fornito da Telecom effettivamente funziona in modalita'
bridge con i parametri suggeriti nell'altro posto (aliceadsl/aliceadsl).
Si perdono pero' il wi-fi che va disattivato (si deve usare un AP a
parte) e, soprattutto, l' IP cambia (ho avuto lo stesso per 4 mesi,
appena ho usato il bridge ne ha preso un'altro) e non e' un IP fisso.
L'unico modo per usare una VPN e' quindi iscriversi ad un servizio di
dyndns e, successivamente, impostarlo su pfSense.

Per il momento sembra funzionare tutto, nel weekend gioco un po' con
le configurazioni del firewall.

ciao

Arne Saknussemm

2014-11-13 08:34:19 UTC

Permalink

On Thu, 13 Nov 2014 08:23:02 +0100
"Darth Vader" wrote in it.comp.reti.locali

Post by Darth Vader
Il router VDSL fornito da Telecom effettivamente funziona in modalita'
bridge con i parametri suggeriti nell'altro posto
(aliceadsl/aliceadsl). Si perdono pero' il wi-fi che va disattivato

quello è praticamente un obbligo dato che, configurando il router in
modalità bridge, si perdono (appunto) tutte le funzionalità di NAT,
routing etc... quindi non è possibile usare la WiFi; ad ogni modo, come
hai giustamente scritto, la cosa è risolvibile usando un normale AP :)

Post by Darth Vader
(si deve usare un AP a parte) e, soprattutto, l' IP cambia (ho avuto
lo stesso per 4 mesi, appena ho usato il bridge ne ha preso un'altro)
e non e' un IP fisso.

il fatto che tu abbia avuto lo stesso IP per quattro mesi non significa
che quell'indirizzo IP fosse fisso :P (del resto un normale contratto
"Alice" ha IP dinamico); ad ogni modo... prova a forzare il MAC della
scheda di rete WAN ;) al proposito dai un'occhiata qui

https://forum.pfsense.org/index.php/topic,21523.0.html

Post by Darth Vader
L'unico modo per usare una VPN e' quindi iscriversi ad un servizio di
dyndns e, successivamente, impostarlo su pfSense.

quello avresti dovuto farlo comunque visto che, come ho scritto sopra,
la connessione Alice non prevede un IP statico e quindi l'indirizzo
potrà cambiare nel tempo. Tra l'altro attivare il dyndns può essere
utile anche ad altri scopi, ad esempio se volessi pubblicare servizi di
vario genere (es. ftp o http...) o comunque quando si abbia un
indirizzo dinamico e si voglia essere in grado di raggiungere comunque
la propria WAN pur non conoscendone l'IP attuale