Firewall zonder double NAT

maandag 25 april 2016 22:11

Acties:

gadgeteer

Topicstarter

Ik ben op zoek naar een goede oplossing voor het volgende. In mijn appartement is het internet centraal geregeld. Er komt een ethernet kabel binnen die verbonden zit aan een intern LAN voor het hele gebouw, waar dus ook alle buren aan zitten (tientallen appartementen). Er is in het gebouw één router met NAT die als gateway fungeert. Heel professioneel is het allemaal niet, want er lijkt niets geïsoleerd te zijn.

Ik wil graag mijn interne netwerk van de buren isoleren door middel van een firewall, zodat mijn buren niet mijn AppleTV etc kunnen zien (ik zie die van hen namelijk wel). Ik zoek dus eigenlijk een firewall om de volgende situatie ge realiseren:

Client1---\       Buren
           (firewall)--\-(gateway)---Internet
Client2---/

Hoe kan ik dit het beste aanpakken? Ik heb een tijdje een Apple AirPort Express gebruikt in router mode, maar die klaagt over double NAT.

Ik heb al wat gelezen over de mogelijkheden van dd-wrt en openwrt mbt VLANs en 1:1 NAT, maar daar kon ik nog niet veel wijs uit. Wat is de beste oplossing hiervoor?

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

maandag 25 april 2016 22:29

Acties:

shure-fan

Als je kunt inloggen op de gezamelijke gateway (waar internet voor het gebouw op binnenkomt) kun je kijken of het ding DMZ ondersteunt.... Zoja dan jou wan ip (wat jij dus krijgt vanuit de gateway) installen als dmz adres

Voip enthousiastelling, Liever een kabel dan wifi

maandag 25 april 2016 22:40

Acties:

dawuss

gadgeteer

Topicstarter

shure-fan schreef op maandag 25 april 2016 @ 22:29:
Als je kunt inloggen op de gezamelijke gateway (waar internet voor het gebouw op binnenkomt) kun je kijken of het ding DMZ ondersteunt.... Zoja dan jou wan ip (wat jij dus krijgt vanuit de gateway) installen als dmz adres

Had ik er misschien eerder bij moeten zetten, maar daar heb ik helaas geen toegang toe

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

maandag 25 april 2016 22:48

Acties:

Verwijderd

Misschien kan TS hier wat mee;

quote: https://forum.pfsense.org...53551.msg286167#msg286167
To completely disable NAT to have a routing-only firewall, do the following.

Go to the Firewall -> NAT page, and click the Outbound tab.
Select the option "Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))" and click Save.
Remove all automatically generated NAT rules at the bottom of the screen.
Apply changes

To completely disable NAT and all firewall function from all interfaces, do the following. Note that you will skip the previous section ("Disable NAT") when taking this approach.

Go to the System: Advanced page and click the Firewall / NAT tab.
Check the box to "Disable Firewall / Disable all packet filtering."
Save changes.

http://doc.pfsense.org/index.php/Outbound_NAT

of hier

quote: http://forum.mikrotik.com/viewtopic.php?t=71720
We're on a large campus network, all of our devices are assigned IPs by DHCP from the campus.

Looks like this:

Campus -> Cisco router (fiber in) -> rj-45 ethernet to all of our devices

I would like to use a routerOS device to act as a firewall only between campus network and all of our machines.

https://www.google.nl/sea...t+site:forum.mikrotik.com

[ Voor 22% gewijzigd door Verwijderd op 25-04-2016 23:13 ]

maandag 25 april 2016 23:23

Acties:

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Zonder dat je bij de huidige router kan komen ontkom je eigenlijk niet aan dubbel NAT, op zich geen probleem maar netjes is anders.

Als je (via de verhuurder/VVE?) bij de huidige router kunt komen kun je voorstellen om deze professioneler in te richten, iets als bijvoorbeeld, een Cisco configuratie voor 1 internetverbinding waarbij elk huishouden een eigen VLAN heeft en onderlinge communicatie wordt tegengehouden.

code:

!
interface GigabitEthernet0/1
 description TRUNK NAAR SWITCH
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.1
 description HUISNUMMER 1
 encapsulation dot1Q 1
 ip address 10.0.1.1 255.255.255.0
 ip access-group DENY-BUREN in
 ip nat inside
!
interface GigabitEthernet0/1.2
 description HUISNUMMER 2
 encapsulation dot1Q 2
 ip address 10.0.2.1 255.255.255.0
 ip access-group DENY-BUREN in
 ip nat inside
!
interface GigabitEthernet0/1.3
 description HUISNUMMER 3
 encapsulation dot1Q 3
 ip address 10.0.3.1 255.255.255.0
 ip access-group DENY-BUREN in
 ip nat inside
!

ACL die onderlinge (RFC1918) communicatie tegenhoudt:

code:

ip access-list extended DENY-BUREN
 deny   ip any 10.0.0.0 0.255.255.255
 deny   ip any 172.16.0.0 0.15.255.255
 deny   ip any 192.168.0.0 0.0.255.255
 permit ip any any

Uiteraard moet de configuratie nog wat verder worden aangekleed met NAT Overload, DHCP servers, wellicht QOS zodat niet 1 iemand de pijp voltrekt? etc.etc.

Stel het eens voor, er zijn legio voorbeelden te vinden op het internet om een dergelijke router in te richten. Wat voor internetlijn komt er nu binnen (Ziggo bijvoorbeeld)?

Hoe wordt dit nu verdeeld over de (tientallen) woningen? Managed switch? Hoe is IP Subnetting nu geregeld?

www.google.nl

maandag 25 april 2016 23:34

Acties:

DukeBox

loves wheat smoothies

Om hoeveel aansluitingen (buren) gaat het eigenlijk ? Zoiets als hier boven heb ik ooit op een vakantie park weggezet achter een Cisco ASA 5506-X moest binnen een redelijk budget blijven maar toch enigszins professioneel over komen. Die gaat overigens tot 30 VLAN's.

Later was het mogelijk een upgrade te krijgen naar een /27 subnet, zonder dat de bewoners er last van hadden kon ik zo vrij eenvoudig ieder zijn eigen IP geven met op verzoek port forwards.

[ Voor 26% gewijzigd door DukeBox op 25-04-2016 23:39 ]

Duct tape can't fix stupid, but it can muffle the sound.

maandag 25 april 2016 23:39

Acties:

Verwijderd

Klopt. Ik heb hier in een kerk twee netwerken draaien. Eentje voor de LAN (bibliotheek, priester PC etc...) en eentje voor WiFi (semi publiek).

En er zijn dus twee DHCP servers actief (192.168.10.0/24 en 172.17.1.0/24). De modem zit in de 192.168.0.0/24 range

Een paar firewall rules, met DENY erin (zoals MisterMeester laat zien), zodat LAN traffice niet naar WiFi kan en visa versa, en eventueel met VLAN's werken, en klaar.

Dit op basis van Mikrotik. Zelfs Winbox is afgesloten via WiFi (alleen via LAN bereikbaar).

Met andere woorden: Ja, het is mogelijk en niet moeilijk.

Ja, dus dubbel NAT, echter tot nu toe (al meer dan een jaar) heeft niemand geklaagd. En LAN users trekken 140 Mbps open (kabel internet). Is nu gecapped op 90 Mbps vanwege een HP Procurve 100 Mbps switch.

[ Voor 8% gewijzigd door Verwijderd op 25-04-2016 23:40 ]

dinsdag 26 april 2016 08:52

Acties:

Yariva

Moderator Internet & Netwerken

Power to the people!

Easy, dubbel NAT'ten die handel.

Je kan er geen firewall tussen zetten met een ander subnet zonder dat de huidige router (gateway) van dit netje afweet. Dit kan je oplossen met een static route op de huidige router. Voorbeeld jij neemt een 192.168.3.0/24 netje, dan moet je op de huidige router een route toevoegen die er ong zo uitziet:

192.168.3.0/24 kan je vinden op 192.168.1.14 (of welk WAN IP je de fw geeft.

Gezien je geen toegang heb, en de kans groot is dat dat ding dit niet ondersteund, is je beste optie dubbel NAT'ten. Niet netjes maar werkt wel.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

dinsdag 26 april 2016 20:38

Acties:

Milmoor

Footsteps and pictures.

Andere oplossing: zet er een VLAN switch tussen. De VLANs gebruik je alleen binnen de switch. Voorbeeld redenerend vanuit de switch:
Firewall VLAN 1 en 2 uitgaand, VLAN 2 inkomend
Buren VLAN 1 en 3 uitgaand, VLAN 3 inkomend
Gateway VLAN 1, 2 en 3 uitgaand, VLAN 1 inkomend

Hiermee praat de firewall op 2 en luistert naar de gateway op 1.
De buren praten op 3 en luisteren naar de gateway op 1.
De gateway praat op 1 tegen firewall en buren en houdt ze op respectievelijk 2 en 3.
De buren en de firewall kunnen niet tegen elkaar praten (wel luisteren, maar dat is niet erg aangezien ze toch niet kunnen praten).

Niet mooi, maar het werkt wel (heb ik hier in een variant jaren draaiend gehad).

Rekeningrijden is onvermijdelijk, uitstel is struisvogelpolitiek.

Vraag

Alle reacties