BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fibra

Que el HGU establezca PPPoE, pero no haga NAT hacía una IP

1
lordraiden

Tengo el HGU MitraStar GPT-2741GNAC de O2/Movistar. Quiero montar un par de firewalls en alta disponibilidad HA activo-activo detrás. Ahora mismo tengo solo 1 y con el HGU en modo Bridge.

Uno de los requisitos es que la interfaz WAN del firewall no puede obtener la IP de manera dinámica, por lo que no puedo usar ni PPPoE.

¿Es posible configurar el HGU de alguna manera para que haga el PPPoE, le pueda dar una IP fija al firewall pero que el HGU deje todos los puertos abiertos y deje entrar y salir todo el tráfico?

Duda resuelta en ✅ Sí. Lo que pides es que el HGU haga una DMZ al HA. Si además…
pky
1

Sí. Lo que pides es que el HGU haga una DMZ al HA. Si además metes en la tabla de rutas del HGU la subred que vayas a montar debajo del HA, te ahorras el doble NAT. Podrías configurarlo así:

  • HGU: DHCP y wifi desactivados. Subnet LAN cambiada (opcional) para evitar el tipico 192.168.1.0/24
  • HA: IP estática WAN del que sea el segmento que elijas en el HGU. Suponiendo que no has cambiado el segmento, por ejemplo 192.168.1.10. IP LAN, por ejemplo: 192.168.20.0/24
  • HGU: DMZ a la 192.168.1.10 + ruta estática dst-address = 192.168.20.0/24, gateway = 192.168.0.10

Con eso tendráis un HGU que no hace nada más que el PPPoE. No obstante, tu premisa de que el HA no puede obtener IP de manera dinámica por PPPoE es cuanto menos rara. Normalmente lo que se queires con ese tipo de setups es que la IP pública llegue abajo, al HA (o el que sea el router que intercales en medio), y que sea este el que haga NAT, no el router del operador. Es para esto que existe el modo monopuesto, donde el router del operador se queda con las VLANs y te delega la conectividad de la IP pública por PPPoE.

Saludos!

🗨️ 6
lordraiden

Así es como lo tengo ahora, el firewall me hace el PPPoE y el router está en modo bridge.

El tema es que si quiero montar 2 firewalls en HA (high availability) y en activo activo es requisito que las interfaces tengan IP fija.

Probaré con lo que dices, a ver si me aclaro. Entiendo que de este modo no tendría que abrir puertos ni nada en el HGU, no?

Otra cosa, sabes si el HGU soporta LAG (link aggregation)?

🗨️ 3
pky

No. la DMZ redirije el tráfico de todos los puertos a una IP concreta. Esa sería la IP WAN de tu firewall (ya sea en HA o no). ¿Con qué firewall estás trabajando? Por si lo conozco y te puedo echar una mano, de manera más concreta.

Saludos!

🗨️ 2
lordraiden

Con el Sophos XG home

doc.sophos.com/nsg/sophos-firewall/18.5/…e/index.html

Por cierto sabes si en el switch al que va la interfaz LAN del firewall con sus 2 cables o en el router donde va la interfaz WAN-DMZ del firewall con sus 2 cables, los cables que salen del firewall simplemente los tengo que pinchar o tengo que configurarlos con LAG o algo?

🗨️ 1
pky
pky
lordraiden

Otra duda en mi caso tengo varias redes en la LAN detrás del FW

Por ejemplo

WAN (Viene del HGU): 10.10.100.0/24

DMZ 10.10.50.0/24

INTSERVERS 10.10.40.0/24

HOMELAN 10.10.10.0/24

1) tendría que configurar la DMZ del HGU como 10.10.200.0/24

2) asignar la IP a la WAN del FW, por ejemplo: 10.10.100.5

3) configurar una ruta en el HGU por cada red detrás del FW?:

  • dest IP address : 10.10.50.0/24 - gateway IP address: 10.10.100.5
  • dest IP address : 10.10.40.0/24 - gateway IP address: 10.10.100.5
  • dest IP address : 10.10.10.0/24 - gateway IP address: 10.10.100.5

Estarían bien las rutas? es eficiente hacerlas así o va a mandar el tráfico a todas las redes? o es inteligente y el FW ya enruta cada cosa por su sitio?

Mil gracias

🗨️ 1
pky

1) tendría que configurar la DMZ del HGU como 10.10.200.0/24

No. La DMZ es una IP concreta no un segmento de red. Es del rango LAN del HGU, y es lo que tomará el HA como IP para su WAN.

2) asignar la IP a la WAN del FW, por ejemplo: 10.10.100.5

Esa IP sería tu IP WAN del HA y por ende la DMZ de tu HGU.

3) configurar una ruta en el HGU por cada red detrás del FW?:

Correcto. No obstante, como el propio HGU usa el segmento 10.x.y.z internamente para la VoIP y los servidores de IPTV, te diría que no uses esos segmentos. A menos que manejes una red enorme por detrás, esos segmentos podrían ser de tipo C 192.168.x.y/24. por ejemplo:

  • 192.168.10.0/24
  • 192.168.40.0/24
  • 192.168.50.0/24

De esa manera te aseguras que la tabla de rutas del HGU no colisina nunca con segmentos que usa el operador en su red interna. Otra manera de hacer esto sería directamente poner el HGU en monopuesto y plantar un router (te aconsejo algo tipo Mikrotik) entre el HGU y el HA FW.

Saludos!