DOMANDA DMZ su Mikrotik

[jeyhw]

Certo che puoi. Basta che imposti correttamente il masquerading, che dovresti già avere impostato di default, per cui tutte le interfacce nella lista WAN vengono usate per fare masquerading

ah questa cosa mi è nuova. Buono a sapersi. Pensavo che un'interfaccia usata già come WAN non potesse essere usata per farci altro.
Il masquerading è già imposatto in NAT sulla porta WAN.
Devo provare pure questa che se riesco a non incasinare tutto potrebbe essere la soluzione adatta.
Grazie

 

[jeyhw]

Togli un'interfaccia dal bridge, da /ip address gli assegni il suo ip e fin qui ci siamo, provi a metterci una macchina su quella scheda di rete e a vedere se naviga dandogli un IP della sottorete specificata e come gateway l'ip assegnato all'interfaccia sul mikrotik

Allora.
Sto provando adesso questa soluzione, giusto per sperimentare.
Vado in Bridge e rimuovo l'interfaccia ethernet 3 dal bridge. In IP gli assegno 192.168.50.1. In route list viene creata automaticamente un record per dell'IP. L'interfaccia risulta in running e in route l'ip è reachable
Per prova collego il mio netbook a quell'interfaccia e imposto192.168.50.123 come ip e come gateway 192.168.50.1 (nei dettagli vedo pure che ha come DNS server 192.168.4.1 che non ho capito da dove prende visto che non uso questo ip sul mikrotik).
Il notebook però non riesce a navigare (segno giallo su icona di rete).
Perché?
Grazie

 

[r3dl4nce]

MA si parla sempre del caso in cui vuoi mettere quella ethernet in bridge diretta con la tua interfaccia WAN (che mi pare sia la wlan1)?
Hai creato un nuovo bridge a cui aggiungi wlan1 e ether3 ?

 

[jeyhw]

MA si parla sempre del caso in cui vuoi mettere quella ethernet in bridge diretta con la tua interfaccia WAN (che mi pare sia la wlan1)?
Hai creato un nuovo bridge a cui aggiungi wlan1 e ether3 ?

No, no quella magari la sperimento dopo. È la prima soluzione che mi hai proposto. Per la cronaca non reisco nemmeno a pingare sia internet che il gateway. Garzie

 

[r3dl4nce]

Quindi te vuoi navigare sulla porta ether3 ma con differente subnet e quindi il router deve fare masquerade su quella porta, giusto?

Mi fai capire come hai configurato le route e il firewall? Perché fai varie prove e configurazioni e non mi è sempre facile seguire cosa hai impostato.

/interface export hide-sensitive

/ip export hide-sensitive

 

[jeyhw]

Quindi te vuoi navigare sulla porta ether3 ma con differente subnet e quindi il router deve fare masquerade su quella porta, giusto?

Mi fai capire come hai configurato le route e il firewall? Perché fai varie prove e configurazioni e non mi è sempre facile seguire cosa hai impostato.

/interface export hide-sensitive

/ip export hide-sensitive

Si ma deve passare per forza per la Wlan1 che è settata come WAN (client-station)

[admin@hometik] /interface>> export hide-sensitive
# mar/04/2020 12:53:13 by RouterOS 6.45.8
# software id = 5Z4J-31GG
#
# model = RBD52G-5HacD2HnD
# serial number = BEEB0BACxxxB
/interface bridge
add admin-mac=C4:AD:34:xx:xx:xx auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=\
    "wan wifi" supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=\
    "wifi interna" supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=\
    "WAN WiFi VOD" supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=\
    "wan wifi 5Ghz" supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=italy disabled=no frequency=2422 \
    security-profile="WAN WiFi xx" ssid=Vodafone-xxxxxxx wds-default-bridge=bridge wds-mode=dynamic \
    wireless-protocol=802.11 wmm-support=enabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX distance=indoors \
    frequency=auto installation=indoor mode=ap-bridge security-profile="wan wifi 5Ghz" ssid=homemik5 \
    wireless-protocol=802.11
add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:xx:xx:xx master-interface=wlan1 \
    multicast-buffering=disabled name=wlan3 security-profile="wifi interna" ssid=homemik \
    wds-cost-range=0 wds-default-bridge=bridge wds-default-cost=0 wds-mode=dynamic wmm-support=enabled \
    wps-mode=disabled
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=wlan3
add bridge=bridge interface=ether1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=wlan1 list=WAN

e IP:

[admin@hometik] /ip>  export hide-sensitive
# mar/04/2020 12:58:26 by RouterOS 6.45.8
# software id = 5Z4J-31GG
#
# model = RBD52G-5HacD2HnD
# serial number = BEEB0BAxxxxB
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool1 ranges=192.168.3.2-192.168.3.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge name=dhcp1
/ip address
add address=192.168.3.1/24 comment=defconf interface=bridge network=192.168.3.0
add address=192.168.1.11/24 interface=wlan1 network=192.168.1.0
add address=192.168.50.1 comment=pfsense interface=ether3 network=192.168.50.0
/ip dhcp-client
add interface=wlan1
/ip dhcp-server lease
add address=192.168.3.100 client-id=1:0:17:31:89:96:87 comment="My Desktop PC" mac-address=\
    00:17:xx:89:xx:xx server=dhcp1
add address=192.168.3.124 client-id=1:0:a:cd:38:a6:f mac-address=00:0A:CD:38:A6:0F server=dhcp1
/ip dhcp-server network
add address=192.168.3.0/24 comment=defconf dns-server=192.168.3.1,1.1.1.1 gateway=192.168.3.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
    connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=\
    127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="permetti OpenVPN" dst-port=1194 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \
    out-interface-list=WAN
# lte1 not ready
add action=masquerade chain=srcnat out-interface=*A
add action=dst-nat chain=dstnat comment="OpenVPN su pfsense" disabled=yes dst-port=1194 protocol=udp \
    to-addresses=192.168.3.124 to-ports=1194
add action=dst-nat chain=dstnat comment="redirect to pihole" disabled=yes dst-port=53 protocol=udp \
    src-address=192.168.3.0/24 to-addresses=192.168.3.66 to-ports=53
add action=dst-nat chain=dstnat comment="redirect to pihole" disabled=yes dst-port=53 protocol=tcp \
    src-address=192.168.3.0/24 to-addresses=192.168.3.66 to-ports=53
add action=dst-nat chain=dstnat comment="TCP Emule" dst-port=22448 protocol=tcp to-addresses=\
    192.168.3.100 to-ports=22448
add action=dst-nat chain=dstnat comment="UDP Emule" dst-port=14922 protocol=udp to-addresses=\
    192.168.3.100 to-ports=14922
/ip route
add check-gateway=ping distance=1 gateway=1.1.1.1
add distance=1 gateway=192.168.1.1
add check-gateway=ping distance=2 gateway=8.8.4.4
add distance=1 dst-address=1.1.1.1/32 gateway=192.168.1.1 scope=10
add distance=1 dst-address=8.8.4.4/32 gateway=192.168.42.129 scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes

alcune regole sono disabilitate

 

[r3dl4nce]

Guarda questa regola di firewall

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

Tutti i pacchetti che arrivano da interfacce che non sono taggate come LAN vengono droppati. Devi aggiungere la ether3 alla interface list LAN o fare regole di firewall specifiche per quell'interfaccia
LA cosa più veloce è aggiungerla come LAN

/interface list member
add interface=ether3 list=LAN

 

[jeyhw]

Guarda questa regola di firewall

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

Tutti i pacchetti che arrivano da interfacce che non sono taggate come LAN vengono droppati. Devi aggiungere la ether3 alla interface list LAN o fare regole di firewall specifiche per quell'interfaccia
LA cosa più veloce è aggiungerla come LAN

/interface list member
add interface=ether3 list=LAN

Mi sono accorto che c'erano anche un paio di errori in ip list. Non avevo aggiunto /24 all'ip dell'interfaccia e a network avevo assegnato 192.168.50.1 invece che 192.168.50.0. Una curiosità. Questi 2 errori erano importanti?

Se do il coamando sopra mi si apre la finestra delle interfacce. Se disabilito le regole di firewall ora pinga tutto

Comunque avevo disabilitato tutte le regole proprio per prevenire questo ostacolo e non navigavo comunque. Forse lo avevo fatto prima di correggere gli errori.

ma se aggiungo alla LAN non e più separata? Io voglio un (quasi) totale isolamente di questa interfaccia con la sua subnet dal resto della LAN.
Infatti dopo vorrei aggiunegere anche regole di firewall (vorrei solo permettere al mio PC sulla mia attuale rete di entrare nella dashboard di pfsense)
Grazie
--- i due messaggi sono stati uniti ---
vabbè glielo aggiunto dalla finestra l'interfaccia:


Ho un problema con i dns però.
Ho dovuto impostarli manualmente nelel proprietà di rete del notebook per farlo navigare.
--- i due messaggi sono stati uniti ---
Intanto ho aggiunto questa regola in NAT:

add action=dst-nat chain=dstnat comment="Sort of DMZ to pfsense" dst-address=192.168.50.124 \

 

[r3dl4nce]

Le interface list non sono dei bridge, sono solo delle liste di interfacce per poter accorpare le regole di firewall, nulla di più.

Non avevo visto l'errore sull'IP, in quel modo no che non poteva funzionare, non specificavi una subnet e quindi non potevi contattare quell'indirizzo IP se non da se stesso.

Per i DNS è ovvio che devi impostarli manualmente, sulla ether3 non c'è un server DHCP, hai un server DHCP abilitato ma solo sull'interfaccia bridge

/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge name=dhcp1

Non essendoci server DHCP, non puoi ottenere IP in automatico, su apparati connessi sulla ether3

 

[jeyhw]

Le interface list non sono dei bridge, sono solo delle liste di interfacce per poter accorpare le regole di firewall, nulla di più.

ah quindi degli Alias (mi pare che così vengono chiamate in pfsense), Potrei quindi anche creare una lista con un nome differente e assegnargli la ether3. Dovrei però poi tenerne conto quando creo le regole di firewall. Ho capito bene?

Non avevo visto l'errore sull'IP, in quel modo no che non poteva funzionare, non specificavi una subnet e quindi non potevi contattare quell'indirizzo IP se non da se stesso.

ok

Per i DNS è ovvio che devi impostarli manualmente, sulla ether3 non c'è un server DHCP, hai un server DHCP abilitato ma solo sull'interfaccia bridge

/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge name=dhcp1

Non essendoci server DHCP, non puoi ottenere IP in automatico, su apparati connessi sulla ether3

Si, mi serviva giusto una conferma. Infatti avevo già impostato l'IP e il DNS manualmente sul netbook per prova. Su pfsense non dovrebbero esserci problemi visto che fa pure da DNS resolver, anche se però cambiando l'IP statico di pfsense ora (avendo impostato una subnet differente e conseguenzialmente un ip diverso anche per pfsense) mi tocca rimettere mano ad alcune impostazioni per farlo accedere ad internet.

Un'altro paio di cosette.
Quella regola di firewall che ho aggiunto sopra per settare il traffico verso pfsense senza filtri, va bene? Può in qualche modo essere pericolosa per la LAN (in bridge) che avevo già (192.168.3.0/24). Per proteggere ed isolarle dovrei aggiungre altre regole?
Tranne come dicevo permettere SOLO al mio pc su rete 192.168.3.0/24 accedere alla dashboard di pfsense su 192.168.50.1
Grazie

 

[r3dl4nce]

ah quindi degli Alias (mi pare che così vengono chiamate in pfsense), Potrei quindi anche creare una lista con un nome differente e assegnargli la ether3. Dovrei però poi tenerne conto quando creo le regole di firewall. Ho capito bene?

Non sono proprio come gli alias del pfsense, sono delle liste di interfacce così che se vuoi fare una regola di firewall che vada a influire su quelle interfacce, la fai una sola e lavori sulla lista e non sulle interfacce.
pfsense non ha liste di interfacce, le regole di firewall le imposti per ogni interfaccia. In pfsense puoi mettere alias per IP e porte

Quella regola di firewall che ho aggiunto sopra per settare il traffico verso pfsense senza filtri, va bene? Può in qualche modo essere pericolosa per la LAN (in bridge) che avevo già (192.168.3.0/24). Per proteggere ed isolarle dovrei aggiungre altre regole?
Tranne come dicevo permettere SOLO al mio pc su rete 192.168.3.0/24 accedere alla dashboard di pfsense su 192.168.50.1
Grazie

Beh più volte ti ho detto che non farei mai una regola di firewall senza specificare le porte, ma visto che te dietro ci metti un altro firewall, va bene. Certo che non farei mai un firewall dietro un firewall, non ha molto senso

 

[jeyhw]

Non sono proprio come gli alias del pfsense, sono delle liste di interfacce così che se vuoi fare una regola di firewall che vada a influire su quelle interfacce, la fai una sola e lavori sulla lista e non sulle interfacce.
pfsense non ha liste di interfacce, le regole di firewall le imposti per ogni interfaccia. In pfsense puoi mettere alias per IP e porte

Ok.

Beh più volte ti ho detto che non farei mai una regola di firewall senza specificare le porte, ma visto che te dietro ci metti un altro firewall, va bene.

Si ma infatti non mi preoccupavo per pfsense, mi preoccupavo se quella regola messa lì potesse essere pericolosa per la rete che non è sotto pfsense e che uso regolarmente. Insomma il resto dei device connessi al Mikrotik e che uso regolarmente. Pfsense, come dicevo, lo accendo solo ogni tanto per fare delle prove e per studio.
Secondo le mie intenzioni (poi da verificare se è realmente così, cioè se ho settato la regola nel modo che desidero e mi aspetto:
In pratica dico (spero:-)) al Mikrotik: "Non interferire con qualsiasi regola sul traffico che viene dalla wan indirizzato al 192.168.50.124.
Ho interpretato bene quella regola? È settata nel modo corretto per fare questo?

Certo che non farei mai un firewall dietro un firewall, non ha molto senso

Assolutamente d'accordo, ma ti avevo anticipato che non sarà questa la configurazione finale della mia LAN domestica...quando avrò la possibilità di avere una connessione ad internet tutta per me.
Ok, faccio delle prove. Provo a rimettere a posto pfsense con il nuovo IP e poi magari resetto tutto alla configurazione precedente per provare la soluzione bridge WAN+INTERFACCIA ether3 (pfsense) che in verità ancora non mi è chiara. Grazie tante

 

[r3dl4nce]

In pratica dico (spero:-)) al Mikrotik: "Non interferire con qualsiasi regola sul traffico che viene dalla wan indirizzato al 192.168.50.124.
Ho interpretato bene quella regola? È settata nel modo corretto per fare questo?

Tecnicamente, stai dicendo (la regola che hai postato non è completa, ma immagino che sia così): a tutti i pacchetti che arrivano sulle porte impostate come WAN fai DNAT ovvero cambia indirizzo di destinazione del pacchetto con l'indirizzo 192.168.50.124 (la routing table si occuperà si sapere su quale interfaccia instradare quel pacchetto in base agli IP assegnati). Tutto qui.

provare la soluzione bridge WAN+INTERFACCIA ether3 (pfsense) che in verità ancora non mi è chiara. Grazie tante

È molto più chiara e sensata di quello che stai facendo ora, con mille NAT.
Metti in bridge layer-2 l'interfaccia WAN e l'interfaccia ether3, per fare un esempio se tu fossi connesso via cavo è come se tu avessi il pfsense e il mikrotik attaccati direttamente alle porte del modem, per cui il pfsense può vedere direttamente il modem e non hai bisogno di fare nessun tipo di NAT dal mikrotik, demandando tutto quindi al pfsense. Nel tuo modem metti l'IP del pfsense (che sarà nella subnet degli IP della LAN del modem) in DMZ o fai i port forwarding più specifici.

 

[jeyhw]

Tecnicamente, stai dicendo (la regola che hai postato non è completa, ma immagino che sia così): a tutti i pacchetti che arrivano sulle porte impostate come WAN fai DNAT ovvero cambia indirizzo di destinazione del pacchetto con l'indirizzo 192.168.50.124 (la routing table si occuperà si sapere su quale interfaccia instradare quel pacchetto in base agli IP assegnati). Tutto qui.

No scusami, qui non ti seguo più.
Dici, "..a tutti i pacchetti che arrivano sulle porte impostate come WAN fai DNAT ovvero cambia indirizzo di destinazione del pacchetto con l'indirizzo 192.168.50.124."
Se tutti i pacchetti sono destinati all'IP di pfsense, come faccio io a navigare in internet dalla rete 192.168.3.0/24 allora?

È molto più chiara e sensata di quello che stai facendo ora, con mille NAT.
Metti in bridge layer-2 l'interfaccia WAN e l'interfaccia ether3, per fare un esempio se tu fossi connesso via cavo è come se tu avessi il pfsense e il mikrotik attaccati direttamente alle porte del modem, per cui il pfsense può vedere direttamente il modem e non hai bisogno di fare nessun tipo di NAT dal mikrotik, demandando tutto quindi al pfsense. Nel tuo modem metti l'IP del pfsense (che sarà nella subnet degli IP della LAN del modem) in DMZ o fai i port forwarding più specifici.

Anche qui purtroppo dovremmo per piacere approfondire meglio. Questa soluzione è quella che cerco, se mi fossero chiari peròalcuni passaggi
Adesso, come sai, la wlan1 mi fa da WAN per la rete 192.168.3.0/24 che ha in bridge (192.168.3.1) le interfacce e una virtual wlan.
la soluzione da te consigliata dovrebbe permettere a questa rete di continuare a funzionare indipendentemente dal bridge da te proposto sopra e che andrebbe direttamente a collegarsi (se ho capito correttamente) con la lan del modem 192.168.1.0/24. quindi pfsense avrebbe come IP lan uno appartenente a questa subnet (diciamo 192.168.1.15). Dovremmo avere quindi, se possibile, la mai rete lan 192.168.3.0/24 con gateway il modem ISP su rete 192.168.1.0/24 + pfsense collegato come dici tu. In poche parole il bridge pfsense+WAN non mi devo far saltare quella attuale.

Grazie ancora per la pazienza.

ps: sto per aggioranare anche il psot del failover. Problemi con openvpn

 

[r3dl4nce]

No scusami, qui non ti seguo più.
Dici, "..a tutti i pacchetti che arrivano sulle porte impostate come WAN fai DNAT ovvero cambia indirizzo di destinazione del pacchetto con l'indirizzo 192.168.50.124."
Se tutti i pacchetti sono destinati all'IP di pfsense, come faccio io a navigare in internet dalla rete 192.168.3.0/24 allora?

Ti mancano delle nozioni base di networking. Leggiti com'è composto un datagram IP, per capire come funziona il NAT, ovvero il cambio di indirizzo (sorgente o destinazione) in un pacchetto IP.
Nel caso specifico, te stai dicendo al mikrotik che ai nuovi pacchetti che arrivano sulle porte che sono nella lista WAN, deve essere variato l'IP destinazione con 192.168.50.124 e quindi tramite routing table (e qui ti servono le nozioni di instradamento pacchetti e tabelle ARP) instradati sull'interfaccia in cui è presente questo IP.
I pacchetti con IP sorgente nella rete 192.168.3.0/24 non vengono in alcun modo toccati da tale regola, a meno che tu non inserisca le interfacce su cui appare tale indirizzo nella interface list WAN, ma non avrebbe senso.

Un consiglio: lettura di Reti di Calcolatori di Andrew Tanenmbaum

la soluzione da te consigliata dovrebbe permettere a questa rete di continuare a funzionare indipendentemente dal bridge da te proposto sopra e che andrebbe direttamente a collegarsi (se ho capito correttamente) con la lan del modem 192.168.1.0/24. quindi pfsense avrebbe come IP lan uno appartenente a questa subnet (diciamo 192.168.1.15). Dovremmo avere quindi, se possibile, la mai rete lan 192.168.3.0/24 con gateway il modem ISP su rete 192.168.1.0/24 + pfsense collegato come dici tu. In poche parole il bridge pfsense+WAN non mi devo far saltare quella attuale.

Io temo che ti manchino molte nozioni di networking, non capisco cosa ci sia di difficile da capire nella configurazione che ti ho proposto e non riesco a spiegarmi meglio.
Questo è un bridge https://it.wikipedia.org/wiki/Bridge_(informatica)
Mettere in bridge la wlan1 e la ether3 significa collegarle a layer 2, quindi sono a tutti gli effetti interconnesse, per cui ogni apparato appartenente al bridge può vedersi direttamente senza necessità di interposti apparati / regole di routing, quindi il tuo pfsense può vedere direttamente il tuo modem, lo trovi direttamente nelle tabelle ARP del pfsense e idem nelle tabelle ARP del modem trovi il pfsense. A questo punto ti basta configurare il pfsense con un IP della sottorete che il modem usa come LAN (generalmente 192.168.1.0/24), impostare l'ip del modem come gateway del pfsense e hai il tuo pfsense connesso direttamente a internet tramite il modem, la routerboard in quel caso non si vede neppure.

Però è necessario che tu abbia presenti queste nozioni di networking, altrimenti non è facile spiegare