DOMANDA DMZ su Mikrotik

[jeyhw]

Ciao,
Sto provando a capire come funziona il DMZ nei dispositivi Mikrotik ammesso pure che sia la soluzione adatta per il mio scopo; ma tant'è, tanto sto solo facendo degli esperimenti. Non mi aspettavo certo di trovare la funzionalità "DMZ" come nella maggir parte dei router con cui ho avuto a che fare fino ad ora, compreso il mio vecchio DD-WRT, in cui bastava indicare l'IP da posizionare in DMZ, sapevo che con il Mikrotik bisogna prima capire certi meccanismi e certe procedure di setup.
Fatta questa premessa, la situazione sul mio DD-wrt che vorrei replicare sul mikrotik è una cosa del genere:

ISP Router (Public Ip) -> DD-WRT (wan IP 192.168.1.11 - gateway 192.168.1.1(ISP router IP LAN)- IP LAN dd-wrt 192.168.3.1 ->Pfsense (WAN IP 192.168.3.80).
Per ulteriori dettagli potete far riferimento a questa discussione:

RISOLTO - Disconnessione continua Oneplus One da Wifi Mikrotik

Ciao, Ho impostato l'interfaccia Wlan1 (2,4 Ghz) sia come client per ricevere la connessione internet da un altro router, sia come AP per la mia rete aggiungendo quindi una interfaccia virtuale (wlan3) alla stessa. Tutto ok, funziona. Ho però problemi con un mio cell, un Oneplus One che si...

forum.tomshw.it

Nel router dell'IP pubblico avevo impostato l'indirizzo assegnato al mio dd-wrt in DMZ e nel mio dd-wrt avevo indicato l'IP di pf sense in DMZ.
Lo so che non è la condizione più efficiente e ottimale, ma al momento non è quello che mi interessa.

Vorrei ora capire come settare il Mikrotik che ho piazzato al posto del dd-wrt per replicare la stessa situazione in modo che il traffico che parte o raggiunge pfsense abbia meno impedimenti possibili da firewall e regole.
So che una delle soluzione sarebbe rimuovere un'interfaccia ethernet, quella a cui è collegata il pfsense via cavo, dal bridge. Però poi mi sfuggono i passi successivi.
Un'altra soluzione sarebbe (penso) quella di permettere tutto il traffico verso l'IP di pfsense.
Per questioni di apprendimento le voglio sperimentare entrambe, però vorrei pure capire quale sarebbe la soluzione più idonea.
Grazie

 

[r3dl4nce]

Intanto ti inviterei a leggere con attenzione questa pagina di wikipedia, che già è sufficiente a spiegare cosa vuol veramente dire il termine DMZ, leggi bene la parte Host DMZ così per capire che a tutti gli effetti quella configurazione che nei router casalinghi è chiamata DMZ è fondamentalmente sbagliata.

DMZ (computing) - Wikipedia

en.wikipedia.org

Se vuoi veramente fare una DMZ, devi assegnare a tale sottorete una porta ethernet specifica nel firewall e dirottare tutto il traffico da e verso un IP pubblico scelto verso quella porta. Se invece vuoi fare quello che erroneamente chiamano DMZ nei router casalinghi, devi fare un DNAT di tutte le porte 1-65535 verso un indirizzo della LAN, sconsigliatissimo
Perché metti un altro firewall (pfsense) dietro il Mikrotik che è già un firewall? Collega direttamente gli apparati che attiveresti su Pfsense a una porta del Mikrotik, assegna a quella porta del Mikrotik gli IP che su PfSense assegneresti all'interfaccia LAN e gestisci dal firewall mikrotik l'apertura delle porte. E non aprire mai tutte le porte, fai DNAT solamente di ciò che ti serve.

 

[jeyhw]

Intanto ti inviterei a leggere con attenzione questa pagina di wikipedia, che già è sufficiente a spiegare cosa vuol veramente dire il termine DMZ, leggi bene la parte Host DMZ così per capire che a tutti gli effetti quella configurazione che nei router casalinghi è chiamata DMZ è fondamentalmente sbagliata.

DMZ (computing) - Wikipedia

en.wikipedia.org

Se vuoi veramente fare una DMZ, devi assegnare a tale sottorete una porta ethernet specifica nel firewall e dirottare tutto il traffico da e verso un IP pubblico scelto verso quella porta. Se invece vuoi fare quello che erroneamente chiamano DMZ nei router casalinghi, devi fare un DNAT di tutte le porte 1-65535 verso un indirizzo della LAN, sconsigliatissimo
Perché metti un altro firewall (pfsense) dietro il Mikrotik che è già un firewall? Collega direttamente gli apparati che attiveresti su Pfsense a una porta del Mikrotik, assegna a quella porta del Mikrotik gli IP che su PfSense assegneresti all'interfaccia LAN e gestisci dal firewall mikrotik l'apertura delle porte. E non aprire mai tutte le porte, fai DNAT solamente di ciò che ti serve.

Si, mi ero reso conto che quello che credevo di sapere sulla dmz è fondamentalmene sbagliato, ma mi regolavo su come veniva gestita sui router "normali", il che nel tempo ha confuso ancora di più le mie scarse conoscenze.

La mia situazione però è un po' complicata. Provo a spiegarmi, se hai bisogno di altri dettagli fammi sapere. Ti chiedo un po' di pazienza per leggere quanto segue :-)
Come ormai sai, prendo la connessione in wireless da un router dell'ISP che non mi appartiene (mi viene gentilmente concessa); Router ISP > MikrotiK in wifi (station). Ok, con il mio mikrotik (prima c'era un dd-wrt) assegno alla mia LAN una subnet differente (192.168.3.0/24) e stiamo quindi già sotto doppio NAT perché la rete interna del router ISP ha una subnet diversa tipo 192.168.1.0/24. Dal mio pc e da altri dispositivi collegati nella mia rete LAN navigo senza problemi in internet oltre a scambiarsi i file appartenenti alla stessa subnet 192.168.3.0/24.
Penso che fino a qui sia abbastanza chiaro.

Ho però iniziato a studiare un po' anche pfsense; l'avevo collegato via cavo ad una porta del DD-WRT e impostato il suo indirizzo 192.168.3.80 come statico. Quando attivavo la cosidetta DMZ sia sul router ISP verso il mio indirizzo WAN del DD-WRT e da questo attivavo la dmz verso l'indirizzo assegnato al pfsense pensavo almeno che il traffico fuisse senza essere ostacolato in qualche modo sia dal firewall del router isp che da quello del DD-wrt, tanto è vero che in questo modo nella dashoboard del pfsense mi venivano segnalati "attacchi" da parte di indirizzi pubblici strusi e poteva anche utilizzare senza problemi l'OPENVPN server settata sotto pfsense, entrambe le cose sembravano che non erano possibili senza l'attivazione delle DMZ o come la vogliamo chiamare.

Sempre a titolo di sperimentazione, il pfsense ha una rete interna, a sua volta con subnet differente (se ricordo bene 192.168.7.1) a cui ho collegato uno switch alla sua porta LAN. A questa rete potevo anche accedere dall'esterno come dicevo con l'OPNvpn client installato su un altro notebook a cui avevo concesso nel frattempo un collegamento ad internet diverso tramite tethering.
Però i dispositivi collegati al dd-wrt potevano comunque accedere ad internet per conto loro, e anzi uno anche alla dashboard di pfsense (avevo creato in pfsense un regola che permetteva a un pc con ip appartenente ad una subnet differente di poter acceder tramite la sua porta WAN)

Lo so perfettamente che è un macello, ma tant'è: stavo solo sperimentando come sto facendo adesso con il MIkrotik. Come forse ti ho già detto, il mio scopo finale, quando avrò una connessione tutta mia è mettere a monte direttamente un box pfsense, magari impostando il router-modem dell'operatore in bridge con pfsense, o in DMZ se non è possibile, lasciando quindi solo pfsense come ruter a gestire la mia rete LAN. Il mikrotik mi servirà come smart switch per creare le VLANs gestite però da pfsense, ma che possa (salvando a parte un file di configurazione) sostituire all'occorrenza il pfsense se si rompe o salta qualcosa.

Volevo quindi ricreare per quanto possibile la stessa situazione che avevo con il dd-wrt nel mezzo con il MIkrotik.

Ti prego dimmi che ti è tutto chiaro, giusto poi per procedere dopo aver riportato le premesse. Intanto leggo il wiki da te linkato.
E come sempre, grazie tante!

 

[r3dl4nce]

Ma se te vuoi semplicemente abilitare l'accesso alla porta openvpn, non serve DMZ, basta un DNAT su quella porta.

Hai la VPN su tcp o udp? porta standard 1194?

 

[jeyhw]

Ma se te vuoi semplicemente abilitare l'accesso alla porta openvpn, non serve DMZ, basta un DNAT su quella porta.

Hai la VPN su tcp o udp? porta standard 1194?

Si UDP 1194. Uso un servizio DDNS come NO-ip per l'indirizzo pubblico statico
Ho provato proprio adesso su pfsense se la opnvpn funzionasse e infatti il client mi dice che non riesce ad effettuare l'handshake.
Quindi avrei bisogno di un dnat verso quella porta impostato in mikrotik (sul router ISP dovrei fare la stessa cosa invece di abiliate la DMZ)
Quale sarebbe il comando esatto?
Ok, Questa come prima opzione magari momentanea.

Poi vorrei comunque settare uno dei metodi da te indicati sopra, quindi se mi dici che "DNAT di tutte le porte 1-65535 verso un indirizzo della LAN, sconsigliatissimo ", allora non mi resta che rimuovere una porta dal bridge e assegnargli una subnet differente (dovrei cambiare consequenzialmente anche l'IP statico che è ora assegnato alla WAN del pfsense). Bon!

Però dici anche, "e dirottare tutto il traffico da e verso un IP pubblico scelto verso quella porta ". ma poi gli altri dispositivi che rimangono nella subnet del Mikrotik come fanno a navigare? Questa cosa la devo capire bene.
Nel wiki da te linkato penso che la soluzione (almeno graficamente) più idonea alle mie necessità o meglio al mio scopo attuale sia quella del Single Firewall, dove però anche l'intranet è in grado di accedere a internet"
In poche parole vorrei che il traffico da e per il pfsense sia esposto "direttamente" ad internet, tanto ci pensa pfsense a proteggere la sua LAN come indicato sopra.
Dopo aver separato la porta devo indicare al firewall di accettare e permettere tutto??
Se capsico questi passaggi sono a buon punto.
Cosa mi dici?
Grazie

 

[r3dl4nce]

Il fatto è che avendo una normale connessione casalinga, con unico IP pubblico, non ha proprio senso parlare di DMZ, la DMZ si usa nel caso di connettività business con IP pubblici multipli e si assegna uno o più IP a apparati in una rete separata dalla LAN normale e che offrono servizi pubblicati su Internet. Non è proprio il tuo caso, te devi semplicemente fare DNAT di porte che ti servono per i servizi che puoi accedere dall'esterno (cosiddetto port forwarding).
Se vuoi capire come si fa sul Mikrotik, ti posso consigliare di leggere queste due pagine

Manual:IP/Firewall/NAT - MikroTik Wiki

wiki.mikrotik.com

Dst-nat, firewall

Good morning, I have the following doubt. When I want to redirect a port is it also necessary to create a forward firewall rule that allows it?. For example the traffic that enters my IP publishes by port xxxx redirect it to the private IP 192.168.1.23 port xxxx. Then in the firewall rules...

forum.mikrotik.com

Se non riesci, posso poi in caso farti direttamente io le due regole

 

[jeyhw]

Non è proprio il tuo caso, te devi semplicemente fare DNAT di porte che ti servono per i servizi che puoi accedere dall'esterno (cosiddetto port forwarding).
..

Se non riesci, posso poi in caso farti direttamente io le due regole

Che dici solo questa è sufficiente?

add action=dst-nat chain=dstnat comment="OpenVPN su pfsense" dst-port=1194 \
    protocol=tcp to-addresses=192.168.3.80 to-ports=1194

é necessario anche una firewall rule tipo:

/ip firewall filter add action=accept chain=input comment="permetti OpenVPN" disabled=no dst-port=1194 protocol=tcp

Che ne pensi?

Grazie

 

[r3dl4nce]

Servono entrambe

 

[jeyhw]

Servono entrambe

Quindi mi confermi che sono esatte?!?
Finalmetne ho azzeccato qualcosa. Grazie

 

[r3dl4nce]

Beh fai veloce a provare. Le imposti e da una connessione esterna, tipo 4G, provi a connettere la vpn, in realtà basta un psping o un nmap su IP pubblico e porta

 

[jeyhw]

Beh fai veloce a provare. Le imposti e da una connessione esterna, tipo 4G, provi a connettere la vpn, in realtà basta un psping o un nmap su IP pubblico e porta

Si così faccio in effetti. Utilizzo un portatile con connessione 4G per provare la vpn. Non va però, non riesce a stabilire la connessione con il server.
Quale potrebbe essere il problema ora?
Grazie

Aggiornamento:
FUNZIONA!!!
Accidenti a me avevo sbagliato ad impostare tipo di porta. Deve essere udp, avevo settato tcp:cav:
Ok
per curiosità, quando dici "basta un psping o un nmap su IP pubblico e porta", l'operazione bisogna effettuarla da un pc esterno nel mio caso il notebook connesse in 4G. Giusto?
Un'altra cosa. Con opnevpn entro acnhe nelle risorse condivise dei pc collegati alla LAN di pfsense, ho però notato che devo disabilitare il firewall, defender, di windows 10 altrimenti non mi lascia entrare. Non ho capito come settare il firewall di windows per evitarmi ogni volta questa seccatura.
Grazie

 

[r3dl4nce]

Ah sì non ricordavo che avevi detto che usi openvpn in UDP, tra l'altro io lo metterei in tcp, aldilà di un piccolo overhead sulla connessione, risulta più sicuro il traffico dati (in tcp ogni pacchetto ha un ACK, in UDP mandi il pacchetto e non sai se è stato ricevuto).

Per le condivisioni da windows 10, sui PC "normali" le sconsiglio, mettile tutte su un nas o un PC che faccia da server. Detto ciò, non serve disattivare il firewall per condividere cartelle di rete, al massimo devi disattivare la condivisione protetta da password

 

[jeyhw]

Ah sì non ricordavo che avevi detto che usi openvpn in UDP, tra l'altro io lo metterei in tcp, aldilà di un piccolo overhead sulla connessione, risulta più sicuro il traffico dati (in tcp ogni pacchetto ha un ACK, in UDP mandi il pacchetto e non sai se è stato ricevuto).

Devo verificare in pfsense se posso farlo e come.

Per le condivisioni da windows 10, sui PC "normali" le sconsiglio, mettile tutte su un nas o un PC che faccia da server. Detto ciò, non serve disattivare il firewall per condividere cartelle di rete, al massimo devi disattivare la condivisione protetta da password

Si, in effetti ha poco senso così. ma come sempre, stavo solo provando per capire i meccanismi. E pensare che ce l'avevo pure un NAS (NAS4FREE) su un vecchio PC. Funzionava benissimo, ma ho dovuto buttarlo via per questioni di spazio :cav:. Mi sarebbe tornato utile.
Comunque.
Capito e ottenuto il risultato voluto con questa modalità, adesso vorrei provare l'altro metodo. Cioè rimuovere un'interfaccia dal BRIDGE per assegnarla solo a pfsense con subnet differente. Su questa vorrei disabiltiare tutti i filtri e controlli del firewall. Come ho detto, non mi serve, giusto per sperimentare e approfondire il funzionamento sia del Mikrotik che di pfsense. Se non penso ad un "progetto" mirato non riesco a fare ed imparare niente.
Cosa mi consigli come prima cosa da fare?
Grazie

 

[r3dl4nce]

Avendo comunque solo un IP pubblico, non puoi assegnare a una porta un IP pubblico quindi dovrai comunque andare di DNAT, per cui non ti cambia nulla rispetto a quello che già fai. La togli dal bridge, assegni un IP statico locale e ci mappi in DNAT le porte che vuoi

 

[jeyhw]

Avendo comunque solo un IP pubblico, non puoi assegnare a una porta un IP pubblico quindi dovrai comunque andare di DNAT, per cui non ti cambia nulla rispetto a quello che già fai. La togli dal bridge, assegni un IP statico locale e ci mappi in DNAT le porte che vuoi

Si ok. La rimuovo e gli assegno una subnet differente rispetto a quella del bridge??
Si in DNAT con tutte le porte aperte verso pfsense. Insomma quanto più "trasparente" può essere il mikrotik nei confronti di pfsense.
Devo poi per sicurezza impostare delle regole di firewall per isolarlo meglio dalla mia rete collegata al mikrotik?
Grazie