Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

EdgeRouter X - Nastaveni NAT a FW

Návody a problémy s konfigurací.
KitnarF
Příspěvky: 3
Registrován: 4 years ago

EdgeRouter X - Nastaveni NAT a FW

Příspěvekod KitnarF » 4 years ago

Ahoj vsem,

pokouším se nastavit EdgeRouter X následovně :
eth0 - wan 192.168.0.xx
eth1 - domaci sit 192.168.1.xx
eth2 - sit ciste jen s IP kamerama a NVR (oddelena od internetu) 192.168.2.xx
eth3 - zatim nic
eth4 - POE wifi 192.168.4.xx

z několika návodů jsem dal dohromady nastavení že funguje internet na eth1 + eth4 (neříkám že optimálně, ale až se s routrem skamarádíme zkusím to udělat načislo) a teď se pokouším nastavit NAT mezi eth4 (IP 192.168.4.2 port 34567) a eth2 (IP 192.168.2.2 port 34567) + firewall pravidla ale tak nějak se stále nedaří. To samé pak chci udělat mezi eth1 a eth2.

Mám pár dotazů:
- umíte někdo vysvětlit jednoduše nastavení NAT u tohoto routeru, přijde mi to dost složité a matoucí. Pokousel jsem se to dat dohromady z navodu na netu + z manualu, ale nejak mi to stale nejde
- To samé jak funguje nastavení u FW
- Je v routeru nějaký interní (externí) nástroj na sledování co přesně se děje - aby šlo dohledat kde vyhnila komunikace? Jestli to třeba vyhnije na FW ale NATuje nebo vůbec nenatuje...

mám router krátce a doteď jsem používal klasický wifi-routřík který ale neuměl oddělit více sítí, takže vtom dost plavu :)
díky za všechny rady / návody

KitnarF
0 x

Sidi
Příspěvky: 510
Registrován: 8 years ago

Příspěvekod Sidi » 4 years ago

Zásadní věc - proč NATovat vnitřní provoz? K tomu není důvod, takže na NAT se vykašli.

Jakmile nastavíš NAT jak má být (pouze směrem do internetu), tak to bude výrazně jednodušší :)
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

EdgeRouter jsem nikdy neměl v ruce, ale obecný postup jak dojít ke správnému výsledku je pořád stejný:
- nastavím ty 4 LAN porty, žádný firewall, žádný NAT, ověřím, že se z domácí sítě dostanu na kameru, z wifi do domácí sítě apod. = mám správně routing, nastavené rozsahy, masky, brány...
- nastavím NAT (maškarádu) na vše co odchází směrem do internetu, bude to fungovat pro všechny LAN rozsahy. Ověřím, že se všichni vč. wifi a kamer dostanou do internetu
- postupně přidám zakazovací firewallová pravidla na věci, které chci zakázat (kamery do inetu...), postupně ověřuji jejich funkčnost a taky to, že se nic jiného nerozbilo.

Pokud to nemá nějaký hlubší smysl tak tvrdím, že je špatně celý ten návrh:
- proč je wifi na samostatném rozsahu? Většinou se chce, aby wifi byla součástí LAN (aby třeba notebook na wifi mohl tisknout na tiskárně...) a pokud to má být wifi pro hosty, je lepší to řešit AP s více SSID a VLANami.
- jaký má smysl zakazovat kamerám přístup do netu? Samy od sebe nikde nic posílat nebudou a stejně bude potřeba řešit třeba NTP.
0 x

KitnarF
Příspěvky: 3
Registrován: 4 years ago

Příspěvekod KitnarF » 4 years ago

to: rsaf

pochopil jsem to spravne ze je vhodnejsi pouzit routovani? Myslel jsem ze u routovani nejde omezit 1IP/1port -> 1IP/1port

Neni pravda ze kamery jako takove samy od sebe nic nedelaji - bohuzel je to cina. NVR i kamery se snazi stale komunikovat ven. Dokonce znamy ktery dela kamerove systemy (nekolik kamer mam od nej) byl dokonce jednou privolan zakaznikem ze mu provider zakazal pristup na internet dokud od nej nebude provaden DDoS utok - coz delaly kamery od znameho.
Za druhe, ethernet ke kameram je relativne pristupny a kdokoliv by se mohl jednoduse dostat do interni site. Ethernet je az na zahradu, takze proto oddeleni. Nehlede na to ze kamery maji mit oddelenou sit. Kdybych to mel mit tak jak to ma byt, tak spravne pokud bych chtel dostat zaznam z kamer, musel bych se pripojit k NVR (ktere je v zabezpecenem miste - kamery castecne vidi i na verejne misto) a stahnout si ho, ale jsem pohodlny. Co vim tak k zaznamu z kamer by se nemel nikdo dostat.
Zabezpeceni kamer heslem je jen takova opicarna, mam od vyrobce program, ktery umi vsem kameram v siti nastavit heslo aniz by vedel puvodni, kdo vi jaky vsechny zadni vratka a opicarny tam jeste jsou.

Wifi jako takova je pouzita pouze pro tablety a telefony. Kamery chci zpristupnit jen proto aby se mohla pritelkyne podivat na tabletu co delaji venku syn a zvirata (kozy, psy). kamery mame i ve chlivku. WiFI z bezpecnostniho hlediska neberu jako bezpecnou a nechci ji mit spojenou s domaci siti. NB pripojuji na metaliku.

proste duvody mam, ale hledam reseni ... a nez vymyslet svoje "nove" reseni, tak je lepsi se poradit

KitnarF
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Routing je zjednodušeně řečeno přeposílání paketů na 3. vrstvě (podle IP adres), takže routing je to vždy bez ohledu na to, jestli je tam NAT nebo ne. NAT je ve své podstatě taková prasečina, která pozměňuje pakety a mění v nich src/dst adresy... Firewall jistě dokáže povolovat/zakazovat komunikaci mezi různými adresami nebo jejich rozsahy, jistojistě tam půjdou použit i trošku pokročilejší věci jako stavový firewall apod. Cestu k dosažení výsledku jsem popsal, si myslím, dost jasně.

Za tím, co jsem napsal si i přes uvedené stojím. Wifi s WPA2 šifrováním není bezpečná a síť tvého domácího pentagonu bude penetrovat někdo na kabelu z kozího chívku? Kdyby se lidi místo vymýšlení volovin věnovali užitečné práci, neuseli by pak kupovat ten největší čínský děravý drek.

Jinak scénář popisovaného DDoS útoku byl na 105% takový, že byl kamerový systém (kamera/NVR) typu čínský drek, nikdy neaktualizovaný děravý a jak řešeto, vystrčený do internetu na standardních portech. Něco ho "nakouslo" a díky relativně silnému CPU to pak dokázalo vygenerovat slušný maras. Celkově to byla nejspíše kvalitně odvedená práce.
0 x

KitnarF
Příspěvky: 3
Registrován: 4 years ago

Příspěvekod KitnarF » 4 years ago

Dekuji za vysvetleni a nepolemizoval jsem s resenim ale slo mi o upresneni.

Nejde o kozi chlivek, proste se mi nechce nechavat ehernet s POE na konci zahrady (respektive vsude po zahrade) ktery je defakto spojeny s interni siti - to je vse. To ze se lidi dneska nudi a muzou si zacit si hrat s nezabezpecenym kabelem/wifi atp proto to je.Proc si lidi kupuji USBKiller a nechavaji ho lezet v restauracich atp... Jsou lidi, kteri si koupi wifi router pusti WIFI a staci jim to proc ne.
Ale tohle je debata do hospody a ne sem.

Nicmene puvodni otazka byla, zda mi nekdo muze jednoduse vysvetlit mimo jine jak nastavit i ten FW na tomto zarizeni, tak abych na 100% vedel co to dela. Neprislo mi to z navodu uplne userfrendly.
0 x