Come posso far sì che i miei router inoltrino correttamente le porte?

5

Al momento la mia rete appare come questa (semplificata):

enter image description here

Notare che il Router # 2 è connesso all'interfaccia LAN del Router # 1. Questo dovrebbe essere familiare a chiunque abbia visto una configurazione IP statico standard con un firewall aggiuntivo per una residenza o un altro piccolo edificio. Router # 1 è in realtà il mio gateway via cavo, ma dal momento che è un router / firewall completamente funzionante, ho intenzione di fare riferimento ad esso come un router.

Ora, ho bisogno di aprire varie porte in entrambi i firewall per le comunicazioni in entrata al mio server - la porta 80 è un buon esempio. Così ho aperto la porta 80 nel Router n. 2, e finora tutto il traffico in ingresso all'IP pubblico X.X.X.129 viene instradato correttamente.

Il problema è che ho anche bisogno che il mio server risponda al traffico in ingresso all'IP pubblico X.X.X.130 sull'interfaccia WAN del Router # 1. Naturalmente, non posso semplicemente dire al Router # 1 di inoltrare la porta 80 ad un altro IP pubblico. Il port forwarding è supportato solo quando il traffico viene indirizzato alla subnet LAN.

Sono disposto a ristrutturare la mia topologia di rete, se necessario, con le seguenti condizioni: 

Router #1 cannot have its WAN IP reassigned - X.X.X.130 is mandatory.  
Router #1 cannot be moved or disconnected from the cloud.  
The server cannot be given a second IP address.  
I would prefer the server to have a private IP address - e.g. 10.0.0.10  
I'd like to keep Router #2, but it can have a private IP - e.g. 10.0.1.10

Seguendo queste regole, ho bisogno di ottenere il mio server per ricevere il traffico in ingresso sulla porta 80 da entrambi gli indirizzi IP pubblici. Qualcuno su SU sa se questo è possibile? Finora le mie uniche teorie sono state di impostare una route statica su entrambi i router, o in qualche modo combinare le mie due subnet in una singola subnet.

MODIFICARE:
Ho modificato il mio diagramma per rappresentare la soluzione di Fred. Vedendo che dovrò scendere a compromessi da qualche parte, immagino che il compromesso più piccolo e più semplice sarebbe il più efficace. E mentre assegnando al mio server due indirizzi IP complicheranno sicuramente la configurazione del server, la semplicità risultante nella topologia della rete sarebbe un compromesso piuttosto equo.

enter image description here

Questa soluzione consentirà che entrambi gli indirizzi IP pubblici rimangano pubblicamente visibili, consentendo al contempo a entrambi i router di inoltrare le porte direttamente agli indirizzi IP locali del mio server. Inoltre, tutto sulla mia rete che è collegata al Router # 2 sarà in grado di accedere alla subnet del Router # 1, quindi il server manterrà la visibilità locale da entrambi gli indirizzi IP locali (nient'altro è collegato al Router # 1, oltre al Router # 2 e il server).

La mia scheda madre del server ha infatti un dual-NIC gigabit integrato, quindi il mio hardware può gestirlo senza problemi. Cercherò di configurare il mio server per rispondere a entrambe le NIC oggi, e vedremo come andrà da lì - ma a questo punto non prevedo che vengano messe in luce soluzioni migliori e altri problemi causati da questo il compromesso può molto probabilmente essere risolto quando arrivano. Naturalmente, se ci sono errori nel layout di rete sopra, per favore fatemelo sapere.

Grazie mille, ragazzi!

networking  router  firewall  port-forwarding 
Giffyguy
fonte
1
Il diagramma suggerisce che il router # 1 ha un interruttore. Perché assegna un indirizzo LAN su alcune porte e un IP statico (.1.129) al router # 2? Perché non forzare il Router # 2 a prendere un indirizzo LAN, come 10.0.1.250 o qualcosa al di fuori delle assegnazioni DHCP dell'R # 1? In questo modo, puoi portarti avanti.
hyperslug
Entrambi i router sono switch. Ma ho due IP pubblici che devono essere disponibili. Un IP pubblico è assegnato al Router # 1 e l'altro IP pubblico deve essere assegnato da qualche parte. Ho anche considerato il NAT 1-to-1 come un possibile modo di farlo, ma non sono sicuro di come il Router # 1 punti un IP pubblico a un computer sulla sottorete del Router # 2, per non parlare di quanto non sia sicuro sarebbe. Il punto centrale di tutto ciò è ottenere due IP pubblici che puntano al mio server, mantenendo sempre il mio server dietro un firewall. Non voglio che il mio server sia visibile su Internet, a parte alcune porte.
Giffyguy
1
Perché hai bisogno di due strati di NAT per questo?
Hasaan Chop
Fondamentalmente, sto cercando di far apparire il mio server su Internet come se fosse un server separato con due indirizzi IP pubblici separati. Non conosco altri registar, ma Network Solutions richiede due server DNS se si desidera ospitare il proprio dominio. Ma puoi cavartela con un solo server, purché abbia due indirizzi IP pubblici. E poi ovviamente la ragione di tutto il casino è la sicurezza: entrambi gli indirizzi IP pubblici devono essere protetti da firewall.
Giffyguy

Risposte:

1

Lasciare la configurazione come sopra, eccetto mettere un nuovo, terzo router firewall nella DMZ del Router 1 e indirizzare il traffico .130 alla DMZ dove si posiziona il Router 3. Router 3 quindi inoltra il traffico in arrivo all'indirizzo 10.0.0.10. Il kicker qui è il requisito One IP Only per il server. Non sarà possibile inviare pacchetti indietro attraverso il router 3 senza un IP distinto sul server per quel percorso (traffico tramite router 3). La tabella di routing del server avrà un unico gateway predefinito per il singolo IP assegnato, quindi indipendentemente dal modo in cui il traffico arriva (tramite Router 2 o Router 3), le risposte usciranno dal gateway predefinito e saranno quindi convertite nell'IP pubblico di quel router. Forse l'UDP potrebbe funzionare (il traffico va a .130 e ritorna da .129), ma non vedo alcun modo per il TCP di stabilire una connessione sull'IP che non viene instradata attraverso il gateway del server. Vi suggerisco di pensare molto seriamente al requisito di un solo IP, dal momento che consentire 2 IP renderebbe le cose molto più semplici.

Fred
fonte
Dare al server due indirizzi IP locali sembra il compromesso più efficiente, quando tutto è stato detto e fatto. Ho aggiunto alcune informazioni alla mia domanda riguardo a questo.
Giffyguy
1

Ok, supponendo che entrambi i tuoi router abbiano NAT abilitato, la tua configurazione attuale non funzionerà. Il problema che avrai è il tuo secondo indirizzo IP (1.129) non è visibile pubblicamente e quindi non potrà mai essere accessibile dall'esterno della tua rete. L'unico IP che internet vedrà è l'IP del router n. 1 (1.130).

Se si desidera che entrambi gli indirizzi IP siano disponibili pubblicamente, sarà necessario posizionare uno switch davanti al router n. 1 che collega sia il router n. 1 sia il n. router # 2 alla rete pubblica.

heavyd
fonte
1
Sì, mi sono interrogato anche su questo. Ha detto che stava funzionando, quindi ho pensato che fosse risolto in qualche modo.
Fred
Sì, non è un problema. X.X.X.129 utilizza X.X.X.130 come gateway predefinito (in contrasto con 10.0.1.1), quindi per quanto riguarda Internet pubblico sono entrambi visibili.
Giffyguy
Inoltre, non riesco a spostare il router # 1 - è il mio gateway via cavo. Deve essere fisicamente inserito nel cavo coassiale.
Giffyguy
@Giffyguy, sì X.X.X.129 può accedere a Internet, ma è accessibile da internet? La mia ipotesi è che se dovessi eseguire il ping su X.X.X.129, non sarei in grado di raggiungerlo. Solo X.X.X.130 è visibile su Internet.
heavyd
Vedo da dove vieni. Ho provato per questo, e funziona. Inoltre, quando Comcast emette un blocco IP pubblico per il mio utilizzo, mi fornisce un IP gateway predefinito (X.X.X.130) e un IP pubblico "utilizzabile" (X.X.X.129). Se il Router # 2 non fosse visibile pubblicamente perché fa parte della sottorete del Router # 1, in primo luogo verrebbe veramente vanificato l'intero scopo dell'acquisto di un IP pubblico. Quindi non sono preoccupato che non ci siano problemi lì, seguo semplicemente le indicazioni fornite da Comcast per rendere pubblicamente visibile il Router # 2.
Giffyguy
1

Impostare il secondo router come switch invece di un router disabilitando il server DHCP (se ne è in esecuzione uno) e collegando il cavo dal router 1 al router 2 in una delle porte LAN del secondo router. Probabilmente dovrai anche impostare il router 2 su un IP statico non utilizzato sulla sottorete 10.0.1.x e spostare anche il server nella sottorete 10.0.1.x. Quindi deselezionare le impostazioni di port forwarding del router 2 e comunicare al router 1 di inoltrare il nuovo IP 10.0.1.x del server e si dovrebbe andare bene.

marcusw
fonte
Questa è una buona idea, ma sembra troppo rigamaroll, per non parlare della sicurezza ridotta. Mi piacerebbe avere un firewall SPI fisico davanti a ogni indirizzo IP pubblico, e rimuoverlo dal Router # 2 sembra rischioso.
Giffyguy
Hai bisogno di due IP pubblici che puntano entrambi allo stesso server? Non ha molto senso, e non so davvero come si potrebbe farlo funzionare, mi dispiace ...
marcusw
Haha, non posso biasimarti per essere stato confuso ... Sto cercando di ingannare Network Solutions, facendo sembrare che abbia due server DNS validi che ospitano il mio dominio, quando in realtà non sto per passare il tempo o soldi per costruire un secondo server.
Giffyguy
Difficile! Spero che non lo scoprano ... Anche se sembra che tu abbia risolto questo problema dalle tue modifiche alla domanda (bei diagrammi), felice che tu abbia funzionato.
marcusw
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.