Che ne pensate di questo router?

[SideWindeR [00]]

Né più né meno quello che succede anche con un router casalingo. Ovviamente un router non può mandare su internet un pacchetto con un indirizzo IP di una subnet interna.

Nel caso di Kymya, RED è l'interfaccia che vede l'esterno ( due, nel suo caso ) mentre GREEN è la rete interna trusted.

La DMZ che nome ha che non lo ricordo? BLU? YELLOW?

Ok, finalmente ho capito i colori!
La dmz penso la chiami ORANGE

[KymyA]

Il disegnino postato prima, con la spiegazione, è esattamente quello che ho detto io. Comunque, in genere sui firewall del tipo IpCop, M0n0wall, etc... vengono indicate :

RED - Interfaccia collegata verso la WAN {EXTERNAL}
GREEN - Interfaccia collegata alla rete interna "trusted" {TRUSTED}
ORANGE - Interfaccia DMZ {OPTIONAL}
BLU - Interfaccia WiFi
PURPLE - VPN

Vi vorrei fare un'altra domanda... ma sto cercando di mettere a fuoco alcune cose et concetti... però il discorso si è fatto interessante grazie al vostro intervento!

[KymyA]

Ok... adesso ci sono. Però ho cambiato idea sul da farsi.
Appena infatti è arrivata notizia (Raccomandata) a Fastweb della mia intenzione di rientro, mi hanno fatto un'offerta "che non posso rifiutare". L'unica cosa che dovrò fare però è di togliere la classe di 8IP e passare a classe 4 o meglio ancora classe 1. Su questo singolo IP, farò confluire i servizi che offriamo all'esterno (2MB simmetrici Telecom se li sogna di darmeli!) ed utilizzerò la 20MB Alice per la comunicazione aziendale.
Per fare questo, ho due possibilità:
1. Utilizzare Endian, se possibile.
2. Utilizzare Endian per la rete 20MB ed un altro firewall per la rete fastweb.
In quest'ultimo caso, però, dovrò fare una VPN tra i due firewall per poter permettere al server Ecommerce (su Fastweb) di comunicare (in maniera protetta) con il server interno SQL....
Cosa dite, è più facile ottenere questo con il primo o con il secondo metodo?
Ovviamente dovreste conoscere Endian, nell'ultima Release Candidate.
Se volete altre informazioni, chiedete pure!

[Sticky©]

2mb simmetrici...

[KymyA]

non limitarti a SBAVARE... AIUTAMI!!!
Mi sembra di capire che capisci di cosa stiamo parlando... perché non vieni a farti un viaggetto qui al sud e vieni a fare consulenza? Così ne approfitti per andartene al mare, no? Dimmi quanto vuoi e lo dico all'Amministrazione, no?
Cmq, Fastweb mi passa gratuitamente dalla 1MB simmetrica attuale alla 2MB simmetrica...mi hanno dimezzato il canone ed altra roba.

n.b. Il link che mi hai passato tempo fa sul bilanciamento del carico si è rivelato inutile in quanto i file che dice di modificare non esistono più; solo un paio ho trovato ma sono vuoti. Forse con questa nuova versione hanno cambiato qualche cosa...

[Sticky©]

non limitarti a SBAVARE... AIUTAMI!!!
Mi sembra di capire che capisci di cosa stiamo parlando... perché non vieni a farti un viaggetto qui al sud e vieni a fare consulenza? Così ne approfitti per andartene al mare, no? Dimmi quanto vuoi e lo dico all'Amministrazione, no?
Cmq, Fastweb mi passa gratuitamente dalla 1MB simmetrica attuale alla 2MB simmetrica...mi hanno dimezzato il canone ed altra roba.

n.b. Il link che mi hai passato tempo fa sul bilanciamento del carico si è rivelato inutile in quanto i file che dice di modificare non esistono più; solo un paio ho trovato ma sono vuoti. Forse con questa nuova versione hanno cambiato qualche cosa...

Eh, il fatto è che Endian non l'ho mai usato....

Ti posso indirizzare verso la mailing list, qui c'è un thread riguardante il load balancing. Qui invece ci sono i risultati della ricerca correlata...

[KymyA]

Difatti non m'interessa più tanto il load-balancing, quanto il poter gestire le linee in questa maniera:

Fastweb (2MB/2MB) ---> eth2 --> ENDIAN ---> ORANGE
Alice (20MB/?MB) ---> eth3 --> ENDIAN ---> GREEN

Cioè voglio che i pc sulla rete green (trusted) utilizzino Alice per la navigazione, e che i clienti che si connettono sui server della orange (DMZ) utilizzino Fastweb. Quest'ultima cosa già succede perché l'IP è quello, ma che regola impostare per far si che i PC della trusted usino Alice? Dovrebbe essere in Outgoing Traffic, dove invece di segnare RED come interfaccia (eth2+eth3) dovrei mettere solamente la eth3.
Queste 3 immagini che potranno forse chiarire le opzioni che ho in Endian. Considera (soprattutto per l'ultima immagine) che non ho ancora messo l'altro uplink (alice).

Spoiler:

[SideWindeR [00]]

Quello che ti serve e' un routing basato sull'indirizzo di provenienza dei pacchetti (oppure basato sull'interfaccia da cui questi vengono).
Purtroppo non ho esperienza diretta con endian, ma dando un'occhiata alle immagini postate potresti cercare, nella sezione riguardante il traffico outgoing, la possibilita' di specificare un range di indirizzi come mittente, ed associarli ad una delle 2 interfacce di uplink che hai a disposizione.

[KymyA]

Sarebbe LINK A RITROSO invece che RED, come si nota nella seconda figura nelle impostazioni del PING. Forse sarebbe più facile invertire gli uplink (far diventare main la linea Alice) visto che per default utilizza proprio la main per il traffico in uscita. Tanto sulla Fastweb il traffico è totalmente generato dall'esterno (Internet) verso l'interno (Intranet) e quindi dovrebbe seguire le regole di port-forwarding...



(Leggermente OT) - Sapete l'ultima che mi è successa con i gestori? Chiamo il 191 per lamentarmi del fatto che, nonostante abbia una flat aziendale 7MB, loro mi hanno dato un IP Dinamico. Prima la tipa sostiene che l'indirizzo IP è fisso e solo dopo che gli ho fatto notare che resettando il router l'indirizzo cambia, va a controllare e mi risponde: "Signore, in parte ha ragione. Gli abbiamo assegnato un IP Semi-fisso!" - ma che ca22o vuol dire semi-fisso? A quel punto gli ho detto che per contratto mi devono dare l'ip fisso e lei mi risponde : "Standard diamo l'IP Fisso. Questa è la prima volta che vedo un contratto business con un IP semi-fisso. Se lo deve tenere così!". Roba da matti.... questo mi convince a rimanere con Fastweb...immagino che adesso mi chiamino e mi dicono "Signore, abbiamo cambiato il suo IP da semi-fisso a semi-dinamico!"

[Sticky©]

Sarebbe LINK A RITROSO invece che RED, come si nota nella seconda figura nelle impostazioni del PING. Forse sarebbe più facile invertire gli uplink (far diventare main la linea Alice) visto che per default utilizza proprio la main per il traffico in uscita. Tanto sulla Fastweb il traffico è totalmente generato dall'esterno (Internet) verso l'interno (Intranet) e quindi dovrebbe seguire le regole di port-forwarding...



(Leggermente OT) - Sapete l'ultima che mi è successa con i gestori? Chiamo il 191 per lamentarmi del fatto che, nonostante abbia una flat aziendale 7MB, loro mi hanno dato un IP Dinamico. Prima la tipa sostiene che l'indirizzo IP è fisso e solo dopo che gli ho fatto notare che resettando il router l'indirizzo cambia, va a controllare e mi risponde: "Signore, in parte ha ragione. Gli abbiamo assegnato un IP Semi-fisso!" - ma che ca22o vuol dire semi-fisso? A quel punto gli ho detto che per contratto mi devono dare l'ip fisso e lei mi risponde : "Standard diamo l'IP Fisso. Questa è la prima volta che vedo un contratto business con un IP semi-fisso. Se lo deve tenere così!". Roba da matti.... questo mi convince a rimanere con Fastweb...immagino che adesso mi chiamino e mi dicono "Signore, abbiamo cambiato il suo IP da semi-fisso a semi-dinamico!"

Ip semi-fisso?

Mammamia, pure al 191 ci mettono le capre...

[KymyA]

infatti non ho OSATO chiedere la differenza tra IP-Semifisso, fisso e dinamico...

tornato IT, non ho capito in base a quale logica Endian scelga l'uplink da utilizzare. Fino a qualche minuto fa, andando su speedtest.net mi appariva l'IP di Alice ... adesso non più. Anche refreshando appare sempre l'IP Fastweb.
Ho notato che c'è una sezione dove poter creare delle ROUTE STATICHE tra una classe di ip sorgenti, una di destinazione ed un uplink. Cioè, se gli dico che l'IP sorgente 192.168.0.1 si rivolge all'ip destinazione 182.10.84.18 (uno a cacchio) deve usare l'uplink Alice, dite che funziona? Ma come faccio a dirgli che la destinazione è qualunque IP esterno? Quasi quasi scrivo nel sito Endian, che forse è meglio...

nb Ho capito perché.... praticamente alle ore 16 di ieri la linea Fastweb è caduta una ventina di secondi, in quel momento, il traffico è stato deviato su Alice. Appena è rientrata FW, sono andate entrambe le interfaccie... per verifica, devo provare a staccare un attimo il cavo di rete FW...

[SideWindeR [00]]

Guarda, 2 anni fa ho fatto delle litigate colossali con quelli di Alice business per l'attivazione di un pool di ip fissi. Inoltre, l'ip su cui esce la linea e' sempre fisso, e se e' cambiato hanno avuto un problema loro. In ditta e' capitato che cambiasse dopo un riavvio del router, ma chiamandoli (naturalmente all'800102120, non il 191) si sono accorti del problema ed hanno risolto alla svelta.
La fortuna naturalmente sta nel trovare l'operatore che ne sa qualcosa e non risponde strunzade pur di dire qualcosa.

[KymyA]

sono solo litigate continue. A casa ho problemi dal 1°Giugno...sono senza ADSL da allora e l'ultimo op Infostrada l'ho mandato a quel paese. Perché? Perché alla mia richiesta di sapere a che punto sono, ha cominciato ad elencarmi tutte le chiamate che ho fatto dal 1°Giugno. Alla mia interruzione (gli ho detto "so benissimo quando ho chiamato e comunque la storia interessa poco") lui mi risponde "O parlo io o parla lei" tutto risentito. Al che, gli ho detto (dopo aver pensato un paio di secondi): "bene, parlo io e le dico di andare a'ffan..." - letteralmente - ed ho chiuso.

[Sticky©]

nb Ho capito perché.... praticamente alle ore 16 di ieri la linea Fastweb è caduta una ventina di secondi, in quel momento, il traffico è stato deviato su Alice. Appena è rientrata FW, sono andate entrambe le interfaccie... per verifica, devo provare a staccare un attimo il cavo di rete FW...

Allora il redirect del traffico funge correttamente...

[KymyA]

Direi proprio di no. Cioè, di navigare si naviga... però non sono raggiungibile dall'esterno. Cioè se immetto l'indirizzo IP esterno di Alice, dovrei raggiungere il sito in quanto gli ho detto di portforwardare le richieste sulla porta 80 da QUALUNQUE uplink verso il web-server...
Poi ho notato anche che nel pool delle mail in uscita c'era una mail che non riusciva ad inviare in quanto il destinatario rifiutava mail da IP dinamici (quello Alice).
Mi sa tanto che sistemo la conf dell'altro firewall e divido i due uplink. Solo che dovrò farmi il giro dei client per riconfigurare il client di posta, in quanto vedranno il mail-server come "esterno"... non so che strada intraprendere...