ADSL Office -> public IP op eigen firewall

[Poelmans]

Hallo iedereen,

Op ons bedrijf zijn we van plan een VPN aan te leggen, en dit willen we met een eigen firewall doen. Van de Cisco 826 router die we gekocht hebben om aan onze ADSL Office lijn te hangen kennen we eigenlijk weinig, vandaar. Ook gaan we anders vanalle truuks uit de doos moeten halen ivm onze DMZ.

Gevolg: we hebben het public IP address op onze eigen firewall nodig, dus de cisco moet in bridge mode of iets dergelijks komen. Skynet weigert ons te vertellen hoe we dit moeten doen, maar wil ons wel een IP subnet verhuren.
De prijs hiervan valt nog mee, maar dit zou betekenen dat er meteen 3 IP adressen nutteloos verslonden worden: het huidige public van de cisco, het interne public van de cisco, het externe public van de firewall, en dan eindelijk een nuttig IP op onze internet-server (mail, http, ...). Als we dan toch beginnen met IPs te huren ga ik niet nogmaals met DNAT prutsen, want dan kunnen we niet zomaar vanuit het lan aan onze web/mail/dns/...-server.

Maar dat alles wil ik dus vermijden (IPv4 addressen zijn schaars), en het zou veel gemakkelijker zijn als ik het 1ne publieke IP adress op m'n firewall krijg. Iemand hier reeds ervaring mee?

[fryelectro]

Wat voor een firewall wil je installeren achter die router ? En wat voor een soort VPN wil je gebruiken? Opties zijn:

- SSL VPN: gaat perfect binnen een NAT situatie zoals de uwe.
- IPSEC: enkel als NAT-traversal ondersteund wordt (bijvoorbeeld bij Juniper Netscreen geen probleem)
- PPTP: de 'microsoft' vpn oplossing.... insecure, niet strong, en bijgevolg af te raden.
- proprietary vpn oplossingen ?

Je kan perfect een privaat subnet tussen router en firewall zetten. Je laat gewoon alle requests op je public ip doorsturen via nat naar je firewall.

[hollebollegijs]

belgacom geeft geen ondersteuning op apparatuur aangekocht door de klant in privé beheer, enkel op apparatuur aangekocht of in huur bij BGC. allee, in principe..

ik weet niet welke dienst u gecontacteerd heeft maar je kan het eens proberen op de 0800-23.452, optie 1 voor NL en dan optie 3 voor technische bijstand.

[Poelmans]

@hollebollgijs: ik heb al heel wat rondgebel gedaan zonder veel resultaat. Kzal straks die nummer ook eens proberen.

Maar is het mogelijk of niet om dat ip op mijn firewall te krijgen?

@fryelectro: dat je alle poorten kan forwarden weet ik ook. Maar naar de toekomst toe geeft dat toch problemen indien ik IP adressen bijhoor (als het écht nodig is). Ik zou nu van de gelegenheid willen gebruik maken dat het publiek IP eens en voor altijd op MIJN firewall zit. Uiteindelijk is dit het makkelijkste om te configureren, en ga ik nooit of te nimmer mijn kop moeten breken over hoe 2 firewalls en elk hun NAT samenwerken.

Ik zou met IPsec willen werken trouwens. Maar das de kwestie niet, daar kom ik wel uit.

Tnx for the replies

[deej]

Als ik van jou was kocht ik een Netscreen 5GT ADSL (al dan niet wireless) en sluit die rechtstreeks aan op de telefoonlijn .

Die dingen zijn zeer krachtig en hebben alle toeters en bellen van de grote broer firewalls die in grote bedrijven de dienst uitmaken. Daarnaast kan je er nog AV opdraaien als het moet ook.

En VPN'en met die dingen is poepsimpel .

[Poelmans]

Als ik van jou was kocht ik een Netscreen 5GT ADSL (al dan niet wireless) en sluit die rechtstreeks aan op de telefoonlijn .

Die dingen zijn zeer krachtig en hebben alle toeters en bellen van de grote broer firewalls die in grote bedrijven de dienst uitmaken. Daarnaast kan je er nog AV opdraaien als het moet ook.

En VPN'en met die dingen is poepsimpel .

We hebben een Cisco router en een router met DMZ (freeBSD). Waarom zou ik nu ineens een netscreen aanschaffen. Als het met die cisco niet lukt zal het ook niet met een netscreen lukken e...

[deej]

We hebben een Cisco router en een router met DMZ (freeBSD). Waarom zou ik nu ineens een netscreen aanschaffen. Als het met die cisco niet lukt zal het ook niet met een netscreen lukken e...

Omdat je firewall dan ook meteen je gateway is. Dan heb je meteen je externe IP op je externe interface van je firewall... Geen bridgen en andere toestellen meer nodig.

[Poelmans]

Probleem: enkel cisco routers lijken te werken op een skynet ADSL office lijn. Naart schijnt blokkeren ze de mac adressen.

BTW: zijn er betaalbare netscreens met enkele DMZ aansluitingen?

[deej]

Probleem: enkel cisco routers lijken te werken op een skynet ADSL office lijn. Naart schijnt blokkeren ze de mac adressen.

BTW: zijn er betaalbare netscreens met enkele DMZ aansluitingen?

Ah dat van die MAC adressen wist ik niet... Is wel straf zeg.

Hangt er van af hé, wat noem jij betaalbaar? Als je meerdere DMZs op de firewall zelf wil moet je naar een model met VLAN ondersteuning en dan zit je meteen bij de NS25, die kost je listprijs zo'n 3000€.

[hoy69]

is bullshit , office lijnen worden routed gebridged op de broadband acces servers. als je echt je ip adres wil termineren op een andere machine dan de cisco router die belgacom je geeft, neem dan je eigen router en zet hem op bridge of zo .
van belgacom gade daarvoor geen info krijgen

toedeloe

[Poelmans]

is bullshit , office lijnen worden routed gebridged op de broadband acces servers. als je echt je ip adres wil termineren op een andere machine dan de cisco router die belgacom je geeft, neem dan je eigen router en zet hem op bridge of zo .
van belgacom gade daarvoor geen info krijgen

toedeloe

Dan wil ik toch wel eens weten met welke configfile. Ik heb die cisco al genoeg op bridge proberen te zetten zonder resultaat...

Na even aan de lijn te hangen had ik uiteindelijk iemand van de BiLAN dienst (geen callcenter toestanden in de achtergrond te horen) aan de lijn (denk wel dat die mannen weten wat ze doen dan). Die zei me dat als je de router op bridge zet je met IP over ATM bezig bent, en belgacom dit niet ondersteunt voor de office lijnen op hun DSLAM's

[verdickt]

Probleem: enkel cisco routers lijken te werken op een skynet ADSL office lijn. Naart schijnt blokkeren ze de mac adressen.

BTW: zijn er betaalbare netscreens met enkele DMZ aansluitingen?

Lijkt me inderdaad niet correct, of het zou recent moeten gewijzigd zijn.

En hoe groot is jullie bedrijf trouwens ?

Al eens gedacht aan opensource software ( ipcop firewall ) de andere bekende ben ik nu even vergeten.

[X-2datop]

is bullshit , office lijnen worden routed gebridged op de broadband acces servers. als je echt je ip adres wil termineren op een andere machine dan de cisco router die belgacom je geeft, neem dan je eigen router en zet hem op bridge of zo .
van belgacom gade daarvoor geen info krijgen

toedeloe

Dan wil ik toch wel eens weten met welke configfile. Ik heb die cisco al genoeg op bridge proberen te zetten zonder resultaat...

Na even aan de lijn te hangen had ik uiteindelijk iemand van de BiLAN dienst (geen callcenter toestanden in de achtergrond te horen) aan de lijn (denk wel dat die mannen weten wat ze doen dan). Die zei me dat als je de router op bridge zet je met IP over ATM bezig bent, en belgacom dit niet ondersteunt voor de office lijnen op hun DSLAM's

Klopt; BGC ondersteunt enkel "routed" protocol! Wat je wél kan doen is het volgende:

Cisco 826 router opzetten met een static nat van de externe interface naar in de interne. (1 to 1 NAT) en een mini routed subnet aanmaken tussen de 826 en je firewall en de rest van de NAT te laten afhandelen op je firewall. In ongeveer 90% van alle gevallen zou dit perfect moeten werken ! Het werkt in ieder geval met een C828 en een PIX501 erachter en dat de PIX501 IPSEC VPN's termineert !

Grtz,
X

PS: Je kan natuurlijk ook je 826 uitbreiden met extra ram én er een Firewall image opzetten zodat je gewoon alles met je 826 doet !

[Poelmans]

Al eens gedacht aan opensource software ( ipcop firewall ) de andere bekende ben ik nu even vergeten.

Wat heeft dit nu te maken met deze problemen? Of ik nu linux, FreeBSD, Windows, Mac, een opensource embedded oplossing of een hardware router achter de Cisco hang???

is bullshit , office lijnen worden routed gebridged op de broadband acces servers. als je echt je ip adres wil termineren op een andere machine dan de cisco router die belgacom je geeft, neem dan je eigen router en zet hem op bridge of zo .
van belgacom gade daarvoor geen info krijgen

toedeloe

Dan wil ik toch wel eens weten met welke configfile. Ik heb die cisco al genoeg op bridge proberen te zetten zonder resultaat...

Na even aan de lijn te hangen had ik uiteindelijk iemand van de BiLAN dienst (geen callcenter toestanden in de achtergrond te horen) aan de lijn (denk wel dat die mannen weten wat ze doen dan). Die zei me dat als je de router op bridge zet je met IP over ATM bezig bent, en belgacom dit niet ondersteunt voor de office lijnen op hun DSLAM's

Klopt; BGC ondersteunt enkel "routed" protocol! Wat je wél kan doen is het volgende:

Cisco 826 router opzetten met een static nat van de externe interface naar in de interne. (1 to 1 NAT) en een mini routed subnet aanmaken tussen de 826 en je firewall en de rest van de NAT te laten afhandelen op je firewall. In ongeveer 90% van alle gevallen zou dit perfect moeten werken ! Het werkt in ieder geval met een C828 en een PIX501 erachter en dat de PIX501 IPSEC VPN's termineert !

Grtz,
X

PS: Je kan natuurlijk ook je 826 uitbreiden met extra ram én er een Firewall image opzetten zodat je gewoon alles met je 826 doet !

Hmm jij blijkt er wel wat meer van te kennen (eindelijk iemand die niet afkomt van bridge die gewoon da moet werken)

1 to 1 NAT heb ik geprobeerd en dit werkt perfect voor gewone port forwarding (heeft zelfs lang zo gebold tot de nood aan VPN kwam), maar IPsec heb ik nog niet aant werk gekregen zoals het hoort. Allee het is te zeggen:

Momenteel hebben we gewoon een range van 4 IPs bijgehuurd (uiteindelijk moesten we daar toch naartoe vanwege 2 webservers), en hebben we een VPN lopen met een ander bedrijf, dat nu nog steeds hetzelfde probleem heeft dat wij hadden. De VPN werkt, maar enkel hun kant van de VPN kan de verbinding starten, en wij niet. Dit omdat zij geen public IP hebben dat rechtstreeks gelinkt is met de VPN firewall. Momenteel bolt de oplossing wel dmv keepalives van hun kant uit. Maar mooier zou zijn moesten wij de verbinding ook kunnen starten.