Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Zywall USG 20 e NAT
2,213 views
Skip to first unread message
Macchianera
Aug 29, 2012, 5:59:52 AM8/29/12
to
Buongiorno a tutti, sono nuovo di questo NG :-)
Come da oggetto, dovrei configurare ad un amico il firewall Zyxel
USG20 che sta dietro ad un router telecom.
Ho seguito i "principi" del caso, ovvero:
- Ho collegato la porta WAN al router e le ho assegnato l'ip della
stessa classe di quello del router (router 192.168.1.1 -> Wan Zyxel
192.168.1.2)
- Ho configurato la "lan1" del zyxel da Network->Interface->Ethernet
assegnandole ip 192.168.3.1 sm 255.255.0.0 e ho abilitato il dhcp a
partire dal 192.168.3.2/255.255.0.0.
- POI sono andato in NAT e ho selezionato: MANY 1:1 NAT, Incoming
Interface = WAN1, Original IP/subnet range: LAN1, Mapped IP/subnet
range: LAN1. Per evitare grane ho disabilitato il firewall
temporaneamente.
Morale della favola, ovviamente, non riesco a navigare in internet.
L'indirizzo dhcp nella rete interna allo zywall me lo prende, se
collego un pc alla wan e digito 192.168.1.2 vedo il pannello web, se
faccio 192.168.1.2 dall'interno ovviamente non riesco a raggiungerlo.
*Credo* di aver applicato correttamente i concetti, forse mi è
sfuggito qualcosa ma sicuramente non so come tirare giù questo "ponte
levatoio" del zyxel e navigare finalemente in internet. Ho anche fatto
diverse prove con la nat ma non ne sono uscito...tra l'altro non
conosco benissimo questo prodotto quindi arranco parecchio...
Qualcuno ha delle dritte da darmi?
Grazie mille!
ciao a tutti
mn
Come da oggetto, dovrei configurare ad un amico il firewall Zyxel
USG20 che sta dietro ad un router telecom.
Ho seguito i "principi" del caso, ovvero:
- Ho collegato la porta WAN al router e le ho assegnato l'ip della
stessa classe di quello del router (router 192.168.1.1 -> Wan Zyxel
192.168.1.2)
- Ho configurato la "lan1" del zyxel da Network->Interface->Ethernet
assegnandole ip 192.168.3.1 sm 255.255.0.0 e ho abilitato il dhcp a
partire dal 192.168.3.2/255.255.0.0.
- POI sono andato in NAT e ho selezionato: MANY 1:1 NAT, Incoming
Interface = WAN1, Original IP/subnet range: LAN1, Mapped IP/subnet
range: LAN1. Per evitare grane ho disabilitato il firewall
temporaneamente.
Morale della favola, ovviamente, non riesco a navigare in internet.
L'indirizzo dhcp nella rete interna allo zywall me lo prende, se
collego un pc alla wan e digito 192.168.1.2 vedo il pannello web, se
faccio 192.168.1.2 dall'interno ovviamente non riesco a raggiungerlo.
*Credo* di aver applicato correttamente i concetti, forse mi è
sfuggito qualcosa ma sicuramente non so come tirare giù questo "ponte
levatoio" del zyxel e navigare finalemente in internet. Ho anche fatto
diverse prove con la nat ma non ne sono uscito...tra l'altro non
conosco benissimo questo prodotto quindi arranco parecchio...
Qualcuno ha delle dritte da darmi?
Grazie mille!
ciao a tutti
mn
Luca Sasdelli
Aug 29, 2012, 6:01:52 AM8/29/12
to
Nel suo scritto precedente, Macchianera ha sostenuto :
> assegnandole ip 192.168.3.1 sm 255.255.0.0 e ho abilitato il dhcp a
Setta la netmask a 255.255.255.0, idem per la WAN.
Ciao
Luca
> assegnandole ip 192.168.3.1 sm 255.255.0.0 e ho abilitato il dhcp a
Ciao
Luca
Macchianera
Aug 29, 2012, 6:16:43 AM8/29/12
to
> Setta la netmask a 255.255.255.0, idem per la WAN.
>
Scusa, non ho specificato che adesso lo sto provando su un'altra rete
>
che ha sm 255.255.0.0.
ciao
giovanni.v
Aug 29, 2012, 7:29:11 AM8/29/12
to
Il 29/08/2012 12.16, Macchianera ha scritto:
> Scusa, non ho specificato che adesso lo sto provando su un'altra rete
> che ha sm 255.255.0.0.
Scusa ma con gli indirizzi wan e lan che hai indicato e quella subnet
> Scusa, non ho specificato che adesso lo sto provando su un'altra rete
> che ha sm 255.255.0.0.
mask /16 il risultato è che la wan è sulla stessa rete della lan... il
router questi conti li sà fare e non instrada un bel niente.
Inoltre sei fuori dal range canonico di una rete privata, ovvero la
sottorete risultante 192.168.0.0/16 comprende anche indirizzamenti
pubblici.
Se proprio sei costretto per qualche arcano motivo ad usare una subnet
/16 sulla lan con quegli indirizzamenti allora non ti resta che
utilizzare una net di classe B (o A) sul lato wan.
--
TeeBX VoIP communication platform (coming soon)
http://code.google.com/p/teebx/
-----------------------------------------------
Lightweight++ Business Friendly++ Open++
Luca Sasdelli
Aug 29, 2012, 7:54:16 AM8/29/12
to
giovanni.v ha detto questo mercoledì :
> Scusa ma con gli indirizzi wan e lan che hai indicato
ha detto che sta usando un'altra rete. Quando Macchianera ci dirà anche
la network utilizzata, allora si potrà fare qualche considerazione :)
> Inoltre sei fuori dal range canonico di una rete privata, ovvero la sottorete
> risultante 192.168.0.0/16 comprende anche indirizzamenti pubblici.
Dice che il router natta sul 192.168.1.1, quindi ci può stare.
Ciao
Luca
--
Luca - Nonno di Emma dal 13 settembre 2010
Nonno di Susanna Rosìo dal 3 giugno 2012
> Scusa ma con gli indirizzi wan e lan che hai indicato
la network utilizzata, allora si potrà fare qualche considerazione :)
> Inoltre sei fuori dal range canonico di una rete privata, ovvero la sottorete
> risultante 192.168.0.0/16 comprende anche indirizzamenti pubblici.
Ciao
Luca
--
Luca - Nonno di Emma dal 13 settembre 2010
Nonno di Susanna Rosìo dal 3 giugno 2012
Macchianera
Aug 29, 2012, 8:01:10 AM8/29/12
to
> Scusa ma con gli indirizzi wan e lan che hai indicato e quella subnet
> mask /16 il risultato è che la wan è sulla stessa rete della lan... il
> router questi conti li sà fare e non instrada un bel niente.
> Inoltre sei fuori dal range canonico di una rete privata, ovvero la
> sottorete risultante 192.168.0.0/16 comprende anche indirizzamenti
> pubblici.
>
> Se proprio sei costretto per qualche arcano motivo ad usare una subnet
> /16 sulla lan con quegli indirizzamenti allora non ti resta che
> utilizzare una net di classe B (o A) sul lato wan.
>
In effetti mi sono accorto che mi stavo infilando in un ginepraio, ma avendo
> mask /16 il risultato è che la wan è sulla stessa rete della lan... il
> router questi conti li sà fare e non instrada un bel niente.
> Inoltre sei fuori dal range canonico di una rete privata, ovvero la
> sottorete risultante 192.168.0.0/16 comprende anche indirizzamenti
> pubblici.
>
> Se proprio sei costretto per qualche arcano motivo ad usare una subnet
> /16 sulla lan con quegli indirizzamenti allora non ti resta che
> utilizzare una net di classe B (o A) sul lato wan.
>
avuto un ritaglio di tempo me lo sono portato dietro e ho provato.
Più tardi me lo porto a casa e provo a collegarlo al mio router, secondo lo
schema:
- Wan ip fisso 192.168.1.2/255.255.255.0 gw: 192.168.1.1
- DHCP lan interna 192.168.0.x/255.255.255.0
- Creo la regola di NAT many:1 dando come Incoming Interface = WAN1,
Original IP/subnet range: LAN1, Mapped IP/subnet range: LAN1.
Così dovrebbe funzionare dico bene?
Grazie!
Macchianera
Aug 29, 2012, 8:06:56 AM8/29/12
to
> ha detto che sta usando un'altra rete. Quando Macchianera ci dirà anche
> la network utilizzata, allora si potrà fare qualche considerazione :)
>
> > Inoltre sei fuori dal range canonico di una rete privata, ovvero la
sottorete
> > risultante 192.168.0.0/16 comprende anche indirizzamenti pubblici.
>
> Dice che il router natta sul 192.168.1.1, quindi ci può stare.
>
Adesso l'ho scollegato e, come ho appena scritto, me lo provo con calma a
> la network utilizzata, allora si potrà fare qualche considerazione :)
>
> > Inoltre sei fuori dal range canonico di una rete privata, ovvero la
sottorete
> > risultante 192.168.0.0/16 comprende anche indirizzamenti pubblici.
>
> Dice che il router natta sul 192.168.1.1, quindi ci può stare.
>
casa. Ho voluto fare un pò in fretta con la prova di stamattina, ma secondo me
(impostazioni spregiudicate a parte) sarebbe dovuto essere "trasparente" e
quindi funzionare anche in quel caso.
Io provo più tardi a mettere quelle impostazioni che ho appena scritto e
rifare la regola di nat *sperando* che mi faccio passare :-(
Di fatto andrà poi collegato ad un router telecom normalissimo, è per quello
che ci sclero quando non mi fa passare :'(
giovanni.v
Aug 29, 2012, 8:15:28 AM8/29/12
to
Il 29/08/2012 13.54, Luca Sasdelli ha scritto:
>> Inoltre sei fuori dal range canonico di una rete privata, ovvero la
>> sottorete risultante 192.168.0.0/16 comprende anche indirizzamenti
>> pubblici.
>
> Dice che il router natta sul 192.168.1.1, quindi ci può stare.
Mah, se pensate che sia morbidissima e triplo velo fate pure ma a me
>> Inoltre sei fuori dal range canonico di una rete privata, ovvero la
>> sottorete risultante 192.168.0.0/16 comprende anche indirizzamenti
>> pubblici.
>
> Dice che il router natta sul 192.168.1.1, quindi ci può stare.
sembra proprio ortica cresciuta al sole di Sicilia. :)
Senza contare che i router zyxel se ti vai a sbatetre in configurazioni
non proprio lineari di buchi ne tirano fuori a volontà.
Mirko Borsari
Aug 29, 2012, 8:45:15 AM8/29/12
to
una subnet 255.255.0.0 rimangono sulla stessa sottorete e quindi non
può funzionare.
Inoltre lascia perdere il nat Many 1:1 e imposta il SUA (vado a
memoria, ma mi pare si chiami così).
sempre se ricordo giùsto c'è già una regola che fa passare tutto il
traffico lan to wan quindi non il firewall non dovrebbe creare
problemi per la semplice navigazione.
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Lightgrey
L'indirizzo em@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente.
Renaissance
Aug 29, 2012, 10:02:18 AM8/29/12
to
giovanni.v wrote:
> Inoltre sei fuori dal range canonico di una rete privata, ovvero la
> sottorete risultante 192.168.0.0/16 comprende anche indirizzamenti
> pubblici.
Naaahhh... :-)
> Inoltre sei fuori dal range canonico di una rete privata, ovvero la
> sottorete risultante 192.168.0.0/16 comprende anche indirizzamenti
> pubblici.
http://tools.ietf.org/html/rfc1918
3. Private Address Space
The Internet Assigned Numbers Authority (IANA) has reserved the
following three blocks of the IP address space for private internets:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
^^^^^^^^^^^^^^^^^^^^^^^^^^^
Poi, ovvio che usare una classe C privata in supernetting
(192.168.x.y/z con z<24) e' fonte potenziale di problemi
(problemi effettivi, in un caso che ho esperito).
bye G.L.
--
Da i.d.c.tutela:
P.S. Quando ci sarà lo switch-off, avrò problemi anche col
monitor del PC? Ho visto che è collegato in modalità analogica.
giovanni.v
Aug 29, 2012, 10:23:16 AM8/29/12
to
Il 29/08/2012 16.02, Renaissance ha scritto:
>> sottorete risultante 192.168.0.0/16 comprende anche indirizzamenti
>> pubblici.
>
> Naaahhh... :-)
Giusta osservazione, ho preso un granchio verso /8.
>> sottorete risultante 192.168.0.0/16 comprende anche indirizzamenti
>> pubblici.
>
> Naaahhh... :-)
Luca Sasdelli
Aug 29, 2012, 12:05:44 PM8/29/12
to
giovanni.v ha pensato forte :
> Mah, se pensate che sia morbidissima e triplo velo fate pure ma a me sembra
> proprio ortica cresciuta al sole di Sicilia. :)
Non c'è alcun problema a nattare fra due network RFC1819.
> Senza contare che i router zyxel se ti vai a sbatetre in configurazioni non
> proprio lineari di buchi ne tirano fuori a volontà.
Questo è possibile.
Ciao
Luca
> Mah, se pensate che sia morbidissima e triplo velo fate pure ma a me sembra
> proprio ortica cresciuta al sole di Sicilia. :)
> Senza contare che i router zyxel se ti vai a sbatetre in configurazioni non
> proprio lineari di buchi ne tirano fuori a volontà.
Ciao
Luca
giovanni.v
Aug 29, 2012, 12:43:58 PM8/29/12
to
Il 29/08/2012 18.05, Luca Sasdelli ha scritto:
> Non c'è alcun problema a nattare fra due network RFC1819.
Ok, su questo non ho dubbi.
> Non c'è alcun problema a nattare fra due network RFC1819.
L'op però a citato due indirizzi, 192.168.3.1/16 e 192.168.3.2/16 che
per come la vedo io sono riconducibili ad *una* sola rete. Cosa mi sfugge?
Luca Sasdelli
Aug 29, 2012, 12:53:10 PM8/29/12
to
giovanni.v ha usato la sua tastiera per scrivere :
> L'op però a citato due indirizzi, 192.168.3.1/16 e 192.168.3.2/16 che per
> come la vedo io sono riconducibili ad *una* sola rete. Cosa mi sfugge?
Ti sfugge che gli avevo già segnalato di settare una /24 e che ha
risposto di aver cambiato rete, ma non sappiamo quale :)
Ciao
Luca
> L'op però a citato due indirizzi, 192.168.3.1/16 e 192.168.3.2/16 che per
> come la vedo io sono riconducibili ad *una* sola rete. Cosa mi sfugge?
risposto di aver cambiato rete, ma non sappiamo quale :)
Ciao
Luca
Mirko Borsari
Aug 29, 2012, 1:19:22 PM8/29/12
to
Ciao Macchianera in data Wed, 29 Aug 2012 12:01:10 GMT, hai scritto:
> - Creo la regola di NAT many:1 dando come Incoming Interface = WAN1,
> Original IP/subnet range: LAN1, Mapped IP/subnet range: LAN1.
> Così dovrebbe funzionare dico bene?
ma la vecchia e semplice modalità SUA, senza tirare in ballo il full
> - Creo la regola di NAT many:1 dando come Incoming Interface = WAN1,
> Original IP/subnet range: LAN1, Mapped IP/subnet range: LAN1.
> Così dovrebbe funzionare dico bene?
feature (che visti gli indirizzamenti non ti serve) non c'è più??
Macchianera
Aug 29, 2012, 2:11:07 PM8/29/12
to
> Ti sfugge che gli avevo già segnalato di settare una /24 e che ha
> risposto di aver cambiato rete, ma non sappiamo quale :)
il mio problema :-)
Ecco cosa ho fatto:
1) Nel mio router dlink ho controllato lo scope dhcp 192.168.1.1-199
2) resettato da zero il zywall e poi:
3) Network -> Interface -> tab "Ethernet" ho messo Interface name "wan"; Zone
"WAN (P1)"; Fixed IP address: 192.168.1.250/255.255.255.0 gw: 192.168.1.1. E qui
dovrei aver configurato correttamente (credo) la porta che collego al router.
4) Sempre nello stesso tab ho editato la "lan1" e inserito: Interface Name
"Lan1"; Zone "LAN1"; IP Address 10.0.0.2/255.255.255.0; DCHP server enabled con
start 10.0.0.10;
5) Network -> NAT: creato regola "NAT_prova"; Classification "Many 1:1 NAT";
Incoming interface "wan" (ho anche provato LAN1); Original IP/Subnet range
"LAN1"; Mapped IP/Subnet range "LAN1"; Firewall disabilitato.
Risultato: non navigo e non pingo il router :'''''-(
Ora io credo che con questo aggeggio se gli ho detto cosa è la wan, cosa è la
lan e gli dico (in teoria) di collegarle perchè non lo fa? Non capisco veramente
perchè non funziona! Ripeto che non conosco questo prodotto ma mi pare
strano...la faccio troppo facile?? Sicuramente una soluzione ci sarà...
Buona serata a tutti! :-)
mn
meddix tuticus
Aug 29, 2012, 3:12:01 PM8/29/12
to
Il 29/08/2012 20:11, Macchianera ha scritto:
> 5) Network -> NAT: creato regola "NAT_prova"; Classification "Many 1:1 NAT";
ma perchᅵ non ti limiti ad utilizzarlo senza questa cosa?? come giᅵ ti ᅵ
> 5) Network -> NAT: creato regola "NAT_prova"; Classification "Many 1:1 NAT";
stato detto e chiesto, se non hai motivo di utilizzare il fullnatting
almeno per iniziare lascia fare al wizard..
--
per far danni mi occorre la tua password di root
meddix tuticus
Aug 29, 2012, 3:13:48 PM8/29/12
to
Il 29/08/2012 21:12, meddix tuticus ha scritto:
> Il 29/08/2012 20:11, Macchianera ha scritto:
>> 5) Network -> NAT: creato regola "NAT_prova"; Classification "Many 1:1
>> NAT";
> ma perchᅵ non ti limiti ad utilizzarlo senza questa cosa?? come giᅵ ti ᅵ
> stato detto e chiesto, se non hai motivo di utilizzare il fullnatting
> almeno per iniziare lascia fare al wizard..
>
ftp://ftp.zyxel.com/ZyWALL_USG_20/user_guide/ZyWALL%20USG%2020_v3-00_Ed1.pdf
> Il 29/08/2012 20:11, Macchianera ha scritto:
>> 5) Network -> NAT: creato regola "NAT_prova"; Classification "Many 1:1
>> NAT";
> ma perchᅵ non ti limiti ad utilizzarlo senza questa cosa?? come giᅵ ti ᅵ
> stato detto e chiesto, se non hai motivo di utilizzare il fullnatting
> almeno per iniziare lascia fare al wizard..
>
pag 29 e seguenti
Macchianera
Aug 29, 2012, 4:26:08 PM8/29/12
to
meddix tuticus <mi...@sofatte.mia> ha scritto:
> Il 29/08/2012 21:12, meddix tuticus ha scritto:
> > Il 29/08/2012 20:11, Macchianera ha scritto:
> >> 5) Network -> NAT: creato regola "NAT_prova"; Classification "Many 1:1
> >> NAT";
> > ma perchè non ti limiti ad utilizzarlo senza questa cosa?? come già ti è
simpatica "many to 1 NAT" secondo me) dovrei aver impostato la nat "molti a 1",
visto che l'altra opzione è "1:1 NAT" o sbaglio? Inoltre il wizard è di 3
passaggi in croce e mi configura la wan, non mi chiede altro.
Lo scopo del gioco è usare la parte firewall di questo aggeggio facendo passare
il traffico da LAN1 verso WAN che a sua volta è collegata a router. Non c'è
alcun server interno da esporre all'esterno. Il firewall lo ho disabilitato per
pura prova.
> Il 29/08/2012 21:12, meddix tuticus ha scritto:
> > Il 29/08/2012 20:11, Macchianera ha scritto:
> >> 5) Network -> NAT: creato regola "NAT_prova"; Classification "Many 1:1
> >> NAT";
> > stato detto e chiesto, se non hai motivo di utilizzare il fullnatting
> > almeno per iniziare lascia fare al wizard..
In realtà avendo impostato "Many 1:1 to NAT" (dicitura che sarebbe stata più
> > almeno per iniziare lascia fare al wizard..
simpatica "many to 1 NAT" secondo me) dovrei aver impostato la nat "molti a 1",
visto che l'altra opzione è "1:1 NAT" o sbaglio? Inoltre il wizard è di 3
passaggi in croce e mi configura la wan, non mi chiede altro.
Lo scopo del gioco è usare la parte firewall di questo aggeggio facendo passare
il traffico da LAN1 verso WAN che a sua volta è collegata a router. Non c'è
alcun server interno da esporre all'esterno. Il firewall lo ho disabilitato per
pura prova.
>
> ftp://ftp.zyxel.com/ZyWALL_USG_20/user_guide/ZyWALL%20USG%2020_v3-00_Ed1.pdf
> pag 29 e seguenti
Denghiu, domattina lo spulcio :-)
> ftp://ftp.zyxel.com/ZyWALL_USG_20/user_guide/ZyWALL%20USG%2020_v3-00_Ed1.pdf
> pag 29 e seguenti
Alpa
Aug 30, 2012, 3:52:19 AM8/30/12
to
On Wed, 29 Aug 2012 09:59:52 GMT, "Macchianera"
<424in...@mynewsgate.net> wrote:
>Buongiorno a tutti, sono nuovo di questo NG :-)
>Come da oggetto, dovrei configurare ad un amico il firewall Zyxel
>USG20 che sta dietro ad un router telecom.
<424in...@mynewsgate.net> wrote:
>Buongiorno a tutti, sono nuovo di questo NG :-)
>Come da oggetto, dovrei configurare ad un amico il firewall Zyxel
>USG20 che sta dietro ad un router telecom.
>Qualcuno ha delle dritte da darmi?
Non vorrei ricordare male ma L'USG20 esce di fabbrica con le regole
firewall di base gia' pronte.
Imposti l'ip esterno e l'ip interno,occhio che le porte lan si possono
configurare singolarmente, mi pare che di base la p1 e la p2 siano su
lan1 la p3 su lan2 e la p4 su dmz, quindi quando imposti la lan1 se
ti attacchi alla p3 o p4 comunque non navighi, il dhcp e' abilitato di
default, scegli tu se lasciarlo o toglierlo.
Se usi il dhcp ricordati di inserire un dns nella pagina object -> dns
altrimenti non navighi
Attacchi i cavi e deve funzionare, se poi hi bisogno di altri servizi
di inoltro vai a cercarti le configurazioni ma per navigare e' gia'
tutto a posto cosi'.
Mi pare non ci sia altro
Ciao
A.
YUS
Aug 30, 2012, 12:05:24 PM8/30/12
to
Il 29/08/2012 22:26, Macchianera ha scritto:> In realtᅵ avendo impostato
"Many 1:1 to NAT" (dicitura che sarebbe stata piᅵ
facendo passare
> il traffico da LAN1 verso WAN che a sua volta ᅵ collegata a router.
Non c'ᅵ
e la LAN1 dello ZyWall, una volta che hai impostato IP/netmask/gateway e
DHCP, hai finito.
Il routing tra le interfacce avviene in modo automatico per default,
quindi NON DEVI nattare niente (anche perchᅵ al limiti dovresti
impostare una regola di routing e non di NAT), il NAT te lo fa poi il
router Telecom verso la WAN.
Se tu configurassi una LAN 2, questa raggiungerebbe tranquillamente
tutti gl IP della WAN1 e della LAN1 senza dover impostare nulla (questo
ᅵ il default).
Non ho poi ben capito se ti ᅵ chiaro che puoi usare degli indirizzi tipo
WAN1 192.168.1.0/24 (sm 255.255.255.0)
LAN1 192.168.2.0/24 (sm 255.255.255.0)
LAN2 192.168.3.0/24 (sm 255.255.255.0)
etc..
A presto,
YUS
"Many 1:1 to NAT" (dicitura che sarebbe stata piᅵ
> simpatica "many to 1 NAT" secondo me) dovrei aver impostato la nat
"molti a 1",
> visto che l'altra opzione ᅵ "1:1 NAT" o sbaglio? Inoltre il wizard ᅵ di 3
"molti a 1",
> passaggi in croce e mi configura la wan, non mi chiede altro.
> Lo scopo del gioco ᅵ usare la parte firewall di questo aggeggio
facendo passare
> il traffico da LAN1 verso WAN che a sua volta ᅵ collegata a router.
Non c'ᅵ
> alcun server interno da esporre all'esterno. Il firewall lo ho
disabilitato per
> pura prova.
Quello che vuoi fare tu lo puoi fare semplicemente configurando la WAN1
disabilitato per
> pura prova.
e la LAN1 dello ZyWall, una volta che hai impostato IP/netmask/gateway e
DHCP, hai finito.
Il routing tra le interfacce avviene in modo automatico per default,
quindi NON DEVI nattare niente (anche perchᅵ al limiti dovresti
impostare una regola di routing e non di NAT), il NAT te lo fa poi il
router Telecom verso la WAN.
Se tu configurassi una LAN 2, questa raggiungerebbe tranquillamente
tutti gl IP della WAN1 e della LAN1 senza dover impostare nulla (questo
ᅵ il default).
Non ho poi ben capito se ti ᅵ chiaro che puoi usare degli indirizzi tipo
WAN1 192.168.1.0/24 (sm 255.255.255.0)
LAN1 192.168.2.0/24 (sm 255.255.255.0)
LAN2 192.168.3.0/24 (sm 255.255.255.0)
etc..
A presto,
YUS
Mirko Borsari
Aug 30, 2012, 3:52:28 PM8/30/12
to
Ciao YUS in data Thu, 30 Aug 2012 18:05:24 +0200, hai scritto:
> Il routing tra le interfacce avviene in modo automatico per default,
> quindi NON DEVI nattare niente (anche perch� al limiti dovresti
> Il routing tra le interfacce avviene in modo automatico per default,
> impostare una regola di routing e non di NAT), il NAT te lo fa poi il
> router Telecom verso la WAN.
se non natta anche sul firewall non va da nessuna parte.
> router Telecom verso la WAN.
Per evitare il nat sul firewall dovrebbe impostare una rotta statica
sul router visto che non conosce di certo l'indirizzamento che c'�
lato lan sul firewall.
L'indirizzo em@il non � da considerarsi pubblico,
Valerio Vanni
Aug 30, 2012, 7:55:35 PM8/30/12
to
On Wed, 29 Aug 2012 19:19:22 +0200, Mirko Borsari <ne...@bsi-net.it>
wrote:
>> - Creo la regola di NAT many:1 dando come Incoming Interface = WAN1,
>> Original IP/subnet range: LAN1, Mapped IP/subnet range: LAN1.
>> Cos� dovrebbe funzionare dico bene?
>
>ma la vecchia e semplice modalit� SUA, senza tirare in ballo il full
>feature (che visti gli indirizzamenti non ti serve) non c'� pi�??
Non � pi� chiamata cos�, le nuove versioni sono state rivoluzionate
abbastanza. Ho apprezzato, ad esempio, che si possono definire degli
host (nonch� dei gruppi di host) in maniera da non dovere cambiare
tutte le regole del firewall.
Io ne gestisco uno ma ha una configurazione diversa, usa PPPoE con un
modem all'esterno.
E' in lavorazione e a 300 Km di distanza quindi non posso farci test
sopra.
Per� il SUA dovrebbe essere attivo di default, la wan1 dovrebbe fare
parte del "default wan trunk". Se questo trunk non � stato toccato la
wan1 dovrebbe fare da rete di default per l'uscita.
@Macchianera: hai provato a rimuovere tutte le regole di NAT?
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
wrote:
>> - Creo la regola di NAT many:1 dando come Incoming Interface = WAN1,
>> Original IP/subnet range: LAN1, Mapped IP/subnet range: LAN1.
>
>ma la vecchia e semplice modalit� SUA, senza tirare in ballo il full
>feature (che visti gli indirizzamenti non ti serve) non c'� pi�??
Non � pi� chiamata cos�, le nuove versioni sono state rivoluzionate
abbastanza. Ho apprezzato, ad esempio, che si possono definire degli
host (nonch� dei gruppi di host) in maniera da non dovere cambiare
tutte le regole del firewall.
Io ne gestisco uno ma ha una configurazione diversa, usa PPPoE con un
modem all'esterno.
E' in lavorazione e a 300 Km di distanza quindi non posso farci test
sopra.
Per� il SUA dovrebbe essere attivo di default, la wan1 dovrebbe fare
parte del "default wan trunk". Se questo trunk non � stato toccato la
wan1 dovrebbe fare da rete di default per l'uscita.
@Macchianera: hai provato a rimuovere tutte le regole di NAT?
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Macchianera
Aug 31, 2012, 2:50:53 AM8/31/12
to
> Quello che vuoi fare tu lo puoi fare semplicemente configurando la WAN1
> e la LAN1 dello ZyWall, una volta che hai impostato IP/netmask/gateway e
> DHCP, hai finito.
eh mi piacerebbe... :-)
> e la LAN1 dello ZyWall, una volta che hai impostato IP/netmask/gateway e
> DHCP, hai finito.
> Il routing tra le interfacce avviene in modo automatico per default,
> quindi NON DEVI nattare niente (anche perchᅵ al limiti dovresti
> impostare una regola di routing e non di NAT), il NAT te lo fa poi il
> router Telecom verso la WAN.
Se non faccio la nat non uscirᅵ mai un indirizzo ad es. 10.0.0.1 verso il
> quindi NON DEVI nattare niente (anche perchᅵ al limiti dovresti
> impostare una regola di routing e non di NAT), il NAT te lo fa poi il
> router Telecom verso la WAN.
router che ᅵ 192.168.1.x
> Se tu configurassi una LAN 2, questa raggiungerebbe tranquillamente
> tutti gl IP della WAN1 e della LAN1 senza dover impostare nulla (questo
> ᅵ il default).
Fatto 20 volte il wizard ma non si passa...
> tutti gl IP della WAN1 e della LAN1 senza dover impostare nulla (questo
> ᅵ il default).
> Non ho poi ben capito se ti ᅵ chiaro che puoi usare degli indirizzi tipo
> WAN1 192.168.1.0/24 (sm 255.255.255.0)
> LAN1 192.168.2.0/24 (sm 255.255.255.0)
> LAN2 192.168.3.0/24 (sm 255.255.255.0)
Si si mi ᅵ chiaro
> WAN1 192.168.1.0/24 (sm 255.255.255.0)
> LAN1 192.168.2.0/24 (sm 255.255.255.0)
> LAN2 192.168.3.0/24 (sm 255.255.255.0)
Il fatto ᅵ, che non riesco a impostargli(ieri sera volevo mettermici ma
purtroppo non sono riuscito a provare) la regola che faccia da anello tra la
rete interna e il router, perchᅵ dall'interno raggiungo il zywall, dalla wan
tramite il mio router pure...manca il link tra le due. Lo so che deve essere
una sciocchezza perchᅵ ᅵ impossibile che sia cosᅵ difficile ma,accidenti, non
riesco a trovarla...
Ora questo we cercherᅵ di fare diverse prove perchᅵ mi pare impossibile,
pensare che 4-5 anni fa gli avevo installato un safe@office e ci avevo messo 1
minuto a configurarlo...boh...
> etc..
>
> A presto,
> YUS
Grazie :-)
Mirko Borsari
Aug 31, 2012, 3:19:03 AM8/31/12
to
Ciao Macchianera in data Fri, 31 Aug 2012 06:50:53 GMT, hai scritto:
>> impostare una regola di routing e non di NAT), il NAT te lo fa poi il
>> router Telecom verso la WAN.
> Se non faccio la nat non uscir� mai un indirizzo ad es. 10.0.0.1 verso il
>> impostare una regola di routing e non di NAT), il NAT te lo fa poi il
>> router Telecom verso la WAN.
> router che � 192.168.1.x
per raggiungere la 192 non ti serve il nat basterebbe del routing
puro, il problema � che va impostato anche il router.
Il nat sul firewall in questo caso ti serve solo per evitare di
mettere mano al router. Il "vero" NAT te lo fa gi� il router...
>> Se tu configurassi una LAN 2, questa raggiungerebbe tranquillamente
>> tutti gl IP della WAN1 e della LAN1 senza dover impostare nulla (questo
> Fatto 20 volte il wizard ma non si passa...
bhe allora intanto la lettura del manuale sarebbe una buona cosa da
fare prima di iniziare.
secondariamente se tu dai gli indirizzi alle interfacce perlomeno da
un pc con gateway impostato devi riuscire a pingare la wan.
Chiaro che devi avere una regola che permette il traffico lan-to-wan e
la wan deve rispondere al ping.
> Il fatto �, che non riesco a impostargli(ieri sera volevo mettermici ma
> purtroppo non sono riuscito a provare) la regola che faccia da anello tra la
> rete interna e il router, perch� dall'interno raggiungo il zywall, dalla wan
> tramite il mio router pure...manca il link tra le due. Lo so che deve essere
spetta nattimo... ma la route di default l'hai messa???
Mirko Borsari
Aug 31, 2012, 3:20:28 AM8/31/12
to
Ciao Valerio Vanni in data Fri, 31 Aug 2012 01:55:35 +0200, hai
scritto:
> Per� il SUA dovrebbe essere attivo di default, la wan1 dovrebbe fare
> parte del "default wan trunk". Se questo trunk non � stato toccato la
> wan1 dovrebbe fare da rete di default per l'uscita.
>
> @Macchianera: hai provato a rimuovere tutte le regole di NAT?
rileggendo adesso un suo post mi viene il dubbio che manchi la default
route... :-)
L'indirizzo em@il non � da considerarsi pubblico,
scritto:
> Per� il SUA dovrebbe essere attivo di default, la wan1 dovrebbe fare
> parte del "default wan trunk". Se questo trunk non � stato toccato la
> wan1 dovrebbe fare da rete di default per l'uscita.
>
> @Macchianera: hai provato a rimuovere tutte le regole di NAT?
route... :-)
L'indirizzo em@il non � da considerarsi pubblico,
Macchianera
Aug 31, 2012, 3:31:00 AM8/31/12
to
> rileggendo adesso un suo post mi viene il dubbio che manchi la default
> route... :-)
Mi hai fatto accendere la spia! =:-o Ricordo di aver impostato qualcosa ma non
> route... :-)
so se prima o dopo e tanto meno se l'ho salvata/resettata/ecc...verifico e
faccio sapere!
Grazie ;-D
YUS
Aug 31, 2012, 4:29:25 AM8/31/12
to
Il 30/08/2012 21:52, Mirko Borsari ha scritto:
> Ciao YUS in data Thu, 30 Aug 2012 18:05:24 +0200, hai scritto:
>
>
>> Il routing tra le interfacce avviene in modo automatico per default,
>> quindi NON DEVI nattare niente (anche perch� al limiti dovresti
>> impostare una regola di routing e non di NAT), il NAT te lo fa poi il
>> router Telecom verso la WAN.
>
> se non natta anche sul firewall non va da nessuna parte.
> Per evitare il nat sul firewall dovrebbe impostare una rotta statica
> sul router visto che non conosce di certo l'indirizzamento che c'�
> lato lan sul firewall.
Sull'USG20 � tutto impostato di default, non serve fare nulla oltre a
> Ciao YUS in data Thu, 30 Aug 2012 18:05:24 +0200, hai scritto:
>
>
>> Il routing tra le interfacce avviene in modo automatico per default,
>> quindi NON DEVI nattare niente (anche perch� al limiti dovresti
>> impostare una regola di routing e non di NAT), il NAT te lo fa poi il
>> router Telecom verso la WAN.
>
> se non natta anche sul firewall non va da nessuna parte.
> Per evitare il nat sul firewall dovrebbe impostare una rotta statica
> sul router visto che non conosce di certo l'indirizzamento che c'�
> lato lan sul firewall.
quanto ho spiegato.
Ciao
YUS
YUS
Aug 31, 2012, 4:39:37 AM8/31/12
to
Il 31/08/2012 08:50, Macchianera ha scritto:
> Si si mi ᅵ chiaro
No, non lo ᅵ.
> Si si mi ᅵ chiaro
Sull'USG20 le regole di routing fra le interfacce e una configurazione
base per il firewall sono giᅵ impostate.
Fai un reset del router - a router acceso tieni premuto per 15sec il
pulsante reset sul retro, e tornerai in configurazione di default.
Assegna il DHCP alla WAN1 se hai il DHCP sul router, oppure un indirizzo
IP statico con sm 255.255.255.0 .
(es. 192.168.1.10 - 255.255.255.0 )
Alla tua interfaccia di lan sulla porta P2 assegna un indirizzo tipo
192.168.2.x con sm 255.255.255.0, che farᅵ da gateway per i tuoi pc lato
LAN, oppure imposta il DHCP.
(es. 192.168.2.254 - 255.255.255.0) (254 perchᅵ il DHCP parte da 1 con
pool 200, cosᅵ puoi evitare di modificare altro che non sia l'ip)
Attento.. devi usare la porta P2 (che ᅵ la prima delle 4 porte LAN) se
hai configurato l'interfaccia LAN1, a meno che non cambi l'assegnazione
delle porte su interfaces/port roles.
Non configurare nient'altro, NAT/SNAT/FIREWALL, e vedrai che come
configurazione base sarai operativo. Poi puoi complicarti la vita finchᅵ
vuoi, ma questa configurazione deve funzionare.
Ho configurato ieri un USG20W (quello con anche l'interfaccia wireless),
in 15 minuti ho impostato WAN, 3 interfacce di lan e la WLAN e la
navigazione, nonchᅵ il routing fra le interfacce era giᅵ funzionante.
Ti consiglio di aggiornare al firmware 3.0 se giᅵ non lo monta.
Poi, se vuoi e HAI motivo per farlo, affina la configurazione come piᅵ
ti aggrada.
YUS
Valerio Vanni
Aug 31, 2012, 10:39:16 AM8/31/12
to
On Fri, 31 Aug 2012 09:20:28 +0200, Mirko Borsari <ne...@bsi-net.it>
wrote:
tutto arriva dalle impostazioni "trunk".
Comunque (sperando che non mi stia sfuggendo qualcosa) quoto YUS: con
una configurazione di base (configurazione delle interfacce WAN e
LAN1) dovrebbe gi� riuscire a uscire su Internet.
wrote:
>> @Macchianera: hai provato a rimuovere tutte le regole di NAT?
>
>rileggendo adesso un suo post mi viene il dubbio che manchi la default
>route... :-)
In zona "routing" sull'interfaccia web non viene definito niente, il
>
>rileggendo adesso un suo post mi viene il dubbio che manchi la default
>route... :-)
tutto arriva dalle impostazioni "trunk".
Comunque (sperando che non mi stia sfuggendo qualcosa) quoto YUS: con
una configurazione di base (configurazione delle interfacce WAN e
LAN1) dovrebbe gi� riuscire a uscire su Internet.
Mirko Borsari
Aug 31, 2012, 11:43:42 AM8/31/12
to
Ciao Valerio Vanni in data Fri, 31 Aug 2012 16:39:16 +0200, hai
scritto:
>>rileggendo adesso un suo post mi viene il dubbio che manchi la default
>>route... :-)
>
> In zona "routing" sull'interfaccia web non viene definito niente, il
> tutto arriva dalle impostazioni "trunk".
dove venga definito non lo so, non conosco i nuovi zyxel, ma da
qualche parte una default route (o il default gateway) bisogner� pur
metterla...
scritto:
>>rileggendo adesso un suo post mi viene il dubbio che manchi la default
>>route... :-)
>
> In zona "routing" sull'interfaccia web non viene definito niente, il
> tutto arriva dalle impostazioni "trunk".
qualche parte una default route (o il default gateway) bisogner� pur
metterla...
Macchianera
Sep 1, 2012, 11:30:10 AM9/1/12
to
> Non configurare nient'altro, NAT/SNAT/FIREWALL, e vedrai che come
> configurazione base sarai operativo. Poi puoi complicarti la vita finchᅵ
> vuoi, ma questa configurazione deve funzionare.
>
> Ho configurato ieri un USG20W (quello con anche l'interfaccia wireless),
> in 15 minuti ho impostato WAN, 3 interfacce di lan e la WLAN e la
> navigazione, nonchᅵ il routing fra le interfacce era giᅵ funzionante.
>
> Ti consiglio di aggiornare al firmware 3.0 se giᅵ non lo monta.
>
> Poi, se vuoi e HAI motivo per farlo, affina la configurazione come piᅵ
> ti aggrada.
>
> YUS
Che dire...ci ho messo 20 secondi...non credevo che facesse tutto da
> configurazione base sarai operativo. Poi puoi complicarti la vita finchᅵ
> vuoi, ma questa configurazione deve funzionare.
>
> Ho configurato ieri un USG20W (quello con anche l'interfaccia wireless),
> in 15 minuti ho impostato WAN, 3 interfacce di lan e la WLAN e la
> navigazione, nonchᅵ il routing fra le interfacce era giᅵ funzionante.
>
> Ti consiglio di aggiornare al firmware 3.0 se giᅵ non lo monta.
>
> Poi, se vuoi e HAI motivo per farlo, affina la configurazione come piᅵ
> ti aggrada.
>
> YUS
"preimpostato" in mezzo passaggio a questo modo...mi sono complicato la vita
inutilmente pensando di dover ravanare chissᅵ cosa...
Grazie mille e a te e tutti quelli che mi hanno dato consigli!
Buon we :-)
meddix tuticus
Sep 2, 2012, 1:40:04 AM9/2/12
to
Il 01/09/2012 17:30, Macchianera ha scritto:
> Che dire...ci ho messo 20 secondi...non credevo che facesse tutto da
> "preimpostato" in mezzo passaggio a questo modo...mi sono complicato la vita
> inutilmente pensando di dover ravanare chissᅵ cosa...
alleluia!
> Che dire...ci ho messo 20 secondi...non credevo che facesse tutto da
> "preimpostato" in mezzo passaggio a questo modo...mi sono complicato la vita
> inutilmente pensando di dover ravanare chissᅵ cosa...
0 new messages