Gestione NAT tra Zywall 35 e Router ADSL

[Poker32]

ciao, ho visto che state combattendo con questo firewall e vorrei farvi una domanda.

devo installare uno zywall35 per creare questa topologia:

Internet <-> [Router Adsl Cisco] <-> [Zywall35 Wan1] <-> [Switch Lan]
Internet <-> [Router Adsl Telindus] <-> [Zywall35 Wan2] <-> [Switch Lan]

Ancora non ho potuto provare ma leggendo sul manuale non sono riuscito a capire come configurare.

Ogni Router ha il suo IP Pub. e non ho a disposizione altri IP Pub.
Quindi sulle porte Lan dei Router e sulle Wan dello Zywall devo mettere IP Pub delle stesse classi:

Router Cisco 10.0.1.1/24 - Zywall35 Wan1 10.0.1.2/24
Router Telindus 10.0.2.1/24 - Zywall35 Wan2 10.0.2.2/24

Il mio dubbio è sulla configurazione del NAT. Vorrei toccare il meno possiblie i due router.
1-posso configurare il firewall per non fare NAT e configurare solo il router per farlo?
2-sul sito zyxel c'è un esempio che imposta il NAT sia sul Firewall che sul Router.

Quale soluzione mi consigliate?

[seclimar]

perche' stai mettendo i due firewall ?
non ti basta il router con il NAT e i firewalls interni ?

[Poker32]

forse non sono stato chiaro...

c'è solo un firewall ma con due porte WAN

[albgen]

Originariamente inviato da Poker32
ciao, ho visto che state combattendo con questo firewall e vorrei farvi una domanda.

devo installare uno zywall35 per creare questa topologia:

Internet <-> [Router Adsl Cisco] <-> [Zywall35 Wan1] <-> [Switch Lan]
Internet <-> [Router Adsl Telindus] <-> [Zywall35 Wan2] <-> [Switch Lan]

Ancora non ho potuto provare ma leggendo sul manuale non sono riuscito a capire come configurare.

Ogni Router ha il suo IP Pub. e non ho a disposizione altri IP Pub.
Quindi sulle porte Lan dei Router e sulle Wan dello Zywall devo mettere IP Pub delle stesse classi:

Router Cisco 10.0.1.1/24 - Zywall35 Wan1 10.0.1.2/24
Router Telindus 10.0.2.1/24 - Zywall35 Wan2 10.0.2.2/24

Il mio dubbio è sulla configurazione del NAT. Vorrei toccare il meno possiblie i due router.
1-posso configurare il firewall per non fare NAT e configurare solo il router per farlo?
2-sul sito zyxel c'è un esempio che imposta il NAT sia sul Firewall che sul Router.

Quale soluzione mi consigliate?

1-credo che si può fare, spegni i dhcp del zywall e utilizza quello del router quindi ti basta solo il nat del router e hai eliminato quello del zywall

[Poker32]

vorrei utilizzare il nat del fw per nattare un IP di una LAN su un IP della dmz.

ho visto sul manuale, ma sembra che il nat si possa fare solo sulle wan...

mi date conferma???

[albgen]

Originariamente inviato da Poker32
vorrei utilizzare il nat del fw per nattare un IP di una LAN su un IP della dmz.

ho visto sul manuale, ma sembra che il nat si possa fare solo sulle wan...

mi date conferma???

hai visto male.
non si capisce quello che vuoi fare. prima dici che vuoi usare solo 1 dhcp per eliminare di fare 2 volte nat poi dici che vuoi usare il fw perchè hai una dmz all'interno della lan.
la dmz lo fai lo stesso anche se non c'è il dhcp del fw, solo che devi dare ip statici(lo fa il router) al server in dmz...

[Poker32]

hai ragione, forse mi sono spiegato male...

il NAT che dicevo all'inizio mi serve per andare su internet.
Quindi alla fine penso proprio che si farà sul router.
Entrambi i router avranno configurato il NAT con i loro IP pub.

Il sencondo problema, quello del NAT sul firewall, è il seguente:
su questa LAN dove devo installare il FW, devo inserire anche un proxy per la navigazione web, situato nella DMZ (con IP privati).

Nelle macchine della LAN devo configurare il proxy con (IP o Hostname).
Volevo sapere se era possibile utilizzare la seguente configurazione:

DMZ: 10.10.10.0/24
LAN: 192.168.1.0/24

IP Proxy: 10.10.10.2
IP Client Lan: 192.168.1.1 -192.168.1.254

Vorrei settare sui client l'IP 192.168.1.254 come proxy e poi far nattare al firewall questo ip sul 10.10.10.2 della dmz che corrisponde al vero ip del proxy.

Tutto questo problema nasce dal fatto che il firwall non viene inserito subito nella LAN ma solo dopo qualche settimana. Quindi in un primo momento vorrei configurare il Proxy con IP 192.168.1.254 (e quindi anche i client) e dopo aver inserito il FW cambiare il tutto come spiegato prima senza dover intervenire sui client.

[albgen]

bel casino !
cmq, il nat lo fai con una regola many-to-one.
inserisci delle regole che bloccano tutto il traffico eccetto quello che va alla proxy.
perchè hai messo il proxy nella dmz ? chi protegge il proxy da attacchi esterni ?

[Poker32]

si, non è una vera e propria dmz, è più una lan dedicata ai server.
la porta del firewall sarà per una lan non DMZ.

ma quindi il nat lo posso fare tra una lan e l'altra??

[albgen]

Originariamente inviato da Poker32
si, non è una vera e propria dmz, è più una lan dedicata ai server.
la porta del firewall sarà per una lan non DMZ.

ma quindi il nat lo posso fare tra una lan e l'altra??

certi che si può fare, lo puoi fare quante volte vuoi(nel senso se hai tante sottoreti in cascata) !! se usi applicazioni voip all'interno della lan credo che avrai problemi.
paghi un po in termini di tempo in quanto si fa due volte il nat ma per la navigazione www non te ne accorgi ..