Μετάβαση από bridge mode (pppoe) σε DMZ

(δεν νομίζω ότι υπάρχει κάποια καταλληλότερη κατηγορία ή έστω δεν την είδα, γι αυτό το βάζω στο καφενείο. Αν υπάρχει κάποια καταλληλότερη, παρακαλώ μετακινήστε το νήμα. Ίσως θα έπρεπε να γίνει μία κατηγορία για servers ή κάτι παραπλήσσιο)

Στο σπίτι μου από την πρώτη στιγμή έβαλα ένα rack που είναι το “ηλεκτρονικό κέντρο” του σπιτιού. Εκεί, συν τοις άλλοις φτάνει το adsl, βρίσκεται το adsl modem, ο linux server / router του σπιτιού, ο fileserver κτλ κτλ. Από την πρώτη στιγμή επέλεξα τα adsl modem / routers που δίνουν οι διάφοροι internet providers να τα χρησιμοποιώ ως σκέτα modems (σε bridge mode) και το pppoe να το κάνει ο linux server μου. Δηλαδή, σχηματικά, συνδέω το eth1 (ας πούμε 192.168.1.1) του linux server με το adsl modem, τρέχω ppp(oe) στο linux και “παίρνω” ένα interface στο linux ppp0, μέσω του οποίου κάνω routing, masquerading κτλ κτλ (συγχωρνάτε μου την εξαπλούστευση).

Το παραπάνω setup κατά καιρούς μου δημιούργησε χοντρά προβλήματα με διάφορους isps που δίναν modems που δεν μπαίναν σε bridge mode, με modems που όταν αναβαθμίζονταν “έχαναν” το bridge mode και άλλα τέτοια ωραία. Πραγματικό χτικιό !!

Anyway, μετά από κοντά 2 χρόνια αναμονής ήρθε το πλήρωμα του χρόνου μέσα στις επόμενες βδομάδες να σκαφτεί ο δρόμος μπροστά από το σπίτι μου και να μπουν οι οπτικές ίνες που εναγωνίως περιμένω. Το θέμα είναι ότι από όσο ξέρω ο provider δίνει modem που δεν προσφέρει bridge mode. Οπότε πρέπει να αλλάξω το setup μου.

Το double nat μου τη δίνει αφάνταστα ως λογική και concept. Οπότε σκέφτομαι ως εναλλακτική το DMZ - θέλω να ρωτήξω όμως και εδώ, επειδή δεν το έχω κάνει / δει ποτέ στην πράξη, μην τύχει και μου ξεφεύγει κατιτίς χονδρόν.

Στην πράξη, στο modem θα ορίσω ως DMZ το 192.168.1.1 (από το παραπάνω εξαπλουστευμένο παράδειγμα - την ip του NIC δηλαδή του linux server που θα είναι συνδεδεμένη με το modem), οπότε όλο το inbound traffic θα προωθείται ως έχει (αφιλτράριστο, χωρίς nat, firewalls και τις άλλες παπαγιές) στον server) - στον σέρβερ θα ανοίξω πόρτες, θα κάνω port forwarding κτλ κτλ (όχι στο modem!!). Ομοίως, σε ό,τι αφορά στο outbound traffic, το nat θα το κάνει το λίνουξ και θα το προωθεί όλο στο modem το οποίο δεν θα κάνει nat και αυτό και απλά θα τα στέλνει όλα ως έχουν στο internet.

Τα παραπάνω που λέω ισχύουν ή είναι κοτσάνες που φαντασιώνεται το κούφιο μου κεφάλι? Αυτό δεν είναι το DMZ που κάνουν τα διάφορα adsl (fiber κτλ) modems?

Άλλος τρόπος, για να γλυτώσω double nat κτλ (πέραν της static ip φυσικά) υπάρχει?

Ευχαριστώ εκ προοιμίου για το feedback!

Εδω στον Καναδα, που ειμαι ο παροχεας μου μου εχει δωσει FibreOptics και ενα modem που μπαινει σε bridged mode. Μονο μεσω restart χανεται το bridged mode. Στα updates ειμαστε οκ. Με το modem εχω συνδεσει ενα PC που τρεχει το IPFire με 3 gigabit καρτες δικτυου και μια wifi.

Στην πρωτη συνδεεται το modem, στην δευτερη το κανονικο wired δικτυο, στιν τριτη το DMZ και το WIFI που παιζει μονο του. Το εσωτερικο μου δικτυο χωριζεται σε 3 κομματια… 192.168.x.1-254 το κανονικο, 192.168.y.1-254 το wifi και 192.168.z.1-254 το DMZ στο οποιο δεν τρεχει DHCP.

Ισως ενα παρομοιο setup κανει και για τις δικες σου αναγκες.

Από όσο αντιλαμβάνομαι, όχι. Εσύ παίζεις με bridged mode, οπότε μία κάρτα του μηχανήματός σου παίρνει την εξωτερική ip - σε μένα αυτό δεν θα μπορεί να γίνει. Όλες οι κάρτες του σέρβερ μου θα έχουν εσωτερικές ip - εξωτερική ip θα έχει μόνο το modem.

Το FibreOptics Modem που σου δινει ο παροχεας σου… εχει μονο μια θυρα ethernet? H 4 σαν τους κανονικους router? Αν ειναι 4 τοτε ορισε στις μια απο τις 4 ενα VLAN και ορισε το αυτο σαν το DMZ που θες να εχεις. Σε αντιθετη περιπτωση ισως το double nat (που υποθετω οτι αναφερεσαι σε δυο ΝΑΤ σε σειρα) να ειναι η μονη λυση για το setup σου.

Εαν το FibreOptics modem ειναι της Alcatel-Lucent παιρνει και παραπαιρνει bridged mode (εκτως εαν εχουν πειραξει το firmware απο τον παροχεα σου). Οποτε προτεινω να μαθεις τι FibreOptics modem θα σου δοσουν (μαρκα και μοντελο) και να βρεις το manual που ειμαι σιγουρος οτι βρισκεται καπου στο Internet… και να δεις τι υποστιριζει…

Επειδή μου αρέσει να διερευνώ τις εναλλακτικές, ας υποθέσουμε το bridge είναι out of the question.

Υπάρχει τρόπος το nat και pat και firewalling να το κάνω εξολοκλήρου στο linux server και καθόλου στο modem?

Από όσο αντιλαμβάνομαι, το double nat για το outbound traffic χωρίς bridge δεν μπορώ να το αποφύγω με τίποτα.

Υπάρχει κάποια άλλη εναλλακτική πέραν του DMZ (που όμως θα έχει το double nat στο outbound traffic)?

Νομιζω οτι αυτο το θεμα πρεπει να το δεις λιγο πιο σφαιρικα… για να μειωσεις την εκθεση του δικτυου σου στον εξω κοσμο… (αυτο που λενε οι αγγλοφωνοι φιλοι μας ως attach surface) θα πρεπει να δεις πρωτα τι servers θες να τρεξεις.

Αν οι μονοι servers που θα τρεχουν στο DMZ ειναι web based εφαρμογες και ο εκαστοτε SSH server… και δεν τρεχει κατι αλλο περιεργο… πχ τιποτα OpenVPN/Wireguard ή αλλου ειδους Server… τοτε θεωρητικα θα μπορουσες να τρεξεις Virtual Machine που να τρεχει ενα pfSense ή IPFire ή OpenWRT και να δεσμευεις την μια απο τις δυο ή περισσοτερες ethernet καρτες στον server και να συνδεσεις εκει το DMZ σου. Στην ουσια θα διμιουργησεις ενα Virtual Router και επομενως θα παρεις και το βαρος του double nat.

Το DMZ σου δινει ενα περιβαλλον πιο σωστο για servers γι’αυτο ειναι και προτιμοτερο.

Εχω φτιαξει ενδεικτικα 2 γραφικα… ενα με σεναριο χωρις bridged mode και χωρις DMZ

και το αλλο χωρις bridged mode αλλα με Virtual Router που κανει το DMZ.

Τα σημεια με τους κοκκινους κυκλους με το PF ειναι εκει που πρεπει να κανεις port forward για να βγει η υπηρεσια στον αερα.

Ελπιζω να ειναι ακριβεις και να σε βοηθησουν να αποφασισεις τι θες να κανεις στην περιπτωση σου.

Τσου. Εφοσων παιρνεις εξωτερικη IP απο το fibreoptics modem πρεπει να κανεις ΝΑΤ και port forwarding μια φορα εκει και οσα routers βαζεις μεταξυ εσενα και του modem τοσα PF πρεπει να κανεις.

δεν το ξερω το θεμα αλλά θα ηθελα να πω κατι ψιλοασχετο.
αυτα τα setup θα εχουν κανα θεμα με τη voip τηλεφωνια που αναμενεται να γινει καθολικη τουλαχιστον στην ευρωπαϊκη ενωση; γιατι συχνα τα διαφορα προβληματα που παρουσιαζοντε στην voip τηλεφωνια εχουν να κανουν με τα nat και τα pat (πχ one way audio), για αυτο ρωταω…

Δεν εχω δοκιμασει σε παρομοιο setup ουτε να στεισω VoIP server αλλα ουτε και να συνδεθω με καποιον VoIP server. Στο δικο μου το setup που χρησιμοποιω το bridged mode του modem μου, το να συνδεθω σε καποιον VoIP server δεν ηταν προβληματικο… τωρα για να στησω FreePBX ή Asterisk εκει υποθετω οτι θα ειναι λιγο διαφορετικα τα πραγματα και για μια σωστη εγκατασταση των εν λογω servers θα πρεπει επησεις να τρεχει STUN Server νομιζω για την αντιμετωπηση προβληματων με nat ή pat.