שלום,
יש לי רשת עם firewall של צ'ק פוינט,
לfirewal מחובר נתב edimax 604.
ההגדרות פועלות כך
firewal : 192.168.2.4
router: 192.168.2.1
ושני מחשבים...
192.168.2.2/3
שאני מגדיר את ה gateway במשבים אל הfirewall הכל עובד תקין.
אבל שאני מנסה להגדיר את הנתב בתור ה gateway זה פשוט לא עובד.
יש פינגים ברשת, אבל אני לא מצליח לצאת החוצה.
השאלה היא, מה אני צריך להגדיר בfirewal בקטגורית routes
יש שם, הגדרות של סבנט + איי פי + cost...
ההגדרה הדיפולטית היא של להפנות הכל (מלבד מה שנתפס כנסיון פריצה) אל הרשת הפנימית
wan to lan.... לא רשום איי פי,
איך אני יכול להגדיר את הפיירוואל להעביר לנתב מה שבא מבחוץ, ולגרום לנתב להעביר אל הפיירואל כל מה שבא מבפנים...
כל פרט שתצטרכו אני יעלה לכאן.

God created the animals, We created God.

התיאור שלך לא הגיוני. אם דרך הפיירוול הם מצליחים לצאת, דרך הנתב ודאי שהם צריכים לצאת. (כמובן שאני מניח שהם על אותו סגמנט פיזי, גם הפיירוול וגם הנתב, ואת זה אני עושה בגלל שאני רואה ששמת את שניהם באותו network לוגי...)

אבל... מה אתה בעצם מנסה לעשות?

וכמובן, האם אתה מודע לכך שהדרך הנכונה לעשות שפיירוול ישפיע על הרשת היא שהכל יעבור דרכו _בהכרח_ (רשת מחוברת לפיירוול בכרטיס רשת אחד, פיירוול מחובר ישירות לנתב בכרטיס רשת השני שלו), ולא שכל אחד יוכל לשנות את ה DGW שלו ולעקוף את ה FW, כן?

נמאס לכם לזכור סיסמאות? לחצו כאן!

תראה, הראוטר מחובר ישירות לפיירוואל, המחשבים מחוברים לראוטר...
המחשבים מוגדרים ככה :
ip address: 192.168.2.2/3
subnet: 255.255.255.0
gateway: 192.168.2.4
אבל אני לא רוצה שהם יפנו לפיירוואל... אני רוצה שכל הבקשות ברשת הפנימית החוצה יעברו דרך הנתב
אל הפיירוואל וכל הבקשות שעוברות את החוקים של הפיירוואל יגיעו אל הראוטר שינתב אותם פנימה.

מבחוץ
WAN -> Firewall -> Router -> Computer

מבפנים
computer -> Router -> Firewall -> WAN

מה שקורה כרגע זה שהם פונים "ישירות" לFirewall בתור הgateway שלהם...
אם לא הסברתי את עצמי טוב, או שאתה צריך עוד פרטים תגיד לי.

God created the animals, We created God.

אם הפיירוול הוא נתב ברירת המחדל שלהם, וזה עובד, זה אומר שהפיירוול כבר נמצא בנתיב (וכנראה מחובר לנתב, אחרת לא היה אינטרנט). היכן הבעייה?

נ.ב. כיוון שאני כבר יודע שאני עלול להצטרך את זה בעתיד, האם יש מצב שהאינטרנט שלך הוא בכבלים על גבי DHCP? (מה שהם מכנים "חיבור MPLS"?), או לחילופין, חיבור Ethernet ישירות לספק? אם כן, תוכל לחסוך את הנתב לחלוטין...

נמאס לכם לזכור סיסמאות? לחצו כאן!

זה להגדיר למחשבים
gateway = router
ברור לי שאם אני מגדיר למחשב שה-firewall הוא gateway הם עוברים דרך הראוטר.. אבל אז בעצם אני עושה ממנו סתם swich.
אני מצרף לוג של ethreal שאני מגדיר את הראוטר כ-gateway.
https://2006-uploaded.fresh.co.il/2...06/83596021.cap

החיבור שלי הוא ADSL
הקונפיגורציה היא PPPOE כאשר ה-firrewall מחובר למודם ומחייג.

God created the animals, We created God.

אם הפיירוול מחייג, איך אתה רוצה שהמשתמשים יצליחו לצאת דרך הראוטר (שהוא לא באמת ראוטר אם הפיירוול מחייג) ?

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא הבנתי מה הבעיה פה
תקן אותי אם אני טועה, אני אשמח.

הפיירוואל שולח "פקודה" למודם, שיחייג.
מקבל תשובה יודע שהוא מחובר ויש לו איי פי WAN
המחשב שלי לא יודע מי נגד מי..
הוא רק יודע שהוא מעביר את הבקשות שלו ל-gateway שזה אני רוצה שיהיה הראוטר
הראוטר מקבל את המידע, מעביר אותו לפיירוואל.. ( שבודק אם המידע הזה מאושר לפי החוקים שהגדרו לו)
ומעביר את זה החוצה........
וזה מה שאני רוצה שיקרה.
אם תרצה אני אצרף תמונה של ההגדרה הדיפולטית של ה-firewall לגבי ניתובים אולי תוכל לעזור לי להגדיר שם. ולהבין יותר.

God created the animals, We created God.

אם הפיירוול מחייג, אז המודם לא. הראוטר שלך הוא לא ראוטר, אלא סתם מודם ADSL שמשמש כגשר בין הפיירוול שלך לבין שרת ההזדהות. אין כזה דבר "הפיירוול שולח לראוטר פקודה לחייג".

זה אומר שמי שמקבל IP מספק האינטרנט זה הפיירוול, לא ה"ראוטר" שלך.

ושוב אני אשאל - למה אתה רוצה לחבר את האנשים דרך הראוטר...

נמאס לכם לזכור סיסמאות? לחצו כאן!

ציטוט:

במקור נכתב על ידי שימי אין כזה דבר "הפיירוול שולח לראוטר פקודה לחייג". זה אומר שמי שמקבל IP מספק האינטרנט זה הפיירוול, לא ה"ראוטר" שלך. ושוב אני אשאל - למה אתה רוצה לחבר את האנשים דרך הראוטר...

דיברתי עם כמה אנשי תקשרות והם טוענים שהמחשבים צריכים להיות מוגדרים ב-gateway אל הראוטר ולא אל ה-firewall.
ואני דיברתי על זה שה-firewall מחובר אל המודם, ולא פיירוואל לראוטר.
יש לי מודם, ראוטר, ופיירוואל... כל כך זה מכשיר נפרד. זה לא מודם ראוטר...

God created the animals, We created God.

אבל נשמע שהראוטר שלך לא עושה כלום. אם לא הוא מחייג, ויש לך גם מודם, אז מה בעצם הראוטר עושה כאן? כלום... אתה יכול להגדיר את המודם שלך כ Bridge ולחבר את הפיירוול ישירות לשם. אין שום צורך בראוטר.

לגבי "אנשי התקשורת" - או שאתה לא הבנת אותם, או שהם לא אנשי תקשורת. ה gateway אכן צריך להצביע על משהו שיודע לנתב את כל התקשורת של המחשבים החוצה - וקופסא שכתובה עליה המילה "router" זה לא המוצר היחיד בייקום שעושה את זה. אין שום בעייה שהנתב יהיה פיירוול, ולמעשה, בארגונים, לרוב זה כך...

נמאס לכם לזכור סיסמאות? לחצו כאן!

שימי, זה שלא כל קופסא שכתוב עליה router יכולה לעשות ראוטינג אני יודע.
העניין שמעניין אותי למה אני לא יכול ליצור את הניתוב הזה
הנתב מוגדר עם איי פי, ופונה לפיירוואל בתור שרת DNS וגם בתור gateway
המחשבים מוגדרים אל הנתב... והוא מוגדר לראוטר.
למה זה לא עובד ?
יש לך רעיונות.. זה מסקרן אותי לדעת למה זה לא עובד,
למה צריך את זה, זה שאלה אחרת.. כרגע מעניין אותי לדעת איך לגרום לזה לעבוד ולמה זה לא עובד...
צירפתי תמונה מסודרת של הרשת, אולי ויז'ואלית יהיה לך יותר קל להבין אותי.

God created the animals, We created God.

כדי להסביר לך, אני רוצה להכיר את הנתב. חיפשתי באתר של Edimax ובגוגל, ולא נראה שהדגם שציינת קיים.

חשוב להבין משהו אחד - אם אתה רוצה פיירוול שיקבע כללים על פי המחשב שיוצר את החיבור, ואתה עובד דרך נתב, אתה תהיה חייב נתב שיודע לעבוד במצב _שאינו_ NAT. שזה אומר שפסלת את רוב (כל?) הנתבים הביתיים... וזאת משום שה NAT יגרום להכל לצאת מהנתב כאילו זה IP בודד.

אחרי שתתן לי את הדגם המדוייק, נהיה יותר חכמים.

דבר נוסף - ניתוב אפשר לעשות בשתי רשתות שונות בלבד. אתה לא יכול לחבר צד אחד של נתב לרשת מסויימת, את הצד השני שלו לרשת אחרת, ולהגדיר בצד השני שלו אותו טווח IP שברשת שבצד השני של הניתוב של הנתב. הרעיון בנתב זה שהוא יושב בשתי רשתות שונות, ושמגיעים אליו פאקטים הוא מעביר אותם הלאה לממשק הרלוונטי, לפי טבלת הניתוב שלו. אם IP היעד הוא באותה הרשת שממנו הגיע הפאקט המקורי, הנתב יכול לעשות רק משהו הגיוני אחד וזה להחזיר אותו חזרה לממשק שממנו הוא הגיע... נתב זה לא מתג. (למרות שבקונפיגורציה שציירת למעלה, הוא בהחלט לא עושה שום דבר יותר חכם מזה. בזבוז של קופסא...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

br6104 זה הדגם של הנתב,
עכשיו אם הבנתי אותך נכון, אני צריך להגדיר את הפיירוואל באיי פי עם subnet שונה כדי שהנתב ינתב את הפאקטות אל הרשת הבאה...
אני מחכה לתגובה ממך לאשר את זה.
כל פרט שתצטרך אני אשמח לתת.
תודה מראש!

נ.ב. בראוטר יש לי אפשרות לבטל את ה-NAT
ובפיירוואל יש לי אפשרות שאני לא כל כך מבין : "hide nat - enable/disable
בדיפולט זה על enable

God created the animals, We created God.

כן, הרשתות צריכות להיות שונות, ובראוטר צריך להיות מוגדר ב LAN איי פי מסויים של הרשת של כל המחשבים שב LAN, וביציאת WAN איי פי שברשת של הפיירוול (מה שאומר שתצטרך לשנות את הפיירוול או את כל הרשת שלך, אני הייתי הולך על הפיירוול). בראוטר תצטרך להגדיר שנתב ברירת המחדל הוא הפיירוול (כי הפיירוול הוא החייגן שלך, בהיותו מה שמחובר למודם...), ובראוטר אתה צריך לעבוד בלי שום חייגן. כלומר לא PPPoE, לא PPP, לא כלום. סתם ראוטר NAT. לא יודע אם לראוטר הזה יש מצב כזה. האתר שלהם לא ממש ברור, ולא נראה לי שהוא יכול לעבוד ללא ה NAT. לגבי hide NAT, אני לא חושב שזה מה שאתה חושב שזה (אבל לי אין את חוברת ההוראות...)

נמאס לכם לזכור סיסמאות? לחצו כאן!