Centro Business PSB4212N (passthrough IP) + ZyWALL USG 300

Ciao @Suissinho

Non sei l’unico ad essere un po’ bloccato con il Centro Business quando è in modalità IP Passtrough.

C’è un post interessante di >> [qui](https://community.swisscom.ch/t5/Discussions-et-feedbacks-%C3%A0/Centro-Business-FW-7-10-10-et-function -Passthrough/m-p/409352#M129) <<!

Al momento non ho una risposta a questo problema…

Buona giornata a tutti

@Suissinho

Prima di passare a All IP, sto mettendo le mani su questo Centro Business accoppiato con uno Zywall USG 40. Poiché ho ancora un Business Internet Light + IP fisso + PME Office ****.

Attualmente Centro Business è locale, senza accesso a Internet. La linea è disponibile solo nei fine settimana.

Detto questo, utilizzando le tue impostazioni, vedo che posso eseguire il ping e tracciare il Centro Business (192.168.1.1) da un PC (192.168.110.XXX) che si trova dietro lo Zywall USG 40 (192.168.110.2 ).

Lan1 (Centro Business) -> Wan (Zywall USG 40)

NB: Non ho ancora potuto testare, per i motivi già menzionati, se è possibile l’accesso a Internet per la rete dietro lo Zywall USG 40.

Buonasera a tutti

[upl-immagine-anteprima liId=20476iB57831870399F6C2 alt=1.jpg uuid=bef13cf6-f4cb-4de4-821b-ac2451654ac7]

[upl-immagine-anteprima liId=20477i69A4BF535CE49EA2 alt=2.jpg uuid=b3b4c97c-7604-4e64-bb2f-c547ebf3381f]

Grazie Xtreme66, ma se nel Centro Business non avete attivato l’opzione “IP passthrough (Local security gateway) su LAN1” non puoi aver fatto il mio stesso test… oppure mostrami le configurazioni sulla porta WAN ZyWALL e le configurazioni di Centro Business in “Impostazioni > Router”.

Mi è stato detto che nel mio caso è necessario creare un routing statico nello ZyWALL verso la porta WAN con l’IP Swisscom ma non so ancora come fare…sono guardando sempre…

[upl-immagine-anteprima liId=20479iABDA8EBE39F6795D alt=img1.png uuid=b821cdf9-6206-4e7b-b533-6fb090380d32]

[upl-immagine-anteprima liId=20478i66F12EEC257D9495 alt=img.png uuid=53fd2a9b-3aa3-4dd4-b936-d2faf1af1c68]

GRAZIE,

Saluti

---

Suisso ha scritto: non avete attivato nel Centro Business l’opzione “IP passthrough (Local security gateway) su LAN1” non potete aver fatto il mio stesso test…

---

[upl-immagine-anteprima liId=20458i815C6BE30A44DE97 alt=ip.jpg uuid=aede80d1-add1-4934-bf72-101132851b1a]

Questa opzione è naturalmente attivata (“Passthrough IP (Gateway di sicurezza locale) su LAN1”).

Nel dispositivo (Centro Business), l’IP dello Zywall USG 40 è statico (IP: 172.31.255.6).

Per il tuo routing statico, forse questo documento può aiutarti.

Ti darò una schermata di stampa appena avrò un momento….

[upl-immagine-anteprima liId=20480iA8ACB3619D82E612 alt=40-3.jpg uuid=bf3deead-e383-42dd-9684-c3c32f7e46d8]

[upl-immagine-anteprima liId=20481iF7DE04F9602F899C alt=40-2.jpg uuid=8df0f60e-1067-456a-b206-0f4744b96c77]

[upl-immagine-anteprima liId=20483iFC1EE99AFE6E7B33 alt=40-1.jpg uuid=d9cb52db-e4c5-449b-9b83-1505b9e7e153]

Con questa configurazione accedo al Centro Business dal mio PC (192.168.1.1)

Devo ancora verificare se è possibile l’accesso a Internet con questa configurazione. Vedremo tutto alla fine della settimana.

Grazie mille per queste informazioni, dovrò seriamente rifare il test!

Puoi inviarmi schermate di stampa nelle seguenti impostazioni del tuo ZyWALL USG40, per favore:

- “Configurazione > Routing > Regole di routing”

- “Configurazione > Routing > Routing statico”

- “Configurazione > Firewall”

- “Configurazione > Interfaccia > Ethernet > lan1”

Grazie in anticipo,

Distinti saluti.

Buonasera,

Sono partito da una configurazione base a livello Zywall, quindi dopo un hard reset. Lo stesso vale per Centro Business.

Non è stata apportata alcuna modifica alle regole di routing, al routing statico o ai firewall.

Su lan1 ho semplicemente modificato l’indirizzo IP della lan 1 e il suo raggio d’azione.

Per Wan le modifiche sono quelle disponibili sopra.

Ho aggiunto il mio utente/pass per l’accesso a wan1_ppp per accedere al server swisscom con le informazioni IP fisse.

A livello Centro Business ho aggiunto lo Zywall USG 40 IP come IP statico.

Per il resto mi serve la linea VDSL2 per verificare che funzioni tutto.

Spero che tu possa trovare la soluzione…

@Suissinho

CIAO,

una soluzione forse:

Mantieni la configurazione del tuo Centro Business, porta LAN 1 in modalità IP Passthrough alla porta WAN del tuo USG.
Questo ti darà un IP pubblico sul tuo USG e avrai quindi la tua gestione VPN.

Sul tuo USG 300, se hai porte Ethernet libere sul lato LAN, prendi una porta e inseriscila nella zona DMZ.
Quindi lo configuri con questi parametri sull’interfaccia ethernet DMZ:

IP 192.168.1.2 (ovviamente se non lo usi per altro e deve essere esterno al DHCP del router Swisscom)
Maschera 255.255.255.0
Nessun DHCP.

Una volta terminato vai su Configurazione => Routing => Percorso statico => aggiungi

Metti questo:

inserisci un cavo Ethernet tra la porta DMZ e una delle 3 porte rimanenti del Centro business e dovresti essere in grado di eseguire il ping della cronologia.

Se non funziona, cambia semplicemente configurazione => interfaccia => ruolo della porta e metti la tua porta (P1-5) nella tua stessa zona (LAN1 se la tua rete personale è in LAN1).

Prova e dimmi ancora

Jimmy

Ciao Jim1926, grazie per la tua risposta.

Ho provato come hai detto tu ma sono riuscito a renderlo più semplice.

Lascio le mie configurazioni e la soluzione:

Centro Business PSB4212N

[upl-immagine-anteprima liId=20507iBF068205C2925292 alt=1.png uuid=c0d79174-43f7-4dc1-9739-952dccac2b95]

Impostazioni IPv4:
---———————————————- ——————————
Fonte | Stato | Abilita | Indirizzo IP | Maschera di sottorete
---———————————————- ——————————
Statico | Abilitato | vero | 192.168.1.1 | 255.255.255.0
---———————————————- ——————————

Versione FW principale: 7.10.10
Versione xDSL: A2pv6C038q.d24j

---———————————————- ——————————

LAN IPv4: 192.168.1.1
LAN IPv6: fe80::ea74:e6ff:fe70:e955
Connessione WAN: WAN-VDSL-PPP
Modalità e profilo WAN: VDSL2, profilo 17a, modalità PTM, Showtime

---———————————————- ——————————

percorso:

arp:

**[upl-immagine-anteprima liId=20514iDDCB6F3CFE4C325F alt=img.png uuid=fb157900-8059-45ae-9d5c-bb421715e669]

**

ZyWALL USG 300

**[upl-immagine-anteprima liId=20512iCC68D917FF20BBAE alt=2.png uuid=875b24af-5c1a-4845-a196-aaa8d14d8fe9]

**

Proprietà dell’interfaccia

Tipo di interfaccia: esterna
Nome interfaccia: ge7
Zona: WAN

Assegnazione dell’indirizzo IP
Utilizza indirizzo IP fisso:
Indirizzo IP: 172.31.255.6

Maschera di sottorete: 255.255.255.252Gateway: 172.31.255.5

Proprietà dell’interfaccia

Tipo di interfaccia: interna
Nome interfaccia: ge1
Zona: LAN1

Assegnazione dell’indirizzo IP

Indirizzo IP: 192.168.10.1
Maschera di sottorete: 255.255.255.0

**[upl-immagine-anteprima liId=20516iA09761475DD3289E alt=6.png uuid=2f49b5d7-da2f-4e87-90be-3388aab7a865]

**

Il problema che ho riscontrato è stato il seguente (.pdf 😞

Prima della versione firmware 2.20, SNAT funzionava tramite Policy Route. Dalla versione 2.20 è implementata una nuova funzione “Default SNAT”, con questa nuova funzione le Policy Route per SNAT non sono più necessarie. Dopo un aggiornamento del firmware tutte le interfacce USG sono definite per impostazione predefinita con il tipo “generale”. Per utilizzare il “Default SNAT” le interfacce devono essere modificate con il tipo “internal” o “**external*. *”. Tutte le interfacce che appartengono alla rete locale (zona LAN, DMZ, WLAN, ecc.) devono essere definite con il tipo “interna” e tutte le interfacce che si collegano ad esempio a Internet (zona WAN) devono essere definite con il tipo tipo “esterno”. Lo “SNAT predefinito” passa solo tra un’interfaccia “interna” e un’interfaccia “esterna”.

Un piccolo diagramma:

Distinti saluti

@Suisso

Grazie per questo feedback molto dettagliato e completo!

Perfetto 😉

@Suisso Grazie per il tuo feedback,

Non ho capito cosa fosse l’IP passtrough. Quindi la mia soluzione non era adatta.
È una soluzione divertente quella che Swisscom propone… Con la loro cronologia quindi non hai IP pubblico sul tuo USG.

Ora capisco perché non ha funzionato e questo potrebbe aiutarmi.

Impec, buono a sapersi.

Saluti

@Xtreme66 Prego 🙂

@Jim1926 Esatto, non è una vera DMZ, quindi non avevo l’IP Pubblico sulla WAN, come prima potevamo farlo su Netopia (Motorola) con la funzione “IP Transparency” . Secondo le informazioni in mio possesso, per avere accesso alla funzione “DMZ Pubblica” con Centro Business è necessario avere almeno un range di 4 IP Fissi (20.–/mese). Informazioni qui.

Per il momento mi va bene la soluzione IP Passthrough con 1 IP fisso: smileyvery-happy:

@Suisso

Finalmente ho potuto testare la configurazione che ho descritto in precedenza (Centro Business (IP Passthrough) + Zywall USG 40), funziona tutto perfettamente. La connessione Internet funziona perfettamente per tutti gli utenti.

Ho una domanda veloce per gli utenti USG di Zywall e @Suisso, con il tuo Zywall, hai già eseguito il test GRC? ShieldsUP!

Di solito tutte le porte sono Stealth con i miei vecchi Zywall, ma nel caso di Zywall USG 40, la porta 1 è Chiusa e non Stealth.

Porto: 1

Nome: tcpmux

Scopo: Multiplexer del servizio porta TCP

E a casa?

@+

@Xtreme66 ecco i miei risultati:

[upl-immagine-anteprima liId=20551iA41E1722867A82D9 alt=grc.png uuid=eab4cc61-9a6a-4cb1-b9c9-5b28c7764bf6]

Giusto per completare, ho fatto la scansione con NMAP:

Rapporto di scansione Nmap per XXX.XXX.XXX.XXX.static.wline.lns.sme.cust.swisscom.ch (XXX.XXX.XXX.XXX)

SERVIZIO DELLO STATO DI PORTO
Dominio aperto 53/tcp

---———————————————- ———–

Rapporto di scansione Nmap per 172.31.255.5

SERVIZIO DELLO STATO DI PORTO
22/tcp aperto ssh
Dominio aperto 53/tcp

---———————————————- ———–

Rapporto di scansione Nmap per 172.31.255.6

SERVIZIO DELLO STATO DI PORTO
22/tcp aperto ssh
Dominio aperto 53/tcp
80/tcp aperto http
443/tcp aperto https

---———————————————- ———–

Rapporto di scansione Nmap per 192.168.1.1

SERVIZIO DELLO STATO DI PORTO
Dominio aperto 53/tcp
80/tcp aperto http
443/tcp aperto https

---———————————————- ———–

Rapporto di scansione Nmap per 192.168.10.1

SERVIZIO DELLO STATO DI PORTO
22/tcp aperto ssh
Dominio aperto 53/tcp
80/tcp aperto http
443/tcp aperto https

---———————————————- ———–

I migliori saluti:smileyhappy:

@Suisso

Grazie per il tuo messaggio!

Utilizzo anche il test su questo sito Pentest-tools ma è basato su Nmap.

Ottima conclusione della giornata

@+

Ciao a tutti,

Buone notizie, a partire dalla versione firmware 4.25, lo Zywall USG 40 dispone dell’opzione DHCP 60 indicando il valore 100008.0001, ZYXEL può essere utilizzato a valle di un bridge.

Configurazione > Rete > Interfaccia > Ethernet > WAN1 > Mostra impostazioni avanzate

Fonte: USG Firewall e Centro Business

:sorridente: