Indirizzi IPv4 PF: nessuno, dinamico, statico ed esempi

ConMET

Ciao a tutti,

parlando con @PF-Matteo abbiamo cercato di capire come venissero configurati in PF gli indirizzamenti IPv4 per i nuovi clienti (noi siamo un wholesale) ed abbiamo capito fondamentalmente che a differenza degli operatori tradizionali ci sono 3 tipologie di assegnazione: nessuno, dinamico e statico.

La mancata assegnazione di un indirizzo di tipo dinamico o statico implica l'impossibilità di fare NAT poichè si parla di un routing interno direttamente di PF, niente di strano, lo stesso concetto che si applica ad esempio alle SIM che prevedono traffico mobile.

Per quanto riguarda l'assegnazione di un dinamico, anche qui, niente da segnalare. E' la configurazione di default di qualsiasi operatore, salvo diversamente richiesto dal cliente.

Infine giungo a quanto ci interessa, ovvero gli statici ed eventuali classi. @PF-Matteo ci conferma che gli IP vengono rilasciati praticamente come singole /32 , sia che se ne prenda 1 o più. Mi suggerisce come configurazione di assegnare lo specifico IP al dispositivo che lo richiede ed utilizzare come gateway l'indirizzo IP del router che effettua la sessione PPPoE. Ma se sono indirizzo IP su /32 come possono raggiungere una /32 differente (o comunque una classe con una subnet differente)?

ESEMPIO pratico:

Ho bisogno di 3 indirizzi statici e mi vengono rilasciati da PF 3 indirizzi /32 (non necessariamente consecutivi, ma se anche lo fossero stando su una /32 sono comunque isolati fra loro. Gli IP seguenti sono puramente casuali.)

185.8.190.3/32 (nas)
185.8.194.8/32 (router)
185.8.195.12/32 (firewall)

presupponiamo per farla semplice che il mio router sia uno di questi precedentemente indicati ed il mio firewall altrettanto. Per fare una punto-punto fra i due, come posso far ruotare il traffico su 2 indirizzi /32?

Come può 185.8.194.8/32 avere come gateway 185.8.195.12/32 ? Impossibile.

Eventualmente, ma già si tratta di un caso limite descritto dalla RFC 3021 , si potrebbe fare con una /31 che può prevedere l'assegnazione di 2* IP sulla stessa subnet (anche se di default sappiamo che occorre almeno una /30).

Qualcuno che ha già avuto occasione di fare una configurazione analoga, può darci qualche indicazione a riguardo? Basta anche un esempio per farci capire come sia fattibile.

Grazie!

PF-Matteo

ConMET le /32 sono ormai ampiamente supportate da molti apparati. Comunque ti taggo @emilio che di reti ne sa!

G.Guglielmi

ConMET Non conosco la gestione degli IP statici di PF, ma di solito il Gateway di queste reti /32 è un altro IP, che è in comune per tutte le linee dell'operatore.
Ho attivato per un nostro cliente una linea aziendale con un altro operatore, ma sempre una PPPoE su rete Fibercop. Loro assegnano l'IP statico in automatico all'utente PPPoE, in questo modo funziona allo stesso modo dell'IP dinamico, ma ogni volta che ti ricolleghi riceverai sempre lo stesso IP.
Non so però come vengano gestiti gli IP aggiuntivi, anche se immagino che la configurazione non sia tanto diversa.

ConMET

G.Guglielmi quel che dici è giusto, ma non risponde alla domanda. Tu fai riferimento al lato provider, che appunto gestisce la sessione PPPoE e che assegna dinamicamente o staticamente l'indirizzamento della WAN, ma qui si sta parlando d'altro, ovvero come ruotare localmente indirizzamenti /32 tra dispositivi presenti sulla stessa tratta LAN/WAN, ovvero quei dispositivi che sono solitamente presenti sulla DMZ o semplicemente il traffico che va da un router ad un firewall (sulla DMZ appunto) che poi si occupa di nattare il traffico ad un IP specifico (nat 1:1) o a porte specifiche in base alla tipologia di protocollo (TCP/UDP/ICMP/GRE/...).

Il concetto di business continuity che anche PF può applicare è proprio basato su ciò, poi correggimi se dico male PF-Matteo : sono in grado di mantenere la stessa classe IP anche passando da una connettività primaria ad una di backup (es: FWA in backup su FTTH e viceversa, a patto che siano fornite dallo stesso provider, in questo caso PF) proprio perchè ottengo un routing basato sulla sessione PPPoE che viene gestita per entrambe le linee dal medesimo gestore. Questo sa che a quella login sul radius corrisponde quella specifica classe, quindi che la sessione PPPoE arrivi dall'una o dall'altra è indifferente: quando arriva la sessione gli assegno quella classe e fine dei giochi, molto semplice (anche se così facendo si sacrifica l'aggregazione di banda, ma questa è una storia diversa ed offtopic quindi lasciamo perdere).

emilio

hum... sono più un animale da server che da reti, ma questa la so.
Lato pianetafibra immagino che un ip sarà usato per la pppoe e gli altri due saranno ruotati verso l'ip della pppoe, arrivando quindi al tuo router.
Lato tuo, se il router e il firewall sono due apparati distinti (spesso i firewall sono in grado di gestire in autonomia la pppoe e quindi sostituirsi al router, semplificando parecchio la gestione), avrai una punto-punto (su ip privati) tra il router e la outside del firewall e il router girerà gli ip pubblici verso il privato dell'outside del firewall.
poi il firewall farà nat tra gli ip pubblici e i privati sulla sua inside

ConMET

G.Guglielmi emilio

Credo infatti che i casi siano esattamente questi 2:

i dispositivi a cui assegni una /32 effettuano tutti una propria sessione PPPoE (sessioni distinte), così facendo ciascun dispositivo giustamente ottiene l'indirizzo statico acquistato, ma avrà bisogno di N sessioni PPPoE per N indirizzi statici;
esiste un solo dispositivo di routing, presupponiamo per semplicità un firewall, che gestisce tramite una propria interfaccia la sessione PPPoE principale (con VLAN ID o meno è indifferente, per esempio si potrebbe avere una interfaccia con VLAN ID per una FTTH mentre una seconda interfaccia senza VLAN ID per una FWA, entrambe configurate con la stessa sessione PPPoE). A questo punto, i precedenti IP esemplicificativi (/32) saranno ruotati da PF direttamente sull'interfaccia PPPoE del mio firewall e non dovrò fare niente di più se non gestirli su di esso come dei virtual IP (nel caso di PfSense così li chiamano) e potrò fare indubbiamente nat 1:1 , ma non nat delle singole porte (essendo la destinazione su una subnet differente). Lascio anche un link di spiegazioni per PfSense che spiega come fare, se a qualcuno può servire in futuro: Setup PPPoE WAN on PfSense

A questo punto tutto è già più chiaro e mi risulta fattibile, anche se non lo abbiamo mai gestito in tal senso, ma nulla vieta di farlo e proveremo sicuramente.

Per quanto riguarda il failover ci chiedevamo per pura curiosità come venisse gestito lato PF: c'è una sorta di priorità tra le connettiivtà, ad esempio FTTH con priorità 1 e FWA con priorità 2 , che consente alla sessione PPPoE di andare su solo quando la primaria risulta in ko? Che tempi di switch si hanno prima del passaggio da A a B (questo potrebbe dipendere anche dal firewall e come è impostato per riprovare una sessione PPPoE che va in timeout indubbiamente).

Qualcuno ha fatto prove sul campo per darci qualche informazione?

G.Guglielmi

ConMET Credo di aver capito cosa dici, ma non riesco a immaginarmi un caso in cui venga applicata una configurazione del genere.
Se ogni dispositivo ha una sua /32 vuol dire che avrà anche una connessione PPPoE attiva e in quel caso gli verrà assegnato anche il Gateway. Una volta a conoscenza di quell'IP la configurazione è semplice in quanto le immagino come 3 connessioni singole.
Diverso è se tutti gli IP arrivano al router, in quel caso gli altri dispositivi avranno un IP privato (probabilmente su una /24) e il router farà eventualmente un NAT 1:1 dell'IP che si vuole dedicare verso il dispositivo.

GiaNN

@PF-Matteo ma ha qualcosa a che fare col ticket che ti ho aperto sul fatto che due linee diverse su rete nuova non comunicano?

emilio

G.Guglielmi Diverso è se tutti gli IP arrivano al router, in quel caso gli altri dispositivi avranno un IP privato (probabilmente su una /24) e il router farà eventualmente un NAT 1:1 dell'IP che si vuole dedicare verso il dispositivo.

questa è la configurazione più pulita e IMHO da implementare (che poi è quella che funziona sempre, anche se non stai usando PPPoE, ad esempio)

Matwolf

ConMET Sessioni PPPoE multiple con lo stesso username non sono supportate da PianetaFibra.

Il caso 2 è quello che si avvicina di più alla soluzione.

Ti confermo che io gli IP statici aggiuntivi li ho configurati su pfSense come Virtual IP (di tipo IP Alias) della interfaccia WAN PPPoE.
Se poi li vuoi riservare specifici dispositivi, puoi configurare dei NAT 1:1 su di essi direttamente da pfSense.

In ogni caso sempre meglio passare dal firewall e aprire solo le porte che ti servono.

ConMET

Matwolf grazie della conferma.

Si chiaramente non mi aspetto che 2 interfacce con la stessa configurazione PPPoE vadano up contemporaneamente (avrebbe poco senso), ma che in caso di fail della prima la seconda prenda il suo posto (mantenendo gli IP assegnati) e quindi ci chiedevamo se configurando 2 interfacce distinte con la stessa sessione PPPoE (appunto, magari una FTTH e una FWA di PF) ci fosse una sorta di priority con cui vengono accettate queste sessioni e se queste appunto venivano gestite internamente da PF, in che modo e con che timeout avviene lo switch era un'ulteriore bonus alla domanda :)

Matwolf

ConMET mmm... su questo bisogna indagare... Io ho due firewall pfSense in HA con la PPPoE appoggiata ad un CARP IP.
La PPPoE dello slave resta disconnessa fintanto che il master è attivo. Se il master muore, lo slave diventa CARP master e a quel punto si connette anche la PPPoE.

Ma su due connessioni con lo stesso firewall... Non so se è fattibile....
Su pfSense il fallback generalmente lo configuri con i gateway group, ma nel mio caso ho configurato solo gateway sempre connessi....

Inoltre non credo nemmeno che tu possa farlo così questo giochino perché pfSense ti fa agganciare i virtual ip ad una singola interfaccia. E se fai due ppoe avresti due interfacce diverse....

Potresti invece provare a configurare una sola pppoe, ma agganciandola a due link interface diverse...

Bisogna fare dei test....

EDIT:
guardando la documentazione di pfSense, sembra che la possibilità di assegnare più interfacce fisiche alla stessa PPPoE serva per la MLPPP, che porta ad aggregazione di banda. Quindi credo non vada bene per il tuo caso (ammesso che PF lo supporti poi ^^')

MN00AA

ConMET se configurando 2 interfacce distinte con la stessa sessione PPPoE (appunto, magari una FTTH e una FWA di PF) ci fosse una sorta di priority con cui vengono accettate queste sessioni e se queste appunto venivano gestite internamente da PF, in che modo e con che timeout avviene lo switch era un'ulteriore bonus alla domanda :)

Le due PPPoE non devono stare in piedi in contemporanea, altrimenti il bras lato PF fa una sorta di load-balancing, ed essendo le connessioni fortemente eterogenee, in poche parole si rompe tutto.

Il timeout lato PF e' 30 o 60 secondi, ora non ricordo nel dettaglio.

ConMET i virtual IP sono assegnabili esclusivamente ad una intefaccia le cose si complicano

Mmmh, non so BSD/pfSense come gestisca la cosa, ma su Linux non serve necessariamente che tutti gli IP secondari consegnati sulla PPPoE siano assegnati ad una interfaccia sul firewall. Mi vengono in mente due scenari, si potrebbe alternativamente:

impostare regole di SNAT per mascherare il traffico in uscita di determinate macchine con un particolare IP pubblico sorgente; per il traffico in entrata si fa lo stesso ma con DNAT;

Esempio di NAT 1:1 con tre macchine (ppp+ matcha qualunque interfaccia il cui nome inizi con "ppp"):

iptables -t nat -A PREROUTING -i ppp+ -d IPv4_PUBBLICO_SECONDARIO_1/32 -j DNAT --to-destination 192.168.1.101
iptables -t nat -A PREROUTING -i ppp+ -d IPv4_PUBBLICO_SECONDARIO_2/32 -j DNAT --to-destination 192.168.1.102
iptables -t nat -A PREROUTING -i ppp+ -d IPv4_PUBBLICO_SECONDARIO_3/32 -j DNAT --to-destination 192.168.1.103
iptables -t nat -A POSTROUTING -o ppp+ -s 192.168.1.101/32 -j SNAT --to-source IPv4_PUBBLICO_SECONDARIO_1
iptables -t nat -A POSTROUTING -o ppp+ -s 192.168.1.102/32 -j SNAT --to-source IPv4_PUBBLICO_SECONDARIO_2
iptables -t nat -A POSTROUTING -o ppp+ -s 192.168.1.103/32 -j SNAT --to-source IPv4_PUBBLICO_SECONDARIO_3
iptables -t nat -A POSTROUTING -o ppp+ -s 192.168.1.0/24 -j SNAT --to-source IPv4_PUBBLICO_PRIMARIO

Esempio di NAT parziale verso piu' macchine, ma con un solo IPv4 pubblico secondario consegnato sulla PPPoE; 192.168.1.101 e' il server web, .102 il server DNS e .103 il server di posta; le porte interne non devono necessariamente essere uguali a quelle esterne:

iptables -t nat -A PREROUTING -i ppp+ -d IPv4_PUBBLICO_SECONDARIO/32 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.101:8080
iptables -t nat -A PREROUTING -i ppp+ -d IPv4_PUBBLICO_SECONDARIO/32 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.101:8443
iptables -t nat -A PREROUTING -i ppp+ -d IPv4_PUBBLICO_SECONDARIO/32 -p tcp --dport 53 -j DNAT --to-destination 192.168.1.102:53
iptables -t nat -A PREROUTING -i ppp+ -d IPv4_PUBBLICO_SECONDARIO/32 -p udp --dport 53 -j DNAT --to-destination 192.168.1.102:53
iptables -t nat -A PREROUTING -i ppp+ -d IPv4_PUBBLICO_SECONDARIO/32 -p tcp --dport 25 -j DNAT --to-destination 192.168.1.103:25
iptables -t nat -A POSTROUTING -o ppp+ -s 192.168.1.101/32 -j SNAT --to-source IPv4_PUBBLICO_SECONDARIO
iptables -t nat -A POSTROUTING -o ppp+ -s 192.168.1.102/32 -j SNAT --to-source IPv4_PUBBLICO_SECONDARIO
iptables -t nat -A POSTROUTING -o ppp+ -s 192.168.1.103/32 -j SNAT --to-source IPv4_PUBBLICO_SECONDARIO
iptables -t nat -A POSTROUTING -o ppp+ -s 192.168.1.0/24 -j SNAT --to-source IPv4_PUBBLICO_PRIMARIO

I server in entrambi questi esempi avranno una configurazione LAN molto semplice, senza alcun riferimento agli IP pubblici, ma solo all'IP del firewall in LAN, nell'esempio 192.168.1.1:

ip addr add 192.168.1.10X/24 dev eth0
ip route add default via 192.168.1.1 dev eth0

... oppure DHCP con lease statici, o qualunque altra cosa, inoltre i server possono essere fisici, virtuali, container, Linux, Windows, BSD, MacOS, etc, insomma piena liberta' di scelta e configurazione dei server e della/e LAN/VLAN/etc, fintanto che gli indirizzi IP privati dei server non cambino nel tempo.

Inoltre, gli IP pubblici secondari NON vengono mai assegnati ad alcuna interfaccia, ne' sul firewall/router/gateway ne' sui server; ci pensa il NAT a far "funzionare tutto" ;)

Questi sono ovviamente solo esempi parziali di scenari generici, in pratica si puo' attuare qualunque configurazione che possa essere espressa come regole di iptables (piu' un eventuale policy based routing per il "multi WAN" con piu' connessioni attive simultaneamente di operatori differenti, ma questo e' un altro discorso).

oppure, impostare rotte statiche sull'interfaccia lato LAN sul firewall (NON sulla WAN PPPoE!), e allo stesso tempo impostare le /32 come IP secondari sulle macchine che devono averli. Cosi' si evita totalmente il NAT, ma si ha lo stesso effetto del NAT 1:1, pero' piu' "pulito" se vogliamo.

Si evita inoltre di sprecare IP di una subnet pubblica per realizzare la LAN, visto che la LAN e' privata e gli IP pubblici vengono routati sugli IP privati.

Ovviamente non essendoci NAT si devono avere tanti IP pubblici quante sono le macchine che devono esporre servizi.

Questa configurazione puo' funzionare fintanto che i server permettano l'aggiunta di piu' indirizzi ad una stessa interfaccia (anche Windows lo fa fare, nelle configurazioni avanzate del driver IPv4 per l'interfaccia; /32 equivale alla subnet mask 255.255.255.255; alcune versioni di Windows non l'accettano, ma basta specificare 255.255.255.248 o al limite 255.255.255.0, l'importante e' che l'IP sia quello corretto).

Esempio:
sul router/gateway/firewall, eth0 e' l'interfaccia verso lo switch che collega i server:

ip addr add 192.168.1.1/24 dev eth0
ip route add IPv4_PUBBLICO_SECONDARIO_1/32 via 192.168.1.101 dev eth0
ip route add IPv4_PUBBLICO_SECONDARIO_2/32 via 192.168.1.102 dev eth0
ip route add IPv4_PUBBLICO_SECONDARIO_3/32 via 192.168.1.103 dev eth0

sul server X dove X = {1,2,3}, eth0 e' l'interfaccia verso il router:

ip addr add 192.168.1.10X/24 dev eth0
ip addr add IPv4_PUBBLICO_SECONDARIO_X/32 dev eth0
ip route add default via 192.168.1.1 dev eth0

In questa configurazione, un mtr/traceroute da fuori mostrera':

  6.|-- cr1b-be11-703.it3.aruba.it (62.149.185.207)
  7.|-- er2y-be1.it3.aruba.it (62.149.185.222)
  8.|-- 10.0.0.2
  9.|-- host-D-C-B-A.retail.pianetafibra.it (IPv4_PUBBLICO_PRIMARIO)
 10.|-- host-X-G-F-E.retail.pianetafibra.it (IPv4_PUBBLICO_SECONDARIO_X)

come nel classico caso della subnet routata, ma senza sprecare alcun IP pubblico.

G.Guglielmi

emilio Si, infatti.
Da un altro cliente, dove non abbiamo una PPPoE, il fornitore ci consegna una /28 direttamente come WAN del firewall. Un IP lo prende lui e gli altri sono usati per vari NAT.
è una configurazione semplice ed efficace.
Inoltre ti evita di dover avere connessioni PPPoE multiple, che non tutti i dispositivi supportano e ti eviti anche di avere un dispositivo pubblicato in internet, con tutti i rischi del caso.

emilio

G.Guglielmi
se vogliamo usare dei paroloni, potremmo dire che quella con gli ip pubblici ruotati sul firewall e le NAT verso le macchine interne su rete privata "è la soluzione enterprise (dove PPPoE non si utilizza) che scala bene anche in ambito SMB/SOHO con connessioni PPPoE e firewall professionali o addirittura su router prosumer".... io mi limitere a dire che è semplice e sicura, si usa per le reti serie e funziona perfettamente anche con quelle casalinghe, quindi, a meno di innovazioni particolari che potrebbe aver implementato qualche vendor, è la strada giusta per IPv4.

ConMET

G.Guglielmi @emilio in genere è proprio questa la situazione a cui siamo abituati, ovvero una /29 o una /28 consegnata direttamente lato WAN dal provider. Assegnamo un IP della subnet al router, un IP all'interfaccia WAN del PfSense e poi in base alle esigenze si gestisce i virtual ip (come IP alias) gestendo il traffico di nat di tipo 1:1. Indubbiamente una delle molteplici soluzioni, non l'unica, ma quella da noi in genere sempre usata.

Per rispondere a @Matwolf attenzione a non confondersi, non mi riferisco a due sessioni PPPoE differenti (magari appunto di gestori differenti) ma a una singola sessione PPPoE dello stesso operatore, in questo caso PF, di due tipologie distine di connettività (come esempio portavo una FTTH/FWA) su due interfacce distinte. In questo modo, @PF-Matteo ci ha detto che, almeno per i wholesaler non so se anche per i privati che ne fanno richiesta, è possibile mantenere la stessa classe (o singoli IP) assegnata(i) quando la sessione PPPoE arriva da l'uno piuttosto che dall'altro. Ci stavamo chiedendo appunto quale potesse essere la configurazione più idonea per raggiungere questo obiettivo con un singolo hardware PfSense semplicemente con 3 interfacce: di cui 2 dedicate alle WAN ed una alla LAN. Già ora che @Matwolf ci dice che i virtual IP sono assegnabili esclusivamente ad una intefaccia le cose si complicano, ma è ancora tutto da testare, da qui appunto la richiesta di informazioni; se qualcuno ha già fatto la medesima esperienza è inutile perdere tempo a replicare le stesse condizioni. 😁

G.Guglielmi

ConMET se qualcuno ha già fatto la medesima esperienza è inutile perdere tempo a replicare le stesse condizioni.

Purtroppo no, ho esperienza solo con /28 classiche senza PPPoE e connessioni PPPoE con IP singolo.