Szervusz ! A Ti szempontotokból kettő KIFÜ-s router között 10.x.y.z címtartományban történik a route-olás; A 195.199.y.z / 29-es címtartomány korábban a VLAN-10-ben volt;
Most a VLAN2 az 10.x.y.z címtartományban helyezkedik el. Ha kiváncsi vagy, akkor néhány gw._iskolanev_.edu.hu router-t meg-trace-elhetsz 195.199.y.z címek között. Annyit tudni kell, has egy "átlag" iskolában vagy, akkor a router WAN portja ( C892FSP-nél a 8-as port volt) az a kereskedelmi internet szolgáltatótól kap valamilyen IP számot, de ez kevésbé érdekes, mert vsz MPLS / tunnelezéssel a KIFÜ belső LAN-ján keresztül történik a route-olás. egyébként a tűzfal WAN-ján levő IP szám melyik tartományból való ?? az iskolai honlap 195.199.y.z-s címen van ? történik-e port-forwarding a tűzfalon ? CSZ ----- Original Message ----- From: Veres Sándor via Techinfo To: [email protected] Cc: Veres Sándor Sent: Thursday, April 20, 2023 11:08 AM Subject: [Techinfo] Routing két KIFÜ-s iskola között (kérdés) Sziasztok! Mielőtt írok a KIFÜ-nek, nektek is felteszem a kérdést, és részletezem a problémát. A KIFÜ-s Cisco rotuer mögött van egy saját tűzfalunk is. Ebben a tűzfalban van arra lehetőség, hogy pl. a WAN interfészen tiltsam azokat a kéréseket, amelyek privát hálózatból jönnek. (Mivel a WAN interfész publikus IP-címmel rendelkezik, és alap esetben publikus IP-címekről kap kéréseket, ezért ez egy hasznosnak mondható biztonsági korlátozás.) Ezért a WAN interfészen be is állítottam ezt a tiltást, tehát: Block private networks - <pipa> Leírása: "When set, this option blocks traffic from IP addresses that are reserved for private networks as per RFC 1918 (10/8, 172.16/12, 192.168/16) as well as loopback addresses (127/8) and Carrier-grade NAT addresses (100.64/10). This option should only be set for WAN interfaces that use the public IP address space. " És most jönnek a problémák: 1.. Ha ez a tiltó szabály be van kapcsolva, akkor az iskolai Eduroam Wi-Fi-ről nem érhető el a tűzfal WAN lába (ez azért van így, mert az Eduroam-ra csatlakozó eszközök a 10/8 hálózatból kapnak IPv4-es címet). Ezzel tisztában voltam, elfogadtam, nem is akartam rajta változtatni - a biztonság mindenek előtt. 2.. De jeleztek másik iskolá(k)ból, hogy nem érik el az iskolánk weboldalát (amit az iskolában üzemeltetünk a fentebb részletezett saját tűzfal mögött). Ezért egy másik iskola rendszergazdájával megpróbáltunk utána járni, hogy mi okozhatja az anomáliát. Rövid kísérletezés után kiderült, hogy ha a WAN interfész esetén kiveszem a pipát a Block private networks beállítás elől, akkor eléri a weboldalunkat. Kérdés: a KIFÜ, két iskolai végpont kommunikációja, routolása esetén privát IPv4 címekkel dolgozik? Veres Sándor ------------------------------------------------------------------------------ _______________________________________________ Techinfo mailing list [email protected] Fel- és leiratkozás: https://listserv.niif.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Szertár: http://www.szag.hu/weboldal/techinfo/
_______________________________________________ Techinfo mailing list [email protected] Fel- és leiratkozás: https://listserv.niif.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Szertár: http://www.szag.hu/weboldal/techinfo/
