[RaidoR]

Tervist,

Probleem selline. Ettevõte soovib vahetada välise ühenduse olemas olevalt Wimaxilt kiirema vastu. Vari
ant on võtta kasutusele EMT 4G (optikat, kaablit pole). Sain emt-st kätte testseadmed Huawei B593s-u22 ning pulga Huawei E3372, kuid ei õnnestu porte läbi suunata.

Tahaks keerata pulgal või 4g ruuteril kinni firewalli, kuna ettevõttes olemas korralik cisco asa 5505 firewall ning tahaks kogu firewalli majanduse selle kanda jätta.

Olemas on sim, millel staatiline IP. Remote port sai suunatud, kui 4g ruuterist panna cisco seade dmz tsooni. Aga muud pordid näiteks cisco vpn ning voip-i (5060) ei tule miskitmoodi läbi.

Panin ip telefoni otse B593 taha ning suunasin telefoni IP peale 5060 pordi, kuid telnet sinna läbi ei lähe.

Kas kellelgi on kogemusi, kuidas saada tööle 4G ühendus koos vajalike suunatud portidega?

[OFFF]

Kui sa paned "DMZ tsooni" siis sisuliselt sa teed 1:1 NATi.
Tal minu teada mingit arenenumat NATi vist suurt ei olnudki. Ma ei mäleta.
Üks võimalus on lükata see Huawei seebikas tööle "bridge modes".
Mul on ühe kliendi juures sedasi tehtud, et kõik need Huaweid on "bridged" ja "päris tulemüür" tegeleb müürimise, nattimise ja kõige sellisega, millega üks marsruuter-tulemüür ikka tegeleb.
[edit]
Natuke meenutasin, sai küll suunata kah, aga topelt-natist ikka pääsu ei olnud. NATi välja lülitada ei saa. Mingi jama oli veel sellega, me kaua ei pusinud, lasime asjapulga lihtsalt tuimalt sillaks ja ... sõidame!

[RaidoR]

B593s-22 veebiliidesest eraldi bridge mode valikut pole. On ainutl kirjeldatud, et DMZ peaks toimia sarnaselt.

It says "You can configure a computer as the DMZ host that is exposed to the Internet so that unlimited services and exchanges are provided between the host and Internet, for example, online games and meetings." in the page. That is pretty much same as bridge.

Kuigi cisco tulemüür on juba DMZ tsoonis ja pordid ikkagist läbi ei tule.

Kas on ehk mõni asisem 4g ruuter?

[OFFF]

No see DMZ on 1:1 NAT. Tõepoolest, sellisel juhul on Sul vaja panna tulemüüri "väline" liides ja selle purgi sisemine liides samasse alamvõrku.
Skeem on siis umbes selline

Internets <--> 12.34.56.78 - Huawei - 10.0.0.1/32 <-transmissiooniv6rk-> 10.0.0.2/32 - Cisco ASA - sisevõrk

Kui bridge modet ei ole, siis tekib ebameeldiv olukord, et vahele tuleb üks transmissioonivõrk, ASA enam välist IPd ei "näe" ja tuleb ümber konffida.
Äkki, antud kontekstis, oleks ODAVAM leida sinna vahele selline Huawei purk mis OSKAB bridge modet. Vähem asju ringi konffida.

Internets <--> 12.34.56.78 - [ Huawei -layer 2 bridge ] --> 12.34.56.78 Cisco ASA

[TT]

Kas Huaweil on sellist purki millel korralik bridge mode olemas on?

[RaidoR]

Sellise konfiga:
Internets <--> 12.34.56.78 - Huawei - 192.168.0.1/32 <-transmissiooniv6rk-> 192.168.0.100/32 - Cisco ASA - sisevõrk

Sain interwebsi tööle, aga pordid läbi ei tulnud.

Sisuliselt, kui panin IP telefoni otse Huawei taha ja sealt suunatud port telefoni peale peaks ikkagi läbi tulema?

[OFFF]

Küsin kliendi käest järele, mis marki purkidega meie tegime. Igatahes EMT need tarnis, olid sellised päris uhked, akuga ja puha.
EDIT
E5172

https://www.emt.ee/sisu/-/pood/mobiilne_internet/huawei_e5172?gclid=CKXgg5js8MUCFcbDcgod7ZQADg

[RaidoR]

Neid vist ka mitmeid variante, nagu hetkel minu B593s-22 puhul on veel B593u-22 jne.

Emt kodulehel olevast manualist "bridge mode" ei paista: https://www.emt.ee/files/eshop/files/Huawei%20E5172%20kasutusjuhend%20EST.pdf

[TT]

Kas EMT.lt väline IP tellitud? Ilma selleta(vähemalt varasemalt) välismaailmale porte suunata ei olnud võimalik.

[RaidoR]

Staatiline IP olemas jah. APN, mida ühendamiseks kasutan on static.emt.ee

[OFFF]

[RaidoR]

Whatsmyip.org annab mulle sellise info:

Your Host Name:
147-71-157-37-dyn.internet.emt.ee

[High-Q]

emt annab static.emt.ee APN-iga aadressi küll dünaamiliselt, aga see on reserveeritud. ise staatiliselt ip aadressi sisse toksida ei saa, pole ka kuskil sellist kohta, sest IP-d LTE liidesel ei kirjeldata. see seotakse sim kaardiga.
just nagu elionis saab tavateenuste ruuter ALATI ip dhcp-ga. lihtsalt see on reserveeritud.
mina jätaks praegu asa välja, sest siis pead sa tegema igasugu keemiat ja ühte ma ütlen, asa võib küll äge müür (kellad-viled GUI-s eriti) ja vpn purk olla, aga ta on lihtsalt masendavad s*tt ruuter ja hetkel selle funktsiooniga see sul töötabki. lisaks on asa'l nii palju kiikse, et ma ei jõua isegi neid ära kirjeldada.

näiteks sinu situatsioonis pead sa tegelikult tegema kas
* topelt nati (st tegema 1:1 static nat huaweist cisco välisele ip-le ja siis tegema suunamisi ciscos). see üldiselt töötab, aga on tüütu ja mõni asi hakkab selle peale pipardama, eriti igasugu ALG-e vajavad asjad.
* mängima asaga ruuterit (milles ta on väga masendav), st panema nii outside kui inside sama security numbriga, tegema mõlemasuunalise nat exempt rule (vaikimisi midagi ei ole ette tehtud), tegema mõlemal tsoonis permit reeglid (any'l poleks pointi ja pead per soovitud liiklusreegel neid tegema) jne; ja isegi siis, kui tahad pingida, pead sa eraldi pingi ka lubama, sest protocol IP ei sisalda ICMP-d. "enable traffic between two or more interfaces that are configured with same security levels" optsioon kahjuks ei tööta (ära küsi miks).
lihtsalt infoks:
kui su arvutite default gateway ei ole huawei (vaid on cisco), siis pead sa tegema kaks default route't: ühe huawei'sse (ip route sinu_sisevõrgu_subnet next hop asa välisvõrgu liides) ja cisco saab siis default route (ip route 0.0.0.0 0.0.0.0 huawei_IP 1 või siis kui kasutad default routet läbi dhcp)

ps. ma haldan/majandan ligi paarkümmet asa-t (5505-st 5515-X-ni) ja igasugu vett ja vilet näinud nendega. seni kuni asa on müür ja istub välise liidesega netis ja seespool on eraldatud liidesed, siis on ok. kui asi läheb kompotiks, siis kaku või juuksed peast.

[OFFF]

[käbi]

B593 on vist SIP ALG võimelinee, mis on tihti NAT võimelisele teenuspakkujale äärmiselt ebasoovitav nagu sellel juhul ka pordi suunamine. SIP ALG peal ...
IP telefonidel on SIP tihti vaikivalt UDP-ga.