Publicar servicio en una interfaz que se conecta a Internet utilizando PPPoE

Hola. En breve te daremos una respuesta a tu pregunta. Saludos.

Hola Usuario. Te comparto la documentación para que conozcas más sobre la función de PPPoE para el firewall USG6530E.

PPPoE

Adicionalmente te comento que la implementación que buscar realizar no esta soportada ya que el objetivo del PPPoE en un firewall es para conectar dos firewalls uno como cliente y el otro como servidor. No contempla conexiones externas como el caso de internet.

Espero que esta información conteste tu pregunta.

Saludos.

@EduUy

Te ayudo con un ejemplo, esperando se de utilidad y resuelva este problema.

Ejemplo para acceder a Internet usando IPv4 PPPoE

Como se muestra en el siguiente diagrama de red, el firewall proporciona una salida de Internet para PC en la LAN. La red de la empresa se planifica de la siguiente manera:

De acuerdo con los requisitos anteriores, especificados en el firewall como un cliente PPPoE. Una vez que el cliente obtiene las direcciones IP y DNS del servidor del carrier, los usuarios de la intranet y/o servicios pueden acceder a Internet.

En el siguiente ejemplo, la información proporcionada por el carrier se usa solo como referencia.

Interfaz: GigabitEthernet 1/0/1

Zona de seguridad: Untrust

• El dispositivo obtiene las direcciones IP y DNS del servidor PPPoE (implementado por el carrier) a través del acceso telefónico.

• Nombre de usuario de acceso telefónico: usuario

• Contraseña de acceso telefónico: contraseña

Número de interfaz: GigabitEthernet 1/0/3

Dirección IP: 10.3.0.1/24

Zona de seguridad: Trust

• DHCP se usa para asignar dinámicamente direcciones IP a las PC en la LAN.

Configuramos la dirección IP de la interfaz GigabitEthernet 1/0/3

<FW> system-view[FW] interface GigabitEthernet 1/0/3

[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0

[FW-GigabitEthernet1/0/3] quit

Asignamos las interfaces a la zona de seguridad

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet 1/0/1

[FW-zone-untrust] quit

[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet 1/0/3

[FW-zone-trust] quit

Configuramos el dispositivo como un servidor DHCP para asignar direcciones IP a las PC en la LAN.

# Habilitamos la función DHCP.

[FW] dhcp enable

Creeamos un grupo de direcciones de interfaz en la interfaz y especificamos el servidor DNS para las PC y/o servicio a publicar de la intranet.

[FW] interface GigabitEthernet 1/0/3

[FW-GigabitEthernet1/0/3] dhcp select interface

[FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254

[FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9

[FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1

[FW-GigabitEthernet1/0/3] quit

Configuramos la interfaz GigabitEthernet 1/0/1 para que obtenga direcciones IP y DNS utilizando PPPoE.

[FW] dialer-rule 1 ip permit

[FW] interface Dialer 1

[FW-Dialer1] link-protocol ppp

[FW-Dialer1] dialer user user

[FW-Dialer1] ip address ppp-negotiate

[FW-Dialer1] ppp ipcp dns admit-any

[FW-Dialer1] dialer-group 1

[FW-Dialer1] dialer bundle 1

[FW-Dialer1] ppp pap local-user user password cipher password

[FW-Dialer1] quit

[FW] firewall zone untrust

[FW-zone-untrust] add interface Dialer 1

[FW-zone-untrust] quit

[FW] interface GigabitEthernet 1/0/1

[FW-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1 ipv4

[FW-GigabitEthernet1/0/1] quit

Configuramos una política de seguridad para permitir que las PC y/o servicio de la intranet accedan a Internet.

[FW] security-policy

[FW-security-policy] rule name policy_sec_1

[FW-security-policy-policy_sec_1] source-address 10.3.0.0 mask 255.255.255.0

[FW-security-policy-policy_sec_1] source-zone trust

[FW-security-policy-policy_sec_1] destination-zone untrust

[FW-security-policy-policy_sec_1] action permit

[FW-security-policy-policy_sec_1] quit

[FW-security-policy] quit

Configuramos una política NAT para permitir que los usuarios y/o servicios de la intranet accedan a Internet.

[FW] nat-policy

[FW-policy-nat] rule name policy_nat_1

[FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0

[FW-policy-nat-rule-policy_nat_1] source-zone trust

[FW-policy-nat-rule-policy_nat_1] egress-interface dialer 1

[FW-policy-nat-rule-policy_nat_1] action nat easy-ip

[FW-policy-nat-rule-policy_nat_1] quit

[FW-policy-nat] quit

Configuramos una ruta predeterminada para asegurarnos de que los usuarios y/o servicios de LAN sean enrutables a Internet. El siguiente salto es la dirección de puerta de enlace asignada por el carrier a la empresa.

[FW] ip route-static 0.0.0.0 0.0.0.0 Dialer

Validación

1. Mostramos la información detallada de GigabitEthernet 1/0/1 y validamos si el estado físico y el estado de IPv4 de la interfaz es Up.

[FW] display interface GigabitEthernet 1/0/1GigabitEthernet 1/0/1 current state : UP                                        Line protocol current state : UP      GigabitEthernet 1/0/1 current firewall zone : untrust

Description : GigabitEthernet 1/0/1 Interface, Route Port

The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)

Internet Address is 1.1.1.1/24  IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101

Media type is twisted pair, loopback not set, promiscuous mode not set    

100Mb/s-speed mode, full-duplex mode, link type is auto negotiation

max-bandwidth : 100000 Kbps       

Max input bit rate:528530448 bits/sec at 2020-06-26 12:53:46

Max output bit rate:5280418 bits/sec at 2020-06-26 12:54:26

Max input packet rate:750753 packets/sec at 2020-06-26 22:43:46

Max output packet rate:7843 packets/sec at 2020-06-26 22:53:58

Last 300 seconds input rate 8  bytes/sec, 0  packets/sec  

Last 300 seconds output rate 8  bytes/sec, 0  packets/sec 

    Input: 1149 packets, 99478 bytes  

          12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses

          0 overruns, 0 runts, 0 jumbos, 0 FCS errors         

          0 length errors,  0 code errors, 0 align errors     

          0 fragment errors,  0 giants, 0 jabber errors       

          0 dribble condition detected,  0 other errors       

    Output: 1104 packets, 94646 bytes 

          7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses

          0 underruns, 0 runts, 0 jumbos, 0 FCS errors        

          0 fragment errors, 0 giants, 0 jabber errors        

          0 collisions, 0 late collisions         

          0 ex. collisions, 0 deferred, 0 other errors

Comprobamos si el estado PPPoE del firewall es Up. Comprobamos si el valor de los paquetes de salida de sesión PPPoE (OutP) no es 0.

[FW] display pppoe-client session summary

PPPoE Client Session:

ID   Bundle  Dialer  Intf             Client-MAC    Server-MAC    State 

0    1       1       GE1/0/1          00e0fc0254f3  00049a23b050  PPPUP

[FW] display pppoe-client session packet17:17:05 2020/06/25

PPPoE Client Session:

ID     InP     InO     InD     OutP     OutO     OutD

0      0       0       0       254      7620     0

En la PC donde se ejecuta el servicio a publicar en internet, ejecutamos el comando ipconfig / all para verificar si las direcciones IP y DNS privadas se han configurado correctamente para el adaptador de red. Lo siguiente usa en Windows como ejemplo.

Ethernet adapter Local:


        Connection-specific DNS Suffix  . :

        Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection

        Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35

        Dhcp Enabled. . . . . . . . . . . : Yes

        Autoconfiguration Enabled . . . . : Yes

        IP Address. . . . . . . . . . . . : 10.3.0.3

        Subnet Mask . . . . . . . . . . . : 255.255.255.0

        Default Gateway . . . . . . . . . : 10.3.0.1

        DHCP Server . . . . . . . . . . . : 10.3.0.1

        DNS Servers . . . . . . . . . . . : 9.9.9.9

        Lease Obtained. . . . . . . . . . : 2020-6-26 9:38:14

        Lease Expires . . . . . . . . . . : 2020-6-26 9:38:14

Comentado lo anterior, paraayudarte con tu pregunta.

• Comprueba si tu servicio y/o PC donde esta el servicio pueden acceder a los nombres de dominio en Internet. Si es así, las configuraciones son correctas. De lo contrario, verifique y corrija las configuraciones.

Quedo atento a tus comentarios y/o preguntas.

Si esta información fue de utilidad, no olvides calificarla como mejor respues.

Saludos!

Hola @Gustavo.

Una duda, La conexión PPPoE seria posible por ejemplo si mi modem de mi ISP lo pongo en puente y hago que el FW se autentique mediante la interfaz que esta conectada a dicho modem. Ya realizado esto debería de poder generar politicas que lleven trafico a Internet (si es el caso puede ser tambien simplemente a otra red). ¿Es correcto? Creo que lo que expongo es lo que le pasa al usuario. Lo que el usuario requiere creo es el server mapping.

Estoy de acuerdo con la configuración que propone @Jorge.

Adicionalmente@EduUy dejo como puedes configurar el server mapping para que puedas publicar el servicio.
video: https://www.youtube.com/watch?v=0aktBoKaDP8
referencia: https://support.huawei.com/enterprise/en/doc/EDOC1000118180?section=j00k

Espero te ayude

Hola @jorge e @ismael.. Gracias por complementar la información, espero que la información que compartieron le ayude a @EduUy ya que en la pregunta no comenta hacia donde esta conectado el firewall (hacia un router, o algún modem, etc).esto limita poder contestar con mayor precisión el requerimiento.

Saludos.

#BuscaComunidadEnterprise