De acuerdo

Publicar servicio en una interfaz que se conecta a Internet utilizando PPPoE

Publicado 2020-6-25 13:29:40Última respuesta ag. 12, 2020 05:43:10 281 7 0 0 0
  Recompensa Goldies : 0 (solución de problemas)

No estoy consiguiendo publicar un servicio en una interfaz que se conecta a Internet utilizando PPPoE. 

En las reglas de NAT y las reglas de seguridad, no me permite seleccionar la interfaz PPPoE por lo que no puedo publicar ningún servicio en dicha interfaz.

 

El modelo de equipo que tengo es un USG 6530E y estoy con la versión V600R007C00SPC200

 

Es posible esto ?

Gracias desde ya

   

  • x
  • convención:

Respuestas destacadas
Gustavo.HdezF
Admin Publicado 2020-6-26 11:25:21

Hola Usuario. Te comparto la documentación para que conozcas más sobre la función de PPPoE para el firewall USG6530E.


PPPoE


Adicionalmente te comento que la implementación que buscar realizar no esta soportada ya que el objetivo del PPPoE en un firewall es para conectar dos firewalls uno como cliente y el otro como servidor. No contempla conexiones externas como el caso de internet.


Espero que esta información conteste tu pregunta.


Saludos.

Ver más
  • x
  • convención:

Jorge
VIP Publicado 2020-6-26 11:33:09

@EduUy


Te ayudo con un ejemplo, esperando se de utilidad y resuelva este problema.


Ejemplo para acceder a Internet usando IPv4 PPPoE


Como se muestra en el siguiente diagrama de red, el firewall proporciona una salida de Internet para PC en la LAN. La red de la empresa se planifica de la siguiente manera:


f

  • Todas las PC en la LAN se implementan en el segmento de red 10.1.1.0/24, y obtienen dinámicamente direcciones IP a través de DHCP.

  • El dispositivo se conecta a todas las PC de la empresa a través del enlace descendente (downstream).

  • El dispositivo solicita el servicio de Internet del carrier a través del enlace ascendente (upstream). El servicio de acceso a Internet se proporciona utilizando el protocolo PPPoE.

De acuerdo con los requisitos anteriores, especificados en el firewall como un cliente PPPoE. Una vez que el cliente obtiene las direcciones IP y DNS del servidor del carrier, los usuarios de la intranet y/o servicios pueden acceder a Internet.


En el siguiente ejemplo, la información proporcionada por el carrier se usa solo como referencia.


Interfaz: GigabitEthernet 1/0/1

Zona de seguridad: Untrust

  • El dispositivo obtiene las direcciones IP y DNS del servidor PPPoE (implementado por el carrier) a través del acceso telefónico.

  • Nombre de usuario de acceso telefónico: usuario

  • Contraseña de acceso telefónico: contraseña


Número de interfaz: GigabitEthernet 1/0/3

Dirección IP: 10.3.0.1/24

Zona de seguridad: Trust

  • DHCP se usa para asignar dinámicamente direcciones IP a las PC en la LAN.


Configuramos la dirección IP de la interfaz GigabitEthernet 1/0/3

<FW> system-view[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit

Asignamos las interfaces a la zona de seguridad

[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit


Configuramos el dispositivo como un servidor DHCP para asignar direcciones IP a las PC en la LAN.

# Habilitamos la función DHCP.

[FW] dhcp enable


Creeamos un grupo de direcciones de interfaz en la interfaz y especificamos el servidor DNS para las PC y/o servicio a publicar de la intranet.

[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] dhcp select interface
[FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254
[FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9
[FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1
[FW-GigabitEthernet1/0/3] quit


Configuramos la interfaz GigabitEthernet 1/0/1 para que obtenga direcciones IP y DNS utilizando PPPoE.

[FW] dialer-rule 1 ip permit
[FW] interface Dialer 1
[FW-Dialer1] link-protocol ppp
[FW-Dialer1] dialer user user
[FW-Dialer1] ip address ppp-negotiate
[FW-Dialer1] ppp ipcp dns admit-any
[FW-Dialer1] dialer-group 1
[FW-Dialer1] dialer bundle 1
[FW-Dialer1] ppp pap local-user user password cipher password
[FW-Dialer1] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface Dialer 1
[FW-zone-untrust] quit
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1 ipv4
[FW-GigabitEthernet1/0/1] quit


Configuramos una política de seguridad para permitir que las PC y/o servicio de la intranet accedan a Internet.

[FW] security-policy
[FW-security-policy] rule name policy_sec_1
[FW-security-policy-policy_sec_1] source-address 10.3.0.0 mask 255.255.255.0
[FW-security-policy-policy_sec_1] source-zone trust
[FW-security-policy-policy_sec_1] destination-zone untrust
[FW-security-policy-policy_sec_1] action permit
[FW-security-policy-policy_sec_1] quit
[FW-security-policy] quit


Configuramos una política NAT para permitir que los usuarios y/o servicios de la intranet accedan a Internet.

[FW] nat-policy
[FW-policy-nat] rule name policy_nat_1
[FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0
[FW-policy-nat-rule-policy_nat_1] source-zone trust
[FW-policy-nat-rule-policy_nat_1] egress-interface dialer 1
[FW-policy-nat-rule-policy_nat_1] action nat easy-ip
[FW-policy-nat-rule-policy_nat_1] quit
[FW-policy-nat] quit


Configuramos una ruta predeterminada para asegurarnos de que los usuarios y/o servicios de LAN sean enrutables a Internet. El siguiente salto es la dirección de puerta de enlace asignada por el carrier a la empresa.


[FW] ip route-static 0.0.0.0 0.0.0.0 Dialer


Validación

  1. Mostramos la información detallada de GigabitEthernet 1/0/1 y validamos si el estado físico y el estado de IPv4 de la interfaz es Up.

[FW] display interface GigabitEthernet 1/0/1GigabitEthernet 1/0/1 current state : UP                                        Line protocol current state : UP      GigabitEthernet 1/0/1 current firewall zone : untrust
Description : GigabitEthernet 1/0/1 Interface, Route Port
The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)
Internet Address is 1.1.1.1/24  IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101
Media type is twisted pair, loopback not set, promiscuous mode not set    
100Mb/s-speed mode, full-duplex mode, link type is auto negotiation
max-bandwidth : 100000 Kbps       
Max input bit rate:528530448 bits/sec at 2020-06-26 12:53:46
Max output bit rate:5280418 bits/sec at 2020-06-26 12:54:26
Max input packet rate:750753 packets/sec at 2020-06-26 22:43:46
Max output packet rate:7843 packets/sec at 2020-06-26 22:53:58
Last 300 seconds input rate 8  bytes/sec, 0  packets/sec  
Last 300 seconds output rate 8  bytes/sec, 0  packets/sec 
    Input: 1149 packets, 99478 bytes  
          12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses
          0 overruns, 0 runts, 0 jumbos, 0 FCS errors         
          0 length errors,  0 code errors, 0 align errors     
          0 fragment errors,  0 giants, 0 jabber errors       
          0 dribble condition detected,  0 other errors       
    Output: 1104 packets, 94646 bytes 
          7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses
          0 underruns, 0 runts, 0 jumbos, 0 FCS errors        
          0 fragment errors, 0 giants, 0 jabber errors        
          0 collisions, 0 late collisions         
          0 ex. collisions, 0 deferred, 0 other errors


Comprobamos si el estado PPPoE del firewall es Up. Comprobamos si el valor de los paquetes de salida de sesión PPPoE (OutP) no es 0.

[FW] display pppoe-client session summary
PPPoE Client Session:
ID   Bundle  Dialer  Intf             Client-MAC    Server-MAC    State 
0    1       1       GE1/0/1          00e0fc0254f3  00049a23b050  PPPUP

[FW] display pppoe-client session packet17:17:05 2020/06/25
PPPoE Client Session:
ID     InP     InO     InD     OutP     OutO     OutD
0      0       0       0       254      7620     0


En la PC donde se ejecuta el servicio a publicar en internet, ejecutamos el comando ipconfig / all para verificar si las direcciones IP y DNS privadas se han configurado correctamente para el adaptador de red. Lo siguiente usa en Windows como ejemplo.

Ethernet adapter Local:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
        Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
        Dhcp Enabled. . . . . . . . . . . : Yes
        Autoconfiguration Enabled . . . . : Yes
        IP Address. . . . . . . . . . . . : 10.3.0.3
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 10.3.0.1
        DHCP Server . . . . . . . . . . . : 10.3.0.1
        DNS Servers . . . . . . . . . . . : 9.9.9.9
        Lease Obtained. . . . . . . . . . : 2020-6-26 9:38:14
        Lease Expires . . . . . . . . . . : 2020-6-26 9:38:14


Comentado lo anterior, paraayudarte con tu pregunta.


  • Comprueba si tu servicio y/o PC donde esta el servicio pueden acceder a los nombres de dominio en Internet. Si es así, las configuraciones son correctas. De lo contrario, verifique y corrija las configuraciones.

Quedo atento a tus comentarios y/o preguntas.


Si esta información fue de utilidad, no olvides calificarla como mejor respues.


Saludos!

Ver más
  • x
  • convención:

Todas las respuestas
Gustavo.HdezF
Gustavo.HdezF Admin Publicado 2020-6-25 17:37:29
Hola. En breve te daremos una respuesta a tu pregunta. Saludos.
Ver más
  • x
  • convención:

Gustavo.HdezF
Gustavo.HdezF Admin Publicado 2020-6-26 11:25:21

Hola Usuario. Te comparto la documentación para que conozcas más sobre la función de PPPoE para el firewall USG6530E.


PPPoE


Adicionalmente te comento que la implementación que buscar realizar no esta soportada ya que el objetivo del PPPoE en un firewall es para conectar dos firewalls uno como cliente y el otro como servidor. No contempla conexiones externas como el caso de internet.


Espero que esta información conteste tu pregunta.


Saludos.

Ver más
  • x
  • convención:

Jorge
Jorge VIP Publicado 2020-6-26 11:33:09

@EduUy


Te ayudo con un ejemplo, esperando se de utilidad y resuelva este problema.


Ejemplo para acceder a Internet usando IPv4 PPPoE


Como se muestra en el siguiente diagrama de red, el firewall proporciona una salida de Internet para PC en la LAN. La red de la empresa se planifica de la siguiente manera:


f

  • Todas las PC en la LAN se implementan en el segmento de red 10.1.1.0/24, y obtienen dinámicamente direcciones IP a través de DHCP.

  • El dispositivo se conecta a todas las PC de la empresa a través del enlace descendente (downstream).

  • El dispositivo solicita el servicio de Internet del carrier a través del enlace ascendente (upstream). El servicio de acceso a Internet se proporciona utilizando el protocolo PPPoE.

De acuerdo con los requisitos anteriores, especificados en el firewall como un cliente PPPoE. Una vez que el cliente obtiene las direcciones IP y DNS del servidor del carrier, los usuarios de la intranet y/o servicios pueden acceder a Internet.


En el siguiente ejemplo, la información proporcionada por el carrier se usa solo como referencia.


Interfaz: GigabitEthernet 1/0/1

Zona de seguridad: Untrust

  • El dispositivo obtiene las direcciones IP y DNS del servidor PPPoE (implementado por el carrier) a través del acceso telefónico.

  • Nombre de usuario de acceso telefónico: usuario

  • Contraseña de acceso telefónico: contraseña


Número de interfaz: GigabitEthernet 1/0/3

Dirección IP: 10.3.0.1/24

Zona de seguridad: Trust

  • DHCP se usa para asignar dinámicamente direcciones IP a las PC en la LAN.


Configuramos la dirección IP de la interfaz GigabitEthernet 1/0/3

<FW> system-view[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
[FW-GigabitEthernet1/0/3] quit

Asignamos las interfaces a la zona de seguridad

[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/3
[FW-zone-trust] quit


Configuramos el dispositivo como un servidor DHCP para asignar direcciones IP a las PC en la LAN.

# Habilitamos la función DHCP.

[FW] dhcp enable


Creeamos un grupo de direcciones de interfaz en la interfaz y especificamos el servidor DNS para las PC y/o servicio a publicar de la intranet.

[FW] interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3] dhcp select interface
[FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254
[FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9
[FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1
[FW-GigabitEthernet1/0/3] quit


Configuramos la interfaz GigabitEthernet 1/0/1 para que obtenga direcciones IP y DNS utilizando PPPoE.

[FW] dialer-rule 1 ip permit
[FW] interface Dialer 1
[FW-Dialer1] link-protocol ppp
[FW-Dialer1] dialer user user
[FW-Dialer1] ip address ppp-negotiate
[FW-Dialer1] ppp ipcp dns admit-any
[FW-Dialer1] dialer-group 1
[FW-Dialer1] dialer bundle 1
[FW-Dialer1] ppp pap local-user user password cipher password
[FW-Dialer1] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface Dialer 1
[FW-zone-untrust] quit
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1 ipv4
[FW-GigabitEthernet1/0/1] quit


Configuramos una política de seguridad para permitir que las PC y/o servicio de la intranet accedan a Internet.

[FW] security-policy
[FW-security-policy] rule name policy_sec_1
[FW-security-policy-policy_sec_1] source-address 10.3.0.0 mask 255.255.255.0
[FW-security-policy-policy_sec_1] source-zone trust
[FW-security-policy-policy_sec_1] destination-zone untrust
[FW-security-policy-policy_sec_1] action permit
[FW-security-policy-policy_sec_1] quit
[FW-security-policy] quit


Configuramos una política NAT para permitir que los usuarios y/o servicios de la intranet accedan a Internet.

[FW] nat-policy
[FW-policy-nat] rule name policy_nat_1
[FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0
[FW-policy-nat-rule-policy_nat_1] source-zone trust
[FW-policy-nat-rule-policy_nat_1] egress-interface dialer 1
[FW-policy-nat-rule-policy_nat_1] action nat easy-ip
[FW-policy-nat-rule-policy_nat_1] quit
[FW-policy-nat] quit


Configuramos una ruta predeterminada para asegurarnos de que los usuarios y/o servicios de LAN sean enrutables a Internet. El siguiente salto es la dirección de puerta de enlace asignada por el carrier a la empresa.


[FW] ip route-static 0.0.0.0 0.0.0.0 Dialer


Validación

  1. Mostramos la información detallada de GigabitEthernet 1/0/1 y validamos si el estado físico y el estado de IPv4 de la interfaz es Up.

[FW] display interface GigabitEthernet 1/0/1GigabitEthernet 1/0/1 current state : UP                                        Line protocol current state : UP      GigabitEthernet 1/0/1 current firewall zone : untrust
Description : GigabitEthernet 1/0/1 Interface, Route Port
The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)
Internet Address is 1.1.1.1/24  IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101
Media type is twisted pair, loopback not set, promiscuous mode not set    
100Mb/s-speed mode, full-duplex mode, link type is auto negotiation
max-bandwidth : 100000 Kbps       
Max input bit rate:528530448 bits/sec at 2020-06-26 12:53:46
Max output bit rate:5280418 bits/sec at 2020-06-26 12:54:26
Max input packet rate:750753 packets/sec at 2020-06-26 22:43:46
Max output packet rate:7843 packets/sec at 2020-06-26 22:53:58
Last 300 seconds input rate 8  bytes/sec, 0  packets/sec  
Last 300 seconds output rate 8  bytes/sec, 0  packets/sec 
    Input: 1149 packets, 99478 bytes  
          12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses
          0 overruns, 0 runts, 0 jumbos, 0 FCS errors         
          0 length errors,  0 code errors, 0 align errors     
          0 fragment errors,  0 giants, 0 jabber errors       
          0 dribble condition detected,  0 other errors       
    Output: 1104 packets, 94646 bytes 
          7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses
          0 underruns, 0 runts, 0 jumbos, 0 FCS errors        
          0 fragment errors, 0 giants, 0 jabber errors        
          0 collisions, 0 late collisions         
          0 ex. collisions, 0 deferred, 0 other errors


Comprobamos si el estado PPPoE del firewall es Up. Comprobamos si el valor de los paquetes de salida de sesión PPPoE (OutP) no es 0.

[FW] display pppoe-client session summary
PPPoE Client Session:
ID   Bundle  Dialer  Intf             Client-MAC    Server-MAC    State 
0    1       1       GE1/0/1          00e0fc0254f3  00049a23b050  PPPUP

[FW] display pppoe-client session packet17:17:05 2020/06/25
PPPoE Client Session:
ID     InP     InO     InD     OutP     OutO     OutD
0      0       0       0       254      7620     0


En la PC donde se ejecuta el servicio a publicar en internet, ejecutamos el comando ipconfig / all para verificar si las direcciones IP y DNS privadas se han configurado correctamente para el adaptador de red. Lo siguiente usa en Windows como ejemplo.

Ethernet adapter Local:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
        Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
        Dhcp Enabled. . . . . . . . . . . : Yes
        Autoconfiguration Enabled . . . . : Yes
        IP Address. . . . . . . . . . . . : 10.3.0.3
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 10.3.0.1
        DHCP Server . . . . . . . . . . . : 10.3.0.1
        DNS Servers . . . . . . . . . . . : 9.9.9.9
        Lease Obtained. . . . . . . . . . : 2020-6-26 9:38:14
        Lease Expires . . . . . . . . . . : 2020-6-26 9:38:14


Comentado lo anterior, paraayudarte con tu pregunta.


  • Comprueba si tu servicio y/o PC donde esta el servicio pueden acceder a los nombres de dominio en Internet. Si es así, las configuraciones son correctas. De lo contrario, verifique y corrija las configuraciones.

Quedo atento a tus comentarios y/o preguntas.


Si esta información fue de utilidad, no olvides calificarla como mejor respues.


Saludos!

Ver más
  • x
  • convención:

ismael
ismael VIP Publicado 2020-6-26 13:33:21
Hola @Gustavo.

Una duda, La conexión PPPoE seria posible por ejemplo si mi modem de mi ISP lo pongo en puente y hago que el FW se autentique mediante la interfaz que esta conectada a dicho modem. Ya realizado esto debería de poder generar politicas que lleven trafico a Internet (si es el caso puede ser tambien simplemente a otra red). ¿Es correcto? Creo que lo que expongo es lo que le pasa al usuario. Lo que el usuario requiere creo es el server mapping.

Estoy de acuerdo con la configuración que propone @Jorge.

Adicionalmente@EduUy dejo como puedes configurar el server mapping para que puedas publicar el servicio.
video: https://www.youtube.com/watch?v=0aktBoKaDP8
referencia: https://support.huawei.com/enterprise/en/doc/EDOC1000118180?section=j00k

Espero te ayude
Ver más
  • x
  • convención:

Gustavo.HdezF
Gustavo.HdezF Admin Publicado 2020-6-26 13:48:51
Hola @jorge e @ismael.. Gracias por complementar la información, espero que la información que compartieron le ayude a @EduUy ya que en la pregunta no comenta hacia donde esta conectado el firewall (hacia un router, o algún modem, etc).esto limita poder contestar con mayor precisión el requerimiento.

Saludos.
Ver más
  • x
  • convención:

ismael
ismael Publicado 2020-6-26 17:32 (0) (0)
Eso que ni que, es algo común que no den mucha información pero esperemos que esto cambie con el tiempo.

Saludos.  
user_3534231
user_3534231 Publicado 2020-8-12 05:43:10

#BuscaComunidadEnterprise


#BuscaComunidadEnterprise


Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.