Varianti NAT
Quando si utilizza un proprio firewall o un gateway di sicurezza dietro un Centro Business, sono disponibili diverse modalità operative. La scelta della modalità corretta è fondamentale per la stabilità della rete, la compatibilità VPN e l'utilizzo dei servizi aggiuntivi Swisscom come blue TV o il backup Internet.
Questa guida confronta i cinque metodi disponibili: IP-Passthrough, PPP-Passthrough, DMZ, 1:1 NAT e Reindirizzamento porte. Serve come base decisionale per gli specialisti IT per garantire il collegamento ottimale della propria infrastruttura alla rete Swisscom.
Panoramica
| Funzione | IP-Passthrough | PPP-Passthrough | DMZ | 1:1 NAT | Reindirizzamento porte |
|---|---|---|---|---|---|
| WAN-IP Host | 172.31.255.6 | IP pubblico | IP pubblico | IP LAN priv. | IP LAN priv. |
| MTU Size | 1500 | 1492 | 1500 | 1500 | 1500 |
| Login (PPPoE) | Centro Business | Proprio firewall | Centro Business | Centro Business | Centro Business |
| Firewall Centro Business | Inattivo | Inattivo | Firewall DMZ | Firewall LAN | Firewall LAN |
| Assegnazione porte | Porta 1*/5** | Porta 1*/5** | Porta 1*/5** | Qualsiasi | Qualsiasi |
| Num. IP fissi necessari | nessuno | min. 1 IP fisso | min. 4 IP fissi | min. 4 IP fissi | min. 4 IP fissi |
| Internet Backup | Sì | No | Sì | Sì | Sì |
| Blue TV | Sì | Sì con limitazioni*** | Sì | Sì | Sì |
* Centro Business 2.0 / ** Centro Business 3.0
* La radio e tutte le app come Netflix, Youtube ecc. non funzionano
DMZ / Indirizzi pubblici
Questa modalità consente l'assegnazione diretta di indirizzi IP pubblici ai dispositivi terminali interni senza alcun intervento NAT.
-
Requisito: Richiede l'opzione a pagamento "Indirizzi IP fissi" con una sottorete di almeno 4 indirizzi IP statici (ad es. una rete /30).
-
Funzionamento: A un dispositivo specifico (ad es. server o firewall) viene assegnato un IP pubblico della sottorete noleggiata. Il Centro Business funge da router Layer-3 trasparente per questa sottorete.
-
Sicurezza: Per proteggere la rete interna, l'accesso dalla DMZ alla LAN locale (sottorete predefinita del router) è bloccato per impostazione predefinita.
-
Vantaggi: Nessun conflitto di pacchetti dovuto al NAT, MTU completa di 1500 byte e pieno supporto del backup Internet Swisscom (failover LTE).
Vai alla pagina DMZ (Indirizzi pubblici).
IP-Passthrough (caso speciale Swisscom)
In questo processo, il Centro Business termina la connessione Internet, ma inoltra il traffico attraverso una rete di trasferimento dedicata al firewall a valle.
-
Implementazione tecnica: Swisscom utilizza a tale scopo una sottorete di trasferimento (172.31.255.4/30). Il firewall a valle viene configurato con l'IP statico 172.31.255.6, mentre il Centro Business esegue un NAT 1:1 automatico dell'IP pubblico su questo indirizzo.
-
Vantaggi: Pieno supporto dell'MTU standard di 1500. Inoltre, tutti i servizi basati sul router come VoIP e blue TV rimangono pienamente funzionali senza configurazioni aggiuntive.
-
Particolarità: Contrariamente alle implementazioni standard, il firewall non vede l'IP pubblico sull'interfaccia WAN, bensì l'IP della rete di trasferimento. Ciò deve essere considerato nella configurazione VPN (NAT Traversal).
Vai alla pagina IP-Passthrough.
PPP-Passthrough (PPPoE)
Annuncio
L'uso del PPP-Passthrough sarà gradualmente interrotto nei prossimi due o tre anni, poiché la procedura PPPoE è considerata obsoleta e sempre meno supportata dalle moderne infrastrutture di rete.
La nostra raccomandazione:
Sostituire l'esigenza a medio termine con la funzione DMZ o l'IP-Passthrough.
In questa modalità, il Centro Business funge da intermediario trasparente per il protocollo PPPoE (Point-to-Point Protocol over Ethernet).
-
Configurazione: Il firewall a valle si occupa della connessione attiva alla rete Swisscom utilizzando i dati di accesso ISP (nome utente/password).
-
Vantaggio: Il firewall riceve l'indirizzo IP pubblico direttamente sulla sua interfaccia WAN, il che semplifica la gestione degli endpoint VPN e delle aperture porte.
-
Svantaggio: La dimensione dei pacchetti utilizzabile si riduce a una MTU di 1492 a causa dell'overhead del protocollo. Senza una corretta regolazione (MSS Clamping), ciò può portare a significative perdite di prestazioni o interruzioni della connessione.
-
Stato: Questa procedura è considerata obsoleta e non sarà più supportata a medio termine nell'ambito di un phase-out.
Vai alla pagina PPP-Passthrough.
1:1 NAT (Standard)
Il NAT 1:1 assegna in modo fisso un indirizzo IP privato interno a un indirizzo IP pubblico esterno. Contrariamente al tradizionale Port Forwarding (PAT), tutte le porte e i protocolli vengono trasmessi in modo trasparente.
-
Comunicazione bidirezionale: L'assegnazione tra l'indirizzo privato e quello pubblico rimane permanente:
-
Inbound: Il traffico in entrata verso l'IP pubblico viene inoltrato interamente all'IP interno specifico.
-
Outbound: Il traffico in uscita dell'host interno appare su Internet in modo coerente sotto l'IP pubblico assegnato.
-
Vai alla pagina Reindirizzamento porte.
Reindirizzamento porte
Il reindirizzamento delle porte è il metodo più comune per rendere accessibili servizi specifici di un host interno (ad es. server web sulla porta 80/443) tramite l'IP pubblico del Centro Business.
-
Funzionamento: Le richieste di connessione in entrata verso l'indirizzo IP pubblico del router vengono inoltrate a un indirizzo IP privato interno specifico sulla base di un numero di porta definito.
-
Sicurezza: A differenza delle modalità DMZ o Passthrough, il firewall del Centro Business rimane attivo. Viene aperta solo la porta esplicitamente rilasciata; il resto del traffico verso l'host interno continua a essere bloccato.
-
Limitazione: Poiché l'indirizzo IP pubblico è condiviso (Port Address Translation - PAT), una porta specifica (ad es. TCP 443) può essere reindirizzata sempre solo a un unico dispositivo interno.
Vai alla pagina Reindirizzamento porte.