Centro XXI - Pasarela

De EduWiki
Saltar a: navegación, buscar

El servicio de DMZ nos permite tener acceso desde Internet a una subred aislada del centro (192.168.192.0/24). Por ejemplo para tener acceso a cámaras de seguridad, para hacer prácticas de red, para poder publicar un servicio web en internet etc.

Para dar este servicio se le asigna un IP pública estática, y se habilita la interfaz eth3 del PD para encauzar las peticiones que lleguen a esta IP pública a través de esta interfaz.

Esta subred estará aislada del resto y no esta permitido reutilizar la electrónica existente para utilizar este servicio, ni mezclar las redes a través de cualquier otro medio. Todas las conexiones que salgan o vayan hacía esa red deben estar encauzadas a través del PD del centro.

Existen 2 posibles configuración del servicio de DMZ.

  • Modo Route
  • Modo NATP

Ambos se pueden elegir y configurar a través de la aplicación de pasarela de la web https://pd.educarm.net/CentroXXI/

Modo Route

En este modo el PD del centro se comporta como un router intermedio más de internet, que conoce una vía para llegar a la IP PUBLICA del centro. Con lo cual el PD pasa todo el tráfico que le llega con destino a la IP PUBLICA por su eth3 hacia el siguiente salto que es la 192.168.192.10. Lo normal es que en este modo el centro disponga de un ROUTER, FIREWALL o similar que sepa que hacer con esa IP y como manejarla. Este ROUTER debe ser el encargado de asegurarse que todo lo que vaya hacía internet deberá salir con la IP PUBLICA.

400px

Modo NatP

Aquí se encarga el PD de gestionar el que hacer con el tráfico que le llega a la IP PUBLICA, se comporta como el router que podemos tener en casa y tiene la capacidad de mapear el tráfico que vaya hacia la IP PUBLICA y un puerto hacia un equipo de la red 192.168.192.0/24 y un puerto. Es el PD el que se encarga de todo, hace y deshace los SNAT y lleva la gestión de que puertos están accesibles desde fuera.

Pasarela modo natp.png

Gestión del Modo NatP

Una vez que seleccionamos este modo nos saldrá una tabla donde podemos editar la dirección de los flujos de tráfico que vamos a recibir.
La tabla tendrá el siguiente aspecto:
Pasarea modo natp tabla.png

  • El PUERTO ORIGEN: El puerto de acceso externo, el que conocen los usuarios del servicio.
  • PROTOCOLO: Sólo tenemos 3 opciones, TCP, UDP o ambas.
  • IP DESTINO: Esta será una IP interna del rango que nos fija por defecto, esta red debe estar aislada completamente del centro, sólo debe ser accesible a través del PD.
  • PUERTO DESTINO: Es el puerto por donde recibirá las peticiones la ip privada interna. En muchos casos coincidirá con el puerto origen, pero no tiene por qué.
  • DESCRIPCION: Una breve descripción de para qué se utiliza este servicio.


Resumen y condiciones

Para esto se utilizará la línea de acceso a Internet del centro. En ningún caso se contratará una línea adicional para esta finalidad. La tarjeta de red del PD-X00 es ETH3. El centro debe tener una línea de FO de 10 Mbps o 100 Mbps. No se ha probado en líneas del tipo ADSL. Todo el tráfico pasa por el filtro de contenidos de F-Integra. Todos los puertos estarán abiertos. El Centro será el encargado de administrar este servicio una vez esté habilitado.


CONDICIONES PARA RECIBIR EL SERVICIO

  1. tener FO de de 10 Mbps o 100 Mbps.
  2. tener ADSL de calidad suficiente. Si hay incidencias de acceso a Internet no es aconsejable poner el servicio.
  3. tener IP pública asignada. Esta la gestiona el Servicio de Gestión Informática
  4. tener libre la tarjeta ETH3.

SERVICIOS QUE SE PUEDES OFRECER

  • http,
  • ftp,
  • vpn,
  • simulación de telemantenimiento (vnc, y otros),
  • centralita IP tipo Asterix,
  • configuración de QoS y mediciones de tráfico,
  • Videovigilancia,
  • cámaras IP,
  • videoconferencias,
  • ….

Ejemplo

La red privada para asignar direccionamiento a los equipos que se quieran ver desde fuera del centro: 192.168.192.0/24 POR MOTIVOS DE SEGURIDAD, ESTA RED : 192.168.192.0/24 TIENE QUE ESTAR AISLADA DE LAS REDES DEL CENTRO GESTIÓN Y DOCENCIA.

La red pública será del tipo: 80.73.xxx.xxx

Para acceder desde Internet al servidor de vídeo, servidor ftp,….. la URL estaría formada  
“http:// 80.73.xxx.xxx:puerto”
“puerto: el que se decida el centro , en función del tipo de servicio”.
"El dirección DNS y GATEWAY será 192.168.192.1 y corresponde a la ETH3 del equipo PD-600"
"Las direcciones IP a utilizar por el centro comenzarán a partir de la 192.168.192.10" 


Este proyecto va dirigido a centros que lo puedan administrar directamente

Implicaciones

Aunque la red está aislada y es una dirección diferente, la infraestructura por la que pasa todo el tráfico es la misma que la red educativa, por lo tanto pasa por el FILTRO DE CONTENIDOS.

Recomendaciones

Para configuración de cámaras y alarmas, es muy importante que el técnico que realice la instalación se conecte a la red de pasarela con el portátil o equipo con el que vaya a realizar la actuación, de otro modo puede dar lugar a malas configuraciones y problemas difíciles de resolver posteriormente. En esta red no hay DHCP por lo que deberá configurar manualmente la interfaz, puede hacerlo por ejemplo con la siguiente configuración:

IP: 192.168.192.155 (siempre y cuando no haya un equipo con esta IP)
MASCARA: 255.255.255.0
GATEWAY o Puerta de Enlace: 192.168.192.1
DNS: 192.168.192.1