Pomoc Bridge mode a bezpieczeństwo

[Kamil84]

Witam.
Szukałem na forum i internecie podobnych informacji, ale nie znalazłem odpowiedzi.
Mam QNAPa za podwójnym NATem, 1 router to connect box(compal) od UPC, publiczny IP zmienny, drugi to USG od Ubi.
Myślałem nad zmianą compala w tryb bridge, ze względu na problemy w Windowsach z autentykacją L2TP. W pracy wiadomo, IT zablokowało możliwość instalacji OpenVPN itp. Więc zostaje jedynie L2TP, ale przez podwójny NAT muszę grzebać w rejestrze, a nie mam uprawnień.

I stąd główne pytanie.

Jak wygląda sprawa bezpieczeństwa sieci, urządzeń po takiej zmianie ? Że na USG będę miał IP publiczny, czyli zostanę za 1 NATem ?

Na USG mam wyłączony IDS/IPS, ze względu na ograniczenie przepustowości.
Porty jakie mam 'wystawione' w świat to jedynie do webgui QNAPa(inne niż standardowe) i OpenVPN i L2TP na USG.
Dziękuję za podpowiedzi

Wersja oprogramowania Firmware: 4.5.2
Model serwera: QNAP TS-453D

 

[Ice]

Jeżeli zrobisz bridge na UPC, to on staje się totalnie transparentny i na pierwszy ogień idzie USG. Niestety przepustowość bardzo mało bo nie dobija do 100Mbit. I'm mniej portów tym lepiej. W IPS możesz wyłączyć wszystko i dać blokowanie regionalne tj. tylko polskie IP. Przepustowość wtedy nie poleci.
Jeżeli dla Ciebie to nie problem to pomyślanym o zmianie USG na coś lepszego i zaczął używać IPSa.

 

[Kamil84]

Dzięki @daniel_t za odpowiedź.
Na razie nie mam możliwości wymiany USG.
Ewentualnie, do domowych podstawowych w sumie zastosowań, to który będzie lepszy ? Udm pro czy USG pro ?
IPS nie sprawdzałem pod tym kątem, dzięki za wskazówki.

 

[Ice]

UDM base -> masz od razu z AP.

 

[Kamil84]

Specjalnie go nie brałem, bo już miałem powieszone APki i switcha, a on wtedy wszedł na rynek i nie było sensu go brać.
Wizualnie chciałem wszystko schować.
Dzięki

 

[Ice]

UDM Pro ma potencjał na większe sieci.

 

[Usunięty użytkownik pigers]

Więc zostaje jedynie L2TP, ale przez podwójny NAT muszę grzebać w rejestrze, a nie mam uprawnień.

nie rozumiem ? co podwójny NAT ma do grzebania w rejestrze ? rozwiniesz myśl ?

 

[Ice]

Windows to ja się nie znam. Ale porty kierować można z routera nas router. Może kolega to przegapił?

 

[Usunięty użytkownik pigers]

dla mnie to oczywiste , ale chce wiedzieć o co biega z tym rejestrem - może dowiem się czegoś nowego ?

 

[Kamil84]

o co biega z tym rejestrem

Próbując połączyć sie na Windows z serwerem L2TP wyskakuje błąd "The L2TP connection attempt failed because the security layer encountered a processing error during the initial negotiations with the remote computer” .
I podobno dodanie wartości DWORD w rejestrze poprawia to. Nie sprawdzałem bo na korpo pc nie mogę, a w prywatnym laptopie nie mam potrzeby bo np. tel się łączy po L2TP.
@daniel_t nie przegapiłem, porty przekierowane. Dostęp ogólnie wszystko mam, pytałem tylko o bridge mode

 

[Ice]

Masz rację, w Windows trzeba zmienić coś w rejestrze żeby L2TP działał.

 

[Usunięty użytkownik pigers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
AssumeUDPEncapsulationContextOnSendRule=dword:00000002

to ?

 

[Kamil84]

@pigers tak to.

 

[Usunięty użytkownik pigers]

tia - babol od M$a.

 

[Kamil84]

Wiem, że babol m$. Ale od razu obstawiacie ciemnotę...
Ja tylko pytałem czy jest duża różnica w bezpieczeństwie z podwójnym NAT i w trybie bridge. Przy okazji wspomniałem o problemach z l2tp

 

[Ice]

Rób pan bridge.

 

[Usunięty użytkownik pigers]

zdecydowanie ułatwia życie - mniejszy nakład roboty żeby tym zarządzać