Discussione:
Fastweb e IP Pubblico....aggiornamenti!
(troppo vecchio per rispondere)
RaffiFast
2010-01-29 16:40:43 UTC
Permalink
Buonasera a tutto il gruppo,

faccio seguito al mio post di ieri, grazie al quale (tramite il vostro
aiuto) ho risolto il problema dell'uscita della mia LAN su IP Pubblico
statico richiesto a Fastweb.

Il problema che ora mi si pone è che, stranamente, se provo a vedere
l'IP assegnatomi da altri computer collegati tramite fastweb (ma senza
ip pubblico) non riesco a vedere il DVR collegato all'IP.
E' normale? posso risolvere in qualche modo??

Grazie ancora della pazienza e...aspetto soluzioni! ;)

Raf
ObiWan
2010-01-30 11:19:54 UTC
Permalink
Post by RaffiFast
Il problema che ora mi si pone è che, stranamente, se provo a vedere
l'IP assegnatomi da altri computer collegati tramite fastweb (ma senza ip
pubblico) non riesco a vedere il DVR collegato all'IP.
E' normale? posso risolvere in qualche modo??
1) dalla TUA rete (quella con il DVR) apri questo sito
https://www.grc.com/x/ne.dll?bh0bkyd2 quindi clicca su
proceed e poi su all service ports, lascia completare lo
scan e verifica che le porte necessarie (es. la 80) siano
riportate come "open"

2) se in (1) la 80 risulta "open", da un IP esterno, NON FW
prova a contattare la porta 80 del tuo IP pubblico

3) durante entrambi i tests tieni sott'occhio i logs del firewall
del tuo router facendo attenzione ad eventuale traffico
bloccato e diretto alle porte "interessate"
RaffiFast
2010-01-30 12:34:48 UTC
Permalink
Post by ObiWan
Post by RaffiFast
Il problema che ora mi si pone è che, stranamente, se provo a vedere
l'IP assegnatomi da altri computer collegati tramite fastweb (ma senza
ip pubblico) non riesco a vedere il DVR collegato all'IP.
E' normale? posso risolvere in qualche modo??
1) dalla TUA rete (quella con il DVR) apri questo sito
https://www.grc.com/x/ne.dll?bh0bkyd2 quindi clicca su
proceed e poi su all service ports, lascia completare lo
scan e verifica che le porte necessarie (es. la 80) siano
riportate come "open"
2) se in (1) la 80 risulta "open", da un IP esterno, NON FW
prova a contattare la porta 80 del tuo IP pubblico
3) durante entrambi i tests tieni sott'occhio i logs del firewall
del tuo router facendo attenzione ad eventuale traffico
bloccato e diretto alle porte "interessate"
Perdonami ma non ho capito bene....
Ho seguito il link, ed effettuato il test: mi da TUTTE le porte in verde
(quindi dovrebbe essere stealth). Cosa devo fare ora? Posso modificarle
in "open"?
ObiWan
2010-01-31 17:19:37 UTC
Permalink
Post by RaffiFast
Post by ObiWan
1) dalla TUA rete (quella con il DVR) apri questo sito
https://www.grc.com/x/ne.dll?bh0bkyd2 quindi clicca su
proceed e poi su all service ports, lascia completare lo
scan e verifica che le porte necessarie (es. la 80) siano
riportate come "open"
Ho seguito il link, ed effettuato il test: mi da TUTTE le porte in
verde (quindi dovrebbe essere stealth). Cosa devo fare ora?
Posso modificarle in "open"?
Verifica che le regole di forwarding sul tuo router siano state
impostate correttamente e che le porte stesse siano aperte sul
firewall del router; se il test ritorna "stealth" (alias "filtered")
significa che da IP esterni le porte risultano filtrate e quindi
non sono visibili
Macs
2010-01-31 13:48:18 UTC
Permalink
Ciao
se provo a vedere l'IP assegnatomi da altri computer collegati tramite
fastweb (ma senza ip pubblico) non riesco a vedere il DVR collegato
all'IP.
E' normale?
E' normale quando provi da altri computer su rete FW - in primis quelli
collegati alla tua CPE/HAG & a volte (a seconda del POP/Minipop di
attestazione) anche quelli di altri utenti con linee/IP sulla medesima
subnet MAN /24 (maschera 255.255.255.0 / primi 3 ottetti IP uguali ai
tuoi).

Motivazione tecnica : FW non configura il NAT Loopback per l'IP Pubblico
sulle linee Residenziali/SOHO con CPE/HAG, per cui non avviene la
redirezione in caso di richieste provenienti dalla rete interna MAN
FW con IP sorgente appartenente al proprio pool utenza (o alla medesima
subnet MAN /24 in alcuni casi).

Spiegazione pratica tramite un esempio :
==
- Utenza Fibra SOHO su CPE/HAG con IP Statico attivato
- Pool DHCP di 5 indirizzi IP MAN 39.a.b.81/82/83/84/85
- IP Statico x.y.z.w associato staticamente a IP 39.a.b.85 / MAC Address
dell'apparato

In tal caso gli apparati/computer con IP 39.a.b.81/82/83/84 non potranno
collegarsi all'IP x.y.z.w in quanto non vi sono regole di NAT, che
provvedano a 'redirigere' la loro connessione verso l'IP 39.a.b.85 .
posso risolvere in qualche modo??
Effettuando la connessione dai tuoi computer direttamente verso l'IP MAN
interno, e non verso l'IP Pubblico Statico associato.

Riprendendo l'esempio sopracitato, in termini pratici dalla tua linea
dovresti collegarti a http://39.a.b.85 invece che a http://x.y.z.w .
--
|¯ \/¯ | /¯\ /¯__/¯__|<|> *FAX/Mail Server : +39 - 02700426582 <|
|¯|\/|¯|/¯_¯\|(__\__ \<|> *Casella Vocale : +39 - 0230312251 <|
|_| |_/_/ \_\___|___/<|> *FAQ ITGF http://plany.fasthosting.it <|
|>- RST - Plany/MACS -<|> *FAQ GCN http://faq.news.nic.it/ ____<|
nameci
2010-01-31 14:15:15 UTC
Permalink
Post by Macs
- IP Statico x.y.z.w associato staticamente a IP 39.a.b.85 / MAC Address
dell'apparato
Questo mi incuriosisce. Se ho capito dalla tua descrizione l'HAG di fastweb
non contiene le informazioni dell'ip pubblico. Pero' tale informazione da
qualche parte in qualche router nella rete FW deve esserci. Prima o poi la
richiesta di un apparato dalla rete interna a quell'ip deve trovare la
risoluzione e tornare indietro. Oppure FW non prevede che l'accesso ad un ip
pubblico fornito da lei sia raggiungibile dalla sua rete interna? Mi
sembrerebbe un assurdo. Vorrebbe dire che l'eventuale mio sito non sarebbe
visibile da tutti gli utenti FW o da parte di loro in funzione di queste
restrizioni imposte da FW con una perdita non stimabile a priori di
potenziali clienti ( o che se mi trovo a casa di un altro utente FW il cui
indirizzamento ricade nelle regole FW non posso vedere il mio sistema dvr,
per restare in post). Possibile? O capito male io?
--
************** (.)_(.) *******************
Un amico è uno che sa tutto di te e,
nonostante questo, gli piaci
(E. Hobbard)
Macs
2010-01-31 18:01:10 UTC
Permalink
Ciao
Se ho capito dalla tua descrizione l'HAG di fastweb non contiene le
informazioni dell'ip pubblico. Pero' tale informazione da qualche
parte in qualche router nella rete FW deve esserci.
Giusto = la gestione del NAT/PAT e degli IP Pubblici Dinamici/Statici
avviene a monte della CPE lato utente nell'architettura base FW, vedasi
documento su http://plany.fasthosting.it/docs/IPPUTECH.zip .
Prima o poi la richiesta di un apparato dalla rete interna a quell'ip
deve trovare la risoluzione e tornare indietro.
Indipendentemente dalla configurazione/architettura dietro al NAT/PAT
(quindi p.es. anche in un ambito domestico con un proprio router su
linea ADSL di altro ISP) cio' avviene solo quando esistono regole di NAT
Loopback Local/Global -> vedansi p.es. riferimenti su :
==
- http://www.google.it/#hl=it&q=ip+"nat+loopback"
- http://www.andreabeggi.net/2007/11/05/nat-regola-di-loopback/

Pertanto nel caso di configurazioni IPPD residenziale/SOHO e IP Pubblico
Statico SOHO CPE/HAG non avviene alcuna redirezione WAN IPPD/IPPS->MAN
quando la richiesta proviene da un apparato associato ad un indirizzo IP
appartenente al proprio pool utenza MAN.

Questo succede anche perche' FW presuppone che gli utenti non abbiano
problemi a collegarsi direttamente ad un loro IP MAN, che conoscono.


Qualora invece la richiesta provenga da un IP interno MAN assegnato ad
un'altra utenza, ma attestato sulla medesima subnet /24 (differente solo
per l'ultimo ottetto), allora vi possono essere 2 situazioni in funzione
delle differenze di configurazione (ved. versioni IOS, gestione del
carico sugli apparati, policy di sicurezza) sui POP/Minipop :
==
1. La connessione viene gestita alla stregua di quelle provenienti
dall'esterno della rete FW o da altre reti/subnet MAN FW, per cui si
ha la redirezione WAN IPPD/IPPS->MAN senza problemi.

2. La connessione non viene rediretta e va in timeout.


In caso di riscontro effettivo di quest'ultima situazione da parte di
altre utenze sulla medesima subnet MAN /24 e' opportuno effettuare una
segnalazione all'assistenza tecnica FW.

Nell'attesa che FW intervenga in modo risolutivo (ed i tempi non sono
comunque brevi, considerando la tipologia di intervento), si puo
risolvere l'empasse, p.es.:
==
A. Fornendo temporaneamente in modo esplicito l'indirizzo IP MAN (o un
nome-host associato e.g. tramite Dynamic DNS) come destinazione per
le connessioni provenienti da utenti su rete FW.

B. Usare sistemi esterni per redirigere la connessione verso l'IP MAN o
verso l'IP Pubblico IPPD/IPPS associato a seconda dell'indirizzo IP
sorgente.

Per quanto riguarda quest'ultimo punto, consideriamo ad esempio di
avere un server web in ascolto sulla porta 80 dell'IP MAN 39.a.b.85 con
tale IP associato tramite IP Pubblico Statico a x.y.z.w .

E' quindi possibile creare un account su un hosting free (e.g. Xoom o
Altervista) e caricarvi una pagina index.htm con il seguente codice :
==
------------------------------------------------------------------------
<html>
<head>
<title>Redirect Page</title>

<SCRIPT LANGUAGE="JavaScript">

var ip = '<!--#echo var="REMOTE_ADDR"-->';

function wanman(){
if (ip.substr(0,2) == '1.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,2) == '2.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,2) == '5.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '11.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '14.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '21.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '22.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '23.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '27.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '28.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '29.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '31.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '36.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '37.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '39.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '42.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else if (ip.substr(0,3) == '51.') {
history.go(-1);
window.location.replace("http://39.a.b.85");
}
else {

history.go(-1);
window.location.replace("http://x.y.z.w");
}
}
wanman();

</SCRIPT>

</head>
<body bgcolor="#000000" text="#000000" link="#CC0000">
blank
</body>
</html>
------------------------------------------------------------------------

In questo modo gli utenti FW con IP sorgente MAN, che accedono a tale
pagina index.htm, sono rediretti sull'IP MAN -> tutti gli altri, cioe'
le utenze FW Business/Aziendali su router con IP Pubblici statici & le
utenze di altri ISP, verranno invece rediretti sull'IP Pub IPPD/IPPS.
--
|¯ \/¯ | /¯\ /¯__/¯__|<|> *FAX/Mail Server : +39 - 02700426582 <|
|¯|\/|¯|/¯_¯\|(__\__ \<|> *Casella Vocale : +39 - 0230312251 <|
|_| |_/_/ \_\___|___/<|> *FAQ ITGF http://plany.fasthosting.it <|
|>- RST - Plany/MACS -<|> *FAQ GCN http://faq.news.nic.it/ ____<|
Continua a leggere su narkive:
Loading...