Discussione:
Invo mail logs da router
(troppo vecchio per rispondere)
pardo
2024-06-27 21:45:27 UTC
Permalink
Torno su un argomento che si è rivelato molto didattico, e con risvolti
anche utili tutto sommato, non sto a spiegare tutto perché l'ultima
discussione sulle prese smart era diventata una roba inconsultabile.

Faccio una sintesi sulla situazione strettamente inerente a ciò che
voglio chiedere qui ora.

Ho un router remoto che è in grado di inviare via mail un file di log.
Nel file di log appare il proprio IP assegnatogli dall'ISP.
Si tratta di un IP privato del range 100.64.0.0/10 utilizzato nei CGNAT.
In teoria sarebbe irraggiungibile dall'esterno.
In pratica ho un'altra connessione privilegiata che è in grado di
raggiungerlo perché collegata ad internet con lo stesso ISP e in qualche
modo si trova sulla stessa sotto rete interna, non lo so, ad ogni modo
se conosco l'IP del router remoto, benché privato posso accedervi.
In particolare via Wake On LAN posso accendere un PC ubicato nella
rete locale dietro quel router remoto.

Nella pratica vorrei fare sta cosa:
- il router invia la mail di log con scritto il suo IP
- io lo leggo quando mi serve accedere al PC remoto e con wake on lan
lo accendo

Fine dello scenario. Veniamo al punto.

Il sistema di invio mail del router è molto limitato, ecco cosa posso
configurare:

- From:
- To:
- SMTP Server:
- intervallo di invio automatico (orario, oppure giornaliero)

le limitazioni sono:

- il server SMTP deve accettare email solo su porta 25
- l'autenticazione è opzionale, ma se si attiva è prevista solo in
modalità PLAIN TEXT

Oggi giorno, non conosco servizi che mettano a disposizione una
modalità di invio delle mail del genere, ora come minimo presuppongono
collegamento criptato via TLS ecc...

Esistono alcuni cosiddetti "smtp open relay", che funzionerebbero anche
per il mio scopo, ma dalla connessione remota in questione risultano
probabilmente blacklistati. Invece ho provato dal mio PC locale e riesco
ad inviare un'email, ad esempio via telnet, ma anche usando la stessa
funzione su un router similare, roba economica della stessa marca tplink.

Ho fatto qualche test anche usando il mio stesso PC come smtp server,
siccome per uso interno gira postfix, temporaneamente ho aperto la 25
in ingresso inoltrata al mio PC, aperto il firewall ed impostato il
router remoto con smtp server il mio indirizzo locale. Eseguendo l'invio
manuale della mail, ha funzionato: sul PC locale ho ricevuto il
messaggio con i log e l'IP privato del router remoto.

Il problema è che vorrei evitare di lasciare la 25 della mia LAN aperta
sistematicamente su internet e per di più inoltrata al mio PC con postfix
che gira. Forse si potrebbe fare limitando l'utilizzo di postfix per
arginare potenziali spammers che potrebbero utilizzare il mio PC come
open relay alla fine. Ma sinceramente non ci so smanettare così al volo,
dovrei leggermi qualcosa.

Il router remoto deve inviare le mail autonomamente e l'intervallo
minimo è una volta ogni ora. comqunque siccome il suo IP non cambia spesso,
ma resta statico per tipo 10 giorni di solito a meno di riavvii, ecco che
non mi serve una frequenza maggiore di invio della mail.
L'ideale sarebbe che il router inviasse l'email su una casella di posta
su un server mail ordinario collocato online 24/7 e però ovviamente non
deve essere blacklistato.
Ne avevo trovato uno che cadeva a fagiolo ma dalla postazione remota non
si riesce a collegarvisi sulla porta 25, ho provato sia dal router che
da telnet sul PC remoto con windows (e win firewall disattivato).

Ho scritto troppo come al solito, se siete arrivati fi qui...
avete qualche idea per risolvere?

Lo scopo, ripeto, è leggere il messaggio email col log del router remoto
in cui è riportato l'IP privato del router stesso dietro cgnat.

Grazie in anticipo!
Valerio Vanni
2024-06-27 21:59:07 UTC
Permalink
On Thu, 27 Jun 2024 21:45:27 -0000 (UTC), pardo
Post by pardo
Ho un router remoto che è in grado di inviare via mail un file di log.
Nel file di log appare il proprio IP assegnatogli dall'ISP.
Si tratta di un IP privato del range 100.64.0.0/10 utilizzato nei CGNAT.
In teoria sarebbe irraggiungibile dall'esterno.
In pratica ho un'altra connessione privilegiata che è in grado di
raggiungerlo perché collegata ad internet con lo stesso ISP e in qualche
modo si trova sulla stessa sotto rete interna, non lo so, ad ogni modo
se conosco l'IP del router remoto, benché privato posso accedervi.
In particolare via Wake On LAN posso accendere un PC ubicato nella
rete locale dietro quel router remoto.
- il router invia la mail di log con scritto il suo IP
Il router non supporta un qualche servizio di DNS dinamico?
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
pardo
2024-06-27 22:52:56 UTC
Permalink
Post by Valerio Vanni
On Thu, 27 Jun 2024 21:45:27 -0000 (UTC), pardo
Post by pardo
Ho un router remoto che è in grado di inviare via mail un file di log.
Nel file di log appare il proprio IP assegnatogli dall'ISP.
Si tratta di un IP privato del range 100.64.0.0/10 utilizzato nei CGNAT.
In teoria sarebbe irraggiungibile dall'esterno.
In pratica ho un'altra connessione privilegiata che è in grado di
raggiungerlo perché collegata ad internet con lo stesso ISP e in qualche
modo si trova sulla stessa sotto rete interna, non lo so, ad ogni modo
se conosco l'IP del router remoto, benché privato posso accedervi.
In particolare via Wake On LAN posso accendere un PC ubicato nella
rete locale dietro quel router remoto.
- il router invia la mail di log con scritto il suo IP
Il router non supporta un qualche servizio di DNS dinamico?
Sì ma viene associato all'IP pubblico che sottende il cgnat:

ad esempio nel router posso impostare:

router.ddns.net

però se faccio:

nslookup router.ddns.net

mi ritorna l'ip pubblico con cui il router si presenta al servizio
dyndns... tipo:

1.2.3.4

E il router non lo raggiungi a quell'IP, perché dietro quell'IP
l'ISP ci natta ennemila connessioni e a ciascuna assegna un ip privato
del tipo:

100.64.x.y

È dietro CGNAT insomma, col ddns non si risolve, almeno credo, se poi
c'è qualche escamotage collegato a quel discorso non so... eventualmente
dì pure. Comunque il router è già associato a nome dominio via ddns.

Invece a me interessa proprio il 100.64.x.y, perché per un caso fortuito
posso raggiungerlo. Se rileggi il mio post, credo di aver spiegato la
situazione nel dettaglio.
angelo
2024-06-28 13:17:58 UTC
Permalink
Post by pardo
Post by Valerio Vanni
On Thu, 27 Jun 2024 21:45:27 -0000 (UTC), pardo
Post by pardo
Ho un router remoto che è in grado di inviare via mail un file di log.
Nel file di log appare il proprio IP assegnatogli dall'ISP.
Si tratta di un IP privato del range 100.64.0.0/10 utilizzato nei CGNAT.
In teoria sarebbe irraggiungibile dall'esterno.
In pratica ho un'altra connessione privilegiata che è in grado di
raggiungerlo perché collegata ad internet con lo stesso ISP e in qualche
modo si trova sulla stessa sotto rete interna, non lo so, ad ogni modo
se conosco l'IP del router remoto, benché privato posso accedervi.
In particolare via Wake On LAN posso accendere un PC ubicato nella
rete locale dietro quel router remoto.
- il router invia la mail di log con scritto il suo IP
Il router non supporta un qualche servizio di DNS dinamico?
router.ddns.net
nslookup router.ddns.net
mi ritorna l'ip pubblico con cui il router si presenta al servizio
1.2.3.4
E il router non lo raggiungi a quell'IP, perché dietro quell'IP
l'ISP ci natta ennemila connessioni e a ciascuna assegna un ip privato
100.64.x.y
È dietro CGNAT insomma, col ddns non si risolve, almeno credo, se poi
c'è qualche escamotage collegato a quel discorso non so... eventualmente
dì pure. Comunque il router è già associato a nome dominio via ddns.
Invece a me interessa proprio il 100.64.x.y, perché per un caso fortuito
posso raggiungerlo. Se rileggi il mio post, credo di aver spiegato la
situazione nel dettaglio.
Nelle impostazioni del ddns di solito c'e' l'opzione di test su un
server esterno per il reale indirizzo IP pubblico, esempio:
"Guess the real public IP with help of an external server"
oppure
"Use External IP Check"
se disabilitato ti fornisce l'indirizzo IP dell'interfaccia esterna cui
si connette, che dovrebbe essere cio' che ti serve.

angelo
pardo
2024-06-28 14:43:10 UTC
Permalink
Post by angelo
Nelle impostazioni del ddns di solito c'e' l'opzione di test su un
"Guess the real public IP with help of an external server"
oppure
"Use External IP Check"
se disabilitato ti fornisce l'indirizzo IP dell'interfaccia esterna cui
si connette, che dovrebbe essere cio' che ti serve.
Dovrebbe essere quello che serve a me in effetti.
Anche se non ho capito come faccia di preciso il router a fornire il
proprio IP assegnatogli dal CGNAT quindi 10.64.x.y, quando si presenta
al servizio dyndns tipicamente via web col suo IP pubblico condiviso.
A dirla tutta su duckdns.org è possibile da riga di comando specificare
l'IP che si vuole associare al proprio nome di dominio scelto, quindi
sì in teoria si può ed evidentemente i router a cui tu ti riferisci sono
un po' meno scarni di quello che hanno rifilato in quella LAN remota
per eseguire quella manovra... a meno che non sia pensata per utilizzo
prettamente interno ad una LAN, tipo se il router è collegato ad un
altro router di cui ne gestisce una sottorete, con magari un servizio
DNS interno... bo.

Nel mio caso io sono in una situazione ibrida, cioè mi trovo all'esterno,
quindi ho bisogno di contattare un DNS classico per risolvere il nome dominio
del router remoto, tipo 8.8.8.8 di google o opendns, o simili, ma se conosco
l'ip privato di assegnato via cgnat a quello scatolotto, allora posso
raggiungerlo perché condividiamo qualcosa a livello di sotterete dello
stesso ISP.

In ogni caso non posso testare quell'opzione perché non è disponibile
il router è un TL-WR940N, grosso modo l'interfaccia è simile a questa:

Loading Image...

Permette un paio di servizi ddns tra cui dyndns e noip, puoi inserire
il servizio scelto da menu a tendina, user e password per accedervi e
il nome del dominio da associare, insomma, tutto lì.

Ecco perché ravanando ho trovato la soluzione della mail con i log.
Lì sì che è riportato l'IP privato che mi serve.
angelo
2024-06-28 18:35:05 UTC
Permalink
Post by pardo
Post by angelo
Nelle impostazioni del ddns di solito c'e' l'opzione di test su un
"Guess the real public IP with help of an external server"
oppure
"Use External IP Check"
se disabilitato ti fornisce l'indirizzo IP dell'interfaccia esterna cui
si connette, che dovrebbe essere cio' che ti serve.
...
Post by pardo
In ogni caso non posso testare quell'opzione perché non è disponibile
https://static.tp-link.com/image001_1495538513954r.png
Permette un paio di servizi ddns tra cui dyndns e noip, puoi inserire
il servizio scelto da menu a tendina, user e password per accedervi e
il nome del dominio da associare, insomma, tutto lì.
Direi che il tuo TL-WR940N sia alquanto limitato, non e' il massimo per
quello che ti serve...
Post by pardo
Ecco perché ravanando ho trovato la soluzione della mail con i log.
Lì sì che è riportato l'IP privato che mi serve.
Quanto sei disposto ad investire, in pecunia e in tempo, per cio' che
vuoi fare?

angelo
pardo
2024-06-28 20:28:26 UTC
Permalink
Post by angelo
Post by pardo
Post by angelo
Nelle impostazioni del ddns di solito c'e' l'opzione di test su un
"Guess the real public IP with help of an external server"
oppure
"Use External IP Check"
se disabilitato ti fornisce l'indirizzo IP dell'interfaccia esterna cui
si connette, che dovrebbe essere cio' che ti serve.
...
Post by pardo
In ogni caso non posso testare quell'opzione perché non è disponibile
https://static.tp-link.com/image001_1495538513954r.png
Permette un paio di servizi ddns tra cui dyndns e noip, puoi inserire
il servizio scelto da menu a tendina, user e password per accedervi e
il nome del dominio da associare, insomma, tutto lì.
Direi che il tuo TL-WR940N sia alquanto limitato, non e' il massimo per
quello che ti serve...
Post by pardo
Ecco perché ravanando ho trovato la soluzione della mail con i log.
Lì sì che è riportato l'IP privato che mi serve.
Quanto sei disposto ad investire, in pecunia e in tempo, per cio' che
vuoi fare?
In pecunia niente possibilmente.
In tempo non c'è problema, diciamo che è stata un'esperienza utile e
riutilizzabile.
Il router è quello che è... è anche dell'ISP in realtà ma diciamo che
l'ho installato io, per caso, e per conoscenza, la qualcosa mi permette
di accedervi e sistemare o accedere al mio PC anche da remoto.

Dico in pecunia niente perché ho già trovato una soluzione alternativa
seplice efficace quanto molto spartana: il PC ha nel bios la
funzionalità di accensione programmata.
Il PC si accende tutti i giorni alla tal ora.
Sul PC remoto gira openvpn client, che mi contatta, connettendosi a me
in uscita quindi, e io ho IP pubblico qui in locale, accendo openvpn
server e il PC remoto si collega. In questo modo, anche solo dal log di
openvpn vedo l'IP privato CGNAT del router remoto 100.64.y.z.

A quel punto per circa una settimana l'ip 100.x.y.z resta lo stesso.

Unica cosa scomoda, devo ricordarmi di spegnere il PC remoto ogni
giorno. Si potrebbe anche automatizzare questo passaggio, ma va be'.
Soprattutto si potrebbe evitare l'accensione del PC remoto tutti i
giorni quando in realtà non servirebbe sempre, tanti giorni potrebbe
restare spento.

Avendo questa ruota di scorta, se devo spenderci soldi in più direi
che non è il caso. Alla fine sto solo facendo degli esperimenti, che
però potrebbero avere un utilità questo sì, ma altrimenti non c'è
problema, può andar bene già così.

Forse con un VPS si potrebbe risolvere però deve avere la porta
25 esposta all'esterno e un IP non blacklistato, che possa essere
raggiunto dal router sulla 25.
Non servirebbe in realtà che sul VPS fosse attivo un server SMTP,
è sufficiente la porta 25 aperta.
Poi potrei redirigerla verso la 25 di un server SMTP vero, tipo con
"socat" oppure anche con "stunnel" così si potrebbe anche creare un
tunnel criptato tra la VPS e un servizio ordinario tipo Gmail.


router ----> 25 |-- VPS -- Stunnel (25 VPS to 587 GMail)|
|
|--------------- criptato ------------------> 587 GMail


Il router non saprebbe nulla di tutto ciò, all'autenticazione e
criptaggio ci penserebbe Stunnel e ciò garantirebbe l'accesso a
GMail.

La teoria dovrebbe essere corretta, l'unica cosa, non so se la
porta 25 così rediretta possa comportare malfunzionamenti al
sistema della VPS, ma non credo.

Inoltre un servizio VPS gratuito non credo si trovi, qualcosa
costa, anche solo tipo 20 € all'anno... ne avevo visto ubicati
mi pare in singapore tanto per dire...
Mirko Borsari
2024-06-29 13:13:18 UTC
Permalink
Post by pardo
Il sistema di invio mail del router è molto limitato, ecco cosa posso
- intervallo di invio automatico (orario, oppure giornaliero)
- il server SMTP deve accettare email solo su porta 25
- l'autenticazione è opzionale, ma se si attiva è prevista solo in
modalità PLAIN TEXT
Oggi giorno, non conosco servizi che mettano a disposizione una
modalità di invio delle mail del genere, ora come minimo presuppongono
collegamento criptato via TLS ecc...
a gratis credo si trovi poco (se non forse sfruttando un dominio che
hai già), pagando invece credo che di servizi che ti offrono un smtp
come vuoi tu se ne trovino.
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
pardo
2024-06-29 15:35:51 UTC
Permalink
Post by Mirko Borsari
Post by pardo
Il sistema di invio mail del router è molto limitato, ecco cosa posso
- intervallo di invio automatico (orario, oppure giornaliero)
- il server SMTP deve accettare email solo su porta 25
- l'autenticazione è opzionale, ma se si attiva è prevista solo in
modalità PLAIN TEXT
Oggi giorno, non conosco servizi che mettano a disposizione una
modalità di invio delle mail del genere, ora come minimo presuppongono
collegamento criptato via TLS ecc...
a gratis credo si trovi poco (se non forse sfruttando un dominio che
hai già), pagando invece credo che di servizi che ti offrono un smtp
come vuoi tu se ne trovino.
Non sono tanto pratico come si sarà capito, non è che ne hai
in mente qualcuno economico?

Per quello che mi serve, che è per il momento un esperimento,
non ho bisogno di un servizio né particolarmente affidabile,
né con particolari offerte di banda, traffico e simili...
al massimo se imposto il router per inviare la mail a cadenza
oraria, parliamo di 24 messaggi al giorno, saranno 100 righe di
log. Poi potrebbe essere più che sufficiente impostare frequenza
giornaliera, una mail al giorno. Ecco perché puntavo a qualche
accrocchio gratuito.

Comunque come ho già descritto, il servizio SMTP esterno che
è in ascolto su porta 25 in ingresso lo avrei già individuato
solo che è blacklistato dall'ISP del router, e da lì non si
riesce ad inviare direttamente.

Per cui mi basterebbe un intermediaro tra il router e il
servizio SMTP blacklistato.
Per fare una prova, come già detto, ho usato socat sul mio PC
locale aprendo la 25 in ingresso e redirigendola alla 25 del
servizio SMTP esterno che da me non è in blacklist evidentemente.

Così il router contatta il mio PC sulla 25, e riesce, perché
il mio IP/nomedomino non è in blacklist... ma in realtà viene
collegato di sponda all'SMTP esterno, bypassando di fatto il
blacklist. In conclusione il messaggio raggiunge la mia casella
email su quel servizio esterno.

Quello che mi basterebbe sarebbe semplicemente un intermediario
che possa redirigere la 25 in ingresso verso la 25 dell'SMTP
in questione.

router.source.example
|
|---> 25|intermediario.example.net
|
(socat tcp-listen:bind=IP,fork tcp:smtp.example.net:25)
|
|----> 25|smtp.example.net

In pratica l'intermediario è sufficiente che abbia la porta 25
in ingresso aperta e consenta in qualche modo la redirezione
verso la porta 25 dell'SMTP in schema.
Mirko Borsari
2024-06-29 22:21:38 UTC
Permalink
Post by pardo
Post by Mirko Borsari
a gratis credo si trovi poco (se non forse sfruttando un dominio che
hai già), pagando invece credo che di servizi che ti offrono un smtp
come vuoi tu se ne trovino.
Non sono tanto pratico come si sarà capito, non è che ne hai
in mente qualcuno economico?
uff... https://sendgrid.com può andare??
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Allen
2024-06-29 17:44:21 UTC
Permalink
Post by Mirko Borsari
a gratis credo si trovi poco
Con 18 euro risolve tutti i suoi problemi, facendo funzionare la cosa con
qualunque tipo di connessione e senza aprire porte o menaggi vari.

Ma il ragazzo è molto duro.... per essere buoni.
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
pardo
2024-06-29 21:50:32 UTC
Permalink
Post by Allen
Post by Mirko Borsari
a gratis credo si trovi poco
Con 18 euro risolve tutti i suoi problemi, facendo funzionare la cosa con
qualunque tipo di connessione e senza aprire porte o menaggi vari.
No va be', capisco che la questione è intricata...
Sintesi: non ci sono problemi, per quello che mi
serve è già tutto "risolto" e funzionante.
La questione del router che invia la mail era solo
un di più che aggiungerebbe qualche possiblità, ma
niente di essenziale alla fine.
Allen
2024-06-29 23:34:28 UTC
Permalink
Post by pardo
Post by Allen
Con 18 euro risolve tutti i suoi problemi, facendo funzionare la cosa con
qualunque tipo di connessione e senza aprire porte o menaggi vari.
No va be', capisco che la questione è intricata...
No, è semplice, quasi elementare
Post by pardo
Sintesi: non ci sono problemi, per quello che mi
serve è già tutto "risolto" e funzionante.
E allora che ci fai qui?
Post by pardo
La questione del router che invia la mail era solo
un di più che aggiungerebbe qualche possiblità, ma
niente di essenziale alla fine.
Questione intricatamente instabile. Ma se ti piace complicarti la vita...

Il mistero è che ci fai qui se hai risolto?
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
Lorenz
2024-06-30 09:01:31 UTC
Permalink
Post by Allen
Post by pardo
La questione del router che invia la mail era solo
un di più che aggiungerebbe qualche possiblità, ma
niente di essenziale alla fine.
Questione intricatamente instabile. Ma se ti piace complicarti
la vita...
Basta vedere i papiri che scrive ogni volta... :D
Allen
2024-06-30 10:34:43 UTC
Permalink
Post by Lorenz
Post by Allen
Questione intricatamente instabile. Ma se ti piace complicarti la vita...
Basta vedere i papiri che scrive ogni volta... :D
Inutili papiri. Inutili. :-(
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
ObiWan
2024-07-01 08:02:23 UTC
Permalink
:: On Thu, 27 Jun 2024 21:45:27 -0000 (UTC)
:: (it.comp.reti.locali)
Post by pardo
Il sistema di invio mail del router è molto limitato, ecco cosa posso
- intervallo di invio automatico (orario, oppure giornaliero)
- il server SMTP deve accettare email solo su porta 25
- l'autenticazione è opzionale, ma se si attiva è prevista solo in
modalità PLAIN TEXT
Oggi giorno, non conosco servizi che mettano a disposizione una
modalità di invio delle mail del genere, ora come minimo presuppongono
collegamento criptato via TLS ecc...
ti basta installare un daemon SMTP su un computer locale (al router) e
configurarlo in modo da inoltrare tutte le email verso un account
esterno usando le dovute credenziali, TLS etc... a questo punto dovrai
configurare il router in modo che il from sia l'indirizzo
corrispondente a quello sul server esterno ed in modo che il server
SMTP sia quello installato sulla LAN
ObiWan
2024-07-01 08:14:57 UTC
Permalink
:: On Mon, 1 Jul 2024 10:02:23 +0200
:: (it.comp.reti.locali)
Post by ObiWan
ti basta installare un daemon SMTP su un computer locale (al router) e
configurarlo in modo da inoltrare tutte le email verso un account
esterno usando le dovute credenziali, TLS etc... a questo punto dovrai
configurare il router in modo che il from sia l'indirizzo
corrispondente a quello sul server esterno ed in modo che il server
SMTP sia quello installato sulla LAN
Considera che, visto il "carico" minimo, il server SMTP potrebbe anche
essere installato su un RaspberryPI
pardo
2024-07-01 12:11:16 UTC
Permalink
Post by ObiWan
:: On Mon, 1 Jul 2024 10:02:23 +0200
:: (it.comp.reti.locali)
Post by ObiWan
ti basta installare un daemon SMTP su un computer locale (al router) e
configurarlo in modo da inoltrare tutte le email verso un account
esterno usando le dovute credenziali, TLS etc... a questo punto dovrai
configurare il router in modo che il from sia l'indirizzo
corrispondente a quello sul server esterno ed in modo che il server
SMTP sia quello installato sulla LAN
Considera che, visto il "carico" minimo, il server SMTP potrebbe anche
essere installato su un RaspberryPI
Grazie della risposta, sì questa era una possibilità.
Quello che cercavo di ottenere era una scappatoia per
non dover sfruttare un PC acceso all'interno della LAN,
né introdurre altri "insider" tipo raspberry.

La logica era: siccome il router può inviare
l'informazione che mi serve in modo autonomo,
cercare una soluzione per riceverla esternamente
alla LAN e stoccarla lì.
In seconda battuta, reperire l'informazione quando
serve da un servizio raggiungibile facilmente
da internet.
ObiWan
2024-07-01 13:45:42 UTC
Permalink
:: On Mon, 1 Jul 2024 12:11:16 -0000 (UTC)
:: (it.comp.reti.locali)
Post by pardo
La logica era: siccome il router può inviare
l'informazione che mi serve in modo autonomo,
cercare una soluzione per riceverla esternamente
alla LAN e stoccarla lì.
In seconda battuta, reperire l'informazione quando
serve da un servizio raggiungibile facilmente
da internet.
Ok, ma siccome il router non supporta connessioni SMTP su TLS, e
siccome il 99% (se non il 100%) dei mail provider ad oggi non
permettono autenticazione senza TLS e, di norma, non usano la porta
25/TCP bensì altre porte (es. SMTP submit) la vedo dura riuscire a fare
quanto vorresti, tra l'altro usare l'invio dei log tramite SMTP per
ricavare l'indirizzo WAN di un router posto dietro un CGNAT mi sembra
un'idea molto contorta

Se il router (a proposito, marca/modello ?) supporta SNMP, sarebbe
sufficiente mettere insieme uno script schedulandolo ad intervalli
regolari su un computer in LAN, lo script andrebbe a leggere tramite
SNMP l'indirizzo WAN del router e, se questo è cambiato (rispetto ad un
indirizzo memorizzato dal check precedente) andrebbe ad effettuare una
chiamata REST (o altro) ai webservices di "dyndns" per aggiornare l'IP
in modo che rifletta l'indirizzo corrente, a questo punto per
raggiungere il router basterebbe usare il nome "dyndns" che punta
all'attuale IP del router (grazie allo script)
pardo
2024-07-01 16:15:21 UTC
Permalink
Post by ObiWan
Ok, ma siccome il router non supporta connessioni SMTP su TLS, e
siccome il 99% (se non il 100%) dei mail provider ad oggi non
permettono autenticazione senza TLS e, di norma, non usano la porta
25/TCP bensì altre porte (es. SMTP submit) la vedo dura riuscire a fare
quanto vorresti
Se fosse stato più semplice probabilmente non avrei chiesto qui...
Post by ObiWan
tra l'altro usare l'invio dei log tramite SMTP per ricavare
l'indirizzo WAN di un router posto dietro un CGNAT mi sembra
un'idea molto contorta
A me è l'unica che è venuta utilizzando solo il router, e non era
neanche così evidente, se cerchi in rete in merito non credo si
trovi nulla neanche sapendo in anticipo la soluzione. Per farmela
venire in mente ho dovuto ravanare abbastanza nell'interfaccia
del router finché non ho visto logs e fortunosamente il report
comprende l'IP WAN.

Più che idea contorta è sì basata su un utilizzo improprio dei
logs, ma d'altra parte a me sembra l'unica possibilità.

In caso si coinvolgano o si introducano altri dispositivi nella
LAN di quel router, il discorso cambia ovvio, ma la domanda non
era quella. Se non vi risulta che vi siano possibilità facendo
tutto solo col router, pace. Come non detto.

Il modello del router è un TP-LINK TL-WR940N.
Tieni conto che non ho possibiltà di rasarlo e metterci tipo ddwrt
o similari perché la LAN non è completamente roba mia. Finché mi
apro una porta o simili non c'è problema, ma non andrei molto oltre.

Circa SNMP non dovrebbe essere supportato, almeno così riportano
qui:

https://community.tp-link.com/en/home/forum/topic/652344

Però su questi tplink ci si può comunicare con qualche script
python ad esempio. Ne avevo trovato uno tempo fa con cui si
può abilitare o disabilitare il wifi ad esempio.
Probabilmente si trova qualcosa anche in grado di "scaricare"
la schermata di "Status" e isolare l'IP WAN, da comunicare al
ddns come dicevi giustamente. Ma siamo sempre lì, quello script
dovrebbe girare internamente alla LAN e per farlo serve un
insider.

IL PC che ho là potrebbe svolgere questo compito, visto che
al momento già si accende giornalmente in modo autonomo. Una
cosa del tipo: si accende, fa girare lo script con cui ottiene
e comunica l'IP della WAN, e quindi si spegne.
Il lato negativo è che se disgraziatamente l'ISP assegna un
altro IP appena dopo quell'aggiornamento, per tipo 24 ore non
si riuscirà più ad accedere dall'esterno. Per cui, sì, molto
meglio un raspberry sempre acceso che lo fa girare tipo ogni
5 minuti.
ObiWan
2024-07-02 14:15:23 UTC
Permalink
:: On Mon, 1 Jul 2024 16:15:21 -0000 (UTC)
:: (it.comp.reti.locali)
Post by pardo
https://community.tp-link.com/en/home/forum/topic/652344
https://openwrt.org/toh/tp-link/tl-wr940n

basta quello e risolvi tutti i problemi, basta qualche script
personalizzato installato direttamente sul router
ObiWan
2024-07-02 14:26:10 UTC
Permalink
:: On Tue, 2 Jul 2024 16:15:23 +0200
:: (it.comp.reti.locali)
Post by ObiWan
Post by pardo
https://community.tp-link.com/en/home/forum/topic/652344
https://openwrt.org/toh/tp-link/tl-wr940n
basta quello e risolvi tutti i problemi, basta qualche script
personalizzato installato direttamente sul router
Oppure (meglio) prendi un router che supporti OpenWRT/DD-WRT e che
abbia una maggior quantità di memoria, in qualsiasi caso, usando tale
approccio ti basterà il router per fare tutto senza usare RPI o altro
ObiWan
2024-07-02 14:29:24 UTC
Permalink
:: On Tue, 2 Jul 2024 16:26:10 +0200
:: (it.comp.reti.locali)
Post by ObiWan
Oppure (meglio) prendi un router che supporti OpenWRT/DD-WRT e che
abbia una maggior quantità di memoria, in qualsiasi caso, usando tale
approccio ti basterà il router per fare tutto senza usare RPI o altro
per completezza

https://troypoint.com/best-dd-wrt-routers/

https://dd-wrt.com/support/router-database/

niente mail, niente accrocchi
Allen
2024-07-02 14:39:53 UTC
Permalink
Post by ObiWan
niente mail, niente accrocchi
Anche niente router se per questo... :-P
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
Valerio Vanni
2024-07-01 20:44:51 UTC
Permalink
Post by pardo
Post by ObiWan
Considera che, visto il "carico" minimo, il server SMTP potrebbe anche
essere installato su un RaspberryPI
Grazie della risposta, sì questa era una possibilità.
Quello che cercavo di ottenere era una scappatoia per
non dover sfruttare un PC acceso all'interno della LAN,
né introdurre altri "insider" tipo raspberry.
Certo che te la vuoi complicare a tutti i costi ;-)
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Lorenz
2024-07-02 10:22:18 UTC
Permalink
Post by Valerio Vanni
Post by pardo
Post by ObiWan
Considera che, visto il "carico" minimo, il server SMTP potrebbe anche
essere installato su un RaspberryPI
Grazie della risposta, sì questa era una possibilità.
Quello che cercavo di ottenere era una scappatoia per
non dover sfruttare un PC acceso all'interno della LAN,
né introdurre altri "insider" tipo raspberry.
Certo che te la vuoi complicare a tutti i costi ;-)
Ma va? :D
Allen
2024-07-01 13:19:21 UTC
Permalink
Post by ObiWan
un RaspberryPI
anche su un esp32... -_-
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
ObiWan
2024-07-01 13:35:58 UTC
Permalink
:: On Mon, 1 Jul 2024 13:19:21 -0000 (UTC)
:: (it.comp.reti.locali)
Post by Allen
Post by ObiWan
un RaspberryPI
anche su un esp32... -_-
ma quello che vuoi, ho usato R-PI giusto come esempio
Allen
2024-07-01 14:39:22 UTC
Permalink
Post by ObiWan
ma quello che vuoi
Un esp8266 ^_^
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
angelo
2024-07-02 08:19:35 UTC
Permalink
Post by ObiWan
:: On Mon, 1 Jul 2024 10:02:23 +0200
:: (it.comp.reti.locali)
Post by ObiWan
ti basta installare un daemon SMTP su un computer locale (al router) e
configurarlo in modo da inoltrare tutte le email verso un account
esterno usando le dovute credenziali, TLS etc... a questo punto dovrai
configurare il router in modo che il from sia l'indirizzo
corrispondente a quello sul server esterno ed in modo che il server
SMTP sia quello installato sulla LAN
Considera che, visto il "carico" minimo, il server SMTP potrebbe anche
essere installato su un RaspberryPI
Non serve nemmeno sbattersi piu' di tanto, col raspberry sempre in
funzione, a intervalli si connette via ssh al suo PC, imposta un tunnel con
"ssh ***@host -R localhost:<porta_loc>:<pc_da_gestire>:<porta_di_gestione>"
e gestisce il pc remoto, sulla porta localhost:<porta_loc>.

angelo
pardo
2024-07-02 10:26:50 UTC
Permalink
Post by angelo
Non serve nemmeno sbattersi piu' di tanto, col raspberry sempre in
funzione, a intervalli si connette via ssh al suo PC, imposta un tunnel con
e gestisce il pc remoto, sulla porta localhost:<porta_loc>.
Posso aver capito male... ma considera che il PC da gestire
è spento.

Se fosse acceso, non serve niente, perché ci gira sopra
un VPN client che, dall'interno verso internet mi aggancia
sul mio PC locale su cui vi è il VPN server.

Ma se il PC remoto è spento, il discorso cambia. Il
raspberry a quel punto si può utilizzare come insider,
l'importante è che sia lui a collegarsi al mio PC locale,
perché io non conosco il suo IP, e non si risolve via
dyndns come già spiegato perché è dietro CGNAT.

Ci sono diverse vie per accedere al PC remoto spento:

- sul rasperry gira un client ssh o vpn che tenta di
agganciare sul mio PC locale attraverso un ssh server
o vpn. Un po' come fa ora il PC remoto in pratica.
Quando mi serve collegarmi accendo il server locale e
il rasperry remoto si collega.
Ad esempio via reverse ssh che forse è quello che intendevi
tu più o meno:

https://qbee.io/misc/reverse-ssh-tunneling-the-ultimate-guide/

- altro modo, il raspberry comunica l'ip privato dietro
cgnat della lan remota ad un dyndns, bisogna sempre
reperirlo in qualche modo dal router però.
In questo caso io dall'esterno posso limitarmi a lanciare
wol verso il nome dominio della lan remota e il pc dovrebbe
accendersi.
Funziona solo perché sono in un caso particolare, altrimenti
l'IP del CGNAT in generale non lo si può raggiungere da
internet. In quel caso, si deve per forza scegliere la prima
via.
angelo
2024-07-02 11:01:16 UTC
Permalink
Post by pardo
Post by angelo
Non serve nemmeno sbattersi piu' di tanto, col raspberry sempre in
funzione, a intervalli si connette via ssh al suo PC, imposta un tunnel con
e gestisce il pc remoto, sulla porta localhost:<porta_loc>.
Posso aver capito male... ma considera che il PC da gestire
è spento.
...
Post by pardo
- sul rasperry gira un client ssh o vpn che tenta di
agganciare sul mio PC locale attraverso un ssh server
o vpn. Un po' come fa ora il PC remoto in pratica.
Quando mi serve collegarmi accendo il server locale e
il rasperry remoto si collega.
Esatto, quando si connette via ssh il raspberry lancia un WOL in locale
per accendere il PC remoto
Post by pardo
Ad esempio via reverse ssh che forse è quello che intendevi
https://qbee.io/misc/reverse-ssh-tunneling-the-ultimate-guide/
E' esattamente quello che intendevo, col comando:

"ssh root@<DDNS_host> -R
localhost:<porta_loc>:<pc_da_gestire>:<porta_di_gestione>"

crei un tunnel diretto tra il tuo PC locale e il PC remoto sulle tra le
porte <porta_loc> del pc remoto da gestire e <porta_di_gestione> del tuo
PC locale.
Naturalmente il firewall del tuo PC locale deve inoltrargli la porta ssh
e utilizzerai una coppia di chiavi, mentre non sara' consentito
l'accesso con password...

angelo
pardo
2024-07-02 11:48:47 UTC
Permalink
Post by angelo
localhost:<porta_loc>:<pc_da_gestire>:<porta_di_gestione>"
crei un tunnel diretto tra il tuo PC locale e il PC remoto sulle tra le
porte <porta_loc> del pc remoto da gestire e <porta_di_gestione> del tuo
PC locale.
Naturalmente il firewall del tuo PC locale deve inoltrargli la porta ssh
e utilizzerai una coppia di chiavi, mentre non sara' consentito
l'accesso con password...
In schema:

router locale ------- INTERNET ------ router remoto
IP pubblico + ddns IP CGNAT
LAN LOCALE LAN REMOTA
---------- ----------
PC locale <-- io sono qui PC remoto (spento)
|<----------- reverse ssh ----------- Raspberry (insider)


Da lì una volta che si è avuto accesso nel raspberry
si lancia wake on lan verso il PC remoto e si accende.


Se conosco l'IP CGNAT posso anche fare così (testato):

router locale ------- INTERNET -------- router remoto
IP pubblico + ddns WOL-->IP CGNAT
LAN LOCALE | LAN REMOTA
---------- | ----------
PC locale <-- io sono qui | PC remoto (spento)
|---------> -------> ----->--->|
angelo
2024-07-02 12:19:16 UTC
Permalink
Post by pardo
Post by angelo
localhost:<porta_loc>:<pc_da_gestire>:<porta_di_gestione>"
crei un tunnel diretto tra il tuo PC locale e il PC remoto sulle tra le
porte <porta_loc> del pc remoto da gestire e <porta_di_gestione> del tuo
PC locale.
Naturalmente il firewall del tuo PC locale deve inoltrargli la porta ssh
e utilizzerai una coppia di chiavi, mentre non sara' consentito
l'accesso con password...
router locale ------- INTERNET ------ router remoto
IP pubblico + ddns IP CGNAT
LAN LOCALE LAN REMOTA
---------- ----------
PC locale <-- io sono qui PC remoto (spento)
|<----------- reverse ssh ----------- Raspberry (insider)
Piu' correttamente:

LAN LOCALE LAN REMOTA
---------- |--io sono qui ----------
PC locale <----- apre ssh ----------- Raspberry (insider)
|<----------- reverse ssh ----------- PC remoto (spento)
Post by pardo
Da lì una volta che si è avuto accesso nel raspberry
si lancia wake on lan verso il PC remoto e si accende.
Piu' correttamente:

quando nello lo script temporizzato il comando "ssh restituisce il
codice di errore 0 lancia wol in rete remota e accende il pc remoto, da
qui prendi il suo controllo attraverso il tunnel ssh.
Post by pardo
router locale ------- INTERNET -------- router remoto
IP pubblico + ddns WOL-->IP CGNAT
LAN LOCALE | LAN REMOTA
---------- | ----------
PC locale <-- io sono qui | PC remoto (spento)
|---------> -------> ----->--->|
SE e solo SE conosci l'IP CGNAT. L'altro funziona sempre...

angelo
Allen
2024-07-02 14:49:53 UTC
Permalink
Post by angelo
SE e solo SE conosci l'IP CGNAT. L'altro funziona sempre...
Un'ennesima complicazione & allungamento della catena.

Ma cose semplici e funzionali niente? Tutti rimasti al secolo scorso?

mha!
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
angelo
2024-07-02 15:39:40 UTC
Permalink
Post by Allen
Post by angelo
SE e solo SE conosci l'IP CGNAT. L'altro funziona sempre...
Un'ennesima complicazione & allungamento della catena.
Ma cose semplici e funzionali niente? Tutti rimasti al secolo scorso?
Hai ragione, io avrei messo *wrt sul router e stop.
Ma il ragazzo non puo'/vuole mettere mano al suo router quindi...

angelo
Allen
2024-07-02 21:20:02 UTC
Permalink
Post by angelo
Hai ragione,
Lo spieghi tu al "granito da cava"?
Post by angelo
io avrei messo *wrt sul router e stop.
Per accendere un pc da remoto? Vai a pesca con la dinamite?
Post by angelo
Ma il ragazzo non puo'/vuole mettere mano al suo router quindi...
Fai atto di fede (si ok indipendente se sei credente o meno), non serve.

Per info generale, puoi fare tutto con un 8266. Accendere e spegnere e
controllo stato con un 8266, senza aprire porte, dietro ad un nat, un cgnat,
bla ba bla basta ci sia un'infima connessione interne e senza aprire il
picciccio.

E la documentazione è disponibile *PER TUTTI*.

Ah forse ho capito il problema, non è scritta in lingua... italiana -_-.
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
angelo
2024-07-03 09:19:05 UTC
Permalink
Post by Allen
Post by angelo
Hai ragione,
Lo spieghi tu al "granito da cava"?
Post by angelo
io avrei messo *wrt sul router e stop.
Per accendere un pc da remoto? Vai a pesca con la dinamite?
In realta' c'e' gia' a disposizione il peschereccio TL-WR940N, io mi
limito a migliorare il motore...

angelo
ObiWan
2024-07-03 09:42:30 UTC
Permalink
:: On Wed, 3 Jul 2024 11:19:05 +0200
:: (it.comp.reti.locali)
Post by angelo
In realta' c'e' gia' a disposizione il peschereccio TL-WR940N
Più che un peschereccio è una zattera, quel router ha poca memoria
"flash" per cui è compatibile solo con le versioni più vecchie di "WRT"
e poco personalizzabile, se decidessi per WRT sarebbe meglio prendere
un altro router, ci si guadagnerebbe anche in velocità
Allen
2024-07-03 12:10:21 UTC
Permalink
Post by ObiWan
Più che un peschereccio è una zattera
MA LOL! Si, ma di salvataggio. ^_^
Post by ObiWan
se decidessi per WRT sarebbe meglio prendere
un altro router
Ma no dai, anche usando "vecchie versioni" & "sringendolo" un pochino ce la
si può fare, ma poi fa solo quello e con "qualche limitazione".

In fondo deve solo svolgere funzioni di "accendi & dimentica".

Intravedo almeno 3 o 4 soluzioni non invasive. ;-)
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
angelo
2024-07-03 15:38:34 UTC
Permalink
Post by ObiWan
:: On Wed, 3 Jul 2024 11:19:05 +0200
:: (it.comp.reti.locali)
Post by angelo
In realta' c'e' gia' a disposizione il peschereccio TL-WR940N
Più che un peschereccio è una zattera, quel router ha poca memoria
"flash" per cui è compatibile solo con le versioni più vecchie di "WRT"
e poco personalizzabile, se decidessi per WRT sarebbe meglio prendere
un altro router, ci si guadagnerebbe anche in velocità
Con la stessa memoria flash e la meta' della RAM di questo TpLink io
facevo molto di piu', con un vecchio Linksys WRT54GL gestivo un server
openvpn...

angelo
Allen
2024-07-03 16:10:28 UTC
Permalink
Post by angelo
gestivo un server
openvpn
Non è che ci voglia molto eh...
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
ObiWan
2024-07-03 09:45:35 UTC
Permalink
:: On Tue, 2 Jul 2024 21:20:02 -0000 (UTC)
:: (it.comp.reti.locali)
Post by Allen
Per info generale, puoi fare tutto con un 8266. Accendere e spegnere
e controllo stato con un 8266, senza aprire porte, dietro ad un nat,
certo che si, ma poi tutto dipende da quanto vuoi semplificare le cose,
alla fine della fiera, con WRT lo fai senza grossi problemi e senza un
device aggiuntivo, visto che comunque un router devi averlo, tanto vale
usarlo, tra l'altro sarebbe un'esperienza "didattica" interessante ;-)
Allen
2024-07-03 12:00:21 UTC
Permalink
Post by ObiWan
certo che si, ma poi tutto dipende da quanto vuoi semplificare le cose,
Di molto semplificate, comando accendi & spegni e il feedback di
acceso/spento. il tutto senza toccare nessuna impostazione del router/pc/s.o.
frizzi & lazzi. ;-)
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
ObiWan
2024-07-03 12:24:42 UTC
Permalink
:: On Wed, 3 Jul 2024 12:00:21 -0000 (UTC)
:: (it.comp.reti.locali)
Post by Allen
Di molto semplificate, comando accendi & spegni e il feedback di
acceso/spento. il tutto senza toccare nessuna impostazione del
router/pc/s.o. frizzi & lazzi. ;-)
Si, ma devi comunque mettere in piedi il SOIC, nell'altro caso cambi il
firmware, ci metti uno shellscript e via andare
Allen
2024-07-03 13:20:24 UTC
Permalink
Post by ObiWan
Si, ma devi comunque mettere in piedi il SOIC
Che è costruito in nmila varianti pronto all'uso... -_-
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
pardo
2024-07-04 10:08:27 UTC
Permalink
Post by angelo
Post by pardo
router locale ------- INTERNET -------- router remoto
IP pubblico + ddns WOL-->IP CGNAT
LAN LOCALE | LAN REMOTA
---------- | ----------
PC locale <-- io sono qui | PC remoto (spento)
|---------> -------> ----->--->|
SE e solo SE conosci l'IP CGNAT. L'altro funziona sempre...
Ma l'ip nattato, lo conosco in quanto me lo comunica il
router stesso via mail.
Il punto se mai è che questa configurazione funziona solo
dalla postazione collegata ad internet attraverso lo stesso
ISP del router remoto. Perché l'IP nattato non è raggiungibile
da internet.
Direi che con questa soluzione l'accesso al router remoto
dalla mia postazione avviene addirittura senza uscire su
internet, si resta entro il NAT dell'ISP, anche se alla mia
postazione locale è assegnato IP pubblico... in qualche
modo nei vari hop ad un certo punto imamgino ci sia un
gateway che riconosce l'IP 100.64.0.0/10 di destinazione
e mi instrada entro il NAT.
Ho provato per curiosità un traceroute verso l'IP nattato
del router remoto, ma ad un certo punto sputa fuori solo
asterischi... Invece dal PC remoto, se eseguo il traceroute
verso il mio PC locale, vengo raggiunto in soli 2 hop,
segno che effettivamente i due capi della connessione si
trovano su una stessa sottorete o similare.

Lo stesso problema si ha anche usando un raspberry però,
anche in quel caso funzona solo dalla postazione locale
su cui gira il server ssh o vpn o quello che serve per
fare l'accesso in "reverse". E anche il raspberry alla
fine contatta il nome dominio della postazione locale.

Se volessi accedere da una postazione arbitraria, allora
bisognerebbe appoggiarsi per forza ad un server always
on raggiungibile via internet, tipo una VPS o simile...
su cui giocare di sponda in pratica. Va be' non è il mio
caso, almeno per il momento.

Alla fine col solo router a disposizione e senza modificarne
il firmware o altro ho sfruttato il system log che è in
grado di inviare via mail e che contiene l'IP assegnatogli
dall'ISP. Metto i dettagli in altro post ad hoc.
pardo
2024-07-04 10:09:47 UTC
Permalink
Anticipo che il messaggio è lungo, a me può tornar utile come
documentazione, se a qualcuno interessa è lì, altrimenti fate altro.

Riporto lo schemino per non stare a ripetere tutto:


router locale ------- INTERNET -------- router remoto
IP pubblico + ddns WOL-->IP CGNAT
LAN LOCALE | LAN REMOTA
---------- | ----------
PC locale <-- io sono qui | PC remoto (spento)
|---------> -------> ----->--->|


Il router remoto può inviare via mail il system log, ho impostato che
venga inviata al mio PC locale raggiungibile via ddns. Nel log c'è l'IP
del router. Viene inviata una mail ogni ora.

Il router remoto è dotato anche di funzionalità ddns ma siccome
è nattato dall'ISP il suo ip pubblico associato al nome dominio
non è utile. Però c'è l'eventualità che l'ISP gli possa assegnare
IP pubblico dopo una disconnessione, in questo caso conoscere
in anticipo l'IP pubblico è utile, vedi seguito impostazione
iptables.

Sul router locale ho aperto la porta 25, perché il remoto può
inviare mail solo verso server SMTP in ascolto su quella porta.
Però ho impostato il forward verso il mio PC locale su una porta
differente, tipo 25000 ad esempio.

Sul PC locale (linux) ho aperto con iptables la porta 25000,
ma non per tutti, solo se l'ip sorgente della richiesta è
100.64.0.0./10 (ovvero fa parte del CGNAT) oppure è l'ip
pubblico associato al nome dominio del router remoto.

Riporto uno spezzone di /etc/rc.d/rc.firewall:
-----------
set_smtp(){
SOURCE=$(dig remoterouter.ddns.net +short +timeout=10),100.64.0.0/10
$IPTAB -N SMTP_IN
SMTP_PORT="25000"
$IPTAB -$1 SMTP_IN $text "SMTP: TCP" -s $SOURCE -p TCP -m tcp --dport $SMTP_PORT -j ACCEPT
}

set_smtp A

smtp-start)
${IPTAB} -t filter -A INPUT -j SMTP_IN
;;
----

Nella pratica apro la porta col comando:

/etc/rc.d/rc.firewall smtp-start

OK, ora che ci sono le porte aperte solo per gli invitati, occorre
servir loro il pranzo.
Sulla 25000 c'è in ascolto un fake smtp server: "smtp-sink" che
fa parte del server smtp postfix, installato di default sul mio
sistema slackware se ben ricordo. Eccone un wrapper:
-------------------------
# cat /usr/bin/tplink-log
#!/bin/bash

SMTP=/usr/sbin/smtp-sink
LOGDIR=/var/log/tplink-log
LOGFILE="tplinklog-"
IP=$(hostname -i)
PORT=25000

$SMTP -u root -d ${LOGDIR}/${LOGFILE} "${IP}":$PORT 10 &
--------------------------------------------------------

Cosa fa?
Sta in ascolto sulla 25000 e accetta le mail riversandone il contenuto
su un file di log. Per ogni mail ricevuta, crea un nuovo file di log
nominandolo con un suffisso random diverso che viene appeso al nome base
scelto (tplinklog-) nell'esempio.

A questo punto manca l'ultimo tassello: dal log si deve eseguire il
parse dell'IP del router:
------------------------
# cat /usr/bin/tplink-ip
#!/bin/bash
LOGDIR=/var/log/tplink-log
ls -dt ${LOGDIR}/* | tail -n +2 | xargs rm -- 2>/dev/null
LOG="${LOGDIR}/$(ls ${LOGDIR})"
IP=$(head -n 1 "${LOG}" | cut -d' ' -f2)
sed -i "/remoterouter/s/^.*$/${IP}\t\tremoterouter/" /etc/hosts
---------------------------------------------------------------

In pratica questo ottiene l'IP dal file di log e lo scrive in
/etc/hosts, andando ad aggiornare il nome dominio che il sistema
locale associa al router remoto.

Il tutto è automatizzato all'avvio del sistema:

- /etc/rc.d/rc.local:
---------------------
# Start receiving system logs from tplink remote router
/etc/rc.d/rc.firewall smtp-start
/usr/bin/tplink-log
/usr/bin/tplink-ip
------------------

In seguito se dovesse servire, l'ip del router remoto, lo aggiorno
manualmente lanciando tplink-ip a mano. Ma è un'eventualità rara
perché varia tipo ogni 10 giorni o giù di lì.

A questo punto posso risvegliare il PC remoto grazie all'impostazione
nel router remoto del bind mac nella tabella arp, e al forward di una
porta che fa passare il magic packet destinato al PC. È impostato
Wake on LAN nel bios e windows in modo che quando si spegne lasci la
scheda di rete in uno stato capace di ricevere il segnale dalla rete.
ObiWan
2024-07-04 12:32:19 UTC
Permalink
:: On Thu, 4 Jul 2024 10:09:47 -0000 (UTC)
:: (it.comp.reti.locali)
Post by pardo
Sul router locale ho aperto la porta 25, perché il remoto può
inviare mail solo verso server SMTP in ascolto su quella porta.
Però ho impostato il forward verso il mio PC locale su una porta
differente, tipo 25000 ad esempio.
e già qui non si capisce l'utilità della cosa, ho idea che tu abbia
poche idee ma ben confuse
Post by pardo
Sul PC locale (linux) ho aperto con iptables la porta 25000,
ma non per tutti, solo se l'ip sorgente della richiesta è
e, considerando che il "PC locale" è dietro NAT/Firewall, a cosa
dovrebbe servire tale filtro ?

Vabbè, ok ... tralascio il resto, se per te va bene, usalo pure.
pardo
2024-07-04 13:46:27 UTC
Permalink
Post by ObiWan
Post by pardo
Sul router locale ho aperto la porta 25, perché il remoto può
inviare mail solo verso server SMTP in ascolto su quella porta.
Però ho impostato il forward verso il mio PC locale su una porta
differente, tipo 25000 ad esempio.
e già qui non si capisce l'utilità della cosa, ho idea che tu abbia
poche idee ma ben confuse
Semplicemente non si sa mai, la 25 potrebbe essere necessaria
a qualche applicativo, nel mio caso effettivamente c'è postfix
per uso interno. Mettendo il fake smtp in ascolto sulla 25000
del mio PC interno alla lan, si "isola" il tplink-log e non
rompe le scatole a nessuno. La porta esterna sul router invece
deve essere la 25 altrimenti non funziona, è un limite del
router sorgente che invia solo verso porta 25.
Post by ObiWan
Post by pardo
Sul PC locale (linux) ho aperto con iptables la porta 25000,
ma non per tutti, solo se l'ip sorgente della richiesta è
e, considerando che il "PC locale" è dietro NAT/Firewall, a cosa
dovrebbe servire tale filtro ?
È dietro NAT ma con la 25 aperta e rediretta verso un servizio in
ascolto. Se tu provi a contattare il mio indirizzo sulla porta 25
puoi scrivere sul mio sistema in /var/log/tplink-log/tplinklog-quelcheé.
Volendo potresti inviare una mail di tipo 1TB e saturare il file
system in cui è collocato /var/log/tplink-log. Va be' è un caso
remoto, ma a livello di sicurezza quando si apre una porta è sempre
meglio limitarne l'accesso, e filtrare in base all'indirizzo sorgente
mi sembra la cosa più semplice, se lo si conosce:

- solo se appartieni al CGNAT della stessa sottorete dell'ISP
puoi passare (ed è già un bel numero di potenziali attaccanti)

- oppure solo se sei il router remoto cui è stato cambiato ip
e assegnato ip pubblico (da iptables risolvo quell'IP all'avvio
e apro solo a lui).

In alternativa, o in aggiunta si potrebbe anche prevedere
l'autenticazione, il router che invia la mail la supporta
unicamente in auth plain mi pare. Ma smtp-sink non credo la
supporti per cui nel caso servirebbe un altro tool fake smtp.
angelo
2024-07-04 15:25:05 UTC
Permalink
Il 04/07/24 12:09, pardo ha scritto:

...

Scusa ma non riesco a seguirti. Io la vedo diversamente, installo dd-wrt
sul router e me la cavo con uno script di cinque righe (compresa #!/bin/sh).
In alternativa metto in rete un qualsiasi trabiccolo da due soldi con un
rudimento di linux che fa girare lo script di cui sopra...

angelo
pardo
2024-07-04 16:16:57 UTC
Permalink
Post by angelo
Scusa ma non riesco a seguirti. Io la vedo diversamente, installo dd-wrt
sul router e me la cavo con uno script di cinque righe (compresa #!/bin/sh).
In alternativa metto in rete un qualsiasi trabiccolo da due soldi con un
rudimento di linux che fa girare lo script di cui sopra...
Ti ho già spiegato che il router non lo posso rasare, perché
non è mio. lo dovrebbe gestire l'ISP, poi per vie traverse,
e per comodità loro alla fine lo avevo installato io. Ma a
parte introdurre qualche regola di port forwarding, attivare
il sys log via mail, e il ddns, non mi spingo. Il router
gestisce anche altri uffici e una rete wi-fi, che a dirla
tutta nell'ufficio in cui sta il PC target arriva anche un
po' deboluccia.
Che poi per flashare il router devi comunque accedervi
fisicamente, e anche lì vorrei evitare di salire lassù,
sospendere il servizio a chi c'è collegato ecc...

Così ho fatto tutto da remoto. E senza dover mettere in rete
roba per cui magari qualcuno potrebbe anche chiedermi o avere
da ridire. Il router non è mai stato riavviato da me, cosa
da non sottovalutare.

Il punto è questo: con quello che ho, mi sembra una soluzione
passabile.
Che poi le complicazioni lato mia rete locale non è che cambiano
molto, anche se impieghi un insider che tenta di collegarsi devi
prevedere l'apertura del firewall, il portforwarding del mio router
ecc... alla fine in quanto a sbattimento non è stato un granché,
conta le righe di bash... direi che c'è di peggio.
Allen
2024-07-04 17:51:01 UTC
Permalink
Post by pardo
Il punto è questo: con quello che ho, mi sembra una soluzione
passabile.
LOL!!!
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
Allen
2024-07-04 16:20:59 UTC
Permalink
Post by angelo
Scusa ma non riesco a seguirti.
Quando una persona si fissa mentalmente non la fermi più.

Il problema è: che cavolo ci viene a fare qui?

Mancanza d'affetto o autostima? Oppure eccessivo orgoglio?
Post by angelo
Io la vedo diversamente, installo dd-wrt
sul router
... sempre a complicare. Anche con dd-wrt non servono scritp nè aperture
porte di nessun genere.

Ma documentarsi un minimo? Che poi esiste tutto in pappapronta eh..
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
angelo
2024-07-05 07:18:14 UTC
Permalink
...
Post by Allen
Post by angelo
Io la vedo diversamente, installo dd-wrt
sul router
... sempre a complicare. Anche con dd-wrt non servono scritp nè aperture
porte di nessun genere.
Sulla necessita' di script concordo, pero' mi devi spiegare come fai
senza aprire porte.

angelo
Allen
2024-07-05 13:01:26 UTC
Permalink
Post by angelo
pero' mi devi spiegare come fai
senza aprire porte.
Santa patata... è un'argomento che qui avrò riportato almeno almeno 5 o 6
volte e una pure nel dettaglio.

Che poi il problema non è scriverti le varie soluzioni, il problema è non
alimentare i gatti & zecche presenti nel niggi. Ma se fai una ricerca in
lingua inglese... ;-)
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
angelo
2024-07-05 13:02:24 UTC
Permalink
Post by Allen
Post by angelo
pero' mi devi spiegare come fai
senza aprire porte.
Santa patata... è un'argomento che qui avrò riportato almeno almeno 5 o 6
volte e una pure nel dettaglio.
Che poi il problema non è scriverti le varie soluzioni, il problema è non
alimentare i gatti & zecche presenti nel niggi. Ma se fai una ricerca in
lingua inglese... ;-)
Cioe' non lo sai...

angelo
Allen
2024-07-05 13:31:28 UTC
Permalink
Post by angelo
Cioe' non lo sai...
Mandami una mail e ti dimostro il contraio :-P
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
angelo
2024-07-05 15:54:41 UTC
Permalink
Post by Allen
Post by angelo
Cioe' non lo sai...
Mandami una mail e ti dimostro il contraio :-P
La mia mail e' valida.

angelo
angelo
2024-07-06 10:53:01 UTC
Permalink
Post by Allen
Post by angelo
Cioe' non lo sai...
Mandami una mail e ti dimostro il contraio :-P
La mia mail e' valida, quello prima di 48 e' il numero zero, non una
lettera.

angelo

evanmac
2024-07-02 12:30:14 UTC
Permalink
perché non pensi di dare fuoco a tutta la baracca, o farla saltare in aria con
dinamite, e vai a curarti da uno bravo?
--
this is a random signature
Allen
2024-07-02 14:49:54 UTC
Permalink
perch‚ non pensi di dare fuoco a tutta la baracca, o farla saltare in
aria con dinamite, e vai a curarti da uno bravo?
:-) +1
--
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
ma evidentemente qualcuno qui pensa che il tempo che gli altri dedicano
a rispondergli non abbia valore mentre il suo ne ha.
ObiWan <***@mvps.org> Message-ID: <***@mvps.org>
Documentati, leggi, decidi e poi semmai se ne potrà riparlare.
Message-ID: <pan$91027$7e88083$34e36d0$***@carotone.net>
Come disse un mio amico, a certe persone si fa prima a metterglielo nel
c**o che nel capo

DhnaqbNyyravaqvpnyurnqreybfzvymbthneqnvychagb
Loading...