[varma]

Ho da poco messo in piedi la seguente configurazione mettendo a riposo il DV2200 che usavo in doppio NAT + DMZ
(motivazioni: eliminare il doppio NAT, usare un dispositivo mai usato per divertirmi, evitare di fare casini sulla configurazione del router in comodato per mettere il bridge)

AGB                     [in pure bridge 1483 MER con firmware di 30252783 recentemente ricompilato da xbomber e
  |                             IP GUI 192.168.1.1]
  |
  |
WR1043ND          [con Gargoyle 1.7.2; WAN con DHCP e IP Pubblico statico automaticamente assegnato dal modem;
  |                              LAN 192.168.2.1; DNS OpenDNS; Access Point Wireless; snmpd attivo.]
  |
LAN e WLAN         [192.168.2.x]


Vorrei tenere d'occhio la situazione del modem senza dovermici attaccare via cavo, visto che è in una posizione scomoda.

è una cosa fattibile aggiungendo qualche route statica?

[Ansuel]

Ho da poco messo in piedi la seguente configurazione mettendo a riposo il DV2200 che usavo in doppio NAT + DMZ
(motivazioni: eliminare il doppio NAT, usare un dispositivo mai usato per divertirmi, evitare di fare casini sulla configurazione del router in comodato per mettere il bridge)

AGB                     [in pure bridge 1483 MER con firmware di 30252783 recentemente ricompilato da xbomber e
  |                             IP GUI 192.168.1.1]
  |
  |
WR1043ND          [con Gargoyle 1.7.2; WAN con DHCP e IP Pubblico statico automaticamente assegnato dal modem;
  |                              LAN 192.168.2.1; DNS OpenDNS; Access Point Wireless; snmpd attivo.]
  |
LAN e WLAN         [192.168.2.x]


Vorrei tenere d'occhio la situazione del modem senza dovermici attaccare via cavo, visto che è in una posizione scomoda.

è una cosa fattibile aggiungendo qualche route statica?

Guarda con openwrt basta che aggiungi una interfaccia a caso e ci butti sopra un ip che è dentro il netmask del modem (se il modem ha 192.168.0.1 tu ci aggiungi una interfaccia 192.168.0.2 e la attacchi al firewall)
Potresti provare con qualche comando che usavo su dd-wrt
nella fattispiecie questi
ifconfig `nvram get wan_ifname`:0 192.168.1.2 netmask 255.255.255.0
iptables -t nat -I POSTROUTING -o `nvram get wan_ifname` -j MASQUERADE

(cambiando gli ip a seconda del tuo caso)
fonte http://www.dd-wrt.com/wiki/index.php/Access_To_Modem_Configuration

[varma]

grazie per l'indicazione
ho risolto cercando una guida simile, direttamente per openwrt

http://wiki.openwrt.org/doc/howto/access.modem.through.nat

nuova interfaccia aggiungendo a /etc/config/network

Codice: [Seleziona]

config interface 'modem'
        option ifname 'eth0.2'
        option proto 'static'
        option ipaddr '192.168.1.10'
        option netmask '255.255.255.0'
poi da shell i seguenti comandi per il firewall

Codice: [Seleziona]

uci set firewall.@zone[1].network='wan modem'
uci commit firewall
reboot

[mavelot]

Soluzioni valide, ma secondo me sporche.

La soluzione pulita è quella delle route statiche. Non mi stancherò di ripeterlo.
Ne aggiungere IP, ne utilizzare NAT o mascheramenti. Puro routing, che è quello che i router sanno fare.....

[Ansuel]

Soluzioni valide, ma secondo me sporche.

La soluzione pulita è quella delle route statiche. Non mi stancherò di ripeterlo.
Ne aggiungere IP, ne utilizzare NAT o mascheramenti. Puro routing, che è quello che i router sanno fare.....

Sarebbe spiegati mi sarebbe molto utile capirlo

[varma]

avevo provato aggiungendo questo nel route statiche router

Destination/Mask                         Network              Gateway
192.168.1.0/255.255.255.0   eth0.2 (WAN)              *

ma non era bastato

allora avevo messo una route statica anche nell'AGB, verso l'indirizzo IP rilasciato da Fastweb, ma nada

con i comandi che ho detto primo, se ora guardo le route statiche sulla gui di Gargoyle, risulta inserita la route
192.168.1.0/255.255.255.0   eth0.2 (WAN)              *
quindi a naso mi ci ero avvicinato, ma qualcosa doveva mancare, altrimenti avrebbe funzionato...

[Miguel89]

Non vorrei dire stupidaggini, ma probabilmente l'AGB risponde solo a richieste provenienti dalla sua sottorete (192.168.1.x), quindi se non fai il NAT il router non risponde perché la richiesta viene da un indirizzo di una sottorete diversa (192.168.2.x)
È corretto il mio ragionamento?

[Ansuel]

Non vorrei dire stupidaggini, ma probabilmente l'AGB risponde solo a richieste provenienti dalla sua sottorete (192.168.1.x), quindi se non fai il NAT il router non risponde perché la richiesta viene da un indirizzo di una sottorete diversa (192.168.2.x)
È corretto il mio ragionamento?

Esatto quindi risolvi mettendo il router nella sua sottorete assegnandoli un ip

[mavelot]

Non vorrei dire stupidaggini, ma probabilmente l'AGB risponde solo a richieste provenienti dalla sua sottorete (192.168.1.x), quindi se non fai il NAT il router non risponde perché la richiesta viene da un indirizzo di una sottorete diversa (192.168.2.x)
È corretto il mio ragionamento?

No...non è esatto. Se fosse così non funzionerebbe nessuna rete.

Esatto quindi risolvi mettendo il router nella sua sottorete assegnandoli un ip

Ripeto, è una soluzione unidirezionale e comunque sporca. L'utilizzo di IP multipli sulle interfacce deve essere ponderato e legato a particolari scenari. In generale è da evitare, anche perchè si corre il rischio serio di perdere il controllo dei pacchetti sulla rete. Possono inavvertitamente bypassare firewall, o peggio rimbalzare e far impallare gli switch e i router stessi


Ora illustro come ho la lan:

ADSL
|
modem Linksys WAG-120N (nessuna sessione PPP)
route statiche:
interface LAN host 192.168.0.0 network 255.255.255.0 GW 192.168.2.2
interface LAN host 192.168.1.0 network 255.255.255.0 GW 192.168.2.2
LAN 192.168.2.0/24 192.168.2.1
|
|
WAN 192.168.2.0/24 192.168.2.2
| Router 1  WDR3600 (1 sessione PPP dedicata per le sole misure Samknows, quindi default GW solo per questo router, senza NAT ))
| route statiche:
| interface LAN host 192.168.0.0 network 255.255.255.0 GW 192.168.1.2
| interface WAN host 192.168.2.0 network 255.255.255.0 GW 192.168.2.2
LAN 192.168.1.0/24 192.168.1.1
|
|
WAN 192.168.1.0/24 192.168.1.2
| Router 2 TG670 (con PPPoE default GW per internet, quindi con NAT per i client)
| route statiche:
| interface WAN host 192.168.1.0 network 255.255.255.0 GW 192.168.1.2
| interface WAN host 192.168.2.0 network 255.255.255.0 GW 192.168.1.1
LAN 192.168.0.0/24 192.168.0.254
|
bridge ETH 4 Interfaccie
|
LAN CLIENT 192.168.0.0/24

In questo modo tutte le macchine e tutti i router si vedono e si pingano tra loro in entrambe le direzioni ! (firewall permettendo ovviamente)
Quindi se dalla mio PC 192.168.0.66 vado su 192.168.2.1 si apre tranquillamente l'interfaccia del linksys che sta in un altra rete, che dal punto di vista del PC è "internet". Allo stesso tempo se entro in console del modem posso tranquillamente aprire il server ftp sul mio PC 192.168.0.66.

Tra l'altro mettendo anche 2 voci statiche nel DNS del router TG670, posso tranquillamente digitare "linksys" o "openwrt" ed arrivo al modem Linksys ed al router WDR3600

Il problema di chi non sa fare le route statiche è che tipicamente compie l'errore di non considerare che il gw è sempre "l'altra interfaccia" della connessione fisica "punto-punto" (può non essere fisica, ma è un altra complicazione). Nel caso indicato da Varma ad esempio vedo un * che non mi piace per nulla.

Inoltre bisogna ricordarsi che si deve costruire l'intero "percorso" per i pacchetti, interfaccia per interfaccia...altrimenti non funziona una cippa.

Un discorso assolutamente identico vale quando si mettono in VPN 2 reti distinte. Se io voglio far vedere i client da una parte e dall'altra SENZA usare NAT (e nelle reti aziendali serie vi assicuro che non si usa il NAT) devo scrivere le regole di routing per instradare sia il traffico da A->B sia da B->A attraverso il server VPN

[Miguel89]

Forse sono stato poco chiaro...
Probabilmente il server web dell'AGB risponde soltanto alle richieste provenienti dalla sottorete in cui si trova il router (192.168.1.x) e ignora tutte le altre.
È possibile?
Per verificarlo basterebbe verificare se i client della sottorete 192.168.2.x riescono a pingare l'AGB

Ripeto che non ho molta esperienza in materia e quindi potrei dire delle stupidaggini

[mavelot]

Forse sono stato poco chiaro...
Probabilmente il server web dell'AGB risponde soltanto alle richieste provenienti dalla sottorete in cui si trova il router (192.168.1.x) e ignora tutte le altre.
È possibile?
Per verificarlo basterebbe verificare se i client della sottorete 192.168.2.x riescono a pingare l'AGB

Ripeto che non ho molta esperienza in materia e quindi potrei dire delle stupidaggini

Ok Scusa....allora dici che è un problema specifico di questo router ?
Ammetto di non averne mai avuto uno per le mani, però questo problema non l'ho mai incotrato...è oggettivamente possibile che ci sia questa restrizione, ma credo sia a livello di firewall eventualmente.
Non avevo colto questo aspetto del problema.

[Miguel89]

La mia è solo una supposizione... ho un paio di AGB buttati da qualche parte, ma non ho fatto delle prove in merito...

@varma:
se puoi, fai questa prova e facci sapere!

[varma]

ammetto di essere totalmente ignorante in fatto di routing puro
infatti aspettavo la risposta di mavelot per avere una lezione terra terra della faccenda
magari domani provo a impostare le route statiche come suggerito da mavelot e vi dico i risultati

intanto posso confermarvi che con la configurazione attuale (quella con doppia interfaccia wan e modem di cui sopra)
raggiungo la web gui e pingo tranquillamente il modem dal mio pc in subnet 192.168.2.1

[Ansuel]

Quindi in pratica la router bisogna farla sia sul modem che sul router o.o
Quindi sul modem dovrei fare una router statica 192.168.1.0/24 con gateway 192.168.1.1
e sul router 192.168.0.0/24 192.168.0.1
Corretto?

[mavelot]

Quindi in pratica la router bisogna farla sia sul modem che sul router o.o
Quindi sul modem dovrei fare una router statica 192.168.1.0/24 con gateway 192.168.1.1
e sul router 192.168.0.0/24 192.168.0.1
Corretto?

Se hai solo 2 apparati le route saranno una per parte
Quindi con gli IP che hai tu dovrebbe essere

ADSL
|
modem
route statiche:
interface LAN host 192.168.0.0 network 255.255.255.0 GW 192.168.1.2
LAN 192.168.1.0/24 192.168.1.1
|
|
WAN 192.168.1.0/24 192.168.1.2
| Router
| route statiche:
| interface WAN host 192.168.1.0 network 255.255.255.0 GW 192.168.1.1
LAN 192.168.0.0/24 192.168.0.1
|
|
LAN CLIENT 192.168.0.0/24

A voler essere più precisi, trattandosi di connessioni punto-punto per il modem e per la wan del router
si può adottare la mask .252 (= /30) che ha solo 4 Ip, di cui 2 per gli host (.1 e .2 appunto), e di conseguenza anche le route potrebbero essere .252