IlPuntoTecnico
Hardware e Software => Connessioni ADSL/VDSL/FTTC => Topic aperto da: varma - 06 Novembre 2015, 20:01
-
Ho da poco messo in piedi la seguente configurazione mettendo a riposo il DV2200 che usavo in doppio NAT + DMZ
(motivazioni: eliminare il doppio NAT, usare un dispositivo mai usato per divertirmi, evitare di fare casini sulla configurazione del router in comodato per mettere il bridge)
AGB [in pure bridge 1483 MER con firmware di 30252783 recentemente ricompilato da xbomber e
| IP GUI 192.168.1.1]
|
|
WR1043ND [con Gargoyle 1.7.2; WAN con DHCP e IP Pubblico statico automaticamente assegnato dal modem;
| LAN 192.168.2.1; DNS OpenDNS; Access Point Wireless; snmpd attivo.]
|
LAN e WLAN [192.168.2.x]
Vorrei tenere d'occhio la situazione del modem senza dovermici attaccare via cavo, visto che è in una posizione scomoda.
è una cosa fattibile aggiungendo qualche route statica?
-
Ho da poco messo in piedi la seguente configurazione mettendo a riposo il DV2200 che usavo in doppio NAT + DMZ
(motivazioni: eliminare il doppio NAT, usare un dispositivo mai usato per divertirmi, evitare di fare casini sulla configurazione del router in comodato per mettere il bridge)
AGB [in pure bridge 1483 MER con firmware di 30252783 recentemente ricompilato da xbomber e
| IP GUI 192.168.1.1]
|
|
WR1043ND [con Gargoyle 1.7.2; WAN con DHCP e IP Pubblico statico automaticamente assegnato dal modem;
| LAN 192.168.2.1; DNS OpenDNS; Access Point Wireless; snmpd attivo.]
|
LAN e WLAN [192.168.2.x]
Vorrei tenere d'occhio la situazione del modem senza dovermici attaccare via cavo, visto che è in una posizione scomoda.
è una cosa fattibile aggiungendo qualche route statica?
Guarda con openwrt basta che aggiungi una interfaccia a caso e ci butti sopra un ip che è dentro il netmask del modem (se il modem ha 192.168.0.1 tu ci aggiungi una interfaccia 192.168.0.2 e la attacchi al firewall)
Potresti provare con qualche comando che usavo su dd-wrt
nella fattispiecie questi
ifconfig `nvram get wan_ifname`:0 192.168.1.2 netmask 255.255.255.0
iptables -t nat -I POSTROUTING -o `nvram get wan_ifname` -j MASQUERADE
(cambiando gli ip a seconda del tuo caso)
fonte http://www.dd-wrt.com/wiki/index.php/Access_To_Modem_Configuration
-
grazie per l'indicazione
ho risolto cercando una guida simile, direttamente per openwrt
http://wiki.openwrt.org/doc/howto/access.modem.through.nat
nuova interfaccia aggiungendo a /etc/config/network
config interface 'modem'
option ifname 'eth0.2'
option proto 'static'
option ipaddr '192.168.1.10'
option netmask '255.255.255.0'
poi da shell i seguenti comandi per il firewall
uci set firewall.@zone[1].network='wan modem'
uci commit firewall
reboot
-
Soluzioni valide, ma secondo me sporche.
La soluzione pulita è quella delle route statiche. Non mi stancherò di ripeterlo.
Ne aggiungere IP, ne utilizzare NAT o mascheramenti. Puro routing, che è quello che i router sanno fare.....
-
Soluzioni valide, ma secondo me sporche.
La soluzione pulita è quella delle route statiche. Non mi stancherò di ripeterlo.
Ne aggiungere IP, ne utilizzare NAT o mascheramenti. Puro routing, che è quello che i router sanno fare.....
Sarebbe spiegati :D mi sarebbe molto utile capirlo
-
avevo provato aggiungendo questo nel route statiche router
Destination/Mask Network Gateway
192.168.1.0/255.255.255.0 eth0.2 (WAN) *
ma non era bastato
allora avevo messo una route statica anche nell'AGB, verso l'indirizzo IP rilasciato da Fastweb, ma nada
con i comandi che ho detto primo, se ora guardo le route statiche sulla gui di Gargoyle, risulta inserita la route
192.168.1.0/255.255.255.0 eth0.2 (WAN) *
quindi a naso mi ci ero avvicinato, ma qualcosa doveva mancare, altrimenti avrebbe funzionato...
-
Non vorrei dire stupidaggini, ma probabilmente l'AGB risponde solo a richieste provenienti dalla sua sottorete (192.168.1.x), quindi se non fai il NAT il router non risponde perché la richiesta viene da un indirizzo di una sottorete diversa (192.168.2.x)
È corretto il mio ragionamento?
-
Non vorrei dire stupidaggini, ma probabilmente l'AGB risponde solo a richieste provenienti dalla sua sottorete (192.168.1.x), quindi se non fai il NAT il router non risponde perché la richiesta viene da un indirizzo di una sottorete diversa (192.168.2.x)
È corretto il mio ragionamento?
Esatto quindi risolvi mettendo il router nella sua sottorete assegnandoli un ip
-
Non vorrei dire stupidaggini, ma probabilmente l'AGB risponde solo a richieste provenienti dalla sua sottorete (192.168.1.x), quindi se non fai il NAT il router non risponde perché la richiesta viene da un indirizzo di una sottorete diversa (192.168.2.x)
È corretto il mio ragionamento?
No...non è esatto. Se fosse così non funzionerebbe nessuna rete.
Esatto quindi risolvi mettendo il router nella sua sottorete assegnandoli un ip
Ripeto, è una soluzione unidirezionale e comunque sporca. L'utilizzo di IP multipli sulle interfacce deve essere ponderato e legato a particolari scenari. In generale è da evitare, anche perchè si corre il rischio serio di perdere il controllo dei pacchetti sulla rete. Possono inavvertitamente bypassare firewall, o peggio rimbalzare e far impallare gli switch e i router stessi
Ora illustro come ho la lan:
ADSL
|
modem Linksys WAG-120N (nessuna sessione PPP)
route statiche:
interface LAN host 192.168.0.0 network 255.255.255.0 GW 192.168.2.2
interface LAN host 192.168.1.0 network 255.255.255.0 GW 192.168.2.2
LAN 192.168.2.0/24 192.168.2.1
|
|
WAN 192.168.2.0/24 192.168.2.2
| Router 1 WDR3600 (1 sessione PPP dedicata per le sole misure Samknows, quindi default GW solo per questo router, senza NAT ))
| route statiche:
| interface LAN host 192.168.0.0 network 255.255.255.0 GW 192.168.1.2
| interface WAN host 192.168.2.0 network 255.255.255.0 GW 192.168.2.2
LAN 192.168.1.0/24 192.168.1.1
|
|
WAN 192.168.1.0/24 192.168.1.2
| Router 2 TG670 (con PPPoE default GW per internet, quindi con NAT per i client)
| route statiche:
| interface WAN host 192.168.1.0 network 255.255.255.0 GW 192.168.1.2
| interface WAN host 192.168.2.0 network 255.255.255.0 GW 192.168.1.1
LAN 192.168.0.0/24 192.168.0.254
|
bridge ETH 4 Interfaccie
|
LAN CLIENT 192.168.0.0/24
In questo modo tutte le macchine e tutti i router si vedono e si pingano tra loro in entrambe le direzioni ! (firewall permettendo ovviamente)
Quindi se dalla mio PC 192.168.0.66 vado su 192.168.2.1 si apre tranquillamente l'interfaccia del linksys che sta in un altra rete, che dal punto di vista del PC è "internet". Allo stesso tempo se entro in console del modem posso tranquillamente aprire il server ftp sul mio PC 192.168.0.66.
Tra l'altro mettendo anche 2 voci statiche nel DNS del router TG670, posso tranquillamente digitare "linksys" o "openwrt" ed arrivo al modem Linksys ed al router WDR3600
Il problema di chi non sa fare le route statiche è che tipicamente compie l'errore di non considerare che il gw è sempre "l'altra interfaccia" della connessione fisica "punto-punto" (può non essere fisica, ma è un altra complicazione). Nel caso indicato da Varma ad esempio vedo un * che non mi piace per nulla.
Inoltre bisogna ricordarsi che si deve costruire l'intero "percorso" per i pacchetti, interfaccia per interfaccia...altrimenti non funziona una cippa.
Un discorso assolutamente identico vale quando si mettono in VPN 2 reti distinte. Se io voglio far vedere i client da una parte e dall'altra SENZA usare NAT (e nelle reti aziendali serie vi assicuro che non si usa il NAT) devo scrivere le regole di routing per instradare sia il traffico da A->B sia da B->A attraverso il server VPN
-
Forse sono stato poco chiaro...
Probabilmente il server web dell'AGB risponde soltanto alle richieste provenienti dalla sottorete in cui si trova il router (192.168.1.x) e ignora tutte le altre.
È possibile?
Per verificarlo basterebbe verificare se i client della sottorete 192.168.2.x riescono a pingare l'AGB
Ripeto che non ho molta esperienza in materia e quindi potrei dire delle stupidaggini
-
Forse sono stato poco chiaro...
Probabilmente il server web dell'AGB risponde soltanto alle richieste provenienti dalla sottorete in cui si trova il router (192.168.1.x) e ignora tutte le altre.
È possibile?
Per verificarlo basterebbe verificare se i client della sottorete 192.168.2.x riescono a pingare l'AGB
Ripeto che non ho molta esperienza in materia e quindi potrei dire delle stupidaggini
Ok Scusa....allora dici che è un problema specifico di questo router ?
Ammetto di non averne mai avuto uno per le mani, però questo problema non l'ho mai incotrato...è oggettivamente possibile che ci sia questa restrizione, ma credo sia a livello di firewall eventualmente.
Non avevo colto questo aspetto del problema.
-
La mia è solo una supposizione... ho un paio di AGB buttati da qualche parte, ma non ho fatto delle prove in merito...
@varma:
se puoi, fai questa prova e facci sapere!
-
ammetto di essere totalmente ignorante in fatto di routing puro
infatti aspettavo la risposta di mavelot per avere una lezione terra terra della faccenda
magari domani provo a impostare le route statiche come suggerito da mavelot e vi dico i risultati
intanto posso confermarvi che con la configurazione attuale (quella con doppia interfaccia wan e modem di cui sopra)
raggiungo la web gui e pingo tranquillamente il modem dal mio pc in subnet 192.168.2.1
-
Quindi in pratica la router bisogna farla sia sul modem che sul router o.o
Quindi sul modem dovrei fare una router statica 192.168.1.0/24 con gateway 192.168.1.1
e sul router 192.168.0.0/24 192.168.0.1
Corretto?
-
Quindi in pratica la router bisogna farla sia sul modem che sul router o.o
Quindi sul modem dovrei fare una router statica 192.168.1.0/24 con gateway 192.168.1.1
e sul router 192.168.0.0/24 192.168.0.1
Corretto?
Se hai solo 2 apparati le route saranno una per parte
Quindi con gli IP che hai tu dovrebbe essere
ADSL
|
modem
route statiche:
interface LAN host 192.168.0.0 network 255.255.255.0 GW 192.168.1.2
LAN 192.168.1.0/24 192.168.1.1
|
|
WAN 192.168.1.0/24 192.168.1.2
| Router
| route statiche:
| interface WAN host 192.168.1.0 network 255.255.255.0 GW 192.168.1.1
LAN 192.168.0.0/24 192.168.0.1
|
|
LAN CLIENT 192.168.0.0/24
A voler essere più precisi, trattandosi di connessioni punto-punto per il modem e per la wan del router
si può adottare la mask .252 (= /30) che ha solo 4 Ip, di cui 2 per gli host (.1 e .2 appunto), e di conseguenza anche le route potrebbero essere .252
-
Se hai solo 2 apparati le route saranno una per parte
Quindi con gli IP che hai tu dovrebbe essere
ADSL
|
modem
route statiche:
interface LAN host 192.168.0.0 network 255.255.255.0 GW 192.168.1.2
LAN 192.168.1.0/24 192.168.1.1
|
|
WAN 192.168.1.0/24 192.168.1.2
| Router
| route statiche:
| interface WAN host 192.168.1.0 network 255.255.255.0 GW 192.168.1.1
LAN 192.168.0.0/24 192.168.0.1
|
|
LAN CLIENT 192.168.0.0/24
Il modem non fa dhcp quindi penso che devo saltare la parte lan giusto?
-
@mavelot
quindi con la tua configurazione e la build di livingsilver94 non hai bisogno di snmpd perchè il traffico passa tutto tramite interfaccia WAN del wdr3600
ma riesci a usare altri dispositivi connessi a lui (tramite LAN e WIFI) connettendoli a internet?
immagino dovrai fargli avere IP 192.168.1.0 con GW 192.168.0.254
mi piacerebbe impostare una situazione tipo la tua, ma temo che col bridge MER di Fastweb devo
per forza di cose mettere il router col NAT direttamente a valle del modem
-
Il modem non fa dhcp quindi penso che devo saltare la parte lan giusto?
In che senso ?? Anche io non ho il DHCP su quelle interfaccie.
Quando si utizzano route statiche ovviamente il dhcp non va usato, oppure si devono riservare gli indirizzi, altrimenti si rischia di assegnare indirizzi diversi da quelli delle route e non funziona niente.
Non devi saltare niente
-
In che senso ?? Anche io non ho il DHCP su quelle interfaccie.
Quando si utizzano route statiche ovviamente il dhcp non va usato, oppure si devono riservare gli indirizzi, altrimenti si rischia di assegnare indirizzi diversi da quelli delle route e non funziona niente.
Non devi saltare niente
Ok allora mi devo informare meglio su come fare le router statiche? Non capisco ancora dove vanno messi quei valori...
Perchè nella tab stati router ho solo ip gateway e interfaccia :(
Per varma no perchè con due connessioni pppoe non raddoppi la tua connessione hai comunque 7/10/20 mega di banda, quindi se un pppoe ti sta usando la banda l'altra usa quella restante se ce n'è disponibile
-
volevo solo sapere da mavelot se in questo modo ha bypassato il problema di dover usare snmpd con la build di livingsilver94 in casi complessi.
non ho studiato lo script /etc/bandwidth.sh, ma se questo legge solo i pacchetti transitanti nell'interfaccia fisica eth0.1 (cioè la porta fisica WAN), siano questi appartenenti alla PPP del Samknows e alla PPP del TG670, danno una misura della banda usata (escludendo i rari casi in cui ci si connette al modem)
immagino che co' tutte 'ste subnet i server DHCP siano delle rogne da gestire...però in una situazione casalinga con telefonini di ospiti che si collegano alla WiFi torna sempre comodo!
una curiosità, in una situazione così i lease e le richeste DHCP si propagano lungo le route statiche?
sempre perchè vorrei capire come poter replicare la tua situazione ma con la mia connessione Fastweb
-
allora...
1) I pacchetti discover e reply del dhcp non possono propagarsi nelle subnet perchè sono di broadcast, e lavorano sul layer 2, quindi non sono "routabili"
2) Si, ho creato questa configurazione proprio per consentire ugualmente le misure. Come hai detto non importa da quale interfaccia virtuale sia originato il traffico. Passa in ogni caso tutto per la eth 0.1
3) Normalmente non connetto alcun dispositivo al WDR3600, ed inoltre la sua sessione PPP non è default gateway per i client che quindi non potrebbero comunque navigare. Ma volendo potrei farlo tranquillamente e le misurazioni continuerebbero a funzionare
-
ho provato a fare il routing
AGB
Full bridge MER
IP 192.168.1.1/255.255.255.0
Route statica
Destination Subnet Mask Gateway Interface
2.x.x.N 255.255.248.0 192.168.1.1 br0
WR1043ND
WAN: DHCP Client con NAT
IP 2.x.x.N/255.255.248.0
LAN: Static IP
IP 192.168.2.1/255.255.255.0
Destination Interface Gateway
192.168.1.1 wan 2.x.x.N
2.X.X.N è il mio IP Pubblico rilasciato dal DHCP di Fastweb
Così non funziona. Dove ho toppato?
-
Mi accodo alla discussione. Voglio approfondire le mie conoscenze di routing.
-
ho provato a fare il routing
AGB
Full bridge MER
IP 192.168.1.1/255.255.255.0
Route statica
Destination Subnet Mask Gateway Interface
2.x.x.N 255.255.248.0 192.168.1.1 br0
WR1043ND
WAN: DHCP Client con NAT
IP 2.x.x.N/255.255.248.0
LAN: Static IP
IP 192.168.2.1/255.255.255.0
Destination Interface Gateway
192.168.1.1 wan 2.x.x.N
2.X.X.N è il mio IP Pubblico rilasciato dal DHCP di Fastweb
Così non funziona. Dove ho toppato?
Questa è una situazione completamente diversa da quelle descritte fin qua. Non avevi specificato che l'IP pubblico è "l'unico" IP associato ad una delle interfaccie.
Ovvio che non funzioni.
Chiariamo alcuni aspetti:
La "rete LAN", in senso esteso, cioè tutti gli apparati che abbiamo, deve essere autonoma rispetto agli IP pubblici. Cioè deve essere realizzata da soli IP privati. Altrimenti è chiaro che in assenza di IP della stessa net nelle connessioni punto punto non può esserci routing.
In questo caso prima di tutto vorrei capire che tipo di connessione è quella che assegna l'IP pubblico. Routed RFC 2684 ?
Tornando ai "numeri". In questo caso non può funzionare il routing, non perchè le reti siano una pubblica e una privata (è tipico fare routing tra private e pubbliche quando ad esempio si entra su un isola di firewall, o in una vpn).
Il problema è che non ci sono le associazioni corrette tra interfacce e gateway.
Poi cosa significa 2.x.x.N ?? Le route "statiche" per definizione non possono avere IP dinamici.
La subnet della rete pubblica è corretta ??? Quanti IP pubblici hai ??
Inoltre le 2 interfacce LAN AGB e WAN WR1043ND non stanno nella stessa sottorete. In questa condizione non possono comunicare a livello 3.
Tu dovresti avere una situazione tipo:
AGB
Full bridge MER
IP 192.168.1.1/24
Route statica
Destination Subnet Mask Gateway Interface
192.168.2.0 255.255.255.0 192.168.1.2 br0
|
|
WR1043ND
WAN 1: STATIC IP 192.168.1.2/24
WAN 1.0: DHCP Client con NAT 2.x.x.N
LAN: Static IP
IP 192.168.2.1/24
Destination Interface Gateway
192.168.1.0/24 wan 192.168.1.1
-
grazie mavelot
ho avuto solo ora il tempo di leggere con calma
poi proverò le configurazioni tra qualche giorno
la configurazione della connessione è la seguente
- VPI: 8
- VCI: 36
- INCAPSULAMENTO: LLC
- PROTOCOLLO RFC 2684 Bridged (dinamica)
- Protocollo: Dynamic IP
- Protocol: IP over RFC 1483 Bridged
- Connection type: RFC 2684 Bridged (dynamic)
- Channel Mode: 1483 MER / Bridged
- Connection type: Dynamic (1483 Bridged)
- Connection type: 1483 Bridged IP
- DHCP client: abilitato sull’interfaccia WAN per l’acquisizione dinamica dell’indirizzo IP
- Classe ATM: UBR (se richiesto)
con 2.x.x.N intendo il valore specifico di IP che mi hanno assegnato da quando ho avuto IP pubblico (ormai almeno 2-3 anni; 1 solo IP pubblico)
e non è mai cambiato (quindi è sostanzialmente statico, ma non garantito...potrebbero variarlo per loro necessità e lo rilasciano tramite DHCP)
sulla incomunicabilità tra gli IP avevo intuito che il problema fosse legato alle subnet, ma ho preferito avere conferma da te ed un cosiglio sulla corretta configurazione!
grazie ;)
adesso è tutto più chiaro