ciao a tutti raga, premetto che quello che ho in mente non è proprio semplice.
posto la configurazione

http://aief11.interfree.it/rete1.png

ebbene si, ho necessità che il web server abbia classe C e soprattutto che l'indirizzo sia assegnato via DHCP da router "internet" altrimenti il port forwarding non va...
ora il rotuer 2 (quello lan) è uno snapgear lite2 basato su linux che (giustamente) non mi lascia passare il DHCP sulla lan interna come posso fare secondo voi?
dimenticavo, prima che mettessi il 2° router avevo impostato il portforwarding per chiamate internet giunte(tramite dyndns) sulla porta 80 e dirottate sulla 8080 e tutto fungeva;)

Sinceramente non capisco come sono fatti i collegamenti.

Non funzionerà mai....

Devi fare un port forwarding anche sul secondo router....

PS: sul secondo router usi sia la porta WAN che quelle LAN, vero?

ciao rata, grazie per la risposta, mi rendo conto che non è semplice riportare fedelmente l'esigenza. cmq, come dicevo, prima di inserire il rotuer B avendo la medesima classe nella lan abilitavo il port forwarding sull'indirizzo ip del web server e riuscivo a raggiungerlo anche da internet.
Ora invece dovendo mettere questo secondo router sono un pò in confusion...
ho provato a settare queste regole (avendo come indirizzo del web server 192.168.100.2 e quello del secondo router 192.168.100.1)
ROUTER A IP 192.168.100.1 Public 80 Private 8080
ROUTER B IP 192.168.100.2 Public 8080 Private 8080
ma non va... sapreste dirmi come mai?
grazie

Il secondo router, come dice il nome stesso fa routing (e NAT)....


Il web server deve avere IP 10.******

Rassegnati...

Il secondo router, come dice il nome stesso fa routing (e NAT)....


Il web server deve avere IP 10.******

Rassegnati...

quindi non posso modificare con iptables la tabella di routing per far passare atraverso la rete le chiamate che partono dalla wan?

quindi non posso modificare con iptables la tabella di routing per far passare atraverso la rete le chiamate che partono dalla wan?
IMHO no....

Quale motivazione hai per non collegare il server direttamente al router internet?
Per quale motivo è necessario il routerB? Di che routers (marca modello) stiamo parlando?

Quale motivazione hai per non collegare il server direttamente al router internet?
Per quale motivo è necessario il routerB? Di che routers (marca modello) stiamo parlando?

allora raga, so che è una situazione assurda, ma la necessità nasce dal fatto che pochi giorni fa ho richiesta assistenza al mio provider ed ho visto che tramite il router sfogliava beatamente tutta al mia rete....quindi ho deciso di nattare la mia rete privata. Il router B è uno snapgear LITE2 (basato su kernel linux). Penso che quello che voglio fare (chiudermi la rete da occhi indiscreti del provider) sia impossibile perchè adesso sorge un'altro problema.
Essendo il router A provvisto di wifi in linea di massima se mi collego senza filo i pc del router A non sfogliano la rete lan perchè (credo) nel router A non c'è indirizzamento verso la lan B e non credo si possa risolvere...;)
cmq..la parola a voi

Se vuoi nattare tutto, allora devi cambiare IP al web server.... comunque più che un router sarebbe stato meglio un firewall...

il problema è che non posso farlo per un semplice motivo, devo per forza assegnare indirizzo IP tramite il router A e quindi poi usare un relay agent sul secondo router(che non mi sembra ce l'abbia, almeno questa versione perchè sul libertto è menzionato) oppure costruire una regola IPTABLES che mi lasci transitare protocollo DHCP senza bloccarlo... ma cominci a pensare che la spesa non valga l'impresa:(

allora raga, so che è una situazione assurda, ma la necessità nasce dal fatto che pochi giorni fa ho richiesta assistenza al mio provider ed ho visto che tramite il router sfogliava beatamente tutta al mia rete....

In che senso? Se l'operatore può accedere dal remoto alla pagina di configurazione del router è normale che possa sapere quali pc sono collegati in quel momento, un'altra è che possa accedere alle cartelle condivise dei pc.

In che senso? Se l'operatore può accedere dal remoto alla pagina di configurazione del router è normale che possa sapere quali pc sono collegati in quel momento, un'altra è che possa accedere alle cartelle condivise dei pc.

lo so che è normale che possa sapere i pc sulla MIA rete..ma è questo che vorrei evitare;) per questo avevo pensato ad un router così il provider potrebbe vedere il solo indirizzo del 2 router. Poi so che è solo paranoia, ma nulla toglie che sfogliano la rete un pinco pallino qualunque possa anche accedervi e/o prendere info;(.

secondo voi se pò fa????

disabilitare l' accesso remoto al router no?Inoltre il server deve avere per forza un indirizzo di classe C, bene daglielo il range 192.168.0.0 /16 è libero per uso privato. Un doppio forward e passa la paura.

ROUTER A IP 192.168.100.1 Public 80 Private 8080
ROUTER B IP 192.168.100.2 Public 8080 Private 8080
ma non va... sapreste dirmi come mai?
perchè esistono un po di cose che rispondono al nome di dominio broadcast, arp resolution, anding binario....

disabilitare l' accesso remoto al router no?Inoltre il server deve avere per forza un indirizzo di classe C, bene daglielo il range 192.168.0.0 /16 è libero per uso privato. Un doppio forward e passa la paura.

magari potessi disabilitare l'accesso al rotuer, loro accedono da remoto sia via web (con credenziale a me nascoste) che con telnet(sono le due porte che nmap trova aperte). nel tuo intervento richiami il doppio forwarding... so che quello proposto da me è campato in aria perchè si basa sulla sola logicità delle cose, ma non saprei come implementarlo (se si può) con la mia attuale situazione.
grazie per adesso;)

magari potessi disabilitare l'accesso al rotuer, loro accedono da remoto sia via web (con credenziale a me nascoste) che con telnet(sono le due porte che nmap trova aperte). nel tuo intervento richiami il doppio forwarding... so che quello proposto da me è campato in aria perchè si basa sulla sola logicità delle cose, ma non saprei come implementarlo (se si può) con la mia attuale situazione.
grazie per adesso;)

nella documentazione del router trovi come disabilitare i servizi remoti. Il doppio forward è abbastanza semplice qualunque range di indirizzi privati si utilizzi. Vuoi 2 range di classe C. Bene
Se la prima porzione Lan ha rete 192.168.0.0 /24, il secondo router avrà un indirizzo valido, ad esempio 192.168.0.254 (ultimo usabile). Il primo router mapperà su tale indirizzo la porta che ti serve (80 su 8080 ad esempio). Il secondo router avrà porzione lan 192.168.1.0 /24 di cui il web server avrà un ip valido.

nella documentazione del router trovi come disabilitare i servizi remoti. Il doppio forward è abbastanza semplice qualunque range di indirizzi privati si utilizzi. Vuoi 2 range di classe C. Bene
Se la prima porzione Lan ha rete 192.168.0.0 /24, il secondo router avrà un indirizzo valido, ad esempio 192.168.0.254 (ultimo usabile). Il primo router mapperà su tale indirizzo la porta che ti serve (80 su 8080 ad esempio). Il secondo router avrà porzione lan 192.168.1.0 /24 di cui il web server avrà un ip valido.

Sarò tonto ma non mi sembra tanto distante da quanto ho detto io e come già scrtto nn funge il mappaggio delle porte, per la disabilitazione dei servizi ribadisco che via web nn si può lo si può fare solo via telnet ma nn ho credenziali

Sarò tonto ma non mi sembra tanto distante da quanto ho detto io e come già scrtto nn funge il mappaggio delle porte, per la disabilitazione dei servizi ribadisco che via web nn si può lo si può fare solo via telnet ma nn ho credenziali

ci credo che non funziona se metti un ip del tipo 192.168.x.x in un dominio 10.x.x.x questa è la base del protocollo ip.

ci credo che non funziona se metti un ip del tipo 192.168.x.x in un dominio 10.x.x.x questa è la base del protocollo ip.

continuo a non capire... mi stai dicendo che routing tra 2 classi diverse non si può fare????
tipo la lan interna non la posso nattare su classe A e farla usire con classe C????

continuo a non capire... mi stai dicendo che routing tra 2 classi diverse non si può fare????
tipo la lan interna non la posso nattare su classe A e farla usire con classe C????

Il forwarding delle porte non è routing: lavora a livello trasporto, che poi cambi il campo indirizzo nel pacchetto ip, è solo un dettaglio.
Quello che ti ho detto è che un indirizzo 192.168.x.x /24 non ha visibilità e modo di comunicare in un dominio 10.x.x.x /8

tipo la lan interna non la posso nattare su classe A e farla usire con classe C????
certo che puoi, ma tutti i pc che fanno capo al natter (gateway) devono essere sulla stessa subnet, ovvero un host 192.168.x.x /24 non può avere 10.x.x.x come gateway.
Un consiglio: non ragionare a livello di classe (concetto obsoleto) ma di subnet.

Son dell'idea che vuoi crearti problemi dove non ce ne sono.

Son dell'idea che vuoi crearti problemi dove non ce ne sono.

come non quotarti

come non quotarti

raga.. grazie per le risposte, ma come ribadito più volte, non è uno sfizio quello di mettere il web server sulla stessa sub del router A, ma un'esigenza dettata dal fatto che se lo stesso router A non ha nella sua DHCP table il mac del web server non mi fa fare port forwarding, semplice.
cmq, credo che non si possa fare(almeno con questi apparato che ho io) perchè penso che facendo una vpn tra i due router potrei gestirla, no? cmq grazie per la disponibilità e le risposte:)

Nu, il problema che ti sei creato è il voler a tutti i costi nattare ulteriormente la rete per paura che l'operatore non abbia altro da fare che mettersi a guardare proprio te, ammesso che sia possibile (non ho le conoscenze per confermarlo o negarlo)

raga.. grazie per le risposte, ma come ribadito più volte, non è uno sfizio quello di mettere il web server sulla stessa sub del router A, ma un'esigenza dettata dal fatto che se lo stesso router A non ha nella sua DHCP table il mac del web server non mi fa fare port forwarding, semplice.
cmq, credo che non si possa fare(almeno con questi apparato che ho io) perchè penso che facendo una vpn tra i due router potrei gestirla, no? cmq grazie per la disponibilità e le risposte:)

Hai le idee confuse, perchè vuoi fare troppe cose senza avere le basi (cosa c' entrano dhcp e mac address per il portforwarding????????)...addirittura un vpn.....dai

Allora ti rispiego,per l' ultima volta i passaggi...
Internet-interfaccia wan router A-interfaccia lan router A
Bene da qui attraverso un DDNS arrivi alla wan del router A, e fai una regola di forward all' interfaccia wan del router B, sulla porta dove ascolta il webserver
poi
wan router B-lan router b-server
qui fai la stessa cosa forward della porta specificata verso l' ip del server, che deve essere obbligatoriamente sulla stessa subnet della porzione lan del router B.
Se non ti sono chiari concetti come subnet e dominio di broadcast è inutile continuare, perchè insisti sulla tua posizione che non è attuabile.

Hai le idee confuse, perchè vuoi fare troppe cose senza avere le basi (cosa c' entrano dhcp e mac address per il portforwarding????????)...addirittura un vpn.....dai




allora...so di non essere un genio del networking ma alle basi ci siamo;)
se dico che il port forwarding c'entra è a ragion veduta, forse si dimentica che si sta parlando di routerini soho economici e di certo non gestibili al 100%, dico questo perchè se il router A non ha l'indirizzo delle macchine che deve forwardare nella sua tabella DHCP non fa nulla, quindi, qualora assegnassi l'indirizzo della subnet interna(lan) e facessi un doppio port forwarding cmq il router A non saprebbe dove dirottare le chiamate pervenute da internet, quindi penso che non si possa fare, per quanto riguarda il discorso dalla VPN credo che facendomene una risolverei i problemi (se solo riuscissi a gestirla con questo tipo di apparato) mi spiace di non esser riiuscito a precisare questo dettaglio(dhpc x forward) perchè senza questo...cade tutto il discorso:)
grazie mille raga... alla fine ho ovviato mettendo il webserver nella subnet del router A nella sua DMZ. So che è una fesseria questa sorta di tutela dal provider cattivo, ma alla fine l'ho presa come un piccolo case study.
buona domenica a tutti;)

Andiamo con ordine, altrimenti non ne usciamo e di solito non mi piace ripetere più volte le stesse cose.

allora...so di non essere un genio del networking ma alle basi ci siamo;)
non ci siamo nemmeno con le basi, ma andiamo avanti..

se dico che il port forwarding c'entra è a ragion veduta, forse si dimentica che si sta parlando di routerini soho economici e di certo non gestibili al 100%, dico questo perchè se il router A non ha l'indirizzo delle macchine che deve forwardare nella sua tabella DHCP non fa nulla,
Certo in portforwarding è l' unica cose che c' entra, quello che non c' entra è il dhcp. Sai cosa è il dhcp ? è un protocollo di configurazione dinamica degli host, e non ha nulla a che vedere che le successive operazioni che si possono compiere. Un server dhcp assegna un ip valido, fatto ciò il suo compito finisce.

quindi, qualora assegnassi l'indirizzo della subnet interna(lan) e facessi un doppio port forwarding cmq il router A non saprebbe dove dirottare le chiamate pervenute da internet, quindi penso che non si possa fare,

Vediamo di capire come funziona Ip, poi dopo parliamo di portforwarding. Una macchina ha un indirizzo ip e una maschera che ne identifica la rete base. Quandi un pacchetto deve essere trasmesso vengono confrontate le reti base sorgente e destinazione, se corrispondono si procede ad una risoluzione arp (di cui tralascio i dettagli) e si indirizza a livello fisico, in caso contrario si fa capo ad un gateway (che deve stare comunque sulla stessa subnet).
Ora veniamo al portforward di cui prima ho postato lo schema. Mettere 2 o cento router natter in serie equivale a metterne uno; la chiave sta nel significato di redirect della connessione. Ogni router fare forward della porta richiesta verso l' ip della wan del successivo. Solo l' ultimo della catena avrà la entry specifica del server. Non ti è ancora chiaro, vediamolo con i numeri

router 1
wan x.x.x.x
lan 192.168.1.1

router 2
wan 192.168.1.254
lan 10.0.0.1

server 10.0.0.2

Come funziona il forward

router 1
porta 80 ip 192.168.1.254

router 2
porta 80 ip 10.0.0.2

magicamente il server è raggiungibile dall' esterno.


per quanto riguarda il discorso dalla VPN credo che facendomene una risolverei i problemi (se solo riuscissi a gestirla con questo tipo di apparato) mi spiace di non esser riiuscito a precisare questo dettaglio(dhpc x forward) perchè senza questo...cade tutto il discorso:)
ancora dhcp per forward?Il dhcp è un protocollo di configurazione, non di comunicazione

grazie mille raga... alla fine ho ovviato mettendo il webserver nella subnet del router A nella sua DMZ. So che è una fesseria questa sorta di tutela dal provider cattivo, ma alla fine l'ho presa come un piccolo case study.
buona domenica a tutti;)
sai cosa hai fatto mettendo un server in DMZ?

ciao nuovoutente, credo che nel forum si venga per imparare ed è per questo che posto domande stupide od intelligenti.. vado un attimo off topic ma rietrno al volo....
io so cos'è un dhcp e nn credo ci sia bisogno dell'esegesi del protocollo tcp....
il mio problema è relativo al server dhcp non al protocollo....
non si può fare quello che voglio ho risolto mettendo il tutto in una dmz che se ho scelto di adottare è perché è un web server che hosta siti prova e sopratutto è un webserver che mi serve come prova per eventuale case study e/o exploit da remoto.
cmq.. grazie per la dedizione con la quale ti stai dedicando alla spiegazione ma credo di esser stato chiaro dicendo che quello che voglio fare (così come l'ho pensato) non si può fare..
ciao

Ed io continuo a dirti che il problema non è il dhcp (indipendemente che il router consenta o meno di rivolgersi ad un helper relay)ma ad un livello più basso ovvero di protocollo. Tu vuoi assegnare un ip fuori subnet in un dominio broadcast e ciò non è possibile. Per intenderci, anche se in dhcp assegnassi quell' ip (lo puoi fare in maniera statica, come per altro un server richiede) non funzionerebbe ugualmente perchè non ci sarebbe indirizzamento fisico fra server e gateway. A me non cambia la vita, ma se hai voglia di imparare qualcosa cerca di capire cosa ti sto spiegando e non fissarti sulle tue idee.

Ed io continuo a dirti che il problema non è il dhcp (indipendemente che il router consenta o meno di rivolgersi ad un helper relay)ma ad un livello più basso ovvero di protocollo. Tu vuoi assegnare un ip fuori subnet in un dominio broadcast e ciò non è possibile.

stiamo dicendo le stesse cose.... ovvero che non si può fare.. come dico io;)
quindi credo che la discussione si possa chiudere... per quanto riguarda il relay del dhcp confermo quanto dici... quindi si può chiudere qui;)

stiamo dicendo le stesse cose.... ovvero che non si può fare.. come dico io;)
quindi credo che la discussione si possa chiudere... per quanto riguarda il relay del dhcp confermo quanto dici... quindi si può chiudere qui;)

No non stiamo dicendo le stesse cose. Ti sto dicendo che SI PUO' FARE, e anche in maniera abbastanza semplice, ma evidentemente sembri non capire.

ciao nuovoutente,[...]
non si può fare quello che voglio ho risolto mettendo il tutto in una dmz
cmq.. grazie per la dedizione con la quale ti stai dedicando alla spiegazione ma credo di esser stato chiaro dicendo che quello che voglio fare (così come l'ho pensato) non si può fare..
ciao
mi auto quoto... ho capito che non si può fare:)
No non stiamo dicendo le stesse cose. Ti sto dicendo che SI PUO' FARE, e anche in maniera abbastanza semplice, ma evidentemente sembri non capire.
vedi sopra

mi auto quoto... ho capito che non si può fare:)

vedi sopra

presumo, a questo punto, che tu abbia aperto questa discussione per perdere solo tempo senza nessun intento...quello che chiedi ti è stato spiegato (una dozzina di volte) ed è POSSIBILISSIMO .
Vediamo, giusto per divertirci un po a porre la domanda in maniera diversa....
E' possibile raggiungere dall' esterno un server posto dietro diversi NAT....si è possibile....che bello

Allora, mi spiego meglio. Se tolgo il router b e lascio tutto così com'è non funziona es:
Wan x.x.x.x/ LAN 192.168.1.x->web server 192.168.1.2
Se i l'indirizzo ip sul web server lo metto manualmente il router non gestisce le chiamate da internet, se il router invece assegna dinamicamente l'ip tramite il suo dhcp server interno l'indirizzo al web server, questi sará gestibile tramite port forwarding del medesimo router.
Tornando a bomba se il router gestisse anche le forwrdate tramite indirizzamento statico mi basterebbe seguire l'esempio di nuovoutente quindi
Web server sulla stessa subnet dell'ultimo router natter che nel caso dovesse forwardare le chiamate su 192.168.1.2:567 sarebbe configurato con porta interna 567 e porta esterna uguale alla porta esterna del router che nella catena verrebbe immediatamente prima (previous hop).
Dovrebbe essere completo così il discorso. Chiudendo quindi non posso mettere ip del primo router nè tantomeno far passare nelle sub dei vari broadcast domain l'indirizzo del router sorgente perché sta nel concetto di router quelli di spezzare subnet e quindi b. Domins

Ancora una volta devo smentirti, ma in fondo è divertente. Un natter che non consente il forward su indirizzi non assegnati in dhcp non l' ho mai visto, e sarebbe da matti creare un firmware con una funzione opposta alla logica: di norma i servizi esposti (raggiungibili dall' esterno) sono hostati su macchine statiche. Ma anche qualora fosse cosi non ci sarebbe alcun problema, il router in cascata riceve il suo ip (interfaccia wan) in dhcp (e su questi si fa il primo forward) e questi assegna un ip valido nella sua lan al server (verso il quale ci sarà la seconda regola di forward)...E ancora una volta funziona tutto....giù con le obiezioni.

Ancora una volta devo smentirti, ma in fondo è divertente. Un natter che non consente il forward su indirizzi non assegnati in dhcp non l' ho mai visto, e sarebbe da matti creare un firmware con una funzione opposta alla logica: di norma i servizi esposti (raggiungibili dall' esterno) sono hostati su macchine statiche. Ma anche qualora fosse cosi non ci sarebbe alcun problema, il router in cascata riceve il suo ip (interfaccia wan) in dhcp (e su questi si fa il primo forward) e questi assegna un ip valido nella sua lan al server (verso il quale ci sarà la seconda regola di forward)...E ancora una volta funziona tutto....giù con le obiezioni.

Amico mio che ci creda o no questo router dell'alvarion funziona così confermato anche dai tecnici della linkem con cui dopo averle provate tutte ho passato un pó di tempo al telefono... Ora ammesso che ti diverta a smentire e rispondere sono contento ma se rileggiamo a ritroso non siamo riusciti nè io n'è tu a spiegare come far parlare il router di classe A o se meglio credi quello nella subnet wan con il server di classe c o subnet LAN facendo in modo che il router b assegni il dhcp address a suddetto web server altrimenti non raggiungibile via internet.... Ripeto in linea di massima il web server dovrebbe avere indirizzo diverso dal b domain in cui risiede ed essere cmq sfogliale attraverso suddetta subnet..... A te la smentita;)

Io ci sono riuscito, diciamo al primo post che ti ho scritto o se preferisci come ti ho scritto nell' ultimo.
Non vuoi o non puoi utilizzare gli ip statici, semplice utilizzi il dhcp per assegnare gli ip, garantendo in qualche modo (questo dipende dal server) che gli ip siano coerenti con le regole di forward. La teoria te l' ho detta, ora metti in pratica sti 2 banali passaggi sui router e vedrai che funziona. Però prima di parlare, provale le cose...

Sul router del provider, hai la possibilità di usare un IP di DMZ?

allora raga.. per dare un pò di ordine al 3d per i posteri (ma a questo punto anche per me, che non ho lo sfizio di aprire discussioni tanto per..)
OUT.. si, ho la possibiltà di gestire un ip in dmz sul router del isp (ed è quello che ho fatto)
per il resto.....
leggendo la configurazione di nuovo utente (che non riesco a capire di quato differisca dalla mia) ricapitolo(e prego solo di correggere se sbaglio)
partendo dal presupposto che il web server non può avere ip statico

wlan (x.x.x.x)-->(x.x.x.x) ROUTER A (192.168.1.1) --> (192.168.1.2) ROUTER B (10.0.0.1) --> 10.0.0.0 (subnet interna) --> (192.168.1.3:567) web server
il router B è collegato con wan a ROuter A e con lan a Switch, il web server è collegato allo switch (a cui è collegato il ROUTER B)
faccio questa prova:
ROUTER A--> 192.168.1.2 Porta interna 8080 porta esterna 80
ROUTER B--> 192.168.1.3 Porta interna 567 porta esterna 8080
(se il router A accettasse il dirottamento verso macchine con ip statici in teoria questo funzionerebbe) il problema è solo far arrivare l'indirizzo della medesima classe/sub del router A attraverso il router B e questo abbbiamo appurato che non si può fare se volessi potrei fare assegnare al router B l'indirizzo dinamicamente ma saremmo punto e a capo perchè affinchè funzioni l'ip al web server glielo deve assegnare il router A....
correggetemi se sbaglio......

perchè affinchè funzioni l'ip al web server glielo deve assegnare il router Asbagli in questa affermazione. L' indirizzo del web server deve appartenere (come lo vuoi assegnare poco cambia)alla subnet del router B e tutto funziona....Il router A non deve fare altro che un forward sul router B. Perchè ti ostini a voler assegnare un ip al server della subnet lan_A?

sbagli in questa affermazione. L' indirizzo del web server deve appartenere (come lo vuoi assegnare poco cambia)alla subnet del router B e tutto funziona....Il router A non deve fare altro che un forward sul router B. Perchè ti ostini a voler assegnare un ip al server della subnet lan_A?

riprendo questo 3d dopo giorni di prova. Magari per i posteri come scritto sopra.....
Sul fatto che il webserver debba essere sulla stessa sub del router b non ci piove.. ma il mio problema è che il router b nn supporta il relay del dhcp, quindi avendo una lan con doppio indirizzamento, se concedo al router a di assegnare l'indirizzo dinamicamente e connetto direttamente al router A il router B per segmentare le sub cosa succede se il router B non supporta il relaying????? Non lascia passare il DHCP del router A(è anche questo lo scopo dei router bloccare broadcast?no?), se invece assegno dinamicamente indirizzi da router B tutto funziona(quindi anche ip di classe/sub differente si vedono) ma il mio provider mi ha dato un router che senza assegnazione dinamica degli ip non lascia fare il port forwarding sugli apparati e quindi non posso vederlo tramite internet... credo/spero di non aver sbagliato nulla... ai posteri

riprendo questo 3d dopo giorni di prova. Magari per i posteri come scritto sopra.....
Sul fatto che il webserver debba essere sulla stessa sub del router b non ci piove.. ma il mio problema è che il router b nn supporta il relay del dhcp, quindi avendo una lan con doppio indirizzamento, se concedo al router a di assegnare l'indirizzo dinamicamente e connetto direttamente al router A il router B per segmentare le sub cosa succede se il router B non supporta il relaying????? Non lascia passare il DHCP del router A(è anche questo lo scopo dei router bloccare broadcast?no?), se invece assegno dinamicamente indirizzi da router B tutto funziona(quindi anche ip di classe/sub differente si vedono) ma il mio provider mi ha dato un router che senza assegnazione dinamica degli ip non lascia fare il port forwarding sugli apparati e quindi non posso vederlo tramite internet... credo/spero di non aver sbagliato nulla... ai posteri

Ancora una volta sbagli tutto. Il relay dhcp in questo caso non c' entra nulla. Il router A fa forwarding solo sugli indirizzi che assegna in dhcp (cosa assurda ma va be)..a te non cambia nulla, tanto il traffico diretto al webserver (che avrà un indirizzo valido sulla subnet B) va mandato in forward sulla porta wan del router B.

Ancora una volta sbagli tutto. Il relay dhcp in questo caso non c' entra nulla. Il router A fa forwarding solo sugli indirizzi che assegna in dhcp (cosa assurda ma va be)..a te non cambia nulla, tanto il traffico diretto al webserver (che avrà un indirizzo valido sulla subnet B) va mandato in forward sulla porta wan del router B.

allora mi sa che non riesco a spiegarmi... se io faccio così:
router A (server dhcp) collegato tramite porta wan al router B che a sua volta dovrebbe avere un dhcp server(visto che non lascerebbe passare il broad proveniente da router A suo porta wan) e forwardo le porte sia sul router A che sul router B affinchè (logicamente) il web server sia contattabile tramite il ddns... non funziona.... perchè sto benedetto router(so che è assurdo, stupido...etc....) se non ha il client nella tabella client dhcp... non lo fa forwardare... .come ho scritto anche sopra... se provo a mettere indirizzamento statico e faccio forward non funziona(lasciano stare la subnet B)... quindi... se c'è un modo secondo te per far capire al router (un alvarion) che deve fare così postalo pure... io con il tecnico della linkem ci sono stato + di mezz'ora e neanche lui ha saputo aiutarmi......

e daglie....vediamo se cosi capisci...altrimenti passiamo ai disegnini.
L' interfaccia Wan del router B ha un benedetto indirizzo Ip: si perchè altrimenti non funzionerebbe nulla.
Allora sul router A, crei una regola di forward in cui dici che le richieste dirette alla porta su cui ascolta il webserver devono essere girate alla porta wan del router B. Fine della storia.

Dal 27 febbraio scorso nuovoutente86 ti aveva postato come dovevi fare.

Router A
WAN X.X.X.X
LAN 192.168.1.1

Router B
WAN 192.168.1.254
LAN 10.0.0.1

Server 10.0.0.X

Come funziona il forward

Router A
Apre la Porta 80 su IP WAN del Router B ----> 192.168.1.254 ----> Router B ---> Apre la Porta 80 su IP LAN del Server ---> 10.0.0.X

Magicamente il server è raggiungibile dall' esterno.

Raga a questo punto credo che questo 3D si possa chiudere... Quello che ha scritto nuovoutente l'ho scritto e fatto anche io ma non funziona....presumo che sia un limite della mia configurazione hardware

direi che è un tuo limite (ti ricordo che fino a 2 post fai discutevi di dhcp relay) più che dell' hardware. La configuarazione tipo che ti ha postato Bruco funziona su qualsiasi hardware supporti il forwarding

direi che è un tuo limite (ti ricordo che fino a 2 post fai discutevi di dhcp relay) più che dell' hardware. La configuarazione tipo che ti ha postato Bruco funziona su qualsiasi hardware supporti il forwarding

Beh penso che di esser stato chiaro e soprattutto che ho preso abbastanza complimenti per la mia competenza. Chiedo di chiudere il 3 d visto che le configurazioni postate da voi sono le stesse postate da me e che soprattutto vi ostinate nel non capire che non sostengo che non funzioni il forwarding dato che i pc in LAN si vedono ma che non funziona il remoto. Grazie a tutti

che le configurazioni postate da voi sono le stesse postate da me

perchè ti ostini a dire cose false? I post sono scritti, basta leggerli.

e che soprattutto vi ostinate nel non capire che non sostengo che non funzioni il forwarding dato che i pc in LAN si vedono ma che non funziona il remoto. Grazie a tutti

L' hai detto tu che mettendo il pc nella prima subnet funziona il che ha 2 significati esatti:
1 da remoto la connessione è accessibile
2 sbagli qualcosa nel passaggio tra router A e B (magari una semplice regola non settata nel firewall del router)

perchè ti ostini a dire cose false? I post sono scritti, basta leggerli.
)
questo è quello che hai scritto tu
router 1
wan x.x.x.x lan 192.168.1.1
router 2
wan 192.168.1.254 lan 10.0.0.1

server 10.0.0.2

Come funziona il forward

router 1
porta 80 ip 192.168.1.254

router 2
porta 80 ip 10.0.0.2
e questo l'ho scritto io...
ROUTER A IP 192.168.100.1 Public 80 Private 8080
ROUTER B IP 192.168.100.2 Public 8080 Private 8080

anche la mia configurazione funziona, la differenza sta solo nel fatto ho sbagliano a scrivere l'indirizzo del router b che è 192.168.0.2 e che tu mi hai messo la porta 80(che non posso usare perchè è già occupata) ed io la porta 8080 ma il forward è identico e funziona.. è questo il nodo gordiano della vicenda... quindi... penso proprio che il mio sia un limite hardware... cmq... credo che sia inutile continuare questo 3d/flame.... se riesco a trovare un'altra soluzione (magari un altro router per provare bene) credo che lo scopo del 3d sia quello anche di specificare le regole per un doppio forward e sono dell'avviso che siano state ampiamente discusse ed accertate... ora che non funga poco importa, l'importante è capire che si può e come si può fare.

scusate se riprendo questo thread ma approfitterei di nuovoutente86 per una consulenza.
Ho una configurazione che richiede un doppio portforwarding perche' ho il primo router dell'isp e il secondo router un linksys wrt54gl con firmware custom.
Attaccati al secondo router ci sono 2 pc wired e 1 pc wireless
il router dell'isp ha il dhcp attivo e non configurabile (la sua gestione e' pessima, posso solo forwardare le porte degli ip che "vede" collegati"). Assegna ip a partire da 192.168.1.128
Di conseguenza il secondo router ha la wan configurata con ip statico e come ip ha chiaramente 192.168.1.128/255.255.255.0, gateway 192.168.1.254 e i dns dell'isp.
La sottorete che crea, mi domando, come posso farla? Posso dare al secondo router l'ip fisso 192.168.2.99/255.255.255.0 ? e con quale gateway?
Poi assegnerei l'ip statico ai pc come, per esempio, 192.168.2.10/255.255.255.0 e gateway l'ip del router (192.168.2.99)?
Posso anche mettere il dhcp forwarding ma non avrebbe senso il secondo router perche' poi i pc a lui collegati prenderebbero ip 192.168.1.x assegnati dal router dell'isp.
Spero di essermi spiegato bene....

da quello che mi pare di capire hai
router1--->rotuer2-->clients e vorresti che i vari pc collegati al router2 prendano la classe d'indirizzo dello stesso router e non quelli del router1?
per fare questo ti basta nattare l'indirizzo ip del router2 (quello che in teoria assgna il router dell'isp) e dietro questo indirizzo puoi fare quello che vuoi.
se invece il router2 è un tipo di router configurabile puoi fare benissimo router mettendo come indirizzo gw della prima interfaccia(wan) l'ip del router 1 e poi mettere sull'interfaccia lan l'indirizzo( e la relativa classe) che t'interessa.
sarà compito del router mettere in comunicazione i vari segmenti

allora, si credo che con la tua domanda iniziale tu abbia capito.
i pc collegati al router2 devono avere la classe del router2 (per far andare il doppioforwarding).
Quello che non ho capito e' quale gw mettere nelle impostazioni dell'interfaccia lan sul router2.
nella wan del router2 e' tutto configurato, ma il gw della sua lan qual e'? Lascio 0.0.0.0 e ci pensa lui? metto un ip della classe del router2 a mia scelta al quale poi i client punteranno lasciando che ci pensi il router2?

allora, si credo che con la tua domanda iniziale tu abbia capito.
i pc collegati al router2 devono avere la classe del router2 (per far andare il doppioforwarding).
Quello che non ho capito e' quale gw mettere nelle impostazioni dell'interfaccia lan sul router2.
nella wan del router2 e' tutto configurato, ma il gw della sua lan qual e'? Lascio 0.0.0.0 e ci pensa lui? metto un ip della classe del router2 a mia scelta al quale poi i client punteranno lasciando che ci pensi il router2?

no, con 4 zero non vai da nessuna parte,
il gw dell'interfaccia lan è l'ip del router2 stesso (192.x.x.128 se non ricordo male)

no, con 4 zero non vai da nessuna parte,
il gw dell'interfaccia lan è l'ip del router2 stesso (192.x.x.128 se non ricordo male)

eh, e' proprio l'info che mi serve :)
provero' sul tardi e vedro' :D

niente... non capisco, ma dov'e' che sbaglio?
il mio isp e' fastweb e l'hag e' stato riprogrammato a router coi nuovi ip pubblici quindi col suo dhcp mi autoassegna gli ip a partire da 192.168.1.128
internet--routerFW
|
routerLS(LinkSys)

il routerFW si collega al routerLS nella porta WAN.
Se nel routerLS, dentro WAN, metto il dhcp non mi prende l'ip.. percui lo metto static ip e gli assegno a mano tutti i valori:
192.168.1.128
255.255.255.0
192.168.1.254
+ i dns dell'isp

Nella LAN del routerLS metto invece:
192.168.2.199
255.255.255.0
192.168.1.128 (ma ho provato anche .254 e 2.199)
ho anche la voce Local DNS che lascio 0.0.0.0

il pc e' collegato alla LAN del routerLS.
Se abilito il DHCP della LAN del routerLS e lascio che il pc prenda l'ip da solo, mi prende automaticamente quello del routerFW
Quindi nel pc metto l'ip a mano e uso:
192.168.2.79
255.255.255.0
192.168.2.199
+ i dns del mio isp

ma internet non funziona. come mai?
nel routerLS ho anche la voce "Advanced Routing" che mi permette di selezionare o "Gateway" o "router". ho provato con entrambi ma niente....
qualche suggerimento ?

allora, riprendiamo il discorso con esempio
internet-->fastweb(192.168.1.1)-->linksys due porte, wan e lan:
indirizzo wan 192.168.1.128/24 gw 192.168.1.1 dns 192.168.1.1
indirizzo lan 192.168.2.1/24 lascia gw e dns in bianco
questa è la configurazione se il tuo router ti permette di configurare porta wan e lan se invece non hai questa possibilità ti posto l'altra configurazione.

si, in realta' il gw del wan e' 192.168.1.254 e i dns son quelli dell'isp.
Ho gia' provato cosi' ma nada, il pc con windows 7 e la diagnostica fessa della rete dice che non rileva il server dns.
Ma fastweb si collega al linksys su wan? o su lan?

si, in realta' il gw del wan e' 192.168.1.254 e i dns son quelli dell'isp.
Ho gia' provato cosi' ma nada, il pc con windows 7 e la diagnostica fessa della rete dice che non rileva il server dns.
Ma fastweb si collega al linksys su wan? o su lan?

Wan

ok grazie mille ;)
stasera quando torno a casa riprovo.

Il tutto e' nato dal fatto che avevo modificato la forma della mia rete togliendo la wan al router e lasciandolo trasparente. Cosi' facendo pero' la carriola di fw saltuariamente crashava (quando la mia lan generava troppo traffico.. tra torrent e quant'altro). Cosi' ho ripensato si potesse rimettere il buon linksys tra pc e fw lasciando a lui il gravoso compito di gestire la lan.
Senza contare che fw permette di creare 25 regole massime per il forwarding e avendo 3 pc di cui uno praticamente gameserver, si fa presto a continuare a cambiare porta. Inoltre per la porta X se la voglio tcp e udp dovro' usare 2 regole....
Mettendo il linksys invece avrei tutto il forwarding sul suo ip di wan, accorciando di fatto il numero di regole usate.

niente, windows mi segnala che:
"la configurazione del computer risulta corretta, tuttavia il dispositivo o la risorsa (server dns) non risponde"

:muro:

niente, windows mi segnala che:
"la configurazione del computer risulta corretta, tuttavia il dispositivo o la risorsa (server dns) non risponde"

:muro:

Riepiloga cosa hai fatto

Riepiloga cosa hai fatto

ti metto immagine che vale piu' di mille parole :O

http://i53.tinypic.com/2mpk1f4.png

bha non c'ho parole....
ho spento il router linksys con hard reset e rimesso da capo tutto e magicamente s'e' messo a funzionare.
E' esattamente quello che ho postato, solo che funziona (la wan ha il dhcp, stavolta ha preso l'indirizzo dal router sopra di lui)

sono talmente stanco che moriro' nel letto...

Il settaggio router/gateway...

bha non c'ho parole....
ho spento il router linksys con hard reset e rimesso da capo tutto e magicamente s'e' messo a funzionare.
E' esattamente quello che ho postato, solo che funziona (la wan ha il dhcp, stavolta ha preso l'indirizzo dal router sopra di lui)

sono talmente stanco che moriro' nel letto...
Occhio che hai detto una cosa non da poco: il Linksys prende l'IP da fastweb

Inoltre: al PC hai lasciato IP statico o è in dhcp anche quello?

Dal 27 febbraio scorso nuovoutente86 ti aveva postato come dovevi fare.

Router A
WAN X.X.X.X
LAN 192.168.1.1

Router B
WAN 192.168.1.254
LAN 10.0.0.1

Server 10.0.0.X

Come funziona il forward

Router A
Apre la Porta 80 su IP WAN del Router B ----> 192.168.1.254 ----> Router B ---> Apre la Porta 80 su IP LAN del Server ---> 10.0.0.X

Magicamente il server è raggiungibile dall' esterno.

Salve a tutti,

Riprendo questo vecchio thread perchè dopo averlo letto e studiato speravo di aver trovato la soluzione che mi serviva ma evidentemente sbaglio qualcosa.

L'obiettivo è quello di rendere raggiungibile da rete pubblica un server IMAP con un doppio port forwarding

Lo scenario è il seguente (riutilizzando lo schema proposto nel thread):

Router A (ALICE GATE VOIP 2 PLUS Wi-Fi Business Pirelli)
WAN X.X.X.X
LAN 192.168.3.254

Endian Firewall Community release 2.3.0
WAN 192.168.3.11
LAN 192.168.10.1

Server 192.168.10.2

Come spiegato nei post precedenti ho creato le seguenti regole di port forward:

router A
porta 143 ip 192.168.3.11

router B (ossia il firewall Endian)
porta 143 ip 192.168.10.2

Nel firewall Endian nello specifico ho inserito nella sezione Port Forwarding->Traffico in ingresso intradato, una regola che instrada qualsiasi richiesta per il servizio IMAP, porta 143, da interfaccia RED verso l'IP del server da pubblicare (192.168.10.2).

Schematizzando:

Mittente: Uplink main
Destinazione: 192.168.10.2
Servizio: TCP&UDP/143
Policy:->

Ho anche aggiunto una ulteriore regola nella sezione Destination NAT che traduce tutte le richieste del servizio IMAP, porta 143 provenienti da interfaccia RED dirette verso qualsiasi IP in 192.168.10.2, porta 143.

Schematizzando:

Mittente: Uplink ANY
Servizio:TCP/143
Policy:->
Traduci in: 192.168.10.2:143
Accesso da: Uplink main

La porta però non è raggiungibile da rete pubblica, sono riuscito a rendere raggiungibile il servizio pubblicato sul server solo "spostando" l'IP del server nella sottorete del router A, ma non è la soluzione che vorrei.

Spero di essere stato abbastanza chiaro e attendo con ansia suggerimenti o consigli.

Grazie in anticipo

Mi autorispondo con la configurazione funzionante per raggiungere un server IMAP dietro un firewall Endian a sua volta nattato da un router Alice Business.

Per riuscirci è necessario un doppio port forward che si ottiene, oltre che con il nat sul router Alice verso l'indirizzo lato LAN del firewall Endian, anche inserendo in quest'ultimo le seguenti due regole

La prima nella sezione destination NAT (seconda regola del primo post):

Access from: ANY
Target: Zone Green - IP: ALL known
Filter policy: Allow
Service: IMAP
Protocol: TCP
Target port/range: 143
Translate to type: IP
DNAT Policy: NAT
Insert IP: 192.168.10.2 (ip server da pubblicare)
Port/Range: 143

La seconda va inserita nella sezione System Access:

Source address: VUOTO
Source interface: RED
Service: IMAP
Protocol: TCP
Destination port: 143
Policy action: allow

Il dettaglio riportato è specifico per il firewall Endian ma le regole hanno valenza generale per cui speriamo siano di supporto per chiunque ne avesse bisogno.