Ciao a tutti. Sono settimane che cerco di risolvere questo problema, ho cercato ovunque, ma non riesco proprio a vedere la luce. Vi spiego il mio problema… :doh:

Ho 2 router ADSL collegati in cascata tra loro: il primo è un Alice Gate 2 wi-fi collegato alla linea adsl, il secondo è un Netgear DG834G collegato via ethernet al primo router (la porta adsl del Netgear è inutilizzata); i due router hanno la stessa classe di IP 192.168.1.X e all’interno della lan si vedono e riesco ad accedere all’interfaccia di configurazione web di entrambi. Allego lo schema della mia rete.

Io ho la necessità di accedere DA REMOTO all’interfaccia di configurazione web del SECONDO ROUTER (il Netgear dove è installato un servizio di wake on lan): ho aperto la porta 80 dall’Alice Gate verso il Netgear, configurato la nat, il firewall, ecc, ma niente da fare, non riesco ad accedere! All’Alice Gate invece riesco ad accedere da remoto senza problemi.
So che sulla porta 80 c’è in ascolto l’Alice Gate e non il Netgear, quindi ho configurato la nat in modo che l’Alice Gate sia in ascolto sulla porta esterna 56936 e che poi reindirizzi il traffico verso la porta interna 80 dell'IP del Netgear, ma niente, il messaggio che mi compare è sempre lo stesso “Impossibile visualizzare la pagina" :muro: :muro: :muro:

Avevo pensato di settare l'Alice Gate come bridge mode, ma il Netgear non prevede la connessione PPPoE proveniente da una sua porta ethernet perché è un router e non un access point. Non posso neanche eliminare l'Alice Gate perchè mi fornisce dei servizi di IPTV e VOIP.

Qualcuno sa darmi qualche indicazione in merito su come uscirne? :help:

Grazie infinite
Raniero

ho aperto la porta 80 dall’Alice Gate verso il Netgear

Il Netgear con DHCP disabilitato, lo stai usando come un AP/Switch, non potrai usufruire dei suoi servizi come Router.

Le chiamate della porta 80 sull'ALice le devi indirizzare verso l'IP che deve usufruire del servizio.

Il Netgear con DHCP disabilitato, lo stai usando come un AP/Switch, non potrai usufruire dei suoi servizi come Router.
Ho avuto anch'io questo dubbio. Ma perché allora dalla LAN riesco ad accedervi e da remoto no? Alla fine si tratta sempre di un webservice in attesa su una determinata porta di un determinato IP. Una volta configurato il "Port Forwarding" dell'Alice Gate non dovrebbe cambiare nulla.. O mi sfugge qualcosa?

Le chiamate della porta 80 sull'ALice le devi indirizzare verso l'IP che deve usufruire del servizio.
Non sono d'accordo. A mio avviso le chiamate devo indirizzarle verso l'IP che fornisce il servizio, non verso l'IP che ne usufruisce! Tant'è che ho anche un NAS che fa da server FTP pubblico e in quel caso apro la porta 21 verso l'IP del NAS. O anche in questo caso mi manca un passaggio?

Scusami, ma proprio non riesco a focalizzare dov'è il problema. Se mi spieghi meglio mi faresti un grosso favore.

Grazie 1000!!

La questione è alquanto semplice: tutti i router adsl sono dispositivi hub-spoken ovvero hanno le 2 seguenti route

192.168.X.0 /24 interfaccia_lan
0.0.0.0 /0 interfaccia_wan.

Da questo si evince che il secondo router non è raggiungibile da remoto con la tua configurazione.

e se provasse a cambiare la porta di ascolto del 2° router?

es. da 80 a 8080 e poi fa il forwarding(porta 8080 aperta sul firewall del 1° router e poi forwardata verso l'IP del 2° router)

da remoto: http://wanip:8080

Non funziona perchè il secondo router non ha la logica per rispondere alle richieste.Mi spiego meglio. La richiesta da remoto fa questa strade
host->wan_router1->lan_router1->lan_router2
Il processamento viene eseguito correttamente, ma quandi il router 2 deve inviare la risposta sa solo spararla verso la propria wan interface, che è down quindi il pacchetto viene droppato con buona pace di tutti.
Esiste una soluzione: tecnicamente si, ma nel contesto specifico sarebbe antieconomica. Se qualcuno vuole fare esercizio nel trovarla posso astenermi dal dirla, altrimenti posso anche pubblicarla ma ripeto non è economicamente vantaggiosa.

@nuovoUtente86
Mi sa che sei stato un po' troppo accademico per le mie conoscenze.
Riepiloghiamo un attimo.. La wan del 2° router non ci interessa perché è fisicamente scollegata, mentre la lan ha la stessa classe di IP dell'Alice Gate. Quindi perché se io collego fisicamente un pc al 1° router riesco ad accedere al 2°, ma da remoto no?? Non dovrebbe essere la stessa?

@Harry_Callahan
Ho già provato ma niente da fare: il router è in ascolto sulla porta 80 (non modificabile) se accedi dalla lan e, sulla 8080 se accedi dalla wan (che in questo caso è scollegata perché i due router sono connessi tra loro tramite le porte ethernet)

Provo a spiegartelo in maniera comprensibile. Quando tu accedi dall' interno è necessario semplicemente conoscere l' indirizzo mac del router, e di questo si occupa un protocollo chiamato arp. Quando tu accedi dall' esterno non puoi più comunicare a livello fisico ma devi utilizzare il protocollo ip. Purtroppo i router adsl non sono in grado di uscire dalla proprio rete attraverso l' interfaccia lan (per capirci lo switch 4 porte). Quindi cosa avviene, i pacchetti dall' esterno arrivano normalmente, ma le risposte non partono affatto.

Ok, ora mi è chiaro! Grazie 1000
E se al posto del 2° router mettessi un access point con supporto al wake on lan, risolverei il problema?
In poche parole ho bisogno di accendere un pc da remoto, ma siccome l'Alice Gate non supporta l'invio di pacchetti broadcast da remoto, devo per forza inventarmi qualche altro sistema.

Ciao nuovoUtente86,

solo un chiarimento, io da remoto sono riuscito ad accedere ad un Access Point Puro

ho cambiato la porta di ascolto dell'AP da 80 a 8080, sul 440 Atlantis(router ADSL) ho aperto la 8080 sul firewall, poi ho fatto il forwarding verso l'IP dell'AP

poi da remoto http://wanip:8080 e sono entrato nell'AP

cosa cambia tra il webserver di un AP rispetto a quello di un router?

Virtual Server Table
Application Time Schedule Protocol External Port Redirect Port IP Address
rmhttp Always On tcp 8080 - 8080 8080 - 8080 192.168.1.254


nel passaggio lan_router1->lan_router2 perchè dici che sa spararla solo verso la WAN del 2° router? con il forwarding non dovrebbe rispondere verso la LAN1 come se fosse un PC fisicamente collegato in locale?

Mi accodo ad Harry. La web interface del secondo router è semplicemente un web server in ascolto sulla LAN, su una porta modificabile a piacere.

Ciao nuovoUtente86,

solo un chiarimento, io da remoto sono riuscito ad accedere ad un Access Point Puro

ho cambiato la porta di ascolto dell'AP da 80 a 8080, sul 440 Atlantis(router ADSL) ho aperto la 8080 sul firewall, poi ho fatto il forwarding verso l'IP dell'AP

poi da remoto http://wanip:8080 e sono entrato nell'AP

cosa cambia tra il webserver di un AP rispetto a quello di un router?

Virtual Server Table
Application Time Schedule Protocol External Port Redirect Port IP Address
rmhttp Always On tcp 8080 - 8080 8080 - 8080 192.168.1.254


Perchè l' AP è, in piccolo, uno switch managed ed in quanto tale prevede la gestione da remoto (ovvero prevede un gateway). Anche i router adsl/broadband prevedono la gestione da remoto, ma esclusivamente attraverso la porta wan.


nel passaggio lan_router1->lan_router2 perchè dici che sa spararla solo verso la WAN del 2° router? con il forwarding non dovrebbe rispondere verso la LAN1 come se fosse un PC fisicamente collegato in locale?

No, puo solo sparare i pacchetti verso la WAN_interface, ma questo non è un dogma è il protocollo IP. Vediamo perchè:
Innanzitutto le entità coinvolte:

host remoto: ip pubblico
wan 1° router:ip pubblico
lan 1° router: 192.168.1.1
wan 2° router:down
lan 2° router:192.168.1.2

Ancora ricordo la route table standard di ogni router adsl

192.168.1.0 /24 interfaccia_lan
0.0.0.0 /0 interfaccia_wan.


Ora vediamo il pacchetto ip che giunge al secondo router
ip sorgente: wan host (che sappiamo essere pubblico)
ip destinazione (192.168.1.2)

Il forwarding si è occupato di riscrivere l' ip destinazione ed eventualmente le porte, ma non ha effetto sull' ip sorgente, altrimenti ci sarebbe perdita di informazione.

Ora in fase di risposta gli ip risultano invertiti: basta fare l' anding con la tabella per capire dove va a finire la risposta

Perchè l' AP è, in piccolo, uno switch managed ed in quanto tale prevede la gestione da remoto (ovvero prevede un gateway). Anche i router adsl/broadband prevedono la gestione da remoto, ma esclusivamente attraverso la porta wan.Nuovoutente perdonami ma continuo a non capire. L'interfaccia di management del router in LAN è un semplice webserver in ascolto sulla 80. Come tale è raggiungibile previo semplice portforwarding :confused:

Nuovoutente perdonami ma continuo a non capire. L'interfaccia di management del router in LAN è un semplice webserver in ascolto sulla 80. Come tale è raggiungibile previo semplice portforwarding :confused:

Ho editao la risposta per illustrare meglio il problema, che non è di livello trasporto ma di ip puro. Le richieste remote arrivano, ma il secondo router non ha un path per rispondere in quanto l' unica via verso la internet che lui conosce è la sua porta wan.

Perchè l' AP è, in piccolo, uno switch managed ed in quanto tale prevede la gestione da remoto (ovvero prevede un gateway).

quindi se avessi tolto il gateway sull'AP, cioè avessi lasciato solo IP\subnet non sarebbe stato possibile gestirlo da remoto, corretto?

quindi se avessi tolto il gateway sull'AP, cioè avessi lasciato solo IP\subnet non sarebbe stato possibile gestirlo da remoto, corretto?

esatto.IL gateway è la macchina prossimale che sa uscire dalla rete. Più formalmente, a livello ip, un AP è host-equivalente mentre un router SOHO è host-equivalente solo sulla interfaccia wan.

esatto.IL gateway è la macchina prossimale che sa uscire dalla rete. Più formalmente, a livello ip, un AP è host-equivalente mentre un router SOHO è host-equivalente solo sulla interfaccia wan.

tutto chiaro! bravo! la tabella di routing nessuno l'ha messo in considerazione

però volendo modificarla quella del secondo router?

visto che il problema è in risposta, la 0.0.0.0/wan interface si può modificare e mandarla verso il gateway dell'altro router (spero di non aver detto una cavolata :D )

tutto chiaro! bravo! la tabella di routing nessuno l'ha messo in considerazione
questo è il mio pane quotidiano.


però volendo modificarla quella del secondo router?

visto che il problema è in risposta, la 0.0.0.0/wan interface si può modificare e mandarla verso il gateway dell'altro router (spero di non aver detto una cavolata :D )
quasi nessun firmware consente di fare tale modifica, proprio per il paradigma hub-spoke di cui parlavo all' inizio. La soluzione esiste ma è un attimino sofisticata, vuoi provare a ragionarci?

La soluzione esiste ma è un attimino sofisticata, vuoi provare a ragionarci?

ci provo, ma conoscendo i miei limiti la vedo difficile :D

se non riesco(molto probabile) ti chiedo la soluzione ;)

ci provo, ma conoscendo i miei limiti la vedo difficile :D

se non riesco(molto probabile) ti chiedo la soluzione ;)

Quale è il problema lo abbiamo snocciolato (mancanza di gateway), serve qualcosa che lo aggiri.

Quale è il problema lo abbiamo snocciolato (mancanza di gateway), serve qualcosa che lo aggiri.

far fare un ARP request al secondo router prima che intervenga la regola 0.0.0.0/wan

se si, come :D

Ho editato la risposta per illustrare meglio il problema, che non è di livello trasporto ma di ip puro. Le richieste remote arrivano, ma il secondo router non ha un path per rispondere in quanto l' unica via verso la internet che lui conosce è la sua porta wan.Ok giusto, hai ragione.:)

il mio secondo router (non adsl), per quanto vecchiotto (3com OfficeConnect 3CR858), permette di impostare una static route per impostargli come gateway il router principale, visto che si accorge che la WAN è disconnessa...

http://www.pctunerup.com/up/results/_201110/th_20111016154012_route.jpg (http://www.pctunerup.com/up/results/_201110/20111016154012_route.jpg)

pero' ad esempio non permette di cambiare la porta in ascolto, sull'interfaccia LAN..

avendo sempre associato un router adsl a un router sulla cui porta wan c'è appeso un modem, credevo che si potessero configurare anche quelli in questo modo...

far fare un ARP request al secondo router prima che intervenga la regola 0.0.0.0/wan

se si, come :D

Il fatto che quella route non deve essere matchata è fuor di dubbio, ma non c' entra l' arp in questo caso.

Il fatto che quella route non deve essere matchata è fuor di dubbio, ma non c' entra l' arp in questo caso.

purtroppo non ho altre idee

rischio di dire delle fesserie

avevo pensato a qualche protocollo particolare(static IP, IPoA), ma se non erro c'è sempre una regola da LAN verso la WAN interface, quindi non credo sia la strada giusta

altra idea era di far risultare la richiesta proveniente della stessa rete, ma non so se sia possibile una cosa del genere

come detto sopra rischio di fare una brutta figura

purtroppo non sono in grado di dire altro

Chiedo scusa se posto una fesseria

Questo è quello che hai scritto
Non posso neanche eliminare l'Alice Gate perchè mi fornisce dei servizi di IPTV e VOIP.

Per cui credo che il Servizio "Wake on LAN" ti serva quando in Casa/Ufficio non ci sia nessuno che deve usare il VOIP/IPTV, per cui potresti spostare il plug del doppino telefonico dall'Alice Gate al Netgear, quando non sei in casa e sul questo attivare il Servizio "Wake on LAN"
Le uscite LAN dei 2 Router, configurati con la medesima sottorete ed accesi alternativamente, vanno inserite in uno Switch a cui saranno collegate le risorse di ulitlizzo.

Forse dirò una sciocchezza, ma non si potrebbe risolvere il tutto con un adattatore rj12->rj45 ? Si attacca la rj45 a una porta del Netgear, in seguito sulla rj12 ci si piazza un cavo fino alla porta rj12 dello stesso, si setta staticamente l'indirizzo internet con un indirizzo ip della sottorete apposita (e relativi dns) e gli abbiam dato un percorso :p

http://i.imgur.com/p3odK.jpg

Forse dirò una sciocchezza, ma non si potrebbe risolvere il tutto con un adattatore rj12->rj45 ? Si attacca la rj45 a una porta del Netgear, in seguito sulla rj12 ci si piazza un cavo fino alla porta rj12 dello stesso, si setta staticamente l'indirizzo internet con un indirizzo ip della sottorete apposita (e relativi dns) e gli abbiam dato un percorso :p

http://i.imgur.com/p3odK.jpg

la porta RJ11 è ADSL, non può funzionare una cosa del genere

@nuovoUtente86 attendiamo con ansia la soluzione :-)

la porta RJ11 è ADSL, non può funzionare una cosa del genere



Non so se quel coso faccia anche da convertitore di segnale francamente :what:

Non so se quel coso faccia anche da convertitore di segnale francamente :what:

no, è un semplice adattatore

la porta RJ11 del modem dialoga solo con il DSLAM in centrale

no, è un semplice adattatore

la porta RJ11 del modem dialoga solo con il DSLAM in centrale

Niente da fare allora, peccato. Anzi mo che ci penso hanno anche voltaggio diverso me sà :rolleyes:. Curioso comunque di sapere la soluzione :cool:.

Curioso comunque di sapere la soluzione :cool:.

dobbiamo attendere NuovoUtente86

La soluzione più semplice alla fine sarebbe cambiare il DG834G con un router broadband, ma un po drastica me sà :asd:

La soluzione più semplice alla fine sarebbe cambiare il DG834G con un router broadband, ma un po drastica me sà :asd:

in effetti nuovoUtente86 ha detto più volte che la soluzione non è economicamente vantaggiosa

io ho ragionato sugli apparati disponibili, poi se la soluzione necessità di ulteriori prodotti vediamo

io ho ragionato sugli apparati disponibili

Ed è giusto così ;), mi è venuta in mente un altra cosa per "fare" il gateway: perchè non usare una VPN ?

La soluzione è stuzzicante e prevede l' utilizzo del famoso double-NAT. Il succo del discorso è che nel caso in esame non basta fare la riscrittura dell' ip destinazione (da pubblico a privato) ma è necessario che anche l' ip sorgente sia privato e nella stessa subnet del secondo router (parte lan). Ora poiche non è possibile eliminare il router alice a favore di un gateway che faccia appunto da doppio-natter dobbiamo utilizzare una piccola astuzia, ovvero utilizzare un gateway L2 ovvero operante in modalità promiscua (tanto per parlare di cose reale, qualsiasi router broadband zyxel) e configurare in questo modo:
router1_lan 192.168.1.1 /24
zyxel_natter_lan 10.0.0.1 /24
zyxel_natter_wan 192.168.1.3 /24
router2_lan 192.168.1.2 /24

Ora potreste chiedermi perchè mai il router1 e lo zyxel che sono su subnet differenti dovrebbero comunicare: ho fatto la premessa che tale dispositivo è un gateway L2 ovvero intercetta euristicamente tutti le arp-request dirette ad ip privati fuori subnet come se fossero dirette a lui. Il resto poi viene da se.

P.S Ovviamente il 1° router fara' un forward (e relativo port-remapping) direttamente sull' ip del secondo router (e questa arp request che lo zyxel andrà ad intercettare). Naturalmente lo stesso meccanismo si può ricreare se il 1° router consente entry arp statiche che dovranno puntare ad un qualsiasi router broadband.

Ed è giusto così ;), mi è venuta in mente un altra cosa per "fare" il gateway: perchè non usare una VPN ?

una vpn lavora in ogni caso su ip. Se ip non funziona....

una vpn lavora in ogni caso su ip. Se ip non funziona....

Vero :p

Grazie nuovoUtente86,

ora ho capito perchè hai detto era economicamente svantaggioso

per comprare un router WAN tanto vale prendere un Access Point Puro in modo da avere la certezza matematica di essere gestibile da remoto.

è stato comunque interessante affrontare lo stesso il quesito


p.s. cancella i messaggi privati :D non sono riuscito a mandarti un PVT!

Grazie nuovoUtente86,

ora ho capito perchè hai detto era economicamente svantaggioso

per comprare un router WAN tanto vale prendere un Access Point Puro in modo da avere la certezza matematica di essere gestibile da remoto.

è stato comunque interessante affrontare lo stesso il quesito


p.s. cancella i messaggi privati :D non sono riuscito a mandarti un PVT!

PM liberi.
In realtà nel postare la soluzione ho omesso volutamente una parte per rendere più avvincente la discussione. Mi sarei aspettato qualche osservazione a riguardo.

In realtà nel postare la soluzione ho omesso volutamente una parte per rendere più avvincente la discussione. Mi sarei aspettato qualche osservazione a riguardo.

Ciao nuovoUtente86,

ho fatto 2 prove per capire alcuni particolari, ma molto probabilmente ho sbagliato qualcosa

per cortesia mi dici se ho capito bene?

1) porta WAN del router broadband 192.168.1.3/24
2) router ADSL 192.168.1.1/24 collegato alla porta WAN
3) parte LAN del router WAN 10.0.0.1/24
4) router 2 192.168.1.2/24 attaccato dietro lo switch 10.0.0.1

grazie

Ciao nuovoUtente86,

ho fatto 2 prove per capire alcuni particolari, ma molto probabilmente ho sbagliato qualcosa

per cortesia mi dici se ho capito bene?

1) porta WAN del router broadband 192.168.1.3/24
2) router ADSL 192.168.1.1/24 collegato alla porta WAN
3) parte LAN del router WAN 10.0.0.1/24
4) router 2 192.168.1.2/24 attaccato dietro lo switch 10.0.0.1

grazie
Hai invertito i punti 2 e 4. Prerequisito essenziale è che il router broadband sia gateway L2 oppure il router adsl consenta mapping arp statico.

Hai invertito i punti 2 e 4. Prerequisito essenziale è che il router broadband sia gateway L2 oppure il router adsl consenta mapping arp statico.

quindi router ADSL 192.168.1.1/24 dietro lo switch 10.0.0.1

e

router 2 192.168.1.2/24 attaccato alla porta WAN

porta pazienza, ma sei meglio di me non bisogna avere dei dubbi su queste cose

quindi router ADSL 192.168.1.1/24 dietro lo switch 10.0.0.1

e

router 2 192.168.1.2/24 attaccato alla porta WAN

porta pazienza, ma sei meglio di me non bisogna avere dei dubbi su queste cose

esatto.

esatto.

ok, però dimmi una cosa a questo punto

un PC che si prende il wifi dal router 192.168.1.2 quale gateway avrà sul TCP/IP visto che non sarà raggiunto dal DHCP Server di 192.168.1.2 essendo spento ed inoltre non sarà raggiunto dal DHCP Server di 192.168.1.1(almeno credo, visto che si trova collegata alla LAN 10.0.0.1)?

vorrei capire prima questo punto prima di ragionare sul pacchetto proveniente da internet con IP pubblico e destinazione 192.168.1.2

Il gateway per tutti gli hosts deve essere il router connesso ad internet (192.168.1.1). La mia omissione riguarda proprio questo punto.

Il gateway per tutti gli hosts deve essere il router connesso ad internet (192.168.1.1). La mia omissione riguarda proprio questo punto.

ok, ora aiutami a capire una cosa

quando un PC farà un ARP request per il gateway, questo ARP non si fermerà alla porta WAN 192.168.1.3?

Vedo che l'argomento vi ha stuzzicato..
Premesso che non metterò mai 3 router e tutto quel popò di configurazione perché so già che perderò il controllo della situazione e poi non funzionerà più nulla, è possibile avere uno schema/disegno che descriva come dovranno essere collegati tra loro questi 3 router e i relativi indirizzi IP di lan/wan?

Per la cronaca, a questo punto pensavo di acquistare un access point Linksys WRT54GL, gli installo DD-Wrt e con quello faccio ciò che voglio! Dite che sia la scelta più saggia?


Per cui credo che il Servizio "Wake on LAN" ti serva quando in Casa/Ufficio non ci sia nessuno che deve usare il VOIP/IPTV
@Il Bruco: in casa qualcuno ci sarebbe, ma non ha molta dimestichezza per accendere un pc... :D

@nuovoUtente86

c'è qualcosa che non va, per carità molto probabilmente ho sbagliato qualcosa
ho fatto in questo modo per catturare traffico

router WAN come abbiamo detto

portaWAN: 192.168.1.3/24 con gw 192.168.1.1
parte LAN 10.0.0.1/24

ho utilizzato poi 2 PC con wireshark

192.168.1.3/24 con gw 192.168.1.1 attaccato alla porta WAN

192.168.1.1/24 attaccato alla parte LAN del router WAN


è vero che non mi sono messo proprio al 100% nelle condizioni di cui sopra in quanto ho utilizzato 2 PC al posto del router1 e router2, ma a mio avviso solo per capire la parte di ARP è valido

purtroppo le richieste ARP non ottengono risposta e i PC non si pingano
per questo ho fatto la domanda prima, ossia le richieste ARP non si fermano alla porta WAN?

ho cannato qualcosa?

saluti

Hai impostato i mapping arp statici corrette sui pc che fungono da double-natter?(non essendo L2 promiscui devi forzare le risoluzioni a mano). Per quanto riguarda i gateway fai attenzione a quello che ho detto: uno cosa è il gateway per la rete, altra è il default-gateway per singoli segmenti (o anche singole macchine). Mi spiego meglio: per come è fatto il protocollo arp è normale in questo contesto ache alcune risoluzioni dinamiche non siano consentite (il protocollo prescrive di rispondere solo ad host sulla propria subnet). Inoltre non preoccuparti particolarmente dei ping: in questo contesto ci troviamo di fronte a connessioni di tipo triggering, quindi il ping ha una valenza limitata.Naturalmente va garantito l' accesso ad internet a tutte le macchine e per fare questo sono necessarie alcune configurazioni: una è macroscopica, le altre sono dettagli che dipendono dagli apparati utilizzati (in base ai servizi offerte possiamo forzare alcuni protocolli).