Ciao a tutti,
da circa un paio di settimane sto cercando di accendere il mio pc dal lavoro tramite wake on lan / wan.

Ho il mio router Fastweb che preferisco non toccare, a cui ho collegato in cascata un altro router Fastweb comprato apposta (un dga4131), rootato e a cui ho aggiunto tramite SSH un valore fisso nella ARP table. Tutto sembra funzionare, anche dopo ore, se invio il magic pocket da dentro la la lan (prima funzionava solo per pochi minuti dopo lo spegnimento del pc) ma non funziona da fuori della rete, nonostante abbia aperto le porte su entrambi i router. Sembra che il router principale non lasci passare il magic pocket fino al secondario.

Qualcuno sa se e come è risolvibile? Potrei scambiare i due router, ma preferirei evitarlo al momento. Li uso entrambi anche per aumentare il segnale WiFi.

Grazie
Alessandro

compri un DGA4131 di fastweb su ebay a ~20 euro, gli fai root e puoi giocare su arp table a piacimento, lo usi come modem/router primario e risolvi il problema wol, il tuo attuale lo usi come semplice access point per aumentare la copertura,


il suggerimento di comprare il dga era per usarlo come primario, cosi' dovrebbe andare visto che sarebbe il router principale a gestire il magic packet come dovrebbe essere. detto questo se hai collegato il dga come secondario lan <--> lan con il primario questo fa si che il dga non funga piu' da router ma diventa semplice client con uno switch che fa passare il traffico senza regole, diventa quindi ininfluente che tu apra le porte o faccia forward da gui perche' quello riguarda il traffico wan che in questo caso hai smesso di usare perche' sei collegato in lan ed essendo traffico lan qualsiasi regola eventualmente imposti nella firewall viene ignorata (smette di passare dalla cpu del router). detto questo volendo puoi intervenire nella configurazione del dga e fare magheggi che openwrt ti permette sicuramente di fare (es. creare un interfaccia aggiuntiva per poi fare redirect sulla lan via iptables) ma ti stai solo complicando la vita e la rete per nulla.. puoi verificare tutto con tcpdump installandolo sul dga e capire che il magic packet arriva e non sa dove andare. detto questo (ultima volta promesso) non ti rimane che scambiare i due fastgate mettendo il dga (con modifica arp) come primario ed il secondo fastgate collegato lan <--> lan, oppure lasciare il tuo attuale fastgate come primario ma usare il dga (sempre con modicica arp) collegato lan <--> wan (porta 4 del dga) in questo modo avresti doppio nat (ricoda di cambiare ip lan del dga se fai cosi' ad 192.168.2.x per esempio) ma le regole che imposti da gui funzionerebbero, quindi devi aprire le porte ed impostare il forward ad il client finale.. quest'ultima opzione e' da provare mai fatto personalmente, quella di usare il dga come primario so' per esperienza personale che funziona..

Grazie di nuovo,

si hai ragione, il tuo suggerimento era di metterlo come primario e mettere "l'originale" come secondario, ma volevo vedere se c'era un modo di usarli al contrario. L'idea di mettere quello rootato "lato Fastweb" non mi convince molto, anche cambiando il mac adress (che devo anche capire come fare), non vorrei che avessero qualcosa da ridire, o che attuassero un aggiornamento o un reboot a distanza cancellando il root. Per questo pensavo di tenerlo come ultima risorsa.
Inoltre stavo pensando di aggiungere la Ansuel Gui per vedere se riesco a modificare la password della rete ospiti (che ora è decisa in automatico dal router) e non vorrei che anche questa modifica saltasse all'occhio di Fastweb.

grazie per il suggerimento di tcpdump, devo vedere se riesco a capire come funziona.

Ho capito che il secondario funzioni come switch, ma se io mi collego al wifi del secondario (quindi dentro la lan) e gli mando un magic packet il sistema funziona, quindi vuol dire che non è un mero switch, ma la regola se la ricorda e la applica. Il problema penso sia il primario, se gli arriva il magic pocket con il mac adress del pc lui non sa a chi darlo (se non per pochi minuti dallo spegnimento), se il magic packet ha il mac adress del router secondario poi questo non sa cosa farci. Dovrei creare una regola che se arriva un magic packet al router secondario lui lo indirizzi al pc, ma qui stiamo complicando la cosa e non saprei come farlo.

Nel weekend faccio alcune prove, se proprio non funziona inverto i due router e vediamo.

L'idea di mettere quello rootato "lato Fastweb" non mi convince molto, anche cambiando il mac adress (che devo anche capire come fare), non vorrei che avessero qualcosa da ridire, o che attuassero un aggiornamento o un reboot a distanza cancellando il root. Per questo pensavo di tenerlo come ultima risorsa.


se metti il dga come primario puoi anche non cambiare il mac, una volta collegato vai su registrazione.fastweb.it ed il nuovo mac address si associa (ti viene chiesto codice fiscale della persona che ha stipulato il contratto). per quanto riguarda perdere il root se disbiliti CWMP e blocchi telnet ed ssh da wan come da guida fastweb non ha piu' potere di fare nulla


Inoltre stavo pensando di aggiungere la Ansuel Gui per vedere se riesco a modificare la password della rete ospiti (che ora è decisa in automatico dal router) e non vorrei che anche questa modifica saltasse all'occhio di Fastweb.


lo puoi fare modificando /etc/config/wireless, della gui ansuel non sono pratico..


grazie per il suggerimento di tcpdump, devo vedere se riesco a capire come funziona.


e' l'unico strumento che hai per capire esattamente cosa sta' succedendo..


Ho capito che il secondario funzioni come switch, ma se io mi collego al wifi del secondario (quindi dentro la lan) e gli mando un magic packet il sistema funziona, quindi vuol dire che non è un mero switch, ma la regola se la ricorda e la applica.


tu aggiungi un arp entry allo switch del dga e lui se la ricorda.. non e' un regola ma solo un informazione.. e' una cosa che puoi fare anche su switch manged.. cosa che e' diventata nel tuo caso.. edit: openwrt fa' bridge tra lan e wifi, quindi anche il wifi fa parte dello switch come una normale porta eth sul retro.


Il problema penso sia il primario, se gli arriva il magic pocket con il mac adress del pc lui non sa a chi darlo (se non per pochi minuti dallo spegnimento), se il magic packet ha il mac adress del router secondario poi questo non sa cosa farci. Dovrei creare una regola che se arriva un magic packet al router secondario lui lo indirizzi al pc, ma qui stiamo complicando la cosa e non saprei come farlo.


puoi provare a mettere un regola in /etc/config/firewall ma non so dirti se funzioni.. potrebbe essere ignorata.. oppure usare comandi iptables direttamente per prova..


config redirect
option name 'wake'
option target 'DNAT'
option src 'lan'
option src_dport '9' <-- non ricordo se porta 8 o 9
option dest 'lan'
option dest_ip '192.168.x.x' <-- ip da svegliare
option dest_port '9'



Nel weekend faccio alcune prove, se proprio non funziona inverto i due router e vediamo.


cmq finche' paghi la bolletta e non fai cose illegali su internet a fastweb proprio non gli frega nulla di che apparecchio usi per stabilire una connessione ;)

edit: e cmq mettere il dga con openwrt (anche se un po modificata da tecnicolor) come router primario rimane la cosa migliore tecnicamente, e' la cosa giusta da fare per come devono essere fatte le reti e ti semplifica la vita ;)

mi sono accorto di aver saltato un pezzo di guida, ora recupero, ma devo dire che le cose si complicano. Ti ringrazio nuovamente per i tuoi consigli, ma mi mancano le basi per seguirli.

Per esempio la guida riporta: vi conviene modificare il file /etc/inittab rimuovendo il carattere '#' all'inizio dell'ultima riga ::askconsole:/bin/login

ma non ho idea di come fare, non essendo pratico di linux ne tanto meno di openwrt. Non so come navigare nei file ne come aprirli o leggerli per modificarli, e la guida non mi sembra lo spieghi. Hai qualche altra guida con le nozioni di base da consigliarmi? Ho cercato online ma se hai qualche indicazione...

Al momento vorrei concentrarmi su due cose, completare la guida sul root e cambiare la password del wifi ospiti, prima di invertire i due router, perchè le altre soluzioni che mi indichi penso che al momento siano fuori dalla mia portata. Visto che l'hai realizzata posso provare a inserire la regola nel firewall, ma di nuovo no so come fare (e il firewall è disinserito in entrambi i router)

Grazie

Sono riuscito ad aprire i vari file e a modificarli con winscp. Ho completato la guida e ho modificato la password della rete ospiti. Ho anche aggiunto la regola al firewall del secondario, vediamo se cambia qualcosa.

Un'ultima cosa:

per quanto riguarda perdere il root se disbiliti CWMP e blocchi telnet ed ssh da wan come da guida

Ho cercato di capire i vari passaggi della guida, ma un paio ammetto di averli seguiti sulla fiducia. Mi sapresti indicare quale punto riguarda la procedura che descrivi? c'è un modo per controllare che effettivamente abbia disattivato il controllo remoto?

Di CWMP se ne parla nei commenti, ma non so se sono corretti.

Ho anche aggiunto la regola al firewall del secondario, vediamo se cambia qualcosa.

ovviamente serve regola a monte sul primario che invia al secondario.. poi non sono certo che la regola sul secondario possa funzionare.. ricorda di riavviare la firewall ad ogni modifica.. /etc/init.d/firewall reload..

Ho cercato di capire i vari passaggi della guida, ma un paio ammetto di averli seguiti sulla fiducia. Mi sapresti indicare quale punto riguarda la procedura che descrivi? c'è un modo per controllare che effettivamente abbia disattivato il controllo remoto?

Di CWMP se ne parla nei commenti, ma non so se sono corretti.

https://hack-technicolor.readthedocs.io/en/stable/Hardening/ (la parte Telstra non ti riguarda)

cambia la password di root con "passwd"

verifica che /"etc/dropbear/authorized_keys" sia vuoto o contenga solo le tue chiavi (consiglio creare tue chiavi e disabilitare login con password!)

verifica che "/etc/config/dropbear" non abbia istanze che girano su wan, se fosse option enabled '0', se crei le tue chiavi metti anche "PasswordAuth" e "RootPasswordAuth" a 'off' (prova bene il login con chiavi non chiuderti fuori sal router ;))

verifica che "/etc/config/telnet" sia disabilitato option enabled '0' e spegni il servizio "/etc/init.d/telenet stop && /etc/init.d/telnet disabale"

verifica che "/etc/init.d/cwmpd status" risulti spento/disabilitato

verifica per esempio con "netstat -lenp" cosa sta ascoltando e dove (lan/wan) sul dga una volta fatto tutto..

evita per tua sicurezza di lasciare ssh e/o qualsiasi gui raggiungibile da esterno..

dovresti essere ok ;)

edit: dimenticavo per accesso e dare comandi putty, per modifica file winscp e' quello che ti serve (volendo basta putty e fai tutto da riga di comando ma fa lo stesso). la wiki di openwrt e' molto completa su queste procedure di base e anche sul resto..

e per clonare il mac address leggi il mac dietro sull'etichetta del tuo attuale fastgate ed inseriscilo nel dga in /etc/config/network, dove leggi config interface 'wan' aggiungi option macaddr 'xx:xx:xx:xx:xx:xx' riavvia e verifica con "ifconfig" che le interfacce abbiano il mac clonato... non le ricordo tutte, alcune sono vlan, ptm0.. dipende anche tipo di linea, se hai problemi aggiungi la voce macaddr anche alle altre interfacce.. e da un po' che non ci metto mano non ricordo tutto ;)

quindi uso i comandi indicati nella guida e poi proseguo con quelli che mi hai indicato (se riesco).

la password di root l'ho già cambiata.

La regola nel firmware del secondario non ha avuto effetto, nel primario posso inserire regole solo da interfaccia Fastweb, e comunque li ho aperto le porte e il firewall è disattivato.

Ma ormai opto per lo scambio di router, cerchiamo di semplificare dove possibile.

Tra clonare il mac adress o fare la procedura con Fastweb che mi indicavi ieri cosa è meglio fare? mi sembra che clonarlo non sia proprio semplice.

Un'altra cosa. nel router con il root ho cambiato la password del wifi guest in etc/config/wireless:

config wifi-ap 'ap6'
option iface 'wl0_2'
option state '1'
option public '1'
option ap_isolation '1'
option station_history '1'
option max_assoc '0'
option security_mode 'wpa2-psk'
option supported_security_modes 'none wep wpa2-psk wpa-wpa2-psk wpa2 wpa-wpa2'
option pmf 'disabled'
option pmksa_cache '1'
option wps_state '0'
option wps_w7pbc '1'
option wsc_state 'configured'
option wps_ap_setup_locked '0'
option acl_mode 'unlock'
option acl_registration_time '60'
option trace_modules ' '
option trace_level 'some'
option bandsteer_id 'off'
option wep_key '881FD32C75'
option wps_ap_pin '92468016'
option wpa_psk_key 'w6C2kZJs'


ho cambiato solo la parte in rosso e ora il guest non va più, ci si può connettere alla rete ma non c'è collegamento internet (internet assente). Non ho la certezza che prima funzionasse, ma mi sembra di si. Non funziona neanche se faccio generare la password al router o se lo riavvio.

nei due router ho messo stesso SSID e password, e pensavo di fare la stessa cosa anche con la Guest, ma anche usando la guest del router rootato da sola non funziona.

La regola nel firmware del secondario non ha avuto effetto, nel primario posso inserire regole solo da interfaccia Fastweb, e comunque li ho aperto le porte e il firewall è disattivato.

la regola che ho scritto non ero sicuro funzionasse per i motivi spiegati in precedenza, lo stesso vale per le regole inserite da gui fastweb.. riguardano il traffico wan<-->lan. il firewall e' si messo su disattivato ma non vuol dire che e' spento.. ci dovrebbe essere una piccola spiegazione.. in sostanza consente solo il traffico in uscita e le relative risposte in entrata.

Ma ormai opto per lo scambio di router, cerchiamo di semplificare dove possibile.

Tra clonare il mac adress o fare la procedura con Fastweb che mi indicavi ieri cosa è meglio fare? mi sembra che clonarlo non sia proprio semplice.

suppongo tu abbia richiesto ip statico per usare servizi da esterno, preferirei clonare il mac address.. non ho idea se la procedura di registrazione poi tenga conto dell'associazione ad ip statico.

Un'altra cosa. nel router con il root ho cambiato la password del wifi guest in etc/config/wireless:

...

ho cambiato solo la parte in rosso e ora il guest non va più, ci si può connettere alla rete ma non c'è collegamento internet (internet assente). Non ho la certezza che prima funzionasse, ma mi sembra di si. Non funziona neanche se faccio generare la password al router o se lo riavvio.

nei due router ho messo stesso SSID e password, e pensavo di fare la stessa cosa anche con la Guest, ma anche usando la guest del router rootato da sola non funziona.

da quello che vedo hai fatto correttamente.. sicuro prima andasse?? spendo il server dhcp?? collegato lan<->lan?? la teoria per estendere il segnale e' quella che hai appena scritto, basta usare canali differenti..

non e' magari il caso che prima di procedere di dare un occhio anche alla gui di ansuel (https://github.com/Ansuel/tch-nginx-gui), non l'ho mai usata personalmente ma ho sempre letto che e' parecchio completa (spegnere gestione remota, root permanente, etc, etc) magari ti puo' aiutare, e di molto, in questi passaggi.. io non ho grosse difficolta' a muovermi dentro i concetti di openwrt ma lo uso da parecchio.. capisco le complessita' iniziali.. sono passato da tanti reset prima di arrivare ad un dunque ;)

in realtà non ho chiesto l'ip statico, ho seguito una guida che usava duckdns e uno script che lo aggiorna continuamente. Immagino che se il router si riavvia con il pc spento l'associazione non viene effettuata e in quel caso il sistema non funzionerebbe fino a che non avvio di persona il pc, ma se questo non succede il sistema dovrebbe funzionare (e almeno per i primi tre minuti funziona, finché il router non si dimentica il mac adress del pc).

per il wifi è tutto impostato come hai scritto, ora ho messo il wifi ospiti attivo solo sul "secondario", ma non funziona. DHCP spento sul secondario e acceso sul primario. collegati LAN-LAN, la rete principale funziona ma quella guest no. Non sono certo funzionasse, nel caso dovrei resettare il router e ricominciare da capo.

Ora provo a installare la GUI.

in realtà non ho chiesto l'ip statico
se e' cosi' pui treanqullamente usare il link per la registrazione in autonomia, a me nn ha mai dato problemi.
Immagino che se il router si riavvia con il pc spento l'associazione non viene effettuata e in quel caso il sistema non funzionerebbe fino a che non avvio di persona il pc, ma se questo non succede il sistema dovrebbe funzionare (e almeno per i primi tre minuti funziona, finché il router non si dimentica il mac adress del pc).
in caso puoi aggiungere il comando arp in /etc/rc.local e si esegue ad ogni riavvio.

per il wifi è tutto impostato come hai scritto, ora ho messo il wifi ospiti attivo solo sul "secondario", ma non funziona. DHCP spento sul secondario e acceso sul primario. collegati LAN-LAN, la rete principale funziona ma quella guest no. Non sono certo funzionasse, nel caso dovrei resettare il router e ricominciare da capo.
a memoria la rete guest e' associata ad un'altra interfaccia lan e zona firewall piu' vincolata per tenerle ben divise.. potrebbe essere quello il problema.. mancata comunicazione con router/gw/dhcp primario a monte.

a memoria la rete guest e' associata ad un'altra interfaccia lan e zona firewall piu' vincolata per tenerle ben divise.. potrebbe essere quello il problema.. mancata comunicazione con router/gw/dhcp primario a monte.

ho verificato senza un'interfaccia wan attiva dubito possa andare la rete guest, bisogna intervenire e modificare questa parte nel firewall.. o ricreare una rete guest da zero in base a quello che ti serve effettivamente.. lo troverei piu' semplice..


config zone 'Guest'
option name 'Guest'
list network 'Guest'
option input 'DROP' <-- dal dga, dhcp dns etc.
option output 'ACCEPT'
option forward 'ACCEPT' magari reject! xD
option mtu_fix '1'
option wan '0'

config forwarding 'Guest_wan'
option src 'Guest'
option dest 'wan' <-- non usiamo wan

config rule 'Deny_Guest_lan_gateway' <-- superfluo?!?
option name 'Deny-Guest-lan-gateway'
option src 'Guest'
option proto 'all'
option dest_ip '192.168.1.254'
option family 'any'
option target 'DROP'

config rule 'Deny_lan_2_Guest' <-- superfluo?!?
option name 'Deny-lan-2-Guest'
option src 'lan'
option dest 'Guest'
option proto 'all'
option target 'DROP'

config rule 'Deny_Guest_2_lan' <-- superfluo?!?
option name 'Deny-Guest-2-lan'
option src 'Guest'
option dest 'lan'
option proto 'all'
option target 'DROP'


tutto cmq abbastanza inutile visto che il dga lo metterai come primario con wan per la questione wol ed anche la rete guest funzionera' di suo.. ma ormai ho verificato e questo lo lascio come appunto ;)

Grazie per il lavoro extra, mi piacerebbe che i due router ampliassero anche la guest, ma cercherò di risolvere il problema in futuro.

Ieri sera molto tardi ho fatto lo scambio dei due router. Ho copiato tutte le impostazioni del principale sul secondario e l'ho messo al posto del principale. Purtroppo mi da linea assente. Pensavo potesse essere colpa della registrazione mancante, ma da dentro la LAN, se vado su registrazione.Fastweb.it non riesce a connettersi (non è possibile contattare il server).

Da connessione tramite smartphone mi dice che "al momento non è possibile procedere alla registrazione dei dati".

probabilmente dovrei telefonare a fastweb per associare il mac address alla linea.

Potrei provare a clonare il mac adress, ma se poi il principale lo usassi a cascata i due mac uguali non creerebbero problemi?

La ansuel GUI l'ho installata, ha molte opzioni, anche troppe, ma per fare lo scambio tra i router ho preferito ritornare all'interfaccia Fastweb in nodo da copiare facilmente le impostazioni.

EDIT: ho provato a clonare il mac address. Ho inserito la stringa in etc/config/network

config interface 'wan'
option proto dhcp''
option reqopts 'xxx'
option vendorid 'xxx'
...
option macaddr '94:xx:xx:xx:xx:xx'


In wan è presente anche una option notused 'xx:xx:xx:xx:xx:xx' (dovrei cambiarlo anche qui?)

Ho riavviato il router e dato il comando ifconfig

Bcmsw HWaddr 10:xx:xx:xx:xx:xx

Br-lan HWaddr 10:xx:xx:xx:xx:xx

Eth da 0 a 4 HWaddr 10:xx:xx:xx:xx:xx

Lo (senza indirizzo)

Vlan-eth4 HWaddr 10:xx:xx:xx:xx:xx

W10 da 0 a 3 HWaddr 10:xx:xx:xx:xx:xx

W11 da 0 a 3 HWaddr 12:xx:xx:xx:xx:xx


Uno di questi non dovrebbe avere il nuovo indirizzo? invece hanno tutti mantenuto il mac originale.

EDIT2:

Ho aggiunto la stessa stringa in LAN e ora da ifconfig la br-lan ha il nuovo mac address. Ma gli altri no. leggendo online mi sembra di aver capito che è un problema comune, ma non ho trovato soluzione.

Ho aggiunto la stringa ad ogni singola voce del file network, ma tutte le ETH le wan 10 e le wan 11 hanno ancora il loro mac address originale. (Cambiano solo br-lan, eth4, VLAN-eth4, w10-2)

per la questione clonare mac sono in difficolta' a provare comandi direttamente perche' attualmente sto usando il dga come modem puro in bridge e non posso metterci troppo mano (cmq le interfacce w* sono wireless e non serve toccarle). nella mia zona tutto passa da cabinet tim con vlan100, da te potrebbe essere diverso e la registrazione funzionare in altro modo, ma almeno la portante ci deve essere.. puoi verificare cosa sta succedendo da "logread" per vedere i log e "xdslctl info --show" per stato dsl. una prova che farei e' collegare il dga alla dsl appena "rootato" senza nessuna altra modifica, con telegestione attiva, e lasciarlo collegato 10min (magari un paio di reboot) per vedere se si registra sulla rete (luce verde, non naviga, o ti fa navigare solo su registrazoine). se proprio non risolvi l'unica e' chiamare fastweb come hai detto tu, dicendo magari che il tuo fastgate ti da qualche problema con il wifi e ne stai provando uno di un amico per vedere se risolvi ;)

Grazie, hai già fatto molto per aiutarmi. Al momento ho rimesso quello vecchio, in modo da avere la connessione internet.

Dato che posso accedere al dga4131, farò delle prove per cercare di clonare il mac address, anche se non sono certo che sia l'unica cosa che Fastweb controlla.

Se non funziona resetto il router come hai suggerito e provo a collegarlo con il solo root.

Non so come è collegata a casa mia, so solo che ho una ADSL abbastanza lenta, e che a domanda diretta se è possibile mettere la fibra, il centralino Fastweb mi ha detto che decidono loro se e quando metterla per i vecchi abbonati. Dovrei proprio cambiare operatore...

Piccolo aggiornamento.

Ho capito, leggendo questo post:

https://www.ilpuntotecnico.com/forum/index.php/topic,80598.msg250655.html#msg250655

che utilizzare un modem diverso per fastweb è molto più complicato del previsto, inoltre al momento non posso fare tante prove avendo bisogno di internet e telefono.
In più non riesco a clonare il mac usando option macaddr, anche se mi sembra, da quanto ho letto, una situazione diffusa, ed esistono dei sistemi alternativi da provare:
http://jhshi.me/2015/01/19/fix-mac-address-clone-in-openwrt/index.html#.XCngAC5fiV4

In ogni caso, al momento ho rimesso il router con il root come secondario. Ho però provato, seppur andando a "caso", ad utilizzare tcpdump.

Se io do il comando tcpdump -i br-lan port 9

https://fabianlee.org/2019/06/03/openwrt-installing-tcpdump-from-opkg/

e invio il magic packet da wan (sia che inserisco come mac address quello del pc da svegliare, sia quello del router in cascata) ottengo:

root@OpenWrt:~# tcpdump -i br-lan port 9
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br-lan, link-type EN10MB (Ethernet), capture size 262144 bytes
18:13:49.036771 IP 94.35.15.11.36649 > OpenWrt.lan.discard: UDP, length 102
18:13:49.044237 IP 94.35.15.11.36651 > OpenWrt.lan.discard: UDP, length 102
18:13:49.051406 IP 94.35.15.11.36653 > OpenWrt.lan.discard: UDP, length 102
18:13:50.969259 IP 94.35.15.11.36657 > OpenWrt.lan.discard: UDP, length 102
18:13:50.976657 IP 94.35.15.11.36655 > OpenWrt.lan.discard: UDP, length 102
18:13:50.980858 IP 94.35.15.11.36650 > OpenWrt.lan.discard: UDP, length 102
6 packets captured
6 packets received by filter
0 packets dropped by kernel


3 packets sono per il comando inviato con il mac address del pc e 3 per il comando inviato con il mac address del router. I packets arrivano al router anche con il pc da accendere spento da ore.

Non so se la mia interpretazione è corretta, ma il magic packet sembrerebbe arrivare al secondo router, o mi sbaglio?
Se è così, servirebbe un modo per reindirizzare il magic pocket al pc. Ho trovato questo: https://github.com/mister-benjamin/etherwake-nfqueue

è un sistema che potrebbe funzionare? non so neanche se è utilizzabile in openwrt.

@bilanciamist da quello che si vede con tcpdump arrivano pacchetti da ip wan alla lan del dga.. ora con iptables da shell puoi semplicemente rigirarli alla destinazione finale (magari spegnendo prima firewall sul dga cosi non hai conflitti.), non credo che impostando una regola da gui fastweb del dga venga presa in considerazione per il traffico lan.. oppure come prova puoi sul dga impostare dmz verso il pc che si deve svegliare.. probabilmente con gui ansuel+luci gestire le regole sarebbe piu' semplice ma non ho esperienza diretta.. capisco le problematiche date della necessita' di avere internet/telefono funzionante ma qui stiamo parlando di scambiare un router fastweb con un altro fastweb mi chiedo cosa abbiano da dire a riguardo.. ma nulla mi stupisce visto che non rispettano neanche le basi dell'ipv6 e al cliente finale danno una /64 che non ti permette di dividere le reti, ma questo e' solo un mio problema e sfogo personale ;)

edit: e se sei in cerca di soluzioni alternative puoi installare openvpn sul dga per accedere a ssh in sicurezza ed installare/usare etherwake da shell.. entrambi i pacchetti sono disponibili.. altre soluzioni tipo monitor/log firewall per attivare script sono fattibili ma mi pare di stare degenerando/esagerando.

La tua risposta è gradita ma, per me, un po' ostica da capire.

iptables se non ho capito male dovrebbe essere il firwall di Openwrt e Linux. Cercherò di capire come modificare le regole per quello che mi serve, anche se non sarà semplice.

Da GUI fastweb , anche attivando il Firewall, non posso creare regole, ma solo agire sul livello (alto o medio). Se spento "Il Firewall in modalità spento permette tutte le connessioni in uscita senza restrizioni. In ingresso, le connessioni IPv4 sono regolamentate dalle sezioni di DMZ e Port Mapping, le connessioni IPv6 sono senza restrizioni."

La Ansuel Gui permette molte più modifiche e ha molte più impostazioni, talmente tante che faccio fatica a capire come impostarlo. E non so se l'Ansuel Gui mantiene le impostazioni del modem al momento del caricamento, anche se mi sembrerebbe sensato lo facesse. Comunque posso provare a rimetterla e smanettare un po'.

Per quanto riguarda usare il dga4131 come primario, dal link che ho messo, che rimanda ai commenti alla guida che mi hai indicato, si capisce che richiede alcune modifiche alle impostazioni del router. Inoltre ho mandato una pec a fastweb per provare a convincerli a passare finalmente da adsl a FTTC, e non vorrei che dessero la colpa al modem per la lentezza della linea. In più, usandolo come secondario potrebbe funzionare anche se cambiassi linea con Vodafone o TIM (sperando che loro siano in grado di attivare la FTTC nel caso non riuscisse Fastweb).

dell'edit ho capito il senso, ma lo vedo complicato. Anche solo usare un comando tipo opkg update mi da un errore che non so risolvere, probabilmente perchè porta ad un link che non è corretto.

root@OpenWrt:~# opkg update
Downloading http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VBNTJ/packages/Packages.gz
wget: bad address 'downloads.openwrt.org'
*** Failed to download the package list from http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VBNTJ/packages/Packages.gz

Collected errors:
* opkg_download: Failed to download http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VBNTJ/packages/Packages.gz, wget returned 1.


Quindi al momento installare pacchetti lo vedo difficile.

Diciamo che mi concentrerò sul firwall per cercare di far passare questo benedetto magic packet.

La tua risposta è gradita ma, per me, un po' ostica da capire
perdonami mi capita di rispondere in maniera troppo diretta a volte..
iptables se non ho capito male dovrebbe essere il firwall di Openwrt e Linux. Cercherò di capire come modificare le regole per quello che mi serve, anche se non sarà semplice.

Da GUI fastweb , anche attivando il Firewall, non posso creare regole, ma solo agire sul livello (alto o medio). Se spento "Il Firewall in modalità spento permette tutte le connessioni in uscita senza restrizioni. In ingresso, le connessioni IPv4 sono regolamentate dalle sezioni di DMZ e Port Mapping, le connessioni IPv6 sono senza restrizioni."
puoi disattivere completamente il firewall da shell con /etc/init.d/firewall stop (vado a memoria, cmq per nn avere altre regole attive) per poi mettere sempre da shell una singola regola con iptables per muovere i pacchetti a tuo piacimento.. ci son parecchi esempi, tutorial in rete.. anche per conoscere tutte le regole attive.
Inoltre ho mandato una pec a fastweb per provare a convincerli a passare finalmente da adsl a FTTC
ottima mossa direi
Quindi al momento installare pacchetti lo vedo difficile.
https://www.macoers.com/blog/antonio-macolino/repository_openwrt_homeware_18_brcm63xx_tch
Diciamo che mi concentrerò sul firwall per cercare di far passare questo benedetto magic packet.
puoi provare giusto per vedere a fare un collegamento a cascaca lan<->wandga (mettendo ip lan dga in classe diversa tipo 192.168.2.X) in modo da essere sicuro che le regole funzionano (visto che facendo cosi' hai sia wan che lan attiva e sta facendo effetivamnete routing).. io ricordo che port forward basilari si possono fare da gui dga, piu' tardi verifico.. o volendo attivi dmz verso host da svegliare.. almeno vedi se passando il pachetto sto benedetto pc si sveglia ;)

Ho provato a stoppare il firewall, a inserire delle regole (tra cui quella che mi hai scritto tempo fa) e riavviarlo, oppure a cancellare tutto e a mettere solo le regole nuove, ma niente.

Ho reinstallato la Ansuel GUI dev. L'unica modifica che ho fatto in maniera "permanente" è stato disabilitare il DHCP.
Ho provato a smanettare un po ma non ho trovato qualcosa che funzionasse. La Ansuel Gui ha sotto servizi WAN una sezione per WoL / WoW, ma non credo faccia al caso mio, almeno se non lo metto come primario.

giusto per far capire le opzioni disponibili:

https://i.ibb.co/XbB9hz4/1.jpg (https://ibb.co/XbB9hz4)

sezione Wol / WoW

https://i.ibb.co/FBHhh5W/2.jpg (https://ibb.co/FBHhh5W)

Mi sa che andando a tentoni non si risolve. Forse potrei chiedere nel thread della Ansuel GUI.

E poi se vado nelle statistiche o nel test connessione mi dice che non è connesso. è normale? eppure internet funziona.

https://i.ibb.co/6vfDzp8/3.jpg (https://ibb.co/6vfDzp8)

https://i.ibb.co/wsqwY4j/4.jpg (https://ibb.co/wsqwY4j)

la "complicazione" rimane sempre il fatto che non e' come primario.. anche per il fatto che ti dice non connesso.. da gui fastweb ho verificato e si possono creare dei forward/redirect il risultato e':

config userredirect 'userredirectCCDE'
option family 'ipv4'
option dest 'lan'
option src 'wan'
option target 'DNAT'
option enabled '1'
option name 'test'
option src_dport '9'
option dest_port '9'
list proto 'UDP'
option dest_ip '192.168.1.100'

e viene messo in fondo al file /etc/config/firewall - poi notare che differisce da quello che ho scritto io per "option src" che usa wan (da' per scontato che sia un router primario con wan attiva) e usa una sintassi piu' specifica di tecnicolor "config userredirect". credo che per ottenere quello che voi come secondario bisogna intervenire in piu' parti della configurazione a mano.

la teoria prevede che essendo in cascata lan <-> lan la firewall (iptables -L da shell per verificare che non ci siano regole attive),dhcp di sicuro vanno spenti completamente. una volta che almeno il firewall e' spento completamente il dga diventa un "dumb access point" con uno switch e se arriva il magic packet, inoltrato dal router a monte, questo potrebbe anche essere "sentito" da un client connesso in lan allo switch del dga, sempre che il router a monte non lo "alteri" in alcun modo, se cosi non andasse serve una singola regola per "provare" a rigirare il pacchetto alla desitnazione finale:

iptables -t nat -A PREROUTING -p tcp --dport 9 -j DNAT --to-destination 192.168.1.x:9

od eventualmente alla brodcast per essere sentito da tutti i client:

iptables -t nat -A PREROUTING -p tcp --dport 9 -j DNAT --to-destination 192.168.1.255

alternativa e' fare un collegamento cascata in doppio nat lan<-->wan_dga cambiando ip lan dga ad altra classe ed lasciando abilitato firewall e dhcp ed inserendo regola da gui (edit) per inoltrare pacchetto a client finale (e/o broadcast), edit: oltre a mettere sul router a monte dmz verso dga.

tanta bella teoria ostica, che in molti punti si puo' "rompere" (specialmente con router di provider come hai gia notato per altro) ma alla fine si riesce a fare andare.. purtroppo se non ricreo la tua esatta situazione non riuscirei a guidarti esattamente verso la soluzione..

Ho spento completamente il firewall provando sia da Ansuel GUI che da putty:


root@OpenWrt:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



il magic packet non passa. ho provato ad inserire una regola da Ansuel GUI che accetta tutte le connessioni in entrata nella porta 9, ma non funziona.
Ho provato ad aggiungere un istradamento da Ansul GUI, provenienza
wan con ip sorgente il router principale (o anche senza IP) e destinazione il pc, ma non funziona.

Ho inserito anche le stringhe che mi hai scritto, ma niente, sia mettendo tcp che udp (secondo una guida dovrebbero essere aperte entrambe). Le porte sono aperte in entrambi i router. (La stringa che mi hai inviato deve poi essere cancellata da qualche parte?)

Come USER redirect infatti ho questa in etc\config\firewall:


config userredirect 'userredirect23E6'
option dest_port '9'
option dest 'lan'
option src_dport '9'
option enabled '1'
option name 'tcp udp 9'
option src 'wan'
option family 'ipv4'
option target 'DNAT'
option dest_mac 'xx:xx:xx:xx:xx:xx'
list proto 'tcpudp'


e poi aggiunta credo dalla Ansuel GUI:


config userrule
option enabled '1'
option src 'wan'
list proto 'tcpudp'
option dest 'lan'
option dest_ip '192.168.1.xxx' (IP pc)
option dest_port '9'
option target 'ACCEPT'
option src_ip '192.168.1.xxx' (IP router principale)
option src_port '9'



Ogni volta che modifico riavvio il firewall, ma non l'intero router.

Mi sa che ormai ho fatto il possibile, o chiedo direttamente nel post della Ansuel oppure lascio perdere. E Fastweb ovviamente alla pec per il passaggio a fttc non risponde.

le regole che hanno come "src wan" nn riguardano il tuo caso visto che in un collegamento lan <-> lan nn usi la wan. il comando iptables che ti ho scritto (ho erroneamente scritto tcp inceve di udp) ignorano la sorgente ma devi cmq usare tcpdump per capire cosa sta succedendo, se il pacchetto viene ricevuto e rigirato bloccato o altro.. questo anche su destinazione finale per capire che succede.. tcpdump e' l'unico strumento da usare per nn andare a caso/naso. le regole inserite da riga di comando nn vengono salvate, basta uno start/stop firewall per eliminarle. >>questa (https://serverfault.com/questions/161560/how-to-get-wake-on-lan-working)<< e' una duscussio e interessante su broadcast e iptables. nn ho capito se hai avuto la possibila' di provare un collegamento lan <-> wan (ok in doppio nat ma e' solo una prova) per vedere se le regole da gui con "src wan" funzionano a dovere e ti inoltrano il pacchetto.

Ho fatto altre prove prima di gettare la spugna:

ho, con il repository che mi hai linkato, istallato Etherwake. Dando il comando

/usr/bin/etherwake -D -i "br-lan" -b "00:xx:xx:xx:xx:xx"

ottengo come risposta:


The target station address is 0:xx:xx:xx:xx:xx. (non so perchè un solo zero qui)
Packet is ff ff ff ff ff ff 00 (mac corretto ripetuto n volte).
Sendto worked ! 116.


Ma conrollando con packet sniffer (un programma per windows per vedere i magic pocket) non arriva nulla.

Ho provato a cambiare porta, mettendo ad esempio 23000 (letto online) e modificando tutti port forwarding e gli instradamenti che avevo fatto per 23000, ma non funziona ancora. Con tcpdump ottengo una risposta diversa (non è indicato discard dopo l'IP ma la porta 23000).


17:49:53.494083 IP 94-35-24-124.client-mvno.operatoretelefonico.it.000000> 192.168.1.(ip router 2).23000: UDP, length 102


non credo sia una cosa che dipende dal firewall, perchè anche se spento il packet non passa e l'invio con etherwake non funziona.

Ho provato a trafficare con la ansuel gui. Sono riuscito, non so bene come a "connettere il router", nel senso che prima mi diceva che non era connesso, e infatti non riuscivo a connettermi al repository. ora funziona e l'orario di sistema del router si è aggiornato, prima era completamente sfalsato. (forse ha preso da solo l'ip del primo router in gateway e server DNS quando ho fatto la modifica sottostante).

Ho provato ad impostare la connessione come "bridge" invece che "DHCP routed". Cambiato nulla. (le altre opzioni sono PPPoE routed e IP statico).


se attivo la Wakeonwan dalla Ansule Gui, oltre a chiedermi un ip della lan non usato (perchè?), viene inserita questo config nel file firewall:


config redirect 'WakeOnWan'
option family 'ipv4'
option dest_ip '192.168.1.253' (ip non usato che ho messo)
option dest 'lan'
option src 'wan'
option target 'DNAT'
option src_dport '9'
option proto 'udp'
option dest_port '9'


inoltre ora da tcpdump arrivano 6 magic pocket, 3 con l'ip del router e 3 con l'ip non usato inserito nel redirect.

se anche metto come src "lan" non cambia nulla. Non sono certp che il pacchetto arrivi dalla lan del primo router o sempre da wan dato che il primo router lo lascia passare.

Non ho provato il collegamento wan lan, dato che volevo usare il router per estendere la rete attuale. Potrei anche provare.

Il problema non è il magic packet o la arp table, perchè da dentro la lan funziona e da fuori la lan con il router primario funzionava entro 2-3 minuti, il tempo necessario per cancellare la arp table del primario. Pensavo di poter creare una regola con etherwake tipo questa:

https://superuser.com/questions/1120013/remote-wake-on-lan-behind-2-routers

cioè mettere il router 2 in ascolto, se vede il magic packet ne invia uno a sua volta da dentro la lan, ma se non riesco nemmeno ad inviarne uno con etherwake... mi sa che qui andiamo sul complicatissimo, almeno per me. L'ultima spiaggia sarebbe chiedere su openwrt, ma l'inglese, soprattutto se tecnico, non è il mio forte.

non credo sia una cosa che dipende dal firewall, perchè anche se spento il packet non passa e l'invio con etherwake non funziona.
...
...
se attivo la Wakeonwan dalla Ansule Gui, oltre a chiedermi un ip della lan non usato (perchè?), viene inserita questo config nel file firewall:
...
...
se anche metto come src "lan" non cambia nulla. Non sono certp che il pacchetto arrivi dalla lan del primo router o sempre da wan dato che il primo router lo lascia passare.

per il secondo router in cascata lan<->lan il pacchetto arriva dalla lan, ma non e' detto che iptables riesca ad intercettarlo se punta direttamente ad un altro client sulla lan. l'ip di destinazione e' fondamentalmente superfluo, l'informazione su chi si deve svegliare e' contenuta nel magic packet e la vera destinazione e' la broadcast, d'altronde un pc completamente spento (e/o addirittura senza hd ne so) come fa ad avere un indirizzo ip?? ;)

Non ho provato il collegamento wan lan, dato che volevo usare il router per estendere la rete attuale. Potrei anche provare.

infatti voleva solo essere una prova per verificare che poi le regole con "src wan" avrebbero funzionato, volendo poi con delle route statiche cmq le due reti si parlerebbero.

...
mi sa che qui andiamo sul complicatissimo, almeno per me. L'ultima spiaggia sarebbe chiedere su openwrt, ma l'inglese, soprattutto se tecnico, non è il mio forte.

come alternative sicure rimane sempre la possibilita' di installare openvpn server sul dga, oppure esiste una cosa che si chiama >>Port knocking<< (https://openwrt.org/docs/guide-user/services/remote_control/portknock.server)per attivare script.. l'ideale (ovvieta') rimane risolvere con fastweb e mettere dga come primario.. complimenti per la perseveranza e scusami se nn riesco ad aiutarti troppo, mi ripeto, ma non potendo ricreare la tua situazione non sono in grado di guidarti passo passo per risolvere..

Ho capito qual è il problema!

https://i.ibb.co/RpmFyy4/123.jpg (https://ibb.co/C5Zc22s)

avevo più ethernet attive, dato che ho attivato la sandbox di Windows e ho VMware workstation player installato.

Ho quindi tolto HyperV e la sandbox di Windows e disabilitato le ethernet di VMware (da avviare al bisogno). Ora Funziona senza problemi, non pensavo che creassero conflitti, quindi le avevo lasciate attive, anche perchè il wake on lan funzionava.

Per il resto, la trafila per far funzionare il wake on wan è:

dopo aver fatto fatto funzionare il wake on lan, attivare WoL/WoW da ANSUEL GUI nella scheda Servizi WAN, utilizzando la porta 9 e come ip uno non usato nella lan (192.168.1.60 ad esempio)

automaticamente verrà creata una regola in etc/config/firwall per aprire le porte (credo, non so se invece l'ho creata io durante le varie prove) e un instradamento lan 192.168.1.60 con maschera 255.255.255.0, gateway 0.0.0.0 e senza sorgente.


config redirect 'WakeOnWan'
option family 'ipv4'
option dest_ip '192.168.1.60'
option dest 'lan'
option src 'wan'
option target 'DNAT'
option src_dport '9'
option proto 'udp'
option dest_port '9'

config userredirect 'userredirect1234'
option family 'ipv4'
option dest_mac 'xx:xx:xx:xx:xx:xx'
option enabled '1'
option target 'DNAT'
option src 'wan'
option dest_port '9'
list proto 'tcpudp'
option name '9'
option src_dport '9'
option dest 'lan'




e verrà inserito un valore nella arp able. Se non è così aggiungerlo con:


ip neigh add 192.168.1.60 lladdr ff:ff:ff:ff:ff:ff nud permanent dev br-lan

ip neighbor add 192.168.1.60 lladdr ff:ff:ff:ff:ff:ff nud permanent dev br-lan


non so quale dei due comandi sia corretto (neigh o neighbor), ma la differenza rispetto a quanto facevo io potrebbe essere l'uso del mac ff:ff:ff:ff:ff:ff


Se non si usa la Ansuel GUI bisogna inserire a mano le modifiche. A parte questo bisogna aprire le porte anche sul principale e nel firewall windows.

Grazie a chi mi ha aiutato, soprattutto a te Rejavi, uno dei pochi, se non l'unico, ad aver avuto la pazienza di aiutarmi sui vari forum su cui ho chiesto assistenza.


EDIT: Ho provato a modificare il titolo mettendo risolto, ma non mi è possibile, probabilmente è passato troppo tempo dall'apertura del thread.

chi la dura la vince xD

mi pareva strano.. doveva funzionare, non usando windows nn so proprio che succede con software di virtualizzazione di mezzo.. ora se non ricordo male resta solo il guest wifi da sistemare :P

In realtà ho sistemato anche quello, ma in maniera che non so se sia corretta o meno, però funziona.

https://i.ibb.co/xzwbzTj/Cattura.jpg (https://imgbb.com/)

praticamente da Ansuel GUI ho queste connessioni wireless. Non so perchè sono tutte doppie (due wifi normale, due guest, due wifi normale 5G e due guest 5G).

Di default quella che qui vedi come SSSID-72.4G era denominata GUEST, ma se mi connettevo dopo pochi secondi si disconnetteva perchè mancava la connessione internet. Se invece mi connettevo al suo "doppio", che prima era nominato SSSID-72.4G internet funzionava.

Allora ho scambiato i nomi alle due reti, e ho nascosto quella che non mi funzionava mettendo su off "trasmissione SSID", in modo che non fosse rilevabile.

È il modo giusto? non saprei ma per ora funziona, e le due reti guest dei due router si integrano come fossero una sola.

da gui proprio non so, ma in /etc/config/wireless ci sono definite un sacco di reti - compresa wow-fi - per intenderci.. troverai in primis definita la radio 2g/5g, poi la relativa interfaccia con ssid, e zona firewall di appartenenza (network) e come ultimo l'ap definito con password e altri dettagli (ho riassunto le info principali per trovarsi).

config wifi-device 'radio_5G'

config wifi-iface 'wl1'
option device 'radio_5G'
option network 'xxx'
option ssid 'xxx'

config wifi-ap 'ap0'
option iface 'wl1'
option wpa_psk_key 'xxx'

il fatto dei "doppi" dovrebbe essere relativo alle bande unificate/separate.. sicuramente la gui originale ragiona in altro modo.. ma qua sto andando per intuizione non per certezze.. io avevo fatto un gran pulizia e lasciato solo quello che mi serviva, ma se e' come dici tu hai azzeccato quella giusta.. se vuoi dare una ripulita fai backup del file prima di lavorarci ;)

Al momento sono un po' riluttante a mettere di nuovo mano al router visto che funziona senza grossi problemi.

Inoltre ieri non riuscivo a collegarmi al router tremite Putty o Winscp, ma solo tramite interfaccia. Oggi ho spento e riacceso il router e riesco di nuovo a vedere il file wireless.

Ci sono 35 voci diverse, e non saprei cosa tenere e cosa no. Per il momento preferisco non metterci mano.Probabilmente a Settembre cambierò operatore telefonico. Semmai ci penserò allora, se sarà necessario.

Ciao a tutti, ho questa configurazione router: fibra ----fritzboxrouter-----redmirouter---- PC. Attualmente ho il DHCP attivo nei due router, IP diversi e la connessione da Fritz a Redmi è lan a wan, il problema è che wake on lan sul pc non funziona con questa configurazione, wake on lan mi funziona solo quando rimuovo il dhcp dal router redmi e impostandogli un ip della stessa famiglia del router fritz
Sapete se è possibile risolvere questo problema con la connessione wan?