Accedere all’interfaccia web di due router adsl collegati in cascata

[afasviludra]

Ciao a tutti. Sono settimane che cerco di risolvere questo problema, ho cercato ovunque, ma non riesco proprio a vedere la luce. Vi spiego il mio problema…

Ho 2 router ADSL collegati in cascata tra loro: il primo è un Alice Gate 2 wi-fi collegato alla linea adsl, il secondo è un Netgear DG834G collegato via ethernet al primo router (la porta adsl del Netgear è inutilizzata); i due router hanno la stessa classe di IP 192.168.1.X e all’interno della lan si vedono e riesco ad accedere all’interfaccia di configurazione web di entrambi. Allego lo schema della mia rete.

Io ho la necessità di accedere DA REMOTO all’interfaccia di configurazione web del SECONDO ROUTER (il Netgear dove è installato un servizio di wake on lan): ho aperto la porta 80 dall’Alice Gate verso il Netgear, configurato la nat, il firewall, ecc, ma niente da fare, non riesco ad accedere! All’Alice Gate invece riesco ad accedere da remoto senza problemi.
So che sulla porta 80 c’è in ascolto l’Alice Gate e non il Netgear, quindi ho configurato la nat in modo che l’Alice Gate sia in ascolto sulla porta esterna 56936 e che poi reindirizzi il traffico verso la porta interna 80 dell'IP del Netgear, ma niente, il messaggio che mi compare è sempre lo stesso “Impossibile visualizzare la pagina"

Avevo pensato di settare l'Alice Gate come bridge mode, ma il Netgear non prevede la connessione PPPoE proveniente da una sua porta ethernet perché è un router e non un access point. Non posso neanche eliminare l'Alice Gate perchè mi fornisce dei servizi di IPTV e VOIP.

Qualcuno sa darmi qualche indicazione in merito su come uscirne?

Grazie infinite
Raniero

[Il Bruco]

ho aperto la porta 80 dall’Alice Gate verso il Netgear

Il Netgear con DHCP disabilitato, lo stai usando come un AP/Switch, non potrai usufruire dei suoi servizi come Router.

Le chiamate della porta 80 sull'ALice le devi indirizzare verso l'IP che deve usufruire del servizio.

[afasviludra]

Quote:

Originariamente inviato da Il Bruco

Il Netgear con DHCP disabilitato, lo stai usando come un AP/Switch, non potrai usufruire dei suoi servizi come Router.

Ho avuto anch'io questo dubbio. Ma perché allora dalla LAN riesco ad accedervi e da remoto no? Alla fine si tratta sempre di un webservice in attesa su una determinata porta di un determinato IP. Una volta configurato il "Port Forwarding" dell'Alice Gate non dovrebbe cambiare nulla.. O mi sfugge qualcosa?

Quote:

Originariamente inviato da Il Bruco

Le chiamate della porta 80 sull'ALice le devi indirizzare verso l'IP che deve usufruire del servizio.

Non sono d'accordo. A mio avviso le chiamate devo indirizzarle verso l'IP che fornisce il servizio, non verso l'IP che ne usufruisce! Tant'è che ho anche un NAS che fa da server FTP pubblico e in quel caso apro la porta 21 verso l'IP del NAS. O anche in questo caso mi manca un passaggio?

Scusami, ma proprio non riesco a focalizzare dov'è il problema. Se mi spieghi meglio mi faresti un grosso favore.

Grazie 1000!!

[nuovoUtente86]

La questione è alquanto semplice: tutti i router adsl sono dispositivi hub-spoken ovvero hanno le 2 seguenti route

192.168.X.0 /24 interfaccia_lan
0.0.0.0 /0 interfaccia_wan.

Da questo si evince che il secondo router non è raggiungibile da remoto con la tua configurazione.

[Harry_Callahan]

e se provasse a cambiare la porta di ascolto del 2° router?

es. da 80 a 8080 e poi fa il forwarding(porta 8080 aperta sul firewall del 1° router e poi forwardata verso l'IP del 2° router)

da remoto: http://wanip:8080

[nuovoUtente86]

Non funziona perchè il secondo router non ha la logica per rispondere alle richieste.Mi spiego meglio. La richiesta da remoto fa questa strade
host->wan_router1->lan_router1->lan_router2
Il processamento viene eseguito correttamente, ma quandi il router 2 deve inviare la risposta sa solo spararla verso la propria wan interface, che è down quindi il pacchetto viene droppato con buona pace di tutti.
Esiste una soluzione: tecnicamente si, ma nel contesto specifico sarebbe antieconomica. Se qualcuno vuole fare esercizio nel trovarla posso astenermi dal dirla, altrimenti posso anche pubblicarla ma ripeto non è economicamente vantaggiosa.

[afasviludra]

@nuovoUtente86
Mi sa che sei stato un po' troppo accademico per le mie conoscenze.
Riepiloghiamo un attimo.. La wan del 2° router non ci interessa perché è fisicamente scollegata, mentre la lan ha la stessa classe di IP dell'Alice Gate. Quindi perché se io collego fisicamente un pc al 1° router riesco ad accedere al 2°, ma da remoto no?? Non dovrebbe essere la stessa?

@Harry_Callahan
Ho già provato ma niente da fare: il router è in ascolto sulla porta 80 (non modificabile) se accedi dalla lan e, sulla 8080 se accedi dalla wan (che in questo caso è scollegata perché i due router sono connessi tra loro tramite le porte ethernet)

[nuovoUtente86]

Provo a spiegartelo in maniera comprensibile. Quando tu accedi dall' interno è necessario semplicemente conoscere l' indirizzo mac del router, e di questo si occupa un protocollo chiamato arp. Quando tu accedi dall' esterno non puoi più comunicare a livello fisico ma devi utilizzare il protocollo ip. Purtroppo i router adsl non sono in grado di uscire dalla proprio rete attraverso l' interfaccia lan (per capirci lo switch 4 porte). Quindi cosa avviene, i pacchetti dall' esterno arrivano normalmente, ma le risposte non partono affatto.

[afasviludra]

Ok, ora mi è chiaro! Grazie 1000
E se al posto del 2° router mettessi un access point con supporto al wake on lan, risolverei il problema?
In poche parole ho bisogno di accendere un pc da remoto, ma siccome l'Alice Gate non supporta l'invio di pacchetti broadcast da remoto, devo per forza inventarmi qualche altro sistema.

[Harry_Callahan]

Ciao nuovoUtente86,

solo un chiarimento, io da remoto sono riuscito ad accedere ad un Access Point Puro

ho cambiato la porta di ascolto dell'AP da 80 a 8080, sul 440 Atlantis(router ADSL) ho aperto la 8080 sul firewall, poi ho fatto il forwarding verso l'IP dell'AP

poi da remoto http://wanip:8080 e sono entrato nell'AP

cosa cambia tra il webserver di un AP rispetto a quello di un router?

Virtual Server Table
Application Time Schedule Protocol External Port Redirect Port IP Address
rmhttp Always On tcp 8080 - 8080 8080 - 8080 192.168.1.254


nel passaggio lan_router1->lan_router2 perchè dici che sa spararla solo verso la WAN del 2° router? con il forwarding non dovrebbe rispondere verso la LAN1 come se fosse un PC fisicamente collegato in locale?

[pegasolabs]

Mi accodo ad Harry. La web interface del secondo router è semplicemente un web server in ascolto sulla LAN, su una porta modificabile a piacere.

[nuovoUtente86]

Quote:

Ciao nuovoUtente86,

solo un chiarimento, io da remoto sono riuscito ad accedere ad un Access Point Puro

ho cambiato la porta di ascolto dell'AP da 80 a 8080, sul 440 Atlantis(router ADSL) ho aperto la 8080 sul firewall, poi ho fatto il forwarding verso l'IP dell'AP

poi da remoto http://wanip:8080 e sono entrato nell'AP

cosa cambia tra il webserver di un AP rispetto a quello di un router?

Virtual Server Table
Application Time Schedule Protocol External Port Redirect Port IP Address
rmhttp Always On tcp 8080 - 8080 8080 - 8080 192.168.1.254

Perchè l' AP è, in piccolo, uno switch managed ed in quanto tale prevede la gestione da remoto (ovvero prevede un gateway). Anche i router adsl/broadband prevedono la gestione da remoto, ma esclusivamente attraverso la porta wan.

Quote:

nel passaggio lan_router1->lan_router2 perchè dici che sa spararla solo verso la WAN del 2° router? con il forwarding non dovrebbe rispondere verso la LAN1 come se fosse un PC fisicamente collegato in locale?

No, puo solo sparare i pacchetti verso la WAN_interface, ma questo non è un dogma è il protocollo IP. Vediamo perchè:
Innanzitutto le entità coinvolte:

host remoto: ip pubblico
wan 1° router:ip pubblico
lan 1° router: 192.168.1.1
wan 2° router:down
lan 2° router:192.168.1.2

Ancora ricordo la route table standard di ogni router adsl

Codice:

192.168.1.0 /24 interfaccia_lan
0.0.0.0 /0 interfaccia_wan.

Ora vediamo il pacchetto ip che giunge al secondo router
ip sorgente: wan host (che sappiamo essere pubblico)
ip destinazione (192.168.1.2)

Il forwarding si è occupato di riscrivere l' ip destinazione ed eventualmente le porte, ma non ha effetto sull' ip sorgente, altrimenti ci sarebbe perdita di informazione.

Ora in fase di risposta gli ip risultano invertiti: basta fare l' anding con la tabella per capire dove va a finire la risposta

[pegasolabs]

Quote:

Originariamente inviato da nuovoUtente86

Perchè l' AP è, in piccolo, uno switch managed ed in quanto tale prevede la gestione da remoto (ovvero prevede un gateway). Anche i router adsl/broadband prevedono la gestione da remoto, ma esclusivamente attraverso la porta wan.

Nuovoutente perdonami ma continuo a non capire. L'interfaccia di management del router in LAN è un semplice webserver in ascolto sulla 80. Come tale è raggiungibile previo semplice portforwarding

[nuovoUtente86]

Quote:

Originariamente inviato da pegasolabs

Nuovoutente perdonami ma continuo a non capire. L'interfaccia di management del router in LAN è un semplice webserver in ascolto sulla 80. Come tale è raggiungibile previo semplice portforwarding

Ho editao la risposta per illustrare meglio il problema, che non è di livello trasporto ma di ip puro. Le richieste remote arrivano, ma il secondo router non ha un path per rispondere in quanto l' unica via verso la internet che lui conosce è la sua porta wan.

[Harry_Callahan]

Quote:

Originariamente inviato da nuovoUtente86

Perchè l' AP è, in piccolo, uno switch managed ed in quanto tale prevede la gestione da remoto (ovvero prevede un gateway).

quindi se avessi tolto il gateway sull'AP, cioè avessi lasciato solo IP\subnet non sarebbe stato possibile gestirlo da remoto, corretto?

[nuovoUtente86]

Quote:

Originariamente inviato da Harry_Callahan

quindi se avessi tolto il gateway sull'AP, cioè avessi lasciato solo IP\subnet non sarebbe stato possibile gestirlo da remoto, corretto?

esatto.IL gateway è la macchina prossimale che sa uscire dalla rete. Più formalmente, a livello ip, un AP è host-equivalente mentre un router SOHO è host-equivalente solo sulla interfaccia wan.

[Harry_Callahan]

Quote:

Originariamente inviato da nuovoUtente86

esatto.IL gateway è la macchina prossimale che sa uscire dalla rete. Più formalmente, a livello ip, un AP è host-equivalente mentre un router SOHO è host-equivalente solo sulla interfaccia wan.

tutto chiaro! bravo! la tabella di routing nessuno l'ha messo in considerazione

però volendo modificarla quella del secondo router?

visto che il problema è in risposta, la 0.0.0.0/wan interface si può modificare e mandarla verso il gateway dell'altro router (spero di non aver detto una cavolata )

[nuovoUtente86]

Quote:

Originariamente inviato da Harry_Callahan

tutto chiaro! bravo! la tabella di routing nessuno l'ha messo in considerazione

questo è il mio pane quotidiano.

Quote:

però volendo modificarla quella del secondo router?

visto che il problema è in risposta, la 0.0.0.0/wan interface si può modificare e mandarla verso il gateway dell'altro router (spero di non aver detto una cavolata )

quasi nessun firmware consente di fare tale modifica, proprio per il paradigma hub-spoke di cui parlavo all' inizio. La soluzione esiste ma è un attimino sofisticata, vuoi provare a ragionarci?

[Harry_Callahan]

Quote:

Originariamente inviato da nuovoUtente86

La soluzione esiste ma è un attimino sofisticata, vuoi provare a ragionarci?

ci provo, ma conoscendo i miei limiti la vedo difficile

se non riesco(molto probabile) ti chiedo la soluzione

[nuovoUtente86]

Quote:

Originariamente inviato da Harry_Callahan

ci provo, ma conoscendo i miei limiti la vedo difficile

se non riesco(molto probabile) ti chiedo la soluzione

Quale è il problema lo abbiamo snocciolato (mancanza di gateway), serve qualcosa che lo aggiri.