Port forwarding verso un router secondario (config LAN to LAN)

[ciccillover]

Il mio assetto di rete attuale comprende, fra le varie macchine, 4 router ADSL per altrettante linee separate. Tutti e 4 i router sono connessi unicamente ad uno switch a 48 porte, così come anche tutte le altre macchine della rete. Ogni router ha un indirizzo statico del tipo 10.0.0.x, dove x è il numero del router. DHCP attivo solo sul router numero 1. Sto cercando di rendere i pannelli di configurazione di tutti e 4 i router accessibili dall'esterno, passando però solo dalla linea ADSL del router 1. Ho quindi provato a fare il forwarding delle porte come segue, sul router 1:

Codice:

Ext. port | Int. port | Dest. IP
   85           80      10.0.0.2
   90           80      10.0.0.3
   95           80      10.0.0.4

Sicuramente sbaglio o tralascio qualcosa, perché qualunque cosa faccia, non riesco ad accedere dalla WAN, collegandomi all'IP (statico, pubblico) del router 1.

Cosa mi sfugge?

[Dumah Brazorf]

I router riconoscono che tu stai comunque accedendo dall'esterno.
Prova abilitando il remote management.

[ciccillover]

Remote management attivo su tutti, consentito da qualsiasi IP

Inviato dal mio C6903 utilizzando Tapatalk

[Dumah Brazorf]

Remote management sulla porta 80? Sicuro non sia un'altra?

[ciccillover]

Sicuro. Infatti accedendo dall'IP esterno di ciascun router vedo il relativo pannello, ma non i pannelli degli altri 3, nonostante il forwarding.

Inviato dal mio C6903 utilizzando Tapatalk

[Dumah Brazorf]

Che marca modello sono?
Prova a cambiare la porta per il remote management. Potrebbe andare in conflitto con fatto che usi la 80 sulla lan mentre tu cerchi di usare la 80 sulla lan come fosse wan. Una supercazzola...

[ciccillover]

Conflitto con cosa?

Inviato dal mio C6903 utilizzando Tapatalk

[Dumah Brazorf]

Loro si aspettano l'accesso remoto sulla wan mentre tu arrivi dalla lan.
Se non funziona così probabilmente l'unico modo per risolvere è collegandoti in vpn.

[ciccillover]

Ma in LAN il dispositivo è già accessibile senza il remote management, e tutto sommato se arrivo da un port forwarding sto comunque entrando dal lato LAN... O no?

[pigi2pigi]

una connessione tcp/ip è una connessione bidirezionale e le route devono essere valide da entrambe le parti, nel tuo caso (invento)

1.1.1.1 macchina in internet
12.12.12.1 indirizzo wan di router 1
12.12.12.2 indirizzo wan di router 2

1.1.1.1 internet 12.12.12.1:85 <router1 nat> 10.10.10.2:80 router 2

ora mi spieghi come fa router2 a rispondere con un pacchetto a 1.1.1.1 e usare come gateway 10.10.10.1, lui avrà una route

con default gateway la sua porta wan non certo 10.10.10.1

forse se aggiungi su router 2 una route
pc-in-internet/32 gateway 10.10.10.1 potrebbe andare

[ciccillover]

Scusami tanto, ho capito cosa vuoi dire, ma consentimi un'osservazione.
Se router 1 riceve la richiesta sulla porta 85 e la inoltra alla porta 80 dell'IP lato LAN del router 2, agli occhi di quest'ultimo la richiesta risulterà proveniente dalla LAN, non dalla WAN. Quindi il router risponderebbe all'IP da cui è arrivata la richiesta, che sta in LAN, quindi senza passare attraverso la WAN, e dunque senza bisogno di esaminare la tabella di routing. O no?

[pigi2pigi]

Quote:

Originariamente inviato da ciccillover

..agli occhi di quest'ultimo la richiesta risulterà proveniente dalla LAN, non dalla WAN

No, nel source address del pacchetto c'è l'indirizzo vero internet, se installi
wireshark e fai un ping a 8.8.8.8 e guardi il pacchetto che ti torna al pc troverai:

Internet Protocol Version 4, Src: 8.8.8.8 (8.8.8.8), Dst: 192.168.1.10 (192.168.1.10)
......
0000 00 1f d0 ad 2a a4 00 17 37 a0 1f ad 08 00 45 00 ....*... 7.....E.
0010 00 54 19 96 00 00 36 01 99 51 08 08 08 08 c0 a8 .T....6. .Q......
0020 01 0a 00 00 74 84 2b e3 00 0a 61 ec 2f 56 d6 48 ....t.+. ..a./V.H
0030 0d 00 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 ........ ........
0040 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 ........ .. !"#$%
0050 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 &'()*+,- ./012345
0060 36 37 67

08080808 (8.8.8.8) source address
c0a8010a (192.168.1.10) dest address


Sui router tipico casalingo con nat, c'è una tabella nat ma funziona a rovescio ovvero dall'esterno le risposte vanno tutte al router e lui natta (ovvero ha memorizzato in una tabella apposita) gli indirizzi interni veri, per cui

se pingo 8.8.8.8
pacchetto in invio (nella lan)
src 192.168.1.10 dest 8.8.8.8
pacchetto in invio (in internet)
src 192.168.1.1 dest 8.8.8.8 (il router rimpiazza 10 con 1 e scrive la cosa su tabella nat)

pacchetto in ritorno (in internet)
src 8.8.8.8 dest 192.168.1.1
pacchetto in ritorno (in lan)
src 8.8.8.8 dest 192.168.1.10 (il router rimpiazza 1 con 10 leggendo da tabella nat)


Nel tuo caso come già detto

da internet
src 1.1.1.1 dest 12 12.12.12.1:85 (in internet)
src 1.1.1.1 dest 10.10.10.2:80 (nella lan, la regola di forward cambia solo il destinatario)

risposta da router2
src router2(wan12.12.12.2/lan10.10.10.2) dest 1111
e router 2 usa l'interfaccia wan per via della tabella di routing


Dall'interno si accede direttamente agli indirizzi internet veri usando le regole di routing