Hardware Upgrade Forum - View Single Post - [Thread Ufficiale] Digicom Combo CX - MODEM ADSL2+

Slacky62 · 20-06-2011, 11:06

Grazie Kicco_lsd! Spero davvero possa essere di aiuto questo mio contributo.

Dopo la pausa domenicale completo la "promessa". Nell'ultimo schemino c'è ancora qualcosa da precisare, ma per ora rispondiamo alla domanda: la subnet pubblica che fine ha fatto?

Dipende

Cerchiamo di capire meglio: il ROUTER "vede" l'ISP attraverso ("gateway") l'IP combo e vede INTERNET attraverso IP isp. Di converso INTERNET vede COMBO attraverso IP isp e vede la LAN (per il momento ci accontentiamo così...) attraverso l'IP combo (e poi IP router).

Tecnicamente, perciò, la subnet pubblica dovrebbe essere "al di quà" di IP combo. Siccome il router espone un'interfaccia con IP combo, si potrebbe pensare che assegnando a IP router un indirizzo della subnet pubblica questi possa immediatamente uscire verso la rete.

Ma così non è. Se da quell'indirizzo si facesse un ping a un server DNS, il risultato (ripulito un po' da altre righe) sarebbe più o meno come il seguente:

10:52:38.483555 IP mio.ip.pubblico.host > ip.dns.pubblico.server: ICMP echo request, id 23409, seq 0, length 64
10:52:38.484106 IP ip.pubblico.combo.host > ip.dns.pubblico.server: 15836+ PTR? ip.dns.pubblico.server.arpa. (41)
10:52:38.514450 IP ip.pubblico.combo.host.46127 > ip.dns.pubblico.server: 46827+ PTR? mio.ip.pubblico.host.arpa. (43)

Cosa sta succedendo? Semplicemente che l'IP combo prima chiede al DNS pubblico che sto pingando il nome a cui punta il server DNS stesso, ma poi chiede anche a chi punta l'IP pubblico che sta uscendo dalla sua rete: in altri termini si è creato un disastroso routing loop che in pratica non consente la connessione con nessuna rete.
Ciò essenzialmente significa che il COMBO sta facendo il suo lavoro di modem, ma non ha del tutto smesso il suo lavoro di router e il risultato è che il ROUTER che volevo creare io in pratica non riesce a funzionare correttamente.
L'unico modo per far uscire il traffico dalla rete interna verso internet è quello di nattarlo o mascherarlo sull'IP combo. In questo modo, però, la subnet pubblica è praticamente perduta.

Ora proviamo a rivedere lo schemino del quale ho detto che c'è ancora qualcosa da precisare. In realtà il COMBO in half bridge si comporta come meglio descritto qui:

INTERNET
|
ISP
| IP isp
| IP combo
COMBO
| IP arbitrario
| IP combo
ROUTER
| IP router
| IP lan
LAN

dove IP arbitrario è quello che l'utente aveva assegnato nel momento in cui ha configurato il COMBO. Quell'IP arbitrario, presumibilmente di una subnet privata, non sarà più raggiungibile dalla rete interna una volta che IP combo (che appartiene ad una subnet pubblica) sarà assegnato anche al ROUTER.
A meno di non impostare un istradamento specifico sul router... ma questo è un altro discorso.
Per poterci avvicinare al nostro scopo occorre operare una drastica modifica all'architettura di questa rete, nella quale ora introduciamo anche la DMZ:

------------
| INTERNET |
------------
|
-------
| ISP |
-------
| IP isp
| IP combo
---------
| COMBO |
---------
| IP combo
| IP pubblico1
----------
| ROUTER |- IP router1-------IP dnz-| DMZ |
----------
| IP router2
| IP lan
-------
| LAN |
-------

Nello schema abbiamo attribuito in modo esplicito all'interfaccia LAN del COMBO l'IP combo, che ricordiamo è l'IP pubblico fornito dall'ISP, invece di un IP arbitrario di una subnet privata. Nel caso di specie l'IP combo è un IP statico e quindi conosciuto e non mutato ad ogni connessione: questa è una condizione necessaria per il funzionamento del sistema con la presente architettura.
All'interfaccia del ROUTER esposta verso il COMBO abbiamo attribuito IP pubblico1 che è un indirizzo della subnet pubblica in nostro possesso. Il risultato è che ora, finalmente, l'IP combo svolge correttamente la sua funzione di istradamento verso la subnet pubblica che ci interessa.
Le macchine della LAN e della DMZ che vogliamo far navigare su INTERNET dovranno essere semplicemente nattate su IP pubblico1.

Avendo una subnet con 16 (=14) IP pubblici come fare affinchè tutti attraversino il ROUTER e siano firewallati??? Tre soluzioni, di cui 2 impraticabili:
1) si aggiungono al router tante schede di rete quanti sono gli indirizzi: da scartare prima di pensarla!
2) si dispone a monte del router uno switch che provveda a ridistribuire la rete: i pc connessi allo switch devono avere un IP pubblico statico della nostra subnet pubblica, ma non sono più sotto il controllo del ROUTER e ciò che è peggio di nessun firewall. A meno di mettere su ciascuna macchina un firewall personalizzato, il che è assurdo!
3) si creano sul ROUTER tante schede di rete virtuali quanti sono gli indirizzi che ci interessano e si aggiungono al firewall le regole giuste per gestirli. Questa è la soluzione reale e praticabile, secondo la quale la rete avrà una struttura di questo tipo:

------------
| INTERNET |
------------
|
-------
| ISP |
-------
| IP isp
| IP combo
---------
| COMBO |
---------
| IP combo
| eth0=IP pubblico1 - eth0:0=IP pubblico2 - eth0:1=IP pubblico2 - eth0:n=IP pubblicoN
----------
| ROUTER |- IP router1-------IP dnz-| DMZ |
----------
| IP router2
| IP lan
-------
| LAN |
-------

A questo punto la soluzione è completa e attraverso le giuste regole di natting sarà possibile far navigare sia i pc della LAN che quelli della DMZ su ciascuno degli indirizzi IP della nostra subnet pubblica assegnati alle schede di rete virtuali del ROUTER.

CONCLUSIONI
Consentitemi alcune osservazioni conclusive:
1) con questa configurazione l'IP combo è praticamente un IP pubblico perduto: non è possibile nattarlo nè navigarci; espone peraltro il COMBO in modo pubblico senza alcuna protezione, se non quelle, approssimative, che si possono configurare nel menù della sicurezza;
2) il ROUTER ha un'interfaccia con BEN 14 IP PUBBLICI!!!!! Il firewall dovrà ovviamente chiudere qualsiasi accesso al ROUTER attraverso almeno 13 di loro!!!! Ma che spreco di indirizzi IPv4 ormai quasi del tutto esauriti!
3) le aziende produttrici di questi apparecchi hanno una visione delle esigenze degli utenti estremamente ridotta: non esiste più in pratica nessun apparecchio che faccia da modem puro (alla portata delle tasche dei più) e gli apparecchi della fascia medio bassa (come il COMBO) hanno funzioni piuttosto limitate se rapportate ad esigenze "normali" di una rete efficiente;
4) alcune informazioni - volutamente generiche - date nel mio contributo possono spiegare il comportamento di certe macchine che viene lamentato da qualche utente: il lag introdotto dal fatto che in half bridge COMBO continui a fare il router (e quindi a nattare il suo IP privato), oppure il rischio continuo di un routing loop che chiude del tutto l'accesso alla rete... Insomma con qualche controllino penso che su molte macchine si possano risolvere piccoli problemi;
5) scusate la lunghezza e grazie della comprensione!

20-06-2011, 11:06	#66
Slacky62 Junior Member Iscritto dal: Jun 2011 Messaggi: 9	[RISOLTO] Problemi di subnet pubblica con half bridge su DIGICOM COMBO Grazie Kicco_lsd! Spero davvero possa essere di aiuto questo mio contributo. Dopo la pausa domenicale completo la "promessa". Nell'ultimo schemino c'è ancora qualcosa da precisare, ma per ora rispondiamo alla domanda: la subnet pubblica che fine ha fatto? Dipende Cerchiamo di capire meglio: il ROUTER "vede" l'ISP attraverso ("gateway") l'IP combo e vede INTERNET attraverso IP isp. Di converso INTERNET vede COMBO attraverso IP isp e vede la LAN (per il momento ci accontentiamo così...) attraverso l'IP combo (e poi IP router). Tecnicamente, perciò, la subnet pubblica dovrebbe essere "al di quà" di IP combo. Siccome il router espone un'interfaccia con IP combo, si potrebbe pensare che assegnando a IP router un indirizzo della subnet pubblica questi possa immediatamente uscire verso la rete. Ma così non è. Se da quell'indirizzo si facesse un ping a un server DNS, il risultato (ripulito un po' da altre righe) sarebbe più o meno come il seguente: 10:52:38.483555 IP mio.ip.pubblico.host > ip.dns.pubblico.server: ICMP echo request, id 23409, seq 0, length 64 10:52:38.484106 IP ip.pubblico.combo.host > ip.dns.pubblico.server: 15836+ PTR? ip.dns.pubblico.server.arpa. (41) 10:52:38.514450 IP ip.pubblico.combo.host.46127 > ip.dns.pubblico.server: 46827+ PTR? mio.ip.pubblico.host.arpa. (43) Cosa sta succedendo? Semplicemente che l'IP combo prima chiede al DNS pubblico che sto pingando il nome a cui punta il server DNS stesso, ma poi chiede anche a chi punta l'IP pubblico che sta uscendo dalla sua rete: in altri termini si è creato un disastroso routing loop che in pratica non consente la connessione con nessuna rete. Ciò essenzialmente significa che il COMBO sta facendo il suo lavoro di modem, ma non ha del tutto smesso il suo lavoro di router e il risultato è che il ROUTER che volevo creare io in pratica non riesce a funzionare correttamente. L'unico modo per far uscire il traffico dalla rete interna verso internet è quello di nattarlo o mascherarlo sull'IP combo. In questo modo, però, la subnet pubblica è praticamente perduta. Ora proviamo a rivedere lo schemino del quale ho detto che c'è ancora qualcosa da precisare. In realtà il COMBO in half bridge si comporta come meglio descritto qui: INTERNET \| ISP \| IP isp \| IP combo COMBO \| IP arbitrario \| IP combo ROUTER \| IP router \| IP lan LAN dove IP arbitrario è quello che l'utente aveva assegnato nel momento in cui ha configurato il COMBO. Quell'IP arbitrario, presumibilmente di una subnet privata, non sarà più raggiungibile dalla rete interna una volta che IP combo (che appartiene ad una subnet pubblica) sarà assegnato anche al ROUTER. A meno di non impostare un istradamento specifico sul router... ma questo è un altro discorso. Per poterci avvicinare al nostro scopo occorre operare una drastica modifica all'architettura di questa rete, nella quale ora introduciamo anche la DMZ: ------------ \| INTERNET \| ------------ \| ------- \| ISP \| ------- \| IP isp \| IP combo --------- \| COMBO \| --------- \| IP combo \| IP pubblico1 ---------- \| ROUTER \|- IP router1-------IP dnz-\| DMZ \| ---------- \| IP router2 \| IP lan ------- \| LAN \| ------- Nello schema abbiamo attribuito in modo esplicito all'interfaccia LAN del COMBO l'IP combo, che ricordiamo è l'IP pubblico fornito dall'ISP, invece di un IP arbitrario di una subnet privata. Nel caso di specie l'IP combo è un IP statico e quindi conosciuto e non mutato ad ogni connessione: questa è una condizione necessaria per il funzionamento del sistema con la presente architettura. All'interfaccia del ROUTER esposta verso il COMBO abbiamo attribuito IP pubblico1 che è un indirizzo della subnet pubblica in nostro possesso. Il risultato è che ora, finalmente, l'IP combo svolge correttamente la sua funzione di istradamento verso la subnet pubblica che ci interessa. Le macchine della LAN e della DMZ che vogliamo far navigare su INTERNET dovranno essere semplicemente nattate su IP pubblico1. Avendo una subnet con 16 (=14) IP pubblici come fare affinchè tutti attraversino il ROUTER e siano firewallati??? Tre soluzioni, di cui 2 impraticabili: 1) si aggiungono al router tante schede di rete quanti sono gli indirizzi: da scartare prima di pensarla! 2) si dispone a monte del router uno switch che provveda a ridistribuire la rete: i pc connessi allo switch devono avere un IP pubblico statico della nostra subnet pubblica, ma non sono più sotto il controllo del ROUTER e ciò che è peggio di nessun firewall. A meno di mettere su ciascuna macchina un firewall personalizzato, il che è assurdo! 3) si creano sul ROUTER tante schede di rete virtuali quanti sono gli indirizzi che ci interessano e si aggiungono al firewall le regole giuste per gestirli. Questa è la soluzione reale e praticabile, secondo la quale la rete avrà una struttura di questo tipo: ------------ \| INTERNET \| ------------ \| ------- \| ISP \| ------- \| IP isp \| IP combo --------- \| COMBO \| --------- \| IP combo \| eth0=IP pubblico1 - eth0:0=IP pubblico2 - eth0:1=IP pubblico2 - eth0:n=IP pubblicoN ---------- \| ROUTER \|- IP router1-------IP dnz-\| DMZ \| ---------- \| IP router2 \| IP lan ------- \| LAN \| ------- A questo punto la soluzione è completa e attraverso le giuste regole di natting sarà possibile far navigare sia i pc della LAN che quelli della DMZ su ciascuno degli indirizzi IP della nostra subnet pubblica assegnati alle schede di rete virtuali del ROUTER. CONCLUSIONI Consentitemi alcune osservazioni conclusive: 1) con questa configurazione l'IP combo è praticamente un IP pubblico perduto: non è possibile nattarlo nè navigarci; espone peraltro il COMBO in modo pubblico senza alcuna protezione, se non quelle, approssimative, che si possono configurare nel menù della sicurezza; 2) il ROUTER ha un'interfaccia con BEN 14 IP PUBBLICI!!!!! Il firewall dovrà ovviamente chiudere qualsiasi accesso al ROUTER attraverso almeno 13 di loro!!!! Ma che spreco di indirizzi IPv4 ormai quasi del tutto esauriti! 3) le aziende produttrici di questi apparecchi hanno una visione delle esigenze degli utenti estremamente ridotta: non esiste più in pratica nessun apparecchio che faccia da modem puro (alla portata delle tasche dei più) e gli apparecchi della fascia medio bassa (come il COMBO) hanno funzioni piuttosto limitate se rapportate ad esigenze "normali" di una rete efficiente; 4) alcune informazioni - volutamente generiche - date nel mio contributo possono spiegare il comportamento di certe macchine che viene lamentato da qualche utente: il lag introdotto dal fatto che in half bridge COMBO continui a fare il router (e quindi a nattare il suo IP privato), oppure il rischio continuo di un routing loop che chiude del tutto l'accesso alla rete... Insomma con qualche controllino penso che su molte macchine si possano risolvere piccoli problemi; 5) scusate la lunghezza e grazie della comprensione! Ultima modifica di Slacky62 : 20-06-2011 alle 11:31.