[Thread ufficiale] iliad (FTTH) - Uso altri router con o senza Iliadbox

[radicale]

Quote:

Originariamente inviato da fuomag9

grazie mille per la guida! Domani provo assolutamente a smanettare

Assicurati una MTU sulla VLAN di almeno 1540

[fuomag9]

Quote:

Originariamente inviato da radicale

Assicurati una MTU sulla VLAN di almeno 1540

Grazie in anticipo a tutti per il supporto e la guida!

Ho provato veramente di tutto ma il tunnel ipipv6 non sembra saperne di voler andare. (Sì la MTU non è 1540 nella foto ma avevo provato anche a settarla a quel valore e non voleva saperne di funzionare lo stesso)

Gli ipv6 per il tunnel son giusti (li ho sia calcolati a mano che recuperati dal pcap e sono identici) e nel dubbio ho anche provato ad invertirli (sia mai che avessi sbagliato src/dest)

ipv6 non ha nessun problema a riceverlo ma ipv4 non capisco proprio come farlo funzionare, normalmente ho la iliadbox in modalità ONT quindi le regole per lo snat delle porte sono già configurate correttamente e vanno (ho provato anche a cambiare interfaccia/etc)

Ho notato che ipv4, che normalmente ottengo dal client dhcp con la iliadbox in ONT mode, se mi collego direttamente all'ONT non lo ottiene. (la guida ufficiale iliad non parla nemmeno di configurarlo quindi boh, ma magari può essere un dettaglio utile)

Ho provato a "seguire" la guida di iliad (che da quello che ricordo non è completa/giusta) ma nemmeno quella ha aiutato per ipv4. Ho ovviamente mac address della porta ethernet spoofato. DUID no ma ipv6 non si offende ad assegnarmelo

[PsychoWood]

IPv4 dall'ont non lo otterrai mai, è per quello che ti serve il tunnel ipip6, è corretto così.
Il tunnel dagli screen pare attivo, hai provato a fare qualche ping/traceroute/wget direttamente dal terminale del router? Le route che hai cosa dicono?

Tra l'altro dici di aver calcolato anche il BR, che formula hai usato?

[fuomag9]

Quote:

Originariamente inviato da PsychoWood

IPv4 dall'ont non lo otterrai mai, è per quello che ti serve il tunnel ipip6, è corretto così.
Il tunnel dagli screen pare attivo, hai provato a fare qualche ping/traceroute/wget direttamente dal terminale del router? Le route che hai cosa dicono?

Tra l'altro dici di aver calcolato anche il BR, che formula hai usato?

Lo snat sulle porte dovrebbe essere configurato correttamente (è quello che uso con la modalità ONT)

Per la forumula ho usato la tua (quella nella guida per intenderci)

Su dove ho il dubbio son le routes, in quanto vengono segnalate come invalide/errate e non riesco davvero ad uscirne fuori

Ping dava "host address unreachable" o qualcosa di simile (vado a memoria)

[radicale]

Stai usando DHCPv6? Hai clonato il MAC del iliadbox? Actual MTU del tunnel dovrebbe essere 1500 (vedo 1496 ?).

Disabilita il keepalive nella configurazione del tunnel. Inizialmente mi ha dato problemi.

[fuomag9]

Quote:

Originariamente inviato da radicale

Stai usando DHCPv6? Hai clonato il MAC del iliadbox? Actual MTU del tunnel dovrebbe essere 1500 (vedo 1496 ?).

Disabilita il keepalive nella configurazione del tunnel. Inizialmente mi ha dato problemi.

sì (serve ad altro dhcpv6 oltre per configurare ipv6? Quello a me va e navigo su ipv6 senza problemi)
sì

cambio la MTU, ce ne sono altre che possono essere errate?

[radicale]

Quote:

Originariamente inviato da fuomag9

sì (serve ad altro dhcpv6 oltre per configurare ipv6? Quello a me va e navigo su ipv6 senza problemi)
sì

cambio la MTU, ce ne sono altre che possono essere errate?

Se non fai la richiesta DHCPv6, il server non ti apre il tunnel IPv4. Oltre questo non vedo problemi.

[radicale]

Scusami, ho visto adesso:
Per la NAT dovresti usare l'interfaccia del tunnel, non la VLAN.

[fuomag9]

Quote:

Originariamente inviato da radicale

Scusami, ho visto adesso:
Per la NAT dovresti usare l'interfaccia del tunnel, non la VLAN.

grazie!

Ho provato a disabilitare il keepalive ed effettivamente quello ha "magicamente" risolto gli errori delle routes ed ho visto i pacchetti uscire.

Ho packet loss completo però (vedo uscire ma non tornarmi indietro, aka ping non funziona), magari c'è ancora qualcosa da risolvere (allego foto, nel caso faccio dump dell'intera config)

edit: mi ero dimenticato di dire che sono riuscito anche ad usare il DUID corretto (quello generato dal router usando il mac dell'interfaccia è ora uguale a quello che ho sniffato nel pcap)



(qui la cosa delle rules rosse si può ignorare, togliere il keepalive ha risolto)

[radicale]

Non vedo errori... forse ricontrolla i parametri del tunnel e le porte NAT. Io ho NN, quindi questo pezzo mi manca.

[PsychoWood]

Quote:

Originariamente inviato da fuomag9

grazie!
Ho packet loss completo però (vedo uscire ma non tornarmi indietro, aka ping non funziona), magari c'è ancora qualcosa da risolvere (allego foto, nel caso faccio dump dell'intera config)

Così su due piedi direi che il problema sono gli ip del tunnel... se vuoi condividermi il pcap ipv4 via pm (o se preferisci su telegram, stesso nick del forum) magari provo a darci un'occhiata.

Farei per scrupolo anche un tcpdump sulla WAN per vedere se magari i pacchetti arrivano ma vengono filtrati da qualche regola. Oppure se vengono tagliati per problemi di MTU.

[fuomag9]

Quote:

Originariamente inviato da radicale

Non vedo errori... forse ricontrolla i parametri del tunnel e le porte NAT. Io ho NN, quindi questo pezzo mi manca.

Niente da fare, ci ho provato in tutti i modi possibili ma sembra o perdersi i pacchetti o non funzionare (io prediligo per la prima)

Nel dubbio questa è la mia config

Codice:

/ip firewall nat
add action=masquerade chain=srcnat comment="tcp masquerade" log=yes log-prefix=aa out-interface=ipipv6-tunnel1 protocol=tcp \
    to-addresses=81.XX.YY.ZZ to-ports=1050-16383
add action=masquerade chain=srcnat comment="udp masquerade" out-interface=ipipv6-tunnel1 protocol=udp to-addresses=\
    81.XX.YY.ZZ to-ports=1050-16383
add action=masquerade chain=srcnat comment="portless masquerade (NAT)" out-interface=ipipv6-tunnel1 to-addresses=81.XX.YY.ZZ
/interface ethernet
set [ find default-name=ether8 ] l2mtu=1544 mac-address=MAC-ILIADBOX
/interface ipipv6
add clamp-tcp-mss=yes !keepalive local-address=2a01:--------:ac9:0 name=ipipv6-tunnel1 remote-address=\
    2a01:------:406
/interface vlan
add interface=ether8 mtu=1540 name=vlan-iliad vlan-id=836
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface detect-internet
set internet-interface-list=WAN lan-interface-list=LAN wan-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=ether8 list=WAN

[tododentro]

Quote:

Originariamente inviato da PsychoWood

Credo che il problema sia dovuto al limite sul numero di porte in uscita, sul mio (non fritz) si comportava nello stesso modo finché non ho inserito una regola di source nat, che mi pare non sia possibile sul fritz.
A riprova anche il fatto che qualche post fa qualcuno ha scritto che nel suo caso il problema è rientrato quando gli hanno assegnato un ipv4 full range.

Quali router di fascia di prezzo abbordabile gestiscono il source nat?

[PsychoWood]

Quote:

Originariamente inviato da tododentro

Quali router di fascia di prezzo abbordabile gestiscono il source nat?

Domanda un po' troppo generica

- ti serve ipipv6 o map-e o ipotizzi di usare la iliadbox in modalità ONT, e quindi ha solo bisogno del source nat?
- ti serve wifi o solo router puro?
- linea da 1.Gbps o da 5 Gbps?

Detto che per assurdo se avessi la 5Gbps forse avrebbe più senso andare in dual NAT e cercare qualcosa che possa aggregare le porte per sfruttare tutta la banda...

[tododentro]

Quote:

Originariamente inviato da PsychoWood

Domanda un po' troppo generica

- ti serve ipipv6 o map-e o ipotizzi di usare la iliadbox in modalità ONT, e quindi ha solo bisogno del source nat?
- ti serve wifi o solo router puro?
- linea da 1.Gbps o da 5 Gbps?

Detto che per assurdo se avessi la 5Gbps forse avrebbe più senso andare in dual NAT e cercare qualcosa che possa aggregare le porte per sfruttare tutta la banda...

Ho la 5 Gbps con un Fritz 4060 collegato sulla porta da 2.5 con DMZ sul suo IP, è in messh con un Fritz 7590 ed ovviamente il wifi è ad un livello molto superiore rispetto alla Iliadbox più extender (che ho restituito).
Su una delle due porte da 1Gbps ho collegato la XBox di mio figlio e avendo la fascia bassa di IP il NAT è alto.
Sono riuscito a configurare l'IPV6 e la fonia su Fritz e va tutto bene. Con l'IP fisso e il numero di porta riesco anche ad accedere a MyFritz da fuori casa.
La mia era solo una curiosità, volevo solo conoscere quali router permettono il source nat dal momento che il Fritz non lo permette.

[PsychoWood]

Che io sappia il source nat c'è almeno negli Ubiquiti, nei Miktotik e in quelli a base OpenWRT. Sicuramente ce ne sono anche altri.

[tododentro]

Quote:

Originariamente inviato da PsychoWood

Che io sappia il source nat c'è almeno negli Ubiquiti, nei Miktotik e in quelli a base OpenWRT. Sicuramente ce ne sono anche altri.

Grazie

[midelpo]

Quote:

Originariamente inviato da tododentro

Ho la 5 Gbps con un Fritz 4060 collegato sulla porta da 2.5 con DMZ sul suo IP, è in messh con un Fritz 7590 ed ovviamente il wifi è ad un livello molto superiore rispetto alla Iliadbox più extender (che ho restituito).
Su una delle due porte da 1Gbps ho collegato la XBox di mio figlio e avendo la fascia bassa di IP il NAT è alto.
Sono riuscito a configurare l'IPV6 e la fonia su Fritz e va tutto bene. Con l'IP fisso e il numero di porta riesco anche ad accedere a MyFritz da fuori casa.
La mia era solo una curiosità, volevo solo conoscere quali router permettono il source nat dal momento che il Fritz non lo permette.

Ciao! Riesci a spiegarmi come hai fatto ad impostare l'accesso da fuori casa al fritzbox? Tramite vpn su iliadbox?

[tododentro]

Quote:

Originariamente inviato da midelpo

Ciao! Riesci a spiegarmi come hai fatto ad impostare l'accesso da fuori casa al fritzbox? Tramite vpn su iliadbox?

E' molto semplice, metti in DMZ il Fritz e poi nella scheda "abilitazioni -> ServiziFritz!box" scegli una porta che rientra nel tuo range.
Accederai dall'esterno digitando il tuo IP fisso seguito dai due punti e dal numero porta.

[midelpo]

Quote:

Originariamente inviato da tododentro

E' molto semplice, metti in DMZ il Fritz e poi nella scheda "abilitazioni -> ServiziFritz!box" scegli una porta che rientra nel tuo range.
Accederai dall'esterno digitando il tuo IP fisso seguito dai due punti e dal numero porta.

Quindi non utilizzi servizi vpn tipo wireguard?