Cosa blocca l'alias del mio router? (iptables, filtri ISP)

Tutto ciò che ha a che fare con le reti

Moderatore: Federico.Lagni

Rispondi
Netsurfer
n00b
Messaggi: 6
Iscritto il: gio 27 nov , 2014 6:28 am

Ciao ragazzi,
sono nuovo, molto appassionato di reti ma per ora più che altro autodidatta :P

Avrei una domanda molto strana per i più esperti, sperando qualcuno mi chiarisca le idee :mrgreen:

Situazione:

un provider sta provando l'IPv6 tramite 6RD ed option 212.

Volendo ci si può collegare anche in manuale ma può capitare, come nel mio caso, che il router del provider, non IPv6 ready (non sono tutti uguali), blocchi la connessione.

Per risolvere il problema, sono riuscito a metterlo in bridge e quindi fare tutto dal mio Netgear R7000.

Il provider in questione, dà come ip degli indirizzi privati mentre quelli pubblici sono dati solo a chi ne fa richiesta.

Alla fine di tutta la configurazione quindi, io devo assegnare alla WAN dell'R7000 l'ip di MAN dell'ISP, poi dare un ifconfig vlan2:1 ip_pubblico per poter usare il corretto ip pubblico.

In pratica, se non assegno l'ip pubblico, funziona tutto ma esco (male, a volte con qualcosa che non funziona tipo qualche sito) tramite ip di pool.

Se invece do un

iptables -t nat -I POSTROUTING -o vlan2 -s 192.168.1.0/24 -p tcp -j SNAT --to-source ip_pubblico

dopo aver assegnato l'ip pubblico... funziona tutto a meraviglia.

Bene...

E dove sarà il probelma direte voi?

Beh sta nel fatto che dopo una mezzora il mio ip pubblico non passa più!

Viene fatto qualche controllo sulla rete non lo so... e con il giusto ip pubblico non esco più!

L'unico modo per risolvere la faccenda è collegare il router dell'ISP (ne ho due, uno originale ed uno identico modificato per i miei scopi) che ha impostato il suo NAT sullo stesso ip pubblico e subito dopo, tornare all'altro router accoppiato all'R7000.

Strano vero?

Per quanto mi riguarda ho clonato il mac address del router originale, credo di stare usando il corretto nome e dominio... ma non so proprio cos'altro fare per replicare l'altra connessione.


Per chi vuole più particolari, ecco la situazione originale:

il router dell'ISP ha su OpenRG.

Ha come ip di WAN un ip privato 10.x.x.x

Ha poi due alias sulla WAN:

1) lo stesso ip privato + 1 con la stessa subnet mask dell'ip reale (255.255.255.192) e lo stesso gateway (10.x.x.y)

2) l'ip pubblico con subnet mask 255.255.255.255 e come gateway l'alias scritto qui su

Strano ma è così.

Dopo aver configurato il secondo router come bridge LAN-WAN (questo non ha il "giusto mac address" e credo sia inutile cambiarlo no?), ho quindi collegato il mio R7000 dandogli tutti i parametri necessari ovvero

- mac address della WAN del router originale

- ip 10.x.x.x sulla WAN

- alias sulla vlan2:1

l'altro alias non credo proprio serva

Bene... con la regola in iptables funziona tutto ma solo per una mezzora... dopo qualcosa blocca l'R7000 che esce solo se eliminino la regola di postrouting (e quindi non esce più con il mio ip pubblico ma solo come ip di pool).


Spero di essere stato chiaro...


Qualcuno sa dirmi qualcosa???

Grazieeeeee :P
Netsurfer
n00b
Messaggi: 6
Iscritto il: gio 27 nov , 2014 6:28 am

grazie lo stesso ragazzi, ci sono riuscito da solo

La risposta al mio problema era aggiungere l'indirizzo di broadcast nella dichiarazione dell'alias :D

Ciao e alla prossima :mrgreen:
CiscoEVPN
Cisco power user
Messaggi: 76
Iscritto il: sab 08 nov , 2014 11:12 am

Ciao,

Strano che un Provider che voglia testare IPv6 6RD per clienti Retail non fornisca un Router IPv6 compatibile

Di router Entry level compatibili ce ne sono diversi: Lynksys, TP-Link, ASUS, D-Link , ASUS oltre a Cisco

Ma che Router ti hanno fornito? per curiosità... :shock:
Netsurfer
n00b
Messaggi: 6
Iscritto il: gio 27 nov , 2014 6:28 am

Ciao : )
Beh ovviamente li fornisce xD
Il discorso è che nel corso degli anni si è partiti da dispositivi non compatibili che nemmeno erano router, si è passati da router non ipv6 ready (come nel mio caso) e si è arrivati certo, a router ipv6 ready dati ai clienti degli ultimi anni :)
Il modello in questione è un ottimo Selex Elsag (Finmeccanica)
Netsurfer
n00b
Messaggi: 6
Iscritto il: gio 27 nov , 2014 6:28 am

Adesso avrei una domanda sempre su questo discorso che riguarda iptables...
pensi possa scriverla qui? :)
Netsurfer
n00b
Messaggi: 6
Iscritto il: gio 27 nov , 2014 6:28 am

Vabbè non credo abbia bisogno di aprire un'altra discussione apposta e poi nel titolo avevo anche scritto iptables :)

Allora il mio problema è questo:

come ho scritto prima, la WAN dell'R7000 ha l'indirizzo privato 10.x.x.x

L'ip pubblico invece è dato in questo modo

vlan2:1 ip_pubblico netmask 255.255.255.255 broadcast ip_pubblico

Ora, se in iptables oltre alla regola di postrouting che fa uscire tutto come ip_pubblico apro delle porte a mano, funziona tutto e non ho problemi.

La mia domanda però è:

come faccio a fare in modo che le porte aperte via UPnP si riferiscano all'ip pubblico?

Cioè... se per esempio uso un software di P2P che ne so, in automatico vengono aperte delle porte che però si riferiscono all'ip 10.x.x.x ed ovviamente la storia non funziona!

Se le porte le apro a mano in iptables non ci sono problemi... però volevo evitarlo ed usare sia UPnP che la GUI normale per le porte manuali!

Cioè dico:

esiste il modo di dire ad iptables che tutto ciò che arriva su ip_pubblico deve essere mandato su 10.x.x.x in modo che poi sia le porte manuali tramite GUI che le porte aperte in automatico tramite UPnP funzionino come dovrebbero?

Qualcosa l'ho letta in rete ma il discorso è che da principiante di Linux ed iptables ho come l'impressione che su una cosa così "potente" dovrebbe essere veramente una cavolata fare la cosa che voglio fare io... mentre le cose che ho letto sono macchinose e forse inutili.

Dovrebbe bastare una sola regola no?

Al massimo FORSE serve quella per far parlare vlan2:1 con vlan2... forse... mi sembra che una veda l'altra e non il contrario...

Vabbè se avete suggerimenti sono ben accetti :mrgreen:

Non l'avevo scritto ma sull'R7000 sto usando DD-WRT :P
Rispondi