Condividi:

[GUIDA] Come impostare un router in cascata all’HAG Fastweb

Il posto giusto per trovare tutte le risposte sull'uso dei servizi di rete fissa FASTWEB (telefono e internet)
Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #611
gio ott 24, 2019 11:33 pm
Ciao,

ho un router SD-WAN collegato in cascata ad un Fastgate. Tale router mi fa bilanciamento fra una linea Fastweb ed una di un altro operatore per motivi di backup (lavorando da casa non posso permettermi il minimo downtime).

L'altro link WAN mi permette di far terminare sull'SD-WAN una sessione PPPoE essendo settabile in modalità bridge.
Con Fastweb non essendo questo possibile ho usato la DMZ e doppio NAT.

Però ho notato che il fastgate mi natta anche in ingresso tutto ciò che inoltra al secondo router in DMZ.
In pratica tutto quello che vedo arrivare da fuori mi arriva proveniente dall'IP LAN del fastgate.
E' un comportamento normale??
Il problema per esempio mi si pone col fatto di non poter distinguere l'origine di alcune sessioni in quanto sul secondo router sembrano tutte provenire dal fastgate.
Qualche idea?

grazie

doppiaemme
Esordiente
Esordiente
 
Messaggi: 3
Iscritto il: gio ott 24, 2019 11:25 pm

Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #612
ven ott 25, 2019 7:37 am
doppiaemme ha scritto:Ciao,

ho un router SD-WAN collegato in cascata ad un Fastgate. Tale router mi fa bilanciamento fra una linea Fastweb ed una di un altro operatore per motivi di backup (lavorando da casa non posso permettermi il minimo downtime).

L'altro link WAN mi permette di far terminare sull'SD-WAN una sessione PPPoE essendo settabile in modalità bridge.
Con Fastweb non essendo questo possibile ho usato la DMZ e doppio NAT.

Però ho notato che il fastgate mi natta anche in ingresso tutto ciò che inoltra al secondo router in DMZ.
In pratica tutto quello che vedo arrivare da fuori mi arriva proveniente dall'IP LAN del fastgate.
E' un comportamento normale??
Il problema per esempio mi si pone col fatto di non poter distinguere l'origine di alcune sessioni in quanto sul secondo router sembrano tutte provenire dal fastgate.
Qualche idea?

grazie

Questa non sarebbe la sede adeguata per parlare di una problematica del genere, ad ogni modo fammi capire.
Tu hai un apparato SD-WAN che fa da terminatore delle tue due linee dati. Poi però dato che con Fastweb hai (per ovvi motivi) il doppio NAT parli di non poter riconoscere le sessioni che arrivano in ingresso.
Quello che però io non capisco è: perché la sessione che proviene dal router di una linea dovrebbe presentarsi al router dell’altra linea? Tu dovresti avere il reindirizzamento di tutti i pacchetti di entrambi i router dietro la LAN che (presumo) si trova dietro il router SD-WAN e viceversa, un pacchetto che proviene da una linea verrebbe riceverebbe risposta sulla stessa linea, non può uscire dall’altra, questo è un principio di routing e non può essere modificato, visto che tu hai detto che con quelle due linee fai il load balancing e non un’aggregation.
Avatar utente
markolino87
Maestro
Maestro
 
Messaggi: 2561
Iscritto il: dom dic 28, 2014 6:25 pm

Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #613
ven ott 25, 2019 10:58 am
Ok,

volevo dare più informazioni sul mio caso. Se dimentichiamo quello che c'è a valle, la questione potrebbe essere messa giù più semplicemente così:

"Ho messo in cascata un router al modem Fastweb usando la funzione DMZ e doppio NAT.
Il problema che mi si presenta è che tutto quello che entra sul secondo router arriva con IP sorgente modificato, ovvero del modem fastweb come se facesse un NAT in ingresso"



invece per rispondere alla tua domanda
Quello che però io non capisco è: perché la sessione che proviene dal router di una linea dovrebbe presentarsi al router dell’altra linea? Tu dovresti avere il reindirizzamento di tutti i pacchetti di entrambi i router dietro la LAN che (presumo) si trova dietro il router SD-WAN e viceversa, un pacchetto che proviene da una linea verrebbe riceverebbe risposta sulla stessa linea, non può uscire dall’altra, questo è un principio di routing e non può essere modificato, visto che tu hai detto che con quelle due linee fai il load balancing e non un’aggregation.


non c'è interazione fra le due linee. quello che entra ed esce dal SD-WAN passa da due canali (WAN) separati e distinti.
Poi è l'SD-WAN che decide cosa fare per bilanciare o ottimizzare.
L'aggregazione, come tu hai intuito, è molto difficile a meno di non usare altre tecnologie al di sopra del semplice routing.
Quello che fa semplicemente il mio router è di gestire il traffico in uscita bilanciandolo su due link differenti con algoritmi configurabili (round-robin, least used, lowest latency ecc). E' ovvio che quello che esce da una WAN deve rientrare dalla stessa WAN.
Se fai uno speedtest e lo fai multisessione, lui manderà le sessioni distribuendole sulle WAN disponibili.
Ma ripeto il mio problema è a monte sul Fastgate. Perchè mi natta in ingresso :-)

doppiaemme
Esordiente
Esordiente
 
Messaggi: 3
Iscritto il: gio ott 24, 2019 11:25 pm

Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #614
ven ott 25, 2019 6:28 pm
doppiaemme ha scritto:Ok,

Ma ripeto il mio problema è a monte sul Fastgate. Perchè mi natta in ingresso :-)

Purtroppo questo è il problema di TUTTI gli utenti (sia Fastweb che non) che utilizzano un router proprietario in cascata a quello fornito in comodato utilizzando la DMZ.
L’unico modo che avresti per eliminare il doppio nat è una rotta statica dal Fastgate verso la LAN del tuo router, cosa che ovviamente non è permessa, per cui non puoi prescindere dal fatto che ogni pacchetto che viene indirizzato sul doppio nat abbia l’IP mascherato con la lan interna del Fastgate. O trovi il modo di instaurare la sessione pubblica direttamente dal tuo router o non c’è verso di poter modificare questa cosa.
Forse (e dico forse) con un Custom firmware tipo OpenWRT o DD-WRT puoi “costringere” il tuo router a trattare le sessioni provenienti dal Fastgate come sessioni pubbliche facendogli usare come IP di presentazione l’IP pubblico assegnato in quel momento sul Fastgate. È una cosa che per il ddns funziona (perché l’ho direttamente sperimentato) ma non so se si possa usare per tutti i tipi di pacchetto in ingresso sulla WAN Ethernet.
Dovresti fare qualche prova.
Avatar utente
markolino87
Maestro
Maestro
 
Messaggi: 2561
Iscritto il: dom dic 28, 2014 6:25 pm

Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #615
lun ott 28, 2019 6:23 pm
markolino87 ha scritto:
doppiaemme ha scritto:Ok,

Ma ripeto il mio problema è a monte sul Fastgate. Perchè mi natta in ingresso :-)

Purtroppo questo è il problema di TUTTI gli utenti (sia Fastweb che non) che utilizzano un router proprietario in cascata a quello fornito in comodato utilizzando la DMZ.
L’unico modo che avresti per eliminare il doppio nat è una rotta statica dal Fastgate verso la LAN del tuo router, cosa che ovviamente non è permessa, per cui non puoi prescindere dal fatto che ogni pacchetto che viene indirizzato sul doppio nat abbia l’IP mascherato con la lan interna del Fastgate. O trovi il modo di instaurare la sessione pubblica direttamente dal tuo router o non c’è verso di poter modificare questa cosa.
Forse (e dico forse) con un Custom firmware tipo OpenWRT o DD-WRT puoi “costringere” il tuo router a trattare le sessioni provenienti dal Fastgate come sessioni pubbliche facendogli usare come IP di presentazione l’IP pubblico assegnato in quel momento sul Fastgate. È una cosa che per il ddns funziona (perché l’ho direttamente sperimentato) ma non so se si possa usare per tutti i tipi di pacchetto in ingresso sulla WAN Ethernet.
Dovresti fare qualche prova.



Scusa ma non sono d'accordo che questo sia il comportamento standard di come fare NAT. Può essere una implementazione che Fastweb ha fatto fare a Technicolor ma non è sempre così.
Quello che accade è che il model FW quando fa NAT inbound verso la DMZ sostituisce sia l'IP di destinazione ma ANCHE l'IP sorgente dei pacchetti mettendo il suo proprio IP interno LAN come sorgente. Questo impedisce di capire chi è il vero originatore del traffico (il vero IP pubblico del mittente).
Su altri prodotti dove questa funzione viene presentata come NAT 1:1 il modem semplicemente mappa il suo IP esterno verso un IP interno, non alterando, in inbound, l'IP sorgente ma solo quello di destinazione.
Con il provider che avevo prima ti garantisco facevo doppio nat senza questo problema.
Probabilmente con un router generico al posto del Fastgate si potrebbe risolvere questo problema.

doppiaemme
Esordiente
Esordiente
 
Messaggi: 3
Iscritto il: gio ott 24, 2019 11:25 pm

Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #616
lun ott 28, 2019 10:22 pm
doppiaemme ha scritto:
markolino87 ha scritto:
doppiaemme ha scritto:Ok,

Ma ripeto il mio problema è a monte sul Fastgate. Perchè mi natta in ingresso :-)

Purtroppo questo è il problema di TUTTI gli utenti (sia Fastweb che non) che utilizzano un router proprietario in cascata a quello fornito in comodato utilizzando la DMZ.
L’unico modo che avresti per eliminare il doppio nat è una rotta statica dal Fastgate verso la LAN del tuo router, cosa che ovviamente non è permessa, per cui non puoi prescindere dal fatto che ogni pacchetto che viene indirizzato sul doppio nat abbia l’IP mascherato con la lan interna del Fastgate. O trovi il modo di instaurare la sessione pubblica direttamente dal tuo router o non c’è verso di poter modificare questa cosa.
Forse (e dico forse) con un Custom firmware tipo OpenWRT o DD-WRT puoi “costringere” il tuo router a trattare le sessioni provenienti dal Fastgate come sessioni pubbliche facendogli usare come IP di presentazione l’IP pubblico assegnato in quel momento sul Fastgate. È una cosa che per il ddns funziona (perché l’ho direttamente sperimentato) ma non so se si possa usare per tutti i tipi di pacchetto in ingresso sulla WAN Ethernet.
Dovresti fare qualche prova.



Scusa ma non sono d'accordo che questo sia il comportamento standard di come fare NAT. Può essere una implementazione che Fastweb ha fatto fare a Technicolor ma non è sempre così.
Quello che accade è che il model FW quando fa NAT inbound verso la DMZ sostituisce sia l'IP di destinazione ma ANCHE l'IP sorgente dei pacchetti mettendo il suo proprio IP interno LAN come sorgente. Questo impedisce di capire chi è il vero originatore del traffico (il vero IP pubblico del mittente).
Su altri prodotti dove questa funzione viene presentata come NAT 1:1 il modem semplicemente mappa il suo IP esterno verso un IP interno, non alterando, in inbound, l'IP sorgente ma solo quello di destinazione.
Con il provider che avevo prima ti garantisco facevo doppio nat senza questo problema.
Probabilmente con un router generico al posto del Fastgate si potrebbe risolvere questo problema.

Perché NAT e DMZ sono due cose distinte...
il problema non è il NAT dal Fastgate al tuo router, perché di fatto questo non avviene mai. Avviene, invece, SEMPRE il contrario, proprio perché non puoi usare il NAT in ingresso ma solo in uscita, quindi la provenienza delle richieste avverranno dai tuoi dispositivi verso il tuo router che inoltrerà sempre e comunque tutti i pacchetti verso il suo default gateway, che altro non è che l'IP di LAN del tuo Fastgate.
Ripeto, se tu potessi effettuare un NAT statico, o ancora meglio una rotta statica, dal Fastgate verso il tuo router, questo problema non ci sarebbe.
Per quello inizialmente ti ho detto che il problema non è dell'operatore, ma del principio in sé di dover usare un secondo router in cascata effettuando DMZ. In questa configurazione (l'unica possibile se non vuoi/puoi toglere il router a monte del provider) non ti permette di visualizzare altri che l'IP di LAN del Fastgate in ingresso.
In una configurazione in cui è possibile usare il NAT 1:1 come tu hai giustamente specificato, entriamo in uno scenario differente da questo (e credo che solo Telecom attualmente permetta una cosa del genere).
Avatar utente
markolino87
Maestro
Maestro
 
Messaggi: 2561
Iscritto il: dom dic 28, 2014 6:25 pm

Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #617
mar dic 03, 2019 7:39 pm
Ciao Tutto Chiaro ed ho eseguito esattamente le configurazioni suggerite. Il router in cascata è un TPLink VR1200v.
la connessione ai servizi internet funziona benissimo, peccato che la mia vpn con la rete aziendale TIM non funziona assolutamente.
Utilizzo un client shrew 2.2.2 di versione che funziona benissimo su tutti gli ISP tranne Fastweb.
Ho il sospetto che la MAN in base 10.x.x.x di fastweb va in conflitto con la lan TIM sempre in base 10.x.x.x, anche se non so darmi una spiegazione, e il supporto fastweb è ridicolo.
La cosa strana è che il tunnel sale ma fallisce la security association…..
Se non riesco in tempi brevi a risolvere sarò costretto a cambiare ISP.

un saluto

Clipper
Esordiente
Esordiente
 
Messaggi: 3
Iscritto il: mar dic 03, 2019 7:33 pm

Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #618
mer dic 04, 2019 8:24 am
Che tipo di VPN è, IPSec?
Usi un gateway pubblico per l’instaurazione del tunnel?
Avatar utente
markolino87
Maestro
Maestro
 
Messaggi: 2561
Iscritto il: dom dic 28, 2014 6:25 pm

Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #619
mer dic 04, 2019 11:23 am
IPSEC con shared Key e key group identifier
si utilizzo il gateway tim invpn.telecomitalia.it

Clipper
Esordiente
Esordiente
 
Messaggi: 3
Iscritto il: mar dic 03, 2019 7:33 pm

Re: [GUIDA] Come impostare un router in cascata all’HAG Fast #620
mer dic 04, 2019 7:10 pm
Ok.
Domanda: hai un IP pubblico vero?
Avatar utente
markolino87
Maestro
Maestro
 
Messaggi: 2561
Iscritto il: dom dic 28, 2014 6:25 pm

PrecedenteProssimo

Chi c’è in linea

In totale ci sono 16 utenti connessi : 2 iscritti, 14 ospiti (basato sugli utenti attivi negli ultimi 5 minuti)


Visitano il forum: Bing [Bot], Google [Bot] e 14 ospiti

ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.