[ImoLUG] Problema con NAT

Luca Lama angelus491@gmail.com
Mer 18 Apr 2012 09:36:59 CEST 

l'ssh e il WoL lo devo fare a un solo pc
il mio problema nell'impostare una configurazione come quella che hai 
descritto è che il modem/router non ha il binding, quindi non posso far 
assegnare gli ip dal router principale :( il forwarding è fatto bene

mi preoccupa eliminare il primo NAT (quello sul router principale) 
perchè la mia rete ha bisogno dell'incapsulazione ppoa mentre sul router 
secondario ho solo l'incapsulazione ppoe e quindi non so come mi 
reagisce il provider, nel senso di far fare tutto al secondo router, 
anche i parametri di accesso (non so se mi spiego)




On 17/04/2012 23:41, sberla54 wrote:
> Uhm, non mi e' chiarissimo neanche adesso.
>
> Allora, se  pinghi l'IP pubblico (88.xx.xx.xx) da dentro la tua LAN ti 
> risponde 192.168.0.4? Ci puo' anche stare, direi, dato che hai aperto 
> una DMZ dall'IP pubblico all'IP privato 192.168.0.4, e quindi tutto 
> cio' che e' diretto all'IP pubblico viene inoltrato al 192.168.0.4.
> Direi che e' cio' che accade anche pingando l'IP pubblico da Internet 
> (quindi fuori dalla tua LAN), solo che ovviamente 192.168.0.4 viene 
> ri-nattato in uscita e quindi ti risponde nuovamente il pubblico.
>
> A parte questo, tu vuoi accedere a 2 IP privati, in SSH, dall'esterno, 
> giusto?
> Secondo me (gli altri mi correggano se sbaglio) non te lo fa fare 
> perche' hai fatto un NAT dentro ad un NAT...ovvero un NAT di 1 livello 
> con dietro un NAT di 2 livello...
> Non so se hai fatto in modo che appartenessero alla stessa subnet (ad 
> esempio impostando come LAN 192.168.0.1 con subnet 255.255.0.0 sul 1 
> router) oppure se risultano addirittura in 2 subnet diverse (dato che 
> la lan di 1 livello e' 192.168.0.* e quella di secondo 
> 192.168.1.*)...nel primo caso (stessa subnet) forse, ma dico forse, 
> potresti raggiungere un IP 192.168.1.* dall'esterno, nel secondo caso 
> sicuramente no, perche' sono mondi a parte, DMZ o non DMZ.
>
> A te, dai primi test, funzionava?
>
> E' strano, perche' ogni router vede solo la propria LAN (quindi il 
> proprio NAT).
>
> Io ho letto al volo le mail vecchi ed anche la tua pagina sul wiki.
>
> Non capisco perche' tu abbia tenuti attivi entrambi i NAT: non hai 
> accesso al router principale (quello del provider) e quindi devi 
> lavorare per forza a livello del secondario, per quanto riguarda il 
> port forwarding?
> In caso contrario, non capisco a cosa ti serva il secondo router...era 
> molto meglio uno switch di livello 2 che non andasse a lavorare con 
> gli IP ma facesse solo da "ciabatta" di rete...
>
> Io avrei:
> a) Disattivato il NAT del tuo router secondario e lasciato solo quello 
> del router primario (cosi' tutti gli IP li da il router primario).
> b) Impostato i pc con IP fisso (o MAC Reservation, il NAT binding sul 
> router primario).
> c) Sempre sul router principale, forwardato porta 9 e 22 sul pc A ed 
> altre porte simili, tipo 10 e 23, sul pc B, perche' non puoi 
> forwardare la stessa porta su due diversi PC).
>
> Cosi', ad esempio, dando al pc A l'IP privato 192.168.0.50 e 
> forwardando porta 9 e 22 su quell'IP, collegandoti da internet sull'IP 
> pubblico specificando quella porta (ad esempio 80.10.20.30:9 o 
> 80.10.20.30:22) verresti forwardato direttamente sul pc A stesso, 
> riuscendo a svegliarlo ed a collegartici in SSH.
> Stesso discorso con porta 10 e 23, sul pc B, a patto di poter cambiare 
> le porte di ascolto del WOL e SSH.
>
> Ovviamente, dipende da quanto accesso hai sul router principale.
>
> Se non hai nessun accesso al port forwarding sul router principale 
> secondo me e' difficile far funzionare il WOL e SSH da internet a tua 
> LAN, perche' la DMZ manda tutte le richieste al secondo router, che 
> pero' non so se riesce a riforwardarle correttamente alla sua NAT.
>
> Hai quantomeno sistemato il port forwarding nel router secondario 
> vero? Da Wiki sembra di si...
>
> Io cercherei di semplificare un po' la storia con quella 
> configurazione piu' lineare che ti dicevo.
>
> Scusa, non credo di aver scritto in maniera' granche' chiara ma sono 
> un po' di fretta...dimmi cosa non ti torna :)
>
> Ciao!
>
> Il 17/04/2012 17:54, Luca Lama ha scritto:
>> ah già: 2 router
>>
>> -netgear è il modem/router con ip interno 192.168.0.1 ed esterno 
>> 88.... ecc ecc
>> -tp-link router con ip della WAN (collegato sotto al primo) 
>> 192.168.0.4 e ip della LAN 192.168.1.1 sotto cui è attaccato il mio pc
>>
>> nel netgear c'è DMZ=192.168.0.4
>>
>> a questo punto da fuori i ping non si fanno e non si accede via ssh
>> da dentro se faccio il ping all'indirizzo che mi da il provider mi 
>> risponde come ho scritto prima
>>
>> On 17/04/2012 14:48, sberla54 wrote:
>>> Scusami, non ho seguito tutto il resto del tuo progetto e non so 
>>> bene cosa vuoi fare.
>>> Mi riassumeresti brevemente?
>>>
>>> Il ping che sorgente ha? Fuori dalla LAN? Quel 192.168.0.4 cos'e'? 
>>> Riesci a postare l'output completo?
>>>
>>> In pratica il problema e' che ti risponde l'IP privato invece che 
>>> l'IP pubblico della tua linea?
>>>
>>> On 16/04/2012 21:35, Luca Lama wrote:
>>>> ok vi espongo il problema con un semplice ping
>>>>
>>>> ping ip_esterno
>>>> PING ip_esterno (192.168.0.4) 56(84) bytes of data.
>>>> 64 bytes from 192.168.0.4: icmp_req=1 ttl=64 time=0.377 ms
>>>>
>>>> la risposta mi viene dall'ip del DMZ che ho impostato, cioè non 
>>>> viene nattato eppure sul mio dg834g v3 ho abilitato il NAT.
>>>> ovviamente da fuori non mi posso connettere da ssh...come faccio?
>>>>

-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20120418/c7553c4e/attachment.htm>

Maggiori informazioni sulla lista ImoLUG