[RISOLTO] Problema di subnet pubblica con half bridge

Usate questo forum per richieste di aiuto e consigli sull'hardware montato nelle vostre macchine con GNU/Linux Slackware.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata e la versione del Kernel. Questi dati aiutano le persone che possono rispondere.
2) Citare il tipo di hardware coinvolto in modo dettagliato.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT. Non usare termini gergali come procio, mobo e simili per identificare i componenti hardware.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
nemo
Linux 0.x
Linux 0.x
Messaggi: 31
Iscritto il: sab 11 nov 2006, 15:19
Località: Linux City

[RISOLTO] Problema di subnet pubblica con half bridge

Messaggio da nemo »

Un saluto a tutti.

Non riesco a venire a capo di un problema che da qualche giorno mi sta facendo impazzire. Spero di riuscire ad essere chiaro nell'esporlo, magari ho un po' più di fortuna qui!

Sto lavorando su una connessione ADSL con una subnet pubblica di 15 IP. Il sistema utilizzato finora in modo più che soddisfacente si compone di un banale modem USB e di un PC con funzioni di router-firewall (SO: Slackware 13.0).

Per ragioni di crescita della rete il sistema deve migrare verso l'ADSL2+ ed ho scelto di utilizzare un Digicom Combo CX da configurare in half bridging in modo da lasciare al router firewall il compito di gestire il natting della subnet pubblica e il controllo della rete.

Ho letto suggerimenti e seguito guide online (i manuali ufficiali sono scarsi e inadeguati!) e il Combo sembra finalmente configurato in half bridging seguendo lo schema presentato in http://www.hwupgrade.it/forum/showpost. ... stcount=32 . Uno script del router assegna l'IP dell'ISP alla propria scheda di rete e configura il gateway. Inoltre la funzione di natting viene svolta regolarmente, così che la rete può navigare senza problemi con il mascheramento dietro l'IP dell'ISP.

Il problema si presenta al momento di far navigare i PC nattati. La subnet pubblica non riesce ad uscire dal Combo. Ho provato diverse soluzioni, sia sul router che sul Combo, ma senza successo. Mi è venuto il sospetto che debba effettuare ancora qualche settaggio che però mi sfugge, perchè conosco poco e niente la macchina della Digicom.

Sono grato a chiunque possa darmi un suggerimento o un aiuto!
Ultima modifica di nemo il lun 20 giu 2011, 17:35, modificato 1 volta in totale.

Avatar utente
nemo
Linux 0.x
Linux 0.x
Messaggi: 31
Iscritto il: sab 11 nov 2006, 15:19
Località: Linux City

[RISOLTO] Problema di subnet pubblica con half bridge su COM

Messaggio da nemo »

Ho risolto! \:D/ Domani posto l'intera procedura.
Intanto per ora mi pare sufficiente ricordare che il bridge (half o full che sia) in pratica realizza un terminale trasparente verso il proprio ISP e perciò espone in modo pubblico la propria macchina o le proprie macchine (a seconda dell'assegnazione degli IP pubblici).
Ora vado a nanna! :lol:
Ultima modifica di nemo il lun 20 giu 2011, 11:54, modificato 1 volta in totale.

Avatar utente
nemo
Linux 0.x
Linux 0.x
Messaggi: 31
Iscritto il: sab 11 nov 2006, 15:19
Località: Linux City

[RISOLTO] Problema di subnet pubblica con half bridge su COM

Messaggio da nemo »

Ogni promessa è debito, cerco di dare una spiegazione di quanto è avvenuto.

Con qualche premessa, come per esempio: cosa vogliamo realizzare?
Lo schema della rete da configurare, semplificando al massimo, è essenzialmente il seguente.

INTERNET
|
ISP
|
COMBO
|
ROUTER-------LAN
|
-------------DMZ

Nell'intero schema il ruolo decisivo viene giocato dal router, il quale funge anche da firewall (più di 4000 righe di codice!!!!), che è una macchina con capacità ovviamente superiori alle scatolette in commercio.

Il problema è rendere il Combo trasparente alla rete (quindi in pratica solo modem), in modo che il Router possa esercitare le sue funzioni bypassando quelle del Combo.
L'ISP in questione non fornisce ADSL con il protocollo PPPoE, che consentirebbe di mettere il Combo in modalità full-bridge rendendolo ESCLUSIVAMENTE modem e di far svolgere le funzioni di autenticazione da parte del router.
Quando il protocollo utilizzato dall'ISP è PPPoA (come in questo caso) l'autenticazione deve effettuarla necessariamente il modem (Combo in questo caso) che poi provvede a restituire l'indirizzo di rete e il gateway forniti dall'ISP.
Per chi non possiede una subnet pubblica da dover ammnistrare, la procedura da seguire per la configurazione è relativamente più semplice rispetto a chi deve configurare anche la subnet pubblica.

INTERNET
|
ISP
|
COMBO
|
ROUTER-------LAN

Nel caso di una configurazione SENZA DMZ il router dovrà semplicemente nattare la LAN sull'unico IP fornito dall'ISP. Oltre OBBLIGATORIAMENTE a fornire un'indispensabile funzione di firewall, perchè la macchina è completamente in balia della rete (e di conseguenza ciascuna macchina della LAN)!
Non entro però nel dettaglio di questo caso perchè non è quello che mi interessa, per quanto alcuni elementi siano comuni.

Facciamo qualche passaggio per arrivare alla soluzione conclusiva. Non dico cose nuove, questi passaggi sono semplicemente per capire la logica della rete e delle macchine coinvolte.
Nel caso una di queste scatolette facesse tutte le cose per cui è stata progettata lo schema si ridurrebbe a quello che segue:

INTERNET
|
ISP
| IP isp
| IP combo
COMBO
| IP router
| IP lan
LAN

IP isp = gateway
IP combo = IP pubblico lato WAN fornito dall'ISP
IP router = IP della subnet privata scelto dall'utente
IP lan = IP privato di un pc qualsiasi connesso alla stessa subnet del router

IP isp e IP combo sono assegnati dall'ISP; nel caso di una rete SENZA subnet pubblica possono essere assegnati anche dinamicamente. Questo significa che ad ogni connessione possono cambiare. Dunque non è possibile assegnarli staticamente.

Diverso è il caso in cui esista una subnet pubblica: IP isp e IP combo sono statici, quindi conosciuti dall'utente e quindi non modificati dall'ISP ad ogni connessione.

Nel passaggio successivo assumiamo che esista una subnet pubblica, settiamo il Combo in modalità half-bridge e aggiungiamo un router.

INTERNET
|
ISP
| IP isp
| IP combo
COMBO
| IP combo
| IP combo
ROUTER
| IP router
| IP lan
LAN

IP combo compare tre volte: una lato ISP e due volte lato ROUTER. A seconda del tipo di router si può decidere se il router debba ricevere dinamicamente (DHCP) l'IP e il gateway o se invece (come nel mio caso) il compito di assegnazione debba essere svolto da uno script.
Il risultato finale non cambia: l'IP pubblico, quello con il quale le macchine sono visibili su internet, è assegnato ad un'interfaccia del router. Il Combo ha fatto da ponte (bridge, appunto) ed è scomparso.
Se provassimo a nattare la LAN, ci renderemmo conto che l'IP con il quale esce su internet è proprio l'IP combo.
Ma la subnet pubblica che fine ha fatto?

Sono quasi le 3 di notte, mi fermo qui, il seguito alla prossima puntata :)
Ultima modifica di nemo il lun 20 giu 2011, 11:54, modificato 1 volta in totale.

Avatar utente
nemo
Linux 0.x
Linux 0.x
Messaggi: 31
Iscritto il: sab 11 nov 2006, 15:19
Località: Linux City

[RISOLTO] Problema di subnet pubblica con half bridge su COM

Messaggio da nemo »

Dopo la pausa domenicale completo la "promessa". Nell'ultimo schemino c'è ancora qualcosa da precisare, ma per ora rispondiamo alla domanda: la subnet pubblica che fine ha fatto?

Dipende :) Cerchiamo di capire meglio: il ROUTER "vede" l'ISP attraverso ("gateway") l'IP combo e vede INTERNET attraverso IP isp. Di converso INTERNET vede COMBO attraverso IP isp e vede la LAN (per il momento ci accontentiamo così...) attraverso l'IP combo (e poi IP router).

Tecnicamente, perciò, la subnet pubblica dovrebbe essere "al di quà" di IP combo. Siccome il router espone un'interfaccia con IP combo, si potrebbe pensare che assegnando a IP router un indirizzo della subnet pubblica questi possa immediatamente uscire verso la rete.

Ma così non è. Se da quell'indirizzo si facesse un ping a un server DNS, il risultato (ripulito un po' da altre righe) sarebbe più o meno come il seguente:

10:52:38.483555 IP mio.ip.pubblico.host > ip.dns.pubblico.server: ICMP echo request, id 23409, seq 0, length 64
10:52:38.484106 IP ip.pubblico.combo.host > ip.dns.pubblico.server: 15836+ PTR? ip.dns.pubblico.server.arpa. (41)
10:52:38.514450 IP ip.pubblico.combo.host.46127 > ip.dns.pubblico.server: 46827+ PTR? mio.ip.pubblico.host.arpa. (43)

Cosa sta succedendo? Semplicemente che l'IP combo prima chiede al DNS pubblico che sto pingando il nome a cui punta il server DNS stesso, ma poi chiede anche a chi punta l'IP pubblico che sta uscendo dalla sua rete: in altri termini si è creato un disastroso routing loop che in pratica non consente la connessione con nessuna rete.
Ciò essenzialmente significa che il COMBO sta facendo il suo lavoro di modem, ma non ha del tutto smesso il suo lavoro di router e il risultato è che il ROUTER che volevo creare io in pratica non riesce a funzionare correttamente.
L'unico modo per far uscire il traffico dalla rete interna verso internet è quello di nattarlo o mascherarlo sull'IP combo. In questo modo, però, la subnet pubblica è praticamente perduta.

Ora proviamo a rivedere lo schemino del quale ho detto che c'è ancora qualcosa da precisare. In realtà il COMBO in half bridge si comporta come meglio descritto qui:

INTERNET
|
ISP
| IP isp
| IP combo
COMBO
| IP arbitrario
| IP combo
ROUTER
| IP router
| IP lan
LAN

dove IP arbitrario è quello che l'utente aveva assegnato nel momento in cui ha configurato il COMBO. Quell'IP arbitrario, presumibilmente di una subnet privata, non sarà più raggiungibile dalla rete interna una volta che IP combo (che appartiene ad una subnet pubblica) sarà assegnato anche al ROUTER.
A meno di non impostare un istradamento specifico sul router... ma questo è un altro discorso.
Per poterci avvicinare al nostro scopo occorre operare una drastica modifica all'architettura di questa rete, nella quale ora introduciamo anche la DMZ:

--------------------
| INTERNET |
--------------------
|
---------
| ISP |
---------
| IP isp
| IP combo
----------------
| COMBO |
----------------
| IP combo
| IP pubblico1
-----------------
| ROUTER |- IP router1-------IP dnz-| DMZ |
-----------------
| IP router2
| IP lan
----------
| LAN |
----------

Nello schema abbiamo attribuito in modo esplicito all'interfaccia LAN del COMBO l'IP combo, che ricordiamo è l'IP pubblico fornito dall'ISP, invece di un IP arbitrario di una subnet privata. Nel caso di specie l'IP combo è un IP statico e quindi conosciuto e non mutato ad ogni connessione: questa è una condizione necessaria per il funzionamento del sistema con la presente architettura.
All'interfaccia del ROUTER esposta verso il COMBO abbiamo attribuito IP pubblico1 che è un indirizzo della subnet pubblica in nostro possesso. Il risultato è che ora, finalmente, l'IP combo svolge correttamente la sua funzione di istradamento verso la subnet pubblica che ci interessa.
Le macchine della LAN e della DMZ che vogliamo far navigare su INTERNET dovranno essere semplicemente nattate su IP pubblico1.

Avendo una subnet con 16 (=14) IP pubblici come fare affinchè tutti attraversino il ROUTER e siano firewallati??? Tre soluzioni, di cui 2 impraticabili:
1) si aggiungono al router tante schede di rete quanti sono gli indirizzi: da scartare prima di pensarla!
2) si dispone a monte del router uno switch che provveda a ridistribuire la rete: i pc connessi allo switch devono avere un IP pubblico statico della nostra subnet pubblica, ma non sono più sotto il controllo del ROUTER e ciò che è peggio di nessun firewall. A meno di mettere su ciascuna macchina un firewall personalizzato, il che è assurdo!
3) si creano sul ROUTER tante schede di rete virtuali quanti sono gli indirizzi che ci interessano e si aggiungono al firewall le regole giuste per gestirli. Questa è la soluzione reale e praticabile, secondo la quale la rete avrà una struttura di questo tipo:

--------------------
| INTERNET |
--------------------
|
---------
| ISP |
---------
| IP isp
| IP combo
----------------
| COMBO |
----------------
| IP combo
| eth0=IP pubblico1 - eth0:0=IP pubblico2 - eth0:1=IP pubblico2 - eth0:n=IP pubblicoN
-----------------
| ROUTER |- IP router1-------IP dnz-| DMZ |
-----------------
| IP router2
| IP lan
----------
| LAN |
----------

A questo punto la soluzione è completa e attraverso le giuste regole di natting sarà possibile far navigare sia i pc della LAN che quelli della DMZ su ciascuno degli indirizzi IP della nostra subnet pubblica assegnati alle schede di rete virtuali del ROUTER.

CONCLUSIONI
Consentitemi alcune osservazioni conclusive:
1) con questa configurazione l'IP combo è praticamente un IP pubblico perduto: non è possibile nattarlo nè navigarci; espone peraltro il COMBO in modo pubblico senza alcuna protezione, se non quelle, approssimative, che si possono configurare nel menù della sicurezza;
2) il ROUTER ha un'interfaccia con BEN 14 IP PUBBLICI!!!!! Il firewall dovrà ovviamente chiudere qualsiasi accesso al ROUTER attraverso almeno 13 di loro!!!! Ma che spreco di indirizzi IPv4 ormai quasi del tutto esauriti!
3) le aziende produttrici di questi apparecchi hanno una visione delle esigenze degli utenti estremamente ridotta: non esiste più in pratica nessun apparecchio che faccia da modem puro (alla portata delle tasche dei più) e gli apparecchi della fascia medio bassa (come il COMBO) hanno funzioni piuttosto limitate se rapportate ad esigenze "normali" di una rete efficiente;
4) alcune informazioni - volutamente generiche - date nel mio contributo possono spiegare il comportamento di certe macchine che viene lamentato da qualche utente: il lag introdotto dal fatto che in half bridge COMBO continui a fare il router (e quindi a nattare il suo IP privato), oppure il rischio continuo di un routing loop che chiude del tutto l'accesso alla rete... Insomma con qualche controllino penso che su molte macchine si possano risolvere piccoli problemi;
5) scusate la lunghezza e grazie della comprensione!

Rispondi