[Thread ufficiale] iliad (FTTH) - Uso altri router con o senza Iliadbox

[acp]

Quote:

Originariamente inviato da DMJ

Avevo pensato ad una regola sul firewall, ma non è configurabile, come anche per il NAT non c'è nessuna configurazione.
Forse devo prendere un router diverso.

Come assegni l'indirizzo IP dell'interfaccia esterna del secondo router? Via DHCP o manualmente?

Se è possibile configurarlo a mano, potresti assegnargli l'indirizzo 192.168.1.253 con rete /30. Così configurato, per il secondo router qualunque altro IP nella rete della IB non è direttamente connesso e lo dovrebbe buttare sul default gateway, che è la IB. A quel punto chi sa che fa la IB che, per quel che sa, non avrebbe dovuto ricevere il pacchetto. A qual punto la IB dovrebbe ributtarlo nella sua rete interna, ma essendo tutto questo fuori RFC, chi sa che succede e comunque in maniera sporca potresti ottienere proprio quel che vuoi. Prova.

PS: se tante volte dovesse funzionare, sulla IB riserva gli indirizzi .252. e .253 in modo che non siano assegnati dal DHCP server ad altri client.

[DMJ]

Innanzitutto ti ringrazio.
Se ho ben capito ho fatto quanto segue.

• Ho spostato l'indirizzo IP della Iliadbox su 192.168.1.254 perché precedentemente l'avevo impostato a 192.168.1.1.
• Ho riservato l'indirizzo IP 192.168.1.253 al secondo router.
• Ho configurato sul secondo router indirizzo IP fisso 192.168.1.253; maschera di sottorete 255.255.255.252; gateway 192.168.1.254.

Purtroppo però la rete dell'Iliadbox è ancora raggiungibile dal secondo router.

Secondo me il problema è che una volta che raggiunge il gateway raggiunge tutta la rete.

Inoltre non riesco a raggiungere il secondo router (192.168.0.1) dalla rete principale in quanto dovrei probabilmente creare una route statica, ma sulla Iliadbox non è possibile.

[\_Davide_/]

Ma infatti non ha senso, o attivi il NAT, o blocchi dal firewall la subnet del modem Iliad.

[acp]

Quote:

Originariamente inviato da DMJ

Secondo me il problema è che una volta che raggiunge il gateway raggiunge tutta la rete.

Che evidentemente ributta il pacchetto sulla rete interna della IB, come ti avevo scritto, era quel che temevo. Era un tentativo.

Quote:

Inoltre non riesco a raggiungere il secondo router (192.168.0.1) dalla rete principale in quanto dovrei probabilmente creare una route statica, ma sulla Iliadbox non è possibile.

Questo è normale, serve una rotta statica. Non sai quanto farebbe comodo pure a me creare una rotta statica sulla IB, ma nada, non ho trovato il modo di farlo. Essendo un linux based, avendo accesso al SO sicuramente si riuscirebbe a fare, ma non ho trovato modo di farlo.

Edit: mi viene in mente una cosa, sul secondo router hai la possibilità di creare delle rotte statiche? Se sì, mantenendo la configurazione che ti avevo proposto prima, potresti creare una rotta statica (sul 2o router) per tutta la rete 192.168.1.0/24 con GW un indirizzo della rete interna del 2o router (ad esempio 192.168.0.254).

A quel punto il 2o router dovrebbe:

- I pacchetti con dest. IP add. 192.168.1.254 buttarli sulla IB, essendo direttamente connesso;
- Tutti i pacchetti con dest. IP add. non appartenenti alla rete interna 2o Router e 192.168.1.0/24 buttarli sul default gateway.
- Tutti i pacchetti della rete 192.168.1.0/24 buttarli sull'indirizzo della rete interna del 2o router che hai scelto (192.168.0.254).

[acp]

Quote:

Originariamente inviato da \_Davide_/

Ma infatti non ha senso, o attivi il NAT, o blocchi dal firewall la subnet del modem Iliad.

Essendo un fori standard (o fuori RFC), il comportamento degli apparati (in questo caso della IB) non e' ovvio, quindi non era sbagliato tentare. Invece non capisco cosa c'entra il NAT.

[\_Davide_/]

Quote:

Originariamente inviato da acp

Essendo un fori standard (o fuori RFC), il comportamento degli apparati (in questo caso della IB) non e' ovvio, quindi non era sbagliato tentare. Invece non capisco cosa c'entra il NAT.

Se attivi il NAT sui router domestici diventa impossibile per il router a monte risalire al dispositivo singolo, di conseguenza nessuna connessione dovrebbe andare a buon fine eccetto quelle dirette al router stesso.

Collegando un router come client di un'altra rete, su apparati di questa fascia anche se la iliad box avesse un firewall confgurabile la rete la vedremmo ugualmente, in quanto lo stai mettendo sulla stessa subnet, e lui è configurato per passare tutto (almeno mi pare di capire).

Provano con:

- Router principale confiugrato standard
- Router secondario sulla subnet del primo router, configurato come se il primo router fosse una connessione "WAN" ovvero NAT attivo e firewall chiuso per connessioni in ingresso dal router di uplink. Questo dovrebbe poterlo fare qualsiasi router.

Per accedere al router secondario dalla rete primaria o c'è l'opzione (sul secondario) per abilitare l'accesso wan, oppure si fa port forwarding della porta di management ed eccezione sul firewall.

Forse ci sarebbe anche utile sapere la situazione, lo scopo e che router è

[DMJ]

Grazie a tutti per gli spunti.

La situazione è quella in cui ho necessità di far connettere persone "sconosciute" ad internet tramite il secondo router e lo scopo è quello di non farle accedere alla mia rete principale.
Il router è un Tenda AC8.

Quote:

Originariamente inviato da acp

Edit: mi viene in mente una cosa, sul secondo router hai la possibilità di creare delle rotte statiche? Se sì, mantenendo la configurazione che ti avevo proposto prima, potresti creare una rotta statica (sul 2o router) per tutta la rete 192.168.1.0/24 con GW un indirizzo della rete interna del 2o router (ad esempio 192.168.0.254).

Ho la possibilità di creare rotte statiche sul secondo router, ma non permette di crearne altre con una destinazione già esistente e sono presenti le seguenti rotte di sistema non modificabili o eliminabili.

Destinazione --- Subnet --------- Gateway
0.0.0.0 -------- 0.0.0.0 --------- 192.168.1.1 --- WAN1
192.168.0.0 --- 255.255.255.0 --- 0.0.0.0 ------- br0
192.168.1.0 --- 255.255.255.0 --- 0.0.0.0 ------- WAN1
224.0.0.0 ----- 240.0.0.0 -------- 0.0.0.0 ------- br0

Quote:

Originariamente inviato da \_Davide_/

Provano con:

- Router principale confiugrato standard
- Router secondario sulla subnet del primo router, configurato come se il primo router fosse una connessione "WAN" ovvero NAT attivo e firewall chiuso per connessioni in ingresso dal router di uplink. Questo dovrebbe poterlo fare qualsiasi router.

Non sono certo di aver capito alla perfezione, ma se è necessario creare una regola sul firewall del router secondario, questo non è possibile perché permette solo di abilitare/disabilitare dei protocolli di protezione.

[\_Davide_/]

[indent]

Quote:

Originariamente inviato da DMJ

La situazione è quella in cui ho necessità di far connettere persone "sconosciute" ad internet tramite il secondo router e lo scopo è quello di non farle accedere alla mia rete principale.
Il router è un Tenda AC8.

Perfetto, quindi semplicemente creare una rete guest.

Non conosco i Tenda, mai usati, ma potresti provare se ha un wizard iniziale a dirgli che hai una connessione WAN in DHCP, e vedere se si setta da solo in tal modo.
Senza accesso alle impostazioni del firewall e del NAT farlo a mano diventa difficile, magari però c'è l'opzione per creare una rete guesti sul Tenda, ed a quel punto potrebbe settarsi automaticamente come desiderato.

[DMJ]

Già provato in tutte le modalità offerte dal wizard, ma nulla da fare.
Ho anche provato ad abilitare la rete guest wifi del Tenda, eventualmente avrei fatto a meno della rete cablata, però la rete guest impedisce di accedere alle risorse della rete dello stesso router, ma permette comunque di accedere alle risorse della Iliadbox, sempre per il solito discorso che il traffico è sempre aperto verso il gateway.

[\_Davide_/]

Quote:

Originariamente inviato da DMJ

Già provato in tutte le modalità offerte dal wizard, ma nulla da fare.
Ho anche provato ad abilitare la rete guest wifi del Tenda, eventualmente avrei fatto a meno della rete cablata, però la rete guest impedisce di accedere alle risorse della rete dello stesso router, ma permette comunque di accedere alle risorse della Iliadbox, sempre per il solito discorso che il traffico è sempre aperto verso il gateway.

Sì hai ragione, non avevo pensato che vede il principale come se fosse già sul WWW.
Non ho altre idee, sembra che il Tenda sia parecchio limitato

[DMJ]

Ho dato un'occhiata al manuale di un Tp-Link che costa il doppio del Tenda, ma non offre praticamente nulla di più.
Probabilmente bisogna andare su prodotti di fascia molto più alta per avere il controllo sul firewall, ma non vorrei investirci più di tanto.

Ad ogni modo grazie a tutti per la discussione costruttiva.

[acp]

Quote:

Originariamente inviato da DMJ

192.168.1.0 --- 255.255.255.0 --- 0.0.0.0 ------- WAN1

Questa viene creata perchè la WAN ha maschera /24. Se modifichi l'indirizzo WAN come ti avevo suggerito, quindi

Indirizzo IP: 192.168.1.253
Maschera: 255.255.255.252

La riga dovrebbe modificarsi come segue:

192.168.1.252 --- 255.255.255.252 --- 0.0.0.0 ------- WAN1

A quel punto dovresti poter creare la:
192.168.1.0 --- 255.255.255.0 --- 192.168.0.x ------- br0

[\_Davide_/]

Quote:

Originariamente inviato da DMJ

Ho dato un'occhiata al manuale di un Tp-Link che costa il doppio del Tenda, ma non offre praticamente nulla di più.
Probabilmente bisogna andare su prodotti di fascia molto più alta per avere il controllo sul firewall, ma non vorrei investirci più di tanto.

Ad ogni modo grazie a tutti per la discussione costruttiva.

Guarda Keenetic o Mikrotik, con entrmabe puoi fare qualsiasi cosa ti venga in mente e costano come apparati domestici. Keenetic è anche molto facile da configurare.

Tolti quei due rimane l'opzione di caricare OpenWRT o OPNsense sul Tenda se li supporta oppure tutta roba professionale

[DMJ]

Quote:

Originariamente inviato da acp

Questa viene creata perchè la WAN ha maschera /24. Se modifichi l'indirizzo WAN come ti avevo suggerito, quindi

Indirizzo IP: 192.168.1.253
Maschera: 255.255.255.252

La riga dovrebbe modificarsi come segue:

192.168.1.252 --- 255.255.255.252 --- 0.0.0.0 ------- WAN1

A quel punto dovresti poter creare la:
192.168.1.0 --- 255.255.255.0 --- 192.168.0.x ------- br0

Sì giusto, l'avevo rimesso come in origine. Con tutte le prove che ho fatto ad un certo punto mi sono perso.
Non posso provarlo subito ma quanto prima riprovo con la maschera di rete /30 e ti dico.

Quote:

Originariamente inviato da \_Davide_/

Guarda Keenetic o Mikrotik, con entrmabe puoi fare qualsiasi cosa ti venga in mente e costano come apparati domestici. Keenetic è anche molto facile da configurare.

Tolti quei due rimane l'opzione di caricare OpenWRT o OPNsense sul Tenda se li supporta oppure tutta roba professionale

Ci penserò in seconda battuta, al momento devo partire con ciò che ho già.

[DMJ]

@acp
Ho fatto la prova suggerita.

Indirizzo IP: 192.168.1.253
Maschera: 255.255.255.252

La riga si è modificata in:
192.168.1.252 --- 255.255.255.252 --- 0.0.0.0 ------- WAN1

Ma non mi permette comunque di creare
192.168.1.0 --- 255.255.255.0 --- 192.168.0.x
in quanto dice che la rete di destinazione esiste già.

[acp]

Quote:

Originariamente inviato da DMJ

@acp
Ho fatto la prova suggerita.

Indirizzo IP: 192.168.1.253
Maschera: 255.255.255.252

La riga si è modificata in:
192.168.1.252 --- 255.255.255.252 --- 0.0.0.0 ------- WAN1

Ma non mi permette comunque di creare
192.168.1.0 --- 255.255.255.0 --- 192.168.0.x
in quanto dice che la rete di destinazione esiste già.

In effetti 4 IP di overlap ci sono, ma speravo fosse meno schizzinoso. Prova a ridurre la rete inserendo questa:

192.168.1.0 --- 255.255.255.128 --- 192.168.0.x

Con x minore di 127

Se funziona, poi ti dico. Se non funziona, non ho più altre idee...

[DMJ]

La brutta notizia.
Niente da fare, però ti ringrazio @acp veramente tanto per il supporto caparbio.
Il Tenda torna al mittente.

La buona notizia
Ho risolto acquistando per una cifra irrisoria un Keenetic pieno di impostazioni interessanti, sebbene sia stato sufficiente inserire una semplice regola sul firewall per bloccare tutto il traffico verso la rete dell'Iliadbox (192.168.1.0).
Grazie @\_Davide_/ per avermi fatto scoprire questo marchio!

[\_Davide_/]

Figurati! Io gliene sto facendo fare di ogni (5 VPN verso mie location remote, VLAN, routing tra queste 10 cose, telefonia VoIP, DDNS, una connessione in aggregazione ed una terza in backup...)

Tutto al primo colpo e senza problemi. Per quanto mi riguarda a livello domestico sono davanti a tutti, pur costando la metà di Fritz! e molto meno di Mikrotik, probabilmente perché ancora poco conosciuti.

[Masterminator]

Buongiorno a tutti,
stamattina installato Iiad fibra a Milano in sostituzione di Vodafone ed ero già più o meno pronto a ragionare sull'aggiunta, dopo qualche test su IB, del mio router un ASUS RT-AC68 (che usavo con vodafone) o un Fritz 7590AC che ho nel cassetto perché ha meno copertura. Eventualmente avrei anche pensato a qualcosa di più performante lato LAN.

Sorpresa mi hanno messo un ONT ZTE da 2,5G e quindi la IB ha la porta da 2.5G occupata e rimangono 2 misere porte da 1G libere.
Avevo capito che ormai anche a Milano la soluzione era sempre la Iliad Box senza ONT esterno.
Soluzioni?
Praticamente ora non so dove attaccare il NAS, TV, Play5, Stampante che erano tutti via cavo.
Inoltre il Wifi della IliadBox mi sembra per ora a livello del Fritz (forse qualcosa meglio) ma non arriva bene in camera da letto dove invece l'Asus non ha problemi (parete in mezzo con tutti i cavi elettrici).

Qualche idea su come provare a riavere un router più performante e con più uscite LAN?
Per inciso la linea per ora non è nulla di entusiasmante (<200Mb) ma hanno detto di aspettare 48 ore.

[Bovirus]

@Masterminator

Aspettare 48 ore non serve a nulla.
Non esiste "assestamento" nelal FTTH.

Gli speedtest vanno fatti via cavo rete (no WiFI).