Fastgate IP pubblico statico e sicurezza

[fabio81]

Dunque, tutti i dispositivi che possono essere connessi ad internet hanno un loro IP e un loro Mac Address. Se si può dire che il MAC address è univoco e individua uno ed un solo dispositivo, per l’ip la cosa si complica in quanto andrebbe fatta una distinzione tra ip pubblico (quindi quello che viene poi “visto” da internet) e quello privato (quindi interno, che conosci tu e chi gestisce la tua rete).

Detto questo, quello che serve sapere a te, purtroppo, sono sia il Mac che gli indirizzi sia pubblici che privati dei tuoi dispositivi. L’indirizzo pubblico sarà quello meno problematico essendo solamente uno: l’ip fisso che ti ha fornito fastweb.

Ora, conosciamo l’ip pubblico, diamo per scontato di sapere anche gli ip privati e i Mac dei nostri dispositivi (in quanto se non li sappiamo a memoria sono facilmente reperibili) e anche la porta a cui risponde il servizio di cui abbiamo bisogno, ovvero la porta 9UDP.

A questo punto viene il primo problema. Hai un solo ip pubblico, una sola porta a cui risponde un servizio, ma hai due apparati. Sarà quindi necessario mascherare le chiamate dall’esterno verso l’interno in modo da avere due “servizi” che chiamati opportunamente accenderanno uno dei due apparati.

Faccio un esempio pratico, che forse è più utile a capire il discorso:

- ip fisso (pubblico) fastweb: 95.18.200.200
- porta wol: 9UDP
- ip interno Mac: 192.168.1.5 settato come ip fisso dalla reservation DHCP del fastgate
- ip interno nas: 192.168.1.6 settato come ip fisso dalla reservation DHCP del fastgate
- port forwarding del fast gate impostato come “any-any allow” (sbagliatissimo ma è per fare un esempio pratico molto facile)

In questo caso, chiamando dall’esterno la porta UDP9 del tuo ip fisso, NESSUNO dei due dispositivi verrà acceso in quanto il tuo modem/router (il fastgate) non saprà a quale dei due dispositivi girare la richiesta in quanto in automatico la porta UDP9 verrà esposta verso l’esterno esattamente come tale.

Cambiando semplicemente il port forwarding impostando due porte esterne differenti e la 9UDP interna su ogni dispositivo avremo una cosa di questo tipo:

- 192.168.1.5 UDP9 -> port forwarding verso la porta udp 40019 esterna
- 192.128.1.6 UDP9 -> port forwarding verso la porta udp 40029 esterna

In questo caso, quando dall’esterno chiamerai l’ip fisso 95.18.200.200 sulla porta 40019 ti risponderà il Mac mentre sulla porta 40029 ti risponderà il NAS.

(Spiegazione semplificata e approssimativa, la configurazione potrebbe già funzionare ma non è scontato)

A questo punto bisognerà verificare che non ci siano altri impedimenti ad esempio firewall del Mac piuttosto che servizi di “blocco traffico” sul nas e sperimentare il tutto.

molto bene sei stato chiarissimo e ora mi sembra di aver piu chiara la situazione, unico problema ora è metterci le mani heeh
il port forwarding lo posso fare con il Fastgate giusto? sarebbe la schermata (associa nuovo port mapping).. Ho provato ma mi dice che la porta 9 è assegnata per altri servizi Fastweb, ho provato anche altre porte ma son tutte assegnate, sono arrivato fino a 40010 e me la da libera.
Non ho capito come settare dalla reservation del Fastgate
Poi come ultima cosa volevo sapere se devo modificare l'Ip del fastgate presente sulla schermata (impostazione Lan su rete principale) oppure se devo associare l'ip che è presente ora con l'IP fisso che mi è stato assegnato (statico pubblico)

Ti ringrazio molto!

[frakka]

Allora: Il WOL è un protocollo che lavora a livello "2" della pila OSI, quello che normalmente viene chiamato "Layer 2". Il "Layer 3" è il livello che riguarda le comunicazioni IP quindi, il WOL lavora ad un livello di rete più basso rispetto al routing.

Come funziona?
Il magic packet è un pacchetto contenente il MAC address della scheda destinataria (ed, opzionalmente, una password nel caso che sia stata prevista per svegliare il dispositivo destinatario) che viene inviato dal client all'indirizzo di broadcast della rete locale. Questo significa che tutti i dispositivi collegati alla rete locale ricevono il magic packet ma solo la schede di rete cui corrisponde il MAC address contenuto nel pacchetto darà il via alla procedura di accensione (nel caso, se la password è verificata).
Il computer destinatario può essere in stato di ibernazione ma anche completamente spento se sono state attivate le giuste opzioni per il risparmio energetico (e non sempre è possibile... Io ho due PC, uno che funziona perfettamente anche da spento mentre l'altro non ne vuole sapere di svegliarsi, probabilmente a causa di bug a livello firmware della scheda madre).

Dato che la trasmissione del magic packet avviene a livello 2, nomi DNS ed indirizzi IP sono assolutamente inutili perché la comunicazione avviene ad un livello più basso. Perché il pacchetto arrivi a destinazione deve quindi essere trasmesso non a uno specifico IP ma ad un indirizzo che arrivi a tutti gli host in ascolto indistintamente e per questo si utilizza l'indirizzo di broadcast della rete (se la tua rete è 192.168.1.0 255.255.255.0, allora l'indirizzo di broadcast sarà 192.168.1.255)
Se i computer di origine e destinazione si trovano in due reti diverse, il pacchetto non può essere trasmesso all'indirizzo di broadcast del mittente perché non arriverebbe a destinazione (non uscirebbe dalla rete del mittente) ma neppure all'indirizzo di broadcast del destinatario perché potrebbe non essere affatto noto (non è detto che tu conosca la "network" cui appartiene un determinato IP) o non essere affatto raggiungibile (se si tratta di un range di indirizzi locale, come presumibilmente è, non è instradabile attraverso internet).

Di fatto però il magic packet è solo un'accozzaglia di bit al pari di tutti gli altri pacchetti di rete quindi potrebbe essere trasmesso verso una qualunque combinazione porta/protocollo perchè venga "trasportato" fino alla destinazione, a cui deve però pervenire come una trasmissione broadcast verso le porte su cui il client ascolta (a meno che non ci siano di mezzo dei firewall che fanno "application inspection" e sono, cioè, in grado di capire a che applicazione corrisponde un determinato pacchetto di rete. In questo caso serve qualche accorgimento in più ma è roba da reti di un certo livello, non da apparati SOHO).

Il trucco quindi qual'è? Come suggerito da Mattia, è fare partire il magic packet verso l'IP pubblico del destinatario e una porta libera e sul router che riceve il pacchetto, configurare il firewall per lasciar entrare il traffico sulla porta configurata per la ricezione ed impostare un forwarding dalla porta che ha ricevuto il pacchetto verso l'indirizzo di broadcast della rete locale e la porta 9 UDP.
In realtà non serve avere porte diverse per risvegliare più client (a meno che il router non gestisca network diverse lato LAN), perchè il pacchetto forwardato verso il broadcast raggiungerà comunque tutti gli host della rete: La distinzione tra un computer e l'altro da svegliare la fa il MAC address contenuto nel magic packet.

Devi quindi trovare un software che ti permetta di scegliere manualmente verso quale destinazione/porta/protocollo inviare il magic packet e non è così scontato. Devi poi configurare il router fastweb per ricevere il pacchetto su quella porta e inoltrarlo al broadcast della LAN.
Se possibile, sarebbe meglio configurare il firewall del router fastweb per ricevere pacchetti solo da un range limitato di indirizzi IP e non dal mondo intero (ad esempio solo dalla rete dell'ufficio) ma se devi usare la rete mobile per accendere i client allora è necessario lasciarlo aperto al mondo.

Ref: Wikipedia in inglese.
P.S:
Per fare wake-up di un dispositivo connesso in wi-fi è un altro discorso ancora, come riportato nel link in ref.

[frakka]

Un'alternativa molto furba se nella rete del client da svegliare hai un dispositivo sempre acceso (come ad esempio potrebbe essere il NAS) è quella di non gestire direttamente il WOL da remoto ma pubblicare un accesso al NAS (ad esempio tramite la sua interfaccia web https che normalmente è già protetta da password) ed installare nel nas una APP per il WOL dei client in rete...

Visto che il NAS è già in rete con il client, non ci sarebbe da fare altro!

[frakka]

Nella schermata "Configurazione manuale delle porte" hai indicato l'IP 192.168.1.194 come DMZ: Che roba è? Perchè gli stai girando sopra tutto il traffico proveniente dalla rete pubblica?

Sulla "LAN" puoi spegnere IPv6, non te ne fai niente.

L'interfaccia non mi è molto chiara... Nella voce "Associa nuovo port mapping" imposta come indirizzo IP 192.168.1.255 e come porta di destinazione la 9 UDP... Come porta sorgente dipende da quella che vuoi usare tu, potrebbe essere anche la 60000

[fabio81]

Nella schermata "Configurazione manuale delle porte" hai indicato l'IP 192.168.1.194 come DMZ: Che roba è? Perchè gli stai girando sopra tutto il traffico proveniente dalla rete pubblica?

Sulla "LAN" puoi spegnere IPv6, non te ne fai niente.

L'interfaccia non mi è molto chiara... Nella voce "Associa nuovo port mapping" imposta come indirizzo IP 192.168.1.255 e come porta di destinazione la 9 UDP... Come porta sorgente dipende da quella che vuoi usare tu, potrebbe essere anche la 60000

Eccomi sono appena rientrato, non ero a casa questi giorni. Grazie mille per tutto questo supporto!
Allora il traffico su DMZ l'avevo gia disattivato in effetti perchè non aveva senso quella roba. Ho impostato il numero Ip con 192.168.1.255 con porta 9 -- 22 , , ma ancora non funziona. Forse sarà una cavolata ma come faccio nel macPro ad associare la porta 22 ? Mi spiego meglio, nelle impostazioni del MacPro ho impostato Numero IP statico, la maschera di sottorete è 255.255.255.0 però non c'è nessuna porta da impostare.

[fabio81]

Scusa avevo messo porta tcp e ora ho messo UDP ma nulla non va ancora

[fabio81]

ho notato un'altra cosa, mettendo su associazione porte 192.168.1.194 con porta 9-22 riesco ad accenderlo da 3g con iphone ma subito dopo l'ibernazione del Mac. se faccio passare un paio di minuti non va di nuovo. Possibile che ci voglia un router in cascata che possieda la List ARP?

[frakka]

Scusami, non ci siamo: Stai facendo un gran casino.

1) Accedere: A cosa e come? Il WOL non ti fa accedere a niente da nessuna parte.
2) La porta 22 solitamente è riservata per un protocollo che si chiama "ssh" ed è un canale di comunicazione sicuro che normalmente è utilizzato per l'accesso remoto ai sistemi *nix ma tramite interfaccia a caratteri (terminale, insomma) o anche per il trasferimento di files ma non so se è questo il tipo di "accesso" che ti aspetti.
3) La tabella ARP non c'entra niente, infatti nel mio post precedente non ne ho parlato affatto. Così come non serve (per forza) un router in cascata. Questo a meno che il router di Fastweb non impedisca di fare forwarding verso indirizzi di broadcast, è pur sempre una possibilità.


WOL e accesso remoto sono due cose diverse. Quale vuoi affrontare prima?

[fabio81]

No scusami ho capito cosa intendi per accesso remoto, mi sono spiegato male ma per accesso volevo dire che riuscivo ad inviare il magic Packets. A me in fondo interessa questo riuscire ad accendere il computer a distanza.
La porta 22 è un puro caso, potevo mettere anche la 6000, anzi ora la imposto così per non creare eventuali conflitti con altri servizi ok?
La tabella Arp l'avevo letta in un altro vecchio thread dove ne parlavi, mi era sembrato di capire che servisse per associare meglio iP con Mac address.
Ora mi sembra di capire che il router Fastweb permette di Gestore le porte e Mac address, forse devo fare qualcosa sul computer? Come applicazione iPhone sto usando simple WOL

[frakka]

No scusami ho capito cosa intendi per accesso remoto, mi sono spiegato male ma per accesso volevo dire che riuscivo ad inviare il magic Packets. A me in fondo interessa questo riuscire ad accendere il computer a distanza.

Ok.

La porta 22 è un puro caso, potevo mettere anche la 6000, anzi ora la imposto così per non creare eventuali conflitti con altri servizi ok?

Perfetto.

La tabella Arp l'avevo letta in un altro vecchio thread dove ne parlavi, mi era sembrato di capire che servisse per associare meglio iP con Mac address.

Era un discorso diverso, probabilmente: Serve ad associare IP e MAC address, ogni dispositivo di rete ne ha una propria. E comunque non sarebbe un'associazione stabile in quanto non è una tabella permanente. Tanto per accendere da remoto il MAC Address lo devi conoscere quindi lasciamo perdere la ARP.

Ora mi sembra di capire che il router Fastweb permette di Gestore le porte e Mac address, forse devo fare qualcosa sul computer? Come applicazione iPhone sto usando simple WOL

Le app per iOS non le conosco, ma tipicamente sono molto automatiche quindi male si prestano ad esperimenti al di fuori di quello che è "standard".
Sulla APP puoi impostare indirizzo IP e porta a cui inviare il magic packet?