Open Fiber e Fibra.City

[frakka]

L'IP te lo hanno dato perchè il tuo pacchetto lo prevede. Non te lo attivano subito in automatico ma devi fare richiesta esplicita dopo l'attivazione, per questo te lo hanno mandato dopo.

Allora... La risposta che ti hanno dato fa schifo ma immagino che sia la risposta automatica standard.

1) Cosa centra la RFC3021 se ti stanno assegnando un IP in una subnet /24 (255.255.255.0)? (-> Risposta: A quanto mi risulta, niente.)
2) Se configuri l'IP statico nel tuo router e riesci a pingare il loro gateway è abbastanza certo che lato tuo la configurazione è a posto. Se poi dal gateway non esci verso internet, allora è un problema loro: Se hanno passato il ticket al dipartimento giusto ed il dipartimento lo guarda, dovrebbero risolverti il problema.

Per scrupolo, se vuoi postare le schermate di configurazione del router ci guardiamo (mi pare che un altro utente le avesse comunque già inserite qualche messaggio fa).

Per curiosità, quando vogliono per una /30? Io un pensierino ce lo farei... Non mi pareva di aver visto la possibilità...

[pancrasoft]

1) Cosa centra la RFC3021 se ti stanno assegnando un IP in una subnet /24 (255.255.255.0)? (-> Risposta: A quanto mi risulta, niente.)

Per me questo delle classi degli indirizzi IP è un mondo piuttosto nuovo e me lo sto studiando un pò !!

La loro mail recita testualmente così:

L'indirizzo assegnatole è il seguente: 185.178.xxx.xxx

Il SetUp da fare sul router da lei in uso è il seguente:
Indirizzo IP: 185.178.xxx.xxx
Subnet Mask: 255.255.255.255 oppure 255.255.255.254 (come previsto nelle connessioni punto/punto, seguendo le specifiche del RFC 3021 - https://tools.ietf.org/html/rfc3021)
Gateway: 185.178.xxx.xxx
DNS Primario: 8.8.8.8
DNS Secondario: 8.8.4.4

Le ricordiamo che se il suo router non fosse in grado di gestire le connessioni IPv4 Punto-Punto in standard RFC3021, è possibile richiedere l'assegnazione di una classe /30, composta da 4 indirizzi IP, di cui 1 utilizzabile sul suo apparato, ad un costo aggiuntivo che andrà sommato al canone mensile.


Sulla risposta al ticket hanno aggiunto :

Gentile Cliente,
alcuni apparati (router) sembrano funzionare con l'impostazione della Subnet Mask = 255.255.255.0 e non accettino quelle segnalate nella mail di attivazione.
Ciò nonostante, non possiamo assicurare il corretto funzionamento di tutti i servizi o funzionalità presenti nella sua abitazione, perché tecnicamente "inesatta"

Nelle tre prove di configurazione che ho fatto ho lasciato sempre fissi l'IP ed il Gateway che mi hanno comunicato e provato ad impostare di volta in volta i tre Subnet Mask comunicatimi. Più sotto trovi le schermate della configurazione FritzBox 7590 dei tre tentativi fatti.
Come detto la 255.255.255.255 neanche viene accettata in quanto appare il messaggio "La maschera di sottorete è sbagliata".

Per il discorso dell'IP pubblico in classe /30 mi hanno comunicato questi prezzi:

Gentile cliente, deve mandare una mail alla casella amministrazione@fibra.city allegando un documento di identità, nella quale dichiara di conoscerne i costi (che deve indicare) e richiedere l'attivazione.

A questo punto verrà emessa la fattura e dopo il pagamento della stessa verranno attivati gli IP.

Il listino prezzi delle Classi IP Disponibili sono:

Classe /30 - 4 IP di cui 1 utilizzabile: 10€ mese

Classe /29 - 8 IP di cui 5 utilizzabili: 20€ mese

Classe /28 - 16 IP di cui 13 utilizzabili: 40€ mese

(Pacchetto Business+IVA)


Quello che mi fa pensare è la dicitura Pacchetto Business che non vorrei presupponesse tra le righe di dover cambiare pacchetto. Ho provato a scrivere al loro indirizzo mail dell'amministrazione per i dovuti chiarimenti : NESSUNA RISPOSTA

Come notavi anche tu nei tuoi post la parte comunicazione di questo operatore lascia molto ma molto a desiderare !! Vabbè ormai sono in ballo e quindi balliamo !!!!!

Grazie per il tempo che mi stai dedicando

[frakka]

La /30 in effetti rende disponibile un singolo IP perchè gli 3 del gruppo rappresentano uno la "network", uno l'indirizzo di "broadcast" e l'altro deve essere l'IP che ti fa da gateway. Questo implica che, per ogni IP pubblico statico assegnato ad un'utenza ne vengono impegnati 4 (i 3 citati e poi l'IP che configuri nel tuo router).

La RFC che citano dovrebbe permettere quelle che sono chiamate "connessioni punto-punto" e che. sostanzialmente, rendono disponibili gruppi composti da due soli IP (da cui la subnet /31 o 255.255.255.254) e questo implica che per ogni IP pubblico assegnato ne vengono impegnati solo 2 invece di 4.
Come giustamente osservi, il passaggio ad un'assegnazione diversa comporta il passaggio ad un contratto business che tipicamente, oltre a costare di più, è attivabile solo se in possesso di Partita IVA (non ho però controllato se anche loro impongono questo vincolo, molto operatori lo fanno).

Io purtroppo non sono particolarmente esperto di reti quindi mi sembra molto strano che se una subnet non funziona se ne possa usare un'altra... Non voglio mettere necessariamente in dubbio quello che dicono anche perchè sono configurazione di livello superiore a quella che è una normale rete domestica anche se "avanzata", ma mi sembra quantomeno curioso.

Ho visto poi stasera, in una discussione nel loro forum di assistenza in cui mi pare abbia risposto anche tu, un post dell'account di "Assistenza" in cui diceva che un utenza con contratto domestico non può, da contratto, esporre servizi web/ftp/etc... per nessun motivo. Io questa cosa non ricordo proprio di averla letta nel contratto, anche perchè li avrei scartati immediatamente e senza pensarci un altro secondo.
Ormai sono in ballo ma credo, a questo punto, che allo scadere dei due anni mi guarderò in giro.


Tornando al tuo discorso:
- Il primo screen va bene.
- Nel secondo, come "upstream" imposta 300Mbit/s: Sparare un valore più alto non serve a nulla e impedisce allo scheduler del router di applicare i corretti algoritmi di QoS, finendo per creare problemi di "Bufferbloat" e problemi con la latenza.
- La configurazione IP va bene. Se non accetta la subnet ".254" allora lascia la 255.255.255.0


Se con la configurazione IP che prevede la subnet "255.255.255.0" (o /24) riesci a pingare l'IP del gateway ma non, ad esempio, quello di uno dei server DNS per me sei a posto ed il problema lo devono risolvere loro.
Puoi provare anche a fare un tracepath (o traceroute o tracert, non mi ricordo come si chiama su Windows) verso l'IP di uno dei DNS: Dovresti vedere il primo hop sul tuo gateway (l'IP assegnato al fritzbox), il secondo hop all'IP del loro router e poi la connessione che non da più segni di vita.

[pancrasoft]

Se con la configurazione IP che prevede la subnet "255.255.255.0" (o /24) riesci a pingare l'IP del gateway ma non, ad esempio, quello di uno dei server DNS per me sei a posto ed il problema lo devono risolvere loro.
Puoi provare anche a fare un tracepath (o traceroute o tracert, non mi ricordo come si chiama su Windows) verso l'IP di uno dei DNS: Dovresti vedere il primo hop sul tuo gateway (l'IP assegnato al fritzbox), il secondo hop all'IP del loro router e poi la connessione che non da più segni di vita.

Specifico meglio cosa intendevo dire quando ho affermato che pingavo l'IP del gateway. Il ping rispondeva ma la prova l'ho fatta quando sono configurato con l'IP privato, quello con il quale riesco a navigare. Magari era una prova inutile, l'ho fatta solo per vedere che a quell'ip rispondesse qualcosa.

Cosa diversa invece con il router configurato con i parametri che mi hanno passato per l'IP Pubblico. In questo caso (quale che sia la subnet mask tra quelle indicatemi) il ping al gateway non ottiene risposta ed anche la traceroute non mostra altro che l'ip del router sulla rete locale. Qui sotto i due tentativi.

PING 185.178.xxx.xxx (185.178.xxx.xxx): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
Request timeout for icmp_seq 7
Request timeout for icmp_seq 8
Request timeout for icmp_seq 9
Request timeout for icmp_seq 10
Request timeout for icmp_seq 11
Request timeout for icmp_seq 12

traceroute to 8.8.8.8 (8.8.8.8), 64 hops max, 52 byte packets
1 fritz.box (192.168.188.1) 16.947 ms 7.156 ms 8.661 ms
2 * * *


Ho fatto anche la stessa identica cosa col portatile collegato direttamente all'ONT via ethernet e wifi disabilitato, i risultati sono leggermente diversi ma comunque non navigo :

PING 185.178.xxx.xxx (185.178.xxx.xxx): 56 data bytes
ping: sendto: Host is down
ping: sendto: Host is down
Request timeout for icmp_seq 0
ping: sendto: Host is down
Request timeout for icmp_seq 1
ping: sendto: Host is down
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
Request timeout for icmp_seq 7
ping: sendto: No route to host
Request timeout for icmp_seq 8
ping: sendto: Host is down


traceroute to 8.8.8.8 (8.8.8.8), 64 hops max, 52 byte packets
traceroute: sendto: No route to host
1 traceroute: wrote 8.8.8.8 52 chars, ret=-1
*traceroute: sendto: No route to host
traceroute: wrote 8.8.8.8 52 chars, ret=-1
*traceroute: sendto: No route to host
traceroute: wrote 8.8.8.8 52 chars, ret=-1
*
2 * *traceroute: sendto: No route to host
traceroute: wrote 8.8.8.8 52 chars, ret=-1
*
traceroute: sendto: No route to host
3 traceroute: wrote 8.8.8.8 52 chars, ret=-1
*traceroute: sendto: No route to host
traceroute: wrote 8.8.8.8 52 chars, ret=-1
*traceroute: sendto: No route to host
traceroute: wrote 8.8.8.8 52 chars, ret=-1
*

Veramente non riesco a capire se il problema è mio o loro

[pancrasoft]

Frakka ho letto la questione che hai posto sul forum di Fibra City relativamente alla classe /31 ed al fatto che gli ip dovrebbero essere contigui.

Anche io in rete, cercando di documentarmi un pò, avevo effettivamente trovato che dovrebbe essere così.

Vedi però alla fine nelle loro risposte vanno sempre a cadere sull'IP Pubblico a pagamento.....a pensare male si fa peccato ma .....

[pancrasoft]

Per la cronaca...tutto risolto dopo un semplice spegnimento e riaccensione dell'ONT !!!

Confermo che la subnet mask corretta da utilizzare è la 255.255.255.0

[frakka]

Ottimo!
Le fibre GPON sono ancora un argomento relativamente nuovo quindi ben venga mettere anche lo spegnimento dello ONT tra le procedure da fare (Nota bene: Spegnimento, non reset. Se l'ONT viene resettato è possibile che serva di nuovo l'intervento dei tecnici di OpenFiber per riconfigurarlo).

Io lavoro come sistemista per un'azienda in house della regione Emilia Romagna che si occupa di reti (fibra) e servizi di datacenter: Io non ne so abbastanza di reti ma qualcuno che la RFC me la spiega lo trovo... Ripeto: Poi magari hanno ragione loro ma certe spiegazioni non mi convincono.

Riporto la risposta che mi ha dato:

Lo scopo di utilizzare l'RFC3021 è proprio quello di non avere "fette" di rete da usare.
In linea di principio hai ragione, ma tu stai lavorando su una VLAN (che per te, se sei in un cluster A&B è trasparente).

Osservo:

1. Non è vero. La RFC3021 è stata scritta per ridurre lo spreco di IP dovuto alla necessità di allocare un minimo di 4 indirizzi per ogni IP singolo che viene assegnato. Si legge a fine di pagina 2:
   

   This document is based on the idea that conserving IP addresses on point-to-point links (using longer than a 30-bit subnet mask) while maintaining manageability and standard interaction is possible. Existing documentation [RFC950] has already hinted at the possible use of a 1-bit wide host-number field.
   
   The savings in address space resulting from this change is easily seen--each point-to-point link in a large network would consume two addresses instead of four. In a network with 500 point-to-point links, for example, this practice would amount to a savings of 1000 addresses (the equivalent of four class C address spaces).

   Quindi "risparmio" di IP grazie alla rimozione dell'indicazione di network e broadcast e non alla eliminazione delle "fette"... Le reti sono tutte "fette", più o meno ampie: Si tratta solo di ridurre sprechi di indirizzi nelle fette più sottili.
2. Cosa c'entra che sto lavorando su una VLAN, soprattutto quando la VLAN non è dedicata alla mia porta? Nella stessa VLAN possono convivere un sacco di reti anche se non è un modello molto diffuso (e comunque è esattamente il loro caso, dato che se non configuri l'IP statico ne ottieni uno di una classe completamente diversa dal loro DHCP.

Comunque contatterò sicuramente ubiquiti per togliermi il dubbio e chiederò anche lumi in giro... Non per qualcosa: Se è mia ignoranza ci tengo a colmarla, se mi sta perculando non mi sta bene.
Del fatto che mi assegnino l'indirizzo usando una /31 o una /24 a me, onestamente, interessa poco.

[frakka]

C'è anche un altro messaggio che avevo inserito (precedente a quello a cui ha risposto) che forse è ancora in attesa di moderazione... In uno dei primi messaggi della stessa discussione, dice:

(ricordiamo che per contratto le utenze domestiche NON possono pubblicare tramite la propria rete server web, FTP, ecc., neppure per scopi dilettantistici o educativi), magari per interconnettere la domotica di casa,

Questa cosa mi ha folgorato e gli ho chiesto spiegazioni ma il messaggio non è ancora stato pubblicato. Io non ricordo una roba del genere nel contratto, banalmente è un altro di quei motivi per cui non avrei mai sottoscritto.
Inoltre la domotica che deve essere "esposta" spesso lo fa proprio esponendo pagine http che sono, quindi, server web.


Altro messaggio:

L'adozione del RFC 3021 non è stata una scelta "commerciale", ma è dovuta all'applicazione delle indicazioni del RIPE e della IANA.
Nelle condizioni generali di contratto non può e non deve essere dettagliato tecnicamente come vengono forniti i servizi, soprattutto quelli accessori, altrimenti diventerebbe del tutto illeggibile e/o incomprensibile per il 90% dei Clienti.
Nei contratti (come ha chiarito più volte il nostro ufficio legale) vanno indicate le condizioni economiche e, in modo sintetico, le modalità di erogazione (in questo caso la dizione è "assegnazione statica dell'indirizzo IP").
In nessun contratto troverai definizioni come "con una maschera da 30 bit non ruotata verso l'indirizzo di broadcast ma verso il network", per ovvie ragioni.
Diverso sarebbe se fosse una metodologia sviluppata e proposta da noi, perché in quel caso, da tecnico, potresti chiedere quale autority chieda ed autorizzi quelle metodologia.
Ricorda anche che, proprio per evitare queste discussioni, rimane possibile richiedere una /30 da 4 IP (di cui solo 1 utilizzabile sull'interfaccia del Cliente, perché uno server per il network, uno per il broadcasting e uno per il gateway).

Allora:

1. Vero. Ci sono delle direttive del RIPE e della IANA per risparmiare IP pubblici. E, secondo me, loro le stanno attuando attribuendo gli IP pubblici come parti di una /24 e usando il NAT per mascherare tutti quegli utenti che non hanno davvero necessità di un IP pubblico. Chiaro e non c'è niente di male se lo dici prima.
2. Qui mi sono pisciato da ridere: Il contratti sono SEMPRE illeggibili e incomprensibili per il 90% (abbondante) dell'utenza normale proprio perchè nascondono in burocratese le affermazioni non proprio "vere" sbandierate in parole "semplici" nelle varie promo in bella vista sul sito... Un esempio su tutte il "disdici quando vuoi" che nel contratto diventa "con x preavviso e pagando una penale per tutti i mesi che ti mancano per arrivare a 24". Ma vabbè...

Specificare la tecnologia usata per erogare il servizio permetterebbe subito di capire se una determinata offerta fa o meno al caso tuo: Se avessi scoperto dopo l'attivazione che potevo avere solo il servizio dietro al loro NAT, non avrei mai potuto usarlo perchè mi bloccava la VPN con l'ufficio. Non avrei neppure potuto disdirlo, a quanto pare, perchè nelle clausole del contratto c'è un capestro che, di fatto, impedisce il recesso senza il pagamento delle penali.

Anche il fatto che usino questo modo "originale" di erogare gli IP dovrebbe essere inserito nel contratto: Aumentare di 10€/mese il canone della connessione lo avrebbe reso molto più costoso del vecchio contratto Fastweb quindi non avrei mai avuto convenienza nel fare il passaggio. Prima pagavo con Fastweb pochi euro al mese in più di adesso e avevo una fibra FTTH 100Mbit/50Mbit con:
1) Ip pubblico con la libertà di farci quello che volevo (sotto ovviamente la mia responsabilità legale);
2) Il servizio di Fastweb, che ha sempre risolto il guasti segnalati sulla loro FTTH nel corso della giornata lavorativa in cui è stata fatta la segnalazione. La parte amministrativa di Fastweb dopo il call center (bollette e fatturazioni o variazioni di contratto o reclami) era invece una pena, inutile negarlo.
3) Un call center che, comunque sia, risponde sempre;
4) Pagamento mensile e non annuale;
5) Sicuramente maggiore cortesia e rispetto di quella che hanno dimostrano loro la maggior parte delle volte che ci ho parlato.


Mi sembra un modo estremamente scorretto di accalappiare clienti.

[pancrasoft]

Specificare la tecnologia usata per erogare il servizio permetterebbe subito di capire se una determinata offerta fa o meno al caso tuo: Se avessi scoperto dopo l'attivazione che potevo avere solo il servizio dietro al loro NAT, non avrei mai potuto usarlo perchè mi bloccava la VPN con l'ufficio. Non avrei neppure potuto disdirlo, a quanto pare, perchè nelle clausole del contratto c'è un capestro che, di fatto, impedisce il recesso senza il pagamento delle penali.

Condivido appieno, difatti in uno dei miei interventi ho esordito con "le parole sono importanti ed è importante come si usano" ed era inteso a sottolineare l'utilizzo "non molto chiaro" che personalmente ho trovato sulla loro documentazione del termine "IP Pubblico".

Comunque adesso l'IP pubblico che mi hanno dato funziona per le mie esigenze. Quello che non ho capito è che differenza c'è tra un IP come quello che hanno dato a me (ed anche a te credo, leggendo i post iniziali di questo thread) con l'IP sempre Pubblico di classe /30 che avrei avuto pagando i 10 Euro in più. L'uno preclude qualche possibilità rispetto all'altro ?

Mi sto infatti interessando all'argomento VPN e Firewall, le idee al momento sono molto fumose e confuse. L'obiettivo sarebbe quello di proteggere la mia rete casalinga da possibili "intrusioni non desiderate" dato che l'IP è esposto. Dietro al Router ho anche un NAS QNAP TS-251+ (non potentissimo a dire il vero) e stavo valutando l'idea di crearci una macchina virtuale con pfsense. Il timore è più che altro il crollo della banda. Sono per me tutti argomenti nuovi e da sviscerare.

[frakka]

Comunque adesso l'IP pubblico che mi hanno dato funziona per le mie esigenze. Quello che non ho capito è che differenza c'è tra un IP come quello che hanno dato a me (ed anche a te credo, leggendo i post iniziali di questo thread) con l'IP sempre Pubblico di classe /30 che avrei avuto pagando i 10 Euro in più. L'uno preclude qualche possibilità rispetto all'altro ?

In "teoria" nessuna se la configurazione fosse "fatta bene" e capita da tutti gli endpoint.

Una rete IP è definita da un indirizzo IP di "network" ed un indirizzo di "subnet mask" che stabilisce quanto quella rete è ampia (quindi da quanti indirizzi IP è composta). All'interno della stessa network la comunicazione tra due IP avviene direttamente quindi i due endpoint si parlano tra loro senza intermediari. Quando invece un IP deve contattarne un altro che si trova al di fuori della sua network allora non ci può parlare direttamente ma deve consegnare il pacchetto di dati alla macchina "gateway" verso la rete di destinazione rete che provvederà ad inoltrarlo.
Come faccio io a sapere se un determinato IP è dentro o fuori dalla mia rete (quindi se devo contattarlo direttamente o se devo cercare un gateway)? Semplice: Facendo i conti.
Le "fette" di rete sono fisse, non è che ci si sbaglia: Una network /24 inizia dall'IP ".0" e finisce con l'IP ".255", una network /25 inizia dall'IP .0 e finisce con l'IP .128 oppure inizia con .129 e finisce a 255, non si scappa. Analoghi rapporti fissi ci sono per tutti i valori di subnet da 1 a 32 (più o meno...Gli estremi rappresentano dei limiti ma il discorso di allarga).

Una "network" prevede sempre come minimo un indirizzo di "network" da cui si inizia a contare gli host ed un indirizzo di "broadcast" che rappresenta l'ultimo IP della network e sono gli unici due IP "obbligatori". Una rete che non preveda almeno un gateway è una rete isolata, in cui i membri possono comunicare tra loro ma non con IP che non appartengono a quella network. Tipicamente all'interno di una rete c'è un "default gateway" che è quello a cui vengono consegnati tutti i pacchetti destinati a reti per cui non sia prevista una "route" specifica o un diverso gateway.

Vediamo quindi alcuni casi:

1. Subnet /24 (o 255.255.255.0)
   Questa subnet è la più "famosa" perchè è quella che viene di solito distribuita dal DHCP dei router home. Identifica una network composta da 256 indirizzi IP di cui:
   
   • Lo ".0" è riservato ed identifica sempre la "network"
   • Il "255" è un indirizzo riservato denominato "broadcast"
   • Gli IP da 1 a 254 compresi sono disponibili per gli endpoint che compongono la rete. Gli IP sono tutti uguali, non ce ne è uno che abbia funzioni diverse dagli altri, gli unici "speciali" sono gli IP che definiscono la "network" e quello di "broadcast".
   • Il dispositivo (o i dispositivi) che, all'interno di questa rete, operano come gateway verso altre reti avranno un IP compreso tra 1 e 254, a discrezione dell'amministratore della rete. Solitamente si tende ad utilizzare il .1 o il .254 ma è unicamente una questione di forma mentis, non c'è un motivo "regolamentare".

   
   Cosa succede, quindi, quando un dispositivo con IP all'interno della network 185.178.92.0/24 tenta di contattare un altro IP della stessa network? Tenterà di raggiungerlo direttamente, chiamando direttamente l'IP di destinazione.
   Cosa succede, invece, quando un dispositivo con IP all'interno della network 185.178.92.0/24 tenta di contattare un altro IP al di fuori di questa network? Non potendo raggiungerlo direttamente consegnerà il pacchetto dati al gateway di riferimento e rimarrà in attesa dell'avvenuta consegna (in TCP, per l'UDP non c'è conferma).
2. Subnet /30 (o 255.255.255.252
   Mano a mano che il valore della subnet mask aumenta, diminuisce l'ampiezza della rete quindi si riduce il numero di indirizzi IP che la network può contenere. Secondo il meccanismo definito in precedenza, qual'è il numero mimino di IP che devono comporre una rete per consentire la funzionalità come sopra descritta?
   Dovendo avere un IP riservato che determina la "network", un indirizzo "riservato" per il "broadcast" e un IP da assegnare alla macchina gateway verso le altre reti oltre al mio (altrimenti la mia rete sarebbe composta da due macchine ma sarebbe isolata), va da se che la rete più piccola in grado di funzionare come descritto è composta da 4 IP, di cui appunto solo il "mio" è quello spendibile. Capisci quindi che per ogni IP pubblico assegnato con questo metodo, hai un notevole "spreco" di IP perchè per ogni IP attribuito ne devi bloccare 4.
   
   • Una range di IP da 0 a 255 può quindi contenere 64 network /30, ognuna con il suo "network", il suo "broadcast" e due IP (di cui uno solitamente è il gateway verso le altre reti).
   • Gli IP di network sono sempre "0", "4", "8", "12", etc...
   • Gli IP di broadcast sono sempre "3", "7", "11", "25", etc...

   
   Cosa succede, quando un dispositivo con IP all'interno della network 185.178.92.0/30 tenta di contattare un altro IP della stessa network? Dato che lo "0" ed il "4" sono riservati, se l'IP dell'endpoint che fa la chiamata è ".3" potrà parlare direttamente solo con il dispositivo che ha IP ".2", diversamente dovrà passare dal gateway.
   In questo caso specifico, dato che la rete è molto piccola ci troviamo nel caso in cui volente o nolente il mio endpoint con IP ".3" dovrà consegnare il suo pacchetto all'unico altro IP disponibile sulla rete che lo esaminerà e deciderà se è lui competente a rispondere o se deve inoltrare il pacchetto ad un'altra rete.
3. Subnet /31 (o 255.255.255.254
   Se hai capito la spiegazione del punto precedente, è lampante come la gestione "tradizionale" degli indirizzamenti di una rete sia molto inefficiente quando si ha a che fare, per vari motivi, con reti molto piccole. Quando sono iniziati i problemi di scarsità di IPv4 pubblici, si è pensato di introdurre una gestione diversa per quei particolari collegamenti definiti "punto-punto" in cui la network è composta da due soli elementi che devono relazionarsi solo tra loro. Per questo motivo, la famosa RFC (datata comunque Dicembre 2000) ha introdotto la gestione delle subnet /31 (255.255.255.254).
   
   • Una subnet /31 deve essere trattata dai dispositivi "compliant" in modo particolare.
   • Il gateway della rete è tipicamente "IP-1". Cioè: Se il mio IP è 185.178.92.X/31, l'indirizzo "gateway" tipicamente sarà "185.178.92.X-1"
   • Onestamente non so se si considera l'IP disponibile uguale all'IP della "network" o se la definizione rigorosa è diversa ma all'atto pratico non cambia nulla.

   
   In questo caso specifico, entrambi i partner dovrebbero sapere di avere un solo referente possibile a cui destinare tutto il traffico in transito all'interno del link, per questo di chiamano "punto-punto".
   Nel nostro caso, il mio router configurato con IP 185.178.92.X/31 si aspetta di avere come gateway per qualunque destinazione l'IP 185.178.92.X-1 (le coppie dovrebbero essere sempre fisse, 0/1, 2/3, 4/5, 6/7, etc...)
   Dal canto suo, l'IP 185.178.92.X-1 (in questo caso il router dell'ISP) se deve inviare pacchetti all'IP 185.178.92.X/31 li invierà lungo il link punto-punto altrimenti instraderà tutti gli altri pacchetti verso quello che è il SUO gateway.

Cosa succede quindi se io configuro il mio router per usare una /24 invece che una /31 come ha previsto l'ISP (che è il tuo caso)?
Semplicemente il mio router cercherà di contattare gli altri endpoint che crede parte della sua stessa network direttamente, senza passare dal gateway e, molto probabilmente, NON ci riuscirà. Il problema riguarderà tutti gli host all'interno della /24 che ho configurato nel mio router e che non ne fanno effettivamente parte. Magari non sarà un problema ma se, ad esempio, tu avessi un NAS esposto su internet e un tuo amico sempre cliente di Fibra.City e destinatario di un IP nel range di /24 che stai usando impropriamente volesse accedervi non potrebbe farlo (e viceversa).
E allora perchè così internet mi funziona?
Perchè l'ISP avrà predisposto la sua connettività e istruito il proprio router a contattare il tuo IP su un determinato link che è effettivamente quello, indipendentemente dalla subnet configurata nel tuo dispositivo mentre il tuo router riesce a parlare con quello dell'ISP perchè la fetta definita dalla "/24" è sufficientemente ampia da inglobare anche la "/31" cui appartiene l'IP del router.

La cosa strana (ho chiesto un parere anche su altri forum e sono in diversi a trovare la configurazione inusuale) è che l'IP del gateway fornito da Fibra.City non è contiguo a quello che mi hanno fornito. Quindi cosa succede?
Prendiamo ad esempio il mio router, compatibile con la RFC 3021 e configurato con IP pubblico /31 sulla WAN.
Quando il router riceve un pacchetto dalla mia rete interna e destinato a un host su internet, vedendo che l'IP di destinazione non appartiene alla sua /31 tenterà di passarlo al gateway per l'inoltro... Solo che, in questo caso, anche il gateway è fuori dalla network e non può essere raggiunto.

Mi sto infatti interessando all'argomento VPN e Firewall, le idee al momento sono molto fumose e confuse. L'obiettivo sarebbe quello di proteggere la mia rete casalinga da possibili "intrusioni non desiderate" dato che l'IP è esposto. Dietro al Router ho anche un NAS QNAP TS-251+ (non potentissimo a dire il vero) e stavo valutando l'idea di crearci una macchina virtuale con pfsense. Il timore è più che altro il crollo della banda. Sono per me tutti argomenti nuovi e da sviscerare.

Di massima ti puoi accontentare del firewall installato sul router, soprattutto se è configurato bene e di buona qualità.
pfsense va bene ma è da gestire e manutenere, se non ce ne è effettiva necessità probabilmente è più lo preco di risorse che la reale utilità. Poi, per carità, sempre meglio aggiungere uno strato di protezione piuttosto che toglierlo ma bisogna valutare se è veramente necessario.
Considera che se le cose vengono fatte a modo e non vengono esposti in maniera sconsiderata protocolli che non devono essere esposti, dall'esterno un attaccante non può avere visibilità della tua rete perchè il router "maschera" (cioè dall'esterno non è possibile sapere quali, quanti e che IP hanno i dispositivi all'interno della tua rete) a meno di mettersi a sniffare e decriptare tutto il traffico generato e anche con queste informazioni potrebbe comunque fare poco. Le intrusioni in ambito home/soho, di solito, partono dall'interno tramite una chiamata eseguita da un malware arrivato magari tramite posta o altri software che "apre la porta" alle intrusioni.



Spero di non aver scritto troppo castronerie ma adesso non ho la forza di rileggere...