Ritorno sulle impostazioni e parametri delle connessioni ADSL Telecom di tipo business per puntualizzare alcune cose.

I parametri della linea sono: VPI e VCI rispettivamente 8 e 35, encapsulation LLC, QoS UBR, protocollo RFC1483 routed. Per questo tipo di linea vengono forniti in genere almeno quattro IP fissi, ed il foglio che lascia l’omino Telecom contiene due classi di indirizzi chiamati IP LAN e IP punto-punto (o IP WAN).

Se avete un router di proprietà, ecco come impostarlo.

Intanto fatevi un’idea di come sono fatte le classi di indirizzi; nessuno fa i conti a mano, utilizzate l’ottimo Online IP calculator.

Facciamo un esempio pratico(*): sul foglio, spesso scritto a mano con pessima calligrafia e fotocopiato da una Xerox degli anni ‘50, ci sono:

IP LAN: 78.62.124.200 / 255.255.255.248. Il tool ci dice che abbiamo a disposizione una classe da 8 indirizzi (78.62.124.200 - 78.62.124.207), di cui possiamo utilizzarne 6, poiché il primo (.200) identifica la rete e l’ultimo (.207) il broadcast.

Punto-punto: 84.81.188.200 / 255.255.255.252    Stessa cosa: ma solo 4 indirizzi (84.81.188.200 - 84.81.188.203 ) con 2 utilizzabili.

A questo punto impostiamo IPoA (IP over ATM) e mettiamo nell’indirizzo IP della connessione (lato WAN) 84.81.188.202, subnet 255.255.255.252 e gateway 84.81.188.201. Questo perché il gateway di Telecom è sempre il primo indirizzo disponibile.

Nell’indirizzo LAN del router va inserito uno degli IP pubblici forniti. Scegliamo il primo, 78.62.124.201 con subnet 255.255.255.248. Questa configurazione è routing “puro”, e il NAT andrà disabilitato poiché nei modelli più semplici di router non è possibile assegnare due IP all’interfaccia LAN, oltretutto NATtandone uno solo; per questo siete praticamente obbligati ad installare un firewall con WAN 78.62.124.202, subnet 255.255.255.248 e gateway 78.62.124.201 (l’interfaccia LAN del router). IP LAN e NAT andranno configurati in conseguenza della classe di indirizzi privati che utilizzate nella vostra rete locale.

Naturalmente nessuno di Telecom vi dirà nulla di tutto questo, lo dovrete scoprire da soli.

(*) gli indirizzi sono assolutamente inventati.

Lo scrivo qui così non me lo dimentico.

Mi è capitato un paio di volte che durante l’installazione di un Symantec Mail Security, dopo la prima fase di inserimento del file di licenza e di aggiornamento del software, l’appliance non funzionasse correttamente, non riuscendo ad uscire su internet. Il flusso della posta funziona, ma gli aggiornamenti delle signature non vengono scaricati. Dopo aver escluso problemi di regole sul firewall, si scopre che manca il default gateway.
O meglio: sull’interfaccia di amministrazione è correttamente definito, ma collegandosi via ssh alla console e impartendo un route -n si nota che manca completamente la rotta per uscire su internet. Si può aggiungere a mano con un route add eccetera eccetera, ma non viene salvata al prossimo riavvio. L’utente con i diritti di accesso alla console non è root, quindi non si può neppure entrare in /etc.

La prima volta il problema è stato risolto dal mio collega Giuliano, il quale, evidentemente, è stato allevato da una coppia di pinguini, dato che parla bash madrelingua. Con delle magie applicate a GRUB e manovre sbirciate da sopra la spalla di un sistemista Symantec, è riuscito a modificare il file XML che contiene la configurazione del sistema, ma il procedimento è stato lungo e complicato(*).

Questa volta me la sono dovuta cavare da solo, con il metodo “Annusa E Prova”, che a volte dà i suoi frutti. (Sulla KB Symantec manco l’ombra di una soluzione).

Per farla breve, anche se in fase di configurazione viene data la possibilità di non definire un IP virtuale per la scheda di rete principale, se non viene fatto viene comunque creata un’interfaccia virtuale con IP vuoto. Basta cancellarla e ricrearne un’altra con l’indirizzo compilato e finalmente la route statica si crea automagicamente. L’unico utilizzo per questo indirizzo supplementare è la scansione del traffico IM, che comunque lascio disabilitata.

(*) so che Giuliano ogni tanto mi legge, se ha voglia di raccontare nei commenti come si ottiene l’accesso root a questi aggeggi, magari serve a qualcuno.