Ricevo via email:

Ciao, mi permetto di scriverti per chiederti aiuto sulla giusta configurazione per settare le porte udp e tcp libere da filtri sul WRT54GL di Fon, in particolare la 1755 su cui mi gira emule.
Seconda cosa, io ho una connessione adsl di libero con ip dinamico, in che modo posso far si che il dhcp del router mi assegni sempre lo stesso?
Resto in attesa di un tuo aiuto, grazie anticipatamente.

Il fatto che il prvovider ci assegni un IP dinamico non ha nessuna relazione con gli IP privati della nostra rete, che possono essere statici o dinamici.
Intanto una considerazione: la procedura che descriverò riguarda l’apertura di porte verso gli host in LAN rispetto al router FON, quindi tutto ciò che è collegato (via cavo) allo switch del LinkSys. Non viene presa in considerazione l’apertura di porte verso host wireless in WLAN, poichè si tratta di un segmento di rete “pseudopubblica”, sulla quale non è assolutamente consigliabile far girare un servizio.
Il requisito fondamentale per pubblicare una porta da un router FON, è che il traffico relativo raggiunga la sua porta “Internet” (WAN), quindi dovremo assicurarci che la porta TCP sia correttamente inoltrata. Nel caso di un modem ethernet non ci sono problemi, se invece possedete un router vi ho già ampiamente annoiato sull’argomento, qui, poi qui, e qui, e anche con un podcast.
Una volta sicuri che il traffico che ci interessa raggiunga il router FON, lo possiamo finalmente inoltrare ad un host della nostra rete.
Per farlo è necessario che il computer abbia sempre lo stesso indirizzo IP; possiamo ottenere questo risultato in due modi diversi.

• Modo 1: Creare una reservation sul DHCP server del router. Accedete all’interfaccia di amministrazione, l’IP predefinito è 192.168.10.1. Menu Network --> Hosts, nella sezione “Static IP addresses (for DHCP)” inserite l’indirizzo MAC della scheda di rete del PC, e l’IP che desiderate le venga assegnato. Cliccate su “Add” e poi su “Apply Changes”, in basso a destra. Per conoscere l’indirizzo MAC della scheda di rete, impartite il comando ipconfig /all dal prompt dei comandi, e cercate la sezione relativa alla vostra scheda di rete “fisica”: lì compare il MAC address (inseritelo separando i numeri esadecimali con i due punti “:”, non con il trattino). Per attivare la reservation che avete appena creato, riavviate la macchina, oppure impartite il comando ipconfig /release seguito da ipconfig /renew.
• Modo 2: Assegnare alla propria scheda di rete un IP fisso tipo 192.168.10.X, subnet mask 255.255.255.0, gateway 192.168.10.1 e DNS 192.168.10.1

Scegliete voi il modo che preferite. Il primo è comodo se il PC viene spesso spostato su reti diverse.

Una volta assegnato un IP riservato o statico all’host dove gira il servizio che vogliamo pubblicare, non resta che configurare di conseguenza il router FON.
Menu Network –> Firewall, assicuratevi che nella casella New Rule ci sia “Forward” e cliccate su “Add”, scegliete “Protocol”, e cliccate su “Add”.
Con “TCP” selezionato, scegliete “Destination ports” e cliccate su “Add”. Inserite in “Destination Ports” il numero della porta da inoltrare, in “Forward to” l’IP dell’host su cui inoltrare il traffico (quello configurato poco fa), e in “Port” la porta di destinazione (per la configurazione che stiamo trattando i valori della porta sorgente e destinazione coincidono). Confermate con “Save”.
Controllate che la regola sia stata creata e che sia corretta, e salvate cliccando su “Apply Changes” in basso a destra. Fatto, la porta è inoltrata, non vi resta che controllare se è aperta.

Ricevo via mail:

Devo fare delle connessioni per amministrare dei server Windows, sui quali funziona un servizio SSH. Dopo aver aperto il tunnel per proteggere la porta 3389 (uso Putty), lancio la connessione al desktop remoto specificando “localhost”, ma mi appare questo messaggio di errore.
“Impossibile connettersi, si è già connessi alla console di questo computer. Non è possibile stabilire una nuova sessione della console”.
Ho provato con altre porte ed il tunnel funziona. Dove sbaglio?

In realtà ne avevo già parlato, cerco di precisare meglio.
Per effettuare una connessione loopback sul servizio RDP, per prima cosa bisogna disabilitare l’accesso locale: Pannello di controllo –> Sistema –> Connessione remota, e togliere il segno di spunta da “Consenti agli utenti di connettersi in remoto al computer”.
Dopodichè fare una copia dei files mstsc.exe e mstscax.dll in una cartella separata.
A questo punto accedete alle proprietà di mstsc.exe e nella linguetta “compatibilità”, impostate “Windows 95″.
Da ora in poi potrete usare questo eseguibile per effettuare connessioni verso “localhost”, dopo aver stabilito il tunnel verso il server.

…cos’è e come funziona UltraVNC Viewer listen mode?
Ciao, Carlo.

UltraVNC Viewer listen mode è una modalità di funzionamento “inversa” della connessione tra il client ed il server. In pratica permette di connettere il controllore al controllato per mezzo di una connessione iniziata dal controllato (server), e non dal controllore (client).
Nella modalità normale di funzionamento, si inserisce l’indirizzo IP dell’host di cui si vuole prendere il controllo (oppure il nome FQDN) nel client, che si incarica di contattare il server che ascolta sulla porta 5900/TCP.
In alcuni casi non è possibile aprire o inoltrare una porta TCP verso il server, quindi è impossibile raggiungerlo dall’esterno. Si può rimediare con il Viewer in listen mode.
In pratica è necessario pubblicare la porta 5500/TCP dell’host su cui gira il client, e lanciare UltraVNC Viewer listen mode, che rimane in attesa di connessioni nella systray.
A questo punto sul server si clicca l’icona del server nella systray con il tasto destro, si sceglie la voce “Add New Client” e si compila il campo “Host Name” con l’IP (o il nome FQDN) dell’host su cui è in ascolto il Viewer. La connessione partirà normalmente.
Questa modalità di funzionamento è molto comoda per chi fa assistenza remota di molti host: basta configurare una volta sola il lato client, senza dover toccare le configurazioni di rete di ciascun lato server.

…ho un router con IP statico, devo collegare la rete ad internet. Ho anche un firewall … che indirizzi di rete devo usare?

Prendiamo ad esempio una rete medio piccola, con un appliance firewall (una scatola, insomma) ed un router che può essere di proprietà o concesso in comodato d’uso dal provider.
La scelta del piano di indirizzamento IP della rete locale va fatta con attenzione, specie in questo caso.
La chiave di tutto è l’indirizzo della porta WAN (pubblica) del firewall, una volta scelto quello, il resto viene di conseguenza. Leggi tutto…

Ricevo il seguente messaggio:

La mia azienda ha tre sedi. Nella sede principale ci sono due connessioni internet con due router/firewall (RF1 e RF2).
RF1 viene utilizzato per la connessione internet e per una VPN verso una delle sedi remote (S1). RF2 solo per la VPN verso l’altra sede (S2).
Mentre la VPN RF1< ->S1 funziona benissimo, nell’altro caso riesco a mettere in contatto solo RF2 con il router di S2, mentre i pacchetti tra le due reti non passano affatto. Dai log vedo che il collegamento si instaura perfettamente. Dov’è il problema?

Questo accade poichè gli host della sede principale usano come default gateway RF1. I pacchetti dalla rete di S2 arrivano fino all’host finale, ma questi indirizza (correttamente) la risposta a RF1, poichè l’IP di destinazione del pacchetto non fa parte della sua sottorete.
RF1 non “conosce” la rete remota di S2, allora inoltra a sua volta il pacchetto verso il suo gateway, oppure lo scarta perchè è di una classe privata (e quindi non routabile su internet). In entrambi i casi il pacchetto non raggiungerà mai la sua destinazione.
Il problema è di semplice soluzione: basta creare una route statica su RF1, che indichi l’indirizzo di RF2 come gateway per i pacchetti destinati alla rete S2. Il tutto sull’interfaccia LAN e con metrica 1.
In questo modo, i pacchetti per S2 provenienti da host della sede centrale verranno inoltrati da RF1 a RF2. Quest’ultimo provvederà a inserire il traffico nel tunnel VPN verso il router di S2, e da lì pacchetti arriveranno a destinazione.

In un commento mi viene richiesto:

E’ possibile tenere traccia degli utenti/client che si sono loggati ad una macchina su cui è attivo UltraVNC?

UltraVNC è in grado di loggare l’attività del server. Una volta attivato ed installato il servizio, lanciate Start –> Programmi –> UltraVNC –> UltraVNC Server –> Run Service Helper.
Selezionate Log debug infos to the WinVNC.log file, confermate e riavviate il servizio VNC Server. Da questo momento in poi l’attività verrà loggata nel file c:\windows\system32\WinVNC.log.
Se volete modificare il dettaglio delle informazioni, potete modificare questa chiave nel registro: HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\DebugLevel.
Il default è 10 (decimale), accetta valori da 0 a 20 (decimale).
Ricordate di riavviare il servizio dopo ogni modifica.
Trovate qui un elenco delle chiavi relative ad UltraVNC.

Mi è stato posto il seguente quesito:

Sono un cliente FastWeb residenziale, e ho necessità di collegare diversi computer alla rete locale. Io sono un tecnico per hobby, e mi diverto a rimettere in sesto i computer di amici e parenti. Purtroppo è già successo che la mia connessione fosse bloccata perchè, mi dicono, ho raggiunto il massimo possibile di computer collegati. Non desidero infrangere le regole, dato che i computer collegati contemporaneamente non sono mai più di 2 o 3, ma sono sempre diversi, e questo è la causa del problema. Esiste una soluzione?
Ciao, Carlo

Attenzione: la risposta a questa domanda non è un modo per violare le norme contrattuali di FastWeb, bensì una soluzione al problema di chi ha bisogno di cambiare spesso i PC della sua rete.

Carlo,
FastWeb controlla i MAC address delle schede di rete per evitare abusi, e quando il conteggio supera un certo numero, la connessione viene temporaneamente bloccata.
Bisogna quindi frapporre tra la propria rete locale e lo switch FW (hag), un router o, meglio, un firewall. Ci sono due possibilità: o un’appliance tipo ZyXel ZyWALL 2 oppure un PC con due schede di rete e Linux.
Se la banda fornita da FastWeb supera gli 8 megabit, come nel caso delle connessioni in fibra, il modello ZyWALL 2 non basta, ma serve il modello ZyWALL 10.
Sia nel caso dell’appliance che nel caso del PC, l’hag verrà collegato alla porta WAN, e la rete locale alla LAN. Quindi FW non vedrà mai cambiare il MAC address e non disattiverà la connessione.
Per il PC si può usare una distribuzione molto semplice da configurare come SmoothWall (qui e qui le istruzioni per l’installazione e la configurazione).
Oltre alle normali policy di firewalling, entrambi dispositivi devono essere configurati per effettuare il NAT, in modo da aumentare la sicurezza e nascondere il numero di host che popolano la rete.

Ricevo costantemente, via mail e commenti, la seguente domanda

Ho configurato la mia webradio/UltraVNC, in locale funziona, ma da internet non riescono a sentirmi/collegarsi al mio computer, cosa devo fare?

Se il servizio funziona solo localmente ma non dalla rete, si tratta di un problema di firewall locale, che va disabilitato (no!) o (meglio!) adeguatamente configurato. Se usate WinXP SP2 e relativo firewall, al primo avvio del servizio vi verrà chiesto se volete creare una regola di accesso: leggete bene il messaggio e rispondete di conseguenza. Per altri firewall, fate riferimento alla guida, che certamente contempla un caso simile.
Se invece il servizio funziona sia sul computer stesso che sulla rete locale, mentre non funziona da internet, si tratta sicuramente di un problema di inoltro delle porte TCP, ed il firewall locale dovrebbe essere a posto.
La stragrande maggioranza dei servizi non credo funzioni tramite la condivisione connessione internet, ma non ho molta esperienza al riguardo.
Se avete un router, controllate sul manuale come fare per inoltrare la porta desiderata al giusto PC sulla rete.
Se volete capire perchè questo sia necessario, qui trovate una spiegazione tecnica particolareggiata.
Qui, invece, ci sono altre spiegazioni sull’inoltro delle porte. L’esempio parla di controllo remoto, ma è valido anche per altri casi, ad esempio per una webradio.
Una volta fatto tutto, seguendo queste istruzioni potete testare se la porta è accessibile anche da internet.

Altro quesito che mi viene spesso posto:

…ho un pc ed una connessione Fastweb, no IP pubblico… e vorrei controllare il pc stesso dal lavoro / accedere ai miei files da remoto / creare una webradio…

A quanto ne so, allo stato attuale non è possibile accedere dall’esterno al proprio PC. Questo a causa della particolare architettura delle rete Fastweb, che si comporta come una grande rete locale. In pratica gli indirizzi IP assegnati a ciascuna macchina sono nattati e diversi host “escono” su internet con un unico indirizzo IP. Quindi si può essere raggiunti solo da altri utenti Fastweb, non dal “resto del mondo”. Si può persino usare DynDNS e darsi un nome di dominio, ma esso resterà accessibile solo dall’interno di Fastweb.
Ciascun utente ha comunque a disposizione un’opzione di IP statico “a tempo”, tramite il quale può pubblicare i servizi che desidera verso tutto il “mondo esterno”. Ma si tratta di un’opzione a tempo e, mi dicono, costosa.

Diversa la situazione dei contratti businsess con IP statico, dove, a seconda della configurazione del router, si possono aprire tutte o parte delle porte TCP verso l’interno della propria rete.

In realtà è un commento, ma si tratta di un problema che mi viene sottoposto spesso, quindi ne parlo qui.

Ciao Andrea,
Nella mia azienda abbiamo un contratto ADSL con 8 indirizzi pubblici. Anche io ho riscontrato il problema dell’errore (Accedere con UltraVNC dall’esterno. N.d.R.). Il problema è questo: la mia azienda si occupa di analisi chimiche sugli alimenti e il mio titolare (responsabile del laboratorio) ha la necessità di monitorare i Pc collegati alle macchine per evitare che eventuali guasti possano far bloccare tutto con conseguente perdita di tempo e denaro. Per prima cosa, come si fa a mappare l’indirizzo pubblico? Devo entrare nel router? L’IP pubblico del Pc a cui mi voglio collegare in remoto da dove lo controllo e configuro? Una volta risolte queste cose posso utilizzare da remoto questo Pc per visualizzare le altre macchine o devo utilizzare altri indirizzi pubblici?
Vito

Leggi tutto…

Inauguro oggi una nuova categoria: la posta.
Visto che ricevo parecchie mail con richieste di aiuto e di suggerimenti, ho deciso di pubblicare quelle di interesse generale.

…ho convinto mio cognato a inserire un firewall SmothWall 2 sulla sua nuova connessione Fastweb (ieri sera) 5 pc e un plotter hp. Sui pc nessun problema con il DHCP sia sulla Green che sulla Red (per forza) …uno spettacolo .
Mi sono scordato il plotter ! Non viene più visto. Esso (il plotter malefico) ha inserito il server di stampa hp jetdirect 615n, secondo lei se ne reinstallo il software riesce il DHCP dello SmoothWall ad assegnare l’indirizzo, devo assegnarlo poi ??
Grazie per quanto potrà fare,
saluti
Ugo

Ugo,
E’ meglio assegnare un IP statico ai dispositivi che offrono un servizio, come i print server.
Detto questo, per prima cosa occorre assicurarsi che sulla sottorete servita dal server DHCP ci siano ancora degli IP liberi, cioè fuori dal range di indirizzi.
Poi occorre configurare il print server con indirizzo IP statico, subnet mask e gateway adeguati.
Per farlo occorre leggere il manuale del print server.
Se il print server è nuovo, il manuale riporta l’indirizzo IP di default. Se non ricordo male i dispositivi HP hanno un tastino che, premuto, produce una stampa della configurazione.
Una volta trovato l’IP basta connettersi via telnet o via browser per modificare la configurazione.
Se il print server è impostato come DHCP client, SmoothWall non ha alcun problema a servire un indirizzo. Il consiglio, comunque, è di assegnare un IP statico.