Andrea Beggi

When it is dark enough, you can see the stars.

La posta: reti ed indirizzi IP

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

…ho un router con IP statico, devo collegare la rete ad internet. Ho anche un firewall … che indirizzi di rete devo usare?

Prendiamo ad esempio una rete medio piccola, con un appliance firewall (una scatola, insomma) ed un router che può essere di proprietà o concesso in comodato d’uso dal provider.
La scelta del piano di indirizzamento IP della rete locale va fatta con attenzione, specie in questo caso.
La chiave di tutto è l’indirizzo della porta WAN (pubblica) del firewall, una volta scelto quello, il resto viene di conseguenza.
Questo indirizzo si determina in base al numero di IP pubblici statici di cui si dispone: nel caso fossero almeno due, alla WAN del firewall conviene assegnare uno degli IP a disposizione. Se invece ne avete uno solo, il router dovrà necessariamente fare NAT, e quindi la porta del firewall avrà un IP di classe privata.
I casi più comuni in cui si ricade sono: IP statici signoli e classi da 8. Nel caso di una classe da 8 la subnet mask dei vostri IP sarà 255.255.255.248. Il primo IP è la rete, l’ultimo il broadcast, il primo utilizzabile di solito viene usato dal provider come gateway, i cinque rimanenti sono quelli che potete usare (di cui uno al router ed uno al firewall). A volte il router è configurato diversamente, con indirizzi punto-punto, e in questo caso il gateway sarà direttamente l’IP del router stesso.
Considerata la classe di apparecchi che si utilizzano per le reti di dimensioni medio-piccole, è abbastanza comodo fare sempre il NAT anche sul firewall. Non ci sono controindicazioni all’utilizzo di due NAT in cascata, è sufficiente fare attenzione all’inoltro delle porte TCP ed alla corretta impostazione dei gateway di default.
Vediamo i due casi:

  • Firewall con IP pubblico. La porta WAN del dispositivo sarà configurata con un IP pubblico, con subnet e gateway assegnati dal provider secondo lo schema descritto prima. NAT e PAT per la rete interna e eventuali altri IP statici per la DMZ, se esiste.
    Esempio: router 82.105.164.97, connesso alla porta WAN del firewall, che ha indirizzo 82.105.164.98, subnet 255.255.255.248 e gateway 82.105.164.97. Il firewall fa NAT, la sua porta privata è 192.168.0.1 con subnet 255.255.255.0. La rete privata ha indirizzi del tipo 192.168.0.x, con gateway 192.168.0.1 e subnet 255.255.255.0.
    Questo caso non richiede particolari configurazioni del router. I servizi interni alla LAN che si intende pubblicare su internet saranno raggiungibili tramite l’IP statico pubblico del firewall (82.105.164.98), che si incarica dell’inoltro dei pacchetti al server interessato, tramite NAT e PAT.
  • Firewall con IP privato. In questo caso il router deve fare NAT, e la porta pubblica del firewall avrà un indirizzo ed una subnet mask assegnati di conseguenza. Esempio: lato WAN del router 82.105.164.98, lato LAN 192.168.254.1/255.255.255.0, e NAT relativa. Lato WAN del firewall: 192.168.254.2 con gateway 192.168.254.1, lato LAN 192.168.0.1 (e NAT anche qui). La rete locale avrà gli stessi parametri del caso precedente.
    In questo caso bisogna fare attenzione alla configurazione del router, è assolutamente necessario che il NAT ed il PAT ribaltino tutto il traffico sulla porta WAN del firewall, altrimenti non sarà possibile pubblicare alcun servizio (*). L’accesso dall’esterno avverrà tramite l’indirizzo IP statico del router, nell’esempio: 82.105.164.98. Fate molta attenzione, è imperativo che la rete tra router e firewall abbia indirizzi diversi dalla rete tra firewall e LAN.

(*) In alternativa, si possono inoltrare solo alcune porte al firewall, cosa peraltro scomoda poichè costringe a modificare la configurazione del router ogni volta che si modifica il NAT/PAT del firewall.

Questi sono alcuni post a cui vi consiglio di dare un’occhiata, per completare le condiderazioni appena fatte:
TCP/IP in pillole: NAT
Impostazioni ADSL Telecom
La Posta

20 Commenti

stefano | #

Complimenti x l’articolo, proprio quello che devo installare io. Ho solo un dubbio:
– alla WAN del router do un IP pubblico
– alla WAN del firewall di un altro IP pubblico
– il router fa solo routing
– il firewall fa anche NAT
Siccome la WAN del firewall connessa alla interfaccia LAN del router, mi chiedevo quale indirizzo devo assegnare al lato interno (LAN) del router ?
Grazie, ciao.

Dario de Judicibus | #

Mah… Io sono anni che cerco di far parlare il mio portatile con il desktop della mia compagna… manco per sogno. Non lo vede, altro che condividere la connessione! In pratica ho un portatile che uso in DHCP quando lavoro, sulla rete aziendale. Se lo devo collegare al MIO desktop a casa su una rete ethernet, lo metto a 10.0.0.2 mentre ho il desktop fisso su 10.0.0.1. Basta una BAT con NET USE per automatizzare la cosa. Se invece lo attacco a quello della mia compagna, che il classico 192.168.0.1, il mio laptop un 192.168.0.x (ho provato vari x, senza risultato). Una volta su 10 i due PC si vedono, altrimenti no. Misteri di Windows. In quanto alla condivisione dell’ADSL collegata al desktop, quando si vedono funziona solo se faccio partire sul desktop un Free Proxy. Se no, quella standard di Windows non funziona neanche a pregare Santa Sof, la protrettrice dei Picc. 🙁 La connettivit di windows fa schifo… sigh

Giuseppe | #

Be siamo daccordo sul fatto che windows non sia il massimo in quanto a connettivit e gestione di reti, ma da qui a dire che fa proprio schifo mi sa che ce ne passa….

Mi viene in mente una frase che ho letto molti molti anni fa su una rivista: “I COMPUTER NON SBAGLIANO MAI” !:)

ste | #

> I COMPUTER NON SBAGLIANO MAI !:)
…. ma i software s …..

Paolo | #

Proprio interessante l’articolo e ben fatto!
Utilizzo la sezione commenti per richiedere un aiuto, visto che mi sembra non di discosti molto da quanto riportato nell’alrticolo.
Ho una connessione HDSL con router cisco 1700 in comodato duso della Telecom. Non ho nessuna propriet di entrare nel router per configurarlo perch Telecom non rilascia la password!!
Mi hanno assegano un range di indirizzi pubblici di cui il secondo, come al solito, quello del gateway.
La mia rete privata dispone della classica assegnazione IP 192.168.0.xxx con subnet 255.255.255.0
Al server ho assegnato lindirizzo privato 192.168.0.15
Sto cercando, senza successo, di abilitare una VPN. Sul server, con SO windows 2000 server ho configurato, penso nel modo opportuno, laccesso remoto e le relative policies daccesso.
A questo punto le mie conoscenze cominciano a traballare e sono andato un po per tentativi senza successo.
Il primo, stupido tentativo stato quello di chiamare lindirizzo del router cisco, il secondo della classe IP assegnatami ma la connessione non avviene. Certo, mi sono detto, come fa il router ad indirizzare la chiamata al mio server?!! Allora, ho pensato di farmi attivare da Telecom un NAT sul mio terzo indirizzo IP pubblico con traslazione sul mio indirizzo del server privato (192.168.0.15).
Purtroppo nemmeno cos non funziona!!
Non riesco a capire dove sbaglio! Mi dicono che il router dovrebbe avere tutte le porte aperte e quindi non credo che sia quello il problema!!
Al momento non ho messo un firewall in mezzo a tutto il discorso per non incasinare ulteriormente le cose!
Non so pi che pesci prendere se non dare una martellata al router e poi telefonare a Telecom e dire: ops,si rotto!!!

Andrea | #

Paolo, il NAT necessario, ma.
Se la VPN IPSec difficilmente funzioner dietro ad un NAT, ci sono problemi.
Se la VPN PPTP va inoltrata la porta 1743/TCP. Attenzione che va inoltrato anche il protocollo GRE 47, altrimenti non funziona.

Alvise | #

salve , non so se è il osto giusto per porre il mio problema. da quando mi sono beccato un virus (debellato) , un collegamento sul desktop (W XP) di una partizione avente come lettra la E , non funziona più , l’ho cancellata e rifatto il collegamento , ma nulla , di più , neanche da “risorse del computer”, facendo Dbclk , si apre , devo cliccare su “Apri” , ed allora si apre (meno male, era l’ultima risorsa per accdere ai file). preciso che il dell’unità E e su una unità condivisa in una rete lan , ma ha sempre funzionato. forse è una chiave corrotta , ma non so quale è , ammesso che sia così. qualche consiglio?.Grazie.

Alessandro | #

Interessante l’articolo ma non mi è chiara una cosa: possiedo una rete ben più piccola (2 pc con indirizzi 192.168.0.x) collegati ad un router firewall (A). Ho preso l’Adsl Alice Business base. Mi hanno fornito un indirizzo IP statico ed il modem router della Pirelli. Il modem router ha indirizzo IP 192.168.1.1. Posso collegare il modem router all’ingresso WAN del mio router (A) ? Ma gli devo cambiare indirizzo e metterlo sulla mia classe (ho visto che nelle opzioni è possibile farlo) ? Nelle impostazioni delle rete di Win qual è il mio gateway (il router (A) o quello router-modem della telecom) ? Scusate ma ci capisco poco. Grazie.

Enzo Carrara | #

Ho un router NETGEAR 834 e una LAN casalinga con diversi oggetti collegati (PC, WEBCAMERA, AUDIO-VIDEO, WIFI, ECC) tutti connotati con IP privato della serie 192.168.1.xx.

Ciascun device ha un proprio IP, univoco, da me impostato ove possibile, e i restanti assegnati dal router che e’ attivo con DHCP nel range assegnato.
Nel succitato router ho provveduto a prenotare i vari IP in modo da evitare la duplicazione degli indirizzi. Il tutto funziona regolarmente ed esco dai PC in internet attraverso la ADSL di NGI.

Orbene dal provider ho acquistato un pacchetto di 8 IP pubblici della serie 81.174.35.xx1 fino a 81.174.35.xx8 e con una subnet mask 255.255.255.248.

La mia intenzione sarebbe quella di rendere pubblico (accessibile dall’esterno via internet) alcune mie device della rete domestica come ad esempio la WEBCAM, il PC (uno) e il sistema AUDIO-VIDEO. Oltre ad eventuali altri dispositivi di controllo (TIBBO).

Non so come configuare il router.

Ora riesco solo ad accedere (dall’esterno) alla WEBcam (il cui indirizzo e’ 192.168.1.12) utilizzando il primo del pacchetto IP statico (81.174.35.xx1) in quanto ho eliminato il firewall dal router (DMZ) e configurato lo stesso per linkarlo all’IP privato della WEBCAM.
Qualsiasi tentativo di utilizzare i restanti IP pubblici dall’esterno non hanno portato a nulla.

La situazione attuale:

– IP router 192.168.1.1
– SUBNET MASK ROUTER 255.255.255.255
– IP gateway di tutti i miei device di LAN 192.168.1.1
– SUBNET MASK di tutti i miei device di LAN 255.255.255.0
– IP dei device LAN interni 192.168.1.xx2 e successivi

CHIEDO:

Come posso assegnare a ciascun device di LAN interna che intendo raggiungere dall’esterno
Gli 8 (solo 5 mi dicono utili) IP pubblici a disposizione?

Come devo configurare il router?
Che gateway dare a ciascuno?
Quale subnet mask?
Posso lasciare attivo il DHCP o no?
Premetto che privilegio una configurazione semplice e stabile: non ho problemi di intrusi in quanto solo occasionalmente sara’ collegato un PC alla rete in mia assenza.

Sarei grato, in quanto principiante, una dettagliata descrizione dei settagli del router: io non vorrei combinare guai. In precedenza, causa “smanettamenti” ho faticato a trovare l’attuale funzionalita’: non riuscivo piu’ a connettermi in internet!

Grato per qualsivoglia contributo, porgo saluti e cordialita’.

Enzo enzo@carraraenzo.it

roit | #

Salve a tutti vorrei chiedervi un quesito se possibile.

Se io nella mia azienda dove uso indirizzi pubblici vorrei inserire un firewall ma continuare ad usare i pubblici e crearne naturalmente altri interni si può fare…..

Grazie per eventuali risposte

Stefano Rossi | #

Ciao,
devo collegare un router tra il modem telecom alice e la rete interna del nostro ufficio. Vorrei sapere se il il compact router ADSL Atlantis è adatto per tale operazione o sai indicarmi quale strumento può fgare al mio caso.
Grazie

dennys | #

volevo informazioni se sapete aprire delle porte di atlantis ruter
devo aprireTCP 6005 – porto entrante per i collegamenti di dati di cliente
UDP 5000 – 15000 – porti entranti per ruscelli di multimedia
Cliente di Camfrog:
Di porti aperti non sono avuti bisogno, ma disabilita Norton Firewall perché può provocare conflitti.
Portforward.com è un grande luogo di risorsa per aiuto con porto che spedisce col Suo instradatore. Lei può avere bisogno di spedire porti per trovare il sistema di servizio di Camfrog per lavorare dietro al Suo instradatore.
le seguenti devo mettere ip publico

roberto | #

Salve, le vorrei chiedere come posso fare per farmi assegare dal router sempre lo stesso IP?

Walter | #

Ciao a tutti sono Walter e volevo sapere come posso scoprire l’indirizzo del mio router personale,dato che,non avendo tale indirizzo,non posso proteggere la mia rete wireless.ho un router sparklan 6800-wx-II e ho fastweb.non trovo nulla su internet che mi possa aiutare…

-Man- | #

Ciao ANDREA, ho letto il tuo forum e devo dire ke tra molti tu sei quello davvero preparato, comlimenti.
E’ da tempo che vago sui forum per risolvere un mio problema: Ho un router HAMLET HRDSL512W wireless, e possiedo Alice flat,il problema è questo: ho scaricato PCHELPDESK, di Ultr@vnc, ho lasciato l’impostazione di default ma togliendo la spunta sul Upap,( cioè il plung play, non mi ricordo come si scrive di preciso)cmq settato PCHELPDESK e mi ha creato il file eseguibile per inviare all’utente dove cliccandoci sopra mi dovrebbe far prendere il controllo del suo pc. Ma questo non accade, eppure facendo la prova sul mio pc, (ho un pc con l’ip del router 192.168.1.100 e un notebook con l’ip 192.168.1.101, entrambi connessi sulla stessa linea adsl, PCHELPDESK funziona benissimo, sicuramente perché il mio router usa la mia rete lan. Capisco sicuramente che devo impostare il mio router sulla porta 5500, visto che sul software PCHELPDESK è stato impostato su questa porta, ora ti chiedo come posso fare per impostare bene il mio router per far si che quando invio il Mio server eseguibili a un utente mi parte?
Ti chiedo scusa se ti rubo del tempo, magari se trovi il mio problema noioso lascialo perdere, capirei il mio fastidio.
Capisco anche che magari questo forum è scaduto.
Se vuoi puoi rispondermi anke sulla Mia emai.
Grazie

G.One | #

Ciao Andrea, leggendo il tuo articolo mi ha incuriosito il fatto che tu non abbia completato il primo paragrafo di “Firewall con ip pubblico” ovvero:
quando la dmz esiste, come posso far intervenire / configurare il firewall in modo da assegnare gli altri ip pubblici a disposizione a macchine esposte (es. web server, mail server, ftp server…)?

angelodellanotteee | #

Salve io ho un problema con la viodeochat di camfrog o meglio con il privato perchè se sto in una dlle tante stanze la cam e l’audio funzionano ma se vado in pvt no.Ormai è quasi un anno che vado avanti così ,ma la cosa x me assurda ma spero che per qualcuno qui nn lo sia e che anzo mi aiuti a risolvere qst problema,è che se io avendo un wi fi come collegamento se nn sono con la mia linea telefonica tutto va apposto.qualcuno può aiutarmi a risolvere qst problema?grazie

Kenfary72 | #

salve io ho un problema.
Starei costruendo un sito ma da quando ho la webcam non riesco a reindirizzarla automaticamente al router quindi devo tenere acceso il programma per mandarla online ! come posso reindirizzarla al mio router ZyXEL ?

Grazie per eventuali risposte.

davidone | #

Salve sono un router e mi sono perso in rete, come posso trovare la mia subnet del ritorno
Grazie dell’attenzione