Fastweb mi da IP pubblico, io voglio tornare a quello privato e non posso

In che senso sotto rete locale alcune app non vanno?

I problemi della rete locale non sono certo determinati dall’essere sotto NAT o avere l’IP pubblico, nè dipendono dal provider.

Per il disco in rete meglio acquistare un nas, piuttosto che collegare un disco usb al router che è una soluzione molto inaffidabile.

si non si può,anche a me mi avevano detto che se attivavo ip pubblico poi non sarebbe stato piu possibile ritornare
al ip privato

non_dormo l'azione è irreversibile

è così, ma perché vorresti tornare all'IP sotto CG-NAT? Non ti cambia nulla

non_dormo Cosa vuol dire CG-NAT?

NAT eseguito a livello operatore. Occhio che però NAT non vuol dire necessariamente protezione, quello è il firewall. Il CG-NAT non protegge nulla di più di quanto già faccia il router anche sotto IP pubblico

Sicuramente se sei con IP pubblico è impossibile che tu abbia problemi con cose che funzionavano addirittura sotto CG-NAT, controlla le configurazioni

non_dormo il software di VPN

Ovvero quale? VPN aziendale poi o una cosa commerciale che serve solo a farti cambiare IP?

non_dormo Una guarda verso l'esterno.

Ricorda che il tuo router non lascia entrare niente da fuori di default. Entra solo qualcosa che prima è uscito ed è stato richiesto

non_dormo come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?, ovvero il software che è installato sul device stesso e non sul router?

Devi staticizzare l'IP del dispositivo target attraverso le imposrazioni del router, dopodiché imposti una regola di port forwarding sulla porta che ti interessa verso quell'IP interno. Es. se apri la porta 8080 verso l'IP 192.168.1.2 allora poi potrai accedervi con ip_pubblico:8080 da fuori

non_dormo Il router - nel mio caso, fastgate - ha due facce.

Infatti si chiamano inter-facce.

non_dormo Questa faccia espone dei numeri

L'interfaccia ha un indirizzo, che è un numero (rappresentato poi come 4 numeri separati per comodità) . I sistemi a monte sanno come raggiungere quell'indirizzo.

non_dormo che mi permettono di collegarmi da qualsiasi parte del mondo al router

Vero.

non_dormo e a quello che è fisicamente attaccato alla sue porte usb

Falso. Per motivi di sicurezza, in generale tutto quello che è "attaccato" al router (dispositivi di rete, USB, ecc.) è accessibile solo dalla rete interna, a meno di non esporlo volutamente anche all'esterno.

non_dormo In sostanza, quei numeri sono l'indirizzo di casa del mio router per chiunque lo conosca

Corretto. Diventa anche l'indirizzo mittente del traffico che esce dal tuo router, così che dall'altra parte sappiano dove rispondere.

non_dormo e sappia come entrare, con nome utente e password, nel router stesso.

Non corretto. L'accesso "con utente e password" è solo quello dell'applicazione di gestione (o altre applicazioni, es FTP, VPN, ecc.), che sono in funzione sul router, e di solito nuovamente non sono accessibili dall'esterno, a meno che non esporle anche all'esterno. Le applicazioni sono in ascolto su "porte". L'accoppiata indirizzo:porta permette di accedere ad una specifica applicazione (così un singolo indirizzo può servire più applicazioni). I pacchetti TCP/IP di per sé non hanno bisogno di autenticazione, il router guarda a chi sono destinati e se sa a chi inviarli li inoltra, altrimenti li elimina. Se so che c'è una certa applicazioni in ascolto ad un dato indirizzo:porta, posso inviargli del traffico, e se questa è vulnerabile, comprometterla. Ci potrebbero essere vulnerabilità che permettono di bypassare l'autenticazione. Un firewall permette di imporre regole per permettere o vietare determinati tipi di traffico.

non_dormo Questi numeri sono, nel mio caso, pubblici

Corretto.

non_dormo e statici (non cambiano).

Nel caso di Fastweb se l'indirizzo è pubblico è anche statico. Non vale per tutti, si può avere indirizzo pubblico e dinamico.

non_dormo L'altra faccia guarda verso l'interno, verso la rete domestica.

Corretto. Poi le due interfacce sono "collegate" tra loro appunto dalla funzione di router, che guarda quale traffico deve passare da una interfaccia all'altra.

non_dormo come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?,

Se il device è un client VPN non devi aprire nulla. Quando il client si connette, il NAT automaticamente gli assegnerà una porta e gestirà anche il traffico in ingresso. Non è diverso dall'usare un browser o un client per la posta.

Se il device è un server VPN allora è necessario aprire una o più porte sul router (port forwarding). Dipende dal tipo di VPN, ad esempio OpenVPN usa una singola porta, IPSec usa più di una porta.

La differenza la fa chi inizia la connessione. Se la connessione è iniziata dall'interno, il NAT sa dove inviare i dati e come ricevere le risposte. Se invece è iniziata dall'esterno, il NAT non sa dove inoltrarla a meno di non inserire delle regole apposite che dicano che il traffico verso la porta X deve andare all'indirizzo interno Y sulla porta Z.

Pierre02
Dissento sul fatto che cg-nat non protegga: impedisce di esporre qualcosa al mondo da parte di utenti inesperti, per i quali il must è fare forward su qualche porta per accedere a servizi interni, affidandosi solo alla sicurezza del dispositivo esposto. Che ai miei occhi è come chiedere di essere bucati.

harbinger Non ha tanto senso quello che dici. Se uno va ad aprire le porte deve sapere quello che fa, è come dire "limitiamo le Ferrari a 130, così almeno nessuno stupido va a 200 in autostrada"

non_dormo "Non si può fare", mi dicono, " l'azione è irreversibile".

Che poi posso dirlo una buona volta o no?

MA COSA CASPITA C'E' DI COSI' COMPLICATO A CAMBIARE UNA CONFIGURAZIONE (e implementare a gestionale la procedura che lo permette) !?!

non_dormo come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?, ovvero il software che è installato sul device stesso e non sul router?

Come ti è stato detto, se usi un vpn client sul dispositivo non devi aprire nulla, visto che devi uscire non entrare. Non è che sul device o router hai impostato qualche sorta di simil firewall che limita le connessioni in uscita?

non_dormo ti assicuro che posso raggiungere il router e l'SSD ad esso attaccato dall'esterno

In che senso raggiungi l'ssd? In che modo? Da internet/fuori casa digitando l'ip statico che ti hanno dato ti si apre la schermata di configurazione del router? Se si sarebbe meglio che tu disattivassi l'esposizione di ciò

Matteo_Mabesolani
È sempre stato chiaro che la limitazione è una scelta "politica" e non tecnica. Su questo non c'è ombra di dubbio.

Sarà una scelta per contenere i costi. Conta che credo usino gestionali non creati da loro e quindi ogni modifica o personalizzazione può avere un costo notevole... a fronte magari di una domanda scarsa e nessuna remunerazione.

non_dormo Ne desumo che sto esponendo il ruoter all'esterno....

Sì, c'è qualche configurazione che lo permette. In genere è sconsigliato e disabilitato di default perché l'applicazione di gestione e altri servizi esposti direttamente su internet sono più rischiosi, se non ben protetti (es. reverse proxy, autenticazione a due fattori, ecc.) - e c'è sempre il rischio di vulnerabilità di bypass, specialmente (ma non solo) in dispositivi domestici.

non_dormo Il device sul quale ho installato il software VPN è un laptop, quello che uso per connettermi ad internet....... Lo consideriamo client, direi....

Sì, non dovrebbe avere bisogno di nessuna configurazione speciale, ma dipende dal tipo di VPN. IPSec non è NAT friendly e potrebbe avere bisogno di specifiche configurazioni, se il router non ha application layer gateway già attivi per gestire quel tipo di traffico. Che VPN stai usando