Fastweb mi da IP pubblico, io voglio tornare a quello privato e non posso

Nnon_dormo · 17 mag 2023

Io ho compreso questo......

Il router - nel mio caso, fastgate - ha due facce.

Una guarda verso l'esterno.
Questa faccia espone dei numeri, ad esempio 123.456.789.001, che mi permettono di collegarmi da qualsiasi parte del mondo al router e a quello che è fisicamente attaccato alla sue porte usb (un ssd, per capirci, nonostante sia meglio un NAS).
In sostanza, quei numeri sono l'indirizzo di casa del mio router per chiunque lo conosca e sappia come entrare, con nome utente e password, nel router stesso.
Questi numeri sono, nel mio caso, pubblici (accessibili da qualsiasi punto della rete, se conosce l'indirizzo esatto) e statici (non cambiano).

L'altra faccia guarda verso l'interno, verso la rete domestica.
Ho una decina di apparecchi collegati alla rete domestica e dunque una decina di IP locali e corrispondenti numeri MAC.
Infatti per entrare nel pannello di controllo di router, stando nella rete locale, non metto i numeri 123.456.789.001, ma quelli tipici di fastgate "192.......".

La domanda è, e vi chiedo cortesemente di essere molto chiari,
come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?, ovvero il software che è installato sul device stesso e non sul router?

Pierre02 · 17 mag 2023

non_dormo Una guarda verso l'esterno.

Ricorda che il tuo router non lascia entrare niente da fuori di default. Entra solo qualcosa che prima è uscito ed è stato richiesto

non_dormo come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?, ovvero il software che è installato sul device stesso e non sul router?

Devi staticizzare l'IP del dispositivo target attraverso le imposrazioni del router, dopodiché imposti una regola di port forwarding sulla porta che ti interessa verso quell'IP interno. Es. se apri la porta 8080 verso l'IP 192.168.1.2 allora poi potrai accedervi con ip_pubblico:8080 da fuori

[cancellato] · 17 mag 2023

non_dormo Il router - nel mio caso, fastgate - ha due facce.

Infatti si chiamano inter-facce.

non_dormo Questa faccia espone dei numeri

L'interfaccia ha un indirizzo, che è un numero (rappresentato poi come 4 numeri separati per comodità) . I sistemi a monte sanno come raggiungere quell'indirizzo.

non_dormo che mi permettono di collegarmi da qualsiasi parte del mondo al router

Vero.

non_dormo e a quello che è fisicamente attaccato alla sue porte usb

Falso. Per motivi di sicurezza, in generale tutto quello che è "attaccato" al router (dispositivi di rete, USB, ecc.) è accessibile solo dalla rete interna, a meno di non esporlo volutamente anche all'esterno.

non_dormo In sostanza, quei numeri sono l'indirizzo di casa del mio router per chiunque lo conosca

Corretto. Diventa anche l'indirizzo mittente del traffico che esce dal tuo router, così che dall'altra parte sappiano dove rispondere.

non_dormo e sappia come entrare, con nome utente e password, nel router stesso.

Non corretto. L'accesso "con utente e password" è solo quello dell'applicazione di gestione (o altre applicazioni, es FTP, VPN, ecc.), che sono in funzione sul router, e di solito nuovamente non sono accessibili dall'esterno, a meno che non esporle anche all'esterno. Le applicazioni sono in ascolto su "porte". L'accoppiata indirizzo:porta permette di accedere ad una specifica applicazione (così un singolo indirizzo può servire più applicazioni). I pacchetti TCP/IP di per sé non hanno bisogno di autenticazione, il router guarda a chi sono destinati e se sa a chi inviarli li inoltra, altrimenti li elimina. Se so che c'è una certa applicazioni in ascolto ad un dato indirizzo:porta, posso inviargli del traffico, e se questa è vulnerabile, comprometterla. Ci potrebbero essere vulnerabilità che permettono di bypassare l'autenticazione. Un firewall permette di imporre regole per permettere o vietare determinati tipi di traffico.

non_dormo Questi numeri sono, nel mio caso, pubblici

Corretto.

non_dormo e statici (non cambiano).

Nel caso di Fastweb se l'indirizzo è pubblico è anche statico. Non vale per tutti, si può avere indirizzo pubblico e dinamico.

non_dormo L'altra faccia guarda verso l'interno, verso la rete domestica.

Corretto. Poi le due interfacce sono "collegate" tra loro appunto dalla funzione di router, che guarda quale traffico deve passare da una interfaccia all'altra.

non_dormo come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?,

Se il device è un client VPN non devi aprire nulla. Quando il client si connette, il NAT automaticamente gli assegnerà una porta e gestirà anche il traffico in ingresso. Non è diverso dall'usare un browser o un client per la posta.

Se il device è un server VPN allora è necessario aprire una o più porte sul router (port forwarding). Dipende dal tipo di VPN, ad esempio OpenVPN usa una singola porta, IPSec usa più di una porta.

La differenza la fa chi inizia la connessione. Se la connessione è iniziata dall'interno, il NAT sa dove inviare i dati e come ricevere le risposte. Se invece è iniziata dall'esterno, il NAT non sa dove inoltrarla a meno di non inserire delle regole apposite che dicano che il traffico verso la porta X deve andare all'indirizzo interno Y sulla porta Z.

Hharbinger · 17 mag 2023

Pierre02
Dissento sul fatto che cg-nat non protegga: impedisce di esporre qualcosa al mondo da parte di utenti inesperti, per i quali il must è fare forward su qualche porta per accedere a servizi interni, affidandosi solo alla sicurezza del dispositivo esposto. Che ai miei occhi è come chiedere di essere bucati.

Pierre02 · 17 mag 2023

harbinger Non ha tanto senso quello che dici. Se uno va ad aprire le porte deve sapere quello che fa, è come dire "limitiamo le Ferrari a 130, così almeno nessuno stupido va a 200 in autostrada"

Matteo_Mabesolani · 17 mag 2023

non_dormo "Non si può fare", mi dicono, " l'azione è irreversibile".

Che poi posso dirlo una buona volta o no?

MA COSA CASPITA C'E' DI COSI' COMPLICATO A CAMBIARE UNA CONFIGURAZIONE (e implementare a gestionale la procedura che lo permette) !?!

Nnon_dormo · 18 mag 2023

[cancellato] non_dormo e a quello che è fisicamente attaccato alla sue porte usb

Falso. Per motivi di sicurezza, in generale tutto quello che è "attaccato" al router (dispositivi di rete, USB, ecc.) è accessibile solo dalla rete interna, a meno di non esporlo volutamente anche all'esterno.

Nel mio caso, ti assicuro che posso raggiungere il router e l'SSD ad esso attaccato dall'esterno.
Ne desumo che sto esponendo il ruoter all'esterno....

[cancellato] non_dormo e statici (non cambiano).

Nel caso di Fastweb se l'indirizzo è pubblico è anche statico. Non vale per tutti, si può avere indirizzo pubblico e dinamico.

Confermo che il mio IP è PUBBLICO E STATICO.

[cancellato] non_dormo come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?,

Se il device è un client VPN non devi aprire nulla. Quando il client si connette, il NAT automaticamente gli assegnerà una porta e gestirà anche il traffico in ingresso. Non è diverso dall'usare un browser o un client per la posta.

Se il device è un server VPN allora è necessario aprire una o più porte sul router (port forwarding). Dipende dal tipo di VPN, ad esempio OpenVPN usa una singola porta, IPSec usa più di una porta.

La differenza la fa chi inizia la connessione. Se la connessione è iniziata dall'interno, il NAT sa dove inviare i dati e come ricevere le risposte. Se invece è iniziata dall'esterno, il NAT non sa dove inoltrarla a meno di non inserire delle regole apposite che dicano che il traffico verso la porta X deve andare all'indirizzo interno Y sulla porta Z.

Qui mi sono perso...... Il device sul quale ho installato il software VPN è un laptop, quello che uso per connettermi ad internet....... Lo consideriamo client, direi....
Se apro il software VPN sul mio laptop e lancio l'applicazione mentre il laptop è connesso alla rete domestica (quella che ha l'ip del router pubblico), il software non avvia la VPN.
Se faccio la medesima operazione ma sotto un'altra rete (quella del cellulare, ad esempio), nessun problema a lanciare la VPN.

Grazie per le risposte e per il supporto, davvero molto prezioso.

MaxBarbero · 18 mag 2023

non_dormo come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?, ovvero il software che è installato sul device stesso e non sul router?

Come ti è stato detto, se usi un vpn client sul dispositivo non devi aprire nulla, visto che devi uscire non entrare. Non è che sul device o router hai impostato qualche sorta di simil firewall che limita le connessioni in uscita?

non_dormo ti assicuro che posso raggiungere il router e l'SSD ad esso attaccato dall'esterno

In che senso raggiungi l'ssd? In che modo? Da internet/fuori casa digitando l'ip statico che ti hanno dato ti si apre la schermata di configurazione del router? Se si sarebbe meglio che tu disattivassi l'esposizione di ciò

TTechnetium · 18 mag 2023

Matteo_Mabesolani
È sempre stato chiaro che la limitazione è una scelta "politica" e non tecnica. Su questo non c'è ombra di dubbio.

Sarà una scelta per contenere i costi. Conta che credo usino gestionali non creati da loro e quindi ogni modifica o personalizzazione può avere un costo notevole... a fronte magari di una domanda scarsa e nessuna remunerazione.

Nnon_dormo · 18 mag 2023

MaxBarbero Come ti è stato detto, se usi un vpn client sul dispositivo non devi aprire nulla, visto che devi uscire non entrare. Non è che sul device o router hai impostato qualche sorta di simil firewall che limita le connessioni in uscita?

Nulla di diverso rispetto a quanto l'IP era privato.......

MaxBarbero In che senso raggiungi l'ssd? In che modo? Da internet/fuori casa digitando l'ip statico che ti hanno dato ti si apre la schermata di configurazione del router? Se si sarebbe meglio che tu disattivassi l'esposizione di ciò

Inserisco i numeri dell'IP pubblico, mi chiede i dati di accesso (non account e password che mi permette di entrare nel panello di amministrazione del ruoter) che ho impostato io dal pannello di controllo del router e da li in poi vedo tutto l'albero della cartelle dell'SSD.
Temo infatti un bruteforce su questo lato.......

[cancellato] · 18 mag 2023

non_dormo Ne desumo che sto esponendo il ruoter all'esterno....

Sì, c'è qualche configurazione che lo permette. In genere è sconsigliato e disabilitato di default perché l'applicazione di gestione e altri servizi esposti direttamente su internet sono più rischiosi, se non ben protetti (es. reverse proxy, autenticazione a due fattori, ecc.) - e c'è sempre il rischio di vulnerabilità di bypass, specialmente (ma non solo) in dispositivi domestici.

non_dormo Il device sul quale ho installato il software VPN è un laptop, quello che uso per connettermi ad internet....... Lo consideriamo client, direi....

Sì, non dovrebbe avere bisogno di nessuna configurazione speciale, ma dipende dal tipo di VPN. IPSec non è NAT friendly e potrebbe avere bisogno di specifiche configurazioni, se il router non ha application layer gateway già attivi per gestire quel tipo di traffico. Che VPN stai usando

Nnon_dormo · 18 mag 2023

[cancellato] Che VPN stai usando

Surfshark, VPN commerciale.

[cancellato] Sì, c'è qualche configurazione che lo permette.

Infatti. Avere IP pubblico e statico, ed esposto, non mi lascia tranquillo. Temo possa essere facilmente bucato. per forzuta su quell'SSD non c'è nulla di particolare da proteggere, ma questa situazione non mi piace.
DOMANDA:
dato che non si può tornare all'IP privato, conoscete un modo per renderlo, con router Fastgate, almeno dinamico?

E grazie per il supporto!

MaxBarbero non_dormo come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?, ovvero il software che è installato sul device stesso e non sul router?

Come ti è stato detto, se usi un vpn client sul dispositivo non devi aprire nulla, visto che devi uscire non entrare. Non è che sul device o router hai impostato qualche sorta di simil firewall che limita le connessioni in uscita?

Quello che mi hai scritto, in effetti, mi ha aiutato.
Ho disattivato, dal pannello di controllo del ruoter, la funzione " firewall", ed in effetti adesso il laptop sul quale lancio la VPN si collega senza problemi. Andando su MyIP, ho verificato che la rete percepisce che non mi sto collegando dal mio IP pubblico, benché io sia nella mia rete locale.
Quindi ne deduco che il problema era il firewall nativo di fastgate......

MaxBarbero · 18 mag 2023

non_dormo dato che non si può tornare all'IP privato, conoscete un modo per renderlo, con router Fastgate, almeno dinamico?

No, dipende sempre dal provider. Tu non puoi fare nulla.

Dovresti vedere se tra le opzioni del fastgate c'è quella per non pubblicare il servizio che raggiungi (a meno che tu non abbia messo qualche regola di forwarding specifica)

MMarco25 · 18 mag 2023

non_dormo Avere IP pubblico e statico, ed esposto, non mi lascia tranquillo. Temo possa essere facilmente bucato.

La soluzione non è tornare al CG-NAT, ma implementare o attivare un firewall sul router e sui singoli dispositivi, enumerare e mettere in sicurezza l'accesso remoto, se ne hai bisogno. L'IP dinamico al più riduce la portata per qualche ora, poi i bot che scansionano internet 24/7/365 ti troveranno lo stesso. Per altro, diversi servizi come accesso al feed di IP camera o hard disk tengono conto di eventuale CG-NAT e lo bypassano usando un server e tecniche quali NAT hole-punch.

[cancellato] · 18 mag 2023

non_dormo Surfshark, VPN commerciale.

Dipende dal protocollo che usa effettivamente (per fortuna non si inventano le loro VPN) - usare Wireguard o OpenVPN è diverso da usare IPSec/IKEv2. Dipende da come l'hai configurata.

non_dormo Infatti. Avere IP pubblico e statico, ed esposto, non mi lascia tranquillo.
non_dormo Ho disattivato, dal pannello di controllo del ruoter, la funzione " firewall",

Ecco, con IP pubblico (e perdipiù statico) è meglio avere un buon firewall attivo, con regole adeguate. C'è da capire cosa bloccava il firewall del Fastgate.

Che l'IP pubblico sia statico o dinamico dal punto di vista delle sicurezza cambia poco, uno scan individua cosa c'è di aperto. Con il dinamico hai il piccolo vantaggio di non essere facilmente associabile ad uno specifico sistema, ma dipende da cosa vuoi proteggerti. per i DDoS può essere utile, per una vulnerabilità sul router no.

Tieni presente che in Italia la maggior parte degli utenti fissi (TIM, Wind, ecc.) ha comunque IP pubblico, il CG-NAT per adesso è una minoranza.

Nnon_dormo · 18 mag 2023

Vi ringrazio.
Al momento la mia situazione è:

IP pubblico e statico
con l'IP di cui al punto sopra raggiungo il mio router dall'esterno e leggo l'SSD che è attaccato
dal pannello di controllo del ruoter - ci accedo con 192...... - ho disattivato il firewall
dalla rete locale, quando navigo da laptop (dotato di firewall) e lancio una VPN e poi su un sito di verifica (tipo "https://whatismyipaddress.com") vado a controllare il mio IP, in effetti sembra che io sia fuori casa e fuori Italia.

La domanda a questo punto è:
Di fatto sto esponendo il mio IP verso l'esterno, corretto? cosa rischio? ce come posso limitare il rischio?

[cancellato] · 18 mag 2023

non_dormo Di fatto sto esponendo il mio IP verso l'esterno, corretto?

L'IP pubblico? È inevitabile, se vuoi essere collegato a internet devi per forza avere un IP pubblico, anche dietro CG-NAT hai un IP pubblico - mascherato dal NAT operatore (e questo implica maggiori difficoltà ad essere raggiunto dall'esterno, nel bene e nel male - ad esempio con certi servizi quali VoIP o certi giochi è un problema) e condiviso con n utenti (anche questo, nel bene e nel male - un utente che fa casini può danneggiare la "reputazione" dell'IP, che poi viene bloccato da certi servizi). Come detto, però, non fasciarti la testa perché hai un IP pubblico statico, non è un rischio particolare.

Anche con una VPN hai un IP pubblico - è quello al termine del tunnel VPN. Molti servizi bannano questi IP perché sono usati per bypassare le restrizioni che impongono, per motivi commerciali e legali. Il gestore del server VPN vede il tuo IP reale (e anche il tuo traffico, visto che deve decrittarlo per farlo uscire su internet...)

non_dormo cosa rischio?

Tutto ciò che è direttamente esposto su internet può essere individuato, e se vulnerabile attaccato direttamente, anche se questo non è l'unico vettore di attacco. Se vieni compromesso in altro modo (es. sito web malevolo che sfrutta una vulnerabilità del browser), avere un IP pubblico statico o dinamico o essere in CG-NAT è irrilevante.

Per questo è meglio non avere servizi esposti se non necessari. Ad esempio se accedi al disco dall'esterno via protocollo SMB hai un rischio piuttosto elevato, SMB è sconsigliatissimo su internet per vari motivi, è da usare solo in LAN. Altri protocolli sono più o meno sicuri, poi dipende quanto bene li implementa l'applicazione esposta.

non_dormo come posso limitare il rischio?

Come fanno tutti. Innanzi tutto un buon firewall configurato correttamente. Se è necessario accedere a servizi interni dall'esterno (applicazioni di gestione, condivisioni file), farlo tramite VPN, ma non quella che usi tu ora dall'interno verso l'esterno, ma una dall'esterno verso l'interno. Se è proprio necessario esporre servizi all'esterno senza VPN, allora oltre al firewall ci vorrebbero adeguate configurazioni - es. una DMZ (vera, posta fra due firewall), reverse proxy per le applicazioni web, hardening dei dispositivi che espongono i servizi, cifratura delle connessioni, ecc. ecc. Cosa fare effettivamente dipende da che rischio sei disposto ad accettare e dalla tua capacità di impostare le configurazioni corrette e monitorare lo stato dei sistemi per rilevare eventuali pericoli.