celeste_lightblue No, le subnet diverse sono per l'IPv4.
Ma il tuo router in cascata (a proposito, qual è?) ha una subnet v4 distinta da quella del Fastgate?
Guida alla messa in sicurezza router FASTGate
Adesso non ricordo il modello. È un router cinese con una versione modificata di OpenWRT. Sì, la subnet IPv4 del router è diversa da quella del Fastgate.
- Modificato
celeste_lightblue Sì, la subnet IPv4 del router è diversa da quella del Fastgate
Quindi tu hai in v4 2 subnet (2 dhcp server) e doppio NAT owrt in DMZ, mentre in v6 hai la /64 distribuita o direttamente alle interfacce del FastGate via dhcpv6 server o tramite owrt ed il suo dhcpv6 relay ai client di quest'ultimo (ed ovviamente nessun NAT).
[cancellato]
- Modificato
IPv6 funziona diversamente da IPv4 fino ad un certo punto. I concetti di subnet e routing rimangono gli tessi.
Se metà dei tuoi dispositivi sono Android non supportano DHCPv6, ma questo è un altro paio di maniche. NDP è comunque limitato allo stesso dominio L2 locale.
A questo punto mi viene da pensare che ci sia un proxy NDP che fa bridging fra i due segmenti di rete. È l'equivalente di usare un proxy ARP per unite due segmenti fisici in IPv4 usando la stessa subnet. In questo caso effettivamente funzionerebbe.
Ma se non è stato configurato espressamente mi chiedo perché ci sia di default, visto che non è proprio una configurazione standard per un router.. E a questo punto va capito se il firewall del router in cascata controlla comunque il traffico che passa per l'interfaccia WAN.
Certo che 'sicurezza' e 'router cinese con versione modificata [da chi?] di OpenWRT' - mah!
Edit: a quanto pare è una feature di OpenWRT, se non ottiene un prefisso delegato abilita il proxy automaticamente. Rimane da capire che livello di protezione c'è (https://openwrt.org/docs/guide-user/network/ipv6/configuration)
- Modificato
Mamma mia quanto avete scritto 
ed ammetto che per l'80% delle cose che avete scritto per me è aramaico antico, ma tant'è 
Comunque facciamo un passo alla volta.
Per adesso lasciamo perdere per un attimo il futuro router che acquisterò, cerco di concentrarmi nel sistemare il FastGate per quanto riguarda la sicurezza e renderlo il più accettabile possibile nel suo complesso.
Purtroppo come già detto non esistono guide o video su Youtube, e le configurazioni sono davvero ridotte all'osso, infatti nelle opzioni AVANZATE queste sono le uniche opzioni che trovo (vedi allegato immagine).
Per quanto riguarda il Firewall, le uniche opzioni sono LIVELLO MEDIO e LIVELLO ALTO.
La didascalia nel LIVELLO MEDIO dice: "Il Firewall in modalità medio permette solamente l’utilizzo della navigazione web e della posta elettronica. In ingresso, le connessioni IPv4 sono regolamentate dalle sezioni di DMZ e Port Mapping, le connessioni IPv6 sono limitate alle sole risposte dei servizi inizializzati dall’interno."
Invece, nel LIVELLO ALTO: "l Firewall in modalità alto non permette alcuna connessione in uscita e in ingresso."
Mi par di aver capito che per adesso mi conviene lasciare disattivato il DMZ e per quanto riguarda l'IPV6 su LAN da vedere, se non riesco ad attivare il Firewall sul FastGate allora in quel caso meglio disattivarlo, giusto?
Una domanda legata alla sostituzione o al mettere un altro router in cascata: tralasciando il modello di router che andrò ad acquistare, ho letto che c'è da fare una procedura con Fastweb e così via. Ma ciò avviene solo con Fastweb che mette dei vincoli oppure anche con altri operatori tipo TIM?
Perchè se deve essere un ammattimento, faccio prima a disdire e passare direttamente con chi mi lascia assoluta libertà senza dover star a comunicare nulla, senza dover collegare i vari routers in cascata e cose così.
In parole povere, comprare il nuovo router, allacciarlo alla presa telefonica, e navigare.
PS: Avete parlato di VPN, anche io sono molto tentato nel fare un abbonamento ma ho sempre avuto il dubbio che fosse più una trovata commerciale che altro, o almeno che sia una cosa inutile per chi fa un uso di internet principalmente domestico.
Non visito siti vietati in Italia, non mi interessa guardare serie tv straniere, non viaggio per il mondo e non mi collegato ai wi-fi degli aeroporti, non mi interessa sapere se l'ISP vede che passo più tempo su un sito piuttosto che un altro. Inoltre ho sempre avuto il sospetto riguardo all'equivocità degli IP, cosa che anche l'utente Marco ha ribadito.
Però ognuno giustamente ha le proprie paranoie, io sinceramente avrei più paura di qualcuno che si mette a giocare al piccolo chimico creandoti dei fastidi di vario genere piuttosto che qualche multinazionale sappia i nostri gusti in fatto di abbigliamento.
- Modificato
Allora, è un GL.iNet GL-SF1200. Al momento costa 30 € su Amazon. Due anni fa con un'offerta lo acquistai a meno.
Questo router aveva un'interfaccia realizzata da GL.iNet abbastanza semplificata e limitata, con meno configurazioni dove però già quando attivavo l'opzione IPv6 mi funzionava come adesso, lo ricordo bene.
Poi alcuni mesi dopo l'acquisto, volendo sperimentare, sbloccai OpenWRT (con una procedura presente nella stessa interfaccia). Purtroppo si tratta di una vecchia versione di OpenWRT, ma le configurazioni sono più avanzate.
Avevo provato varie opzioni per l'IPv6 e avevo tenuto il relay. Poi ho configurato il firewall bloccando tutte le porte tranne quelle necessarie (se avete usato il firewall di OpenWRT, sapete che si possono aggiungere regole limitatamente a IPv4 e IPv6, oppure entrambi i protocolli).
Dicevi che con Firewall Alto avevi problemi con alcuni siti, quindi ti conviene mettere Firewall Medio. Nella descrizione è specificato le connessioni IPv6 sono limitate alle sole risposte dei servizi inizializzati dall’interno, quindi se abiliti IPv6, tutte le relative porte sono chiuse. Le porte IPv4 le puoi aprire nella sezione Port Mapping. Il DMZ abilitalo soltanto se devi usare un router in cascata.
Una domanda legata alla sostituzione o al mettere un altro router in cascata: tralasciando il modello di router che andrò ad acquistare, ho letto che c'è da fare una procedura con Fastweb e così via. Ma ciò avviene solo con Fastweb che mette dei vincoli oppure anche con altri operatori tipo TIM?
Per il router in cascata non c'è nessuna procedura con Fastweb. Il problema è quando vuoi sostituire il Fastgate con un altro modem-router. In quel caso c'è una procedura più complicata (bisogna chiedere a Fastweb e, se non ricordo male, serve duplicare l'indirizzo MAC del Fastgate...). Mai provato.
celeste_lightblue bisogna chiedere a Fastweb e, se non ricordo male, serve duplicare l'indirizzo MAC del Fastgate
Sono procedure alternative, o chiedi a FW il modem libero oppure, se il router proprietario lo permette, cloni il MAC del Fastgate e setti l'opzione dhcp 60 su quest'ultimo.
[cancellato]
Crystal Mamma mia quanto avete scritto
Sì, siamo andati un po' OT ma è stata consigliata una configurazione con Fastweb che non capivo perché funzionasse IPv6. Il mistero poi è stato risolto - è una particolare decisione di OpenWRT di attivare di default un proxy NDP.
Crystal Per quanto riguarda il Firewall, le uniche opzioni sono LIVELLO MEDIO e LIVELLO ALTO.
Temo che chi ha pensato il firewall del Fastgate abbia fatto un disastro.
Crystal Il Firewall in modalità medio permette solamente l’utilizzo della navigazione web e della posta elettronica.
Se in IPv4 ammette solo HTTP/HTTPS e SMTP/IMAP/POP capisco perché certi siti possono rompersi, ad esempio se aprono connessioni RTP o simiii per lo streaming. A meno di non fare aperture esplicite separate. In IPv6 invece blocca solo quelle iniziate dall'esterno - quindi ha persino un comportamento diverso in base al protocollo.
Crystal l Firewall in modalità alto non permette alcuna connessione in uscita e in ingresso."
Questo proprio blocca tutta e funziona solo la LAN. Io mi sarei aspettato un livello "basso" dove blocca tutte le connessioni iniziate dall'esterno (sia in IPv4 che IPv6) e lascia uscire tutte quelle iniziate dall'interno.
Crystal Mi par di aver capito che per adesso mi conviene lasciare disattivato il DMZ
Sì, non ti serve.
Crystal per quanto riguarda l'IPV6 su LAN da vedere, se non riesco ad attivare il Firewall sul FastGate allora in quel caso meglio disattivarlo, giusto?
Esatto, dovresti metterlo almeno a livello medio ma se ti dà problemi allora disattiva IPv6
Crystal ho letto che c'è da fare una procedura con Fastweb e così via.
Solo se non richiedi "modem libero". In quel caso al massimo ti chiedono il mac address che usa il tuo router. Altrimenti c'è una procedura più complessa per "ingannare" Fastweb. Il problema è che Fastweb al contrario di quasi tutti gli altri usa DHCP e non PPPoE per la connessione e questo cambia un po' le cose. Comunque puoi collegare direttamente il tuo router, non sei obbligato ad usarlo in cascata al Fastgate.
Crystal sono molto tentato nel fare un abbonamento ma ho sempre avuto il dubbio che fosse più una trovata commerciale che altro
Vedi quanto scritto da me e altri sopra.
celeste_lightblue Avevo provato varie opzioni per l'IPv6 e avevo tenuto il relay.
L'hai configurato espressamente o era di default? Quella però è una configurazione che funziona se e solo se il router in cascata mette a disposizione un proxy NDP. pfSense ad esempio non lo mette a disposizione - e non so quali router consumer lo facciano. Magari quelli basati su OpenWRT sì, se non lo disabilitano.
celeste_lightblue Poi ho configurato il firewall
Quello che mi chiedo io è se con il proxy NDP attivo il firewall rimane nella catena. Immagino di sì se comunque è definito per l'interfaccia fisica, non facile però definire regole se tutto è nella stessa subnet e gli indirizzi sono generati random.
[cancellato] Se in IPv4 ammette solo HTTP/HTTPS e SMTP/IMAP/POP capisco perché certi siti possono rompersi, ad esempio se aprono connessioni RTP o simiii per lo streaming.
LIVELLO MEDIO senza alcun senso quindi. Bloccherebbe servizi critici come la sincronizzazione dell'ora e le notifiche di Apple e Google, non ostacolando in nessun modo la trasmissione di dati da parte di malware. Brava Fastweb!
- Modificato
L'hai configurato espressamente o era di default?
Non ricordo precisamente, ho provato diverse opzioni tra quelle presenti e con alcune andava, altre no. Forse il default era hybrid e comunque funzionava. Alla fine ho tenuto relay perché mi sembrava il più adatto.
Quello che mi chiedo io è se con il proxy NDP attivo il firewall rimane nella catena.
Il firewall funziona, avevo provato con torrent e stabiliva connessioni in entrata solo su IPv6. Il problema, come dici, è che la privacy extention genera un nuovo indirizzo a ogni connessione, dunque o cambi l'indirizzo alla regola a ogni riconnessione o abiliti una porta per tutta la subnet. Oppure disabiliti la privacy extension e hai l'indirizzo fisso dal quale però si può risalire al MAC.
C'è anche il livello disabilitato in cui vengono bloccate tutte le porte IPv4, tranne quelle nel port mapping, e le porte IPv6 SONO TUTTE APERTE.
Per quanto mi riguarda il router in cascata è la soluzione migliore per Fastweb.
[cancellato]
celeste_lightblue Il firewall funziona, avevo provato con torrent e stabiliva connessioni in entrata solo su IPv6.
Cioè in IPv6 non bloccava automaticamente tutte le connessioni in entrata? In questo caso il firewall NON stava funzionando, in IPv6 non hai l'effetto del NAT e una regola di default deny all in ingresso è essenziale, o hai tutta la LAN pubblica su Internet. Vero che fare scan è complicato, ma è un bel rischio comunque.
celeste_lightblue C'è anche il livello disabilitato in cui vengono bloccate tutte le porte IPv4, tranne quelle nel port mapping, e le porte IPv6 SONO TUTTE APERTE.
Grazie che vengono bloccarte le porte IPv4, c'è il NAT... ma IPv6 è tutto aperto. Io mi sarei aspettato un livello "basso" dove sono bloccate TUTTE le connessioni in ingresso IPv4 o IPv6 che siano indipendentemente dal NAT (e salvo regole apposite) - che è il minimo che ti aspetti da un firewall. Poi oggi lasciar uscire solo web e posta rompe un sacco di altre applicazioni - anche essenziali come diverse VPN aziendali.
celeste_lightblue Per quanto mi riguarda il router in cascata è la soluzione migliore per Fastweb.
Perché in cascata che poi devi usare accrocchi come la "DMZ" e il proxy NPD? Tanto vale eliminare completamente quella disgrazia che è il Fastgate.
Tra l’altro mi chiedo se per la navigazione web hanno whitelistato la porta UDP 443 (QUIC), scommetto di no.
[cancellato]
Se sono vecchie impostazioni mai riviste probabilmente no, e spiegherebbe magari perché qualche sito si rompe se non è in grado di fare fallback. IMHO la stragrande maggioranza (se non tutti) degli utenti Fastweb ha il firewall disabilitato - con probabilmente IPv6 aperto se attivo.
Perché in cascata che poi devi usare accrocchi come la "DMZ" e il proxy NPD? Tanto vale eliminare completamente quella disgrazia che è il Fastgate.
Sì, hai ragione, trovami un modem per la fibra a 30 € e lo faccio subito.
[cancellato]
- Modificato
celeste_lightblue Sì, hai ragione, trovami un modem per la fibra a 30 € e lo faccio subito.
L'ONT devono dartelo gratis... se parli di FTTC e vuoi veramente spendere così poco qualcosa su ebay di "usato" trovio facilmente. Magari qualcosa che puoi mettere in bridge come gli Zyxel, o che comunque ti permettono di fare routing senza doppio NAT.
Allora ragazzi ho messo il Firewall a livello MEDIO, riesco a navigare ma con molte, molte limitazioni (come già detto molti siti streaming non posso raggiungerli, cosa per me un po' invalidante perchè spesso vedo la TV sul portatile).
A questo punto che faccio?
Se non ci sono altre soluzioni con questo router, disattivo il Firewall ma a quello stesso tempo disattivo anche l'IPV6 sia nel router che nella pagina MyFastweb (cioè la pagina relativa al mio abbonamento) ?
Spero solo che, disattivando l'IPV6, riesca comunque a sfruttare la connessione del router per navigare con l'Iphone avendo comunque quel piccolissimo strato di protezione in più che offre il NAT.
Al momento al router non sono collegati altri dispositivi come telecamere di scurezza, play station, e cose così... ma esclusivamente il portatile e l'Iphone.
celeste_lightblue Per il router in cascata non c'è nessuna procedura con Fastweb. Il problema è quando vuoi sostituire il Fastgate con un altro modem-router. In quel caso c'è una procedura più complicata (bisogna chiedere a Fastweb e, se non ricordo male, serve duplicare l'indirizzo MAC del Fastgate...). Mai provato.
Ma che tu sappia, se io volessi evitare questo collegamento in cascata per facilitare le cose di un dilettante come me (anche perchè il Router di Fastweb che protezione potrebbe darmi in combo con il router acquistato? Il detto "l'unione fa la forza" in questo caso è valido? 
), posso passare direttamente a TIM Fibra? Oppure anche TIM mi darà il proprio router e quindi sarei di nuovo punto e a capo?
[cancellato]
Crystal riesco a navigare ma con molte, molte limitazioni
Sì, sono profili inadeguati alle esigenze attuali.
Crystal Se non ci sono altre soluzioni con questo router, disattivo il Firewall ma a quello stesso tempo disattivo anche l'IPV6
Sì, comincia così. Poi con calma puoi decide cosa fare. Comunque in IPv4 con il NAT le connessioni in ingresso sono bloccate perché il router non sa dove inviarle (default host/"DMZ" a parte).
Crystal Spero solo che, disattivando l'IPV6, riesca comunque a sfruttare la connessione del router per navigare con l'Iphone avendo comunque quel piccolissimo strato di protezione in più che offre il NAT.
Certo. Comunque IPv6 in Italia è ancora così poco diffuso che è utilizzabile solo perlopiù con i i soliti grandi siti, e non ne noterai l'assenza. Al momento è utile se vuoi cominciare a sperimentare per capire le differenze con IPv4, ma Fastweb assegnando solo un prefisso /64 (dovrebbe essere minimo /56) non permette molte opzioni.
Crystal Il detto "l'unione fa la forza" in questo caso è valido?
No, visto che dovresti tenere il firewall disabilitato e con il router in cascata come default host tutto il traffico viene inviato lì. Avresti solo un doppio NAT che con alcuni protocolli può dare fastidio, anche se non è il tuo caso. Con due router/firewall decenti si possono fare configurazioni interessanti (es. una vera DMZ - se hai qualcosa da metterci) - ma per le tue esigenze sarebbe un po' esagerato, a meno che non lo fai per "motivi di studio".
Crystal Oppure anche TIM mi darà il proprio router e quindi sarei di nuovo punto e a capo?
Tutti devono offrirti l'opzione "modem libero" se la richiedi. Comunque il router TIM è un poco più decente del Fastgate.
Ma che tu sappia, se io volessi evitare questo collegamento in cascata per facilitare le cose di un dilettante come me (anche perchè il Router di Fastweb che protezione potrebbe darmi in combo con il router acquistato? Il detto "l'unione fa la forza" in questo caso è valido?
Puoi fare quello che ti pare. Ho già spiegato il perché, a mio parere, conviene il router in cascata. Con una spesa modica puoi acquistare un dispositivo nuovo che ha un wifi migliore e una gestione più avanzata del firewall che per me dovrebbe essere la base di qualunque modem-router. L'IPv6 è superfluo. Per me che voglio sperimentare, ho il vantaggio delle maggiori opzioni a disposizione che il Fastgate non offre, ma questo non interessa a tutti.
Poi, se vuoi passare a TIM perché ti danno un modem migliore, fai pure. Ognuno/a ha le proprie esigenze.
Crystal A questo punto che faccio?
Ma non avevi scritto
Crystal In realtà ho già adocchiato il router RT-AX88U Pro, sperando che possa riuscirlo a configurare o con l'aiuto di qualche tutorial o magari con il vostro aiuto, ma prima devo sapere se ciò è compatibile con Fastweb...
?
Ad oggi non ho ancora capito se sei in FTTC o FTTH ma consigli per cambiare router con Fastweb ne hai ricevuti, se obiettivamente il Fastgate ti sta stretto.
Poi, se vuoi cambiare operatore per altri motivi che non siano legati al tuo attuale router, è una scelta personale.
[cancellato] No, visto che dovresti tenere il firewall disabilitato e con il router in cascata come default host tutto il traffico viene inviato lì. Avresti solo un doppio NAT che con alcuni protocolli può dare fastidio, anche se non è il tuo caso. Con due router/firewall decenti si possono fare configurazioni interessanti (es. una vera DMZ - se hai qualcosa da metterci) - ma per le tue esigenze sarebbe un po' esagerato, a meno che non lo fai per "motivi di studio".
Ok quindi se anche comprassi un router per fare il collegamento in cascata, dovrei affidarmi esclusivamente ad esso per quanto riguarda la sicurezza.
Secondo te avrebbe senso disdire con Fastweb per passare a TIM (senza richiedere il modem, quindi mettendo subito le cose in chiaro di voler avere assoluta libertà) e poi utilizzare due router/modem in cascata comprati privatamente?
Se sì, entrambi devono essere molto all'avanguardia e di pari livello (e quindi una spesa di 250/300 euro diventerebbe il doppio), oppure andrebbe bene anche una combinazione che vede come router principale uno da 300 euro e l'altro ad un prezzo decisamente inferiore (ma che abbia comunque una configurazione migliore del FastGate) ?
celeste_lightblue Puoi fare quello che ti pare. Ho già spiegato il perché, a mio parere, conviene il router in cascata. Con una spesa modica puoi acquistare un dispositivo nuovo che ha un wifi migliore e una gestione più avanzata del firewall che per me dovrebbe essere la base di qualunque modem-router
Anche a te chiedo: router in cascata lasciando il FastGate (e quindi fare affidamento esclusivamente al router comprato, anche se a quel punto mi verrebbe da chiedere che ci sta a fare il FastGate se non per evitare ammattimenti burocratici, disdette, ect) oppure disdire e comprarne due?
celeste_lightblue Poi, se vuoi passare a TIM perché ti danno un modem migliore, fai pure. Ognuno/a ha le proprie esigenze.
La mia esigenza principale è rendere la rete domestica più sicura possibile, ed ora come ora non lo è. Non so se basterebbe aggiungere un router a quello di Fastweb, o ne basterebbe uno solo passando ad un provider libero o se ce ne vorrebbero due sempre con un provider libero.
Non conosco il modem di TIM, so solo che si chiama TIM 10GB, però se qualcuno di voi può testimoniare che vale molto più del FastGate e che accoppiato con un router comprato separatamente può garantirmi una sicurezza elevata allora perchè no?
mark129 Ad oggi non ho ancora capito se sei in FTTC o FTTH ma consigli per cambiare router con Fastweb ne hai ricevuti, se obiettivamente il Fastgate ti sta stretto.
Poi, se vuoi cambiare operatore per altri motivi che non siano legati al tuo attuale router, è una scelta personale.
Sono in FTTC perchè nella mia città la FFTH ancora non è arrivata.
Sì, il router dell'ASUS è quello che per adesso mi ha convinto di più anche per le varie recensioni che ho letto, ma io parlo sempre da totale principiante e vorrei la vostra benedizione prima di fare mosse azzardate.
Il fatto è che, quando ho aperto questo thread, speravo ancora di poter contare seppur minimamente sul router di Fastweb, ma visto che è impossibile configurarlo a questo punto non so più cosa mi conviene fare....
