Date le diverse discussioni e richieste di delucidazioni in merito nell'ultimo periodo, pubblico una guida su come collegare in cascata un router ai modem Fastweb. Gli screenshot presenti più avanti sono ripresi da un Fastgate, ma la guida dovrebbe essere valida anche per modem NeXXt.

Prima di tutto, la domanda sorge spontanea. Perché non usare solo il Fastgate?

  • Wi-Fi pessimo.
  • Non è possibile modificare i DNS.
  • Firewall scadente.
  • Dispositivo in generale poco configurabile.

C'è da fare una menzione particolare per il Firewall del Fastgate. Di base permetterebbe soltanto la navigazione web e la posta elettronica, dunque altri servizi in uscita potrebbero non funzionare. Per avere un po' più di libertà, si potrebbe anche disabilitarlo. In quel caso le porte IPv4 sono tutte chiuse di default e si possono aprire quelle necessarie dal port mapping. Il che non sarebbe una situazione così malvagia, a parte il problema che Fastweb si è dimenticata dell'IPv6 (che ultimamente è attivo di default). Con il Firewall disabilitato le porte IPv6 SONO TUTTE APERTE.

A questo punto qualcuno direbbe: disabilitiamo l'IPv6. Certo, si può fare, ma nel 2023 privarsi dell'IPv6 soltanto per la sicurezza non mi sembra una delle mosse più astute. Questa guida dunque tenta di salvare la connessione IPv6 con l'implementazione del firewall sul router in cascata. Nella mia confugurazione il router in cascata fa da relay: prende il prefisso comunicato dal Fastgate e lo inoltra ai propri client, in modo che tutti possano generarsi il proprio indirizzo, senza NAT (questa funzionalità si chiama NDP-proxy).

Passiamo così ad elencare i vantaggi di un buon router in cascata:

  • Maggiormente configurabile del Fastgate.
  • Wi-Fi più performante.
  • Possibilità di configurare il DNS (sul mio OperWRT oltre a cambiare i server, ho anche impostato il DNS over TLS con stubby; preciso però che tale configurazione non è oggetto di questa guida; ne faccio menzione soltanto per farvi comprendere che vantaggio si può avere con un buon router).
  • Se siete utenti avanzati e ne trovate uno con il sistema OpenWRT, ne vale la pena per l'ampia gamma di configurazioni e personalizzazioni offerte.

Non conviene sostituire direttamente il Fastgate? In teoria sì, ma in pratica potreste non sempre trovarvi nelle condizioni ideali per farlo. Dipende dalle vostre esigenze. Se ci riuscite, bene, altrimenti comprate un buon router (di solito costano di meno di un modem che supporti la VDSL e il VoIP, a meno che non andiate sul mercato dell'usato) e, se avete dei dubbi, affidatevi a questa guida.

I seguenti passaggi si basano su un router che monta una vecchia versione di OpenWRT. Queste configurazioni dovrebbero essere facilmente replicabili su router non OpenWRT.

Partiamo dunque dalla configurazione del nuovo router. Nell'interfaccia grafica di partenza di OpenWRT (dopo aver effettuato il login) c'è un menù in alto a destra dove è possibile accedere alle interfacce di rete (nella mia versione si trovano nella sezione Interfaces del menù Network). Accedendo a essa possiamo visualizzare un riepilogo di tutte le interfacce presenti con il relativo tasto di modifica (edit). Il nostro obiettivo è quello di replicare una situazione simile alla seguente:

Di norma le interfacce LAN, WAN e WAN6 sono già presenti, ma vanno adattate con alcune modifiche. Tenete presente che in OpenWRT, ogni qualvolta cambiate una o più opzioni, per applicarle dovete cliccare su Save o Save & Apply in basso a destra.

Cominciamo dunque con l'interfaccia WAN (premiamo edit ed entriamo nella relativa pagina di configurazione). In General Setup impostiamo un IPv4 statico all'interfaccia (192.168.1.254), specifichiamo come gateway l'indirizzo del Fastgate (192.168.1.1; so che il Fastgate ha in predefinito 192.168.1.254, ma io l'ho cambiato) e disabilitiamo l'assegnazione dell'IPv6 (useremo la WAN6 per quello).

Nella parte bassa della stessa pagina, troviamo la sezione DHCP Server. Visualizziamo la scheda IPv6 Settings e impostiamo la modalità relay su tutti i protocolli.

Poi ci spostiamo nella pagina di configurazione dell'interfaccia LAN. In General Setup impostiamo come segue. Indirizzo statico e non assegniamo IPv6. Se volete, impostate i DNS (io non l'ho fatto, ho configurato stubby per il DNS over TLS). In predefinito è attivato il DHCP per l'assegnazione automatica degli indirizzi IPv4 ai dispositivi collegati (nel caso la personalizzate voi con il range che volete).

Nella parte bassa della stessa pagina, per IPv6 Settings della sezione DHCP Server, replichiamo le stesse impostazioni utilizzate per l'interfaccia WAN (relay su tutti i protocolli).

A questo punto ci spostiamo sul Fastgate e lo impostiamo in modo che faccia meno cose possibili nell'ottica di occuparsi soltanto della fonia e della connessione alla rete Fastweb. Se siamo interessati all'IPv6, lo lasciamo gestire in automatico la configurazione del protocollo 6RD.

  • Disattiviamo il Wi-Fi.
  • Nella sezione Avanzate, disattiviamo il parental control.
  • Disattiviamo l'UPnP (se siate interessati, lo abilitate sul router in cascata).
  • Rimuoviamo tutte le regole presenti nel Port Mapping.
  • Disabiliamo il Firewall (lo configurerete sul router in cascata) e abilitiamo la DMZ come di seguito (impostando l'indirizzo IPv4 WAN che abbiamo inserito prima sul router in cascata).

  • Disabilitare DLNA, Print Server e Condivisione file.
  • Impostiamo gli indirizzi LAN come segue. Usiamo lo stesso indirizzo IPv4 locale impostato come gateway della WAN del router in cascata (192.168.1.1; il Fastgate ha in predefinito 192.168.1.254, ma io l'ho cambiato). Lasciamo il DHCP attivo per l'eventualità di volersi connettere al Fastgate via cavo con un altro dispositivo nel caso qualcosa andasse storto con il router. Infine (solo se siete interessati) abilitiamo l'IPv6.

Se tutto va bene, al riavvio di entrambi i dispositivi, dovreste ottenere una configurazione simile al primo screenshot. Per verificare l'assegnazione degli IPv6, collegatevi a https://test-ipv6.com/

    • [cancellato]

    • Messaggio #2
    • Modificato

    celeste_lightblue Nella mia confugurazione il router in cascata fa da relay: prende il prefisso comunicato dal Fastgate e lo inoltra ai propri client, in modo che tutti possano generarsi il proprio indirizzo, senza NAT (non so il nome preciso di questa funzionalità, dovrebbe chiamarsi DHCPv6-relay).

    No. Nella tua configurazione hai un NDP proxy che fa bridging delle due reti - con tutto quello che ne consegue per il traffico. Che non è DHCP relay che è un'altra cosa.

    DHCP relay permette di avere un server DHCP in una singola subnet che serve subnet diverse - e richiede di avere un server DHCP che permette di impostare le configurazioni per le diverse subnet, e quindi riconoscere da che subnet arriva la richiesta per creare la risposta necessaria. Con il prefisso /64 di Fastweb non puoi creare subnet IPv6. Quindi OpenWRT attiva un proxy NDP che funziona in modo diverso, fa passare il traffico IPv6 fra le due reti layer 2 come fossero un'unica rete. Occhio quindi a che il firewall funzioni effettivamente sul traffico che passa tramite il proxy.

    Tra l'altro, se stai usando SLAAC/RA per l'autoconfigurazione dei client, non c'è traffico DHCPv6 - che IIRC non usa NDP.

        [cancellato]

        Occhio quindi a che il firewall funzioni effettivamente sul traffico che passa tramite il proxy.

        Confermo che il firewall in IPv6 funziona. Mi ero iscritta su questo forum proprio perché, facendo dei test, non riuscivo a essere raggiungibile dall'esterno, poi quando il servizio era in ascolto sul sistema operativo, con porta aperta sul firewall, risultava raggiungibile (sbagliavo io ad aver aperto soltanto la porta sul firewall senza attivare l'ascolto sul sistema operativo).

        Ovviamente solo in IPv6, in IPv4 sono dietro CG-NAT.

        Modifico il primo post con NDP-proxy.

          celeste_lightblue I seguenti passaggi si basano su un router che monta una vecchia versione di OpenWRT. Queste configurazioni dovrebbero essere facilmente replicabili su router non OpenWRT.

          Critica costruttiva,se si ha OpenWRT o suoi relativi con un poco di conoscenza al posto di usare questa guida si può configurare l'interfaccia wan per lo spoofing del MAC Address e della DHCP Option 60 che in sostanza non fa altro che emulare un fastgate,togliendo quest'ultimo dalla configurazione finale e rendendo più pulito il tutto.
          Trovo questa guida utile a chi non ha un router OpenWRT-based e l'opzione dello spoofing di uno dei due non è possibile o si volesse mantenere la fonia che ahime senza la richiesta del modem libero viene troncata in quanto i valori per impostarla non son disponibili

              Rekko relativi

              OT: parenti. 😉

                Rekko

                Su questo ho già risposto in un altro thread, perdi la fonia se non compri un router che supporti anche il voip, inoltre se Fastweb ti cambia in automatico le impostazioni del 6RD, perdi la connessione IPv6 e devi stare a rincorrere l'operatore per scoprire i nuovi parametri.

                Questa configurazione è meno pulita, ma potenzialmente da meno grattacapi.

                    celeste_lightblue inoltre se Fastweb ti cambia in automatico le impostazioni del 6RD, perdi la connessione IPv6 e devi stare a rincorrere l'operatore per scoprire i nuovi parametri.

                    Fastweb non dovrebbe,almeno nella teoria,cambiare le impostazioni del 6rd,il prefisso è statico come lo è l'indirizzo del border relay

                      Hadx ha aggiunto il tag Guida .
                      un mese dopo

                      Ciao @celeste_lightblue, sto valutando la possibilità di inserire un mikrotik a valle di un Technicolor FGA2130FWB Fastweb (tutta la storia è qui). Volevo chiederti se con la configurazione che hai descritto:

                      • permarrebbe il problema del doppio NAT
                      • e se hai notato un significativo peggioramento in termini di performance (e.g., throughput, latenza)

                      Purtroppo sembra che un bridge mode puro sia impossibile, a meno di acrobazie tecniche non banali, che nel mio caso non varrebbero la pena.

                        floatingpurr Ciao, mi sembra che tu abbia scelto un'altra opzione, ma rispondo comunque:

                        1. Sì, Il doppio NAT c'è, ma solo in IPv4. Questo comunque non impedisce il port forwarding se attivi l'IPv4 pubblico. Il Fastgate, con l'opzione DMZ attiva, inoltra le connessioni in entrata direttamente al router in cascata.
                        2. No, nulla di grave. La latenza del Fastgate la puoi misurare con un traceroute. Se non ricordo male, aggiunge 1 ms. Per quanto mi riguarda, non lo vedo come un problema. Tuttavia, se vuoi limare al minimo la latenza, altre opzioni sono da considerare.

                            celeste_lightblue Ciao Celeste, grazie davvero per la tua risposta e per la tua guida super esaustiva. Alla fine della fiera, sto valutando la possibilità di passare ad un MiniPC con un *sense installato sopra. Più che altro la vedo una "palestra" per approfondire certi temi che ho sempre visto come black box. Si vedrà. Grazie ancora per il tempo che hai dedicato nel documentare questa esperienza per noi profani 🙂

                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                              P.I. IT16712091004 - info@fibraclick.it

                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile