Mrtt Buonasera, voglio condividere con voi la telefonata surreale che ho fatto oggi con l'assistenza windtre. Abbiamo una connessione in una sede secondaria con windtre, con un pool di 8 indirizzi IP pubblici. Abbiamo nella sede un server DNS che fa da secondario per il nostro dominio e che avrei necessità di fare raggiungere dall'esterno con una connettività diversa rispetto al DNS primario che si trova in sede separata. Era qualche giorno che ogni tanto facevo delle prove ma il DNS non rispondeva, provo l'ssh e funziona, provo altre porte ad alta e bassa pruorità e tutto funziona, provo ad inoltrare porte diverse dalla 53 verso il DNS interno e questo risponde, quindi mi convinco che il problema deve essere windtre e alzo il telefono per aprire un ticket. Il primo livello non sa che rispondere e mi fa richiamare dal reparto tecnico. Dopo un po' si fanno vivi e dicono tutto funziona perchè gli IP pubblici sono raggiungibili... beh, non è quello il problema, il primo livello chissà cosa aveva scritto. Mi rifaccio da capo a spiegare il problema e il tipo mi ferma dicendomi, "la porta 53 è bloccata, non viene inoltrata". Beh, questo me ne ero accorto anche io, chiamo appunto perchè ho necessità che venga inoltrata verso il server DNS, altrimenti come lo espongo il servizio. Il tipo insiste dicendo, "non ti posso inoltrare la porta 53, nè sul router Wind nè sugli IP del pool". Quindi, gli dico che non mi può forzare ad installare un modem proprietario solo per fare un inoltro di una porta... Il tipo quindi mi fa "No, non è il router che blocca la porta 53, questa viene filtrata a monte, è una policy aziendale e non posso farci niente, stesso discorso per la porta 23". A questo punto non so se sono più incredulo o allibito, gli chiedo come dovrei fare a pubblicare il servizio con questa limitazione. Mi risponde dispiaciuto che non può farci niente e mi riattacca. In seguito abbiamo scritto al commerciale di riferimento per chiedere spiegazioni e prospettando il cambio operatore per la linea se il blocco non venisse rimosso. Qualcuno che ha avuto un'esperienza simile? Come ha risolto?
Matteo_Mabesolani Mrtt ma quindi il router di windtre fa nat? Metti un disegno dell'architettura e di dive sono gli ip pubblici
mark129 [cancellato] Se un firewall W3 blocca a monte del router il pacchetto non lo vedi arrivare. Ma la regola sarebbe locale, dovrebbe agire su ogni richiesta generata "altrove" Mrtt avrei necessità di fare raggiungere dall'esterno con una connettività diversa La cosa non funzionerebbe per roba come connessioni mobili off-net (rete pubblica), ma su connessioni "site-to-site" o VPN dovrebbe andare.
Mrtt Matteo_Mabesolani No, il router non fa Nat, fa solo da default gateway del pool pubblico. I dispositivi con ip pubblico funzionano, li puoi raggiungere ad esempio sulla porta 22, ma non sulla porta 53.
Matteo_Mabesolani Mrtt No, il router non fa Nat, fa solo da default gateway del pool pubblico. Ok, volevo sincerarmi di questa cosa. Cosa strana però... vediamo se su un cliente con la tua configurazione che ha 3 pool WINDTRE ha questo blocco. Si tratta però di una GEA Dedicata WINDTRE, non so se implementino conf diverse.
Mrtt armadillo44 Potrei capirlo per le linee consumer, ma per le business mi pare assurdo che sia un'imposizione senza possibilità di modifica, così sei impossibilitato a creare la tua rete con loro... Tra l'altro mi sembra poco lungimirante.
Mrtt Matteo_Mabesolani Risposta da Wind: Per i prodotti SME. (small business edition?) In tutti i casi non sarà possibile fornire la connettività sulle porte: 22–23-53-69-135-137-138-139-443-445-593-UDP da 3200 a 3300-4444-da 5004 a 5036–5060-da 5100 a 5130–5554- da 6004 a 6007-7547–8008-8081-8082-8085-8089-9996-30005-51005–51007–UDP da 16384 a 32768
AndreaVeronese Matteo_Mabesolani Buongiorno le porte nascono chiuse per le offerte pacchettizzate, è l' IT dell'azienda che ci deve dire che porte vuole aperte. Per i servizi dedicati, viene aperto tutto invece cordiali saluti
handymenny Mrtt small business edition small business enterprise, quello che sul sito chiamano "piccole medie imprese" Mrtt In tutti i casi non sarà possibile fornire la connettività sulle porte mi sa che fanno prima a dirti quali puoi usare 😂
Matteo_Mabesolani Mrtt ma che storia è ??? Perché poi? Giuro che non riesco a capire. Oltretutto non mi tornano alcune porte, da un altro cliente la 22 funzionava senza problemi
handymenny Matteo_Mabesolani probabilmente gli hanno mandato la lista di porte sulle quali il router in comodato ha servizi in ascolto 😂 Anche perché molte di quelle porte vanno anche con una normalissima linea W3 consumer
Mrtt Matteo_Mabesolani Occhio che c'è scritto UDP alla fine di alcuni elenchi di porte come per il primo gruppo che comprende la 22. Avevo testato la 22 tcp ed in effetti funziona. Il mio problema è il servizio "domain" che sta sulla porta 53 e principalmente va in UDP.
Matteo_Mabesolani handymenny probabilmente gli hanno mandato la lista di porte sulle quali il router in comodato ha servizi in ascolto 😂 Ok, però lui ha un pool /29 se non erro.
mark129 Mrtt Il mio problema è il servizio "domain" che sta sulla porta 53 e principalmente va in UDP. Non puoi risolvertelo senza coinvolgere W3? Tipo una destination nat rule che rediriga le chiamate alla 53 ad una porta tra quelle permesse?
handymenny Mrtt non credo, non avrebbe molto senso, probabilmente è questo che volevano scriverti: ALL 22, 23, 53, 69, 135, 137, 138, 139, 443, 445, 593 UDP da 3200 a 3300, 4444, da 5004 a 5036, 5060, da 5100 a 5130, 5554 ALL da 6004 a 6007, 7547, 8008, 8081, 8082, 8085, 8089, 9996, 30005, 51005, 51007 UDP da 16384 a 32768
[cancellato] mark129 Non puoi risolvertelo senza coinvolgere W3? Se un firewall W3 blocca a monte del router il pacchetto non lo vedi arrivare. Mrtt se filtri la tcp 443 impedisci di mettere in piedi un server web con https.. Questa la trovo una vera follia, tra l'altro io uso anche OpenVPN sulla 443 per gli accessi dall'esterno perché è più facile che sia aperta della 1194 su firewall che non controlli. Posso anche capire bloccare certe porte di default per evitare il server configurato a caso... ma non aprirle nemmeno on-demand mi pare eccessivo per un contratto business.
Mrtt La porta deve essere raggiunta dai client che necessitano di fare il lookup degli indirizzi relativi al dominio, quindi tutti fanno richieste UDP sulla porta 53.
Mrtt Ho provato ad inoltrare la porta 22 (SSH) e riesco a connettermi sul server, quindi 22 tcp funziona. Nella scritta 22–23-53-69-135-137-138-139-443-445-593-UDP penserei che "UDP" si riferisca a queste porte, per le seguenti non si capisce quale protocollo/porta vogliano intendere. Concordo con te che abbia poco senso filtrare solo l'UDP, ad esempio per il NETBIOS ha senso, per il telnet nessuno, mentre se filtri la tcp 443 impedisci di mettere in piedi un server web con https... ma a questo punto ci sarebbe da aspettarselo.
handymenny Mrtt quindi 22 tcp funziona appunto, per questo penso che ti hanno mandato la lista di porte usate dal loro router + quelle filtrate a monte, non capendo la tua richiesta. Se vedi ci sono un po' tutte, da ssh a telnet, a server web, voip etc...
