Ciao a tutti,

ho cercato, ma non ho trovato (probabilmente ho cercato male :-) )

Sto impazzendo dopo essere passato alla fibra di Iliad per ritrovare una situazione stabile sulla rete di casa.
Vorrei aprire alcune porte sugli ipv6 (che il mio vecchio provider non aveva), ma non trovo il modo. Se il firewall è attivo non si entra, se il firewall è spento è tutto aperto.

Ho provato anche se riuscivo ad aprirle via UPNP ma il servizio non è attivo sulla iliadbox in v6.

Qualche altro suggerimento?

  • TJL73 ha risposto a questo messaggio

    magior

    Che io sappia, il firewall IPv6 (a differenza di quello IPv4) della iliadbox non consente una gestione granulare di porte e IP per l'accesso dall'esterno.

      TJL73 davvero un a grossa limitazione.

      Non capisco invece il senso degli altri prefissi. Non hanno implementato il firewall v6 granulare (che tutto sommato mi pare piuttosto utile) e invece hanno implementato altri prefissi reindirizzabili con un next-hop? Immaginandosi che in casa ci siano molte lan?

      C'è modo di avere il secondo prefisso sulla lan stessa? In modo da tenere il firewall attivo sul prefisso principale e disattivo sul secondo prefisso dove metto manualmente l'indirizzo solo a dispositivi che hanno la flessibilità di aprire solo porte specifiche?

        TJL73 Ma nemmeno gli exposed host? Che senso ha?

        magior C'è modo di avere il secondo prefisso sulla lan stessa?

        No, anche perché romperebbe SLAAC

        • TJL73 ha risposto a questo messaggio

          magior

          Purtroppo, non ho conoscenze evolute di IPv6 (sto provando a capirci qualcosa, ma faccio fatica).

          Nelle impostazioni della iliadbox è prevista anche una voce: "Firewall sulle delegazioni". Ma io non ho nemmeno la più pallida idea di cosa sia una "delegazione".   😓

          Io, una esigenza tipo la tua, l'ho gestita con un "NATv6", assegnando ai dispositivi che non devono essere raggiunti dall'esterno un IPv6 link local ("FE80::/10"), in modo che, essendo dietro NAT, possano uscire su Internet tramite gateway, ma non siano raggiungibili dall'esterno. Agli altri, invece, un IPv6 della /64 della ibox, demandando a loro stessi la sicurezza.

          Magari è il peggior modo per gestire la cosa, ma mi pare che tutto funzioni, sperando che non sia una voragine.

           

          Lorenzo1635 Ma nemmeno gli exposed host?

          Chi?   😬🙄

            TJL73 Nelle impostazioni della iliadbox è prevista anche una voce: "Firewall sulle delegazioni". Ma io non ho nemmeno la più pallida idea di cosa sia una "delegazione".   😓

            La iliadBox riceve una /60 e, da questo pool, tira fuori una /64 per la tua LAN.

            Se vuoi mettere un router a valle della iliadBox, e fare funzionare IPv6, anche a quest'ultimo serve un pool di indirizzi (minimo una /64 tutta sua per far funzionare SLAAC) il router "padre" affida quindi un'intera sottorete (e non solo un IP singolo) al router figlio.

            TJL73 Io, una esigenza tipo la tua, l'ho gestita con un "NATv6", assegnando ai dispositivi che non devono essere raggiunti dall'esterno un IPv6 link local ("FE80::/10"), in modo che, essendo dietro NAT, possano uscire su Internet tramite gateway, ma non siano raggiungibili dall'esterno. Agli altri, invece, un IPv6 della /64 della ibox, demandando a loro stessi la sicurezza.

            I mean, funziona, ma sarebbe bastato un firewall decente sulla iliadBox

            • TJL73 ha risposto a questo messaggio

              TJL73
              Ma il NATv6 dove lo hai fatto?
              Se ho ben capito il tuo punto è distinguere fra host esposti via ipv6 e host non esposti. Il mio punto invece è avere tutti gli host con ipv6 ma avere alcune porte di alcuni host accessibili dall'esterno.

              E questo mi pare impossibile.

              Ogni giorno mi maledico per essere passato ad Iliad, ed è passata solo una settimana.

                magior Ogni giorno mi maledico per essere passato ad Iliad, ed è passata solo una settimana.

                iliad mi pare disegnato per essere un servizio "generalista", ovvero adatto ad un uso molto easy della connessione (web browsing, social, basta). per utilizzi più evoluti, anche senza esagerare, ci devi mettere le mani tu.
                visto il tuo use case, perchè non metti un router a gestire come si deve la rete?
                poi magari sei pure su GPON quindi togliere la IB del tutto è pure abbastanza facile..

                  pattagghiu

                  È una opzione ma il router che usavo con il provider precedente ASUS RT-AC86U non supporta "nativamente" la connessione IP6IP che usa Iliad, quindi dovrei valutare di cambiarlo (che aumenterebbe significativamente i costi complessivi dell'operazione cambio provider). [Ho comunque in mente di provare a tiriarla su da command line]
                  Anche perché in realtà ho anche il problema del cambio di subnet, io non usavo le 192.168 e non vorrei cambiarla perché so che ci saranno problematiche che ancora non ho considerato.

                  Comunque, a quel punto, mi costerebbbe meno cambiare provider nuovamente tornando indietro e ripristinando la situazione iniziale, avrei buttato il costo di attivazione.

                  Se riuscissi ad usare la IB avrei, in teoria, i 2.5GB che non avrei con il mio router visto che non li supporta.

                    Lorenzo1635 La iliadBox riceve una /60 e, da questo pool, [---8<---] affida quindi un'intera sottorete (e non solo un IP singolo) al router figlio.

                    Ok, ora mi è un po' più chiaro (davvero poco, comunque).

                    Lorenzo1635 I mean, funziona, ma sarebbe bastato un firewall decente sulla iliadBox

                    Eh, ma in assenza, anche se quasi sicuramente non elegante, mi è sembrato il metodo più efficace.   😇

                     

                    magior Ma il NATv6 dove lo hai fatto?

                    Tecnicamente "sul client".
                    Gli ho assegnato staticamente (ché mica l'ho ancora capito come avviene l'assegnazione degli IPv6, tra SLAAC, DHCPv6 e altri metodi) un IPv6 link local /64 e gli ho detto che il suo gateway è l'IPv6 link local della ibox.
                    Una porcata? Probabile. Però, efficace e, spero, senza troppe controindicazioni.

                    magior Se ho ben capito il tuo punto è distinguere fra host esposti via ipv6 e host non esposti. Il mio punto invece è avere tutti gli host con ipv6 ma avere alcune porte di alcuni host accessibili dall'esterno.

                    Ecco, con la ibox da sola credo che questo ce lo si possa scordare.   😔

                    magior E questo mi pare impossibile.

                    Purtroppo, ti pare bene.

                    magior Ogni giorno mi maledico per essere passato ad Iliad, ed è passata solo una settimana.

                    Ma no, dai, c'è di peggio. Una settimana non basta, ti tocca aspettare qualche mese e poi vedrai quanto sarai felice, quando non ti avranno mai rimodulato.   😄

                    Ora che forse ho capito cos'è una delega, puoi provare a delegare una /64 ad un altro firewall e farci tutto ciò che ti serve. Credo. Forse.   😬

                     

                    pattagghiu iliad mi pare disegnato per essere un servizio "generalista", ovvero adatto ad un uso molto easy della connessione (web browsing, social, basta). per utilizzi più evoluti, anche senza esagerare, ci devi mettere le mani tu.

                    Che poi, diciamocelo, quant'è diffuso, oggi, l'IPv6?
                    Dalla maggior parte delle reti (soprattutto praticamente tutte le mobili) sarebbe comunque irraggiungibile (a meno di incapsulare).
                    Io la vedo ancora più una rete "client", che non una rete "server" (anche se, proprio per com'è concepita, non c'è più una distinzione così rigida).

                    pattagghiu visto il tuo use case, perchè non metti un router a gestire come si deve la rete?
                    poi magari sei pure su GPON quindi togliere la IB del tutto è pure abbastanza facile..

                    Concordo.

                    magior il router che usavo con il provider precedente ASUS RT-AC86U non supporta "nativamente" la connessione IP6IP che usa Iliad,

                    IB in ont mode e hai lo stesso identico servizio che avevi prima (a 1Gb/s).
                    Certo, se la IB decide di darti l'indirizzo IP 🙂

                    magior Se riuscissi ad usare la IB avrei, in teoria, i 2.5GB che non avrei con il mio router visto che non li supporta.

                    2.5G per l'insieme dei client e bla bla bla
                    boh, onestamente dopo aver vissuto con un router gestito personalmente non riuscirei a tornare a usare un router dei provider..

                    quello che però non capisco, visto che dici che potresti tornare al vecchio provider, è proprio il punto di partenza.
                    chi ti sta obbligando a usare IPv6 (che il tuo vecchio provider non aveva, come dici tu) per la rete locale?
                    puoi vivere tranquillamente solo in ipv4 per la rete locale.. tanto la IB ti gestisce il MAP-E e (suppongo) sul nat ipv4 avrai pure possibilità di "fare cose"..
                    no?

                    • magior ha risposto a questo messaggio

                      pattagghiu

                      Certo, se la IB decide di darti l'indirizzo IP 🙂

                      Me lo da ma con difficoltà, sembra manchi qualche ACK ma per il momento ho messo da parte questa soluzione. Che comunque comporterebbe tenere accesi entrambi i dispositivi.

                      quello che però non capisco, visto che dici che potresti tornare al vecchio provider, è proprio il punto di partenza. chi ti sta obbligando a usare IPv6 (che il tuo vecchio provider non aveva, come dici tu) per la rete locale?

                      Una delle ragioni che hanno concorso a decidere il passaggio è proprio IPv6 che prima usavo con un tunnel, ma aveva diverse problematiche. Ho sottovalutato quanto mi sarebbe scocciato non avere più la flessibilità del mio router con anche tcpdump.
                      Su Tiscali avevo poi una problematica telefonica da cui non riuscivo ad uscire e sono convinto che su Iliad non lo avrò (ma lo saprò definitivamente quando mi passeranno il numero, e sto ancora aspettando).

                      Ad oggi la "soluzione" che meno impatta sul risultato in realtà sarebbe tenere il router vecchio dietro la iliadbox con doppio NAT e ipv6 in passthrough. Il mio router mi permette di configurare il firewall v6 e v4 e se mi concederanno l'IP full stack (come lo chiamano loro) posso mettere il mio router interno in DMZ.

                      È una soluzione che usavo molti anni fa con Vodafone, per le fastidiose limitazioni della VS ma paradossalmente erano limitazioni diverse e che con Iliad credevo di aver verificato prima.

                      Sono stato stupidamente superficiale, ma anche perché ingannato dal fatto che oggettivamente Iliad e la Freebox sono un prodotto complesso e appaiono come un provider internamente piuttosto geek (anche solo per la presenza delle API).

                        magior tcpdump

                        eh non ti accorgi quanto ti manca fino a quando non lo perdi <3
                        😅

                        magior posso mettere il mio router interno in DMZ

                        Perché, una volta ottenuto il full stack, non mettere invece la ibox in modalità ONT e delegare tutto il lavoro di routing, firewalling e accesspointing al tuo vecchio router?

                        A me parrebbe molto più pulita, come soluzione, e ti eviteresti anche il NAT² dell'IPv4.

                        • magior ha risposto a questo messaggio

                          TJL73

                          Proverò ma da una prima prova la richiesta DHCP con la modalità ONT passava una volta su due e vorrei invece qualcosa di stabile.
                          Non vorrei tenere acceso il mio secondo router, ho già abbastanza cose accese in casa e vorrei ridurre, sia per una questione di consumo sia perché aumento la probabilità che si rompa qualcosa.

                          In fullstack taglio completamente l'ipotesi di superare il gigabit per come funziona la modalità ONT

                          Ieri mi hanno attivato il fullstack.

                            magior da una prima prova la richiesta DHCP con la modalità ONT passava una volta su due

                            ti va anche bene, io non sono MAI riuscito a prendere un ip in modalità ont. Mai.

                            magior
                            Scusa la domanda ma come hai fatto ad ottenere il full stack?
                            io ho già chiamato tre volte... la prima hanno aperto un ticket (cosi hanno detto almeno...) dopo due giorni chiamo e l'operatore apre un "reclamo" che in pochi minuti viene chiuso con una mail che mi dice che non ho diritto a fare un reclamo...
                            Richiamo e l'operatrice scrive ancora la segnalazione dicendo che subito mi avrebbe fatto chiamare dal supporto tecnico... credo che anche questa volta abbia scritto sulla sua macchina da scrivere invisibile... (cit.)

                            • magior ha risposto a questo messaggio
                              11 giorni dopo

                              Albe983

                              Ho semplicemente lamentato il malfunzionamento di servizi di telesorveglianza (perché l'ho letto qui in giro) e di domotica. In realtà avrei avuto altre mille motivi ma si è reso sufficiente questo.

                              Marco

                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                              P.I. IT16712091004 - info@fibraclick.it

                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile