router migliore

[Rain]

No , la DMZ prevede appunto l'assenza di firewall , il firewall è solo sul secondo router , con il forwarding hai due firewall in cascata , molto più sicuro dal punto di vista della sicurezza visto che comunque i firewall sono bucabili [CUT]

Interessante questa cosa di avere 2 firewall in cascata,quindi come li collegheresti per fare in modo che sia il secondo router ad avere il controllo di tutto,non ho capito.

 

[FabrizioA]

- investire sul router in questione (anche considerando di passare alla banda a 5mhz perchè l'altra è un pò congestionata)
- attribuire degli ip fissi agli apparecchi in rete

Risposta positiva ad entrambe le questioni , la seconda già l'avresti dovuta fare da tempo.

- attivare lIPv6 anzichè il 4

Operazione totalmente inutile , in quanto utente residenziale hai a disposizione un solo indirizzo IP.

 

[FabrizioA]

Interessante questa cosa di avere 2 firewall in cascata,quindi come li collegheresti per fare in modo che sia il secondo router ad avere il controllo di tutto,non ho capito.

Assegnare un IP fisso al secondo router che rientri nel campo degli indirizzi gestibili dal primo router , verificare che il set di indirizzi gestibili del secondo router sia differente dal primo ( in pratica se 192.168.x.y è il set di indirizzi x deve essere differente ) , sul primo router stabilire una regola di IP forward che indirizzi il flusso dati vero l'iP del secondo router , sul secondo router procedere con le regole di IP forward per i singoli apparati , devono avere l'IP statico.

 

[Rain]

Ho capito grazie,con quel tipo di collegamento mi sembra che si debba usare la porta LAN del secondo router invece della WAN. In ogni caso mi sembra di ricordare che fastweb non gestisce gli indirizzi di rete 10.0.X.X quindi non credo di poterlo fare,non so se le cose siano cambiate,è un po' che non mi informo.

Ciaoo

 

[ebr9999]

Assegnare un IP fisso al secondo router che rientri nel campo degli indirizzi gestibili dal primo router , verificare che il set di indirizzi gestibili del secondo router sia differente dal primo ( in pratica se 192.168.x.y è il set di indirizzi x deve essere differente ) , sul primo router stabilire una regola di IP forward che indirizzi il flusso..........[CUT]

Scusa, ma l'unico sistema che sul router 1 (TG110 di fastweb) di fare IP forwarding è abilitare il DMZ, indicando come host 192.168.1.5. Seguendo il link al post #15 questo punto sul router 2 devo configurare indirizzo statico (192.168.1.5) e DNS per la WAN. Il campo di indirizzamento del router 2 deve essere diverso (sotto rete diversa9, su abilita il firewall e di DHC nelle modalità previste dal router 2.

Non so, mi sembra simile a quanto tu proponi. Io ho preferito la soluzione AP, perché il router 1 è in una posizione strategica e e mi serve che i terminali appartengano alla stessa rete (DLNA sharing).

 

[ebr9999]

fondamentalmente avere la conferma che siano soldi ben spesi, visto che parliamo di 200 euro. A me serve potenziare il wifi, e sfruttare al meglio la rete lan interna visto che l'ho strutturata con nas e impianto audio e video(sonore microrendu, htpc etc) che la sfrutteranno parecchio. I cavi sono cat6 e attualmente tutto funziona con ip non fissi ..........[CUT]

Ma un dual band router oggi costa molto meno. Se poi il router del provider fa quello che ti serve, se lo colleghi in modalità punto d'accesso non hai nessun problema.

 

[FabrizioA]

Ho capito grazie,con quel tipo di collegamento mi sembra che si debba usare la porta LAN del secondo router invece della WAN.

Si , mi ero scordato di questo passaggio in effetti.

 

[FabrizioA]

Scusa, ma l'unico sistema che sul router 1 (TG110 di fastweb) di fare IP forwarding è abilitare il DMZ

Calma , se si stà parlando di rete fastweb c'è un problema in più , in condizioni normali il router non è in collegamento diretto con la rete , per risolvere il problema da quanto ho capito ( non ho mai avuto fastweb e quindi non ho approfondito la cosa ) basta attivare l'IP pubblico.

Io ho preferito la soluzione AP, perché il router 1 è in una posizione strategica e e mi serve che i terminali appartengano alla stessa rete (DLNA sharing).

Non ho capito bene la configurazione della tua rete , SE utilizzi il secondo router come AP è uno spreco di risorse in quanto bastava l'acquisto di un semplice AP , SE utilizzi il primo router come AP basta configurare TUTTI gli apparati con IP fissi della seconda rete e non ci sono problemi.

 

[Falchetto]

secondo me la fate troppo complicata...
se inserisco un secondo router evidentemente è perchè il secondo è migliore e dunque è in grado di gestire in toto la mia sottorete, fatto salvo della connessione internet o voip.
quindi mi serve che il primo continui a fare solo la connessione col provider e nulla più mentre il secondo si prende carico di tutto il resto.
in questo caso una lan to wan è più indicata, lasciando tutti i servizi del caso (dhcp, nat, firewall, upnp, ...) al nuovo router e la sola connessione internet al primo. il provider vedrà quindi un solo client (il nuovo router) mentre questo gestirà il traffico sulla nostra sottorete.
diversamente in una lan to lan il primo router continuerà a farsi carico di tutto il lavoro mentre il secondo agirà solamente come access point.
per gli IP fissi, solitamente è più conveniente creare la mappa mac to IP sul dhcp del router stesso. in questo modo la rete rimane sotto controllo del solo router ed è più semplice apportare modifiche.

 

[Rain]

Ragionamento perfetto,sulla questione DMZ si cercava di capire se fosse indispensabile farlo verso il secondo router e quanto sia sicura come operazione; con fastweb è obbligatorio farlo se si vuole sfruttare il secondo router in tutte le sue funzioni,con altri gestori non saprei ma a naso direi idem.

Per la questione dmz/sicurezza si tratta di bypassare il firewall del primo router e utilizzare quello del secondo,in teoria non dovrebbe cambiare niente,invece di uno si usa l'altro.

 

[ebr9999]

Non ho capito bene la configurazione della tua rete , SE utilizzi il secondo router come AP è uno spreco di risorse in quanto bastava l'acquisto di un semplice AP , SE utilizzi il primo router come AP basta configurare TUTTI gli apparati con IP fissi della seconda rete e non ci sono problemi.

All'inizio avevo l'HAG, un oggetto non configurabile senza Wi-Fi che funzionava solo da gateway per l'accesso ad internet. E' a quel tempo che ho comprato il router dual band, che usavo nelle sua completezza e collegavo all'HAG tramite la porta WAN. Poi l'HAG ha smesso di funzionare e me l'hanno sostituito con vari router, con una limitata configurabilità, ma senza possibilità di disabilitare il DHCP. Per questo ho dovuto configurarlo come AP (ed usare un delle porte Ethernet). Oggi comprerei un AP.

 

[llac]

Mettere in DMZ tutta la rete interna è un suicidio...[CUT]

Non so quale mia frase ti abbia portato a pensare questo; non volevo suggerire di mettere i device della nostra rete sotto dmz (ad eccezione di eventuali servizi esposti), Di fatto nelle mie intenzioni era di proporre quanto poi hai (meglio) spiegato nel post #23.

Con fastweb in rete nat ( senza IP pubblico) ho dovuto attivare la DMZ ( da qui la mia affermazione) sul HAG fornitomi e creare le regole di port forwarding sono solo sul secondo router (il mio) "creando" il firewall che è indicato nello schema della rete DMZ visibile alla pagina di wiki che hai citato. ( quindi un solo firewal a differenza del tuo schema con 2 )

Di fatto mi sono basato su questo post del forum di fastweb , con il suggerimento di disabilitare comunque il server UPnP e crearsi le regole.

Spero di aver risolto il fraintendimento creato con il mio precedente post

ciao
Luca

 

[FabrizioA]

Con fastweb in rete nat ( senza IP pubblico)

Fastweb è sempre stata ostica alla libertà degli utenti , questi problemi esistevano già ai tempi dell'ISDN e non mi è mai passato nell'anticamera del cervello la possibilità di fare un abbonamento con loro , oggi stiamo andando verso quella direzione visto che in fibra se hai anche la telefonia non puoi fare a meno del modem/router schifido che ti appioppano in quanto non rilasciano i dati di collegamento ( un indagine da parte dell'antitrust no eh...).Detto questo appunto consigliavo a chi non ha problemi di fonia di farsi assegnare un IP pubblico ( da come ho letto in alcuni forum è compreso nell'abbonamento ma parecchi per ignoranza non lo attivano) e quindi usare il proprio modem.

Per quello che riguarda la DMZ mettendo sotto DMZ il router secondario de facto tutta la rete è in DMZ , ovvio che poi interviene il firewall del secondario ma con i geni che attivano UPnP sul secondario a tutto spiano i rischi sono notevoli ( e che me metto a configurarlo a mano il firewall ? ahò nun ciò tempo da perde...) ecco perchè mi escono le bolle quando sento parlare di DMZ.

Se poi con fastweb è un passaggio obbligato auguri...

 

[ebr9999]

Fastweb è sempre stata ostica alla libertà degli utenti , questi problemi esistevano già ai tempi dell'ISDN e non mi è mai passato nell'anticamera del cervello la possibilità di fare un abbonamento con loro , oggi stiamo andando verso quella direzione visto che in fibra se hai anche la telefonia non puoi fare a meno del modem/router schifido che ti..........[CUT]

Mi sembra che lo stesso problema si sia con Vodafone fibra.
E sono d'accordo che Fasteweb/Vodafone dovrebbero fornire le indicazioni per la connessione WAN ed permettere una configurazione del loro router che faccia la solo terminazione del protocollo di WAN verso i loro apparati. Odio ad esempio tah Fasteweb usi senza il mio permesso il suo router a casa mia per accesso Wi-Fi pubblico.

Detto questo:
(1)perché dico di farti assegnare un IP pubblico se non si hanno problemi di fonia? Il router del provider non puoi spegnerlo (terminazione fisica della fibra) e comunque l'IP pubblico non è alternativo alla fonia.
(2)Ma l'avere in tuo router in rete pubblica (cioè non dietro ad un natting vesro indirizzi privati), non ti espone ad altri rischi?
(3)Sei in grado di puntare a qualche guida su come andrebbe configurato il firewall del router secondario in caso di DMZ ed uso di upnp.

 

[FabrizioA]

Mi sembra che lo stesso problema si sia con Vodafone fibra.
E sono d'accordo che Fasteweb/Vodafone dovrebbero fornire le indicazioni per la connessione WAN ed permettere una configurazione del loro router che faccia la solo terminazione del protocollo di WAN verso i loro apparati.

Il problema esiste con tutte le fibre ma solo per quello che riguarda la fonia , i dati di accesso del voip sono secretati ma per il resto puoi fare come ti pare , volendo posso agganciare direttamente il mio fritzbox ma poi mia moglie mi uccide perchè rimane senza telefono ( o perlomeno dovrei farmi un abbonamento indipendente voip ).

Odio ad esempio tah Fasteweb usi senza il mio permesso il suo router a casa mia per accesso Wi-Fi pubblico.

Scusa ma questa non l'ho capita , davvero Fastweb usa il tuo contratto come accesso pubblico ?

perché dico di farti assegnare un IP pubblico se non si hanno problemi di fonia? Il router del provider non puoi spegnerlo (terminazione fisica della fibra) e comunque l'IP pubblico non è alternativo alla fonia.

Il router del provider è per l'appunto un modem/router , senza IP pubblico sei sotto NAT e non puoi gestire il tutto in maniera normale , da qui la necessità di creare una DMZ , per non avere problemi di fonia intendo che una volta che sostituisci il router non ti danno i dati di accesso voip e non puoi usare il telefono con quel contratto , o te ne fai un altro o usi il cellulare.

Ma l'avere in tuo router in rete pubblica (cioè non dietro ad un natting vesro indirizzi privati), non ti espone ad altri rischi?

Ti espone agli stessi rischi , per questo è molto più importante una buona configurazione generale della rete , e creare una dmz senza motivo ( ha senso solo se usi server che devono essere raggiunti dall'esterno) non è una buona configurazione.

Sei in grado di puntare a qualche guida su come andrebbe configurato il firewall del router secondario in caso di DMZ ed uso di upnp

UPnP prevede la configurazione automatica del firewall , non c'è bisogno di fare niente , però espone il sistema in quanto una volta che avviene una richiesta di aprire una porta dall'interno della rete la accetta automaticamente in quanto considera "sicura" la rete interna , che poi sia un trojan in esecuzione su un computer per lui non fà differenza , ecco perchè è meglio disabilitarlo.

 

[Rain]

Confermo che anche con ip pubblico si è vincolati a tenere il loro modem/router in caso la fonia passi attraverso di esso.

Per quanto riguarda la questione WoW-fi (così si chiama il servizio che offre la possibilità di condividere il wi-fi di casa propria con altri utenti fastweb)non è obbligatorio e può essere disattivato in myfastpage.

Questione DMZ : come scritto nel thread linkato da llac,per utilizzare in cascata un secondo router con fastweb e voler delegare a lui tutta la gestione della rete,si è obbligati a fare il dmz; a livello di sicurezza, si dice sempre in quella dscussione che non cambi niente,non si fa altro che utilizzare il firewall del secondo invece di quello del primo.

 

[bomb]

oggi il tecnico uno communications mi ha installato un router fritz 7430. non ha la dualband e non è gigabit. X averne uno come vorrei io, dovrei comprarlo privatamente,ma la compagnia si manleva dalla gestione delle telefonate: per capirci, se mi arriva una bolletta da 1000 euro, son cavoli miei. così ho lasciato fare, e vediamo come andrà

 

[Falchetto]

cambiare fornitore!?
voglio dire: ottenere un router gigabit e minimo N300 (oggi prenderei solo AC...) di questi tempi non mi sembra una richiesta insensata!?

 

[FabrizioA]

cambiare fornitore!?

Sarei curioso di sapere quale altro fornitore ti fornisce un AVM come router , a meno di particolari esigenze Gigabit e dual band sono opzional per la situazione attuale , non è che non ne puoi fare a meno.

 

[Falchetto]

mai visto un avm in ambito pro - poi magari mi sbaglio...