[OT] Fastweb, NAT e alcuni problemi ... (lungo)

[primero.gentoo]

Ciao a tutti.
Vado un po Off-Topic in quanto l'argomento non e' proprio legato a Linux ne a Gentoo, ma siccome mi sembra che alcune persone qui sul forum abbiano FW ...

Allora, come molti altri anche io , nonostante il contratto lo vieti , ho una piccola rete casalinga NATTATA da una bella macchina Gentoo (Ecco che torno In Topic ). A parte il fatto che gia' questo non mi sembra chiaro , ad esempio come viene considerato un UML? come un'altra macchina? e se con lo uso come LTSP server e con 100 Terminali vado su Internet?

Cmq non e' questo il discorso.

Partiamo dal fatto che e' circa un'anno che questa macchinetta sta su con la sua bella LAN da nattare e che non avevo mai avuto problemi ... almeno non questo.

Da un mesetto a questa parte mi capita una cosa strana: ad un certo punto l'interfaccia su FW "perde" l'indirizzo IP e non c'e' piu' modo di riottenerlo. Lo imposto manualmente ma niente.

Sembra quasi che la scheda si sia rotta, ed infatti la prima volta che mi e' successo ho sostituito la scheda e l'immediata resurrezione della mia connetitivita' mi ha reso felice e mi ha fatto dimenticare il problema.

Eccolo che pero' si ripresenta.
Una settimanella dopo l'interfaccia (NUOVA) perde l'indirizzo IP e non c'e' modo di farla tornare a comunicare con nulla.
La provo mettendola su un'altra rete della mia LAN e tutto va una meraviglia ...

Si comincia quindi con un esame della cosa, mettiamo tcpdump in ascolto e vediamo che succede. Come al solito comincio a raccogliere MONDEZZA dal mondo Fastweb : Pacchetti OSPF, HSRP, Pacchetti che se reassemblati al contrario contengono un mp3 dei beatles , ecc....

Facciamo partire il DHCP e vediamo che succede ... che bello!! le mie richieste sono tutte li... ma dove diavolo sono le risposte??!!??!!

Sembra quasi che io sia stato "Bannato" dal mio GW, semplicemente qualunque cosa gli arriva da me viene direttamente cestinata.

mmmhhh E' giunto il terribile momento di chiamare Fastweb (e chi lo ha mai fatto sa a cosa mi riferisco ... operatore:"Ma guardi che il MAC ADDRESS non e' burned-in sulla scheda..." , operatore:"Ah no, per Linux non diamo assistenza", operatore:"Allora, prema start, esegui, cmd, format c:, invio " ... ecc...)

Dopo un'oretta al telefono con una simpatica ragazza di bari di cui non sono riuscito ad avere il numero di telefono, sconsolato e con un orecchio grosso come un peperone decido di ricorrere all'ultima arma segreta.

Dopo aver riprovato un paio di volte a far partire il DHCP e a configurare la scheda a mano senza avere successo, decido di cambiare il MAC Address sull'interfaccia e vedere che succede .... MAGIA, FESTA, GIUBILO!!! """""incredibilmente""""" mi viene subito assegnato un bell'indirizzo IP.

Ho avuto per un secondo l'idea di chiamarli per chiedergli cosa CAXXO succede ma ricordando la procedura di 45 minuti che si deve affrontare prima di sentire "pronto!?" ho desisistito.

Ora la mia domanda e' questa, possibile che riescano a sgamare che ho una rete NATTATA? Sono diventati inteliggenti tutto insieme??
Ok, tecnicamente si puo' fare e sicuramente hanno persone in grado di farlo, basti leggere l'intervista ad alcuni developer di OPENBSD apparsa su qualche numero fa' di Linux&Co per leggere qualcosa a riguardo e anche su una possibile soluzione="TCP NORMALIZATION".
Parlano in quest'intervista del TimeStamp di ogni pacchetto che' e' legato all'avvio della macchina e quindi diverso per ognuna di esse anche dopo il Natting.
Se il router vede pacchetti con diversi TimeStamp dalla stessa sorgente SGAMA il Nat e mi Blocca.(queste sono solo supposizioni)

passiamo alle domande:

Qualcuno ha avuto esperienze come la mia?

Sapete se si puo' attuare in qualche modo una cosa simile al TCP NORMALIZATION di OpenBSD su Linux?

Avete qualche consiglio o osservazione utile?

Dite che e' giunto il momento che mi freghi il Cisco 2950 che mi hanno piazzato nel palazzo?

Sono molto incavolato perche' farmi uno script che mi cambi il MAC ogni volta che mi staccano sinceramente non mi va!!!!

Ciao a tutti
Primero

P.S. Quei Puzzettoni di FW mi hanno attaccato 2 volte in faccia quando ho cominciato a parlargli di quello che stava succedendo regalandomi almeno un'oretta buona di musichine FW ... mi sa che torno al mio bel modem 56K!
_________________
"Linux, the choice of a GNU generation"
==Micro$oft - just say NO==
(L#USER 353039)

[FonderiaDigitale]

sicuramente un sistema nattato e' rilevabile.
in ogni caso, ci fai vedere le regole di iptables deputate al masquerading?

usi squid? usi socks? usi proxy sul gateway?
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica

[primero.gentoo]

[FonderiaDigitale]

e qui sbagli: l'hug o come caz si chiama ti ha bloccato non per il tuo mac address, ma proprio perche' il tuo gw mandava pacchetti in cui era inserito un altro mac address (o piu di uno). questo lo fanno i nat gateways (anche se non sempre, e non dovrebbero). ecco perche le regole di nat del tuo packet filter sono rilevanti.

il kernel poco c'entra. come la distro che usi.
fai vedere le tue regole di iptables.
solo dopo che e' stato fixato questo, chiama fw e digli di resettare l'hug (adducendo come scusa che hai attaccato il pc di tua madre, ilportatile di tuo padre e il pc uno dietro l'altro e ti si e' inchiodata la borchia).
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica

[primero.gentoo]

[xchris]

qualche informazione:

ogni 24 ore (mi pare a mezzanotte ...ma nn ci giurerei) la lista dei MAC viene resettata.

Fastweb non si sogna lontanamente (per ora) di rilevare macchine NATTATE.

Io natto diverse macchine senza il minimo problema.
Natto il frigorifero,la lavatrice,tutto!!!

So che ci sono problemi con alcune schede di rete.
Per curiosita' mi dici il tuo MAC originale e modificato?
Che scheda e'?

ciao
_________________
while True:Gentoo()

[primero.gentoo]

Le schede sono banali Realtek 8139 .... tutte , sai il risparmio

I mac ora non te li posso dire perche' dovrei riavviare la macchina e sinceramente ho troppo sonno per farlo ...

Pero' anche se FW ancora non si preoccupa di identificare reti nattate con linux , so per certo che lo fa in ogni altra situazione possibile come ad esempio con i router cisco che mandano nel dhcp request l'ID del vendor.
Io ho dovuto muovere mari e monti per trovare un IOS che mi permettesse di rimuovere il vendor ID dal dhcp request .... fino a quel momento non c'era stato modo di fargli prendere l'ip in dhcp , tolta quell'opzione MAGIA!!!

Boh, ci pensero' domani quando saro' piu' riposato ... CIAUZ!!!
_________________
"Linux, the choice of a GNU generation"
==Micro$oft - just say NO==
(L#USER 353039)

[flocchini]

Fastweb non credo abbia nessun interesse a rilevare reti nattate e tantomeno a bloccarle... Cosa gliene verrebbe in tasca? La banda e' quella, a loro puo' importare che non generi piu' di tot ip perche' altrimenti non gli bastano x tutti i clienti (tra l'altro mi risulta che il max sia 5 e non 6) e nattandoti ne generi uno solo, gli fai quasi un favore
_________________
~~ Per amore della rosa si sopportano le spine... ~~

[FonderiaDigitale]

Per xchris: io ho detto che tecnicamente e' possibile rilevare un nat, non che fastweb sia iun grado di farlo ne che effettivamente lo faccia.
anche io ho diverse macchine nattate dietro fw senza nessun escamotage di sorta.

per primero: la regola di nat e' quella 'solita'... non ci vedo nulla di strano.
puo darsi che sia come dice xchris, prova a forzare la tua scheda di rete a 10/half o 10/full...
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica

[FonderiaDigitale]

beh oddio, che gli ip non bastino la vedo dura... usano ip privati, ne avrebbero quanti ne vogliono.
credo sia piu che altro un deterrente quello del blocco sui mac.
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica

[flocchini]

si in effetti ora che finiscono... piu' che altro diventerebbe un casino x loro gestirli tutti, gia' cosi' fanno i loro bei casini

Cmq anche io uso macchine nattate su rete fw e nessuno mi e' mai venuto a dire nulla... A parte il mio router defunto ma quella e' un'altra storia, pace all'anima sua
_________________
~~ Per amore della rosa si sopportano le spine... ~~

[xchris]

[primero.gentoo]

[xchris]

[koma]

allora ... io dico le mie esperienze....

casa mia : 5 pc uso 1 solo IP + 6° pc il pc di mio padre + 1 IP Televisione.
lavoro circa 12 pc + 2 sdoppiamenti wireless
lavoro2 4 pc
casa dei miei amici (lasciamo eprdere peggio che a lavoro.. vero fede? )

Fatto sta.. nessun casino.. MAI
_________________
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD

[Peach]

Sono utente fastweb da un po' anche io e posso dirti che in maniera random sto riscontrando degli errori pure io...
Premetto che l'HAG che mi hanno dato è un Pirelli AGE-RA ( ).
Il fisso è connesso alla prima porta mente il portatile lo collego quando sono a casa alla terza porta..
Ora nn riesco a capire se è la scheda di rete del portatile o l'HAG o Dio che mi odia...
ripeto: in maniera random nn riesco più a contattare il DNS... nn riesco a ricevere pacchetti... come se si freezasse la rete...
do un bel

[flocchini]

Secondo me e' il router che fa i capricci con il dhcp balocco di fastweb... (Succede)
La soluzione trovata empiricamente e' assegnare al router uno degl ii p del tuo pool in maniera statica, fine dei problemi. Stessa cosa per i singoli pc... Prova, se non va ancora dai una martellata all'hag e cerca di fartelo sostituire
_________________
~~ Per amore della rosa si sopportano le spine... ~~

[primero.gentoo]

[quote="xchris"]

[xchris]

prova del menga....

usa altro dhcp client.

anche se da quanto sputa tcpdump dubito fortemente!

ciao
_________________
while True:Gentoo()

[FonderiaDigitale]

visto che una scheda realtek costa 12-15 euri, hai provato a rimpiazzarla?
_________________
Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica

[primero.gentoo]

Beh , di realtek ne ho gia 3 e funzionano tutte ... almeno sulla mia rete locale. Anche la scheda incriminata e' una realtek ma mi sembra che in qualche post piu' su si dica che non va proprio benone con FastWeb (anche se a me in un anno e mezzo non avevano mai dato problemi).

Provero' con una scheda diversa magari ... intanto vedo se riesco a farmi cambiare pure l'HAG visto che ogni tantno ho problemi anche con il telefono.

Ciao
_________________
"Linux, the choice of a GNU generation"
==Micro$oft - just say NO==
(L#USER 353039)

[xchris]

cmq il fatto che impostando l'ip in manuale non funzioni mi lascia molto perplesso.

mi spiego meglio:

l'hag e' un ibrido attivo e passivo

passivo - come switch
attivo - come voip,dhcpserver

quindi fissando un ip "devi" poter pingare il catalyst e uscire.

Se non lo pinghi i casi sono 2:
- il tuo MAC e' blacklistato per qualche motivo
- la realtek e' andata alle cozze

Hai per caso fatto un cambio di kernel? puoi provarne uno vecchio?

ciao
_________________
while True:Gentoo()

[primero.gentoo]

Sei sicuro che l'hag si comporti da switch (che comunque va considerato attivo credo, e non passivo) e non da semplice HUB per le interfaccie di rete?

Comunque ragioniamo un attimo. Allora , se l'hag fa da dhcp server e' lui a mantenere l'associazione MAC--->IP giusto?
Mentre come abbiamo detto ad occuparsi del conto dei MAC address utilizzati nell'arco di tempo (di cui il massimo abbiamo detto che e' 5) e dell'eventuale blocaggio delle porte e' il Catalyst attraverso l'opzione "set port security".

A quanto si legge qui sembra che i catalyst siano settati in modalita' "autolearning" ovvero i primi N indirizzi che arrivano sulla porta vengono registrati e lasciati passare , superato questo numero N la porta viene messa in shutdown (almeno l'ultima volta che a me e' successo e' andata cosi e ho dovuto farla rimettere su dai meravigliosi tecnici FW).

Se le cose stanno cosi hai ragione tu , impostando l'IP Manualmente dovrei navigare perche' l'HAG non verrebbe proprio chiamato in causa e sposterebbe il problema da un'altra parte. O sulla mia interfaccia o su quella del catalyst.

In piu' il fatto che sia bastato cambiare MAC per ottenere di nuovo tutto cio' di cui ho bisogno fa pensare ancora di piu' ad una Improvvisa aggiunta del mio MAC address reale alla Blacklist ... perche? mistero.
Problemi HW non ne ho , il kernel non l'ho cambiato di recente e comunque ho provato anche con una knoppix .... stesso risultato.

C'e' una cosa da aggiungere, ovvero che la mia scheda di rete ad un certo punto ha perso il suo indirizzo IP che aveva ottenuto dal dhcp server , magari perche' e' scaduto il lease time, e a quel punto il dhcp server ha deciso di rifiutarsi di darmene un'altro per un suo motivo personale , di questo sono certo (sempre per il discorso del cambio di mac). E' possibile che l'hag possa comunicare con il catalyst e indicargli un MAC da bloccare per qualche arcano motivo?
Coninuo a pensare che la falla vada cercata qui ... IP perso, IP non riottinibile, Cambio di MAC, Tutto a posto ...

Ciauz

P.S. nessuno sa nulla di questo MAC fingerprint?
_________________
"Linux, the choice of a GNU generation"
==Micro$oft - just say NO==
(L#USER 353039)

[Kralizek]

scusate l'ot... ma è possibile che al mio contratto siano assegnati indirizzi dal 49 al 56 (i primi tre byte ve li risparmio)? ho un cotnratto fibra...

mi sono accorto di ciò una volta che avevo 4 pc collegati e tutti e 4 su internet... frugando ed aiutandomi con la myfastpage ho scoperto di avere fino al *.*.*.56... lol!!

potrei fare l'ISP di palazzo!!!

[federico]

Probabilmente ne hai anche di + .. io se me li assegno a caso, su tutta la classe /24 li ho tutti funzionanti, quindi circa 250 (tolte le apparecchiature fw gli altri sono liberi)
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk