Discussione:
Aggirare NAT imposto dall'ISP
(troppo vecchio per rispondere)
Joe
2015-04-07 16:39:06 UTC
Permalink
Sto cercando informazioni circa eventuali possibilità di ottenere in
qualche modo un ip pubblico ed essere raggiungibile dall'esterno
per poter sfruttare le stesse possibilità che offre l'assegnazione di
ip pubblico direttamente dall'ISP.

L'argomento ha attirato il mio interesse da quando TIM ha cambiato la
politica di assegnazione IP agli utenti collegati su rete mobile.
Per 10 anni hanno dato IP pubblico variabile, adesso invece hanno messo
in piedi un NAT e mi ritrovo collegato ad internet con IP privato.

Questo cambiamento probabilmente per ora è un po' in "testing" diciamo.
Infatti ha apportato diversi disservizi e comportamenti inattesi della
connessione.


Una soluzione che ho in parte testato è quella di sfruttare un servizio
di VPN tunneling, che in pratica mi crea un'interfaccia di rete cui
corrisponde un'ip (pubblico).
Tutti i pacchetti vengono poi instradati su questa interfaccia piuttosto
che su quella che mi collega all'ISP (ppp0, wwan0, eth0, ecc, a seconda
del metodo di connessione all'ISP).
In questo modo di fatto ci si trova connessi ad internet come se il
nostro isp fosse il servizio che ci fornisce l'ip pubblico.

Ovviamente servizi del genere un attimo seri hanno dei costi, ma per
quel che mi riguarda potrei valutarne la possiblità.

Personalmente ho testato un servizio gratuito di openvpn che mi ha
consentito di risolvere qualche problemino che avevo registrato con
la connessione normale "NAT-ISP - Internet".
Purtroppo tale servizio non offre in realtà ip pubblico quindi alcuni
test di raggiungibilità dall'esterno non li ho potuti fare.

Quindi soluzione 1: tunnel-VPN.


Altra soluzione di cui sto cercando di capire di più sembrerebbe
sfruttare il "nuovo" IPv6. E anche lì in qualche modo cercare di
mettere in piedi un qualche tunnel che consenta di bypassare il
NAT.

Però questa seconda via non mi è ben chiara.
E anche in rete la documentazione mi è un po' spinosa, così
provo a chedere qui:

1- Quali altre possibilità per aggirare il NAT che impone un'ISP?

2- Come esattamente può venirmi in aiuto l'IPv6 per tale scopo?
Eventualmente avreste qualche collegamento da suggerirmi per
approfondire (ma neanche troppo) il meccanismo e cercare di
mettere in piedi una soluzione del genere?

3- Tra le soluzioni potrebbe anche starci questa domanda:
che voi sappiate TIM dà la possibilità di acquistare pagando
un sovrapprezzo il servizio di assegnazione di ip pubblico
(anche dinamico, non è un problema)?
Per utenza privata, non business intendo...
(ok direte chiedilo a loro... lo farò ma chiedo anche a voi
qui perchè le precedenti esperienze col call center tim mi
ha "dato l'impressione" che su questioni tecniche siano un
po'... "estrosi", diciamo che sanno inventarsi storie molto
pittoresche).


Scusate la lunghezza del post.
Spero che possiate darmi qualche suggerimento.

Grazie in anticipo
GabrieleMax
2015-04-07 17:20:09 UTC
Permalink
Post by Joe
Sto cercando informazioni circa eventuali possibilità di ottenere in
qualche modo un ip pubblico ed essere raggiungibile dall'esterno
per poter sfruttare le stesse possibilità che offre l'assegnazione di
ip pubblico direttamente dall'ISP.
L'argomento ha attirato il mio interesse da quando TIM ha cambiato la
politica di assegnazione IP agli utenti collegati su rete mobile.
Per 10 anni hanno dato IP pubblico variabile, adesso invece hanno messo
in piedi un NAT e mi ritrovo collegato ad internet con IP privato.
Sai quante "madonne" mi ha fatto tirare giù Tim? Sai quante volte gli ho
scritto e non mi hanno cagato di striscio? Sai che bello pagare ed
utilizzare LTE Tim per vedere con fluidità delle ipcam da remoto e
trovarsi dall'oggi al domani nattati?
Post by Joe
Questo cambiamento probabilmente per ora è un po' in "testing" diciamo.
Infatti ha apportato diversi disservizi e comportamenti inattesi della
connessione.
E' peggiorata la velocità dell'LTE!!!
Post by Joe
Una soluzione che ho in parte testato è quella di sfruttare un servizio
di VPN tunneling, che in pratica mi crea un'interfaccia di rete cui
corrisponde un'ip (pubblico).
Openvpn.org da 10 certificati ssl sui 90 USD all'anno.
Post by Joe
In questo modo di fatto ci si trova connessi ad internet come se il
nostro isp fosse il servizio che ci fornisce l'ip pubblico.
Esatto.
Post by Joe
Ovviamente servizi del genere un attimo seri hanno dei costi, ma per
quel che mi riguarda potrei valutarne la possiblità.
Nemmeno tanto poi quelli di Openvpn.org ti permettono di fare un test
prima di acquistare il loro servizio ma la loro struttura mi sembra
seria e ben attrezzata anche in termini di banda!
Post by Joe
Personalmente ho testato un servizio gratuito di openvpn che mi ha
consentito di risolvere qualche problemino che avevo registrato con
la connessione normale "NAT-ISP - Internet".
Quale se si può sapere? Ma soprattutto come l'hai implementato?
Post by Joe
Purtroppo tale servizio non offre in realtà ip pubblico quindi alcuni
test di raggiungibilità dall'esterno non li ho potuti fare.
Beh... essendo gratutito ci stà, magari a pagamento si trova pure
qualcosa che risolve questo problema!
Post by Joe
Altra soluzione di cui sto cercando di capire di più sembrerebbe
sfruttare il "nuovo" IPv6. E anche lì in qualche modo cercare di
mettere in piedi un qualche tunnel che consenta di bypassare il
NAT.
Non conosco IPv6, se risolvi in questo modo fai sapere! :)
Post by Joe
1- Quali altre possibilità per aggirare il NAT che impone un'ISP?
Come consigliatomi da THe_ZiPMaN http://www.softether.org/ e questi sono
alcuni link trovati da me per implementare il tutto:

http://blog.lincoln.hk/blog/2013/03/19/softether-on-vps/
http://qiita.com/yoshi-naoyuki/items/58f7cf65ad16559ec751
http://lowendtalk.com/discussion/23672/install-softether-vpn-on-debian-7-l2tp
Post by Joe
che voi sappiate TIM dà la possibilità di acquistare pagando
un sovrapprezzo il servizio di assegnazione di ip pubblico
(anche dinamico, non è un problema)?
Per utenza privata, non business intendo...
Per l'utenza business vedi la rete gprs dei pos i gestori mobili hanno
una VPN in modo che possano scambiare dati ed essere raggiunti dal
server remoto ed ovviamente tutt'ora funzionano!
Post by Joe
(ok direte chiedilo a loro... lo farò ma chiedo anche a voi
qui perchè le precedenti esperienze col call center tim mi
ha "dato l'impressione" che su questioni tecniche siano un
po'... "estrosi", diciamo che sanno inventarsi storie molto
pittoresche).
Stop call center, lettera raccomandata online all'ufficio reclami.
Post by Joe
Scusate la lunghezza del post.
Spero che possiate darmi qualche suggerimento.
Siamo nella stessa barca, io andrò di SoftEther!
Post by Joe
Grazie in anticipo
Saluti e tieni aggiornato l'argomento se vi fossero sviluppi!
GabrieleMax
Joe
2015-04-07 21:50:04 UTC
Permalink
Post by GabrieleMax
E' peggiorata la velocità dell'LTE!!!
Io ho rilevato anche pasticci con gli headers.
Ad esempio l'altro giorno un banale video mp4 veniva compresso
forzatamente durante il download.
E il file scaricato localmente non era visionabile con mplayer.
Manualmente si doveva fare una cosa del tipo:

zcat fake-vieo.mp4 | mplayer -

O qualcosa del genere.
La cosa strana era che in remoto il file era un video mp4 davvero.
wget non sembra supportare l'header "content-encoding: gzip", quindi
in teoria il video.mp4 dovrebbe essere scaricato tale e quale.
Invece a wget il server propinava la versione compressa: fakevideo.mp4

Pare che il responsabile non fosse wget...
Infatti collegandomi allo stesso video attraverso il tunnel vpn
sorpresa, l'header "gzip" di cui sopra non compare nella transazione
ed il video scaricato è realmente il file remoto video.mp4.

È una sciocchezza, ma questo per dire che lo switch della rete alla
configurazione NAT per ora è quasi un esperimento.
Peccato che gli utenti paganti ne siano le cavie (spesso inconsapevoli).
Post by GabrieleMax
Openvpn.org da 10 certificati ssl sui 90 USD all'anno.
Bè per le mie esigenze non sono proprio pochi 90 dollari l'anno in più.
Ma sono una capra in materia e ignoro il significato di 10 certificati
ssl.
Magari offrono anche qualcosa più a buon mercato che già mi basta per
il mio scopo...
Post by GabrieleMax
Nemmeno tanto poi quelli di Openvpn.org ti permettono di fare un test
prima di acquistare il loro servizio ma la loro struttura mi sembra
seria e ben attrezzata anche in termini di banda!
Darò un'occhiata. La possibilità di testare prima di acquistare è una
buona opzione!
Post by GabrieleMax
Quale se si può sapere? Ma soprattutto come l'hai implementato?
vpnbook

La configurazione è semplice.
Vai sul sito e ti scarichi una manciata di files.
Sempre da quella pagina copi nome utente e password da usare per
instaurare la vpn.
Per comodità li puoi incollare in un file di testo, che io ho chiamato
ad esempio vpnbook.auth, dev'essere fatto così:
------------
nome_utente
password
------------

Poi semplicemnte lanci openvpn:


openvpn --daemon --config $CONFDIR/vpnbook-euro1-tcp443.ovpn \
--auth-user-pass $CONFDIR/vpnbook.auth

Io ho messo tutti i files scaricati e creati nella dir CONFDIR.
Poi mi sono fatto uno scriptino che uso così:

vpnbook start|stop

Niente di chè, ma il comando importante per far partire la vpn
è quello sopra.
Di fatto utilizzi il file ".ovpn" scaricato e "vpnbook.auth"
per autenticarti senza digitare credenziali ogni volta.

Come vedi c'è poco da implementare. È molto semplice.
Post by GabrieleMax
Non conosco IPv6, se risolvi in questo modo fai sapere! :)
Eh purtroppo non riesco a trovare documentazione via google
in merito... cioè intendo documentazione mirata allo scopo
di bypassare il nat sfruttando ipv6.
Però l'argomento è interessante e anche solo a livello di
curiosità mia mi piacerebbe approfondire la cosa.
Quindi rinnovo l'invito:
se per caso qualcuno che legge avesse qualche link a portata
di mano sarebbe gradito se volesse conividerlo.
Post by GabrieleMax
Post by Joe
1- Quali altre possibilità per aggirare il NAT che impone un'ISP?
Come consigliatomi da THe_ZiPMaN http://www.softether.org/ e questi sono
http://blog.lincoln.hk/blog/2013/03/19/softether-on-vps/
http://qiita.com/yoshi-naoyuki/items/58f7cf65ad16559ec751
http://lowendtalk.com/discussion/23672/install-softether-vpn-on-debian-7-l2tp
Dò un'occhiata, avevo in parte letto quella discussione, ma
senza capirci granchè sinceramnte. Come ho detto sono una capra
in materia... fino ad un mese fà TIM dava ip pubblico sulla mia
zona coperta in 3G... LTE ?? LTE chi ???? :( :D
Post by GabrieleMax
Per l'utenza business vedi la rete gprs dei pos i gestori mobili hanno
una VPN in modo che possano scambiare dati ed essere raggiunti dal
server remoto ed ovviamente tutt'ora funzionano!
Ora che mi ci fai pensare leggevo su iltelefonino.net che alcuni
utenti hanno notato l'assegnazione di ip pubblico se ti connetti
in 2G (GPRS/EDGE).
Non ho provato a forzare la mia chiavetta in 2g e comunque non so
se si possa sfruttare la cosa per fare a caldo uno switch in HSPA.

È un'idea cmpata per aria ma la procedura potrebbe essere la seguente:

- AT+forzain2G ---> si ma verso chi ?? /dev/ttyUSB0 per esempio
- connessione
- ok, è vero! habbiamo IP pubblico sull'interfaccia "ppp0" (o quel che è).
- Ora in qualche modo bisognerebbe dare un comando AT o qualcosa del
genere del tipo:
AT+forzain3G_preferred sì ma verso chi ???
/dev/ttyUSB0 che sta tenendo in piedi la connessione non accetta
comandi AT proprio perchè è già occupato con la connessionee!!!
In altre parole non so se questo switch 2gonly-3g si possa fare
a caldo (a connessione instaurata) in qualche altro modo...

Ripeto è un'idea campata per aria che non dovrebbe funzionare.
Ma magari fa venire in mente a qualcuno di voi un'altra idea più
furba.
Post by GabrieleMax
Siamo nella stessa barca, io andrò di SoftEther!
Saluti e tieni aggiornato l'argomento se vi fossero sviluppi!
Softether. Segno.
Non mancherò di aggiornarvi!

Grazie per il momento della risposta e degli spunti!
THe_ZiPMaN
2015-04-07 21:32:22 UTC
Permalink
Post by Joe
2- Come esattamente può venirmi in aiuto l'IPv6 per tale scopo?
Eventualmente avreste qualche collegamento da suggerirmi per
approfondire (ma neanche troppo) il meccanismo e cercare di
mettere in piedi una soluzione del genere?
IPv6 ti consente di avere un indirizzo IPv6 globale che per definizione
è pubblico. Non esiste difatti il NAT in IPv6 (e non menzionate NAT-PT
please) e non ve ne è bisogno.
Non mi risulta che TIM in Italia offra APN già IPv6 capable (lo fa
invece per certo in Brasile), ma puoi sottoscrivere un tunnel AYIYA con
Sixxs e usarlo da terminali Android.

Naturalmente il tuo terminale sarà raggiungibile via IPv6 da tutta la
Internet IPv6 capable, quindi da casa devi avere un altro tunnel IPv6 (o
se hai alice attivarti ipv6 nativo). Accertati di avere configurato il
firewall per tale protocollo.
--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
Joe
2015-04-07 22:50:35 UTC
Permalink
Post by THe_ZiPMaN
Post by Joe
2- Come esattamente può venirmi in aiuto l'IPv6 per tale scopo?
Eventualmente avreste qualche collegamento da suggerirmi per
approfondire (ma neanche troppo) il meccanismo e cercare di
mettere in piedi una soluzione del genere?
IPv6 ti consente di avere un indirizzo IPv6 globale che per definizione
è pubblico.
Benissimo, questè praticamente l'unica cosa che ho capito, assieme al
fatto che sono numeroni più incasinati (prprio per quello ve ne sono in
abbondanza).
Post by THe_ZiPMaN
Non mi risulta che TIM in Italia offra APN già IPv6 capable (lo fa
invece per certo in Brasile)
Cosa intendi di preciso? Vediamo se ho capito più o meno:
se tim avesse un APN "ipv6 capable", del "tipo ipv6.tim.it"
invece che "ibox.tim.it".
Ecco che durante la sessione PPP nella fase di connessione
alla nostra interfaccia ppp0 verebbe assegnato un ip a 6 cifre,
ipv6 insomma...
Ho capito bene???
Post by THe_ZiPMaN
ma puoi sottoscrivere un tunnel AYIYA con Sixxs e usarlo da terminali
Android.
No ma a me non serve vedere il PC di casa dal telefono, o accedere ad un
server che gestisce una ipcam.
Io vorrei semplicemente che il mio PC fosse raggiungibile dall'esterno
direttamente, come se avesse ip pubblico.
Lasciamo perdere android, per il momento... la faccenda è già incasinata
così! :D

Leggendo in rete ho visto questo servizi Sixxs.
È che non riesco bene a capire questa storia del tunnel, o in ogni caso
ho bisogno di conferme....

Allora semplifichiamo la cosa con un esempio:

1- Sono connesso alla rete tim via interfaccia ppp0 cui TIM ha assegnato
ip privato: 10.187.a.b
mentre da fuori mi vedono come: 5.170.c.d

2- Se io sottoscrivo questo tunnel su Sixxs ottengo intanto un ipv6 tutto mio.
Ho capito bene?

Domande:

a) in cosa consiste preaticamente questo tunnel a livello del mio
sistema? È simile ad un tunnel vpn?
Cioè avrò una nuova interfaccia tipo "tun0" che avrà però un
indirizzo IPv6?

b) domanda sciocca, ma come verrà instradato il mio traffico?
passerà attraverso il tunnel e uscirà/entrerà dai server Sixxs?
E quindi ci sarà una limitazione di traffico e velocità imposta
da Sixxs?
Un po' come la VPN che si diceva nei post precedenti?

Oppure "magicamente" il mio traffico ipv6 esce/entra dal mio PC
e arriva su "internet v6" senza passare da Sixxs.... ??
Mi sa di no se no che tunnel sarebbe...
Ma chiedo ugualmente vista l'ignoranza. :)


c) E IPv4? Che fine faranno tutti quei comuni mortali che ancora
connessi ad internet via IPv4 volessero accedere al nostro PC
magari perchè sopra ci gira un server ftp oppure http?
Potranno accedervi grazie magari a qualche traduzione che Sixxs
fa da ipv4 a ipv6?

In altre parole, essere su ipv6 ci permette di essere raggiungibili
anche da chi è su ipv4?


Scusa la tempesta di domande Flavio, ma come avrai ben capito
non sono un esperto si reti, men che meno di tunneling ipv6.
Ancora una cosa, Sixxs è simile a questo di seguito?

http://www.gogo6.com/freenet6/tunnelbroker

Grazie della rosposta!
THe_ZiPMaN
2015-04-07 23:57:50 UTC
Permalink
Post by Joe
se tim avesse un APN "ipv6 capable", del "tipo ipv6.tim.it"
invece che "ibox.tim.it".
Ecco che durante la sessione PPP nella fase di connessione
alla nostra interfaccia ppp0 verebbe assegnato un ip a 6 cifre,
ipv6 insomma...
Ho capito bene???
Se togliamo la blasfemia del IP a 6 cifre sì. IPv6 è solo la versione 6
del protocollo IP... le cifre sono 32 esadecimali.
Post by Joe
Io vorrei semplicemente che il mio PC fosse raggiungibile dall'esterno
direttamente, come se avesse ip pubblico.
Lasciamo perdere android, per il momento... la faccenda è già incasinata
così! :D
Mi pareva di aver capito che usassi TIM...
Post by Joe
Leggendo in rete ho visto questo servizi Sixxs.
È che non riesco bene a capire questa storia del tunnel, o in ogni caso
ho bisogno di conferme....
1- Sono connesso alla rete tim via interfaccia ppp0 cui TIM ha assegnato
ip privato: 10.187.a.b
mentre da fuori mi vedono come: 5.170.c.d
2- Se io sottoscrivo questo tunnel su Sixxs ottengo intanto un ipv6 tutto mio.
Ho capito bene?
Ottieni una rete IPv6 /64 tutta tua.
Post by Joe
a) in cosa consiste preaticamente questo tunnel a livello del mio
sistema? È simile ad un tunnel vpn?
Cioè avrò una nuova interfaccia tipo "tun0" che avrà però un
indirizzo IPv6?
Sì.
Post by Joe
b) domanda sciocca, ma come verrà instradato il mio traffico?
passerà attraverso il tunnel e uscirà/entrerà dai server Sixxs?
E quindi ci sarà una limitazione di traffico e velocità imposta
da Sixxs?
Un po' come la VPN che si diceva nei post precedenti?
Ni. Il tunnel viene fatto tra te e un pop di sixxs (in Italia c'è
itgate). Ma non vi sono limiti di velocità plausibili per il tuo uso. Io
ho raggiunto i 200mbps simmetrici con il tunnel ipv6 (oltre non potevo
andare per limiti della mia connettività).
Post by Joe
c) E IPv4? Che fine faranno tutti quei comuni mortali che ancora
connessi ad internet via IPv4 volessero accedere al nostro PC
magari perchè sopra ci gira un server ftp oppure http?
Potranno accedervi grazie magari a qualche traduzione che Sixxs
fa da ipv4 a ipv6?
Esistono sistemi di traduzione ma meglio lasciar perdere. Se interessato
puoi guardare su Wikipedia che è trattato abbastanza bene.
Post by Joe
In altre parole, essere su ipv6 ci permette di essere raggiungibili
anche da chi è su ipv4?
Semplificando no. Sono due reti distinte con alcuni punti di contatto
che hanno dei limiti.
Post by Joe
Ancora una cosa, Sixxs è simile a questo di seguito?
http://www.gogo6.com/freenet6/tunnelbroker
Sì. C'è anche Hurricane Electric (he.net) e molti altri.
--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
Joe
2015-04-08 09:07:52 UTC
Permalink
Post by THe_ZiPMaN
Ni. Il tunnel viene fatto tra te e un pop di sixxs (in Italia c'è
itgate). Ma non vi sono limiti di velocità plausibili per il tuo uso. Io
ho raggiunto i 200mbps simmetrici con il tunnel ipv6 (oltre non potevo
andare per limiti della mia connettività).
Wow, 200 Mbps !!
Di che collegamento ad internet stiamo parlando? Se posso chiedere?

Un collegamnto casalingo dubito... o no?
Post by THe_ZiPMaN
Esistono sistemi di traduzione ma meglio lasciar perdere. Se interessato
puoi guardare su Wikipedia che è trattato abbastanza bene.
Post by Joe
In altre parole, essere su ipv6 ci permette di essere raggiungibili
anche da chi è su ipv4?
Semplificando no. Sono due reti distinte con alcuni punti di contatto
che hanno dei limiti.
Ahh, detta così sembrerebbe venir meno allo scopo, che ricordo era:
work-around per riottenere connettività diretta ad internet come prima
della messa in piedi del NAT imposto da Tim.

Voglio dire, avere un IPv6 tutto per noi, non è come avere un IPv4.

Mi informerò meglio sui "punti di contatto" tra le due reti perchè
la cosa potrebbe essere interessante, anche per eventuale economicità
dei servizi di tunneling IPv6... Dico eventuale perchè non ho ancora
controllato.
Però se già dici che è meglio lasciar perdere, parto già scettico...





Quindi tirando le somme, per bypassare il NAT dell'ISP, quali altre
tecnologie abbiamo a disposizione oltre la classica VPN o l'IPv6
tunneling?
Che tu sappia intendo?

Grazie davvero della spiegazione! :)
THe_ZiPMaN
2015-04-08 09:38:21 UTC
Permalink
Post by Joe
Quindi tirando le somme, per bypassare il NAT dell'ISP, quali altre
tecnologie abbiamo a disposizione oltre la classica VPN o l'IPv6
tunneling?
Che tu sappia intendo?
Nessuna. Una volta esistevano Mozzarella e Pomodoro ma non funzionano più :D
--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left
Continua a leggere su narkive:
Loading...