[Risolto] DDNS + Port Forwarding = Non funziona...

[gikbuntu]

Buonasera a tutti,
premetto che sono due annetti ormai che non frequento più il forum, ma credo di ricordarmi il regolamento

Ho qualche piccolo problema (ok, non così piccolo, sono due giorni che mi ci sbatto sopra) sulla configurazione di un server GIT che avevo intenzione di realizzare.
In pratica, ho comprato un Raspberry PI, e l'intenzione sarebbe, grazie ad un DNS dinamico (noip), di potermi collegare ad esso anche se sono connesso ad altre reti (ad es. con il cellulare in mobilità, o comunque, da qualsiasi altra parte non sia casa mia).
All'interno della rete locale tutto funziona, riesco a collegarmi al server (sia inserendo l'indirizzo IP, che digitando l'indirizzo di dominio).
Dall'esterno nulla - la connessione va in timeout.

La connessione ad Internet avviene via ADSL, l'ISP è Fastweb

- - - Cosa ho già fatto - - -
Ho già provato ad effettuare il ping attraverso un servizio online (ping.eu)

Codice: Seleziona tutto

--- PING giacofabris.ddns.net (93.37.56.144) 56(84) bytes of data. ---


--- giacofabris.ddns.net ping statistics ---
packets transmitted 	9
received 	0
packet loss 	100 %
time 	8062 ms

93.37.56.144 è l'indirizzo pubblico del NAT Fastweb

Ho già provato a cambiare servizio. Per non farmi mancare nulla, ho installato apache e ho provato una connessione HTTP. Nulla.

Ho già provato a cambiare la porta "esterna" (quella con cui connettersi al router).

Ho già provato a configurare un client ddns sul server

Ho già provato a cambiare computer (cioè, anziché fare il forward sul raspberry pi lo ho fatto sul mio pc con ubuntu server, e nulla uguale...)

Ho già disabilitato ufw sul server e controllato le iptables (ma tanto, se non riesco a pingare, a che serve controllare il firewall?)

Ho già configurato il port forwarding. O almeno credo. Sono entrato nella configurazione del router (TP-Link TD-W8970) (ALLEGATO), port forwarding → virtual server e ho aggiunto l'indirizzo ip del server. Però non mi fido molto, avevo letto su altri forum di "RIP DNS" (mi riferisco a questa discussione sul forum D-Link), ma non riesco ad attivare quella funzione (dovrei disattivare il NAT, ma senza NAT non riesco a risolvere nessun URL). Però, siccome non ho ben compreso a cosa serva e come funzioni questo rip dns, se qualcuno mi volesse illumniare, glie ne sarei grato eh



Altro non ricordo. Se riuscite a darmi una mano, vi ringrazio

Una buona serata a tutti.
Giacomo Fabris

[trekfan1]

Temo che non ci sia nulla da fare, l'ip privato di fastweb non ti permette di fare quello che vuoi, devi avere ip PUBBLICO

[SuperStep]

alcune domande:

1) provando a pingare il tuo ip (93.37.56.144) dall'interno della rete, e dall'esterno, riesci a ricevere il ping? oppure perdi i pacchetti?
2) suppongo che tu abbia fatto questa prova quando i client avevano sempre lo stesso indirizzo, ma utilizzi DHCP? se si, ti sei preoccupato di preservare l'ip per la macchina? in modo che questo non cambi ad una nuova connessione, o allo scadere.
2.1) se l'ip e' preservato, dall'interno della rete riesci a svolgere il servizio che avevi in mente?
3) dall'esterno e dall'interno della rete hai provato a fare un netcat sul tuo dispositivo, per vedere effettivamente cosa risponde?

allego esempio:

Codice: Seleziona tutto

step@Mike:~$ netcat serv.stepnet.lan 22
SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2
hi
Protocol mismatch.
step@Mike:~$ netcat 192.168.88.100 22
SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2
hi
Protocol mismatch.

facendo un dig a quel dns cosa becchi?

esempio:

Codice: Seleziona tutto

step@Mike:~$ dig serv.stepnet.lan

; <<>> DiG 9.9.5-3-Ubuntu <<>> serv.stepnet.lan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51802
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;serv.stepnet.lan.		IN	A

;; ANSWER SECTION:
serv.stepnet.lan.	3600	IN	A	192.168.88.100

;; AUTHORITY SECTION:
stepnet.lan.		3600	IN	NS	ns2.stepnet.lan.
stepnet.lan.		3600	IN	NS	ns1.stepnet.lan.

;; ADDITIONAL SECTION:
ns1.stepnet.lan.	3600	IN	A	192.168.88.10
ns2.stepnet.lan.	3600	IN	A	192.168.88.11

;; Query time: 2 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Fri Nov 28 06:55:28 CET 2014
;; MSG SIZE  rcvd: 129

sei sicuro che i tuoi DNS rispondano il tuo indirizzo pubblico???

p.s. i test effettuati da me sono stati fatti su DNS e servizi interni alla rete, pertanto non accedibili dall'esterno. Ma volendo e' possibile configurare un punto d'accesso.

[Pike]

E' possibile avere lo screenshot della sezione "firewall" del tuo router TP-Link?
In seconda battuta: Il Raspberry accetta connessioni su SSH da parte dell'intera internet e non solo da parte della LAN?

Le altre domande sono assolutamente pertinenti, ma anche queste, a mio parere, possono aiutare ad indagare...

[gikbuntu]

Innanzitutto grazie delle risposte.

Temo che non ci sia nulla da fare, l'ip privato di fastweb non ti permette di fare quello che vuoi, devi avere ip PUBBLICO

Sicuro? Cioè, sono d'accrdo che un IP pubblico aiuti molto, ma pensavo che si riuscisse con un DNS dinamico anche sotto un NAT.
D'altra parte, il mio ISP aveva anche pubblicato un articolo dove mostrava come collegarsi all'impianto di videosorveglianza IP di casa, utilizzano un DNS dinamico (non che mi interessi la videosorveglianza, ma il concetto è identico, insomma).

1) provando a pingare il tuo ip (93.37.56.144) dall'interno della rete, e dall'esterno, riesci a ricevere il ping? oppure perdi i pacchetti?

Ok, nel frattempo l'IP è cambiato, ma il concetto è sempre quello.
Dall'interno riesco, dall'esterno no.
Che poi in realtà è l'indirizzo del NAT Fastweb, per cui non so se risponda ai ping...

Codice: Seleziona tutto

gik@gikPc:~$ whois 93.37.56.235
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '93.37.48.0 - 93.37.63.255'

% Abuse contact for '93.37.48.0 - 93.37.63.255' is 'abuse@fastweb.it'

inetnum:        93.37.48.0 - 93.37.63.255
netname:        FASTWEB-DPPU
descr:          Infrastructure for Fastwebs main location
descr:          NAT POOL 8 for residential customer POP 1101,
country:        IT
admin-c:        IRSN1-RIPE
tech-c:         IRSN1-RIPE
status:         ASSIGNED PA
mnt-by:         FASTWEB-MNT
remarks:        In case of improper use originating from our network,
remarks:        please mail customer or abuse@fastweb.it
source:         RIPE # Filtered

person:         IP Registration Service NIS
address:        Via Caracciolo, 51
address:        20155 Milano MI
address:        Italy
phone:          +39 02 45451
fax-no:         +39 02 45451
nic-hdl:        IRSN1-RIPE
mnt-by:         FASTWEB-MNT
remarks:
remarks:        In case of improper use originating
remarks:        from our network,
remarks:        please mail customer or abuse@fastweb.it
remarks:
source:         RIPE # Filtered

% Information related to '93.36.0.0/14AS12874'

route:          93.36.0.0/14
descr:          Fastweb Networks block
origin:         AS12874
mnt-by:         FASTWEB-MNT
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.76 (DB-2)

2) suppongo che tu abbia fatto questa prova quando i client avevano sempre lo stesso indirizzo, ma utilizzi DHCP? se si, ti sei preoccupato di preservare l'ip per la macchina? in modo che questo non cambi ad una nuova connessione, o allo scadere.

Una parte degli indirizzi è assegnata dinamicamente via DHCP, una parte è statica. Il server ha indirizzo 192.168.1.20, è statico ed è sempre rimasto quello. Il DHCP assegna gli indirizzi host dal 100 in su

2.1) se l'ip e' preservato, dall'interno della rete riesci a svolgere il servizio che avevi in mente?

Si si, dall'interno funziona tutto benissimo

3) dall'esterno e dall'interno della rete hai provato a fare un netcat sul tuo dispositivo, per vedere effettivamente cosa risponde?

Netcat
Da dentro la rete

Codice: Seleziona tutto

gik@gikPc:~$ netcat -v giacofabris.ddns.net 22
Warning: inverse host lookup failed for 93.37.56.144: Unknown host
giacofabris.ddns.net [93.37.56.144] 22 (ssh) : Connection timed out

Codice: Seleziona tutto

gik@gikPc:~$ netcat -v 192.168.1.20 22
192.168.1.20: inverse host lookup failed: Unknown host
(UNKNOWN) [192.168.1.20] 22 (ssh) open
SSH-2.0-OpenSSH_6.0p1 Debian-4+deb7u2

Cioè: con l'hostname non riesco ad accedere, nemmeno dalla rete interna. Mi accorgo che punta a 93.37.56.144, che non è più il mio IP...(e si che sono abbastanza sicuro di non avere riavviato il router).

Codice: Seleziona tutto

gik@gikPc:~$ dig giacofabris.ddns.net

; <<>> DiG 9.9.5-4.3-Debian <<>> giacofabris.ddns.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31093
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 8

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;giacofabris.ddns.net.		IN	A

;; ANSWER SECTION:
giacofabris.ddns.net.	60	IN	A	93.37.56.144

;; AUTHORITY SECTION:
ddns.net.		75944	IN	NS	nf4.no-ip.com.
ddns.net.		75944	IN	NS	nf1.no-ip.com.
ddns.net.		75944	IN	NS	nf3.no-ip.com.
ddns.net.		75944	IN	NS	nf5.no-ip.com.
ddns.net.		75944	IN	NS	nf2.no-ip.com.

;; ADDITIONAL SECTION:
nf1.no-ip.com.		75929	IN	A	50.31.129.129
nf1.no-ip.com.		162462	IN	AAAA	2001:1838:f002::129
nf2.no-ip.com.		71	IN	A	165.254.162.241
nf2.no-ip.com.		71	IN	A	69.72.255.8
nf3.no-ip.com.		75929	IN	A	69.65.40.108
nf4.no-ip.com.		405	IN	A	180.92.187.122
nf5.no-ip.com.		75931	IN	A	83.222.240.75

;; Query time: 54 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Fri Nov 28 18:59:56 CET 2014
;; MSG SIZE  rcvd: 288

E' possibile avere lo screenshot della sezione "firewall" del tuo router TP-Link?
In seconda battuta: Il Raspberry accetta connessioni su SSH da parte dell'intera internet e non solo da parte della LAN?

Le altre domande sono assolutamente pertinenti, ma anche queste, a mio parere, possono aiutare ad indagare...

Si, la trovi in allegato (comunque il firewall lo ho proprio disabilitato, per evitare che dia fastidio...).
Che il raspberry accetti connessioni dall'esterno...boh...lo vorrei capire anche io
Cioè, ora per fare una prova ho installato anche apache, e succede un po' uguale: vedo la homepage dalla rete locale, ma nulla dall'Internet. Posso immaginare che SSH per ragioni di sicurezza disabiliti le connessioni dall'esterno (credo di averle approvate, comunque, se ricordate come fare vi ringrazio e faccio un controllino), ma Apache...

Vi ringrazio ancora per la disponibilità

P.S.: A vostro parere, una e-mail a Fastweb può avere un senso, o perdo solamente tempo con le risposte automatiche?

[SuperStep]

mannaggia a sto fastweb, anche a me ha sempre dato problemi, alla fine io ho risolto affittando un server esterno a circa 10 euro mensili, piu' il dominio di 10 euro l'anno, ovviamente non e' una macchina potentissima, ma fa il suo sporco lavoro...

come si puo' vedere (visibile anche dal ping), fastweb non accetta connessioni in entrata (create dall'esterno) ma solamente dall'interno (risposte a richieste fatte), se non riesci nemmeno a pingare, tutto il resto non ha senso (ammeno che il ping proprio non sia disabilitato, ma non e' il caso, in quanto, non funzionano nemmeno ssh), io sinceramente non so come risolvere il problema, dovresti provare a telefonare al servizio assistenza per farti dare informazioni a riguardo...

[gikbuntu]

Allora allora...
ho contattato il servizio assistenza Fastweb, che mi ha confermato che la configurazione in linea di massima è corretta, ma è normale che non possa accettare connessioni dall'esterno
MA
gratuitamente, nel giro di una settimana, dovrebbero assegnarmi un IP pubblico (mi sembra di avere capito)

Per cui....per ora grazie a tutti, e vi farò avere notizie

[SuperStep]

ottimo! rimaniamo con il fiato sospeso... :P

[gikbuntu]

Alle 2:49 di questa notte (con relativo smadonnamento perché a quell'ora dormo...) Fastweb mi comunica che mi hanno assegnato un IP pubblico...

Codice: Seleziona tutto

gik@gikPc:~$ ping 2.234.70.7
PING 2.234.70.7 (2.234.70.7) 56(84) bytes of data.
64 bytes from 2.234.70.7: icmp_seq=1 ttl=64 time=1.69 ms
64 bytes from 2.234.70.7: icmp_seq=2 ttl=64 time=1.78 ms
^C
--- 2.234.70.7 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 1.692/1.740/1.789/0.063 ms
gik@gikPc:~$ whois 2.234.70.7
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '2.234.70.0 - 2.234.70.255'

% Abuse contact for '2.234.70.0 - 2.234.70.255' is 'abuse@fastweb.it'

inetnum:        2.234.70.0 - 2.234.70.255
netname:        FASTWEB-L3-PAT_NAT
descr:          PAT/NAT IP addresses POP 1101 for
descr:          Static allocation to Residential/SoHo customer with L3 devices
country:        IT
admin-c:        IRS2-RIPE
tech-c:         IRS2-RIPE
status:         ASSIGNED PA
mnt-by:         FASTWEB-MNT
remarks:        In case of improper use originating from our network,
remarks:        please mail customer or abuse@fastweb.it
remarks:        INFRA-AW
source:         RIPE # Filtered

person:         ip registration service
address:        Via Caracciolo, 51
address:        20155 Milano MI
address:        Italy
phone:          +39 02 45451
fax-no:         +39 02 45451
nic-hdl:        IRS2-RIPE
mnt-by:         FASTWEB-MNT
remarks:
remarks:        In case of improper use originating from our network,
remarks:        please mail customer or abuse@fastweb.it
remarks:
source:         RIPE # Filtered

% Information related to '2.232.0.0/13AS12874'

route:          2.232.0.0/13
descr:          Fastweb Networks block
origin:         AS12874
remarks:
remarks:        In case of improper use originating from our network,
remarks:        please mail customer or abuse@fastweb.it
remarks:
mnt-by:         FASTWEB-MNT
source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.76 (DB-1)

Per cui credo sia la volta buona. Qualche prova per vedere che tutto funzioni a dovere, e credo di poter mettere il risolto...

[gikbuntu]

FUNZIONA!

Morale: se avete Fastweb e volete realizzare un server accessibile dall'Internet, chiamate il servizio assistenza, sperate di trovare il tecnico competente, e fatevi assegnare un IP pubblico.

Un grazie a tutti

Giacomo

[trekfan1]

E io che avevo scritto?