Configurazione router LTE D-Link DWR-921 e TIM mobile

[antonio82ba]

Buona Domenica a tutti, ho inserito lo stesso posto nella sezione INIM, non per sbaglio in quanto devo interfacciarlo ad un sistema antintrusione INIM.

Vedo solo ora questa sezione che penso sia forse la più adatta al mio problema. 

Utilizzo il router LTE D-Link DWR-921 con sim TIM e non riesco a capire come e dove aprire le porte, inoltre non capisco molte funzioni nonostante ho cercato e trovato in rete.

Nella stramaggioranza di router/modem d-link vi è il classico menù color arancione con la sezione port forwarding.

Nel mio router c'è la versione HW C1 e FW3.0.

Potete gentilmente spiegarmi cosa sono le seguenti funzioni? Magari scrivo accanto ad ognuna quello che so così mi dite se è corretto oppure no.

DMZ: qui si immette un ip fisico di un pc (quindi non ip assegnato dall' ISP) così da avere massima libertà, cioè tutte le porte sono aperte e non c'è neppure bisogno di effettuare port forwarding.

Non so cosa siano ( se gentilmente mi fate un esempio di applicazione) le funzioni:

Porte ethernet bridge

Disabilita NAT

Bridge trasparennte

Server virtuale

Routing

 

PROBLEMA PRINCIPALE: non so da dove effettuare il port forwarding in quanto questa voce non c'è, presumo che devo usare filtro in uscita e filtro in entrata ma non ho la possibilità di selezionare la porta se TCP e UDP.

Grazie a tutti e Buone Palme.

 

 

[radiation74]

La sezione DMZ è la parte di rete "demilitarizzata"; l'IP che viene assegnato in questa sezione è totalmente esposto sulla rete internet (tutte le porte con tutti i protocolli). Solitamente non è bene usare quest'area.......ma se hai difficoltà e devi creare accesso a un DVR o impianto di allarme ...fai pure.

L'indirizzo IP assegnato dall'ISP non c'entra nulla.....e non ha influenza sulla tua LAN.

Vista la gran confusione che hai in testa (senza offesa) direi che è meglio evitre che smanetti le sezioni che non conosci.

Piuttosto la sezione SERVER VIRTUALE è quella che ti interessa per fare  quello che chiami port-forwarding; all'interno devi creare un nuovo server con IP della centrale Inimm e le porte che devi aprire con realtivo protocollo (una regola per porta).

 

PROBLEMA PRINCIPALE: se devi accedere dall'esterno ha necessità di avere un IP PUBBLICO: assicurati che TIM te lo offra........solitamente va richiesto e in base al profilo può essere gratuito o a pagamento.

[antonio82ba]

Intanto grazie per la celere risposta, Andrea.

Hai ragione quando dici che non ho le idee chiare ma voglio togliermi tutti i dubbi che ho, non ho fretta e vorrei imparare.

D'altronde non mi sembra di aver scritto una cavolata, quando attivo la zona DMZ devo inserire l' ip fisico della macchina, quello che ho scritto giusto? E' anche vero che attivando questa zona non mi serve effettuare il porto forwarding?

Non ho specificato che al mio pc non devo collegare la centrale antintrusione, ma sono io che dal mio pc devo collegarmi alla centrale di un utente per fare manutenzione. Sul mio pc è solo necessario che aprire la porta 6000; detto questo non penso mi serva il server virtuale, ma se ho capito bene questa funzione mi serve se al mio pc collego delle telecamere che hanno indirizzo ip, corretto?

Ho chiesto è ottenuto ip pubblico dalla tim, dieci giorni fa.

Da iphone utilizzo l' app net analyzer per pingare l' ip pubblico che mi ha assegnato la tim, vedendolo dal sito MIO-IP.it

So che posso pingare l' ip per verificare se mi risponde, ma per quel che so io, l' ip può rispondermi anche se è nattato, per cui per sincerarmi che l' ip non sia nattato, ho attivato su mac alcuni servizi di condivisione, quali condivisione, file, gestione remota, condivisione schermo, così facendo in automatico il mac mi ha aperto le porte assegnate a tali servizi. Risultato, pingando l' ip e chiedendo di mostrarmi le porte ip aperte, ricevo risposta del ping positivo e vedo le 4/5 porte aperte sei servizi di condivisione del mac.

Secondo te questa prova basta per dire che l' ip è pubblico vero?

Ancora non capisco come aprire la porta 6000 sul router. Potresti aiutarmi gentilmente?

 

[radiation74]

Per discorso DMZ: si è come hai detto ma nel post precedente hai ipotizzato che l'IP in alternativa fosse assegnato dall'ISP. L'ISP può assegnare l'IP solo nel lato WAN non LAN. Detto questo non è mai consigliato l'uso della DMZ; soprattutto su macchine con sistema operativo (le rende estremamente vulnerabili agli attacchi). Nel caso di una centrale o DVR si può anche usare, ma poni sempre attenzione (soprattutto se le macchine o DVR usano la porta SSH).

 

Quote

Non ho specificato che al mio pc non devo collegare la centrale antintrusione, ma sono io che dal mio pc devo collegarmi alla centrale di un utente per fare manutenzione

Se dal tuo PC devi collegarti alla centrale del tuo cliente sul TUO router NON devi aprire assolutamente niente. La connessione in uscita è sempre in chiaro (permessa)....a meno che tu abbia un vero e prorprio sistema firewall dove allora ogni operazione deve essere concessa.

 

Quote

Sul mio pc è solo necessario che aprire la porta 6000; detto questo non penso mi serva il server virtuale, ma se ho capito bene questa funzione mi serve se al mio pc collego delle telecamere che hanno indirizzo ip, corretto?

Se il PC ha il software che deve collegarsi sulla centrale del cliente sulla porta 6000 NON devi aprire nulla come spiegato sopra. Se invece il tuo PC ha un software che deve ricevere sempre dei dati dalla centrale del cliente allora devi aprire la porta 6000 del tuo router (evita assolutamente la DMZ perchè il tuo PC durerebbe poche ore). Cosa c'entrano ora la telecamere IP non lo riesco a capire.... ma comunque sia se fosse che devi aprire la 6000 per ricevere allarmi devi proprio usare la funzione server virtuale.

Ti ripeto che a mio avviso NON devi aprire nulla perchè è il cliente che deve aprire le porte. Il tuo PC fa solo da client.

 

Quote

So che posso pingare l' ip per verificare se mi risponde, ma per quel che so io, l' ip può rispondermi anche se è nattato, per cui per sincerarmi che l' ip non sia nattato, ho attivato su mac alcuni servizi di condivisione, quali condivisione, file, gestione remota, condivisione schermo, così facendo in automatico il mac mi ha aperto le porte assegnate a tali servizi. Risultato, pingando l' ip e chiedendo di mostrarmi le porte ip aperte, ricevo risposta del ping positivo e vedo le 4/5 porte aperte sei servizi di condivisione del mac.

Secondo te questa prova basta per dire che l' ip è pubblico vero?

Assolutamente NO! Primo l'IP può rispondere o non rispondere indipendentemente che sia pubblico o nattato. Se è pubblico il fatto che debba rispondere al ping lo decide il tuo router.

Pingare l'IP dalla propria rete anche in questo caso ha poco senso perchè l'anti look-up del router ti girerebbe la richiesta sull lato LAN e quindi risponderebbe.

La cosa più semplice è aprire la'amministrazione remota del router e tramite un'altra connessione (non quella dove hai il router) provare da browser a entrare nella pagina web del router. Puoi usare anche un banalissimo smartphone (non collegato al tuo WiFi) con il suo browser.

 

Quote

Ancora non capisco come aprire la porta 6000 sul router. Potresti aiutarmi gentilmente?

 

Rinnovo la spiegazione che NON serve. Ma a titolo informativo come spiegato prima DEVI usare la sazione virtual server: specifica come porta interna e porta esetrna la 6000 (possono essere anche diversificate.....ma per non fare casino usale uguali) , come protocollo il TCP e come IP l'IP della LAN dove c'è l'HOST da raggiungere.

[antonio82ba]

Rieccomi e ancora grazie.

Grazie del consiglio riguardante il DMZ, siccome le porte mi risultano sempre chiuse ho provato ad attivare tale funziona per vedere se cambiava qualcosa ma nulla, porte sempre chiuse. Ogni volta che comunico con la centrale dal mio pc, la centrale comunica con me per questo devo aprire anche la porta 6000, come spiegatomi dai tecnici inim.

Ho fatto un esempio delle telecamere per vedere se ho capito la funzione server virtuale, tutto qui.

Ho abilitato la funzione "abilita risposta ping della wan" altrimenti non ricevevo mai risposta dal ping. 

Penso di aver capito cosa intendi per amministrazione del router: ho abilitato la voce "abilita gestione remota" dove devo anche selezionare la porta. Dal broswer del mio telefono, ovviamente non connesso alla medesima rete, ho digitato l' ip:porta e mi è apparsa la schermata di accesso al router, come se entrassi dalla rete locale, quindi funziona.

Nella sezione Server virtuale, ci sono le seguenti voci: PORTE SERVIZIO - IP SERVER:PORTA; ho inserito rispettivamente i seguenti valori: 6000 - 192.168.0.2:6000.

Non ho ben capito quale indirizzo devo inserire come ip della lan: devo inserire l' ip del pc in uso vero?

Inoltre ti assicuro che in questa sezione non c'è la possibilità di selezionare il tipo di porta, se TCP o UDP, come mai?

Mi dici per favore cosa significa che una porta è stealth?  

 

 

[radiation74]

Guarda..... con tutto il rispetto per i tecnici Inim ti hanno detto una boiata. La sessione viene inizializzata dalla tuo PC verso la centrale del cliente attraverso la sua porta 6000 (tra l'altro sei sicuro che sia la 6000 e non la 5004????) e la comunicazione tra i due avviene tramite quella sessione che è stata aperta.

Discorso diverso se invece il tuo PC facesse da server. Ma non è il tuo caso.

 

L'impostazione del server virtuale è corretta. Si l'IP deve essere quello del tuo PC.

La porta stealth è quando si decide che la stessa non deve rispondere che sia chiusa o aperta.....ma semplicemente non rispondere.

 

 

Mi ostino a ripetere che comunque queste operazioni non ti servono per collegarti sulla centrale del cliente. La porta va aperta sul SUO router.

[antonio82ba]

Guarda mi sembra strano che dei tecnici/ingegneri abbiano scritto balle, è molto più probabile che non mi sia spiegato bene io.

Se hai voglia di guardare questo loro tutorial, negli ultimi 2/3 minuti è illustrato come mettere in ascolto la centrale, che tra l' altro ha solo un modulo GSM/GPRS che si mette in ascolto e pronto per la connessione quando l' installatore gli invia un sms tipo "codice installatore connect indirizzo ip:porta" a questo punto ci si può connettere. Altre volte mi sono connesso ad altre centrali da altri pc/router, solo ed esclusivamente configurando nel router la porta TCP/UDP 6000, tutto qui.

Una curiosità: il router in questione ha 4 uscite lan a cui posso collegare 4 pc, 1 uscita wan, cosa ci si collega qui? SO che per wan si intende la connessione internet mano capisco..

Ecco il link:

 

 

[radiation74]

In effetti dal video dice una cosa diversa; è la centrale che si collega al PC (in questo caso è ben specificato che è una connessione gprs e non Ethernet).

quindi si devi aprire la porta 6000 sul tuo router. La procedura comunque è quella descritta nel precedente post.

La porta Wan è appunto per una connessione internet; non conosco a memoria quel modell ma molto probabilmente può gestire due connessioni (wan e lte). 

[antonio82ba]

In effetti il router è LTE. In ogni caso ho collegato il portatile tramite lan1, è corretto? Per fortuna che ti ho postato il video, come volevasi dimostrare mi sono spiegato male. Comunque sto impazzendo, risulta sempre chiusa la porta. Boh 

[radiation74]

Si è corretto. Ma tu la prova la fai dai siti di test porte? Non Fidarti. Fai fare connessione alla centrale 

[antonio82ba]

Si effettui il test tramite un sito e un app che mi ha consigliato un tecnico INIM e che usa anche lui. Inoltre ho appena acquistato questo router pensando di risolvere per cui lo sta testando anche. Se non risolvo faccio il reso. Non essendo davanti la centrale non sono neanche sicuro che l'sms arrivi oppure che la centrale effettivamente si mette in ascolto, per questo mi è più comodo un sito. 

[antonio82ba]

Saresti così gentile da togliermi qualche altro dubbio?

Nella home del router ci sono i seguenti parametri:

 

 

Subnet Mask: 255.255.255.0 Pool DHCP: 50 ~ 199

 

70% Internet    Tipo di connessione: 4G LTE /3G Tipo di servizio: 4G Nome rete: I TIM Stato collegamento: Stabilita. Ora connessione: 00:04:54 Indirizzo IP: 2.194.82.219 Subnet Mask: 255.255.255.248 Server DNS: 10.206.56.132 , 10.207.43.46  Gateway: 2.194.82.220

 

 

L indirizzo IP è quello pubblico che la tim mi ha assegnato per questa sessione, corretto?
Come mai la subnet mask termina con 248 e non so se portarla a 0 come si fa di solito.
Di solito il gateway è il dispositivo su cui cè connessione internet. Ho configurato manualmente la rete, ho inserito come ip 192.168.0.2, subnet 255.255.255.0, come gateway 192.168.0.1 (indirizzo del router). Ora, perchè nella schermata qui sopra c'è ancora un gateway diverso (2.194.82.220)? Devo inserirlo da qualche parte? Non capisco sinceramente.
Il Pool DHCP invece è il range di ip che i client connessi alla rete devono avere? Significa che i pc devono avere ip da 192.168.0.50 a 192.168.0.199? 

Che succede se metto un ip per esempio 192.168.0.49, quindi precedente al pool?

Se uso la funzione dmz, l' ip del mio pc vuoè essere nel rangne 50-199?

Ancora grazie e scusami per le mille domande.

[radiation74]

Quote

e non risolvo faccio il reso. Non essendo davanti la centrale non sono neanche sicuro che l'sms arrivi oppure che la centrale effettivamente si mette in ascolto, per questo mi è più comodo un sito

Dubito fortemente che il router non funzioni. Anzi onestamente sarebbe la prima volta che sento di un device che non fa quello per cui è progettato.

 

Quote

L indirizzo IP è quello pubblico che la tim mi ha assegnato per questa sessione, corretto?
Come mai la subnet mask termina con 248 e non so se portarla a 0 come si fa di solito.
Di solito il gateway è il dispositivo su cui cè connessione internet. Ho configurato manualmente la rete, ho inserito come ip 192.168.0.2, subnet 255.255.255.0, come gateway 192.168.0.1 (indirizzo del router). Ora, perchè nella schermata qui sopra c'è ancora un gateway diverso (2.194.82.220)? Devo inserirlo da qualche parte? Non capisco sinceramente.

Quello che vedi sono i parametrio che il tuo ISP ti ha assegnato.....la subnet 255.255.255.248 è corretto che l'ISP te la assegni così ( è la più piccola che può rilasciare e gestisce fino a 8 IP......ma non voglio confonderti ulteriormente le idee).

 

Quote

Il Pool DHCP invece è il range di ip che i client connessi alla rete devono avere? Significa che i pc devono avere ip da 192.168.0.50 a 192.168.0.199? 

Che succede se metto un ip per esempio 192.168.0.49, quindi precedente al pool?

Il server DHCP è il servizio di assegnazione indirizzi del router. Vuol dire che nel tuo caso rilascia indirizzi ai device da 192.168.0.50 a 192.168.0.199.  Dis solito è bene NON assegnare IP fissi manualmente con indirizzi all'interno di quel range.

192.168.0.49 è un'indirizzo antecedente al pool e non succede assolutamente nulla. Nel senso che è un indirizzo assegnabile manualmente perchè non interferisce con il range del servizio.

 

Quote

Se uso la funzione dmz, l' ip del mio pc vuoè essere nel rangne 50-199?

Ancora grazie e scusami per le mille domande.

Per il motivo che ho spiegato prima sarebbe meglio di no. Ma non per la DMZ (che funziona con qualsiasi IP) ....ma bensì appunto per non interferire con il servizio DHCP.

 

 

 

In realtà anche il disorso DHCP è più complesso da spiegare.......ma prendi per buono questa desrizione sintetica.

[antonio82ba]

Andrea penso anche io che il router funzioni a dovere, intendo l'ISP che forse non funziona come dovrebbe e mi sta facendo impazzire.

Ho capito che il DHCP se abilitato assegna automaticamente ai pc connessi, indirizzo ip, subnet e dns. Ora se voglio immettere manualmente questi parametri, disattivo questo servizio e assegno ip ai client che non sia nel pool del dhcp. Esatto?

[antonio82ba]

Un'altra cosa: come mai prima mi permetteva di accedere al router dall' esterno e ora non più?

L' opzione gestione remota è attiva. Mi permette di assegnare ip e porta, scelgo qualcuno di questi in particolare oppure tutto a mia scelta?

Ho anche resettato ai valori di fabbrica ma niente.

[radiation74]

Quote

Andrea penso anche io che il router funzioni a dovere, intendo l'ISP che forse non funziona come dovrebbe e mi sta facendo impazzire.

Io penso che funzioni tutto dato che hai detto che sei riuscito ad entrare nella pagina di amministrazione del router da una rete 3G......(questo comprova che hai IP pubblico e il router è accessibile)

 

Quote

Ho capito che il DHCP se abilitato assegna automaticamente ai pc connessi, indirizzo ip, subnet e dns. Ora se voglio immettere manualmente questi parametri, disattivo questo servizio e assegno ip ai client che non sia nel pool del dhcp. Esatto?

NO. Il range del DHCP è fatto modificabile anche per questo. Per esempio al tuo PC che devi rendere accessibile puoi dare un IP: 192.168.0.10 e ovviamente devi impostare il virtual-server verso tale indirizzo se vuoi farlo raggiungere dalla centrale del cliente.

 

 

Quote

Un'altra cosa: come mai prima mi permetteva di accedere al router dall' esterno e ora non più?

L' opzione gestione remota è attiva. Mi permette di assegnare ip e porta, scelgo qualcuno di questi in particolare oppure tutto a mia scelta?

Ho anche resettato ai valori di fabbrica ma niente.

---

Purtroppo non posso saperlo. Hai detto che avevi provato e funzionava. L'IP assegnato da TIM è rimasto quello? Non è che ti danno un IP dinamico (quindi che cambia)?

L'Ip immagino che sia per restringere accesso; per abilitare l'amministrazione da qualsiasi subnet metti 0.0.0.0 oppure nulla (non so cosa accetta). La porta è atua scelta anche se di solito si usa la 8080.

 

 

[antonio82ba]

Ti confesso che mi hai già tolto parecchi dubbi.

Sono riuscito solo una volta a connettermi al router da remoto, non so perchè non riesco ora.

Ti confermo che ho ip dinamico e che quando applico una regola nel router faccio attenzione ad inserire l' ip del momento.

 

Il mio vecchio router ha questa funzione "Impostazioni MAC/IP/Port Filtering".

Ho capito che si tratta di un filtro che mi permette di bloccare o permettere la connessione settando vari parametri, tra cui indirizzo MAC o IP. Non capisco solo se queste regole valgono per la rete LAN o WLAN oppure per la rete WAN.

 

Grazie

[antonio82ba]

Sai cosa ho notato? Ho provato a condividere vari servizi nel mio mac, tra cui condivisione schermo, file, stampanti etc... e mi risultano aperte le porte 22, 88, 548, 631, 3031 e 5900; in sostanza come dire che se c'è un servizio in ascolto su una porta, questa risulta aperta, peccato che tra queste non ci sia la porta 6000.

Ora la domanda nasce spontanea, non c'è un modo di creare un servizio nel mio mac che sfrutti la porta 6000 oppure modificare il servizio già pre-configurato per 5900 così da poter selezionare la porta 6000?

 

Spero di essere stato chiaro.

[radiation74]

Il servizio filtering non capisco a cosa possa servirti nel tuo problema....

 

No non è possibile far aprire una porta specifica al MAC o PC. 

 

Hai provato a cercare in YouTube una video guida sul port-forwarding del tuo router?  Forse ti chiarisce le idee.

 

 

[antonio82ba]

Andrea so che il servizio filtering non centra nulla con il port forwarding, ero solo curioso di sapere cosa fosse, tutto qui.