Vai al contenuto
PLC Forum


Reset Router da parte del gestore


slash76

Messaggi consigliati

Buongiorno a tutti ragazzi....come da titolo, da diversi mesi a questa parte mi succede una cosa strana...o meglio.....vi spiego.....mi chiama il cliente che dice di non riuscire più ad utilizzare l'App per le telecamere e antifurto....vado a casa sua dove ho installato un semplce Zyxel e scopro che è stato completamente resettato....quindi cancellate le regole di Nat da me impostate....con stupore chiedo se siano stati loro che ovviamente mi dicono di no, non avendo neppure le capacità di farlo.....comunque riprogrammo tutto e vado via....la stessa cosa si ripete dopo circa 4 mesi.....torno dal cliente e trovo il router nuovamente resettato.....chiamo quindi Telecom che mi dice che se il ruoter fosse il loro, questo disservizio potrebbe succedere perchè loro sono tenuti a garantire il traffico lan to wan e non vice versa...quindi se con aggiornamento fw le regole da parte di me installatore vengono resettate a loro non interessa.....

Nel mio caso invece il router era mio, acquistato in un semplice negozio, quindi il tecnico mi conferma che non sono stati loro, ma potrebbe succedere per una sovratensione....va bè.....

 

Passa qualche mese e mi contatta un secondo cliente che mi dice che oltre a non vedere ne telecamere ne antifurto, non riesce proprio a navigare....mi reco da lui ed in effetti trovo l 'adsl che non si allinea, ed il router completamente resettato....anche qui il cliente si era comprato lui un Dlink......qui addirittura l 'SSid del wifi era tornato quello di fabbrica.....

Il cliente quindi stupito ed arrabbiato chiama l'assistenza Telecom (a pagamento) che dopo un paio di giorni effettua  l'intervento, e mi faccio trovare anche io....il tecnico fa le sue verifiche in centrale e poi sulla prima presa dentro casa....una volta ristabilita la portante Adsl e verificata la banda minima mi dice che tutto è a posto....in effetti io configuro i paramteri sul mio router e la navigazione funziona perfettamente cosi come l'accesso a telecamere e antifurto......Chiedo quindi al tecnico come siano possibili tutti questi casi di reset degli apparati non di proprietà del gestore....la sua risposta mi lascia senza parole.....e cioè mi ha detto che in realtà anche se il router non è il loro, riescono comunque ad accedere, pur non conoscendo user e password.....ma come è possiblie tutto cio????

E come posso prevenire il disguido delle cancellazione regole NAT?????

 

Avevo pensato infatti di utilizzare un mio router, come una Rb mikrotik in dmz dove impostare i miei dst nat, ma il tecnico giustamente mi ha detto che non risolverei il problema, perchè qualora avvenisse un aggiornamento del modem/ruoter, di default verrebbe cancellata la dmz.....quindi mi troverei nella stessa condizione......

 

Voi installatori normalmente come vi comportate?? E' già accaduto anche a voi un problema simile?? Grazie per i commenti o suggerimenti....

 

Link al commento
Condividi su altri siti


  • Risposte 54
  • Created
  • Ultima risposta

Top Posters In This Topic

  • slash76

    22

  • Andrea Annoni

    20

  • abbio90

    11

  • fradifog

    2

Top Posters In This Topic

Posted Images

Andrea Annoni
Quote

e cioè mi ha detto che in realtà anche se il router non è il loro, riescono comunque ad accedere, pur non conoscendo user e password.....ma come è possiblie tutto cio????

Ovviamente NON è in alcun modo possibile! Salvo che il router sia brandizzato dal provider.  Altrimenti che router sarebbe???

 

Quello che lamenti può davvero dipendere da bug, da sovratensioni o hacking dei router . Molto facile poi se il router in oggetto è esposto in qualche modo sulla rete senza regole (ad esempio la pubblicazione sulla famosa 8080 concessa liberamente da tutte le subnet).

 

Premesso che spesso io sono anche il provider, ma dove questo non avviene metto dei miei router (di solito Mikrotik e spesso con un mio firmware che anche in caso di reset non perdo i parametri "vitali") sui quali attivo una VPN verso la mia azienda. In questo modo qualsiasi cosa succeda, basta che ci sia una connessione attiva sulla rete, e ho sempre modo di accedere a tutta la LAN del cliente. Ovviamente con il nuovo GDPR c'è tutta la trafila di privacy, liberatorie ecc.

 

Link al commento
Condividi su altri siti

Ciao Andrea...grazie come sempre per la disponibilità..gentilissimo...immaginavo anche io la stessa cosa......ti chiedo poi due info in piu come consiglio su come impostare le vpn..grazie ancora

Link al commento
Condividi su altri siti

Telecom e credo altri isp usano il protocolo TR-069.Controlla che sul modem installato se tale protocollo è attivo.Almeno ti togli un dubbio.

Link al commento
Condividi su altri siti

Quote

Telecom e credo altri isp usano il protocolo TR-069.Controlla che sul modem installato se tale protocollo è attivo.Almeno ti togli un dubbio.

 

Grazie fradifog...mi pare comunque di si..di averlo gia visto....

 

Quote

sui quali attivo una VPN verso la mia azienda. In questo modo qualsiasi cosa succeda, basta che ci sia una connessione attiva sulla rete, e ho sempre modo di accedere a tutta la LAN del cliente. 

 

Ciao Andrea.....in effetti è quello che vorrei realizzare io, ma ho due dubbi.....in ufficio da me il gestore è Wind/Tre, e non c'è verso di avere un Ip statico....ad oggi per gli eventi che le centrali d'allarme inviano al pc dove è installato il Remote Ip della Tecnoalarm mi appoggio al DynDns.....ora ti chiedo....con una vpn , una L2tp per esempio che punta ad un alias e non un ip statico, cosa succede quando questo cambia???? é necessario impostare uno script sul Mikrotik che richieda periodicamente l'aggiornamento al dyndns???

 

Secondo...in ufficio sono obbligato ad utilizzare il router della Wind/Tre, o meglio me l'hanno consigliato in quanto per qualsiasi problema sulla linea, se non vedono che è il loro, non ti ascoltano nemmeno ma a pagamento ti inviano il tecnico.....è vero che a valle di quello metterei il mio server mikrotik dove imposto i secrets, ma se questi decidono di fare un aggiornamento fw del router e lo resettano, sono punto a capo perchè le porte udp 500 1701 e 4500 verrebbero di nuovo chiuse....

Hai qualche alternativa??

Grazie mille...

Link al commento
Condividi su altri siti

Andrea Annoni

Se non hai un indirizzo statico hai diverse possibilità.

Una di quelle è di appoggiarti a un servizo DDNS serio; se l'IP cambia il DDNS lo risolve e quindi è raggiungibile. Puoi usare anche il DDNS interno di Mikrotik ed è gratuito. Unica cosa ch eil nome è un po' difficile da ricordare.

Puoi anche appoggiarti a servizi esterni con registrazione di nomi di dominio come Tophost ( è a pagamento ma mi sembra 5-6€/anno) in questo modo qualunque sarà il provider, il servizio ecc il nome resterà sempre quello.

Unica vera attenzione è invece quanta banda hai in ufficio......vero che la VPN manda sol pochi pacchetti di "keep-alive" per restare attiva, ma se poi le connessioni diventano tante e magari su queste ci veicoli il traffico del cliente (ad esempio se vuoi offrire a questo un servizio per raggiungere il proprio DVR in caso di IP nattato) allora devi fare attenzione anche a quanta banda hai.

Se vuoi ovviare a tutto questo (banda, DDNS, IP statico ecc) potresti pensare a una VPS su un servizio esterno sulla quale installi un CHR Mikrotik oppure un vero server (magari Linux) .

 

Quote

Secondo...in ufficio sono obbligato ad utilizzare il router della Wind/Tre, o meglio me l'hanno consigliato in quanto per qualsiasi problema sulla linea, se non vedono che è il loro, non ti ascoltano nemmeno ma a pagamento ti inviano il tecnico.....è vero che a valle di quello metterei il mio server mikrotik dove imposto i secrets, ma se questi decidono di fare un aggiornamento fw del router e lo resettano, sono punto a capo perchè le porte udp 500 1701 e 4500 verrebbero di nuovo chiuse....

Hai qualche alternativa??

Grazie mille...

Se hai una PPPoE io la attesterei direttamente sul Mikrotik e lascerei il modem del provider in bridge. Altrimenti vale il discorso detto sopra di una VPS esterna

Link al commento
Condividi su altri siti

Quote

Tlecom e credo altri isp usano il protocolo TR-069.Controlla che sul modem installato se tale protocollo è attivo.Almeno ti togli un dubbio.

 

 

 

Quote

sui quali attivo una VPN verso la mia azienda. In questo modo qualsiasi cosa succeda, basta che ci sia una connessione attiva sulla rete, e ho sempre modo di accedere a tutta la LAN del cliente. 

 

Quote

Se hai una PPPoE io la attesterei direttamente sul Mikrotik e lascerei il modem del provider in bridge.

 

....Avevo pensato anche a quello....ma non risolverei uguale perchè gli aggiornamenti automatici dei fw al riavvio settano il modem in modalità router con tutti i nat resettati ovviamente....

Link al commento
Condividi su altri siti

Andrea Annoni

Metti il router di proprietà in DHCP client verso il modem gestore  e poi fai una VPN verso la tua sede. Così sarai sempre connesso e potrai accedere a tutto per fare le opportune modifiche. Con Mikrotik faccio così........ e tengo anche la PPPoE

Link al commento
Condividi su altri siti

Ciao Andrea.....ho preparato tutto, ora attivo le vpn e spero che da lato server in mio ufficio non si diverta Wind a ranzarmi le configurazioni se no mi butta glu la L2tp.....

Una curiosità....sicuramente banale ma era per capire....ho letto che su ogni intefaccia Mikrotik possono essere assegnati piu indirizzi Ip diversi contemporanemaente....a te risulta??e se si a quale scopo potrebbe essere utilie??

Link al commento
Condividi su altri siti

Ciao Andrea..piccolo aggiornamento..le l2tp sono salite ma ho dovuto cambiare il router che mi aveva dato la Wind.. on supportano ne pptp ne l2tp...peccato che sono impazzito mezza giornata...comunque volevo solo hoederti questo il profile lato client l2tp deve coincidere con quello che ho lato server o posso lasciarlo default e lui prende quello lato server??

Link al commento
Condividi su altri siti

il 4/7/2018 at 12:37 , slash76 scrisse:

..ho letto che su ogni intefaccia Mikrotik possono essere assegnati piu indirizzi Ip diversi contemporanemaente....a te risulta??e se si a quale scopo potrebbe essere utilie??

Buongiorno, si è vero..esempio banale usare una interfaccia Wi-Fi ad uso privato in bridge  con la lan...e una virtual wi-fi guest per gli ospiti su una subnet diversa con delle regole di drop che non permettono l.accesso ai device della tua rete privata

Link al commento
Condividi su altri siti

Altro esempio se un qualunque device deve avere traffico internet ma deve stare isolato da tutta la tua rete locale..

Ci sono reti Free dalle mie parti tipo di supermercati che hanno una rete tutta sulla stessa subnet compresa la rete Free per i clienti senza hotspot ne pw wpa e se ti connetti faccendo uno scanlist vedi le bilance dei vari reparti, i pos, le casse, ecc..

Link al commento
Condividi su altri siti

Andrea Annoni

Ci sono molteplici applicazioni dove assegnare Subnet diverse alla stessa Interfaccia.  ad esempio quello indicato da Fabio.

Vero anche che in genere si preferisce usare delle Vlan.

 

Piu che il modem è il gestore che blocca i tunnel. Ad esempio qualche giorno fa ho avuto noie con un L2TP dove la connessione veniva instaurata ma poi di fatto non passava il traffico.

Se vuoi avere meno ansie possibili usa la SSTP che in genere sfruttando la porta 443 è meno problematica (salvo che facciano Traffic inspection). 

 

 

Link al commento
Condividi su altri siti

13 ore fa, slash76 scrisse:

il profile lato client l2tp deve coincidere con quello che ho lato server o posso lasciarlo default e lui prende quello lato server??

si, sul lato client va creato solo un ppp client su l2tp con user pw ed eventualmente la pw di ipsec che devono coincidere con il le credenziali del secret lato server...

Link al commento
Condividi su altri siti

Ciao ragazzi e grazie delle info....in effetti sto diventando matto.....stamattina vengo i ufficio e la L2tp che avevo messo su ieri per una centrale d'allarme verso le 11 improvvisamente è andata down...ovviamente sulle interface non vedo piu la l2tp....ho aperto torch sulla eth1 (la wan) ed in effetti vedo ogni 5/6 secondi circa l'idirizzo ip statico del cliente che punta all'interfaccia, ma il tunnel non sale.....ho provato a riavviare il modem, ma niente di niente...può essere quindi Wind stessa che blocca il tunnel??

 

Quote

Se vuoi avere meno ansie possibili usa la SSTP che in genere sfruttando la porta 443 è meno problematica (salvo che facciano Traffic inspection). 

 

Andrea piu che ansie sono disagi per me....non posso ricevere eventi, ed è un bel problema...quindi consigli la SSTP??? e come sicurezza???

 

 

Abbio90 ti ringrazio per le delucidazioni....volevo poi chiederti due info in piu sull'utilizzo dei secret e profile .... se posso....grazie mille

Link al commento
Condividi su altri siti

Andrea Annoni
30 minuti fa, slash76 scrisse:

Ciao ragazzi e grazie delle info....in effetti sto diventando matto.....stamattina vengo i ufficio e la L2tp che avevo messo su ieri per una centrale d'allarme verso le 11 improvvisamente è andata down...ovviamente sulle interface non vedo piu la l2tp....ho aperto torch sulla eth1 (la wan) ed in effetti vedo ogni 5/6 secondi circa l'idirizzo ip statico del cliente che punta all'interfaccia, ma il tunnel non sale.....ho provato a riavviare il modem, ma niente di niente...può essere quindi Wind stessa che blocca il tunnel??

Sicuro che la configurazione delprofilo è OK? Se vedi arrivare la chiamata vuol dire che la sessione tenta di instaurarsi; verifica che il profile della VPN sia congruo, così come il resto. Come al solito ci sono diversi modi per fare una VPN. Indipendentemente dal protocollo. Io ad esempio uso profile diversi a seconda che la VPN sia quella di un cliente (che definisco a mano) oppure che faccia io per altre esigenze (che assegno tramite pool su profile diversi).

 

La SSTP come sicurezza può essere paragonabile alla L2TP e anche molto più robusta dato che supporta anche certificati.

 

 

Link al commento
Condividi su altri siti

1 ora fa, slash76 scrisse:

Abbio90 ti ringrazio per le delucidazioni....volevo poi chiederti due info in piu sull'utilizzo dei secret e profile .... se posso

Si, tipo?

Link al commento
Condividi su altri siti

Ciao ragazzi....questa è la configurazione della Vpn....a me sembra elementare, e ripeto è rimasta in piedi una giornata....ora non c'è verso di farla ripartire....e provo comunque con una sstp a vedere se rimane in piedi.....cosa c'è secondo voi di sbagliato??

image001.thumb.png.5263b20c2426f8418b210a673508b30e.png

Quote

Se vui avere meno ansie possibili usa la SSTP che in genere sfruttando la porta 443 è meno problematica (salvo che facciano Traffic inspection). 

Link al commento
Condividi su altri siti

Andrea Annoni

LA cosa più semplice e che arrivi i log.

Hai provato a riavviare il router?  Usi le cifratura?

occorre vedere anche il profilo secrets 

Link al commento
Condividi su altri siti

Ciao Andrea...sono sull impianto…..come vedi nella foto c'è anche il secret…..non uso nessuna cifratura, e ripeto che il tunnel era su fino a Sabato mattina…..ho riavviato anche il router ma niente...non sale nemmeno la sstp

Link al commento
Condividi su altri siti

Andrea Annoni

Intendevo la parte cifratura dei secrets; che ovviamente deve essere congrua sia lato server che lato client.

 

comunque ribadisco che se attivi i log vedi cosa succede. 

 

Quali li sono i provider in gioco? 

Link al commento
Condividi su altri siti

Si chiaro…...nome e password corrispondono….il provider è Wind/tre…..nei logging cosa devo abilitare per capire come mai non sale il tunnel..?

Link al commento
Condividi su altri siti

Andrea Annoni

Non intendo nome utente e password ma la congruità protocollo/cifratura.

 

Ora sono a un corso e non ho il pc. C’è un comando da terminale da lanciare. Prova a leggerti le wiki 

Link al commento
Condividi su altri siti

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora

×
×
  • Crea nuovo/a...