Predisposizione e configurazione della nuova rete di casa

[vincmara]

P.S:
Ora esco, tornerò verso mezzanotte. Se lo lasci spento, più tardi riprovo. Altrimenti puoi andare avanti tu: Si tratta di trovare e testare un software∕app che funzioni (ovviamente i test li devi fare dall'esterno, altrimenti non vale). Forse puoi provare a farlo anche dalla wireless pubblica, usando il nome host "vmaradei.dyndns-web.com" se l'ASUS ha capacità di loopback (prova e vedi se funziona)...

Ho fatto due test, sulla porta 9UDP e sulla porta 7UDP: Anche la 7UDP dovrebbe essere una porta wol, non sò quale dei due comandi si sia preso ma ipotizzo la classica 9UDP.

Intanto guarda se da qualche parte nell'ASUS c'è un menù per l'inserimento di comandi permanenti simile a quello usato per il firewall. Altrimenti possiamo provare anche a inserire il comando nel menù che ti ho chiesto prima.

Sono quasi sicuro che fosse spento...quindi mi sa che ha funzionato!!!!

Comunque, se non ci troviamo più tardi, lo lascio spento...sempre con la speranza di trovarlo acceso domani

Come tempo di boot ho visto che ha circa 3 minuti o qualcosa di simile...

Provo a fare come mi hai detto collegandomi dalla rete pubblica (sfortunatamente al momento non ho neanche il 3G altrimenti facevo dal telefono) e faccio un pò di prove...anche se non so bene con cosa provare...

Fondamentalmente dall'esterno lo dovrei usare con l'iphone...spero ci sia qualcosa che possa consentirmi il di fare wol. Ora provo a cercare un pò su internet..

Faccio anche un giro sui menù dell'Asus per vedere di trovare una sezione per l'inserimento di comandi simile a quello a del firewall...

Più tardi ti aggiorno

[vincmara]

P.S:
Ora esco, tornerò verso mezzanotte. Se lo lasci spento, più tardi riprovo. Altrimenti puoi andare avanti tu: Si tratta di trovare e testare un software∕app che funzioni (ovviamente i test li devi fare dall'esterno, altrimenti non vale). Forse puoi provare a farlo anche dalla wireless pubblica, usando il nome host "vmaradei.dyndns-web.com" se l'ASUS ha capacità di loopback (prova e vedi se funziona)...

Ho fatto due test, sulla porta 9UDP e sulla porta 7UDP: Anche la 7UDP dovrebbe essere una porta wol, non sò quale dei due comandi si sia preso ma ipotizzo la classica 9UDP.

Frakka ho provato a fare qualche test ma non sono riuscito ad accendere il NAS...non so se per colpa della rete (ho provato dalla rete pubblica) o per una cattiva configurazione mia dell'applicazione. La prova l'ho fatta con un'applicazione per iphone/ipad che ho trovato sull'applestore https://itunes.apple.com/it/app/simp...492554872?mt=8

Ho provato questa perchè era gratuita....le altre che ho trovato sono tutte a pagamento e prima di scaricarne una volevo più o meno essere sicuro di scegliere quella giusta. Quelle che ho trovato sono queste:

https://itunes.apple.com/it/app/wake...484226812?mt=8 (questa non mi sembra male...)
https://itunes.apple.com/it/app/iwol...286568674?mt=8
https://itunes.apple.com/us/app/iwol...486408199?mt=8
https://itunes.apple.com/us/app/powe...323773682?mt=8
https://itunes.apple.com/it/app/wake...407148411?mt=8

Penso ce ne siano altre...ma sinceramente non saprei quale scegliere. Il costo è più o meno simile per tutte (tra 1 e 2 euro) quindi non è un problema...

Intanto guarda se da qualche parte nell'ASUS c'è un menù per l'inserimento di comandi permanenti simile a quello usato per il firewall. Altrimenti possiamo provare anche a inserire il comando nel menù che ti ho chiesto prima.

Ho guardato un pò sull'ASUS, nella sezione dove abbiamo inserito le regole del firewall, vi sono altri tab in cui si può inserire codice



Pensi che la parte "WAN up" può fare al caso nostro?

Il NAS adesso è spento...

[vincmara]

Frakka mi hai acceso il NAS?

Spero di si...anche perchè altrimenti ho il problema che si accende da solo!!!!

[frakka]

Si ma credo che la sezione giusta in cui inserire il comando sia "Init": Se interpreto correttamente i nomi, il codice inserito in questa sezione viene seguito al boot dell'ASUS mentre la sezione "WAN UP" ogni volta che si attiva l'interfaccia WAN.
Questo comando deve essere lanciato solo all'accensione dell'ASUS (ed eventualmente ad ogni reset della arp ma direi che il caso è quello in cui accendi e spegni il router, dubito che toccherai mai altro). Nella realizzazione pratica non dovrebbero esserci esserci grosse differenze ma formalmente è più corretto farlo nell'altra sezione: In questo modo, eventuali test sulla WAN non vanno ad interferire con la configurazione che vai a fare, evitando che il comando venga ripetuto quando non serve.

Per verificare se il comando è stato digerito come penso, collegati all'ASUS via putty e lancia il comando "arp -e" (se non funziona prova con "arp -a") e posta il risultato. Poi riavvia l'ASUS e verifichiamo che effettivamente il comando non ci sia più.
A questo punto, proviamo ad inserirlo nell'interfaccia che mia hai postato prima (quella di cui ti ho chiesto gli screenshoot) e vediamo se il risultato del comando "arp" è uguale.

Altrimenti proviamo a metterlo qui e riavviamo il router, per verificare che se lo sia preso correttamente.

L'APP che hai indicato dovrebbe andare bene: Permette di selezionare l'host a cui inviare il comando (vmaradei.dyndns-web.com) la porta su cui inviare il magic packet (9) e il MAC Address del dispositivo da risvegliare (00:08:9b:d2:74:ff). Non dovrebbe servire altro.
L'APP inoltre prevede anche la possibilità di indicare una password (SecureOn) che però va a complicare notevolmente la gestione perchè deve essere indicata ed utilizzata in formato esadecimale (non ho trovato alcuna indicazione in merito al supporto da parte del QNAP di questa modalità). Secondo me è sufficiente scegliere una porta qualunque nel range da 1025 a 65535 e modificare di conseguenza il portforwarding impostato in modo da rendere più difficile accensioni non autorizzate (modifichi la porta in ingresso col valore che hai scelto e mantieni la porta "9" lato interno).
Esistono molti siti web che permettono di testare la configurazione, inserendo gli stessi dati. Una veloce ricerca su Google te ne fornirà a sufficienza per fare le prove.


A proposito: FUNZIONA!!!

[vincmara]

Si ma credo che la sezione giusta in cui inserire il comando sia "Init": Se interpreto correttamente i nomi, il codice inserito in questa sezione viene seguito al boot dell'ASUS mentre la sezione "WAN UP" ogni volta che si attiva l'interfaccia WAN.
Questo comando deve essere lanciato solo all'accensione dell'ASUS (ed eventualmente ad ogni reset della arp ma direi che il caso è quello in cui accendi e spegni il router, dubito che toccherai mai altro). Nella realizzazione pratica non dovrebbero esserci esserci grosse differenze ma formalmente è più corretto farlo nell'altra sezione: In questo modo, eventuali test sulla WAN non vanno ad interferire con la configurazione che vai a fare, evitando che il comando venga ripetuto quando non serve.

Per verificare se il comando è stato digerito come penso, collegati all'ASUS via putty e lancia il comando "arp -e" (se non funziona prova con "arp -a") e posta il risultato. Poi riavvia l'ASUS e verifichiamo che effettivamente il comando non ci sia più.
A questo punto, proviamo ad inserirlo nell'interfaccia che mia hai postato prima (quella di cui ti ho chiesto gli screenshoot) e vediamo se il risultato del comando "arp" è uguale.

Altrimenti proviamo a metterlo qui e riavviamo il router, per verificare che se lo sia preso correttamente.

L'APP che hai indicato dovrebbe andare bene: Permette di selezionare l'host a cui inviare il comando (vmaradei.dyndns-web.com) la porta su cui inviare il magic packet (9) e il MAC Address del dispositivo da risvegliare (00:08:9b:d2:74:ff). Non dovrebbe servire altro.
L'APP inoltre prevede anche la possibilità di indicare una password (SecureOn) che però va a complicare notevolmente la gestione perchè deve essere indicata ed utilizzata in formato esadecimale (non ho trovato alcuna indicazione in merito al supporto da parte del QNAP di questa modalità). Secondo me è sufficiente scegliere una porta qualunque nel range da 1025 a 65535 e modificare di conseguenza il portforwarding impostato in modo da rendere più difficile accensioni non autorizzate (modifichi la porta in ingresso col valore che hai scelto e mantieni la porta "9" lato interno).
Esistono molti siti web che permettono di testare la configurazione, inserendo gli stessi dati. Una veloce ricerca su Google te ne fornirà a sufficienza per fare le prove.


A proposito: FUNZIONA!!!

Grande!!!!!!!!!!!!!!!

Ecco il risultato di arp -a

codice:

root@ASUS-LAN-MARADEI:/tmp/home/root# arp -a
? (192.168.60.55) at 28:6A:BA:9D:DF:9E [ether]  on br2
? (192.168.70.250) at FF:FF:FF:FF:FF:FF [ether] PERM on br3
? (192.168.1.1) at 28:10:7B:44:06:BB [ether]  on vlan2
? (192.168.50.66) at 78:E4:00:62:A6:79 [ether]  on br1
? (192.168.70.2) at 00:08:9B:D2:74:FF [ether]  on br3
? (192.168.40.71) at CC:7E:E7:82:03:EC [ether]  on br0
? (192.168.50.76) at 5C:59:48:E8:86:FD [ether]  on br1

Ora riavvio...

Ti confermo che al riavvio non è più presente...

codice:

root@ASUS-LAN-MARADEI:/tmp/home/root# arp -a
? (192.168.60.55) at 28:6A:BA:9D:DF:9E [ether]  on br2
? (192.168.50.76) at 5C:59:48:E8:86:FD [ether]  on br1
? (192.168.40.74) at 70:73:CB:C5:80:39 [ether]  on br0
? (192.168.1.1) at 28:10:7B:44:06:BB [ether]  on vlan2
? (192.168.70.2) at 00:08:9B:D2:74:FF [ether]  on br3
? (192.168.50.66) at 78:E4:00:62:A6:79 [ether]  on br1

[frakka]

Ecco il risultato di arp -a

codice:

root@ASUS-LAN-MARADEI:/tmp/home/root# arp -a
? (192.168.60.55) at 28:6A:BA:9D:DF:9E [ether]  on br2
? (192.168.70.250) at FF:FF:FF:FF:FF:FF [ether] PERM on br3
? (192.168.1.1) at 28:10:7B:44:06:BB [ether]  on vlan2
? (192.168.50.66) at 78:E4:00:62:A6:79 [ether]  on br1
? (192.168.70.2) at 00:08:9B:D2:74:FF [ether]  on br3
? (192.168.40.71) at CC:7E:E7:82:03:EC [ether]  on br0
? (192.168.50.76) at 5C:59:48:E8:86:FD [ether]  on br1

Ora riavvio...

Ok. Ovviamente quello che ci interessa mantenere è la riga in rosso.
Ora me ne vado a letto, che è finita la pacchia e domani si torna a lavoro.

[vincmara]

Ok. Ovviamente quello che ci interessa mantenere è la riga in rosso.
Ora me ne vado a letto, che è finita la pacchia e domani si torna a lavoro.

Perfetto...

A questo punto dobbiamo solo provare l'inserimento del comando in modo permanente nell'ASUS, vero (menù degli screenshoot o quello simile al firewall)?

Una volta fatto questo, volevo solo chiederti un paio di spiegazioni sull'app per iphone...non ho ben capito la questione dell'inoltro porta..domani però rileggo per bene il post perchè stasera l'ho letto con poca attenzione.

Infine, per chiudere il metodo 1 (DMZ) ci restano molte cose fare?

Buon rientro a lavoro Frakka!!!! E grazie mille di tutto!!!!!!!!!!!!!!!!!!!!!! Anche in questo caso hai trovato la soluzione

[vincmara]

Buongiorno

Oggi ho rivisto con calma i vari post (fortunatamente è una giornata tranquilla a lavoro ). Se ho capito bene i vari punti, stasera appena rientro farei questo:

1) Provo a compilare l'interfaccia "Static DHCP/ARP/IPT" con il comando che mi avevi dato

codice:

arp -i br3 -s 192.168.70.250 ff:ff:ff:ff:ff:ff

.

Allegato 12790

In particolare, come MAC Address metto ff:ff:ff:ff:ff:ff e come IP 192.168.70.250. Il resto dei campi devo compilarlo? Naturalmente, lascio attivo il portforwarding sulla porta 9 con IP 192.168.70.250

2)

L'APP che hai indicato dovrebbe andare bene: Permette di selezionare l'host a cui inviare il comando (vmaradei.dyndns-web.com) la porta su cui inviare il magic packet (9) e il MAC Address del dispositivo da risvegliare (00:08:9b:d2:74:ff). Non dovrebbe servire altro.
L'APP inoltre prevede anche la possibilità di indicare una password (SecureOn) che però va a complicare notevolmente la gestione perchè deve essere indicata ed utilizzata in formato esadecimale (non ho trovato alcuna indicazione in merito al supporto da parte del QNAP di questa modalità). Secondo me è sufficiente scegliere una porta qualunque nel range da 1025 a 65535 e modificare di conseguenza il portforwarding impostato in modo da rendere più difficile accensioni non autorizzate (modifichi la porta in ingresso col valore che hai scelto e mantieni la porta "9" lato interno).
Esistono molti siti web che permettono di testare la configurazione, inserendo gli stessi dati. Una veloce ricerca su Google te ne fornirà a sufficienza per fare le prove.

Perfetto per l'app e per il non utilizzare la voce SecureOn. In sostanza, per funzionare, dopo aver fatto il punto 1, dovrei solo modificare il portforwarding inserendo come "Ext Port" quella che scelgo (a caso tra 1025 e 65535) e come "Int Port" la 9? Devo anche provare a vedere su Google qualche sito per testare la configurazione (come mi hai suggerito)

3)

Il primo metodo si appoggia al menù del QNAP denominato "Assegnazione dei servizi" che ti permette "accendere" sulla scheda di rete in DMZ solo alcuni servizi e lasciare spenti tutti gli altri. Il grosso vantaggio è che in questo modo puoi effettuare modifiche "live" da remoto senza la necessità di operare anche sull'ASUS e quindi esponendo un solo apparato (ti basta accendere sulla scheda di rete in DMZ il servizio che ti serve). Ovviamente la rete in DMZ dovrà avere tutti i "LAN Access" nell'ASUS bloccati e dovrà essere inserita nel firewall una regola apposita (non mi ricordo se lo abbiamo già fatto, si tratta di impedire alla rete 192.168.70.0∕24 di accedere all'ASUS lavorando sulla catena INPUT del firewall)
Ovviamente l'interfaccia di gestione del QNAP dovrà essere attiva: Per mettere "in sicurezza" il QNAP, se deciderai di adottare questo metodo, ti consiglio di scegliere un numero compreso tra 1025 e 65535 e impostarlo al posto del valore "8080" predefinito nel menù indicato a pagine 35 del manuale. Quando vorrai accedere al QNAP da internet sarà sufficiente utilizzare come URL http://vmaradei.dyndns-web.com: per vedersi aprire l'interfaccia del QNAP.
Ovviamente nulla ti mette al riparo da credenziali deboli quindi è necessario che imposti una password il più possibile complessa per l'utente "admin" che purtroppo (grave pecca di questo firmware...) non può essere rimosso o disabilitato.

Provo a seguire le tue indicazioni modificando quindi il menù "Assegnazione dei servizi" (ancora non ho visto com'è). I LAN Access sull'ASUS della rete in DMZ dovrebbero essere già disattivi (faccio comunque un controllo stasera) mentre per la regola nel firewall non so se l'abbiamo inserita...ti invio le regole che attualmente sono caricate?
Il numero che uso per modificare la porta 8080 deve essere lo stesso che ho indicato nel portforwarding nel punto 2 come "Ext Port"?

P.s. Non puoi immaginare il mio stupore ieri quando ho sentito il beep del NAS che si accendeva da solo!!! fino a poco tempo fa non sapevo neanche fosse possibile una cosa del genere...

[frakka]

Buongiorno

Oggi ho rivisto con calma i vari post (fortunatamente è una giornata tranquilla a lavoro ). Se ho capito bene i vari punti, stasera appena rientro farei questo:

1) Provo a compilare l'interfaccia "Static DHCP/ARP/IPT" con il comando che mi avevi dato

codice:

arp -i br3 -s 192.168.70.250 ff:ff:ff:ff:ff:ff

.

Allegato 12790

In particolare, come MAC Address metto ff:ff:ff:ff:ff:ff e come IP 192.168.70.250. Il resto dei campi devo compilarlo? Naturalmente, lascio attivo il portforwarding sulla porta 9 con IP 192.168.70.250

Gli altri li puoi lasciare vuoti. Altrimenti nel nome host gli metti "WOL"...

2)

Perfetto per l'app e per il non utilizzare la voce SecureOn. In sostanza, per funzionare, dopo aver fatto il punto 1, dovrei solo modificare il portforwarding inserendo come "Ext Port" quella che scelgo (a caso tra 1025 e 65535) e come "Int Port" la 9? Devo anche provare a vedere su Google qualche sito per testare la configurazione (come mi hai suggerito)

Esatto.

3)

Provo a seguire le tue indicazioni modificando quindi il menù "Assegnazione dei servizi" (ancora non ho visto com'è). I LAN Access sull'ASUS della rete in DMZ dovrebbero essere già disattivi (faccio comunque un controllo stasera) mentre per la regola nel firewall non so se l'abbiamo inserita...ti invio le regole che attualmente sono caricate?
Il numero che uso per modificare la porta 8080 deve essere lo stesso che ho indicato nel portforwarding nel punto 2 come "Ext Port"?

P.s. Non puoi immaginare il mio stupore ieri quando ho sentito il beep del NAS che si accendeva da solo!!! fino a poco tempo fa non sapevo neanche fosse possibile una cosa del genere...

No, no. La stessa porta serve un solo servizio quindi non la puoi usare per due cose diverse.
Non sono del tutto convinto dell'utilità di modificare la porta 8080: A quanto ho visto c'è un redirect automatico e se non si riesce a cambiare quello cambiare porta è inutile per lui ti rimanderà sempre sulla porta giusta...
Attiva SSL e cambia la porta del WOL: Se lasci il NAS spento quando non lo usi sarà sufficiente.
C'è poi un altro menù che ti devo far impostare, per ostacolare i tentativi di "brute forcing".

[vincmara]

Gli altri li puoi lasciare vuoti. Altrimenti nel nome host gli metti "WOL"...
Esatto.
No, no. La stessa porta serve un solo servizio quindi non la puoi usare per due cose diverse.
Non sono del tutto convinto dell'utilità di modificare la porta 8080: A quanto ho visto c'è un redirect automatico e se non si riesce a cambiare quello cambiare porta è inutile per lui ti rimanderà sempre sulla porta giusta...
Attiva SSL e cambia la porta del WOL: Se lasci il NAS spento quando non lo usi sarà sufficiente.
C'è poi un altro menù che ti devo far impostare, per ostacolare i tentativi di "brute forcing".

Frakka ho iniziato a configurare i menù...

Port Forwarding


Static DHCP/ARP/IPT


Connessione QNAP


Devo mettere anche il flag alla voce "Forzare soltanto la connessione sicura (SSL)"?

Menù Assegnazione Servizi QNAP




Qui non ho capito bene come configurare...non ho attivato nulla ma una volta che abilito ho praticamente tutto flaggato in automatico...

P.s. Le porte che vedi negli screenshot (1026 e quella SSL) una volta che finiamo le cambio...sto imparando piano piano