IP dinamico: come raggiungere un dispositivo da Internet

Uno dei problemi, sempre più frequenti, di chi possiede connettività Internet casalinga (in ADSL o fibra) è rappresentato dalla raggiungibilità, da Internet, della propria rete di casa e di conseguenza dei dispositivi in essa collegati.

Caratteristica comune dei servizi Internet per la casa è infatti l’assegnazione – da parte del fornitore di servizio – di un “IP-dinamico” ovvero di un indirizzo Internet che cambia nel tempo. Come se il nostro numero di cellulare cambiasse continuamente durante la giornata: come farebbero i nostri amici e familiari a contattarci?

In altre parole si pone il problema di riuscire a raggiunere con facilità – da qualsiasi punto del mondo – la rete di casa con tutto ciò che è ad essa collegato (tipico esempio è la raggiungibilità di una telecamera IP attraverso il cellulare, il proprio NAS oppure qualche altro dispositivo di home automation dedicato).

Tralasciando i “perchè” di questa antipatica situazione, il problema può essere facilmente risolto ricorrendo ad un servizio di “DNS dinamico” (DDNS), ovvero ad un servizio che, indipendentemente dal nostro IP che cambia nel tempo, riconduce ad un nome fisso l’indirizzo IP di volta in volta assegnato al nostro modem-router, “porta di ingresso” alla nostra rete di casa.

Per far ciò sono tuttavia necessari tre passaggi:

  • la registrazione on-line ad un servizio di DNS-dinamico;
  • la configurazione del proprio modem-router;
  • la configurazione del port-forwarding.

Registrazione on-line ad un servizio di DNS-dinamico

Tanti sono i servizi di DDNS disponibili oggi su Internet seppur alcuni sono ormai riconosciuti come servizi leader. Per non sbagliare, è necessario dapprima verificare quali servizi DDNS sono supportati dal proprio modem-router, entrando all’interno della pagina di configurazione del dispositivo e cliccando sulla voce di configurazione del DNS dinamico. Tipicamente, servizi quasi sempre riconosciuti sono noip.com oppure dyn.com, ma possono comparirne anche altri altrettanto validi.

Una volta individuati i servizi DDNS supportati, è necessario registrarsi sul relativo portale e creare un account. Quasi tutti i servizi di DDNS permettono la registrazione di un account gratuito, con alcune limitazioni: consiglio in ogni modo di iniziare con un account gratuito per poi verificare le proprie reali esigenze nel tempo.

Il servizio, oltre all’account, necessita successivamente di registrare un host assegnandogli un nome all’interno di una lista di domini disponibili. Ciò significa individuare un riferimento mnemonico che possa identificare il vostro modem-router (l’host, appunto) esposto su Internet. Un esempio potrebbe essere il seguente:

routerdiandrea.myhome.net

In genere il servizio di DDNS vi permette di impostare in tutta libertà il prefisso del nome (in questo caso “routerdiandrea”), obbligandovi invece a scegliere il suffisso (in questo caso “myhome.net”) all’interno di una lista predefinita. Poco importa, con pochi click del mouse avete in questo modo creato l’indirizzo Internet che identificherà il vostro modem-router di casa.

Configurazione del proprio modem-router

Una volta creato l’account e il nome host all’interno del servizio di DDNS, bisogna inserire questi dati nella pagina di configurazione del modem-router di casa. In genere i dati da inserire sono tre:

  • il servizio scelto (es. noip.com)
  • nome account e password
  • il nome host impostato (es. routerdiandrea.myhome.net)

In pochi secondi potrete vedere lo stato di aggiornamento del vostro indirizzo IP, sia sul modem-router che all’interno del portale DDNS.

Configurazione del port-forwarding

Una volta configurato correttamente il DDNS, il risultato che si ottiene è la raggiungibilità del proprio modem-router da Internet, ovvero poter arrivare sulla “porta di ingresso” della vostra rete di casa.

Per raggiungere uno specifico dispositivo interno alla rete, bisognerà successivamente configurare il port-forwarding, ovvero dire al modem-router come comportarsi rispetto alle richieste di connettività fatte su una specifica porta TCP/UDP. Infatti, se l’indirizzo IP è metaforicamente “la porta di ingresso di casa”, le porte TCP/UDP sono le porte che permettono di accedere ai singoli locali interni all’appartamento. Il port-forwarding fa proprio questo, ovvero istruisce il modem-router rispetto alle modalità di reindirizzamento del traffico Internet sulla rete interna di casa.

Assumiamo dunque che una telecamera IP sia presente all’interno della rete con indirizzo statico 192.168.1.45 rispondendo sulla porta 808 e che un NAS sia presente all’interno della stessa rete con indirizzo statico 192.168.1.93 e che esponga un servizio web-based sulla porta 80. Potremmo configurare il port forwarding del modem-router nel seguente modo:

Porta ext      Indirizzo IP   Porta int
---------------------------------------
808            192.168.1.45   808
80             192.168.1.93   80

Per raggiungere la telecamera IP sarà pertanto sufficiente digitare (nel browser o nel servizio/app di collegamento):

routerdiandrea.myhome.net:808

Per il NAS invece:

routerdiandrea.myhome.net:80

Attenzione. In via teorica gli esempi riportati sono validi. Tuttavia è necessario ricordare che alcune porte, in Internet, sono più esposte di altre, ovvero sono passibili di potenziali attacchi. E’ pertanto opportuno preferire porte meno conosciute della 80 (tipica porta sulla quale girano le pagine web) o della 808/8080 (porte tipicamente utilizzate come repliche della 80 o per i servizi proxy). Il port-forwarding potrebbe quindi essere cambiato nel seguente modo, per garantire meno “visibilità” ad eventuali port-scanner:

Porta ext      Indirizzo IP   Porta int
---------------------------------------
7145           192.168.1.45   808
8193           192.168.1.93   80

 

Portare la rete WiFi in tutta la casa

Può talvolta capitare di avere la necessità di portare la rete WiFi in tutta la casa. Tuttavia un solo router wireless (in genere quello del gestore del servizio) non risulta quasi mai sufficiente a raggiungere tutti i locali della propria abitazione. In altre parole manca copertura.

La soluzione immediata, in questi casi, è offerta dalla disponibilità sul mercato di numerosi wireless repeater (chiamati anche range extender) che permettono di coprire una più vasta zona della casa “ripetendo”, appunto, il segnale del router wireless. Lo schema di funzionamento è più o meno rappresentabile con la seguente figura:

Wireless repeater / Range extender

L’unico vincolo di questa soluzione riguarda la collocazione. Il wireless repeater deve infatti essere collocato in una posizione intermedia o comunque in un posto dove egli possa captare un segnale di sufficiente potenza per poterlo “rilanciare” in una zona più lontana. Non sempre ciò è possibile e comunque non sempre è necessario garantire “continuità” alla copertura del segnale.

Si ipotizzi infatti che si voglia coprire con il segnale WiFi una stanza molto lontana della casa che non è raggiunta dal segnale originale. Ovvero che non si voglia raggiungere questa stanza mediante uno o più wireless repeater “a catena”. In tal caso è possibile utilizzare un semplice access point configurando la rete WiFi esattamente come quella già configurata sul wireless router dell’operatore. Sarà poi necessario collegare i due dispositivi in modo che l’access point si colleghi alla rete locale e, tramite questa, possa uscire pure in Internet. Per fare ciò la cosa più semplice è dotarsi di un access point powerline che possa, attraverso la rete elettrica, raggiungere il wireless router. Lo schema di funzionamento è più o meno rappresentabile con la seguente figura:

Access point e powerline

Soluzioni di access point powerline come il ZyXEL PLA-4231 rappresentano la più veloce soluzione per casi di questo tipo (considerando di dover pure collegare il wireless router ad un adattatore powerline). Eventualmente, nel caso di una casa cablata, si potrà semplicemente utilizzare uno switch come rappresentato nella figura che segue:

Switch

Cosa molto importante rimane la configurazione, in questo caso, della rete wireless sull’access point, che dovrà essere impostata esattamente come quella sul wireless router. Nel caso di “spostamento” da un locale all’altro, il computer/tablet/telefono si accorgerà della rete (che avrà medesimo nome SSID, medesima password e un segnale più robusto) e si collegherà senza alcun problema garantendo la continuità del servizio.

L’esempio che segue mostra i livelli di segnale della rete con SSID WEAPX in due stanze diverse di un appartamento dove sono presenti due dispositivi wireless diversi configurati alla stessa maniera (un router wireless in colore rosso e un access point in colore verde): spostandosi da un locale all’altro il dispositivo connesso si aggancerà al segnale che valuta più robusto.

WiFi switch

Vodafone Station – Alcune cose da sapere

Vodafone Station RevolutionQuesto articolo ha raggiunto in poco tempo centinaia di richieste di supporto. Potete inserire nella sezione commenti le vostre richieste: sarà mia cura rispondervi.

I fortunati possessori della Vodafone Station 2 e della Vodafone Station Revolution avranno scoperto, come me, alcuni chiari vantaggi di questa soluzione, primo fra tutti una maggiore e più stabile larghezza di banda, dovuta anche alla conversione in VoIP della parte fonia (che permette di sfruttare quella parte di canale “voce” per i dati, rendendo in tal modo la banda “più larga” e quindi il segnale più robusto). Anche la fibra (in tutte le sue versioni) rappresenta un ottimo servizio, che porta la banda disponibile da 50 Mbps in su. Tuttavia, abituati alle libertà di qualche altro provider tradizionale, si scoprono ben presto anche alcune limitazioni di questo dispositivo che cercherò di riassumere nel seguente elenco:

  • DHCP: nonostante un pannello di controllo abbastanza configurabile, la Vodafone Station viene fornita con un DHCP sempre attivo, non configurabile nè disattivabile. Ciò significa dover disattivare qualsiasi altro DHCP presente all’interno della vostra LAN sullo stesso spazio di indirizzi (tipico esempio un access point casalingo) ed accettare che la Vodafone Station assegni gli indirizzi nell’intero range della vostra subnet come meglio crede. Il range “standard” offerto dalla Station è la classica rete 192.168.1.0/24 configurabile a piacere con pochi click: tuttavia il DHCP vi seguirà come un’ombra. Nell’immagine sotto viene riportato l’esempio di una Station configurata nello spazio di rete 192.168.0.0/24: come si vede, non ci sono parametri per la disabilitazione del DHCP, solo la reservation.

  • Hostnames: la Vodafone Station crea un dominio DNS locale chiamato vodafone.station sul quale mappa tutti i dispositivi collegati e da lei riconosciuti. Peccato che non sia possibile assegnare un nome “ragionato” per ognuno di questi, che nel caso migliore vengono chiamati “computer” o qualcosa di ancor più generico. Nel caso sotto riportato “computer” è in realtà un router-access point della TP-Link:

  • DNS ed enrollment: è la parte più dolente della Vodafone Station. Forse impostato in questo modo per poter “interagire” con l’utente medio fin dal primo momento (imponendo alcuni pop-up via browser al primo collegamento) e per gestire al meglio il propri servizi di “rete sicura”, la Vodafone Station intercetta tutto il traffico DNS imponendo un proprio sistema di name resolution: non c’è verso di poter configurare all’interno della Station un DNS pubblico, nemmeno inserendolo esplicitamente all’interno della configurazione di rete del proprio computer. Questo meccanismo garantisce alla Vodafone Station un processo di enrollment browser-based di qualsiasi nuovo dispositivo che si aggancia per la prima volta alla LAN via protocollo HTTP, iniettando nel browser una pagina web di benvenuto (generata dalla Station) con alcuni script Java-based che leggono l’indirizzo MAC del dispositivo, lo registrano e gli assegnano un nome all’interno del dominio vodafone.station della vostra LAN. Questo processo avviene solamente una volta, al primo accesso mediante il nuovo dispositivo, dopodichè il riconoscimento è del tutto trasparente.

Vodafone Station 2Non pochi problemi ho quindi avuto con un Raspberry PI presente all’interno della mia LAN. Infatti il comando “apt-get update”, essendo http-based, non riusciva a funzionare poichè la Station, non riconoscendo l’indirizzo MAC del Raspberry ma intercettando traffico http, lo reindirizzava alla pagina HTML di enrollment (Java-based!) dando il benvenuto e chiedendo di “Abilitare” (tramite click!) la sorgente chiamante. Così pure mi si bloccavano diverse istruzioni che viaggiavano su canale http quali ad esempio “curl” e “wget”. In altre parole: qualsiasi dispositivo che viene visto per la prima volta dalla Vodafone Station, se non provvisto di browser web, non può essere “registrato” e quindi non può navigare verso Internet: ciò può accedere anche con alcune smart-TV oppure con alcuni lettori multimediali che necessitano di collegarsi ad Internet su canale HTTP, non avendo essi alcun browser web interno per confermare l’abilitazione.

Questo problema l’ho risolto con il seguente workaround: aprite un qualsiasi browser (da un computer di casa) ed inserire questa stringa, dove al posto di <indirizzo MAC> si dovrà indicare l’indirizzo MAC del dispositivo da registrare nella Station (attenzione, le parentesi non devono comparire!):

vodafone.station/?page=dashboard_wizard.html&host_mac=<indirizzo MAC>

Problema risolto!

Un commento finale: la Vodafone Station è sicuramente un ottimo dispositivo, con alcune fastidiose limitazioni dovute al fatto che il traffico viene in qualche modo intercettato e “proxato” da Vodafone per i suoi servizi aggiuntivi a pagamento: quindi dimenticatevi DNS alternativi a meno di non attivare un abbonamento VPN per la navigazione sicura con qualche altro servizio offerto da terzi. Dimenticatevi pure il DHCP “autonomo”. Tuttavia questo ultimo aspetto sono riuscito a risolverlo segmentando la mia rete con un router e lasciando la Station “da sola” come solo gateway di navigazione Internet e mappando il resto della mia rete (con DHCP autonomi) come meglio credevo. Ho infatti inserito la Vodafone Station all’interno della sottorete 192.168.0.0/24 separandola con un router TP-Link dalla sottorete 192.168.1.0/24. Ecco qui uno schema semplificato:

Subnet Vodafone

Aggiornamento: grazie a VMax, che ha indicato un modo per usare dei DNS alternativi. I server DNS di opendns rispondono infatti anche sulle porte 443 e 5353, non intercettate dalla Vodafone Station (che controlla solo la porta 53).