fritzbox 7530: assegnare ipv4 pubblico a un device

[Fantu]

Buongiorno, ho provato a fare una ricerca ma non ho trovato una risposta certa.
Attualmente in ufficio ho un fritboz con connessione TIM e in cascata un pfsense impostato "exposed host"
A seguito di problemi con uno dei server esposti (netbird), più di preciso il coturn che gestisce le connessioni relay, ho visto che per risolvere bisognerebbe avere almeno un ipv4 pubblico assegnato al pfsense.
Con TIM business c'è la possibilità di ip aggiuntivi e la configurazione del fritzbox so che supporta ipv4 multipli, quello che però non riesco a trovare se è possibile. Da ricerca sembra sia possibile funzione "exposed host" che redireziona tutte le porte (ma temo rimanga il problema attuale rendendo inutile la possibile richiesta di ip aggiuntivi) e non l'assegnazione di un ipv4 pubblico al device.
Qualcuno può per favore dirmi con certezza se è possibile assegnare un ipv4 pubblico (o una sottorete) ai device?

[DANIELONE]

Puoi nattare tutti gli ip interni che vuoi ad un ip pubblico, puoi metterli in DMZ tramite appunto la funzione EXPOSED HOST all'interno delle configurazioni di rete.
Vai nel menù RETE>>RETE LOCALE, trovi il device che vuoi modificare, clicchi sulla matita che trovi a destra del device, dentro quel menù puoi fare varie modifiche.

[Fantu]

grazie della risposta
"exposed host" è != DMZ (non supportato da fritzbox): https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-7590/131_Configurare-una-DMZ-nel-FRITZ-Box/

attualmente il pfsense è già configurato in "exposed host", funzione che fa il port forwarding di tutte le porte sull'unico ipv4 pubblico statico a disposizione ma alla situazione attuale ha problemi che suppongo si risolverebbero solo se implementassero il nat full cone su freebsd (https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=219803)

una soluzione sarebbe almeno un ipv4 assegnato al pfsense, è probabile che togliere il doppio nat sia già sufficiente, male che vada si configura su una rete virtuale aggiunta il server netbird con le porte che servono senza passaggio dal NAT (senza un ipv4 pubblico assegnato direttamente sul pfsense non è possibile)

se invece non sarà possibile che con ip multipli e solo "exposed host" dovrei fare operazioni aggiuntive come workaround, ossia collegare una delle interfaccie di rete dell'host kvm (su cui è la vm netbird) diretto sul fritzbox, configurare la rete della vm netbird in bridge su tale interfaccia e poi sul fritzbox oltre all'exposted host di un ipv4 verso pfsense mettere "exposed host" di un secondo ip verso il server netbird
però questo non è il massimo e mi sa che al mio capo non piacerebbe pagare ip aggiuntivi e dover fare pure questo, per questo preferivo avere una certezza a priori^^''

[DANIELONE]

Si in effetti ho erroneamente utilizzato il DMZ per Exposed Host, ma io non sono un sistemista di rete e spesso anche a lavoro si parla di DMZ quando si vuole aprire tutte le porte ad un device, quindi mi capita di sbagliarmi.
Il fritz non gestisce DMZ, ma se hai una rete complessa da gestire, come dico sempre a tutti, sicuramente i vari fritzbox non fanno al caso tuo, conviene utilizzare cose verticali su quello che ti serve.
Io personalmente ho 3 server pubblicati nattati, quindi a me ad esempio, basta solo quello, vengono ingaggiati via porta sul ip pubblico e fine.

Al tuo capo dovresti dire di investire di più in sicurezza ed in router SERI, i fritzbox sono buoni apparati, ma non fanno miracoli.

[Fantu]

su alcuni clienti nostri ci sono FTTH con router che forniscono gli ISP, solitamente a cui non si può accedere e ci vuole per forza un gateway in cascata, da semplice router di base a router avanzati come dei buoni cisco, a soluzioni gateway tipo pfsense (è abbastanza buono, fornisce molte funzioni anche se ha alcune pecche su alcune cose) e in tutti quei casi sui dispositivi in cascata viene assegnato l'ipv4 pubblico (e quindi anche avendo 2 router i device in LAN passano al massimo da un unico NAT, quello)
ad esempio ho fatto qualche prova su uno dei clienti che ha anch'esso pfsense ma ipv4 pubblico impostato su di esso, configurazione di base per quel provider che fornisce FTTH 1gbps, e li con le connessioni udp sembra comportarsi molto meglio
oggi ho fatto una prova configurando un server coturn su una vm su uno dei miei pc di casa dove ho solo il fritzbox e dopo averlo impostato in "exposted port" quando ho configurato il server netbird per usare quello ho verificato che non ci sono problemi
quindi è confermato che con ip aggiuntivo risolvo, quello che preferivo sapere con certezza è cosa è possibile configurare con gli ip multipli, quale delle 2 cose possiblità descritte sopra succederà^^'

purtroppo in ufficio non abbiamo la copertura FTTH (se non le linee dedicate che hanno costi elevati), abbiamo solo la vdsl e per di più collegati in rigida alla centrale (quindi nemmeno la possibilità di impostare il profilo 35b per una maggiore banda che ci farebbe molto comodo)
da quello che ho visto in molti anni i router fritzbox sono molto buoni a gestire adsl e vdsl e permettono l'uso di una quantità alta di banda anche in situazioni non ottimali mantenendo la linea abbastanza stabile e con minore perdita di pacchetti. senza contare la possibilità di regolare la sincronizzazione diminuendo la banda della portante se si volesse, cosa non possibile con quasi nessuno dei router visti e in cui l'unica possibilità è chiamare l'ISP e richiedere la modifica del profilo (se possibile) ma così rimarrebbe fisso e se in seguito si volesse provare una portante maggiore bisognerebbe ancora chiamare l'ISP.
Con fritzbox per questo mi sono trovato molto bene e mi ha migliorato significativamente la situazione sia nella mia casa precendente, all'inizio con adsl e poi vdsl, che attuale con vdsl, che in vdsl ufficio sia per i periodi problematici in cui impostavo per maggiore stabilità e minore banda che quando sono risolti o migliorati (principalmente quando sostituiscono le tratte in rame, eventi però rari/difficili)

[DANIELONE]

Vedi se questa guida ti può essere utile:

https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-7530-AX/1638_Configurare-una-sottorete-IPv4-pubblica-nel-FRITZ-Box/

Per il discorso rete FTTC, resistete, stanno cablando in fibra qualsiasi cosa, per gli ISP il misto rame non è + sostenibile ai fini dei costi per colpa del rame che si deteriora/danneggia, è solo questione di tempo che vi porteranno direttamente un profilo Z9 che sembra essere lo standard attualmente, almeno da parte di Tim.

[Fantu]

grazie della risposta, se non erro era una delle cose viste nella ricerca prima di aprire questo topic ma non mi toglie il dubbio visto che parla di abilitazione porte anche sui device a cui è stato assegnato l'ip (punto 3)

per favore, qualcuno che ha ipv4 pubblici multi sul suo fritzbox può dirmi se rimangono per forza dietro un NAT e si può massimo configurare "exposed host" o si può averli senza nat e firewall del fritzbox di mezzo?


riguardo alla FTTH è quello che spero ma sono passati ormai già alcuni anni da quando hanno fatto i lavori preliminari per futura FTTH (dopo che c'era già vdsl), che in base a quello che so è solo "la fibra spenta" grazie ai vari finanziamenti regione/italia/europa, incluso fino al pozzetto sulla strada appena fuori dall'ufficio, mentre per il resto sta ai vari ISP ma nelle zone "a fallimento di mercato" (come le definiscono loro) le cose vanno per le lunghe, come anche è stato per vdsl.
in alcuni paesi vicini ci sono stati lavori (limitato a solo alcune parti dei paesi) svolte da ISP minori ma non rientrano ne casa mia ne l'ufficio e per quanto ne so al momento non c'è niente di programmato (e quindi nel giro di 1 anno o meno) per nessuno dei 2

[DANIELONE]

Essendo una situazione un pò particolare non da tutti gli utenti, potresti provare a scrivere ad AVM e spiegare la situazione, sicuramente ti sapranno indirizzare meglio.
Purtroppo l'unico modo di avere la certezza, è trovare qualcuno che l'ha già testato.

[Contenuto sponsorizzato]