Condividere la connessione a internet: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
m (→‎Masquerading: errori nomi script (segnalato in pagina discussione))
 
(38 versioni intermedie di 13 utenti non mostrate)
Riga 1: Riga 1:
{{stub}}
{{Versioni compatibili|Jessie|Stretch|Buster}}
==Premessa==
== Premessa ==
Oggi che la maggior parte degli utenti domestici ha la possibilit� di accede ad internet con connessioni a [http://it.wikipedia.org/wiki/Larghezza_di_banda banda] larga (ad esempio [http://it.wikipedia.org/wiki/ADSL ADSL]) e che sempre pi� frequente avere a disposizione almeno un paio di computers si avverte la necessit� di poter condividere la connessione tra i vari computer della nostra rete domestica.
Oggi che la maggior parte degli utenti domestici ha la possibilità di accedere ad Internet con connessioni a [http://it.wikipedia.org/wiki/Larghezza_di_banda banda] larga (ad esempio [http://it.wikipedia.org/wiki/ADSL ADSL]) e che è sempre più frequente avere a disposizione almeno un paio di computer, si avverte la necessità di poter condividere la connessione tra i vari computer della nostra rete domestica.


GNU/Linux probabilmente la scelta pi� indicata in questi frangenti, essendo un sistema operativo nato espressamente in ambiente di rete: moltissimi dei [http://it.wikipedia.org/wiki/Router router] sul mercato fanno uso di GNU/Linux come sistema operativo, perch� non farlo anche noi ?
GNU/Linux è probabilmente la scelta più indicata in questi frangenti, essendo un sistema operativo nato espressamente in ambiente di rete: moltissimi dei [http://it.wikipedia.org/wiki/Router router] sul mercato fanno uso di GNU/Linux come sistema operativo, perché non farlo anche noi?


==Prerequisiti==
== Prerequisiti ==
Tutto quello di cui abbiamo bisogno la nostra Debian, una scheda di rete per ciascun pc da collegare alla rete locale ed un hub o switch.
Tutto quello di cui abbiamo bisogno è la nostra Debian, una scheda di rete per ciascun PC da collegare alla rete locale ed un hub o switch.


Per fare in modo che Debian si comporti come un router avremo bisogno anche di iptables. Vi rimando alla guida [[Debian e iptables]] per la sua corretta installazione e configurazione.
Se avete un collegamento ADSL tramite modem USB e due soli computer, basta collegare le due schede di rete tramite cavetto ethernet cross (incrociato), non serve nient'altro. Uno dei due computer dovrà poi essere connesso ad internet tramite modem USB (vedere [[Indice_Guide#Modem_e_periferiche_di_rete|Modem e periferiche di rete]] per l'installazione e la configurazione), oppure tramite una seconda scheda di rete.


==Configurazione Router==
Per fare in modo che Debian si comporti come un router avremo bisogno anche di ''iptables''. Vi rimando alla guida [[Debian e iptables]] per la sua corretta installazione e configurazione.
Per fare in modo che Debian faccia da [http://it.wikipedia.org/wiki/Gateway gateway] tra i pc della LAN e internet dobbiamo utilizzare il [http://it.wikipedia.org/wiki/Network_address_translation NAT] ''(Network Adrees Translation)''.<br>
Il tipo di NAT che ci interessa in questa guida � chiamato '''masquerading''' ''(mascheramento)'' degli indirizzi locali.<br>
Il motivo � semplice: per accedere a internet � necessario avere un [http://it.wikipedia.org/wiki/Indirizzo_IP indirizzo IP] di tipo pubblico, che il nostro ISP ci fornisce. Per permettere anche ai computer sprovvisti di indirizzo pubblico di navigare, dobbiamo fare in modo che i loro indirizzi di tipo privato vengano "nascosti" dietro a quello pubblico.


===Masquerading===
== Configurazione Router ==
Loghiamoci come utente '''root''' e digitiamo il seguente comando:
Per fare in modo che Debian faccia da [http://it.wikipedia.org/wiki/Gateway gateway] tra i PC della LAN e internet dobbiamo utilizzare il [http://it.wikipedia.org/wiki/Network_address_translation NAT] ''(Network Address Translation)''.<br>
Il tipo di NAT che ci interessa in questa guida è chiamato '''masquerading''' ''(mascheramento)'' degli indirizzi locali.<br>
Il motivo è semplice: per accedere a internet è necessario avere un [http://it.wikipedia.org/wiki/Indirizzo_IP indirizzo IP] di tipo pubblico, che il nostro ISP ci fornisce. Per permettere anche ai computer sprovvisti di indirizzo pubblico di navigare, dobbiamo fare in modo che i loro indirizzi di tipo privato vengano "nascosti" dietro a quello pubblico.
 
=== Masquerading ===
Con [[privilegi di amministrazione]] digitiamo il seguente comando:
<pre># iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE</pre>
<pre># iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE</pre>
questo abilita il mascheramento degli indirizzi privati.
questo abilita il mascheramento degli indirizzi privati.


Per caricare queste regole di iptable ad ogni avvio conviene salvarle una volta e per tutte con '''iptables-save''' e caricarle ad ogni avvio con '''iptables-restore'''. Questi comandi leggono e scrivono su STDIN e STDOUT quindi bisogna usare la redirezione di shell.
Nel caso il computer che fa da router sia collegato ad internet mediante un'altra interfaccia di rete (di solito ethx), al posto di ppp0 va messo il nome di quest'ultima e quindi diventa:
<pre># iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE</pre>


Per salvare le regole correnti di iptables basta scrivere da root:
Per caricare queste regole di ''iptables'' ad ogni avvio conviene salvarle una volta e per tutte con '''iptables-save''' e caricarle ad ogni avvio con '''iptables-restore'''. Questi comandi leggono e scrivono su STDIN e STDOUT quindi bisogna usare la redirezione di shell.
 
Per salvare le regole correnti di ''iptables'' basta scrivere da ''root'':
<pre># iptables-save > /etc/iptables-save</pre>
<pre># iptables-save > /etc/iptables-save</pre>


Poi ad ogni avvio dovremo richiamare il seguente comando:
Poi ad ogni avvio dovremo richiamare il seguente comando:
<pre>
<pre>
# cat /etc/iptables-save | iptables-restore
# iptables-restore < /etc/iptables-save
</pre>
</pre>


Questo comando si pu� inserire in uno script di avvio come /etc/init.d/bootmisc, forse � pi� logico inserirlo in /etc/init.d/networking anche perch�, in tal modo, riavviando la rete vengono anche reimpostate le regole di iptables. Per inserire il comando in /etc/init.d/networking scorrete il file fino a quasi la fine dove troverete le seguenti righe:
Basta creare uno script in <code>/etc/network/if-up.d/</code> che esegua tale comando. Per esempio:
<pre>
# touch /etc/network/if-up.d/restore-iptables
</pre>


E poi modificare <code>/etc/network/if-up.d/restore-iptables</code> con il proprio editor di testo preferito (per esempio [[nano]]):
<pre>
<pre>
case "$1" in
#! /bin/sh
    start)
 
</pre>
readonly CONFIG_FILE="/etc/iptables-save"


ora appena prima di
# execute the script only if $CONFIG_FILE exists
test -f "$CONFIG_FILE" || exit 0


<pre>;;
# restore IP tables
stop)
printf %s " * Loading iptables saved state... "
iptables-restore < "$CONFIG_FILE" &&
printf %s\\n "[ OK ]"
</pre>
</pre>


si potr� inserire questo codice (al posto del singolo comando) per maggiore eleganza:
E renderlo eseguibile:
 
<pre>
<pre>
        # Carica le regole di iptables salvate
# chmod a+x /etc/network/if-up.d/restore-iptables
if [ -r /etc/iptables-save ]; then
    echo -en " * Loading iptables saved state ... "
    cat /etc/iptables-save | iptables-restore &&\
    echo "[ OK ]"
fi
</pre>
</pre>
   
   
in questo modo la regola verr� caricata ad ogni avvio del sistema, senza che sia necessario digitarla nuovamente, e solo se il file /etc/iptables-save esiste ed � leggibile.
La regola verrà caricata ad ogni avvio del sistema, senza che sia necessario digitarla nuovamente, e solo se il file <code>/etc/iptables-save</code> esiste.


===Ip Forwarding===
=== Ip Forwarding ===
Configurare iptables non � per� sufficiente. I comuni pc, infatti, non devono essere in grado di comportarsi come i [http://it.wikipedia.org/wiki/Router routers] e cio� non devono poter [[routing|instradare]] pacchetti da una rete all' altra.<br>
Configurare ''iptables'' non è però sufficiente. I comuni PC, infatti, non devono essere in grado di comportarsi come i [http://it.wikipedia.org/wiki/Router router] e cioè non devono poter [[routing|instradare]] pacchetti da una rete all'altra.<br>
Dato che per noi fondamentale abilitare questa possibilit�, dobbiamo agire su un paramentro del kernel che regola questa funzione: l' '''ip-forwarding'''.
Dato che per noi è fondamentale abilitare questa possibilità, dobbiamo agire su un parametro del kernel che regola questa funzione: l' '''ip-forwarding'''.


L' ip-forwarding � abilitabile "al volo", semplicemente impostando a "1" la relativa variabile del kernel, con il comando:
L'ip-forwarding si può abilitare "al volo" semplicemente impostando a "1" la relativa variabile del kernel, con il comando:
<pre># echo 1 > /proc/sys/net/ipv4/ip_forward</pre>
<pre># echo 1 > /proc/sys/net/ipv4/ip_forward</pre>
cos� facendo per�, ad ogni riavvio dovremo reimpostare la variabile.
così facendo, però, ad ogni riavvio dovremo reimpostare la variabile.


E' possibile creare scripts appositi che impostano a "1" l' ip-forwarding, ma il sistema che presumibilmente � pi� comodo, consiste nell' associare questo comando alla creazione delle interfacce di rete, in fase di boot.
==== Impostare l'<code>ip-forwarding</code> al boot: <code>/etc/sysctl.conf</code> ====
 
Se avete installato ''ipmasq'', l'ip-forwarding è già abilitato: passate alle misure di sicurezza.
 
Il metodo più semplice, consigliato nella maggior parte dei casi, per impostare l'ip-forwarding ad ogni boot è di inserire in <code>/etc/sysctl.conf</code>:
 
<pre>
## Abilita il forwarding di pacchetti non locali - FONDAMENTALE
net/ipv4/ip_forward = 1
</pre>
In questo caso si abilita unicamente per IPv4; è necessario, se si desidera, abilitarlo anche per IPv6.
 
È opportuno impostare anche alcune misure di sicurezza (le prime due dovrebbero essere già attive di default):
<pre>
## Ignora finti messaggi di errore ICMP
net/ipv4/icmp_ignore_bogus_error_responses = 1
 
## Non risponde ai ping inviati al broadcast della subnet
net/ipv4/icmp_echo_ignore_broadcasts = 1
 
## Non accetta pacchetti ICMP di route redirection
net/ipv4/conf/all/accept_redirects = 0
 
## Protezione anti spoofing
net/ipv4/conf/all/rp_filter = 1
</pre>
 
==== Impostare l'<code>ip-forwarding</code> al boot: script ====
È possibile anche abilitare l'ip-forwarding associando uno script alla creazione delle interfacce di rete in fase di boot. Questo metodo è consigliato solo in caso di setup più complessi, in cui si vogliono impostare regole diverse a seconda dell'interfaccia di rete che si attiva.
 
Per prima cosa, apriamo con il nostro editor preferito il file <code>/etc/network/interfaces</code> e cerchiamo la sezione relativa alla nostra scheda di rete.


Per prima cosa, apriamo con il nostro editor preferito il file '''/etc/network/interfaces''' e cerchiamo la sezione relativa alla nostra scheda di rete.<br>
Dovreste individuare qualcosa di simile a:
Dovreste individuare qualcosa di simile a:
<pre>auto eth0
 
<pre>
auto eth0
iface eth0 inet static
iface eth0 inet static
address 192.168.0.1
address 192.168.0.1
netmask 255.255.255.0
netmask 255.255.255.0
network 192.168.0.0
network 192.168.0.0
broadcast 192.168.0.255</pre>
broadcast 192.168.0.255
</pre>


A questo punto, nella riga immediatamente successiva a "broadcast ...", inseriamo questa direttiva:
A questo punto, nella riga immediatamente successiva a "broadcast ...", inseriamo questa direttiva:
<pre>auto eth0
 
<pre>
auto eth0
iface eth0 inet static
iface eth0 inet static
address 192.168.0.1
address 192.168.0.1
Riga 82: Riga 122:
network 192.168.0.0
network 192.168.0.0
broadcast 192.168.0.255  
broadcast 192.168.0.255  
         pre-up /etc/network/iface-secure</pre>
         pre-up /etc/network/iface-secure
Questo comando dice allo script che si occupa di configurare la scheda di rete di lanciare un' altro script, e cio� '''/etc/network/iface-secure''', che provvediamo subito a creare con il comando:
</pre>
 
Questo comando dice allo script, che si occupa di configurare la scheda di rete, di lanciare un altro script, e cioè <code>/etc/network/iface-secure</code>, che provvediamo subito a creare con il comando:
 
<pre># touch /etc/network/iface-secure</pre>
<pre># touch /etc/network/iface-secure</pre>
All' interno di questo file scriveremo il nostro comando per abilitare l' ip-forwarind:
 
Dopodiché rendiamolo eseguibile e scrivibile per [[root]] con:
 
<pre># chmod 755 /etc/network/iface-secure</pre>
 
All'interno di questo file scriveremo il nostro comando per abilitare l' ip-forwarding:
 
<pre>
<pre>
#! /bin/sh
### Abilita il forwarding di pacchetti non locali - FONDAMENTALE
### Abilita il forwarding di pacchetti non locali - FONDAMENTALE
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward
</pre>
 
E' opportuno impostare anche alcune misure di sicurezza:
### Ignora finti messaggi di errore ICMP
<pre>
### Non risponde ai ping inviati al browadcast della subnet
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses


### Ignora finti messaggi di errore ICMP
### Non risponde ai ping inviati al broadcast della subnet
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts


### Non accetta pacchetti ICMP di route redirection
### Non accetta pacchetti ICMP di route redirection
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
</pre>
Oltre a queste regole Debian imposta per default la protezione dallo [http://it.wikipedia.org/wiki/IP_spoofing spoofing] degli indirizzi, che quindi non abbiamo necessit di inserire nello script.Per completezza di informazione, comunque, questa regola risulta essere la seguente:
<pre>
### Protezione anti spoofing
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
</pre>
</pre>


===Server DNS===
=== Server DNS ===
Per poter navigare su internet, necessario che i PC della nostra rete locale abbiano accesso ad un server [http://it.wikipedia.org/wiki/DNS DNS] che traduca per noi gli indirizzi internet in indiritti IP.  
Per poter navigare su internet, è necessario che i PC della nostra rete locale abbiano accesso ad un server [[DNS]] che traduca per noi gli indirizzi internet in indirizzi IP.  


Un modo per fare questo consiste nell' impostare per ciascuno dei nostri PC i server DNS forniti dal nostro provider.  
Un modo per fare questo consiste nell'impostare, per ciascuno dei nostri PC, i server [[DNS]] forniti dal nostro provider.  


Esiste tuttavia un' alternativa molto pi� comoda e performante: creare un nostro server DNS ed utilizzarlo in sostituzione di quelli del provider. Questa soluzione porta ad alcuni vantaggi:
Esiste tuttavia un'alternativa molto più comoda e performante: creare un nostro server [[DNS]] ed utilizzarlo in sostituzione di quelli del provider. Questa soluzione porta ad alcuni vantaggi:
* sui pc della LAN dovremo configurare sempre un solo server DNS immutabile e che conosciamo bene (senza faticose ricerche);
* sui PC della LAN dovremo configurare sempre un solo server [[DNS]] immutabile e che conosciamo bene (senza faticose ricerche);
* i tempi di risposta sono nettamente pi� performanti rispetto a server esterni alla LAN, sia perch� il server raggiungibile direttamente (senza instradamento attraverso internet), sia perch� sfrutta un sistema di cache (se 10 pc chiedono l' indirizzo di debian.org, ad esempio, il nostro DNS effetter� la richiesta solo la prima volta e per le restanti 9 utilizzer� le informazioni memorizzate nella propria cache);
* i tempi di risposta sono nettamente più performanti rispetto a server esterni alla LAN, sia perché il server è raggiungibile direttamente (senza instradamento attraverso internet), sia perché sfrutta un sistema di cache (se 10 PC chiedono l' indirizzo di debian.org, ad esempio, il nostro [[DNS]] effettuerà la richiesta solo la prima volta e per le restanti 9 utilizzerà le informazioni memorizzate nella propria cache);
* grazie a questo meccanismo di caching i dns del provider sono meno stressati e quindi pi� performanti a loro volta.
* grazie a questo meccanismo di caching i [[DNS]] del provider sono meno stressati e quindi più performanti a loro volta.


Per realizzare il nostro server useremo '''bind''', probabilmente il miglior software esistente per questo compito.
Per realizzare il nostro server useremo '''bind''', probabilmente il miglior software esistente per questo compito.


Per prima cosa installiamo bind9 ed alcuni strumenti utili:
Per prima cosa installiamo ''bind9'' ed alcuni strumenti utili:
<pre># apt-get install bind9 bind9-host dnsutils</pre>
 
Ora configuriamo il server in modo che faccia le sue richieste ai server DNS che vogliamo noi anzich� ai ROOT SERVERS (sono pochi in tutto il mondo, molto stressati e aggiornati pi� lentamente di altri). Tutto quello che dobbiamo fare editare la sezione '''options''' del file '''/etc/bind/named.conf.options''':
<pre># apt install bind9 dnsutils</pre>
 
Ora configuriamo il server in modo che faccia le sue richieste ai server [[DNS]] che vogliamo noi anziché ai ROOT SERVERS (sono pochi in tutto il mondo, molto stressati e aggiornati più lentamente di altri). Tutto quello che dobbiamo fare è editare la sezione '''options''' del file <code>/etc/bind/named.conf.options</code>:
 
<pre>options {
<pre>options {
directory "/var/cache/bind";
directory "/var/cache/bind";
Riga 133: Riga 180:
auth-nxdomain no; # conform to RFC1035
auth-nxdomain no; # conform to RFC1035
};</pre>
};</pre>
Ora non ci resta che riavviare bind con il comando:
<pre># /etc/init.d/bind9 restart</pre>
e configurarlo come DNS sui pc della nostra rete.


==Configurazione LAN==
Ora non ci resta che riavviare ''bind'' con il comando:
 
<pre># service bind9 restart</pre>
 
e configurarlo come [[DNS]] sui PC della nostra rete.
 
=== Altri Protocolli ===
==== FTP ====
Con la configurazione svolta fino a questo punto dovrebbe essere possibile accedere dai PC della LAN a server FTP esterni in ''passive mode'' (se ciò non fosse possibile vedere più avanti: [[Condividere_la_connessione_a_internet#Problemi_con_MTU|Problemi con MTU]]).
 
Se si vuole accedere a server FTP in ''active mode'' il router deve tracciare le connessioni FTP, e a tal scopo basta caricare i due moduli:
 
<pre>
# modprobe ip_conntrack_ftp
# modprobe ip_nat_ftp
</pre>
 
Da questo momento in poi i PC della LAN dovrebbero essere in grado di accedere ai server FTP anche in ''active mode''.
 
==== IRC ====
Dovreste essere in grado di usare IRC senza problemi dai PC della vostra LAN. In caso contrario potreste provare a caricare manualmente i moduli che servono al router per gestire le connessioni ad IRC:
<pre>
# modprobe ip_conntrack_irc ports=5555,6666,6667,6668,6669,7000
# modprobe ip_nat_irc
</pre>
dove, con la direttiva "ports=" indichiamo le porte generalmente utilizzate dai server IRC.
 
Se avete problemi, leggete più avanti: [[Condividere_la_connessione_a_internet#Problemi_con_MTU|Problemi con MTU]].
 
== Configurazione LAN ==
Passiamo ora alla configurazione degli altri PC della nostra rete domestica.<br>
Passiamo ora alla configurazione degli altri PC della nostra rete domestica.<br>
===Premessa===
==== Premessa ====
Generalmente per le reti locali domestiche si utilizzano indirizzi IP del tipo 192.168.0.x dove x un numero variabile tra 1 e 254. Questo significa che all' interno della stessa rete possiamo avere fino a 254 indirizzi IP univoci.<br>
Generalmente per le reti locali domestiche si utilizzano indirizzi IP del tipo 192.168.0.x, dove x è un numero variabile tra 1 e 254. Questo significa che all'interno della stessa rete possiamo avere fino a 254 indirizzi IP univoci.<br>
Generalmente il router di una rete ha come indirizzo IP il primo o l' ultimo della rete e cio� 192.168.0.1 oppure 192.168.0.254. In questo esempio noi useremo il primo.
Generalmente il router di una rete ha come indirizzo IP il primo o l'ultimo della rete e cioè 192.168.0.1 oppure 192.168.0.254. In questo esempio noi useremo il primo.
===Assegnare un IP===
=== Assegnare un IP ===
Ad ogni pc della LAN si deve assegnare un indirizzo ip per poter comunicare con gli altri pc della rete interna (che nel caso limite il solo pc che fa da router). Per assegnare un indirizzo IP statico basta usare il comando:
Ad ogni PC della LAN si deve assegnare un indirizzo IP per poter comunicare con gli altri PC della rete interna (che nel caso limite è il solo PC che fa da router). Per assegnare un indirizzo IP statico basta usare il comando:
<pre>
<pre>
# ifconfig eth0 192.168.0.2 up
# ifconfig eth0 192.168.0.2 up
</pre>
</pre>
dove 192.168.0.2 l'indirizzo arbitrario che si scelto per la particolare macchina.<br>
dove 192.168.0.2 è l'indirizzo arbitrario che si è scelto per la particolare macchina.<br>
Il comando '''ifconfig''' permette di specificare molti pi� parametri, ma utilizzando l' indirizzo dell' esempio, questi verranno preconfigurati automaticamente.
Il comando '''ifconfig''' permette di specificare molti più parametri ma, utilizzando l'indirizzo dell'esempio, questi verranno preconfigurati automaticamente.
Per non riscrivere questo comando ad ogni boot, si pu� inserire in /etc/network/interfaces:
Per non riscrivere questo comando ad ogni boot, si può inserire in <code>/etc/network/interfaces</code>:
<pre>
<pre>
auto eth0
auto eth0
Riga 158: Riga 231:
     broadcast 192.168.0.255  
     broadcast 192.168.0.255  
</pre>
</pre>
===Impostare il gateway===
 
Ora bisogna dire ad ogni macchina della lan di instradare tutti i pacchetti diretti verso l'esterno al pc fisicamente collegato ad internet (che fa da router). A tal scopo basta impostare il default gateway:
=== Impostare il gateway ===
Ora bisogna dire ad ogni macchina della LAN di instradare tutti i pacchetti diretti verso l'esterno al PC fisicamente collegato ad internet (che fa da router). A tal scopo basta impostare il ''default gateway'':
<pre>
<pre>
# route add default gw 192.168.0.1
# route add default gw 192.168.0.1
</pre>
</pre>
Per non dover scrivere questo comando ad ogni riavvio, sufficiente aggiungere al file /etc/network/interfaces, subito al di sotto della direttiva ''''broadcast ...'''' la seguente linea:
Per non dover scrivere questo comando ad ogni riavvio, è sufficiente aggiungere al file <code>/etc/network/interfaces</code>, subito al di sotto della direttiva ''''broadcast ...'''' la seguente linea:
<pre>
<pre>
   gateway 192.168.0.1
   gateway 192.168.0.1
</pre>
</pre>


===Impostare il server DNS===
=== Impostare il server DNS ===
Per impostare il server DNS che i nostri PC useranno necessario editare il file '''/etc/resolv.conf''' inserendo la seguente linea:
Per impostare il server [[DNS]] che i nostri PC useranno è necessario editare il file <code>/etc/resolv.conf</code> inserendo la seguente linea:
<pre>nameserver 192.168.0.1</pre>
<pre>nameserver 192.168.0.1</pre>
assicurandoci di scriverlo nella prima riga del file ''(ordine con cui il sistema interroga i DNS identico a quello in cui compaiono in /etc/resolv.conf)''
assicurandoci di scriverlo nella prima riga del file ''(L'ordine con cui il sistema interroga i [[DNS]] è identico a quello in cui compaiono in /etc/resolv.conf)''
===Client Windows�===
 
Per la configurazione di eventuali PC con installato Microsoft� Windows� vi rimandiamo alla Guida in Linea, al sito di supporto ed al vostro rivenditore hardware (che per contratto tenuto a fornirvi assistenza).
=== Client Windows® ===
==Test==
Per la configurazione di eventuali PC con installato Microsoft® Windows® vi rimandiamo alla Guida in Linea, al sito di supporto ed al vostro rivenditore hardware (che per contratto è tenuto a fornirvi assistenza).
Finalmente siamo arrivati al momento di testare la nostra rete domestica.<br>
 
Nei prossimi minuti cercheremo di appurare se i vari elementi che abbiamo predisposto in precedenza sono effettivamente funzionanti e, se non lo sono, per quale motivo.<br>
== Problemi con MTU ==
Per fare questo avremo bisogno di alcuni tra i pi� usati strumenti diagnostici: '''ping''' e '''nslookup''', ma non preoccupatevi: il primo viene installato automaticamente ed il secondo abbiamo provveduto ad installarlo contestualmente a bind.
Può capitare a volte, specialmente con collegamenti ADSL, che l'MTU impostato di default  per le interfacce di rete (1500) non sia appropriato e causi vari malfunzionamenti. Ad esempio, io non riuscivo ad usare wget, ftp, apt-get e irc. Altri hanno riportato di non potere accedere a certi siti.
 
Risolvere questo problema è semplice, basta impostare l'MTU di tutte le interfacce ethernet ad un valore più basso di 1500. A tal scopo basta aggiungere in <code>/etc/network/interfaces</code> una riga apposita:
 
<pre>
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
        mtu 1412
</pre>
 
Questo su tutti i computer della LAN e anche sul PC che funge da router. Se si ha poi una connessione ppp per collegarsi ad internet, sul pc-router bisognerà impostare l'MTU anche per questa interfaccia. Qui la configurazione potrebbe variare a seconda dei casi, ma usualmente è possibile impostare l'MTU in <code>/etc/ppp/options</code> e/o in <code>/etc/ppp/peers/tuo-provider</code>.
 
Riavviando ora tutte le interfacce di rete sia eth0 che ppp, avremo impostato il nuovo valore per l'MTU sperando di aver eliminato i malfunzionamenti.
 
== Test ==
Finalmente siamo arrivati al momento di testare la nostra rete domestica.
 
Nei prossimi minuti cercheremo di appurare se i vari elementi che abbiamo predisposto in precedenza sono effettivamente funzionanti e, se non lo sono, per quale motivo.
 
Per fare questo avremo bisogno di alcuni tra i più usati strumenti diagnostici: '''ping''' e '''nslookup''', ma non preoccupatevi: il primo viene installato automaticamente ed il secondo abbiamo provveduto ad installarlo contestualmente a ''bind''.


===Comunicazione tra router e client===
=== Comunicazione tra router e client ===
Prima di tutto annotiamo l' indirizzo IP del client (in questo esempio: 192.168.0.2).<br>
Prima di tutto annotiamo l'indirizzo IP del client (in questo esempio: 192.168.0.2).
Ora apriamo una shell sul pc che funge da router e digitiamo il comando
 
Ora apriamo una shell sul PC che funge da router e digitiamo il comando:
<pre>
<pre>
$ ping -c 4 192.168.0.2
$ ping -c 4 192.168.0.2
Riga 194: Riga 291:
rtt min/avg/max/mdev = 0.953/1.094/1.417/0.191 ms
rtt min/avg/max/mdev = 0.953/1.094/1.417/0.191 ms
</pre>
</pre>
Per ora non ci interessa il significato dei messaggi a video, ma unicamente il fatto che dal router effettivamente possibile raggiungere (pingare) il client.<br>
 
Possiamo essere certi che � cos� guardando semplicemente le statistiche riassuntive stampate al termine del test: la frase
Per ora non ci interessa il significato dei messaggi a video, ma unicamente il fatto che dal router è effettivamente possibile raggiungere (pingare) il client.
 
Possiamo essere certi che sia così guardando semplicemente le statistiche riassuntive stampate al termine del test, la frase:
 
<pre>4 packets transmitted, 4 received, 0% packet loss, time 3002ms</pre>
<pre>4 packets transmitted, 4 received, 0% packet loss, time 3002ms</pre>
infatti ci informa che abbiamo trasmesso al client 4 pacchetti e che il client li ha ricevuti tutti.
infatti ci informa che abbiamo trasmesso al client 4 pacchetti e che il client li ha ricevuti tutti.


Se cos� non fosse, avremmo avuto un output del tipo
Se così non fosse, avremmo avuto un output del tipo:
<pre>
<pre>
$ ping -c 4 192.168.0.2
$ ping -c 4 192.168.0.2
Riga 212: Riga 313:
, pipe 3
, pipe 3
</pre>
</pre>
Possiamo vedere che il client (192.168.0.2) non raggiungibile (Destination Host Unreachable) dal router (from 192.168.0.1).
Se tutto andato bene passiamo al punto seguente, in caso contrario controlliamo:
*che l' indirizzo del client sia corretto.
*che i cavi di rete siano collegati correttamente;
*che le schede di rete segnalino la presenza del segnale elettrico (ethernel link);
===Comunicazione tra client e router===
Il traffico della nostra rete deve essere necessariamente di tipo bidirezionale: dobbiamo quindi assicurarci che dal client sia possibile raggingere il router.


Ripetiamo le operazioni del punto precedente, questa volta, per�, operando dal client in direzione del router.
Possiamo vedere che il client (192.168.0.2) non è raggiungibile (Destination Host Unreachable) dal router (from 192.168.0.1).
===Risoluzione dei nomi===
Se tutto è andato bene passiamo al punto seguente, in caso contrario controlliamo:
* che l'indirizzo del client sia corretto.
* che i cavi di rete siano collegati correttamente;
* che le schede di rete segnalino la presenza del segnale elettrico (ethernel link);
 
=== Comunicazione tra client e router ===
Il traffico della nostra rete deve essere necessariamente di tipo bidirezionale: dobbiamo quindi assicurarci che dal client sia possibile raggiungere il router.
 
Ripetiamo le operazioni del punto precedente, questa volta, però, operando dal client in direzione del router.
 
=== Risoluzione dei nomi ===
Verifichiamo che il nostro client sia in grado di risolvere i nomi degli host (di qui in seguito [[FQDN]]): questo significa che deve essere in grado di poter identificare un computer presente in internet non solo in base al suo indirizzo IP, ma anche in base ad un nome facilmente memorizzabile.
Verifichiamo che il nostro client sia in grado di risolvere i nomi degli host (di qui in seguito [[FQDN]]): questo significa che deve essere in grado di poter identificare un computer presente in internet non solo in base al suo indirizzo IP, ma anche in base ad un nome facilmente memorizzabile.


Riga 234: Riga 338:
Address: 66.199.227.58
Address: 66.199.227.58
</pre>
</pre>
Possiamo vedere che il server che ci fornisce l' indirizzo 192.168.0.1 e cio� il nostro router e che siamo in grado di risolvere gli FQDN in indirizzi IP. A riprova di questo, se tentiamo di pingare www.debianizzati.org, otterremo il seguente output:
Possiamo vedere che il server che ci fornisce l'indirizzo è 192.168.0.1, cioè il nostro router, e che siamo in grado di risolvere gli FQDN in indirizzi IP. A riprova di questo, se tentiamo di pingare ''www.debianizzati.org'', otterremo il seguente output:
<pre>
<pre>
$ ping -c 2 www.debianizzati.org
$ ping -c 2 www.debianizzati.org
Riga 241: Riga 345:
64 bytes from cp4.idleserv.net (66.199.227.58): icmp_seq=2 ttl=50 time=152 ms
64 bytes from cp4.idleserv.net (66.199.227.58): icmp_seq=2 ttl=50 time=152 ms
</pre>
</pre>
mentre se non fosse possibile associare www.debianizzati.org al corretto IP, leggerremo:
mentre se non fosse possibile associare ''www.debianizzati.org'' al corretto IP, leggeremmo:
<pre>
<pre>
$ ping www.debianizzati.org
$ ping www.debianizzati.org
Riga 247: Riga 351:
</pre>
</pre>


===Navigazione===
== Conclusioni ==
Se siete giunti fino in fondo dovreste essere in grado di condividere la connessione ad internet in semplici LAN domestiche e risolvere i principali problemi che possono insorgere.
 
Se avete idee su come migliorare questa guida, segnalazione di errori e/o proposte non esitate a comunicarle nella pagina di discussione oppure sul [http://www.debianizzati.org forum di debianizzati].


==Conclusioni==
Buona Navigazione!


{{Autori
|Autore = [[Utente:Guide @ Debianizzati.Org|Debianizzati.Org]]
|Estesa_da =
:[[Utente:Keltik|keltik]]
:[[Utente:TheNoise|The Noise]]
|Verificata_da=
:[[Utente:Clockwork orange|Clockwork Orange]]
:[[Utente:HAL 9000|HAL 9000]] 10:40, 7 set 2019 (CEST)
|Numero_revisori = 2
}}


----
[[Categoria:Configurazione ethernet]]
Autore: [[Utente:Guide @ Debianizzati.Org|Debianizzati.Org]]<br>
[[Categoria:Reti con Windows]]
Revisione: [[Utente:Keltik|keltik]]<br>
Revisione: [[Utente:TheNoise|The Noise]]

Versione attuale delle 08:43, 7 set 2019

Debian-swirl.png Versioni Compatibili

Debian 8 "jessie"
Debian 9 "stretch"
Debian 10 "buster"

Premessa

Oggi che la maggior parte degli utenti domestici ha la possibilità di accedere ad Internet con connessioni a banda larga (ad esempio ADSL) e che è sempre più frequente avere a disposizione almeno un paio di computer, si avverte la necessità di poter condividere la connessione tra i vari computer della nostra rete domestica.

GNU/Linux è probabilmente la scelta più indicata in questi frangenti, essendo un sistema operativo nato espressamente in ambiente di rete: moltissimi dei router sul mercato fanno uso di GNU/Linux come sistema operativo, perché non farlo anche noi?

Prerequisiti

Tutto quello di cui abbiamo bisogno è la nostra Debian, una scheda di rete per ciascun PC da collegare alla rete locale ed un hub o switch.

Se avete un collegamento ADSL tramite modem USB e due soli computer, basta collegare le due schede di rete tramite cavetto ethernet cross (incrociato), non serve nient'altro. Uno dei due computer dovrà poi essere connesso ad internet tramite modem USB (vedere Modem e periferiche di rete per l'installazione e la configurazione), oppure tramite una seconda scheda di rete.

Per fare in modo che Debian si comporti come un router avremo bisogno anche di iptables. Vi rimando alla guida Debian e iptables per la sua corretta installazione e configurazione.

Configurazione Router

Per fare in modo che Debian faccia da gateway tra i PC della LAN e internet dobbiamo utilizzare il NAT (Network Address Translation).
Il tipo di NAT che ci interessa in questa guida è chiamato masquerading (mascheramento) degli indirizzi locali.
Il motivo è semplice: per accedere a internet è necessario avere un indirizzo IP di tipo pubblico, che il nostro ISP ci fornisce. Per permettere anche ai computer sprovvisti di indirizzo pubblico di navigare, dobbiamo fare in modo che i loro indirizzi di tipo privato vengano "nascosti" dietro a quello pubblico.

Masquerading

Con privilegi di amministrazione digitiamo il seguente comando:

# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

questo abilita il mascheramento degli indirizzi privati.

Nel caso il computer che fa da router sia collegato ad internet mediante un'altra interfaccia di rete (di solito ethx), al posto di ppp0 va messo il nome di quest'ultima e quindi diventa:

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Per caricare queste regole di iptables ad ogni avvio conviene salvarle una volta e per tutte con iptables-save e caricarle ad ogni avvio con iptables-restore. Questi comandi leggono e scrivono su STDIN e STDOUT quindi bisogna usare la redirezione di shell.

Per salvare le regole correnti di iptables basta scrivere da root:

# iptables-save > /etc/iptables-save

Poi ad ogni avvio dovremo richiamare il seguente comando:

# iptables-restore < /etc/iptables-save

Basta creare uno script in /etc/network/if-up.d/ che esegua tale comando. Per esempio:

# touch /etc/network/if-up.d/restore-iptables

E poi modificare /etc/network/if-up.d/restore-iptables con il proprio editor di testo preferito (per esempio nano):

#! /bin/sh

readonly CONFIG_FILE="/etc/iptables-save"

# execute the script only if $CONFIG_FILE exists
test -f "$CONFIG_FILE" || exit 0

# restore IP tables
printf %s " * Loading iptables saved state... "
iptables-restore < "$CONFIG_FILE" &&
printf %s\\n "[ OK ]"

E renderlo eseguibile:

# chmod a+x /etc/network/if-up.d/restore-iptables

La regola verrà caricata ad ogni avvio del sistema, senza che sia necessario digitarla nuovamente, e solo se il file /etc/iptables-save esiste.

Ip Forwarding

Configurare iptables non è però sufficiente. I comuni PC, infatti, non devono essere in grado di comportarsi come i router e cioè non devono poter instradare pacchetti da una rete all'altra.
Dato che per noi è fondamentale abilitare questa possibilità, dobbiamo agire su un parametro del kernel che regola questa funzione: l' ip-forwarding.

L'ip-forwarding si può abilitare "al volo" semplicemente impostando a "1" la relativa variabile del kernel, con il comando:

# echo 1 > /proc/sys/net/ipv4/ip_forward

così facendo, però, ad ogni riavvio dovremo reimpostare la variabile.

Impostare l'ip-forwarding al boot: /etc/sysctl.conf

Se avete installato ipmasq, l'ip-forwarding è già abilitato: passate alle misure di sicurezza.

Il metodo più semplice, consigliato nella maggior parte dei casi, per impostare l'ip-forwarding ad ogni boot è di inserire in /etc/sysctl.conf:

## Abilita il forwarding di pacchetti non locali - FONDAMENTALE
net/ipv4/ip_forward = 1

In questo caso si abilita unicamente per IPv4; è necessario, se si desidera, abilitarlo anche per IPv6.

È opportuno impostare anche alcune misure di sicurezza (le prime due dovrebbero essere già attive di default):

## Ignora finti messaggi di errore ICMP
net/ipv4/icmp_ignore_bogus_error_responses = 1

## Non risponde ai ping inviati al broadcast della subnet
net/ipv4/icmp_echo_ignore_broadcasts = 1

## Non accetta pacchetti ICMP di route redirection
net/ipv4/conf/all/accept_redirects = 0

## Protezione anti spoofing 
net/ipv4/conf/all/rp_filter = 1

Impostare l'ip-forwarding al boot: script

È possibile anche abilitare l'ip-forwarding associando uno script alla creazione delle interfacce di rete in fase di boot. Questo metodo è consigliato solo in caso di setup più complessi, in cui si vogliono impostare regole diverse a seconda dell'interfaccia di rete che si attiva.

Per prima cosa, apriamo con il nostro editor preferito il file /etc/network/interfaces e cerchiamo la sezione relativa alla nostra scheda di rete.

Dovreste individuare qualcosa di simile a:

auto eth0
iface eth0 inet static
	address 192.168.0.1
	netmask 255.255.255.0
	network 192.168.0.0
	broadcast 192.168.0.255

A questo punto, nella riga immediatamente successiva a "broadcast ...", inseriamo questa direttiva:

auto eth0
iface eth0 inet static
	address 192.168.0.1
	netmask 255.255.255.0
	network 192.168.0.0
	broadcast 192.168.0.255 
        pre-up /etc/network/iface-secure

Questo comando dice allo script, che si occupa di configurare la scheda di rete, di lanciare un altro script, e cioè /etc/network/iface-secure, che provvediamo subito a creare con il comando:

# touch /etc/network/iface-secure

Dopodiché rendiamolo eseguibile e scrivibile per root con:

# chmod 755 /etc/network/iface-secure

All'interno di questo file scriveremo il nostro comando per abilitare l' ip-forwarding:

#! /bin/sh

### Abilita il forwarding di pacchetti non locali - FONDAMENTALE
echo 1 > /proc/sys/net/ipv4/ip_forward

### Ignora finti messaggi di errore ICMP
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

### Non risponde ai ping inviati al broadcast della subnet
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

### Non accetta pacchetti ICMP di route redirection
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

Server DNS

Per poter navigare su internet, è necessario che i PC della nostra rete locale abbiano accesso ad un server DNS che traduca per noi gli indirizzi internet in indirizzi IP.

Un modo per fare questo consiste nell'impostare, per ciascuno dei nostri PC, i server DNS forniti dal nostro provider.

Esiste tuttavia un'alternativa molto più comoda e performante: creare un nostro server DNS ed utilizzarlo in sostituzione di quelli del provider. Questa soluzione porta ad alcuni vantaggi:

  • sui PC della LAN dovremo configurare sempre un solo server DNS immutabile e che conosciamo bene (senza faticose ricerche);
  • i tempi di risposta sono nettamente più performanti rispetto a server esterni alla LAN, sia perché il server è raggiungibile direttamente (senza instradamento attraverso internet), sia perché sfrutta un sistema di cache (se 10 PC chiedono l' indirizzo di debian.org, ad esempio, il nostro DNS effettuerà la richiesta solo la prima volta e per le restanti 9 utilizzerà le informazioni memorizzate nella propria cache);
  • grazie a questo meccanismo di caching i DNS del provider sono meno stressati e quindi più performanti a loro volta.

Per realizzare il nostro server useremo bind, probabilmente il miglior software esistente per questo compito.

Per prima cosa installiamo bind9 ed alcuni strumenti utili:

# apt install bind9 dnsutils

Ora configuriamo il server in modo che faccia le sue richieste ai server DNS che vogliamo noi anziché ai ROOT SERVERS (sono pochi in tutto il mondo, molto stressati e aggiornati più lentamente di altri). Tutto quello che dobbiamo fare è editare la sezione options del file /etc/bind/named.conf.options:

options {
directory "/var/cache/bind";

forward first;
forwarders {
INDIRIZZO IP DNS PRIMARIO; #varia a seconda del provider
INDIRIZZO IP DNS SECONDARIO; #varia a seconda del provider
};

auth-nxdomain no; # conform to RFC1035
};

Ora non ci resta che riavviare bind con il comando:

# service bind9 restart

e configurarlo come DNS sui PC della nostra rete.

Altri Protocolli

FTP

Con la configurazione svolta fino a questo punto dovrebbe essere possibile accedere dai PC della LAN a server FTP esterni in passive mode (se ciò non fosse possibile vedere più avanti: Problemi con MTU).

Se si vuole accedere a server FTP in active mode il router deve tracciare le connessioni FTP, e a tal scopo basta caricare i due moduli:

# modprobe ip_conntrack_ftp
# modprobe ip_nat_ftp

Da questo momento in poi i PC della LAN dovrebbero essere in grado di accedere ai server FTP anche in active mode.

IRC

Dovreste essere in grado di usare IRC senza problemi dai PC della vostra LAN. In caso contrario potreste provare a caricare manualmente i moduli che servono al router per gestire le connessioni ad IRC:

# modprobe ip_conntrack_irc ports=5555,6666,6667,6668,6669,7000 
# modprobe ip_nat_irc

dove, con la direttiva "ports=" indichiamo le porte generalmente utilizzate dai server IRC.

Se avete problemi, leggete più avanti: Problemi con MTU.

Configurazione LAN

Passiamo ora alla configurazione degli altri PC della nostra rete domestica.

Premessa

Generalmente per le reti locali domestiche si utilizzano indirizzi IP del tipo 192.168.0.x, dove x è un numero variabile tra 1 e 254. Questo significa che all'interno della stessa rete possiamo avere fino a 254 indirizzi IP univoci.
Generalmente il router di una rete ha come indirizzo IP il primo o l'ultimo della rete e cioè 192.168.0.1 oppure 192.168.0.254. In questo esempio noi useremo il primo.

Assegnare un IP

Ad ogni PC della LAN si deve assegnare un indirizzo IP per poter comunicare con gli altri PC della rete interna (che nel caso limite è il solo PC che fa da router). Per assegnare un indirizzo IP statico basta usare il comando:

# ifconfig eth0 192.168.0.2 up

dove 192.168.0.2 è l'indirizzo arbitrario che si è scelto per la particolare macchina.
Il comando ifconfig permette di specificare molti più parametri ma, utilizzando l'indirizzo dell'esempio, questi verranno preconfigurati automaticamente. Per non riscrivere questo comando ad ogni boot, si può inserire in /etc/network/interfaces:

auto eth0
iface eth0 inet static
    address 192.168.0.2
    netmask 255.255.255.0
    network 192.168.0.0
    broadcast 192.168.0.255 

Impostare il gateway

Ora bisogna dire ad ogni macchina della LAN di instradare tutti i pacchetti diretti verso l'esterno al PC fisicamente collegato ad internet (che fa da router). A tal scopo basta impostare il default gateway:

# route add default gw 192.168.0.1

Per non dover scrivere questo comando ad ogni riavvio, è sufficiente aggiungere al file /etc/network/interfaces, subito al di sotto della direttiva 'broadcast ...' la seguente linea:

   gateway 192.168.0.1

Impostare il server DNS

Per impostare il server DNS che i nostri PC useranno è necessario editare il file /etc/resolv.conf inserendo la seguente linea:

nameserver 192.168.0.1

assicurandoci di scriverlo nella prima riga del file (L'ordine con cui il sistema interroga i DNS è identico a quello in cui compaiono in /etc/resolv.conf)

Client Windows®

Per la configurazione di eventuali PC con installato Microsoft® Windows® vi rimandiamo alla Guida in Linea, al sito di supporto ed al vostro rivenditore hardware (che per contratto è tenuto a fornirvi assistenza).

Problemi con MTU

Può capitare a volte, specialmente con collegamenti ADSL, che l'MTU impostato di default per le interfacce di rete (1500) non sia appropriato e causi vari malfunzionamenti. Ad esempio, io non riuscivo ad usare wget, ftp, apt-get e irc. Altri hanno riportato di non potere accedere a certi siti.

Risolvere questo problema è semplice, basta impostare l'MTU di tutte le interfacce ethernet ad un valore più basso di 1500. A tal scopo basta aggiungere in /etc/network/interfaces una riga apposita:

iface eth0 inet static
	address 192.168.0.2
	netmask 255.255.255.0
	network 192.168.0.0
	broadcast 192.168.0.255
        mtu 1412

Questo su tutti i computer della LAN e anche sul PC che funge da router. Se si ha poi una connessione ppp per collegarsi ad internet, sul pc-router bisognerà impostare l'MTU anche per questa interfaccia. Qui la configurazione potrebbe variare a seconda dei casi, ma usualmente è possibile impostare l'MTU in /etc/ppp/options e/o in /etc/ppp/peers/tuo-provider.

Riavviando ora tutte le interfacce di rete sia eth0 che ppp, avremo impostato il nuovo valore per l'MTU sperando di aver eliminato i malfunzionamenti.

Test

Finalmente siamo arrivati al momento di testare la nostra rete domestica.

Nei prossimi minuti cercheremo di appurare se i vari elementi che abbiamo predisposto in precedenza sono effettivamente funzionanti e, se non lo sono, per quale motivo.

Per fare questo avremo bisogno di alcuni tra i più usati strumenti diagnostici: ping e nslookup, ma non preoccupatevi: il primo viene installato automaticamente ed il secondo abbiamo provveduto ad installarlo contestualmente a bind.

Comunicazione tra router e client

Prima di tutto annotiamo l'indirizzo IP del client (in questo esempio: 192.168.0.2).

Ora apriamo una shell sul PC che funge da router e digitiamo il comando:

$ ping -c 4 192.168.0.2
PING 192.168.0.2 (192.168.0.2) 56(84) bytes of data.
64 bytes from 192.168.0.2: icmp_seq=1 ttl=255 time=1.41 ms
64 bytes from 192.168.0.2: icmp_seq=2 ttl=255 time=0.953 ms
64 bytes from 192.168.0.2: icmp_seq=3 ttl=255 time=0.988 ms
64 bytes from 192.168.0.2: icmp_seq=4 ttl=255 time=1.02 ms

--- 192.168.2.0 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 0.953/1.094/1.417/0.191 ms

Per ora non ci interessa il significato dei messaggi a video, ma unicamente il fatto che dal router è effettivamente possibile raggiungere (pingare) il client.

Possiamo essere certi che sia così guardando semplicemente le statistiche riassuntive stampate al termine del test, la frase:

4 packets transmitted, 4 received, 0% packet loss, time 3002ms

infatti ci informa che abbiamo trasmesso al client 4 pacchetti e che il client li ha ricevuti tutti.

Se così non fosse, avremmo avuto un output del tipo:

$ ping -c 4 192.168.0.2
PING 192.168.0.1 (192.168.0.2) 56(84) bytes of data.
From 192.168.0.1 icmp_seq=1 Destination Host Unreachable
From 192.168.0.1 icmp_seq=2 Destination Host Unreachable
From 192.168.0.1 icmp_seq=3 Destination Host Unreachable
From 192.168.0.1 icmp_seq=4 Destination Host Unreachable

--- 192.168.0.2 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 2998ms
, pipe 3

Possiamo vedere che il client (192.168.0.2) non è raggiungibile (Destination Host Unreachable) dal router (from 192.168.0.1). Se tutto è andato bene passiamo al punto seguente, in caso contrario controlliamo:

  • che l'indirizzo del client sia corretto.
  • che i cavi di rete siano collegati correttamente;
  • che le schede di rete segnalino la presenza del segnale elettrico (ethernel link);

Comunicazione tra client e router

Il traffico della nostra rete deve essere necessariamente di tipo bidirezionale: dobbiamo quindi assicurarci che dal client sia possibile raggiungere il router.

Ripetiamo le operazioni del punto precedente, questa volta, però, operando dal client in direzione del router.

Risoluzione dei nomi

Verifichiamo che il nostro client sia in grado di risolvere i nomi degli host (di qui in seguito FQDN): questo significa che deve essere in grado di poter identificare un computer presente in internet non solo in base al suo indirizzo IP, ma anche in base ad un nome facilmente memorizzabile.

Facciamo subito un esempio usando come riferimento il FQDN www.debianizzati.org.

# nslookup www.debianizzati.org
Server:         192.168.0.1
Address:        192.168.0.1#53

Non-authoritative answer:
Name:   www.debianizzati.org
Address: 66.199.227.58

Possiamo vedere che il server che ci fornisce l'indirizzo è 192.168.0.1, cioè il nostro router, e che siamo in grado di risolvere gli FQDN in indirizzi IP. A riprova di questo, se tentiamo di pingare www.debianizzati.org, otterremo il seguente output:

$ ping -c 2 www.debianizzati.org
PING www.debianizzati.org (66.199.227.58) 56(84) bytes of data.
64 bytes from cp4.idleserv.net (66.199.227.58): icmp_seq=1 ttl=50 time=153 ms
64 bytes from cp4.idleserv.net (66.199.227.58): icmp_seq=2 ttl=50 time=152 ms

mentre se non fosse possibile associare www.debianizzati.org al corretto IP, leggeremmo:

$ ping www.debianizzati.org
ping: unknown host www.debianizzati.org

Conclusioni

Se siete giunti fino in fondo dovreste essere in grado di condividere la connessione ad internet in semplici LAN domestiche e risolvere i principali problemi che possono insorgere.

Se avete idee su come migliorare questa guida, segnalazione di errori e/o proposte non esitate a comunicarle nella pagina di discussione oppure sul forum di debianizzati.

Buona Navigazione!




Guida scritta da: Debianizzati.Org Swirl-auth60.png Debianized 60%
Estesa da:
keltik
The Noise
Verificata da:
Clockwork Orange
HAL 9000 10:40, 7 set 2019 (CEST)

Verificare ed estendere la guida | Cos'è una guida Debianized