Ciao
Da connessioni MAN FW (Residenziali/SOHO e PMI senza opzioni Address)
funzionano senza problemi servizi VoIP su protocollo SIP in modalita'
NAT traversal, appoggiandosi a STUN Server oppure a X-Tunnel, sia
utilizzando client SIP software che adattatori HW per il collegamento di
apparecchi telefonici o terminali VoIP.

La maggioranza degli operatori VoIP consumer offre linee su protocollo
SIP con supporto STUN e, qualora non indichi propri STUN Server, e'
possibile appoggiarsi a STUN server pubblici e.g. stun.softjoys.com o
altri indicati su :
==
- http://www.voip-info.org/wiki-STUN

I problemi reali si hanno semmai con servizi VoIP su protocollo H.323
(e.g. Parla.it). In tal caso per effettuare/ricevere chiamate H.323 da
un sistema su connessione MAN FW senza IP Pubblico associato (IPPD per
utenze Residenziali/SOHO - Opzione Address per utenze PMI) e' necessario
l'appoggio ad un sistema su IP Pubblico con funzioni di H.323 Gatekeeper
Proxy per la gestione delle chiamate in uscita/ingresso.

Se non si dispone della possibilita' di realizzare autonomamente un
tale sistema - usando p.es. GnuGK http://www.gnugk.org/ - e' necessario
ricorrere a tali servizi offerti da provider terzi (generalmente a
pagamento) sempre che non sia incluso nell'offerta dell'operatore VoIP
H.323 scelto.

Esistono anche sistemi/appliance proprietari come quelli IXC, che
consentono di effettuare traffico VoIP H.323 con sistemi dietro NAT
non modificabile dall'utente -> ulteriori info sull'interoperabilita'
VoIP in scenari NAT sono comunque disponibili su :
==
- http://www.voip-info.org/wiki/view/NAT+and+VOIP

Ciao
Quello che rilevi corrisponde al mancato VPN passthrough in uscita dalla
rete FW a livello di protocollo IP dei pacchetti, che e' peraltro
presente non solo con IPSec ESP (IP 50) ma anche con GRE (IP 47).

Tale e' infatti il motivo per cui non sono effettuabili connessioni PPTP
base/standard da utenze MAN FW, mentre lo sono senza problemi da scenari
NAT Hidden/Dynamic M-1 con PPTP/GRE Passthrough.

Usando IPSec NAT-T - ESP, oltre all'utilizzo di UDP Encapsulation per
ESP cambia quindi anche la gestione IKE :
==
http://www.isaserver.org/articles/IPSec_Passthrough.html
http://www.microsoft.com/technet/community/columns/cableguy/cg0802.mspx
==
proprio per far fronte a scenari problematici causati dal NAT e/o dalla
gestione lato rete di IPSec Passthrough.
In tal caso tu non utilizzi infatti la policy automatica IPSec degli OS
Windows in associazione all'accesso remoto via L2TP, visto che l'hai
disabilitata a livello di registro di sistema & hai definito manualmente
dalla console snap-in MMC un apposito criterio di protezione tramite
chiave condivisa per gestire autenticazione/negoziazione a livello di
protezione del trasporto.

Qualora questo non venga fatto in uno scenario NO IPSec NAT-T con client
su connessione MAN FW, l'accesso tramite L2TP fallisce = non viene
infatti stabilita la protezione del trasporto, per cui non viene avviato
PPP per effettuare la negoziazione del tunnel L2TP.
Quel qualcuno era un'utenza Fibra MAN Milano, che mi aveva segnalato
in realta' di essere riuscito ad effettuare una connessione PPTP
base/standard (crittografia MPPE) dal suo sistema Windows XP SP2 su
connessione residenziale FW.

Tuttavia, le varie verifiche eseguite prima da te e successivamente dal
sottoscritto nella prima settimana di Dicembre avevano nuovamente
confermato che tale tipologia di accesso protetto non era effettuabile
a livello globale di MAN FW, in virtu' sempre del blocco a livello di
PPTP/GRE passthrough.

Inoltre l'utente che aveva fatto tale segnalazione non ha mai risposto
alle mie email dove gli chiedevo di fornire ulteriori dettagli ;).

Ciao,
<cut>
l'importante e' utilizzare ESP come protocollo e non AH se utilizzi il
Transport mode. AH infatti autentica anche l'header del protocollo IP,
mentre ESP autentica solo il payload. Quindi, visto che il NAT modifica
l'header, se usi AH il server esterno rifiutera' sempre tutti i pacchetti.
Nei vari clients l'opzione ESP di solito e' indicata come "enable NAT" o
qualcosa di simile.
Altra possibilita' e' utilizzare la modalita' tunnel con TCP come
protocollo di trasporto e non UDP. Se usi TCP il NAT router e' in grado
di comprendere la sessione e quindi puo' permettere i pacchetti di
ritorno con maggiore probabilita' di successo.
Ovviamente per funzionare tutto quanto e' necessario che il server
supporti le varie modalita' di autenticazione. Cioe' se l'IT manager ha
deciso che il protocollo di auth e' solo AH in transport mode, allora
non c'e' niente da fare.


Ciao
Marco


Ciao
Marco

Qualcuno c'è riuscito (dice) a quanto pare,non ricordo proprio,
interpondendo un router o qualche tecnica simile.Era su fibra .
Se fai delle ricerche forse proprio su vecchi post di questo news trovi
l'argomento.
Esatto, bruttissima ma possibile

Ciao
Il Wake On Wan diretto puo essere fatto senza reali intoppi direttamente
sul computer da accendere da remoto solo su connessioni con IP Pubblico
statico & senza filtri a livello di rete del provider per quanto
riguarda l'invio in broadcast di alcuni datagrammi UDP (allo scopo di
proteggere la rete da eventuali smurf o denial of service) -> vedasi
capitolo 2.8.7 delle FAQ citate in firma.

Altrimenti, pur in assenza di filtri UDP Broadcast sulla rete del
provider, e' richiesto un maggior impegno di configurazione -> cio' vale
sia per le connessioni di altri provider con IP pubblici dinamici che
(maggiormente) per quelle FW.

Si rende infatti necessaria la presenza di un apparato acceso/associato
ad un IP pubblico per l'inoltro del magic packet WOL -> tale apparato
puo essere un altro computer oppure un router, e l'IP puo esservi
assegnato direttamente oppure associato ad un altro host.

L'associazione puo essere effettuata tramite tunnel VPN o SSH, oppure
tramite NAT/PAT diretto su rete FW con un IP Pubblico FW, vedansi IP
Pubblico IPPD per le utenze residenziali/SOHO e opzioni Address per le
utenze Business/Aziendali.

A meno che si stia usando un router che preveda la funzione di WOL
Proxy con l'indicazione del MAC Address del client LAN da 'svegliare',
e' necessario definire il port-forward verso l'indirizzo di broadcast
della subnet LAN dei client per le connessioni in ingresso su una o due
porte UDP (a seconda che sul sistema di inoltro sia consentito il
traffico Subnet Directed Broadcast).

Antonio Martino p.es. aveva indicato ad Aprile 2006 il successo in uno
scenario con IPPD attivato da remoto per un suo computer previamente
registrato, usando :
==
- MC-WOL come WOL client - http://www.matcode.com/wol.htm
- Router con Subnet Directed Broadcast consentito
- Impostazione inoltro UDP 65535 su IP broadcast della sua LAN *.*.*.255
- Ulteriori info su http://tinyurl.com/22npsx

Negli anni precedenti (ved. FAQ) io ho invece preferito evitare l'uso di
client software, concentrandomi sull'utilizzo di pagine web per
l'accensione da remoto di sistemi prima associati ad IP Pubblici via
tunnel protetti (SSH e VPN) e successivamente via NAT/PAT -> questa e'
p.es. una configurazione funzionante :
==
- Pagina web WOL over Internet - http://www.dslreports.com/wakeup
- Inoltro porta UDP 9 su IP broadcast LAN RFC-1918
- Inoltro porta UDP 32767 su IP broadcast LAN RFC-1918
Decisamente WOR, che puo essere anche effettuato non necessariamente
impegnando la linea fonia FW = e' infatti possibile usare a tal scopo un
adattatore ATA VoIP configurato p.es. con i parametri SIP + Stun del
servizio FreeNumber di Messagenet (servizio gratuito per la sola
ricezione).

In questo modo si evitano accensioni indesiderate in seguito a chiamate
in ingresso sulla linea fonia FW.