venerdì 7 aprile 2017

La Vodafone Station Revolution filtra il dest-NAT di HTTPS su porte non standard

Bisogna sempre diffidare degli ISP che non fanno gli ISP e che limitano l'utilizzo della connessione a ciò che vogliono, impedendo l'utilizzo di router del cliente.

E' il caso di Fastweb e di Vodafone che obbligano i clienti ad utilizzare i loro apparati e negano la comunicazione dei parametri di connessione ai clienti.

Poi, il momento in cui si ha bisogno di una DMZ, di una VPN, di un collegamento LAN 2 LAN arriva sempre per un'azienda e li viene fuori l'impedimento di usare la propria connessione come si vuole, come tecnicamente possibile.

Oggi ho perso ben 2 ore dietro quest'ennessima forzatura.

Cliente con Vodafone station Revolution, che deve pubblicare un server HTTPS su porta non standard, per evidenti ragioni di sicurezza.
Il port mapping sulla VSR funziona egregiamente, per qualsiasi protocollo tranne che HTTPS.
Per HTTPS si è obbligati ad usare la porta 443 altrimenti viene filtrato.

Questo bug ovviamente limita anche ad uno il numero dei server HTTPS pubblicabili.

Il server HTTPS non può neanche essere messo su una DMZ con subnet separata, perchè la seconda rete della VSR è utilizzata dal WIFI ospiti.