Accesso remoto al Network Attached Storage

Gli utenti che vorrebbero rendere disponibile il proprio sistema NAS (Network Attached Storage) come home server via Internet, incorrono in un problema, se si trovano in una rete con un indirizzo IPv4. A differenza del nuovo standard IPv6, il diffusissimo protocollo Internet di quarta versione si caratterizza per una netta divisione dello spazio di indirizzamento pubblico e privato. In questo contesto il vostro router viene usato come istanza comunicativa, infatti i moderni dispositivi offrono funzioni per compensare la mancanza di una connessione end-to-end, ma per fare ciò sono necessari più passaggi.

Rappresenta un altro ostacolo la divisione obbligatoria imposta dal vostro Internet Service Provider (ISP): le reti domestiche sono generalmente connesse a Internet tramite indirizzi IP dinamici, che quindi cambiano giornalmente e vengono assegnati casualmente. Ma come si accede ad una rete in cui l’indirizzo cambia continuamente? Ve lo spieghiamo in questo articolo.

La divisione tra spazio di indirizzamento pubblico e privato è un meccanismo di difesa affidabile, che protegge i dispositivi locali in una rete domestica o aziendale da accessi indesiderati su Internet. Invece lo svantaggio maggiore consiste nel fatto che gli accessi desiderati sono possibili solo se è presente una corrispondente configurazione del router, che viene utilizzato come intermediario tra entrambi gli spazi di indirizzamento.

• Indirizzi IP pubblici: ogni router riceve dall’ISP competente un indirizzo IP pubblico che lo collega ad Internet e viene utilizzato come mittente nelle richieste al server. La maggior parte degli utenti, privati e non, dispongono di un IP pubblico dinamico e ciò significa che l’indirizzo viene assegnato casualmente al router e solo per un preciso periodo di tempo (per circa 24 ore). Però per poter connettersi in remoto ad Internet, serve un indirizzo statico, che rimanga sempre uguale, e per questo si sono affermate tecniche come il Dynamic DNS (DDNS), con cui si collegano gli indirizzi IP dinamici a domini che rimangono invariati.
• Indirizzi IP privati: se si guarda la struttura di una Local Area Network (LAN), che collega ad una rete domestica o aziendale diversi dispositivi, si ritrovano anche qui gli indirizzi IP, che servono solo per la comunicazione interna nella LAN e sono assegnati automaticamente da un server DHCP (Dynamic Host Configuration Protocol) sul router e collegano tra di loro i singoli componenti hardware della rete, come PC, tablet, smartphone o home server. Si parla perciò anche di IP della LAN. Non è possibile un accesso diretto all’indirizzo IPv4 del NAS da Internet, perché gli indirizzi privati non sono instradabili dal router. Invece, il router, che in qualità di singola istanza possiede solo un indirizzo IP pubblico, deve essere configurato in modo che gli accessi dal sistema NAS vengano direttamente inoltrati al suo indirizzo IP privato della LAN. Nel migliore dei casi questo processo funziona se ai dispositivi di rete con servizi server, viene assegnato un indirizzo IP statico della LAN.

Se un dispositivo della LAN volesse interagire con Internet, la connessione avviene solo tramite router, che accoglie le richieste del server (ad esempio all’apertura di un sito) provenienti dalla rete locale e le utilizza con un proprio indirizzo IP pubblico nella destinazione relativa nel World Wide Web. Se questo risponde e rinvia un pacchetto, il router si occupa di inoltrarlo al mittente originario nella LAN. La distribuzione dei pacchetti IP nella rete locale avviene nell’IPv4 tramite una componente del router, chiamata NAT (Network Address Translation).

Se invece un router rilevasse pacchetti in entrata, che non sono stati richiesti esplicitamente da un dispositivo della LAN, verranno direttamente respinti per questioni di sicurezza e ciò vale anche per accessi autorizzati al NAS, a patto che non sia stato configurato un port forwarding per accessi di questo tipo. 

Per rendere disponibile in Internet il NAS, sono essenzialmente necessari tre passaggi con i quali si possono superare gli ostacoli citati: una volta identificato l’indirizzo IP interno del vostro sistema NAS, aprite le porte per l’accesso da Internet e utilizzate il servizio DDNS per fare in modo che il vostro router, malgrado disponga di un indirizzo IP pubblico dinamico per le richieste, rimanga comunque raggiungibile da Internet.

1. Identificare l’indirizzo IP fisso per il sistema NAS

Gli indirizzi IP interni della rete vengono assegnati dal server DHCP del vostro router. Generalmente ad ogni dispositivo di rete è associato sempre lo stesso indirizzo e il vostro router salva in aggiunta l’indirizzo MAC del dispositivo di rete insieme all’indirizzo IP fisso assegnato precedentemente. Solitamente si verifica un’assegnazione dinamica degli indirizzi IP all’interno di una rete locale, solo se la vostra rete domestica o aziendale comprende più dispositivi di rete rispetto a quanti indirizzi IP vengono messi a disposizione sul router.

Per rilevare l’indirizzo IP di un sistema NAS, andate sull’interfaccia utente del vostro router e fatevi mostrare tutti i dispositivi collegati alla rete. Il router AVM FRITZ!Box, una serie molto diffusa, mette ad esempio a disposizione la voce del menu “Rete domestica“, da dove rilevate l’indirizzo IP interno del sistema NAS da annotare per svolgere il prossimo passaggio della configurazione. Se il sistema NAS si trova in una rete aziendale, dove i dispositivi di rete superano il numero degli indirizzi IP interni disponibili per il vostro router, si consiglia di impedire esplicitamente l’assegnazione di un nuovo indirizzo IP per il vostro NAS. Nel AVM FRITZ!Box cliccate quindi sul pulsante “Modifica“, accanto all’indirizzo IP del vostro sistema NAS, e scegliete l’opzione “Assegnare a questo dispositivo di rete sempre lo stesso indirizzo IPv4”.

2. Aprire le porte per l’accesso remoto

Per permettere l’accesso remoto al NAS è necessario che il firewall sul vostro router sia configurato in modo da poter accogliere precise richieste da Internet.

Per proteggere la vostra rete domestica da accessi indesiderati, sul vostro router è presente un filtraggio dei pacchetti, che fa passare di default solamente i pacchetti che sono stati richiesti dai dispositivi nella vostra LAN. Se invece voleste accedere al vostro sistema NAS quando siete in giro, per scaricare i dati o per immagazzinarli nel NAS, dovete definire delle eccezioni nelle regole. Altrimenti anche accessi simili non vengono iniziati internamente e verrebbero quindi rifiutati dal router per motivi di sicurezza. Se si aprono le porte del firewall per specifici servizi, come quelli FTP (File Transfer Protocol) o SSH (Secure Shell), si parla di port forwarding, che potete impostare nell’interfaccia utente del vostro router. Aprite quindi la porta corrispondente per il servizio desiderato (ad esempio FTP) e configurate un inoltro al sistema NAS.

I NAS moderni dispongono generalmente di un server FTP integrato, che (basta che ci sia una connessione ad Internet) possono rispondere alle richieste di client FTP come FileZilla o WinSCP e consentono così un pratico scambio di dati con i diversi dispositivi.

Teoricamente sono a disposizione per la comunicazione di rete 65.536 porte, tra cui quelle da 0 a 1023 sono assegnate da IANA (Internet Assigned Numbers Authority) come porte standard per specifici protocolli o applicazioni: ad esempio il server FTP del vostro router accetta richieste da Internet generalmente sulla porta 21. Per consentirne l’accesso, dovete aprire le corrispettive porte e configurare un inoltro dei pacchetti in entrata all’IP fisso della LAN del vostro Network Attached Storage. Nell’interfaccia di amministrazione del vostro router alla voce “Port forwarding” (chiamata anche “Port mapping” a seconda del tipo di router in uso) si trovano 4 parametri standard indispensabili:

• La porta del router che deve essere aperta (a seconda del dispositivo e del produttore, chiamata anche “Public port“, “External port” o “Inbound Service”);
• L’indirizzo privato del dispositivo di rete al quale i pacchetti devono essere inoltrati (chiamato anche “IP privato” o “IP interno”);
• La porta dalla quale il dispositivo di rete deve accettare i pacchetti (“Porta privata” o “Porta interna”);
• Il tipo di protocollo che deve essere utilizzato per la trasmissione dei dati (“Type”).

Per consentire la comunicazione con il server FTP del sistema NAS via Internet, inserite rispettivamente sia per la porta pubblica del router sia per la porta privata nel NAS la porta 21. Come indirizzo IP privato utilizzate l’IP fisso della LAN, che avete comunicato nel primo passaggio per il NAS. Così facendo il vostro router viene avvisato di inoltrare automaticamente le richieste e i pacchetti provenienti dalla rete che arrivano alla porta 21 alla porta omonima del vostro NAS. Per arrivare ad un’interazione di questo tipo, i client in rete devono sapere a quale indirizzo è raggiungibile il vostro router. Nel passaggio 3 bisogna perciò definire un indirizzo che può essere sempre contattato.   

3. Configurare un servizio di Dynamic DNS

Un metodo consolidato per rendere raggiungibile un router permanentemente via Internet è offerto dal Dynamic DNS, un servizio di intermediazione che viene messo a disposizione su Internet, a volte anche gratuitamente. Per utilizzare il Dynamic DNS, registratevi presso un fornitore DDNS e configurate una sorta di pseudo-dominio, che devia automaticamente tutte le richieste sull’indirizzo IP dinamico attuale del router. Il principio alla base è il seguente: quando il vostro router riceve da un ISP un nuovo indirizzo IP dinamico, il cambio di indirizzo viene automaticamente comunicato al servizio DNS, dove viene collegato l’indirizzo IP dinamico con uno pseudo-dominio statico. Per accedere via Internet al Network Attached Storage, dovete così conoscere solo l’indirizzo Internet statico e non l’IP che cambia giornalmente.