Poskytovatel přenese jen neNATovaný provoz

ManNerd

Poskytovatel přenese jen neNATovaný provoz
« kdy: 01. 08. 2014, 14:58:55 »
Ahoj,

mel bych takovy dotaz. Mam providera, ktery mi do me vnitrni site dava po ethernetovem kabelu subnet 192.168.1.0/24. Pokud k nemu pripojim jakekoliv klientske zarizeni (pocitac, atd.), dam si IP z jeho rozsahu a pouziji jeho GW (192.168.1.1) jako svou gefault GW, vse funguje jak ma (ping, http provoz, ftp, atd.).

Totez, pokud mezi sve PC a jeho gateeway pripojim zarizeni, ktere pracuje pouze na L2 (switch, APcko v bridge modu).

Problem nastane, pokud dam do sve site cokoliv, co provoz ode me NATuje (treba ja jsem se svym PC v siti 192.168.2.0/24 a NATuji packety na 192.168.1.0/24, ktere mu predavam na jeho GW IP 192.168.1.1). Od tohoto okamziku projde pres providera pouze ping, traceroute, ale provoz z vyssich vrstev, nez L3 neprojde.
Tusim, ze ma zapnute nejake nastaveni na jeho vnitrnim interface, ale netusim co. Neni mi jasny rozdil mezi packetem, ktery vygeneture moje klientske PC a da mu ho primo a timtez packetem, ktery pouze projde routerem a na vystupu se provede NAT tak, aby mel packet SRC IP z rozsahu 192.168.1.0/24.
Proveder pouziva nejaky routerboard od MikroTiku. V mem routeru problem nebude, uz jsem jich zkousel vic (i v jinych sitich), kde funguji bez problemu.
Diky za pripadny tip.
« Poslední změna: 04. 08. 2014, 11:29:08 od Petr Krčmář »


ManNerd

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #1 kdy: 01. 08. 2014, 15:05:24 »
Ooops, omlouvam se za nesmyslne preklepy, psano v poklusu. :-)

anonym

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #2 kdy: 01. 08. 2014, 15:05:52 »
zkus si pohrat s TTL

ManNerd

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #3 kdy: 01. 08. 2014, 17:35:36 »
@anonymous:
Diky za odpoved, ale mohl bys s tim TTLkem byt prosim trochu konkretnejsi? Mozna uvazuju, nebo ten mechanismus chapu spatne, ale:

Napr. Win klient defaultne u TCP packetu generuje TTL=128.
Pruchodem pres kazdy router by se mel TTL snizit o 1. Pokud se snazim pristoupit k cili, ktery je ode me cca 20 hopu(coz zkousim), tak nemam sanci TTL vycerpat. Nebo to chapu spatne?

Predtim jsem to neuvedl, ale takhle ta komunikace zhruba vypada. Muze byt tedy tou pricinou nizky TTL?

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #4 kdy: 01. 08. 2014, 17:53:04 »
To byl dobrej tip, nejde o to, že by se vyčerpal počet, ale někteří poskytovatelé tak zjišťují, jestli uživatel
nesdílí připojení a ten provoz poté zahazují. Zvednul bych experimentálně o jedna.
„Řemeslo se naučí každý. Umění nikdo.“
„Jednoduchost je nejvyšší úroveň sofistikovanosti.“
- Leonardo Da Vinci


ManNerd

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #5 kdy: 01. 08. 2014, 19:00:56 »
Aha, diky za vysvetleni. V tomhle to ale nebude, ted jsem to zkousel a muzu mit TTL prakticky libovolny, nahoru i dolu od defaultnich hodnot a nic se nezmeni. Zkousel jsem to i na klientovi, ktery funguje, protoze je pripojeny naprimo do toho subnetu providera (192.168.1.0/24) a i tam muzu s TTLkem menit co chci nahoru i dolu (TTL jsem overoval i wiresharkem), ale kiksne to, az dam TTL fakt nizkou hodnotu, ktera je nizsi, nez pocet hopu k tomu serveru. :-(
Moc mi k tehle teorii nehraje ani to, ze mi provider pousti domu cely /24 subnet a muzu si tam z DHCP vzit kolik adres chci. Ale diky za tip.

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #6 kdy: 01. 08. 2014, 20:13:32 »
Pak mi ještě napadá zkusit raději úplně jiný rozsah. Neexistuje ten 192.168.2.0/24 přímo v jeho síti také?
Pak by čistě teoreticky se ta adresa mohla objevit na WAN rozhraní s jinou MAC adresou.

Co takhle 10.x.x.x nebo 172.24.16.x pro klid duše.
„Řemeslo se naučí každý. Umění nikdo.“
„Jednoduchost je nejvyšší úroveň sofistikovanosti.“
- Leonardo Da Vinci

luk

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #7 kdy: 01. 08. 2014, 21:59:34 »
Když projde traceroute, jaký je výsledek ICMP traceroute na 8.8.8.8? Zajímají mě první tři hopy. To napoví daleko více o síti providera než cokoliv jiného.
Dále - zřejmě jsi před jeden NAT vsadil další NAT, a to ne vždy a ne všude dokáže spolehlivě fungovat. Prostě nedokáže. Nevím, jak moc zde zabředávat do teorie, jak funguje NAT (PAT, SNAT), takže nechám u konstatování, že vkládat jakýkoliv NAT do sítě, o které jinak vůbec nic nevím (= nevím, kolik dalších a jakých NATů v ní je), není úplně rozumné a často to vede ke stavu, jaký jsi popsal.

A poslední věc - může konkretizovat, na co přesně potřebuješ NATovat v síti, ve které máš 254 adres od ISP?

ManNerd

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #8 kdy: 02. 08. 2014, 00:22:11 »
@Jan Forman: Nene, tim to neni, zkusil jsem prenastavit vnitrni sit na 10.1.1.0/24 a tentyz vysledek. Ono by to ona nemelo mit vliv, po SNATu je v odchozim paketu stejne zdrojova IP z rozsahu 192.168.1.0/24, z puvodniho packetu by se mela zmenit pouze src IP a sekvencni cislo paketu.

@luk: Ty tracerouty jsem zkousel jak ICMP, tak UDP.
Vysledek prepisu, na tom testovacim prostredi mi nejde net :-)

Takze ty pocatecni HOPy jsou:

10.1.1.1 odezva je OK jak UDP tak ICMP (moje vnitrni eth na routeru - v puvodnim postu jako 192.168.2.1)
192.168.1.1 odezva je OK pouze u ICMP, UDP neprojde (toto je klientska eth providera)
172.22.132.1 odezva je OK jak UDP tak ICMP
172.22.128.1 odezva je OK jak UDP tak ICMP
atd...

Na tom routeru providera, kde je eth rozhrani 192.168.1.1 SNAT bezi, myslim si. Proc by nemely fungovat dva SNATy za sebou? Principielne by to nemel byt problem podle me. Budu rad za jakekoliv nastineni problematickeho scenare. Provozuju tyhle typy konfigurace celkem bezne na ruznych mistech a technologiich a nikde jsem zatim problem nemel, krome tohoto jednoho.
Vice subnetu potrebuji kvuli oddeleni ruznych typu zarizeni (jejich urceni). Na to se routovane subnety hodi pomerne dobre.


anonym

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #9 kdy: 02. 08. 2014, 03:26:24 »
to je fakt dost podivny

schvalne vem ping z primo pripojenyho stroje a ping ze stroje za NATem (kterej upravuje TTL). podle toho co rikas jeden dostane odpoved a druhej ne, ale podle me by mely bejt uplne stejny (pokud ten primo pripojenej stroj dela ten NAT)

Lol Phirae

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #10 kdy: 02. 08. 2014, 08:18:10 »
10.1.1.1 odezva je OK jak UDP tak ICMP (moje vnitrni eth na routeru - v puvodnim postu jako 192.168.2.1)
192.168.1.1 odezva je OK pouze u ICMP, UDP neprojde (toto je klientska eth providera)
172.22.132.1 odezva je OK jak UDP tak ICMP
172.22.128.1 odezva je OK jak UDP tak ICMP
atd...

Takže je tam aktuálně (minimálně) trojitej NAT, jo? No, já bych šel hledat nového ISP.  ::)

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #11 kdy: 02. 08. 2014, 09:01:37 »
Tak tak...
Skoro bychom asi chtěli vidět tu trasu celou, tohle opravdu působí extrémně a obvykle už dvojitý NAT na protokolech, které potřebujou nějakou podporu už nefunguje.
Je to hlavně SIP, FTP, RTSP a VPNky apod. tam jsme všichni rádi, že to proleze jedním :)

10.1.1.1 odezva je OK jak UDP tak ICMP (moje vnitrni eth na routeru - v puvodnim postu jako 192.168.2.1)
192.168.1.1 odezva je OK pouze u ICMP, UDP neprojde (toto je klientska eth providera)
172.22.132.1 odezva je OK jak UDP tak ICMP
172.22.128.1 odezva je OK jak UDP tak ICMP
atd...

Takže je tam aktuálně (minimálně) trojitej NAT, jo? No, já bych šel hledat nového ISP.  ::)
„Řemeslo se naučí každý. Umění nikdo.“
„Jednoduchost je nejvyšší úroveň sofistikovanosti.“
- Leonardo Da Vinci

student

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #12 kdy: 02. 08. 2014, 09:08:15 »
10.1.1.1 odezva je OK jak UDP tak ICMP (moje vnitrni eth na routeru - v puvodnim postu jako 192.168.2.1)
192.168.1.1 odezva je OK pouze u ICMP, UDP neprojde (toto je klientska eth providera)
172.22.132.1 odezva je OK jak UDP tak ICMP
172.22.128.1 odezva je OK jak UDP tak ICMP
atd...

Takže je tam aktuálně (minimálně) trojitej NAT, jo? No, já bych šel hledat nového ISP.  ::)
To je rada! Moj ISP je na tom podobne, ale ked nechcem pouzivat velmi nestabilny mobilny internet (signal je slaby), tak nemam na vyber.

Skus sniffnut, co sa deje pri nadvazovani TCP spojenia bez NATu a s NATom. Idealne na nejaky server vonku, kde sniffnes to iste, ale z druhej strany. Potom pohladaj, co chyba a ci si nedostal nejake vysvetlujuce ICMP.

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #13 kdy: 02. 08. 2014, 09:42:38 »
Nechápu, proč prostě nezvedneš telefon a svého ISP se nezeptáš. Jaký má smysl nad tím dumat?

Lol Phirae

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #14 kdy: 02. 08. 2014, 09:47:40 »
Nechápu, proč prostě nezvedneš telefon a svého ISP se nezeptáš. Jaký má smysl nad tím dumat?

Taky tomu přestávám rozumět. Lidi už se úplně zbláznili. Viz např. sousední vlákno ohledně zjevně vadného "business" notebooku.