Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: myxal 20. 03. 2018, 11:50:35
-
Zdravicko.
Ma niekto skusenosti, ako funguje IPv4 konektivita "po novom (http://www.dsl.sk/article.php?article=20866&title=)" na optike od Orangu? (Ci tam je tiez PCP ako u DSL, a pripadne ci je vyuzitelne aj s UPnP-IGD-kompatibilnymi aplikaciami).
-
Ja mam VDSL a zatial IPv4 (chvalabohu).
OT: DS-lite funguje tak, ze zakaznik ma nativnu IPv6, cize v ziadnom pripade nevidi zvysok sveta na IPv4. Ak existuje web (alebo ina sluzba) na obidvoch verziach IPv4 aj IPv6, tak automaticky je ponuknuta IPv6.
Ak existuje web (alebo ina sluzba) len na IPv4, tak paket sa tuneluje cez DS-lite (cize na hranicny router orange kde je ds-lite sa IPv6 paket zabali do IPv4 a posle sa normalnou IPv4 sietou a odpoved sa znova rozbali a zakaznikovy posle v IPv6)
PCP by mal fungovat tak, ze poskytovatela (orange) poziadas ze chces namapovat nejaky porty na svoju IPv6 adresu, ale z IPv4 strany.
Cize poskytovatel na tvoj rozsah napr. namapuje port 22000 a ty potom z IPv4 internetu mozes pristupovat na svoj IPv6 rozsah ??
Dobre som to pochopil ??
-
@myxal
DS-lite na FTTH funguje rovnako ako na DSL, PCP je rovnako podporovane
DS-lite cez Orange je "nebe a dudy" s porovnanim DS-lite u UPC
@darebacik
DS-lite (dual-stack lite) zakaznikov router ma dualstack LAN a IPv6-only WAN stranu
komunikuje sa cez IPv4 vs IPv6 podla DNS odpovede, ak existuje AAAA zaznam, tak IPv6 je preferovane
IPv4 komunikacia prebieha tak, ze ak idem z PC v LAN s IP 192.168.0.20 na napr. web 200.200.200.200, tak IPv4 paket je zabaleny do IPv6 hlavicky:
payload
TCP/UDP/...
IPv4 hlavicka: source: 192.168.0.20 | destination: 200.200.200.200
IPv6 hlavicka: source: WAN IPv6 adresa pridelena zakaznikovmu routru | destination: AFTR adresa (CGN router u operatora)
L2 hlavickaIPv6 hlavicka (src: WAN IPv6 adresa pridelena zakaznikovmu routru, dst: AFTR adresa() )
takto zabaleny paket pride na CGN zariadenie, rozbali sa (IPv6 hlavicka je odstranena), urobi sa NAT source adresa 192.168.0.20 je zaNATovana na nejaku IP z public pool-u (pravdepoddobne sa robi PAT, takze sa zmeni aj source port) a vysledny paket sa posle IPv4 internetom smerom do ciela, spatna komunikacia ide rovnakou cestou reverzne.
pri PCP si v GUI tvojho routra poziadas o staticky mapping: nejaky port na ktory budes pristupovat z internetu bude presmerovany na nejaku IP/port v tvojej LAN.
napr. chces presmerovat tcp/22222 na IP 192.168.0.55 tcp/22 cez PCP sa tvoj router dohodne s CGN zariadenim na presmerovani a pri potvrdeni v GUI uvidis ze napr. 100.100.100.100 tcp/2000 je presmerovane na 192.168.0.55 tcp/22
CGN moze, ale nemusi vyhoviet tvojej poziadavke pre port 22222, v tomto pripade nevyhovel a vratil port 2000
-
DS-Lite v UPC je velmi podobne ako DS-Lite v Orange, len UPC nepodporuje PCP.
V oboch pripadoch musis (ak sa chces vyhnut dvojitemu NATu) pre IPv4 pouzit iba router od providera (kedze IPv4 tunel na AFTR server providera nevytvoris zo svojho vlastneho routera, ktory by bol za routerom providera a ziskal vlastny IPv6 rozsah cez prefix delegation).
PCP je casovo obmedzene, rozhodne to nie je tak, ze si vyhradis "svoj" port na AFTR serveri :-)
-
@darebacik
DS-lite (dual-stack lite) zakaznikov router ma dualstack LAN a IPv6-only WAN stranu
komunikuje sa cez IPv4 vs IPv6 podla DNS odpovede, ak existuje AAAA zaznam, tak IPv6 je preferovane
Myslel som si, ze zakaznicke zariadenia maju uz aj v LAN nasadenu IPv6 (potom by uz mali byt vsetky zariadenia v sieti IPv6 verejne dostupne (a na zabezpecenie sa pouziva uz len firewall)).
IPv4 komunikacia prebieha tak, ze ak idem z PC v LAN s IP 192.168.0.20 na napr. web 200.200.200.200, tak IPv4 paket je zabaleny do IPv6 hlavicky:
Kedze ma zakaznik lokalne IPv4, tak vzdy prebieha balenie paketu (ci ide do IPv6, alebo IPv4) ... aspon tak som to pochopil. Lebo na zakaznickom routery je na WAN nativna IPv6. Ak by mal zakaznik v LAN IPv6, tak aspon v IPv6 svete by komunikacia prebiehala priamo.
payload
TCP/UDP/...
IPv4 hlavicka: source: 192.168.0.20 | destination: 200.200.200.200
IPv6 hlavicka: source: WAN IPv6 adresa pridelena zakaznikovmu routru | destination: AFTR adresa (CGN router u operatora)
L2 hlavickaIPv6 hlavicka (src: WAN IPv6 adresa pridelena zakaznikovmu routru, dst: AFTR adresa() )
takto zabaleny paket pride na CGN zariadenie, rozbali sa (IPv6 hlavicka je odstranena), urobi sa NAT source adresa 192.168.0.20 je zaNATovana na nejaku IP z public pool-u (pravdepoddobne sa robi PAT, takze sa zmeni aj source port) a vysledny paket sa posle IPv4 internetom smerom do ciela, spatna komunikacia ide rovnakou cestou reverzne.
Tomu velmi nerozumiem: alebo ? Rozbali sa paket (CGN) a ostane paket IPv4 z IP adresou 192.168.0.20 (taku IP mozu mat 100vky zakaznikov) alebo sa niekde ulozi aj informacia ze je to od zakaznika z tou ci onou IPv6))?
Dalej uz tomu chapem. Urobi sa NAT u poskytovatela .....
BTW nebolo by idealnejsie pouzit u poskytovatela NAT64 a vykaslat sa na DS-Lite ?
pri PCP si v GUI tvojho routra poziadas o staticky mapping: nejaky port na ktory budes pristupovat z internetu bude presmerovany na nejaku IP/port v tvojej LAN.
napr. chces presmerovat tcp/22222 na IP 192.168.0.55 tcp/22 cez PCP sa tvoj router dohodne s CGN zariadenim na presmerovani a pri potvrdeni v GUI uvidis ze napr. 100.100.100.100 tcp/2000 je presmerovane na 192.168.0.55 tcp/22
CGN moze, ale nemusi vyhoviet tvojej poziadavke pre port 22222, v tomto pripade nevyhovel a vratil port 2000
Uz ma nutil ist poskytovatel do IPv6, ale velmi do toho nevidim, tak som si este presadil IPv4.
Bezi mi doma zopar sluzieb a obavam sa, aby som k nim nestratil pristup (z vonkajsej IPv4).
-
DS-Lite v UPC je velmi podobne ako DS-Lite v Orange, len UPC nepodporuje PCP.
V oboch pripadoch musis (ak sa chces vyhnut dvojitemu NATu) pre IPv4 pouzit iba router od providera (kedze IPv4 tunel na AFTR server providera nevytvoris zo svojho vlastneho routera, ktory by bol za routerom providera a ziskal vlastny IPv6 rozsah cez prefix delegation).
PCP je casovo obmedzene, rozhodne to nie je tak, ze si vyhradis "svoj" port na AFTR serveri :-)
samozrejme ze DS-Lite je iba jedno, ale jeho implementacia moze byt rozdielna. ja som si skusil obe a rozdiel je obrovsky. pri otvarani viacerych IPv4 realcii na UPC pripojeni sa niekedy naviazanie spojenia splhalo az k 50s
router od providera musis mat preto pretoze ostatne domace routre bezne nepodporuju vsetky RFC nato aby ti spolahlivo fungovalo DS-Lite, ak taky router najdes, tak ho mozes kludne pouzivat
-
@darebacik
pisal som ze zakaznicky router je na LAN strane dualstack, teda bezi tam IPv4 aj IPv6, teda na svojom PC budes mat privatnu IPv4 a verejnu IPv6 z delegovaneho prefixu
IPv4 komunikacia sa bali do IPv6 hlavicky a posiela smerom na CGN kde sa IPv6 hlavicka zahodi, vnutorny IPv4 paket sa zaNATuje a posle do internetu
IPv6 komunukacia nejde cez CGN, kedze nemusi, ide nativne svojou cestou k destinacii
co sa tyka rozbalovania IPv6 tunnelu na CGN a natovania IPv4, ano pravdepodobne tisice zakaznikov maju este z defaultnych nastaveni rovnaky IPv4 LAN subnet na svojich routroch, ale toto CGN zariadeniu nevadi, kedze v stavovej tabulke sa drzi zaznam z ktoreho zariadenie dana komunikacia prisla a zdaka tomu ich rozlisuje aj ked source IPv4 adresy mozu byt rovnake
NAT64 vs DS-Lite, z mojho pohladu je DS-Lite mensie zlo, kedze robis NAT z IPv4 na IPv4 co je rokmy overeny koncept. preklad IPv6 a IPv4 je uz z principu zly a mohlo by tam dochadzat k roznym problemom.
-
NAT64 je hlavne pro klientske site, ktere jsou IPv6-only. Svet IPv4 se namapuje do urciteho bloku IPv6 a klientskym aplikacim se pomoci DNS64 tvrdi, ze server ma IPv6 adresu (ktera skryva skutecnou, namapovanou IPv4 adresu). Aplikace pak otevre IPv6 socket a posila do nej data. NAT64 brana pak provede preklad mezi IPv6 a IPv4 svety a paket posle po IPv4 k cili. Analogicky to funguje na ceste zpatky.
NAT64 i DS-Lite jsou zavisle na SPOF - NATovaci brane, ktera se navic spatne skaluje (klientum je treba rozdavat ruzne brany).
NAT64 a PCP spolu nefunguji.
NAT64 taky neposlouzi tam, kde v klientske siti musi byt IPv4 (treba kvuli starym klientum). K tomu se da pouzit rozsirena verze, 464XLAT (v LAN IPv4, na routeru preklad do IPv6, na NAT64 brane preklad do IPv4).
Nejlepsi variantou pro zachovani IPv4 v LAN je MAP-E, coz je nasledovnik DS-lite. Zabalovani/vybalovani IPv4 dat je na strane site bezestavove, tedy neni tam problem se SPOF a skalovanim. NAT se pak dela u klienta na routeru. Bohuzel podpora je i po letech slaba.
-
@darebacik
pisal som ze zakaznicky router je na LAN strane dualstack, teda bezi tam IPv4 aj IPv6, teda na svojom PC budes mat privatnu IPv4 a verejnu IPv6 z delegovaneho prefixu
IPv4 komunikacia sa bali do IPv6 hlavicky a posiela smerom na CGN kde sa IPv6 hlavicka zahodi, vnutorny IPv4 paket sa zaNATuje a posle do internetu
IPv6 komunukacia nejde cez CGN, kedze nemusi, ide nativne svojou cestou k destinacii
co sa tyka rozbalovania IPv6 tunnelu na CGN a natovania IPv4, ano pravdepodobne tisice zakaznikov maju este z defaultnych nastaveni rovnaky IPv4 LAN subnet na svojich routroch, ale toto CGN zariadeniu nevadi, kedze v stavovej tabulke sa drzi zaznam z ktoreho zariadenie dana komunikacia prisla a zdaka tomu ich rozlisuje aj ked source IPv4 adresy mozu byt rovnake
NAT64 vs DS-Lite, z mojho pohladu je DS-Lite mensie zlo, kedze robis NAT z IPv4 na IPv4 co je rokmy overeny koncept. preklad IPv6 a IPv4 je uz z principu zly a mohlo by tam dochadzat k roznym problemom.
Ano teraz uz rozumiem, dik za vysvetlenie
-
Aj keby si mal router, ktory podporuje DS-Lite klienta (OpenWRT/LEDE), tak to nepomoze - provider nedovoli pripojenie na AFTR server z tvojho IPv6 subnetu (iba z toho, co dostane router providera, tvoj router dostava cez prefix delegation iny).
Takze si viazany na kram od providera, alebo musis strpiet dvojity NAT pri IPv4.
-
Darebáčkovi:
Možná je vhodné si představit DS-lite jako 2 problémy - 1. je přenos 4 přes 6, 2. je NAPT do inetu.
NAT64 nemusí vždy fungovat: https://nat64check.go6lab.si/v6score/ (https://nat64check.go6lab.si/v6score/)
-
Ja mam momentalne vdsl od orange IPv4 (verejnu). Po skonceni zmluvy ma nahovorili znova (lebo som chcel odist) ale moja poziadavka bola IPv4 a lacnejsie ako konkurencia. Kedze to splnili, tak som ostal u orange.
Modem mam vlastny, zyxel vmg1312-b30b. Myslim, ze presne ten isty maju v ponuke aj oni.
Mne ten modem len bridguje a vytacanie mam na mikrotiku.
Mna najviac zaujma, ked by som presiel na IPv6 a chcel by som to mat ako doteraz (modem bridge) a vsetko ostatne sa konfiguruje na MK, ci je s tym vela prace.
Za dalsie mam v LAN na servery nejake virtualhosty + nejake mensie sluzby vyuzivajuce niektore porty (cize mam to NATovane z IP adresy LAN na WAN adresu). Vsetko mi to funguje a som spokojny.
Ak by som teda dostal nativnu IPv6 od poskytovatela, mam to chapat tak, ze IPv6 dostanem na WAN a v LAN mam stale IPv4 ako doteraz (+ by sa robil ten DS-lite) ? Pripadne si mozem priradit aj na zariadenia v LAN (ktore to podporuju) IPv6 adresy?
A to najdolezitejsie pre mna je, ako by som sa zo siete IPv4 (niekde z vonka (ked budem niekde s mobilom)) dostal napr. na moj virtualhost, prip. na inu sluzbu. To by fungovalo cez PCP ?
Sorry, ale ja zatial tomu prechodu z 4 na 6 velmi nerozumiem a obavam sa ze ten prechod bude travat este hodne dlho, kym sa prejde uplne na IPv6.
-
Pokub by ti tu VDSL linku dodali jako dual stack konfiguraci, tak není problém a vše ti pojede (běžně takto provozováno na TMobil linkách, kde je Mikrotik jako router za DSL modemem v bridge režimu).
Ale vzhledem k tomu, že i na VDSL to Orange nyní jedou metodou DSlite, tak s danou konfigurací máš smůlu, protože Mikrotik (RouterOS) nemá v sobě podporu pro DSlite, takže by ti fungovala jen IPv6 konektivita.
-
Asi si necham potom IPv4 a ak nebudu chciet, tak prejdem vedla do telekomu oni maju IPv4 este dost :)
-
Aj keby si mal router, ktory podporuje DS-Lite klienta (OpenWRT/LEDE), tak to nepomoze - provider nedovoli pripojenie na AFTR server z tvojho IPv6 subnetu (iba z toho, co dostane router providera, tvoj router dostava cez prefix delegation iny).
odkial mas tuto inromaciu za na AFTR je nejaky filter na B4 adresy?
Asi si necham potom IPv4 a ak nebudu chciet, tak prejdem vedla do telekomu oni maju IPv4 este dost :)
ak mas teraz IPv4 tak ti ju nikto nezoberie ani pri predlzeni zmluvy, ipv6 ucet sa dava iba novym zakaznikom a aj tam sa da dohodnut ze da prehodia na ipv4 ucet ak im das dovody ze mas doma NASko a neviem co este...
-
vlastna skusenost (a nielen moja), robi to Liberty (skusal som UPC SK a DE/Unitymedia), kolega ma rovnaku skusenost na Orange.. pravdu povediac, ani sa necudujem providerom (z ich pohladu), ze to blokuju iba na svoj rozsah.
Pri Orange sa predsa plati 99 EUR "manipulacny" poplatok, ked chces ako novy zakaznik IPv4 a nie DS-lite! Pokial viem, tak tam nic neukecas.. v UPC sa to este dalo, ale aj tam setria IPv4 adresami - skor som sa cudoval, ze az tak neskoro zacali nasadzovat DS-lite, v DE/CH/NL/UK ma Liberty DS-lite viac ako 5 rokov (a na rozdiel od nas tam nemas sancu dostat verejnu IPv4, pokial nemas velmi stary balik sluzieb.. alebo si zaplat business balik, ktory samozrejme stoji ine peniaze).
Okrem toho, 99% BFU bohate staci DS-Lite na dodanom routeri providera (ma WiFI? ma, dostane sa na internet? dostane) - na FB, Instagram, Youtube (ktore by mali bezat aj tak IPv6) sa dostane, ze mu obcas pretazeny AFTR server vyhodi timeout.. a ze pojde horsie sosanie torrentov (pravdaze distribucii Linuxu), providerom iba vyhovuje :-)
-
Aj keby si mal router, ktory podporuje DS-Lite klienta (OpenWRT/LEDE), tak to nepomoze - provider nedovoli pripojenie na AFTR server z tvojho IPv6 subnetu (iba z toho, co dostane router providera, tvoj router dostava cez prefix delegation iny).
odkial mas tuto inromaciu za na AFTR je nejaky filter na B4 adresy?
Asi si necham potom IPv4 a ak nebudu chciet, tak prejdem vedla do telekomu oni maju IPv4 este dost :)
ak mas teraz IPv4 tak ti ju nikto nezoberie ani pri predlzeni zmluvy, ipv6 ucet sa dava iba novym zakaznikom a aj tam sa da dohodnut ze da prehodia na ipv4 ucet ak im das dovody ze mas doma NASko a neviem co este...
Mne predosla zmluva neskoncila, ale oni vzdy pred skoncenim zmluvy zakaznikovy zavolaju a snazia sa predlzit, ale ak sa pamatam, tak chceli mi dat IPv6 a ja som to odmietol.
Potom som sa s nimi dohodol po telefone, ze budem mat IPv4 (zadarmo (inak chcu za IPv4 99€ co je neskutocne)).
Niekedy v juny 2018 ma asi znova oslovia, tak uvidim :)
Idealne by bolo keby dali verejnu IPv4 a zaroven IPv6 .... co im v tom brani ??
Inak IPv6 by som si mohol teoreticky testovat aj cez https://tunnelbroker.net/
-
Preco provideri zavadzaju DS-lite? Aby usetrili verejne IPv4 adresy, ktore uz dochadzaju/nie su, takze full DS naozaj nie je v ich zaujme. Novy zakaznik Orange neukeca zlavu na IPv4 (overene)..
-
Na xDSL FUPko, bez IPv4 ..... orange ide dole vodou :)
-
vlastna skusenost (a nielen moja), robi to Liberty (skusal som UPC SK a DE/Unitymedia), kolega ma rovnaku skusenost na Orange.. pravdu povediac, ani sa necudujem providerom (z ich pohladu), ze to blokuju iba na svoj rozsah.
Pri Orange sa predsa plati 99 EUR "manipulacny" poplatok, ked chces ako novy zakaznik IPv4 a nie DS-lite! Pokial viem, tak tam nic neukecas.. v UPC sa to este dalo, ale aj tam setria IPv4 adresami - skor som sa cudoval, ze az tak neskoro zacali nasadzovat DS-lite, v DE/CH/NL/UK ma Liberty DS-lite viac ako 5 rokov (a na rozdiel od nas tam nemas sancu dostat verejnu IPv4, pokial nemas velmi stary balik sluzieb.. alebo si zaplat business balik, ktory samozrejme stoji ine peniaze).
co myslis filtrovanim AFTR?
- povolenie iba z rozsahu patriaceho danemu operatorovi? -> to je podla mna normalne
- filtrovanie na priradene WAN prefixy pre domace router? -> toto podla mna nerobia, pretoze zariadenia kde si L3 ukonceny BRAS/BNG/OLT a zariadenia ktore robia DS-lite, teda CGN su rozdielne a pokial viem neexistuje mechanizmus ako by sa medzi sebou synchronizovali aby CGN vedel z ktorych IPv6 povolit DS-lite tunnel a z ktorych nie. A kedze vacsinou IPv6 prefix dostavas z DHCPv6 tak IP sa dynamicky menia takze nemozu nastavit staticke filtre a povedat povolime DS-Lite tunnely iba z tychto IP
Mne predosla zmluva neskoncila, ale oni vzdy pred skoncenim zmluvy zakaznikovy zavolaju a snazia sa predlzit, ale ak sa pamatam, tak chceli mi dat IPv6 a ja som to odmietol. Potom som sa s nimi dohodol po telefone, ze budem mat IPv4 (zadarmo (inak chcu za IPv4 99€ co je neskutocne)).
Je mozne ze ta skusali prehodit na IPv6 ale nemaju pravo ti menit sluzbu pokial si ju nezrusil a potom neobnovil. Co sa tyka poplatku za IPv4 adresu, ta je podla mna iba na odstrasenie tych co tomu velmi nerozumeju, pocul som viacero pripadov kedy sa dalo dohodnut na IPv4 bez poplatku, len museli byt uvedene dovody ako to ze tam mas nejaky server, NAS a chces ho mat dostupny z internetu a pod.
Preco provideri zavadzaju DS-lite? Aby usetrili verejne IPv4 adresy, ktore uz dochadzaju/nie su, takze full DS naozaj nie je v ich zaujme. Novy zakaznik Orange neukeca zlavu na IPv4 (overene)..
IPv4 su nedostatkovy tovar a plne nasadenie IPv6 v nedohladne, tak nejako postupne sa prechadzat musi, velka vacsina obycajnych zakaznikov je jedno si maju IPv4/IPv6 alebo nieco ine. posledne IPv4 adresy sa setria pre business zakanikov a ich sluzby, pretoze s IPv6 alebo nejakym prechodnym riesenim nedokazu fungovat
-
Neviem, ako to operatori robia (ani ma to ako zakaznika nezaujima a nemyslim si, ze by to bol pre nich velky problem, ich dodavatelia infrastruktury to maju urcite osetrene), no skutocnost je, ze z pridelenej IPv6 podsiete na dalsi router cez prefix delegation DS-Lite IPv4 tunel nevytvoris (adresu AFTR servera si zistis cez DHCPv6), pricom tunel z routera providera funguje.. vytvorenie tunela je trivialna zalezitost v linuxe (nebol by nutny dvojity NAT pre IPv4, ked nechcem pouzivat funkcie routera providera).
Tu mam IPv4 (UPC SK), takze ma to netrapi.. v DE mam DS-lite (Unitymedia), tam to prezijem :-)
-
dobry den, viem ze je to stara tema, ale zaujimalo by ma, ci sa odvtedy nieco zmenilo (k lepsiemu?!).
po rokoch cakania aj k nam orange dotiahol optiku, no potom co som si tu precital skusenosti, celkom vaham.
minimalne tu dynamicku verejnu IPv4 by som potreboval, tak ich skusim potrolit, ze je to moja podmienka na 2rocnu viazanost...
-
Neviem ci sa nieco zmenilo, lebo bezim na optike od telekomu a mam verejnu IPv4. Ale telekom s orangeom maju nejake partnerske zvazky ohladom prenajmu liniek. Pises, ze orange u Vas dotiahol optiku, tak skus si zistit, ci si na pripojku orangeu, mozes objednat internet od telekomu. Potom by si mal velku sancu mat verejnu dynamicku IPv4 zadarmo
@myxal
DS-lite na FTTH funguje rovnako ako na DSL, PCP je rovnako podporovane
DS-lite cez Orange je "nebe a dudy" s porovnanim DS-lite u UPC
@darebacik
DS-lite (dual-stack lite) zakaznikov router ma dualstack LAN a IPv6-only WAN stranu
komunikuje sa cez IPv4 vs IPv6 podla DNS odpovede, ak existuje AAAA zaznam, tak IPv6 je preferovane
IPv4 komunikacia prebieha tak, ze ak idem z PC v LAN s IP 192.168.0.20 na napr. web 200.200.200.200, tak IPv4 paket je zabaleny do IPv6 hlavicky:
payload
TCP/UDP/...
IPv4 hlavicka: source: 192.168.0.20 | destination: 200.200.200.200
IPv6 hlavicka: source: WAN IPv6 adresa pridelena zakaznikovmu routru | destination: AFTR adresa (CGN router u operatora)
L2 hlavickaIPv6 hlavicka (src: WAN IPv6 adresa pridelena zakaznikovmu routru, dst: AFTR adresa() )
takto zabaleny paket pride na CGN zariadenie, rozbali sa (IPv6 hlavicka je odstranena), urobi sa NAT source adresa 192.168.0.20 je zaNATovana na nejaku IP z public pool-u (pravdepoddobne sa robi PAT, takze sa zmeni aj source port) a vysledny paket sa posle IPv4 internetom smerom do ciela, spatna komunikacia ide rovnakou cestou reverzne.
pri PCP si v GUI tvojho routra poziadas o staticky mapping: nejaky port na ktory budes pristupovat z internetu bude presmerovany na nejaku IP/port v tvojej LAN.
napr. chces presmerovat tcp/22222 na IP 192.168.0.55 tcp/22 cez PCP sa tvoj router dohodne s CGN zariadenim na presmerovani a pri potvrdeni v GUI uvidis ze napr. 100.100.100.100 tcp/2000 je presmerovane na 192.168.0.55 tcp/22
CGN moze, ale nemusi vyhoviet tvojej poziadavke pre port 22222, v tomto pripade nevyhovel a vratil port 2000
Este by som mal tiez otazku k tomuto prispevku.
Kolega mi spominal, ze ma uz dlho internet od orengeu a na zariadenia domov sa normalne dostane cez IPv4 adresu. Nie som v tejto problematike odbornik, cize budem pisat ako laik.
Rozumiem tomu tak, ze ak je kolega niekde na mobilnom internete (WAN), a chce sa dostat napr. na web kameru vo svojej LAN sieti tak postup by mohol byt asi:
ISP ma svoje zariadenie (router), ktory ma aspon jednu verejnu IPv4 adresu napr. 11.22.33.44 (ktoru zdielaju viacery zakaznici (inak by DS-lite nemal vyznam)).
Ak kolega chce, tak k tejto IP adrese si vytvor domenove meno (mojadomena.com) aby si nemusel pamatat IP adresu
Predpokladam, ze bez mapovania portu to nepojde (mozem sa mylit, nie som odbornik).
Cize kolega zada poziadavku na 11.22.33.44:789. Paket dorazi na router ISP a nasledne sa zisti, ze tento port je priradeny k IPv6 zakaznika v ktorom je zabalena napr. konkretna IP 192.168.0.55 v LAN zakaznika. Je to napisane velmi zjednodusene, ale dolezite je to, ze to musi fungovat na nejakom vyhradenom porte.
Mne kolega spominal, ze kludne by mohol mat doma aj webovy server a fungovalo by mu to aj bez portu. V jednom pripade by mu to fungovalo, ak by ISP vygeneroval konkretne pre neho port 80, alebo 443 (ale ISP pre zakaznikov tieto porty asi nepouziva).
Podla mna by sa na web dostal takto mojadomena.com:789.
Teoreticky by to mohlo fungovat aj takto mojadomena.com, ale ISP by musel prevadzkovat nejaky reverzny proxy.
Nevie niekto ako to je ?
-
dobry den, viem ze je to stara tema, ale zaujimalo by ma, ci sa odvtedy nieco zmenilo (k lepsiemu?!).
po rokoch cakania aj k nam orange dotiahol optiku, no potom co som si tu precital skusenosti, celkom vaham.
minimalne tu dynamicku verejnu IPv4 by som potreboval, tak ich skusim potrolit, ze je to moja podmienka na 2rocnu viazanost...
Stale je to u Orange tak, ze na vyziadanie ti daju verejnu IPv4 adresu, za poplatok 99 EUR (jednorazovy). Ked mas IPv4, mozes poziadat aj o bridge mode a riesit si router sam; v bridge mode mas routovanu verejnu IPv4 na interface tvojho routera. Pokial dostanes verejnu IPv4, nebudes mat IPv6 vobec.
S IPv6 mas DS-Lite a pre pristup z IPv4 maju funkncy port mapping na CGNAT (https://www.orange.sk/fileadmin/orange/user_uploads/pages/5770/pdf/port-forwarding-na-zariadeni-huawei-hg8245h.pdf). Tento mapping je docasny a nemas kontrolu nad tym, aky je vonkajsi port, ale pre VPN typu wireguard je to OK (pre IPSec to nie je OK).
Medzi telekomom a orange je este jeden rozdiel: telekom ide cez PPPoE a Orange rovno IPoE.
-
Z toho pdf vyplyva, ze porty si mozes navolit ake chces ?
Nerozumiem potom tomu, ked ma niekto v LAN mali webovy server a navoli si port 80.
Ved predsa jedna verejna IP je zdielana viacerymi klientami a konkretny port nemoze byt pouzity pre viac lokalnych IP adries (pokial by tam nemali nejaky reverzny proxy).
-
Z toho pdf vyplyva, ze porty si mozes navolit ake chces ?
Nerozumiem potom tomu, ked ma niekto v LAN mali webovy server a navoli si port 80.
Ved predsa jedna verejna IP je zdielana viacerymi klientami a konkretny port nemoze byt pouzity pre viac lokalnych IP adries (pokial by tam nemali nejaky reverzny proxy).
Navolit si ho mozes, ale to neznamena, ze ho aj dostanes. Ked je obsadeny, tak je obsadeny, dostanes nejaky iny.