Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Blastermaster 16. 09. 2014, 13:03:48
-
Zdravím, mám takový malý problém. Nechal jsem si zřídit novou linku od nového ISP za účelem provozování vlastního web/mail/service hostingu a spolu s přípojkou samozřejmě také veřejnou IP adresu (za extra příplatek).
No a teď jsem s zjistil, že ona veřejná IP adresa není vůbec veřejná. Připojení totiž funguje jenom z adres mimo kontrolu mého ISP. Mužů se tedy připojit například z otevřeného hotspotu v sousedním městě, ale už ne od svého souseda (nebo od kohokoliv jiného za předpokladu že jeho ISP je stejný jako můj).
Jde tohle nějak elegantně vyřešit? Jinak než provozováním externího serveru který bude sledovat odkud se chci připojit...
Nebo nevíte alespoň co mám googlit? Vhodné slovní spojení k mému problémů mě nenapadá...
BTW měnit hned ISP by se mi taky moc nechtělo...
-
Nejdřív bych to zkusil vyřešit s tím tvým ISP. Pokud jsi to s ním už řešit, dostal jsi nějaké vyjádření, jestli se bude namáhat to opravit? popř. co to způsobuje?
-
Pokud to nefunguje ze stené sítě, ta má ISP blbě nastavené routování. Tj. jeho síť neumí z vnitřní adresy (souseda) správně směrovat pakety na Tvoji veřejnou (která je ale technicky vzato ve stejné vnitřní síti jako ta sousedova neveřejná). Podle mě prostě nenastavený/špatně nastavený route. Ty bys neměl být schopen si s tím poradit (ze svýho pohledu), potřebuješ zásah od nich na jejich síti/zařízení/routeru.
-
A nebo s velkou pravděpodobností ona veřejná IP je dělána pomocí NAT 1:1 někde na hlavní bráně daného ISP a u sebe má stále neveřejnou. Pak je tato nefunkčnost z vnitřní sítě daného ISP celkem běžný jev, pokud jej nemá ISPík patřičně ošetřen.
-
M. ma pravdu, takhle jsem to mel u O2 a mel jsem naprosto identicky problem - od sebe jsem se na mou verejnou adresu proste nepripojil.
-
Jo takhle... Já mám od svého ISP natvrdo přidělenou VIP, kterou jsem si do svého routeru nastavoval sám. Netušil jsem, že se to dělá i jinak.
Nicméně pořád je to problém na straně ISP a neřešitelný z pozice zákazníka (neřešitelný silami zákazníka).
-
Problém je na straně ISP a jedině on ho může opravit. A chápu, že měnit ISP se vám nechce, ale zauvažujte o tom, protože to pravděpodobně není nějaký zapeklitý ojedinělý problém, ale nepochopení základních mechanismů, které ten ISP ve své síti používá.
Ten ISP pravděpodobně používá NAT 1:1 a někde na hlavním routeru mapuje tu veřejnou IP adresu na vaši privátní. Když se chce připojit soused (nebo někdo připojený ke stejnému ISP), paket od něj dorazí na hlavní router ISP, tam se provede DNAT a paket směřuje na váš počítač. Přitom má stále zdrojovou IP adresu toho souseda. Váš počítač odpoví, a odpověď pošle na tu IP adresa souseda. No, a routery v síti vašeho ISP vědí, že je to adresa souseda, tak ten paket pošlou jemu, k tomu NATu se vůbec nedostane. Takže ten počítač souseda dostane "odpověď" na svůj požadavek, ale nedostane ji z vaší veřejné IP adresy, ale z privátní. No a na tu samozřejmě nic neposílal (a nemá si to jak spojit se svým požadavkem), takže paket zahodí, protože nepatří do žádného jemu známého spojení.
Můžete si to i sám otestovat - na rozhraní k vašemu "ISP" si pusťte tcpdump a od toho souseda iniciujte navázání spojení na tu veřejnou IP adresu. Uvidíte, že přijde paket se zdrojovou IP adresou souseda a jako cílová bude vaše privátní IP adresa. Váš počítač vytvoří odpověď, ve které bude jako zdrojová IP adresa vaše privátní a jako odchozí adresa souseda. Když byste měl zároveň spuštěný tcpdump u souseda, uvidíte, že k němu tenhle paket dorazí - ale protože nepatří k žádnému známému spojení, jádro jej zahodí.
-
Pochlub se, kterou bandu blbů máš za ISP... to snad není pravda, tohle.
-
Je to naprostá klasika, tipl bych že tomu u nás nerozumí 80 procent ISP-ků... Já řeším své připojení a problémy třetím rokem...
-
Ano, tato NAT1:1 "prasárna" je naprostý standard dneska. A kolikrát ne, že tomu nerozumí, ale je to pro ně jendodušší. V sítí mají jen neveřejky, často jen staticky routované, tak veřejka znamená práci navíc. Dále je to maximálně efektivní využití prostoru, protože jinak by musely většinou routovat blok /30 na zákazníka, takto spotřebují jednu /32 a řada dalších věcí...
-
Ano, tato NAT1:1 "prasárna" je naprostý standard dneska. A kolikrát ne, že tomu nerozumí, ale je to pro ně jendodušší. V sítí mají jen neveřejky, často jen staticky routované, tak veřejka znamená práci navíc. Dále je to maximálně efektivní využití prostoru, protože jinak by musely většinou routovat blok /30 na zákazníka, takto spotřebují jednu /32 a řada dalších věcí...
Jenže kdyby k tomu DNATu přidali ještě SNAT, přinejmenším pokud je to požadavek z jejich sítě, aspoň by to fungovalo. Jinak zákazníkovi mohou klidně routovat /32, nic v tom nebrání.
-
Nejsem zrovna sítař, ale podle mě to mapování dělaji aby ušetřili adresy. Kdyby byla veřejná adresa přímo na mém routeru tak by druhou adresu museli dát jako bránu. Tak že co připojení to dvě adresy. Takhle je to stojí jen jednu. To samé dělá třeba o2 u adsl kde se neni možné připojit na svojí vlastní ip když jí mám jako doménové jméno.
Je to tak?
-
Nejsem zrovna sítař, ale podle mě to mapování dělaji aby ušetřili adresy. Kdyby byla veřejná adresa přímo na mém routeru tak by druhou adresu museli dát jako bránu.
Nemuseli. Jako bránu může mít klidně tu privátní IP adresu, kterou má teď.
To samé dělá třeba o2 u adsl kde se neni možné připojit na svojí vlastní ip když jí mám jako doménové jméno.
To, že je IP adresa uvedena u nějaké domény, určitě nijak nebrání připojit se na ni.
-
To doménové jméno byl jen příklad. Dost často se mi stávalo, že v vnitřní sítě jsem se nepřipojil na třeba mail.firma.cz který směroval spátky do lan. Kolega výš o tom taky píše.
-
To doménové jméno byl jen příklad. Dost často se mi stávalo, že v vnitřní sítě jsem se nepřipojil na třeba mail.firma.cz který směroval spátky do lan. Kolega výš o tom taky píše.
To je přesně stejný problém, jako u toho ISP. U něj je také tazatel v jeho vnitřní síti. Akorát u nějaké malé firmy se to dá pochopit, že to správce neumí nastavit. Ale u ISP je to dost na pováženou.
-
Nejsem zrovna sítař, ale podle mě to mapování dělaji aby ušetřili adresy. Kdyby byla veřejná adresa přímo na mém routeru tak by druhou adresu museli dát jako bránu. Tak že co připojení to dvě adresy. Takhle je to stojí jen jednu.
Ta brána stejně musí mít veřejnou IP adresu, takže můžete pro routování klidně použít tu. Nebo můžete použít interní adresu pro bránu a tu veřejnou adresu ve vnitřní síti routovat /32.
To samé dělá třeba o2 u adsl kde se neni možné připojit na svojí vlastní ip když jí mám jako doménové jméno.
Tohle dělá špatně nastavené routování ve vaší síti.
-
Ano, tato NAT1:1 "prasárna" je naprostý standard dneska. A kolikrát ne, že tomu nerozumí, ale je to pro ně jendodušší. V sítí mají jen neveřejky, často jen staticky routované, tak veřejka znamená práci navíc. Dále je to maximálně efektivní využití prostoru, protože jinak by musely většinou routovat blok /30 na zákazníka, takto spotřebují jednu /32 a řada dalších věcí...
Jenže kdyby k tomu DNATu přidali ještě SNAT, přinejmenším pokud je to požadavek z jejich sítě, aspoň by to fungovalo. Jinak zákazníkovi mohou klidně routovat /32, nic v tom nebrání.
Hairpin NAT je řešením této situace. Pokud teda ISPík chce vůbec vzájemnou komunikci mzi svými uživateli podporovat. Řada jich to natvrdo blokuje bez ohledu na to, zda klienti mají veřejky nebo neveřejky... :-(
Routovat a posílat se dá /32 v pohodě, ale je to práce navíc, pokud nemá v provozu dynamický routing (řada nemá). Jiná věc je, že pak záleží i dost na tom, kde má ta veřejka končit. Řada zařízení neustojí situaci, že dostane /32 veřejku a k tomu bránu nějakou neveřejku. Každý nemá Mikrotik/linux, kde by to šlo bastlit a trvá na poctivém /30 spojováku. pak buď obětuji tu /30 na zákoše nebo dělám překrývjící se segmenty nebo to různě tuneluji (pokrokoví přes PPPoE, někteří L2TP a podobné).