Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: veskotskujehnusne 21. 06. 2019, 14:30:43

Název: Veřejná, neveřejná IP adresa
Přispěvatel: veskotskujehnusne 21. 06. 2019, 14:30:43
Ahoj,

mám nového ISP. Pevná veřejná adresa stojí pár drobných, tak jsem si ji připlatil a vím, že jich budu výhledově potřebovat víc. Byl jsem ale trochu zaražen, když jsem zjistil, že si u nich koupíte veřejnou adresu, kterou nedostanete, ale udělají vám NAT a pouze vám forwardují traffic. Když jsem se ozval, že bych si představoval, že mi to odroutují, tak to prý není klasický požadavek a prý mi to nacení. Přijde vám v pořádku, že zaplatíte za IP, kterou technicky nedostanete? Zatím nevím ani co si za to řeknou, ale zdá se mi to podivné. :)

Díky.
Název: Re:Veřejná, neveřejná
Přispěvatel: Daveran 21. 06. 2019, 14:57:12
Setkal jsem se s něčím podobným, dle názoru poskytovatele veřejná IP byla NAT 1:1. Po troše dohadování to odroutovali - peníze navíc nechtěli, ale veřejná IP od nich stojí 120 korun měsíčně.
Název: Re:Veřejná, neveřejná
Přispěvatel: McFly 22. 06. 2019, 08:38:34
Dlouhé roky mám doma ISP, který dává neveřejné IP adresy a poskytuje NAT 1:1. Je to imho celkem běžná praktika. ;)
Název: Re:Veřejná, neveřejná
Přispěvatel: technomaniak 22. 06. 2019, 11:36:45
A komunikace z venku na všechny porty chodí? Pokud ano tak bych to neřešil.  Dokonce můžeš být "happy" , že jsi schovaný za jejich firewallem. Já mám public a každé 2-3 minuty mám scan či útok na router.
Název: Re:Veřejná, neveřejná
Přispěvatel: Miroslav Šilhavý 22. 06. 2019, 12:12:53
A komunikace z venku na všechny porty chodí? Pokud ano tak bych to neřešil.  Dokonce můžeš být "happy" , že jsi schovaný za jejich firewallem. Já mám public a každé 2-3 minuty mám scan či útok na router.

Pokud je to 1:1, tak tam žádný firewall není, to je protimluv.

Ono to štěstí člověka přejde jakmile začne chtít takové "šílenosti" jako je IPsec a musí začít řešit NAT-T. Také výborné to je u aplikací, které detekují vlasní místní IP adresu, která se pak používá pro spojení zpět. Asi nejtriviálnějším případem může být (aktivní) FTP.

Dál jsem se setkal s tím, že v těchto konfiguracích ISP předávají TCP a UDP a ostatní protokoly jsou lotynka, jestli projdou.

Prostě pokud někdo chce a platí si za veřejnou IP adresu, měla by být směrována až na interface, žádný NAT.

NAT 1:1
Název: Re:Veřejná, neveřejná
Přispěvatel: Libor Petr 22. 06. 2019, 13:06:19
No pokud ten provider nepatří mezi světlé výjimky, nemá rozběhaný PPPoE (a radius...) server, tak tomu docela rozumím. IPv4 adresy nejsou a víc než na 90% případů NAT 1:1 stačí. Prasárna by byla, pokud by Ti veřejku posílal na interface nějakým tunelem (třeba PPtP) a krátil ti MTU.
A nebo Ti to taky může naúčtovat tak, jako to dělá jeden lokální provider v těsné blízkosti Prahy - veřejka přes NAT 1:1 je za XX Kč, routovaná veřejka je 4x dražší (... tj. zaplatíte za alokované IP, které padnou na Váš požadavek veřejné IP adresy routované až na interface).

Ahoj,

mám nového ISP. Pevná veřejná adresa stojí pár drobných, tak jsem si ji připlatil a vím, že jich budu výhledově potřebovat víc. Byl jsem ale trochu zaražen, když jsem zjistil, že si u nich koupíte veřejnou adresu, kterou nedostanete, ale udělají vám NAT a pouze vám forwardují traffic. Když jsem se ozval, že bych si představoval, že mi to odroutují, tak to prý není klasický požadavek a prý mi to nacení. Přijde vám v pořádku, že zaplatíte za IP, kterou technicky nedostanete? Zatím nevím ani co si za to řeknou, ale zdá se mi to podivné. :)

Díky.
Název: Re:Veřejná, neveřejná
Přispěvatel: robac 22. 06. 2019, 15:58:56
Pokud je to 1:1, tak tam žádný firewall není, to je protimluv.
:) :) :)
V čem je to protimluv?
Jakým způsobem omezuje statický NAT 1:1 použití např. IPS/IDS, mitigaci DoS, blokování blacklistovaných IP?

Případně bych prosil pouze odpověď na otázku (v čem je to protimluv), rozjíždějí "úhybných" témat jako, jestli tyto služby daný ISP používá nebo ne, si odpusťte  8)
Název: Re:Veřejná, neveřejná
Přispěvatel: McFly 22. 06. 2019, 16:12:33
V čem je to protimluv?

A pokud ISP dává zákazníkovi plnohodnotnou veřejnou IP adresu, poskytuje ISP taky "firewall"? ;) Imho je to jedno, jestli je tam NAT 1:1 nebo plnohodnotná veřejná IP - buď ISP nějaký ten firewall (IPS/IDS, blacklisty, atd) má nebo nemá.

Btw u jednoho ISP mám plnohodnotnou veřejnou, u druhého ISP mám NAT 1:1, třetí ISP v práci nám routuje celý IP rozsah a portscany a podobné legrácky (z principu) vidím u všech třech... :)
Název: Re:Veřejná, neveřejná
Přispěvatel: veskotskujehnusne 23. 06. 2019, 18:15:52
Jak zmiňoval pan Šilhavý, je problém například s tím IPSecem. Pokud je vrcholem toho, co jsi kdy řešil forwarding ssh portu, můžeš si s natem vystačit, ale někdo chce víc. Já jsem osobně toho názoru, že pokud za tu veřejnou zaplatím, měl bych ji dostat, neznám snad nikoho, komu by NAT alespoň někdy nezpůsobil potíže.

A komunikace z venku na všechny porty chodí? Pokud ano tak bych to neřešil.  Dokonce můžeš být "happy" , že jsi schovaný za jejich firewallem. Já mám public a každé 2-3 minuty mám scan či útok na router.
Název: Re:Veřejná, neveřejná
Přispěvatel: veskotskujehnusne 23. 06. 2019, 18:17:16
Tak mi komunikace na všechny porty prochází, ale jsem za firewallem? Jak to jde dohromady?

A komunikace z venku na všechny porty chodí? Pokud ano tak bych to neřešil.  Dokonce můžeš být "happy" , že jsi schovaný za jejich firewallem. Já mám public a každé 2-3 minuty mám scan či útok na router.
Název: Re:Veřejná, neveřejná
Přispěvatel: Filip Jirsák 23. 06. 2019, 20:58:04
Tak mi komunikace na všechny porty prochází, ale jsem za firewallem? Jak to jde dohromady?
Firewall blokuje provoz podle nějakých pravidel. Ta pravidla nemusí brát ohled na porty nebo to může být podmínka „port + další podmínka“. Firewall může blokovat i provoz, který žádné porty nemá (nemáme jen protokoly TCP a UDP).
Název: Re:Veřejná, neveřejná
Přispěvatel: Miroslav Šilhavý 23. 06. 2019, 21:18:06
Firewall blokuje provoz podle nějakých pravidel. Ta pravidla nemusí brát ohled na porty nebo to může být podmínka „port + další podmínka“. Firewall může blokovat i provoz, který žádné porty nemá (nemáme jen protokoly TCP a UDP).

Doslovně vzato máte pravdu. Ve skutečnosti lidé za slovem "port" skrývají i protokoly - ale to je spíš otázka jazykovědná, než technická. (Do auta lijete taky benzín nebo naftu, ačkoliv to tak zdaleka není).

Nepatří k dobrému vychování ISP nějak extenzivně zasahovat do provozu, zejména ne tam, kde zákazník platí za veřejnou IP adresu a je tedy velmi pravděpodobné, že směr dovnitř si chce "menežovat" sám.
Název: Re:Veřejná, neveřejná
Přispěvatel: Filip Jirsák 23. 06. 2019, 21:42:04
To nic nemění na tom, že i když bude mít možnost navázat z venku spojení na libovolný port TCP i poslat UDP paket na libovolný port (a paket dorazí až na cílový počítač), pořád ještě to neznamená, že tam není firewall. Firewall může blokovat třeba pakety nepatřící do žádného spojení nebo třeba tyhle pakety (https://www.root.cz/zpravicky/linuxove-jadro-je-mozne-shodit-pomoci-serie-paketu-chyba-je-stara-10-let/). Stejně tak přítomnost firewallu nijak nesouvisí ani s tím, zda je ta IP adresa routovaná nebo zda je to řešené jako NAT 1:1.
Název: Re:Veřejná, neveřejná
Přispěvatel: RomanusRemus 23. 06. 2019, 22:09:34
Od takového poskytovatele honem pryč. Dřív nebo později se objeví služba, která nepojede. Taky jsem měl možnost se střetnout s jedním nejmenovaným ISP patlalem, který dělal NAT 1:1. Když jsem musel používat cisco vpn k jednomu zákazníkovia nebylo cesty mu vysvětlit chybu jejich služby. Co hůř jejich "odborník" se se mnou dohadoval na chybě v konfiguraci Cisco VPN. Řešením bylo odejít ke konkurenci kde jsem měl veřejnou až "do domu" a ejhle bez jakékoliv změna všechno začalo fungovat jak mělo. Prostě dvojitý NAT není cesta nikam jinam něž do pekel.
Název: Re:Veřejná, neveřejná
Přispěvatel: Pivotal 23. 06. 2019, 23:08:55
Možná laický dotaz, ale zajímalo by mě to, jak se to liší od normálního připojení k internetu plnohodnotného, případně když jsem v privátní síti za domácím ADSL NATem (spíš co to s tím bude mít společného). Čili dá se toto uspořádat takto: Plnohodnotné připojení > nebo >= Situace v dotazu > Připojení přes domácí NAT 10.0.0.4. ? Jaké jsou výhody a nevýhody konektivity vůči těm 2 modelům?

Jaká je například IP adresa providera, jaká je IP adresa např 4 jeho zákazníků bez "veřejné", 4 jeho zákazníků se touto poloveřejnou a 4 jeho zákazníků s plnoveřejnou za 4xpříplatek? Jaké jsou v těchto případech vnitřní a vnější adresy? Jsou snad některé stejné?

Bude daný komp globálně dostupné z celého internetu? Budou na sebe vidět klienti daného providera? Jak zjistíma podle čeho, že jde o tento případ "poloveřejné"  IP? Je (moje) označení "poloveřejná" korektní? Stojí dané chování providera nějaké prostředky nebo ušetří něco oproti 2 zbylým stavům v úvodu (všichni za NAT, všichni IP kvalitně)

Zajimají mě spíš praktické odpovědi
Název: Re:Veřejná, neveřejná
Přispěvatel: Miroslav Šilhavý 24. 06. 2019, 06:54:38
Zajimají mě spíš praktické odpovědi

NAT, když je opravdu dobře provozovaný, může fungovat poměrně solidně. Mohou však nastat jisté problémy. Čtyři nejčastější jsou: 1. přímé spojení dvou "osob" u stejného ISP za stejným NATEM - tj. NAT musí umět revertovat provoz "tam-a-zpět". 2. aplikace mohou protistraně hlásit svoji IP adresu, která ve skutečnosti nesedí - spojení pak buďto neprojde, nebo se řeší nouzově (typicky: TeamViewer. Ten jede jako blesk při přímém spojení, ale přes NAT musí jít přes jejich proxy a jede jako šnek. 3. problémy se službami "dovnitř", zejména pokud vyžadují spojení dovnitř na více portech (typicky: aktivní FTP, ale ne jen to), 4. IPsec, který přes NAT ztrácí svoji bezpečnost a nefunguje, pokud ze stejné sítě do stejné sítě chcete otevřít víc jak jedno spojení (NATY pak neumějí rozlišit, která data patří kterému kompu).

Nedostatek IPv4 adres sice existuje, ale ne zase takový, aby to nebylo řešitelné. Proto velcí ISP, kteří mají historicky zásoby IPv4, je používají. Ani oni, kde by se to zdánlivě dalo ve velkém řešit, to vyřešit neumějí.

Tato diskuse spíš vznikla nad tím, že existují ISP, kteří pod pojmem "příplatková veřejná adresa" prodávají NAT 1:1. A to smrdí, to je špatně. Tím se možná řeší určitá část potřeb (např. otevřít si doma port pro nějakou automatizaci), ale má to daleko k plnohodnotnému internetu, na který se mohu spolehnout, že mi projde vše, co potřebuji a ISP do toho nezasahuje.
Název: Re:Veřejná, neveřejná IP adresa
Přispěvatel: Pivotal 24. 06. 2019, 09:41:48
1 A jak si tím poskytovatel pomůže?
2 Co je nutné z hlediska konfigurace udělat, aby byl nat 1:1 ( u uživatele nebo u ISP)? 
3 odkud bere ISP IP adresy?
4. Jak v domácích podmínkách zjistím, zda je má připojení za NATem 1:1?
5. Jak tedy vypadá nat, když je opravdu dobře provozovaný?


Zatím to chápu tak, že jde v podstatě NAT se všemi nevýhodami (nemožnost navázat spojení zvenku, případně nutnost žebrat o port forwarding),
Jen by mě zajímalo jak je to s těma adresama, jaký je anglický termín pro tohle, případně odkázat na nějaký teoretický článek, který srovná NAT připojení, NAT 1:1 v dotazu a připojení bez natu na modelových případech a srovná toto mezi sebou s popisem rozdílů, výhod a nevýhod
Název: Re:Veřejná, neveřejná IP adresa
Přispěvatel: Miroslav Šilhavý 24. 06. 2019, 09:48:37


O žádném takovém článku nevím.
Myslím, že velké části uživatelů stačí NAT + port forwarding + NAT helpery.
Další části může stačit NAT 1:1 na veřejnou IP adresu, nefunguje tam vše, ale odpadá ono "žebrání" o port forwarding.

Tato diskuse je spíš o tom, že když někdo nazve službu "veřejná IP adresa", že v tu chvíli by se mělo rozumět automaticky, že se nejedná o NAT 1:1. Je to zavádějící, neprofesionální a ne vše na tom funguje. Uživatel si pak platí za něco, co mu neslouží tak dobře, jak by mělo.

ISP by podle mě mohl mít cenově odstupňovanou nabídku: běžná přípojka => NAT 1:1 => veřejná IP adresa. Bohužel někteří - já je nazývám "zoufalci" - neumějí veřejnou IP adresu odroutovat.

IPv4 adresy je možné získat, vyžaduje to administrativu, případně obchodní zkušenost a umět je skoupit (heh, ano, ne vše je na světe zadarmo). V mojí praxi, kromě jedné výjimky, kde jsem se setkal, tak jsem neměl problém na přípojku získat klidně /28 nebo i /27 prefix, v serverovnách třeba i 2x /24 apod. Samozřejmě s tím ale poskytovatelé dělají velké drahoty.