Příspěvky

1

Sítě / Re:Lokální adresy v síti ISP

« kdy: 05. 12. 2019, 15:32:43 »

Jestli je tu někdo neschopný tak to určitě nebudu já. Jen jsem se zeptal jestli je u ISP "obvyklá" taková konfigurace a jestli ho mám tlačit do změny a nebo se na to vybodnout a nechat to být...

Pokud byste chtěl tlačit ISP do změny, bylo by vhodné najít to ustanovení RFC, které údajně ISP porušuje. Zatím je to „sice je vše v souladu s RFC, ale mně a ještě jednomu člověku na diskusním fóru se to velmi nelíbí“, což pro ISP asi pádný argument nebude.

A ještě než začnete na toho ISP tlačit, rozmyslete si, za to vaše „nelíbí se mi to“ vám vážně stojí za to, abyste si dobrovolně nechal zhoršit službu z routované veřejné IP adresy na NATovanou. Protože kvůli vám ISP všem vašim spolupracovníkům zdarma veřejnou IP adresu dávat nebude, NATovat tu vaši veřejnou IP adresu by pro něj bylo nejlevnější řešení. (Kdysi po internetu kolovala historka ze supportu nějakého ISP, kde si zákazník stěžoval, že má moc nízký ping a chtěl ho zvýšit – čemuž technici s radostí vyhověli.)

Veřejnou IP adresu mi nikdo zdarma nedal.

Stále jsem přesvědčen, že RFC1980 mluví o intranetu - uzavřených podnikových sítích a vzhledem k tomu, že poskytovatel připojení do internetu (ISP) takových sítí může připojit stovky nebo tisíce nemají tyto adresy co hledat za mým WAN rozhraním které je dveřmi do internetu (public) nikoliv intranetu (private).

Tímto vám ještě jednou děkuji za přínosnou a plodnou diskuzi ale nepřesvědčil jste mne.

Z.

2

Sítě / Re:Lokální adresy v síti ISP

« kdy: 05. 12. 2019, 12:01:30 »

Tímto bych debatu ukončil, já mám vše funkční, ISP ke změně nedotlačím, změnit ISP taky není jednoduché. Díky všem za diskuzi.

Z.

3

Sítě / Re:Lokální adresy v síti ISP

« kdy: 05. 12. 2019, 11:46:06 »

Mam ten dojem, ze se tady diky osobnimu sporu pana messagebus s panem Jirsakem straci samotna podstata dotazu.

Tazatel resi na foru svou neschopnost nastavit si firewall. Kdysi jsem mel pripojeni od jednoho ISP s verenou IP a na serveru mi bezela sluzba. Mel jsem na firewallu zakazany vstup adres ze subnetu urcenych pro lokalni site. Pak prisel clovicek, ktery chtel vyuzit muj server. Ja nelenil zavolal poskytovateli, dotazal jsem se na jeho subnet, vysvetlil mu, proc to chci vedet, on mi jej rekl a ja povolil. HOTOVO. Dnes mam internet od jineho ISP, ktery dela NAT  neverejnych a ja vidim na svem WAN vzdy jen verejnou IP. Jde jen o komunikaci s ISP a o nastaveni.
Takze ze mne je to v poradku. ISP ma svou sit nejak udelanou a tak to je. Pokud nejsi ochotny komunikovat misto na foru se zastupcem ISP, pak to bude pro tebe vzdy tezske.
Mimochodem ted mam u jednoho cloveka od tamnejsiho ISP verejnou zpusobem NAT 1:1 a to je teprve prasarna a hajzlovina. Komunikace vramci jeho site nejde a odmita s tim cokoliv delat. Jo a ja to na foru neresil komunikuju s ISP. Dopadlo to tak ze uz mam pozadavek jinde kde jsem si pred tim overil se obch. zastupcem ISP jejich strategii a funkcnost.

Bohužel u nás není v zásadě žádný výběr z mnoha ISP a proto jsme se s místním poskytovatelem dohodli na veřejné IP, nějaké rychlosti a optiku jsme si od něj natáhli sami. Řeč o připojení do LAN nikde nebyla a nikdo neřešil jak komunikují stroje uvnitř sítě ISP. V momentě kdy jsme kvůli narůstajícímu počtu externích spolupracovníků zřídili VPN se zjistilo, že někteří se na VPN nepřipojí a proč se nepřipojí. Firewall byl původně nastavený tak, že ven ani dovnitř nešlo nic z RFC1918, je to určité bezpečnostní nastavení které léta aplikuji. Samozřejmě teď je FW nastavený tak aby klienti mohli pracovat. Jestli je tu někdo neschopný tak to určitě nebudu já. Jen jsem se zeptal jestli je u ISP "obvyklá" taková konfigurace a jestli ho mám tlačit do změny a nebo se na to vybodnout a nechat to být...

4

Sítě / Re:Lokální adresy v síti ISP

« kdy: 04. 12. 2019, 20:15:57 »

Tak jistěže nezáleží na tom co si myslím nicméně slovy RFC já mám za WAN public a ne private...

No evidentně tam máte private.

Evidentně tam mám public, čtu IP na WAN 46.1x3.x0x.1yy.

5

Sítě / Re:Lokální adresy v síti ISP

« kdy: 04. 12. 2019, 19:47:59 »

Na WAN mám veřejnou IP. Nevím proč by mi na veřejnou IP mělo lézt cokoliv z RFC 1918. Takže si nemyslím, že uvnitř internetu jsou adresy z RFC 1918 "legálně" tak jak jste napsal.

Nezáleží na tom, co si myslíte, ale co je napsané v RFC. messagebus si to také myslel, dokonce se oháněl RFC, ale pak to tam nenašel a teď vaří z vody. Adresy dle RFC 1918 nejsou globálně routovatelné, což ale nevylučuje, že mohou být routované v nějaké menší síti. A vy jste zrovna v síti, kde routované jsou.

Tak jistěže nezáleží na tom co si myslím nicméně slovy RFC já mám za WAN public a ne private...

6

Sítě / Re:Lokální adresy v síti ISP

« kdy: 04. 12. 2019, 19:44:48 »

Na WAN blokuji jen RFC 1918, zákazníci ISP mají adresy z rozsahu 10.0.0.0/8. Pokud jdou kamkoliv ven mimo síť ISP jdou přes veřejnou IP, pokud jdou na server který je u stejného ISP byť má veřejnou IP tak jdou přes lokální adresy.

Takže řešením je ten rozsah 10.0.0.0/8 u vás neblokovat. V čem je tedy problém?

Tak jak jsem již psal... Z mého pohledu mám za WAN celý internet a odtud mi skutečně dovnitř nic z RFC 1918 nepoleze stejně tak jako neleze z RFC 1918 nic od nás. Když ten rozsah povolím tak tu mám tolik šumu v logu že "nevím" co s tím. Pro mně za mně ať to má takto ISP nakonfigurované, ale pokud jeho zákazníci s adresami z RFC 1918 mohou do internetu přes nějakou veřejnou IP adresu tak na mou veřejnou adresu polezou taky tak.

7

Sítě / Re:Lokální adresy v síti ISP

« kdy: 04. 12. 2019, 19:28:55 »

Tak si změňte nastavení firewallu a je hotovo, ne? IMHO je nastavený špatně, když blokuje adresy, které jsou za WAN "legálně"...

To si právě nemyslím,...

Můžete, prosím, upřesnit, co si nemyslíte a proč?

Že ISP používá ve své síti adresy z RFC1918 je jedna věc (a u ISP v ČR naprosto běžná věc), jiná věc je, že zjevně blokujete legální provoz a pak na diskusích brečíte, že Vám to nefunguje...

Na WAN mám veřejnou IP. Nevím proč by mi na veřejnou IP mělo lézt cokoliv z RFC 1918. Takže si nemyslím, že uvnitř internetu jsou adresy z RFC 1918 "legálně" tak jak jste napsal.

8

Sítě / Re:Lokální adresy v síti ISP

« kdy: 04. 12. 2019, 19:23:48 »

Sítím moc nerozumím, ale nedává to smysl:

1. Jestli blokujete na serveru jen lokální adresy (RFC 1918) a ne z CGN (RFC 6598), které adresy mají pak zákazníci? Neptal jste se některého (pokročilejšího) z nich?
2. Je-li CGN za jednou veřejkou a váš server za druhou veřejkou stejného poskytovatele, je jeho povinností tyto 2 adresy proroutovat, nevidím zde žádnou omluvu, proč by tomu tak být nemělo. Spíš to smrdí podezřením, že i váš server je v CGN a na jeho okraji je natován na veřejnou adresu - díval jste se, zda máte opravdu na rozhraní toho serveru veřejku a z jakých adres chodí na server požadavky zákazníků?
3. Necháte si jméno oněch "profesionálů" pro sebe?

Na WAN blokuji jen RFC 1918, zákazníci ISP mají adresy z rozsahu 10.0.0.0/8. Pokud jdou kamkoliv ven mimo síť ISP jdou přes veřejnou IP, pokud jdou na server který je u stejného ISP byť má veřejnou IP tak jdou přes lokální adresy.

9

Sítě / Re:Lokální adresy v síti ISP

« kdy: 03. 12. 2019, 10:43:41 »

Tak si změňte nastavení firewallu a je hotovo, ne? IMHO je nastavený špatně, když blokuje adresy, které jsou za WAN "legálně"...

To si právě nemyslím,...

10

Sítě / Re:Lokální adresy v síti ISP

« kdy: 03. 12. 2019, 10:42:06 »

Klienti u jiných ISP problém nemají, jedou z nějaké veřejné adresy ven a to samozřejmě funguje. Pouze klienti u stejného ISP se připojují z lokálních adres 10.0.0.0/8 i když se připojují na veřejnou IP adresu serveru.

RFC 1918 jasně říká, k čemu jsou ty adresy určeny takže nevím proč by mi měli lézt z internetu na WAN.

Připojení z vlastní LAN na vlastní WAN je jiný problém který mně netrápí...

Jméno ISP není přece podstatné...

Z.

11

Sítě / Lokální adresy v síti ISP

« kdy: 03. 12. 2019, 09:19:44 »

Řeším situaci s jedním ISP (ne malým). Máme server s veřejnou IP u něj v síti, na serveru je VPN na kterou se klienti běžně připojují. Bohužel klienti ve stejné síti (ISP) jako je server kteří nemají koupenou veřejnou IP se nepřipojí protože se připojují z lokálních IP adres a firewall na serveru je blokne jelikož na WAN nepustí z venku nic z RFC 1918.

Podle ISP je řešením koupě veřejných adres pro klienty. 

U žádného jiného ISP se mi toto ještě nestalo, je toto řešení OK nebo mám tlačit na ISP aby si síť nastavil jinak?

Díky za podněty!

Z.