Příspěvky

256

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 14. 04. 2021, 20:21:40 »

Proroutování adresy na koncové zařízení je technicky velmi jednoduchá věc, přeci nemůže nikdo v diskusi psát, že to stojí o hodně víc, než ty adresy, které na to padnou.

Ano, je to jednoduchá věc – když to děláte ve své síti s pěti počítači. ISP pravděpodobně používá nějakou automatizaci – zasahovat do automatické konfigurace ručně je vždycky velmi problematické.

Ovšem to muselo dát ISP hodně práce, aby udělal automatizaci, aby to nešlo... Vyhnout se routování, vlanám, tunelům, mpls, pppoe a dalším standardním instrumentům, a umět doručit jen rfc1918. Asi zlaté české ručičky a dřevěný mozeček. (Nebo fatální neznalost řemesla, do kterého se pustil).

257

Sítě / Re:10G switch Mikrotik?

« kdy: 14. 04. 2021, 18:36:16 »

Podle toho, co píšete, Vás bude - tipuji - víc trápit latence v provozu, než rychlost. Rychlost na 10 Gb sotva vytížíte, ale o to smutnější pak bývá, když to switch zničí latencí.

258

Sítě / Re:10G switch Mikrotik?

« kdy: 14. 04. 2021, 11:30:28 »

Takze podle vas kdyz do 8port gigabit switche pripojite 4 pary pocitacu a rozjedete mezi nimi traffic na malejch packetech tak to vsem pojede FD wirespeed? ;-))))

Kdyby to byly obvykle jen páry, jenže většinou je to ještě tak, že X počítačů chce komunikovat s jedním (server).

259

Sítě / Re:10G switch Mikrotik?

« kdy: 14. 04. 2021, 09:46:45 »

Kdyz vam neco/nekdo vygeneruje dostatecny pocet malinkych packetu, tak se s celym prenosovym pasmem muzete jit klouzat ;-)

A když provoz přiteče po více portech ve stejný čas, a nejsou tam buffery, které to podrží, tak ten problém máte tuplem.

260

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 22:41:29 »

Což se děje. Zatím jste neukázal jediný případ, kdy by ve specifikaci byla napsaná veřejná IPv4 adresa routovaná na zařízení zákazníka a ISP přitom nabízel NAT.

Jasně, stejně jako ISP nikde nepsali, že inzerovaná rychlost se byť i jen blíží té skutečné... A úřady na to nedávno reagovaly asi kvůli tomu, že to vlastně bylo vždy v pořádku a zákazník si to měl holt domyslet, nebo se poradit s odborníkem :-)).

261

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 22:11:31 »

Ne, tady nejde o žádné „přirozené“ nebo „nepřirozené“. Tady jde o to, že pojem „veřejná IP adresa“ v ceníku znamená, že budu mít možnost používat veřejnou IP adresu. Nic víc. Neříká to nic o tom, jakým způsobem tu veřejnou IP adresu budu používat. Lidé si „veřejnou IP adresu“ pořizují z různých důvodů, přičemž ve většině případů je ten důvod s použitím NATu 1:1 naplněn. Tak proč by se to mělo přejmenovávat a nazývat to nějak jinak? To vy jste v menšině, vy chcete něco speciálního – tak holt vy budete muset specifikovat, že vám nestačí jen tak nějaká „veřejná IP adresa“, ale chcete ji routovanou až na vaše zařízení.

To je odpověď chytré horákyně. ISP vytvoří paskvil, který tu prodávají roky. A po rocích řeknou "že většině stačí", ačkoliv většinou nemají na výběr. Hnus. To bychom taky mohli být stále u toho, že linka dosáhne maximální rychlosti na Hromnice před západem slunce, a že v průměru to pojede na 5 %. Právě proti takovým praktikám se dnes bojuje. Věci mají být jasné, a ne "moudrý" úsudek prodejce, že když to stačí 90 %, tak to tomu 10 % zamlčím a nechám ho, ať si to vyžere. Sakra, nebavíme se tu o tom, že by měl mít někdo povinnost to poskytovat, nebo za levno. Ale jen o tom, aby byl spotřebitel řádně informován takovými slovy, pod kterými si ty omezení bude umět představit, aniž by studoval temná zákoutí obchodních podmínek. OP mají řešit obecné a podřadné věci, nikoliv základní specifikaci toho, za co si platím / připlácím.

262

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 21:35:11 »

ISP ovšem nemůže za to, že ve vás něco vyvolává mylný dojem. To je jako kdybyste si v restauraci objednal vodu, kterou mají na jídelním lístku, a pak si stěžoval, že byla studená, a vy jste přece samozřejmě chtěl horkou vodu na zalití čaje. A argumentoval byste tím, že když v restauraci vidíte na jídelním lístku „voda“, vyvolává to ve vás dojem, že ta voda bude horká.

Jenže ono je to naopak. Jsem v restauraci, objednám si limonádu a oni mi ji přinesou zteplalou. Když reklamuji, tak mi řeknou, že nikde neslibovali chlazenou limonádu a že by to prodražilo, kdyby museli mít ještě lednici.

Podle mě máte posunutá měřítka, možná to vidíte z druhé strany jako "přirozené", ale není to tak.

263

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 21:18:47 »

Zákazníci, kteří chtějí levnější variantu, dostanou levnější variantu, a ti, kteří si chtějí připlatit za dražší, si připlatí dražší variantu. Nic podivného mi na tom nepřipadá.

Ani mně ne. Podivné mi přijde to inzerovat pod pojmem, který vyvolává mylný dojem.
Zde vidím nekonzistenci ve Vašich názorech, tak jak je znám. Pokud se nejedná o obor, ve kterém děláte, vidíte ochranu spotřebitele poměrně tak, jak ji vidím já. Jakmile se jedná o tento obor, hájíte úplně něco jiného. Tedy, že zákazník se má stát odborníkem, který musí umět rozlišit zaměnitelné pojmy - a jinak je to jeho smůla.

264

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 20:54:42 »

Mohl jí předejít, kdyby nespoléhal na nicneříkající pojem „veřejná IP adresa“.

Mohu spoléhat na to, že ISP nesmí omezovat provoz. CGNAT je technickou nutností v době nedostatku IPv4. Proto si někteří zákazníci za vlastní IPv4 adresu připlatí. Logicky očekávají, že nevýhody NATU tím zmizí. V tomto ohledu to za terminus technicus považuji. Naopak nepovažuji za výchozí bod to, že "už dlouho" část ISP praktikuje NAT 1:1 jako náhradu za plnohodnotně směrovanou IP adresu. Ta doba, po kterou to ISP-světě funguje podivně, je opravdu dlouhá - ale vezměte si, měl třeba ÚS nechat špatný volební zákon platit dál jen protože tak funguje "už dlouho"? Podle mě správným měřítkem je pouze technická proveditelnost požadavku "neomezovat", a proveditelné to je.

265

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 20:13:30 »

NAT 1:1 je prostě z pohledu menšího ISP levné a efektivní řešení, zvláště proto že má omezený počet veřejných IP a další už nedostane a proto se to používá.

Toto mi je naprosto jasné. Zaráží mě, že ujednání malými písmeny, nebo nevyřčená omezení jsou ve všech oborech považována za nekorektní a úřady trestána. Tak proč by ISP neměl být stejně fér, jako každý na trhu? Nechť to prostě napíše a zákazník se rozhodne.

Tato praxe vede k jen k problémům. Zákazník pořizuje službu nebo produkt, u kterého je požadavek na pevnou veřejnou IP adresu. Najde si nabídku a předpokládá, že to tedy bude fungovat. A ejhle, najednou spadne do jámy, kdy jeden dodavatel mu sdělí, že bez ostré IP adresy to fungovat nebude, a ISP tvrdí, že NAT 1:1 je pro 99 % zákazníků dostačující. Zákazník pak realizuje ztrátu, které nemohl ani při opatrnosti předejít, protože ta informace byla prostě zamlčena.

266

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 19:42:33 »

Bohužel nemáme metriku na prostoru ISP, takže do diskuze "většina to má špatně" bych se nerad pouštěl, včetně korelace malý ISP == neví že IP protokolů je víc než 6 a 17.

Já se na to dívám pořád asi z jiného úhlu. Mně ani tak nevadí, že každý ISP nenabízí všechno, ani by mě nedráždila situace, že "většina to má špatně". To vidím jako otázku trhu, nabídky a poptávky. Mně vadí pouze to, že základní charakteristiky přípojky nejsou sdělované a tak vůbec vzniká prostor pro úvahy, jestli NAT 1:1 lze označit za veřejnou IP adresu pro přípojku. Můžeme se taky podívat do předpisů; ISP nesmí filtrovat a z(ne)výhodňovat typy provozu. Je tedy podle mě poměrně zřejmé, že je cílem, aby se k zákazníkovi dostala přípojka co nejplnohodnotnější. Výjimky možné jsou, z technických důvodů. Ale mezi technické důvody nelze započítávat "nám se nechce", "naše technologie na to není připravená", "stálo by to moc peněz" apod., což jsou ty skutečné důvody. Má to být tak, že ISP nabídne nezprzněnou linku za cenu, kterou určí jako odpovídající. Zbylé (levnější) varianty označí omezeními, která se s nimi pojí. Pak je to jednoznačně fér. 99,9 % lidí se spokojí s levnější variantou, omezenou o funkce, které stejně nevyužije.

267

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 15:07:37 »

Každopádně vina naprosto jasně není na onom 1:1 NATu (ten za to fakt nemůže), ale tomu že provider kromě NATování i filtruje (příchozí) traffic.

To je slovíčkaření. Ve skutečnosti jsou to spojité nádoby. Málokterý (malý) ISP to umí dobře a zároveň je v takovém stavu, že musí vůbec NAT 1:1 využívat. Obvykle jde ruku v ruce to, že NAT 1:1 přichází i s dalšími problémy. Pochopitelně si umím NAT udělat správně, dokonce i na druhém konci třeba odnatovat, ale proč bych to dělal, když mám v ruce daleko smysluplnější nástroje, jak doručit IP adresu tam, kde ji potřebuji mít?

Z praxe vím, že na některých přípojkách, kde zákazník potřeboval pevnou veřejnou IP adresu a provider to dělal přes NAT, prostě IPSec neprocházel, nebo zlobil. Provider se tvářil (skoro až) udiveně, že existují jiné protokoly, než TCP, UDP a ICMP, a že by to někdo mohl chtít. Obvykle se to nevyjasnilo, takže zůstala situace, ve které jsem se nikdy nedozvěděl, co mají omezené a proč. Mnohdy to vypadalo, že i NAT 1:1 prochází přes jejich standardní stateful zpracování.

Takže ano, můžeme tu slovíčkařit i se shodnout na tom, že NAT nemusí představovat problém. Trvám si však na tom, že na velké části přípojek, kde to takto provideři řeší, se problémy objevují (a nikdo je nemá zájem řešit).

268

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 14:13:25 »

Dokument z 2001, IKEv2 je z roku 2005 https://en.wikipedia.org/wiki/Internet_Key_Exchange#Improvements_with_IKEv2
pane kolego, prvně si něco nastudují, pak to začnou používat, teprve pak dělají chytrého. Jinak hrozí fiakr.

Zmiňovaná změna v registrech Windows se netýká IKEv2, pro ni není potřeba.

269

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 14:11:41 »

[Citation needed]

https://www.betaarchive.com/wiki/index.php?title=Microsoft_KB_Archive/885348

A security advisory pro ENIAC sem nechcete náhodou pastnout? Sorry ale odvolávat se na specifické chování víc než dekádu EOL systému...

Nepochopil jste. Ptal jste se na ozdrojování, tak jsem ozdrojoval. IPSec jdoucí přes NAT-T musí oslabit kontrolu checksumů a ztrácíte podstatnou část bezpečnosti. Můžete si to dovolit, pokud máte samotný NAT pod svojí kontrolou. Proto je to ve výchozím stavu vypnuté (na což jste se ptal). Zapínat NAT-T podporu, pokud pro Vás dělá NAT provider, je bezpečnostní blbost.

270

/dev/null / Re:Je to plnohodnotná veřejná adresa?

« kdy: 13. 04. 2021, 14:07:14 »

@Milan Cagap

Já proti tomu nic nenamítám, jsem první, kdo má rád poptávku / nabídku. Zlepšení by bylo potřeba jen na úrovni komunikace se zákazníkem. Nazývat NAPT tak, jak se má, a veřejnou adresu, jak se má. To není nic nesplnitelného.