Příspěvky

301

Sítě / Re:Lokální adresy v síti ISP

« kdy: 03. 12. 2019, 16:51:43 »

Pokud je problém skutečně v tom, že ISP přiděluje veřejné IP adresy pomocí DNATu, ale už nedělá SNAT na provoz ze své sítě, povolení na firewallu nepomůže.

Pozor, to z puvodniho prispevku nevyplyva. Tahle situace nastava typicky ve chvili, kdy ISP prideluje "verejne IPv4 adresy" (ve skutecnosti provadi 1:1 NAT na nejake NAT gatewayi). Pak skutecne muze dojit k asymetrickemu routovani provozu a nenavazani spojeni (protoze pro onoho uboheho klienta se jedna o neplatne sezeni a jeho firewall ho zahodi). Ma to i svuj nazev: nenakonfigurovany NAT hairpinning.

Autor v puvodnim prispevku pise o verejne IPv4 adrese, ale uz neuvadi, jestli ma adresu primo na serveru, nebo jestli ISP dela 1:1 NAT. Ma-li IPv4 adresu primo na serveru a ISP mu ji routuje, pak nastava ten stav, ktery jsem popsal ja.

302

Sítě / Re:Lokální adresy v síti ISP

« kdy: 03. 12. 2019, 13:01:19 »

Vymente ISP
nebo
Povolte RFC1918 rozsahy ve firewallu
nebo
Presunte server jinam

RFC toho rikaji spoustu, ale nektera pravidla se v dobe vycerpani IPv4 adres nedodrzuji. Vitejte na Internetu roku 2020.

Pro zajimavost: kolik platite ISP za tuto pripojku?

Mimo tema:
ISP si v urcite dobe zvolil, ze jeho klienti budou mit na svych WAN rozhranich adresy z RFC1918. Dnes by pravdepodobne zvolil 100.64.0.0/10, ale tehdy byla situace jina.
ISP kvuli Vam preadresovavat vsechny klienty nebude; provoz od nich k Vam jde, zda se, standardnim routingem (nejblizsi cestou, mimo NAT box tohoto operatora). Z pohledu RFC jsou mozna adresy 10.0.0.0/8 pro privatni site, de facto jsou ovsem v pripade tohoto ISP v "Internetu".
Az (pokud) budou mit klienti i Vas server IPv6 konektivitu, provoz pujde stejnou (primou) cestou, jen adresy budou z GUA bloku (2000::/3).

Je to tedy cele spis o psychologii: hledat zpusob a pripustit si, ze klienti pripojujici se na VPN z 10.0.0.0/8 maji legitimni duvod a port na firewallu otevrit, nebo trvat na RFC 1918 a hledat duvod, proc mit zablokovane pristupy z RFC 1918 adres.

303

Sítě / Re:Připojení DSL - kdo může za kvalitu připojení

« kdy: 25. 11. 2019, 16:22:50 »

Co to znamena? Ten 365internet dle testu mi funguje, i jinem lidem jo a hlavne je to bez zavazku Pokud vyberu tak vzdy jen providera, ktery ma logo na Cetin webu O2 prave nic moc, takze mate tu snad nekdo nekoho lepsiho?
Jinde maj vyssi cenu, pripadne smlouvu a uvazek. Pokud mi nejde plna rychlost 365internet mi treba dal slevu bez reci

Pozor, nemyslel jsem to zle (proto byl ten obyvak v uvozovkach). Jestli to tak vyznelo, tak se omlouvam. 365internet je mlada, dynamicka firma, schopna a ochotna (mam od nich VDSL 35b modem, vzdycky odpovidaji obratem; jedina nevyhoda jejich site je absence IPv6 - kdyby meli IPv6, byli by mym providerem prvni volby).
Byla to spis reakce na ten obyvak, ktery tu predrecnik zminoval. 365internet je mala firma, ktera realne nabizi DSL/opticke sluzby na siti CETINu, na rozdil od preprodejcu O2 sluzeb (zminovany inetpraha a pod.).

Mimochodem, z jakeho IP rozsahu prideluje IPv4 adresy 365internet? Diky.

304

Sítě / Re:LTE Pevný Internet na Doma

« kdy: 24. 11. 2019, 19:41:58 »

TM ma v Cercanech site sdilenou s O2 na adrese K Vodárně 455 a je tam technologie 800 a 1800 MHz. Padesatku by teoreticky nabidnout mohli, ale pokud uz prodali prilis sluzeb, jen tak se kapacita neuvolni.

VF ma site v Porici a Ctyrkolech, tedy docela daleko na stabilni padesatku.

V okoli adresy K Vodarne je ale docela dost domu s dostupnym VDSL 50/5 nebo i 100/10. Pokud u vas je dostupna jen padesatka a vedou k vam alespon dva pary telefonnich dratu, pockal bych do noveho roku a pak vzal od nejakeho schopneho operatora dvouparove VDSL (je-li skutecne dostupnych 50/5, dostanete se na dvouparovem VDSL na 100/10). Zkuste se podivat na zrychlujemecesko.cz, jakou rychlost muzete u vas mit na jednoparovem DSL dnes.

Mimochodem: Pravdepodobne mate sluzbu se zavazkem na dva roky - to se mozna vyplati pockat do dubna, od dubna uz totiz prakticky nebudete platit smluvni pokutu za predcasne zruseni tarifu se zavazkem.

305

Sítě / Re:Připojení DSL - kdo může za kvalitu připojení

« kdy: 04. 11. 2019, 14:22:00 »

Konvertor z optiky na Ethernet nepotrebujete, ten Vam doda CETIN. Vzhledem k pouziti GPON s vlastnim konvertorem (napr. SFP modulem) spis nepocitejte, CETIN by Vam ho do sve site nejspis nezaregistroval.

Router si poridte libovolny s podporou PPPoE nad VLAN nad Ethernetem (to je dulezite). CETIN GPON konvertor pripojite do ethernet portu Vaseho routeru, vytvorite VLAN 848; pri vytvareni PPPoE pripojeni bude treba zvolit rozhrani teto VLAN.

306

Sítě / Re:Připojení DSL - kdo může za kvalitu připojení

« kdy: 02. 11. 2019, 07:19:56 »

A jeste jedna dulezita vec: Terminator bude soucasti sluzby, takze tech 20 Kc bez DPH je mesicne. Nejspis ho ze zacatku CETIN nebude instalovat pro vsechny ISP. ISP se starou velkoobchodni smlouvou bude dal prodavat a pracovat s DSL modemy, ISP s novou velkoobchodni smlouvou budou Terminator mit jako soucast sluzby prave od 2. 1.

Hodne tedy zalezi i na ISP, ktereho si vyberete.

307

Sítě / Re:Připojení DSL - kdo může za kvalitu připojení

« kdy: 01. 11. 2019, 21:44:20 »

Hmm, v tom prispevku mam preklep. Je to 20 Kc bez DPH (velkoobchodne).

Pokud budete na optice, Terminator vubec nepotrebujete (dostanete misto toho GPON ONT, tedy prevodnik z optiky na Ethernet). V obou pripadech (s terminatorem i s optikou) potrebujete router schopny na WAN vytocit PPPoE nad VLAN 848.

308

Sítě / Re:Připojení DSL - kdo může za kvalitu připojení

« kdy: 30. 10. 2019, 21:37:05 »

Takovy sikovny typek muze mesicne fakturovat tisice zakazniku a nemusi vytahnout řiť z panelaku. Pokud lidi fakturuje prumerne za 400,- mesicne a s CETINem se dostane treba na 250,- mesicne (Disclaimer: Cisla jsou vycucany z prstu ;-), tak to od urcityho poctu lidi neni nezajimavy. Namatkou treba:

Jak jsem pochopil, tak uplne samovolne to nefunguje a ISP musi mit nejakou koncovou infrastrukturu. Nebo nemusi?

Ovsem predstavy pana o fakturaci 400 Kc (asi s DPH) a nakladech 250 Kc (asi bez DPH) jsou docela mimo.

Vsak jsem psal ze cisla jsou vycucany z prstu ;-)

To jste sice napsal, ale dal jste za priklad dva obchodniky (preprodejce) O2 (nejsou registrovani u CTU, neplni zakonne podminky, atp.); Pokud chcete ukazovat nekoho, kdo "to dela z obyvaku", zkuste spis 365internet. A i ti toho musi plnit mnohem vic a neni to zadna legrace.

309

Sítě / Re:Připojení DSL - kdo může za kvalitu připojení

« kdy: 29. 10. 2019, 19:51:07 »

Takovy sikovny typek muze mesicne fakturovat tisice zakazniku a nemusi vytahnout řiť z panelaku. Pokud lidi fakturuje prumerne za 400,- mesicne a s CETINem se dostane treba na 250,- mesicne (Disclaimer: Cisla jsou vycucany z prstu ;-), tak to od urcityho poctu lidi neni nezajimavy. Namatkou treba:

Jak jsem pochopil, tak uplne samovolne to nefunguje a ISP musi mit nejakou koncovou infrastrukturu. Nebo nemusi?

Infrastrukturu mit nemusi, muze si ji pronajimat. Ovsem predstavy pana o fakturaci 400 Kc (asi s DPH) a nakladech 250 Kc (asi bez DPH) jsou docela mimo.

CETIN ma ceny na webu (https://www.cetin.cz/mmo), nejmensi cena za pristup, pripojeni a Terminator je od 2. 1. 2020 253 Kc bez DPH, a to v tom neni ani bit konektivity v siti CETINu (plati se zvlast), NAT farma/cena za verejne IPv4 adresy/clenstvi v RIPE NCC, a ani bit konektivity do Internetu (tranzit, peering). Pri cene koncove pripojky 400 Kc s DPH je to pro maleho ISP (s nizkymi stovkami zakazniku) temer ztratova aktivita. U drazsich linek je to zajimavejsi, ale ne o moc (bavime se tu o castce v nizkych stokorunach Kc na tu nejdrazsi pripojku, a to nesmite vychytat zakaznika, ktery ma nonstop spustene dva OTT streamy s bitratem 10+ Mbps).

K tomu povinnosti vynucovane CTU (reporting, kontroly), zakonem (odposlechy, data retention)... neni to prochazka ruzovym sadem.

310

Sítě / Re:Připojení DSL - kdo může za kvalitu připojení

« kdy: 25. 10. 2019, 11:48:08 »

Urcite. O2 ma v siti nasazenou prioritizaci provozu, tech 250 Kc mesicne za verejnou IPv4 je jejich cena, a navic unaseji spojeni:
https://forum.root.cz/index.php?topic=21916.0

Jako malus neumeji spravne IPv6.

K o2 opravdu radeji ne.

311

Sítě / Re:Připojení DSL - kdo může za kvalitu připojení

« kdy: 25. 10. 2019, 10:59:08 »

CETIN má na starosti poslední míli (dráty od DSLAMu do domu/bytu), transportní síť po republice a předávací bod(y).

ISP má na starosti:
- přidělování IP adres (IPv4, IPv6)
- dimenzování a redundanci propojů mezi sítí ISP a CETINu (spoj mezi sítí ISP a CETINu může a nemusí být redundantní, linka mezi sítí ISP a CETINu může být poddimenzovaná nebo správně nadimenzovaná)
- zajištění konektivity do národních (Peering.cz, NIX.cz) a mezinárodních (tranzitní konektivita) "Internetů", opět s různou úrovní nadimenzování a redundance

Na CETINu tedy je, aby se DSL linka dokázala sesynchronizovat na co nejvyšší rychlosti při zachování stability, aby nebyla transportní síť poddzimenzovaná, a aby fungovala autentizace a autorizace zákazníka. Tahle část bude pro všechny ISP prakticky shodná. Když vypadne proud a DSLAM nemá napájení, postihne to klienta nezávisle na ISP. Když CETINu někdo překopne regionální optiku propojující DSLAM a BRAS (agregační bod) a CETIN nebude mít funkční redundanci, postihne to klienta nezávisle na ISP.

Na ISP je všechno ostatní - pokud bude mít směrem k CETINu, peeringu nebo tranzitu slabou nebo poruchovou linku, budete mít výpadky. Pokud bude mít v síti shaper, který se chová nemravně, nebo nebude mít optimalizovaný routing, poznáte to na kvalitě připojení. Pokud nedokáže nabídnout IPv6 prefix, nebudete mít IPv6. Veřejná IPv4 adresa může stát 0 Kč nebo taky 250 Kč měsíčně.

Shrnuto: na ISP hodně záleží. Nejspíš stejně jako na kvalitě vedení mezi DSLAMem a domem/bytem, ale možná ještě víc.

312

Sítě / Re:Android v IPv6 only siti

« kdy: 10. 09. 2019, 22:12:26 »

> RDNSS 2001:470:xxxx:: {};

Zkusil bych DNS serveru dat i nejakou jinou adresu ze site nez je adresa vsech routeru a tu pak oznamit v RA.

313

Sítě / Re:Jak naroutovat

« kdy: 17. 08. 2019, 15:20:24 »

Hypoteticky by to slo se dvema L3 VPN:
- z vnitrni site by se provoz posilal ven skrze VPN pres mobilni sit
- z vnejsi site by se provoz na VPN koncentratoru smeroval skrze VPN pres DSL

(pozor na to, ze mobilni operatori pocitaji do FUP i uploadovana data)
Zaroven by tento set-up vyzadoval mit pod kontrolou i VPN koncentrator.

Pak staci:
- na vnitrnim routeru: default route via <vpn-pres-mobilni-sit>
- na vpn koncentratoru: route na vnitrni sit via <vpn-pres-dsl>

Idealne nemaskaradovat na vnitrnim routeru, ale az na vpn koncentratoru nebo pred nim. A samozrejme je potreba dat pozor, aby provoz nesezralo RPF.

314

Sítě / Re:Cetin GPON - vhodný router k Huawei ONT

« kdy: 31. 07. 2019, 16:13:47 »

Pokryti domu bych resil vice samostatnymi AP (napr. Ubiquiti UniFi, Mikrotik CapsMan, nebo enterprise reseni z druhe ruky). Je to jedine opravdu funkcni reseni.

Ale i kdyby nic, tak jakykoli Mikrotik alespon ukaze linkovou rychlost a dokaze ji i vynutit (napr. natvrdo vynuceny gigabit).

315

Sítě / Re:Cetin GPON - vhodný router k Huawei ONT

« kdy: 31. 07. 2019, 10:48:30 »

Mikrotik hAP ac2
https://www.i4wifi.cz/cs/211097-routerboard-mikrotik-hap-ac2

• Na WANu má gigabit
• Uroutuje gigabit
• Umí 802.11ac
• Umí IPv6 (i delegovat dál)
• Umí vytáčet PPPoE nad VLAN, což pro CETIN GPON IMHO potřebujete
• Umí fungovat jako Wi-Fi AP v pásmech 2.4 i 5 GHz současně