Je to plnohodnotná veřejná adresa?

[Miroslav Šilhavý]

Jde tedy o tu jistotu, že u veřejné IP žádný takový problém nenastane z principu a bude tam všechno fungovat hned, ale u 1:1 přeložené adresy  je vždy nějaká implementace která může způsobovat odchylky v chování a že překlad může být nějak osekaný a nemusí tam být pro každý kýžený transportní protokol.

Některé protokoly to mají jako svoji podstatu. Např. zmiňovaný IPSec včetně L2TP VPN. Kromě šifrování, ten protokol zajišťuje, že je šifrováno na skutečném počátku tunelu a odšifrováno na skutečném konci. NAT musí ale do packetu zasáhnout, čímž celý protokol ztrácí celou jednu úroveň zabezpečení, která k němu neodmyslitelně patří.

P2P sítě (jakéhokoliv typu, třeba i blbý videohovor) také využívají znalost IP adresy a snaží se navázat spojení přímo. Pokud adresu neznají, i když máte NAT 1:1, tak stejně tyto protokoly využijí neefektivní způsoby práce za NATEM. Zrovna o pár článku níže se píše o řešení Chrome proti NAT Slipstreamingu.

Vyšší protokoly nemohou IP adresu ani detekovat, protože nikdy nevědí, jestli je opravdu pevná, nebo jestli se může změnit.

NAT 1:1 bych za veřejnou IP adresu nepovažoval, plní to jen část požadavků, které se od "opravdové", tedy směrované pevné IP adresy očekávají.

[Reklama]

[RDa]

Jde tedy o tu jistotu, že u veřejné IP žádný takový problém nenastane z principu a bude tam všechno fungovat hned, ale u 1:1 přeložené adresy  je vždy nějaká implementace která může způsobovat odchylky v chování a že překlad může být nějak osekaný a nemusí tam být pro každý kýžený transportní protokol.

Nic vam nebrani si to "od-NAT-otvat" a prezentovat tyhle IP datagramy jako provoz z podsite s onou verejnou adresou (trocha saskarny s NATem a routingem a mate to). Ale k praktickemu provozu mnoha sluzeb to potreba nastesti neni.

Pokud pouzivate sluzby/protokoly, ktere porusuji OSI model, ze cpou do sve vyssi datove vrstvy, implementacni detaily nizsi vrstvy (napr. FTP passive), tak to jsou veci ktere by se vam rozbili i pri prechodu mezi IPv4 a IPv6.. (a jinym, ne-IP adresovanim).

Verejna IP to je, pokud dostanete veskery prichozi IP provoz, ktery k vam smeruje, v nefiltrovane podobe. Jestli to je tunelem, nebo NAT-em.. je to jedno, jen to stoji praci navic

[Miroslav Šilhavý]

Nic vam nebrani si to "od-NAT-otvat" a prezentovat tyhle IP datagramy jako provoz z podsite s onou verejnou adresou (trocha saskarny s NATem a routingem a mate to). Ale k praktickemu provozu mnoha sluzeb to potreba nastesti neni.

To už je taková magie na druhou. Ve skutečnosti je založená na odhadu, že ISP opravdu propouští vše beze změny, nikde na jeho technologích nevisí žádný aplikační NAT helper, ... Pokud jsou pro to předpoklady, pak toto má v rámci služby zajistit provider (i když nevidím moc účel, proč by to dělal odnatováním a nedostal tam IP adresu nějak inteligentněji).

[M_D]

Je to třeba brát tak, že je ten NAT1:1 pro řadu alternativních ISP nejjednodušší a často to tak dělá schválně pro odlišení consumer služby od "firemní" za jinou cenu. :-(
A pokud budete prudit moc, tak stejně udělá max to odnatování, dělá jich to tak řada. Na své hlavní bráně to NATne 1:1 na neveřejku a na předávacím rozhraní k Vám to zase odNATne 1:1 na tu veřejku. Co chtít víc za pár šupů měsíčně. :-)

[Miroslav Šilhavý]

Co chtít víc za pár šupů měsíčně. :-)

S tím se dá souhlasit, ale férové by bylo nazývat to pravými jmény.

[Reklama]

[Filip Jirsák]

Verejna IP to je, pokud dostanete veskery prichozi IP provoz, ktery k vam smeruje, v nefiltrovane podobe. Jestli to je tunelem, nebo NAT-em.. je to jedno, jen to stoji praci navic

Mícháte do sebe veřejnou IPv4 adresu a filtrování, což jsou dvě odlišné věci. I když budete mít routovanou veřejnou IPv4 adresu, pořád může být provoz na ni filtrován. Naopak NAT teoreticky nijak filtrován být nemusí. Používá se bezestavový NAT, který opravdu jen přepíše IP adresu v hlavičce paketu, přepočítá kontrolní součet a pošle paket dál. Ale například ty kontrolní součty ve vyšších vrstvách protokolů jsou problém – protože kontrolní součet v TCP/IP paketu zahrnuje i IP adresy, musí NAT protokolu TCP/IP rozumět a změnit i ten kontrolní součet. Pokud by skrz NAT procházel paket, kterému NAT nerozumí, může jen změnit IP adresy – ale je dost pravděpodobné, že tím paket z pohledu vyšších vrstev poškodí.

Většina lidí chce veřejnou IPv4 adresu, aby se zvenku dostali na své zařízení přes HTTPS, VPN, SSH apod. Na to NAT 1:1 bohatě stačí. Pokud potřebujete routovanou IPv4 veřejnou adresu, může to být pro ISP specialita, kterou bude chtít zaplatit.

[Miroslav Šilhavý]

Pokud potřebujete routovanou IPv4 veřejnou adresu, může to být pro ISP specialita, kterou bude chtít zaplatit.

To už zní jako "specialita šéfkuchaře." Rychlost dodáme (ale jen někdy, ale nevíme kdy), veřejnou adresu dodáme (ale bude na našem rozhraní, ne na Vašem)... To jsou takové kulišárny, ke kterým asi vede nouze o prostředky (hmotné, finanční, lidské), ale proč to má rozplétat zákazník? Rychlost nazývejme rychlostí (garantovanou, maximální, rozptylem), veřejnou IP adresu, kterou nedodáme (ale zanatujeme) nenazývejme veřejnou IP adresou. O nic víc tu nejde.

PS: někdy se člověk nemůže ani spolehnout na to, že je ten NAT bezestavový, i takoví experti jsou.

[Filip Jirsák]

S tím se dá souhlasit, ale férové by bylo nazývat to pravými jmény.

Že by třeba v reklamě bylo napsáno „globálně routovatelná IPv4 adresa routovaná na zařízení zákazníka, které je přímo připojené do sítě ISP“? To by se v té reklamě hezky vyjímalo a nikdo by tomu nerozuměl…

Když tam napíšete „veřejná adresa“, jak je zvykem, „pravým jménem“ to být nemůže, protože je to nepřesné a neříká to vůbec nic o tom, co s tou veřejnou IP adresou bude. Je to jako „modem v ceně“ – to také neříká, jestli se stanete vlastníkem toho modemu, nebo zda vám ho jen zapůjčí.

veřejnou adresu dodáme (ale bude na našem rozhraní, ne na Vašem)...

To není žádná kulišárna. Že by ta veřejná IPv4 adresa měla být routovaná až na vaše zařízení je jenom váš ničím neodůvodněný předpoklad. Někdo další by mohl tvrdit, že „má veřejnou IPv4 adresu“ jedině tehdy, když u ní bude zapsán v RIPE. A někdo by dokonce mohl tvrdit, že když mu ISP slíbí veřejnou IPv4 adresu, musí pak ta IPv4 adresa být skutečně jeho, žádné propůjčení.

[Miroslav Šilhavý]

To není žádná kulišárna. Že by ta veřejná IPv4 adresa měla být routovaná až na vaše zařízení je jenom váš ničím neodůvodněný předpoklad. Někdo další by mohl tvrdit, že „má veřejnou IPv4 adresu“ jedině tehdy, když u ní bude zapsán v RIPE. A někdo by dokonce mohl tvrdit, že když mu ISP slíbí veřejnou IPv4 adresu, musí pak ta IPv4 adresa být skutečně jeho, žádné propůjčení.

Pořizujete si přípojku. Na té přípojce má být k dispozici to, co si objednáváte. Rychlost změřená na přípojce, IP adresa na přípojce. Zákazníka nemá zajímat, jestli ta rychlost se ztratí někde po cestě od začátku sítě ISP ke zdířce, ani to, že IP adresa je na nějakém rozhraní mimo jeho sféru.

Je to jako „modem v ceně“ – to také neříká, jestli se stanete vlastníkem toho modemu, nebo zda vám ho jen zapůjčí.

Jedná se o službu, ke které je takové zařízení potřeba. Takovým sdělením je zákazník informován, že služba bude zakončena dodaným modemem (tj. ve sféře užití zákazníka). Informuje o tom, že si to nebude muset zákazník zařizovat sám. Jestli bude pronajatý, zapůjčený, darovaný, odprodaný, je informace z jiného ranku, nesouvisejícího se samotnou službou, ale o majetkových vztazích.

[Filip Jirsák]

Pořizujete si přípojku. Na té přípojce má být k dispozici to, co si objednáváte. Rychlost změřená na přípojce, IP adresa na přípojce.

Jo, a přípojka je co? Kabel z mého modemu do zařízení ISP? Takže když na lince mezi mým zařízením a zařízením ISP naměřím 1000 Mbit/s, je to v pohodě, a pokud to zařízení ISP není nikam dál připojeno, nemám si na co stěžovat?

Zákazníka nemá zajímat, jestli ta rychlost se ztratí někde po cestě od začátku sítě ISP ke zdířce, ani to, že IP adresa je na nějakém rozhraní mimo jeho sféru.

Aha, takže když měříte rychlost, je přípojka síť od vás až do NIXu, ale když jde o IP adresu, najednou je přípojka jenom to vaše zařízení. Proč by veřejná IPv4 adresa nemohla být na rozhraní mimo mou sféru? Když si objednávám VPS, taky je na zařízení mimo mou sféru.

Jedná se o službu, ke které je takové zařízení potřeba. Takovým sdělením je zákazník informován, že služba bude zakončena dodaným modemem (tj. ve sféře užití zákazníka). Informuje o tom, že si to nebude muset zákazník zařizovat sám. Jestli bude pronajatý, zapůjčený, darovaný, odprodaný, je informace z jiného ranku, nesouvisejícího se samotnou službou, ale o majetkových vztazích.

No, a úplně stejně to platí i o „veřejné adrese“.

[Miroslav Šilhavý]

No, a úplně stejně to platí i o „veřejné adrese“.

Tohle rádi tvrdí poskytovatelé. Stejně jako svévolné filtrování provozu označují za nutné technické opatření (protože by jinak nezvládali nápory). Naštěstí se to mění a doufejme, že to skončí. Bude to boj ještě na pár let, ale povede se.

[Milan Cagap]

Pre 90% beznych uzivatelov interentu nie je verejna ip potrebna. Pre ostatnych staci bud port forward alebo NAT 1:1.
Je len velmi malo pripadov, kedy zakaznik musi mat vyslovene routovanu verejnu iptv4 adresu.

Aj taky IPsec tunnel Server sa da spravit za port forwardom a nemusi to byt ani NAT 1:1.
Zalezi skor na to, ake protokoli vie spracovavt samotny NAT - router.

Navyse ako bolo na prvej strane spomenute, zakaznik moze mat pridelenu ip cez PPPoE.
Kde lokalna ip moze byt hocijaka neverejna ip a pritom je to plnohodnota verajna ip, akurat ju routuje PPPoE server.

Vzdy len zalezi na tom, na aky ucel tu ip potrebujete. A aj samotna podpora NAT sa o dost zlepsila, oproti minulosti.
A kto chce vyslovene verejnu ip pre kazde zariadenie, moze si dat poskytovatela, ktory podporuje aj ipv6.

[Miroslav Šilhavý]

@Milan Cagap

Já proti tomu nic nenamítám, jsem první, kdo má rád poptávku / nabídku. Zlepšení by bylo potřeba jen na úrovni komunikace se zákazníkem. Nazývat NAPT tak, jak se má, a veřejnou adresu, jak se má. To není nic nesplnitelného.

[jouda2]

[Citation needed]

https://www.betaarchive.com/wiki/index.php?title=Microsoft_KB_Archive/885348

A security advisory pro ENIAC sem nechcete náhodou pastnout? Sorry ale odvolávat se na specifické chování víc než dekádu EOL systému...

[Miroslav Šilhavý]

[Citation needed]

https://www.betaarchive.com/wiki/index.php?title=Microsoft_KB_Archive/885348

A security advisory pro ENIAC sem nechcete náhodou pastnout? Sorry ale odvolávat se na specifické chování víc než dekádu EOL systému...

Nepochopil jste. Ptal jste se na ozdrojování, tak jsem ozdrojoval. IPSec jdoucí přes NAT-T musí oslabit kontrolu checksumů a ztrácíte podstatnou část bezpečnosti. Můžete si to dovolit, pokud máte samotný NAT pod svojí kontrolou. Proto je to ve výchozím stavu vypnuté (na což jste se ptal). Zapínat NAT-T podporu, pokud pro Vás dělá NAT provider, je bezpečnostní blbost.