NAT 1:1 nebo veřejná IP adresa

Re:NAT 1:1
« Odpověď #15 kdy: 29. 07. 2019, 14:11:36 »
Dotaz: To není možné přes dhcp mu dát veřejnou adresu např 88.32.11.240, subnet 255.255.255.255? Tam vzniká ten problém se 4 IP adresami (v host části bity 0=adresa sítě, bity 1, nejnižší binární kombinace 4 prvky: 00=síť, 01,10=klienti, 11=broadcast), to v IP protokolu není vyjímka, že maska FF.FF.FF.FF  je vždy jeden PC a na adresu sítě a broadcast se nehraje?
Možné to je, ale pak to zařízení nebude mít nakonfigurovanou bránu a je nutné ji dokonfigurovat ručně. A je otázka, zda to nějaký hloupý router dovolí, a také co bude dělat s takovouhle maskou.

maska FF.FF.FF.FF […] přiděluje 192.168.FF.FF
U IPv4 se hexadecimální zápis adres nepoužívá a už vůbec s nepoužívá, že byste napsal první dva bajty desítkově a druhé dva bajty šestnáctkově.

Odbočka: jak je to udělané, když chtějí komunikovat zákazníci stejného ISP mezi sebou? Tedy když mají stejnou IP 10.100.100.1.
... Klíčová otázka je, kdy probíhá překlad na 47.21.222.144 (myslel jsem že když paket jde mimo síť operátora),  ale probíhá tam ještě nějaký další překlad (aby s sebou mohli komunikovat 2 klienta téhož ISP a aby měly jinou IP než oba 10.100.100.1)?
Obávám se, že někteří zejména garážoví ISP na komunikaci zákazníků mezi sebou kašlou. Kde probíhá ten překlad je záležitostí každého ISP, u menších ISP to bude spíš jeden centrální bod před „vstupem“ do internetu, protože je to jednodušší na správu. S růstem ISP se ten NAT může stát úzkým hrdlem, protože to prostě jedno zařízení nebude zvládat, pak se může vyplatit přesunout NAT blíž k zákazníkům. Velký ISP už zase může mít nedostatek IPv4 adres i pro vlastní síť , pak už možná bude používat nějaký CGNAT, ale takoví ISP už doufám zmigrovali nebo migrují na Dual-Stack lite.


5nik

  • ***
  • 139
    • Zobrazit profil
    • E-mail
Re:NAT 1:1 nebo veřejná IP adresa
« Odpověď #16 kdy: 29. 07. 2019, 15:13:14 »
Podle mého názoru je NAT 1:1 zlo, které akorát komplikuje konfiguraci klientského routeru. Například s IPsec/L2TP vpn serverem za NATem mají problém Windows klienti se vůbec připojit (je potřeba zásah do registru, aby se připojili). Lokální přístup na služby přes veřejnou IP opět znamená další dstNAT navíc (pokud nechci provoz honit k ISP a zpět). Možné problémy s různými SIP NAT helpery (SIP ALG). Již zmíněná komunikace dvou klientů za 1:1 NATem ve stejné síti může být také problém.
Chápu tu jednoduchost z pohledu malých ISP, ale z pohledu klienta je to hnus.

Zmíněný DS Lite většinou neumožňuje přepnutí routeru od ISP do bridge režimu a použití vlastního routeru (tuším UPC případ).

Re:NAT 1:1 nebo veřejná IP adresa
« Odpověď #17 kdy: 29. 07. 2019, 19:05:02 »
NAT je zlo, o tom žádná. Ale dokázal byste router za tři stovky nakonfigurovat tak, aby měl veřejnou IP adresu přímo a ISP na to nevyplýtval 4 adresy? Ideálně pomocí DHCP, aby nemusel zákazník nic na svém routeru nastavovat ručně?

5nik

  • ***
  • 139
    • Zobrazit profil
    • E-mail
Re:NAT 1:1 nebo veřejná IP adresa
« Odpověď #18 kdy: 29. 07. 2019, 19:27:35 »
NAT je zlo, o tom žádná. Ale dokázal byste router za tři stovky nakonfigurovat tak, aby měl veřejnou IP adresu přímo a ISP na to nevyplýtval 4 adresy? Ideálně pomocí DHCP, aby nemusel zákazník nic na svém routeru nastavovat ručně?

Psal jsem, že to z pohledu ISP chápu. Proč ale nenabízí alternativu pro "schopnější" routery a jejich uživatele? To je to, co mne mrzí / štve. Evidentně je více možností - viz několik příspěvků dozadu. Mám zkušenosti i ze strany malého ISP a vím, že kde je vůle, najde se i cesta a nemusí být nijak klikatá.

Re:NAT 1:1 nebo veřejná IP adresa
« Odpověď #19 kdy: 29. 07. 2019, 19:51:20 »
Každé netypické řešení je dražší a náchylnější k chybám. A druhá věc je, proč si myslíte, že nenabízí – ISP může standardně poskytovat veřejnou IP adresu pomocí NAT 1:1, ale třeba se s ním dá domluvit i přímé odroutování IPv4 adresy. Někdo tu také v diskusi psal, že odroutovanou veřejnou IPv4 adresu nabízí ISP za čtyřnásobek ceny veřejní IPv4 adresy přes NAT 1:1 – prostě to vyřeší standardně sítí /30 a nechá si zaplatit všechny 4 IPv4 adresy, které na to padnou.


5nik

  • ***
  • 139
    • Zobrazit profil
    • E-mail
Re:NAT 1:1 nebo veřejná IP adresa
« Odpověď #20 kdy: 29. 07. 2019, 20:01:59 »
Každé netypické řešení je dražší a náchylnější k chybám.
Je k zamyšlení, co je netypické řešení. Pokud s tím ISP počítám již dopředu, tak nemusí pak dělat nějaká "netypická" řešení

A druhá věc je, proč si myslíte, že nenabízí – ISP může standardně poskytovat veřejnou IP adresu pomocí NAT 1:1, ale třeba se s ním dá domluvit i přímé odroutování IPv4 adresy. Někdo tu také v diskusi psal, že odroutovanou veřejnou IPv4 adresu nabízí ISP za čtyřnásobek ceny veřejní IPv4 adresy přes NAT 1:1 – prostě to vyřeší standardně sítí /30 a nechá si zaplatit všechny 4 IPv4 adresy, které na to padnou.
Ano, přesně taková je moje zkušenost s ISP. Buď NAT 1:1 nebo nesmyslná platba za 4 veřejné IP, ze kterých využiji akorát 1. Ale to je prostě zbytečné plýtvání IPv4, kterých je málo a stále budou zatím zapotřebí. Podobnou negativní zkušenost mám s poptávanou podporou IPv6 (pravda, už to je nějaký pátek, třeba přehodnotili postoj).

Re:NAT 1:1 nebo veřejná IP adresa
« Odpověď #21 kdy: 30. 07. 2019, 07:26:02 »
Je k zamyšlení, co je netypické řešení. Pokud s tím ISP počítám již dopředu, tak nemusí pak dělat nějaká "netypická" řešení
Nasadit to všem ISP nemůže, protože většina klientů by si neuměla router nastavit, u mnohých by to pravděpodobně router ani neuměl. Takže to stejně musí provozovat v kombinaci s 4×IPv4 nebo NAT 1:1. A těch zákazníků, kteří budou chtít to řešení s 1 routovanou veřejnou IPv4 adresou, bude minimum – takže to prostě vždy bude netypické řešení, i kdyby  s ním ISP počítal už dopředu.

Re:NAT 1:1 nebo veřejná IP adresa
« Odpověď #22 kdy: 31. 07. 2019, 12:29:29 »
Proč by se musela brána konfigurovat ručně? A jaká by byla ta ip adresa brány? (když například IP  zákazníka ja 44.44.44.44) Nebyl by to další údaj "navíc"? (Protože nyní s 1:1 nat mám adresu brány 10.100.100.1, IP 44.23.43.87 například)

Re:NAT 1:1 nebo veřejná IP adresa
« Odpověď #23 kdy: 31. 07. 2019, 21:11:06 »
Pokud by ISP použil variantu standardní IPv4 adresa z privátního rozsahu + veřejná IPv4 adresa, je potřeba tomu routeru přidělit dvě IP adresy. To asi běžný router přes DHCP nebude umět. Navíc by se stejně muselo ručně nakonfigurovat to, že ta veřejní IPv4 adresa se má přednostně používat pro odchozí spojení a maškarádu. Pokud by ISP používal variantu, že přidělí jen veřejnou IPv4 adresu, ale routovalo by se přes nějakou privátní síť, znamená to přidělit veřejnou IPv4 bez routy a vedle ní adresu brány – pochybuju, že to půjde přes DHCP přidělit levným routerům (vlastně si nejsem jistý, zda to vůbec jde přes DHCP přidělit).