Lokální adresy v síti ISP

[zett_cz]

Na WAN blokuji jen RFC 1918, zákazníci ISP mají adresy z rozsahu 10.0.0.0/8. Pokud jdou kamkoliv ven mimo síť ISP jdou přes veřejnou IP, pokud jdou na server který je u stejného ISP byť má veřejnou IP tak jdou přes lokální adresy.

Takže řešením je ten rozsah 10.0.0.0/8 u vás neblokovat. V čem je tedy problém?

Tak jak jsem již psal... Z mého pohledu mám za WAN celý internet a odtud mi skutečně dovnitř nic z RFC 1918 nepoleze stejně tak jako neleze z RFC 1918 nic od nás. Když ten rozsah povolím tak tu mám tolik šumu v logu že "nevím" co s tím. Pro mně za mně ať to má takto ISP nakonfigurované, ale pokud jeho zákazníci s adresami z RFC 1918 mohou do internetu přes nějakou veřejnou IP adresu tak na mou veřejnou adresu polezou taky tak.

[Reklama]

[zett_cz]

Na WAN mám veřejnou IP. Nevím proč by mi na veřejnou IP mělo lézt cokoliv z RFC 1918. Takže si nemyslím, že uvnitř internetu jsou adresy z RFC 1918 "legálně" tak jak jste napsal.

Nezáleží na tom, co si myslíte, ale co je napsané v RFC. messagebus si to také myslel, dokonce se oháněl RFC, ale pak to tam nenašel a teď vaří z vody. Adresy dle RFC 1918 nejsou globálně routovatelné, což ale nevylučuje, že mohou být routované v nějaké menší síti. A vy jste zrovna v síti, kde routované jsou.

Tak jistěže nezáleží na tom co si myslím nicméně slovy RFC já mám za WAN public a ne private...

[Filip Jirsák]

Tak jistěže nezáleží na tom co si myslím nicméně slovy RFC já mám za WAN public a ne private...

No evidentně tam máte private.

[zett_cz]

Tak jistěže nezáleží na tom co si myslím nicméně slovy RFC já mám za WAN public a ne private...

No evidentně tam máte private.

Evidentně tam mám public, čtu IP na WAN 46.1x3.x0x.1yy.

[Radek Zajíc]

A v traceroute do Internetu mate jen verejne IPv4 adresy?

[Reklama]

[Filip Jirsák]

Evidentně tam mám public, čtu IP na WAN 46.1x3.x0x.1yy.

Psal jste o tom, co máte za WAN rozhraním, ne jakou IP adresu máte na něm.

Ale hlavně, pokud chcete dokázat, že ISP dělá něco špatně, měl byste najít to ustanovení RFC, které porušuje. Chápu, že vám vadí i to, že narušuje vaši představu, kterou jste měl o privátních IP adresách – ale to ještě neznamená, že dělá něco špatně.

[messagebus]

Nezáleží na tom, co si myslíte, ale co je napsané v RFC. messagebus si to také myslel, dokonce se oháněl RFC, ale pak to tam nenašel a teď vaří z vody. Adresy dle RFC 1918 nejsou globálně routovatelné, což ale nevylučuje, že mohou být routované v nějaké menší síti. A vy jste zrovna v síti, kde routované jsou.

Teda, takhle sproste lhat, to je dno, Jirsaku. Neumet prohravat v pokrocilem veku je trapne Cemu presne jsi nerozumel ve vete "An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above." ?

[messagebus]

Psal jste o tom, co máte za WAN rozhraním, ne jakou IP adresu máte na něm.

Ale hlavně, pokud chcete dokázat, že ISP dělá něco špatně, měl byste najít to ustanovení RFC, které porušuje. Chápu, že vám vadí i to, že narušuje vaši představu, kterou jste měl o privátních IP adresách – ale to ještě neznamená, že dělá něco špatně.

Copak, sam jsi navrhoval adresni plan nejakeho pokripleneho ISP?

[Filip Jirsák]

Teda, takhle sproste lhat, to je dno, Jirsaku.

Já bych to, co předvádíte, nenazýval lhaním. Jenom se vykrucujete.

Neumet prohravat v pokrocilem veku je trapne

Na věku nezáleží. Ale když nejste schopen u osmistránkového textu ukázat na konkrétní ustanovení, ale pořád nepřiznáte, že v textu nic takového není, to už trapné je.

Cemu presne jsi nerozumel ve vete "An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above." ?

Potřebujete tu větu přeložit? zett_cz potřebuje adresu pro externí komunikaci a dostává veřejnou IP adresu 46.1x3.x0x.1yy. Veřejná IP adresa 46.1x3.x0x.1yy nepatří do těch třech privátních bloků vyjmenovaných v RFC.

Copak, sam jsi navrhoval adresni plan nejakeho pokripleneho ISP?

Copak? No jenom to, že jsem po vás chtěl jenom takovou maličkost, abyste v RFC ukázal na konkrétní ustanovení, které podle vás ten ISP porušuje. A vy se od té doby akorát vymlouváte a urážíte. Úplně zbytečně, protože každý, kdo čte tuhle diskusi, dávno ví, že jste konkrétní porušované ustanovení RFC neodkázal, takže akorát vypadáte jako srab, který neumí přiznat omyl.

[messagebus]

Potřebujete tu větu přeložit? zett_cz potřebuje adresu pro externí komunikaci a dostává veřejnou IP adresu 46.1x3.x0x.1yy. Veřejná IP adresa 46.1x3.x0x.1yy nepatří do těch třech privátních bloků vyjmenovaných v RFC.

No jenom to, že jsem po vás chtěl jenom takovou maličkost, abyste v RFC ukázal na konkrétní ustanovení, které podle vás ten ISP porušuje. A vy se od té doby akorát vymlouváte a urážíte. Úplně zbytečně, protože každý, kdo čte tuhle diskusi, dávno ví, že jste konkrétní porušované ustanovení RFC neodkázal, takže akorát vypadáte jako srab, který neumí přiznat omyl.

Ja to teda napisu jeste jednou naposled, chapu, ze to muze nekomu trvat dele, nez to pochopi: "An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above."

Oriskem zustava, co s vasi utkvelou predstavou, ze RFC1918 je jen o zett_cz. Na to bude potreba odbornik z uplne jineho oboru. Mozna, ze by mohl zaroven vyresit i vasi dalsi obsesi - ze jsem vasim sluhou a mam vam hledat cislovani ruznych textu.

[M_D]

No, jen ta věta z RFC1918 "An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above." má návaznost na předchozí text a ten v podstatě říká, že pokud někdo požádá o přidělení IP adres od IANA a spol, tak nikdy nedodje k přidělení adres z těch tří bloků privátních adres.
Jinak to RFC také říká, že uvnitř dané organizace má fungovat komunikace mezi hosty, kteří používají globální adresy i ty lokální. Takže ten druh provozu je v pořádku. Jen ty stroje s privátní adresou, pokud chtějí do globálního internetu, tak musí jít přes něco, co už bude mít globální adresu (NAT nebo proxy).

Ano, dneska by bylo vhodnější, aby ISPík používal pro klienty bez veřejek 100.64/10 - někteří přešli, někteří to používají jen pro nové linky, někteří to ignorují a jedou dál po staru - takových ISP jsou v ČR tisíce.

[ludvik]

No vidíš, já bych řekl, že pod tento termín právě kvůli tomu úvodu nespadá. Provozovatel VPN serveru neprovozuje síť autonomně. Je součásti sítě toho ISP, který už tu síť tak se vší pravděpodobností provozuje. Nebo lze asi říci jinak - má svoje vlastní AS.

Otazka ale stoji jinak: Spada klient pod termin enterprise?
A odpoved je: Jednoznacne ano - viz uvod RFC1918.

[Filip Jirsák]

Ja to teda napisu jeste jednou naposled, chapu, ze to muze nekomu trvat dele, nez to pochopi: "An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above."

K tomu, abyste tu větu pochopil, vám ale nepomůže, když jí budete jen pořád dokola kopírovat. Musíte si ji také přečíst.

[Ondřej Caletka]

Tak jak jsem již psal... Z mého pohledu mám za WAN celý internet a odtud mi skutečně dovnitř nic z RFC 1918 nepoleze stejně tak jako neleze z RFC 1918 nic od nás. Když ten rozsah povolím tak tu mám tolik šumu v logu že "nevím" co s tím.

Chcete říct, že šumu z adres RFC1918 je mnohem víc než šumu ze zbytku veřejného internetu? Pokud ano, tak je skutečně v síti ISP asi něco špatně.

Pro mně za mně ať to má takto ISP nakonfigurované, ale pokud jeho zákazníci s adresami z RFC 1918 mohou do internetu přes nějakou veřejnou IP adresu tak na mou veřejnou adresu polezou taky tak.

Proč tohle chcete? Máte jedinečnou možnost logovat skutečnou adresu zdroje provozu, máte možnost přímého obousměrného spojení bez prostředníků. A vy byste místo toho radši, aby tam ISP strčil NAT, za který své zákazníky schová a kvalitu spojení tím poškodí a jediný argument pro to je, že se vám nelíbí zdrojové adresy na vstupu. To je dost chabý argument pro to, aby kvůli němu ISP přebudovával svou síť.

Mimochodem, v RFC 1918 se také píše, že:

Addresses within this private address space will only be unique within the enterprise, or the set of enterprises which choose to cooperate over this space so they may communicate with each other in their own private internet.

Což je přesně tento případ, tedy až na to, že s ISP na koordinaci privátních rozsahů aktivně nespolupracujete (ale měli byste).

[Foreigner]

Mam ten dojem, ze se tady diky osobnimu sporu pana messagebus s panem Jirsakem straci samotna podstata dotazu.

Tazatel resi na foru svou neschopnost nastavit si firewall. Kdysi jsem mel pripojeni od jednoho ISP s verenou IP a na serveru mi bezela sluzba. Mel jsem na firewallu zakazany vstup adres ze subnetu urcenych pro lokalni site. Pak prisel clovicek, ktery chtel vyuzit muj server. Ja nelenil zavolal poskytovateli, dotazal jsem se na jeho subnet, vysvetlil mu, proc to chci vedet, on mi jej rekl a ja povolil. HOTOVO. Dnes mam internet od jineho ISP, ktery dela NAT  neverejnych a ja vidim na svem WAN vzdy jen verejnou IP. Jde jen o komunikaci s ISP a o nastaveni.
Takze ze mne je to v poradku. ISP ma svou sit nejak udelanou a tak to je. Pokud nejsi ochotny komunikovat misto na foru se zastupcem ISP, pak to bude pro tebe vzdy tezske.
Mimochodem ted mam u jednoho cloveka od tamnejsiho ISP verejnou zpusobem NAT 1:1 a to je teprve prasarna a hajzlovina. Komunikace vramci jeho site nejde a odmita s tim cokoliv delat. Jo a ja to na foru neresil komunikuju s ISP. Dopadlo to tak ze uz mam pozadavek jinde kde jsem si pred tim overil se obch. zastupcem ISP jejich strategii a funkcnost.