Lokální adresy v síti ISP

[messagebus]

Můžete, prosím, upřesnit, co si nemyslíte a proč?

Že ISP používá ve své síti adresy z RFC1918 je jedna věc (a u ISP v ČR naprosto běžná věc), jiná věc je, že zjevně blokujete legální provoz a pak na diskusích brečíte, že Vám to nefunguje...

Pouzivat ve sve siti muzete adresy libovolne, ale jakmile se jeden vas klient pri kontaktu s druhym jevi tak, ze jeho IP je z rozsahu RFC1918, tak jste naprosti diletanti a podvodnici a hanba vam.

[Reklama]

[Ħαℓ₸℮ℵ ␏⫢ ⦚ »]

Pokud je problém skutečně v tom, že ISP přiděluje veřejné IP adresy pomocí DNATu, ale už nedělá SNAT na provoz ze své sítě, povolení na firewallu nepomůže.

Pozor, to z puvodniho prispevku nevyplyva. Tahle situace nastava typicky ve chvili, kdy ISP prideluje "verejne IPv4 adresy" (ve skutecnosti provadi 1:1 NAT na nejake NAT gatewayi). Pak skutecne muze dojit k asymetrickemu routovani provozu a nenavazani spojeni (protoze pro onoho uboheho klienta se jedna o neplatne sezeni a jeho firewall ho zahodi). Ma to i svuj nazev: nenakonfigurovany NAT hairpinning.

Autor v puvodnim prispevku pise o verejne IPv4 adrese, ale uz neuvadi, jestli ma adresu primo na serveru, nebo jestli ISP dela 1:1 NAT. Ma-li IPv4 adresu primo na serveru a ISP mu ji routuje, pak nastava ten stav, ktery jsem popsal ja.

+1

Ještě bych dodal, že Hairpin NATu se za normálních okolností chcete (třeba jako ISP) vyhnout. Hraniční router/firewall/... je zbytečně zatěžován provozem, který má jít pouze v rámci vnitřní sítě.

A jak to udělat, aby to nešlo přes edge router?

[Filip Jirsák]

Pozor, to z puvodniho prispevku nevyplyva. Tahle situace nastava typicky ve chvili, kdy ISP prideluje "verejne IPv4 adresy" (ve skutecnosti provadi 1:1 NAT na nejake NAT gatewayi). Pak skutecne muze dojit k asymetrickemu routovani provozu a nenavazani spojeni (protoze pro onoho uboheho klienta se jedna o neplatne sezeni a jeho firewall ho zahodi). Ma to i svuj nazev: nenakonfigurovany NAT hairpinning.

Autor v puvodnim prispevku pise o verejne IPv4 adrese, ale uz neuvadi, jestli ma adresu primo na serveru, nebo jestli ISP dela 1:1 NAT. Ma-li IPv4 adresu primo na serveru a ISP mu ji routuje, pak nastava ten stav, ktery jsem popsal ja.

Ano, v předchozím příspěvku jsem psal o situaci, kdy je „veřejná" IPv4 adresa řešená NATem 1:1, protože tahle varianta tu popsaná nebyla a je to jedna z možností (tazatel nenapsal, jak přesně má veřejnou IPv4 adresu přidělenou).

Pokud má veřejnou IPv4 adresu přidělený skutečně až tazatelův server a ta IPv4 adresa je v síti ISP normálně routovaná, je podle mne řešení ISP trochu zvláštní, nicméně žádnému standardu neodporuje a chyba je spíš na straně tazatele, který iniciativně na firewallu blokuje i legitimní příchozí provoz (o kterém ovšem nemusel vědět a nemusel vědět, že je legitimní). Navíc ty IPv4 adresy v síti ISP mohou být v konfliktu se sítí tazatele.

Ale v zásadě je pořád problém v tom, že je málo IPv4 adres, a teď se z toho všichni snaží nějak vybruslit s co nejmenšími ztrátami. Druhá otázka je, zda při tom někdo nepáchá víc škod, než je nezbytně nutné.

[SB]

...ISP používá ve své síti adresy z RFC1918 je jedna věc (a u ISP v ČR naprosto běžná věc)...

To zní jako omluva lenosti poskytovatelů...

...zjevně blokujete legální provoz a pak na diskusích brečíte, že Vám to nefunguje...

Mno, problém bude asi v tom, že pod "veřejná adresa" si každý představujeme něco jiného. Já například adresu, která se vyskytuje na rozhraní MÉHO zařízení, ne kdesi v ...

[SB]

A jste si jist, ze v podepsane smlouve nestoji, ze ISP znamena Intranet Service Provider?

 

[Reklama]

[SB]

...Hairpin NATu se za normálních okolností chcete (třeba jako ISP) vyhnout. Hraniční router/firewall/... je zbytečně zatěžován provozem, který má jít pouze v rámci vnitřní sítě.

No jo, když to holt hošani někde vohnou, tak je to pak třeba zase někde rovnat, což překvapivě nemusí být zadarmo...

[SB]

Pořád tu nevidím název toho intranetového poskytovatele...

[Ondřej Caletka]

Pouzivat ve sve siti muzete adresy libovolne, ale jakmile se jeden vas klient pri kontaktu s druhym jevi tak, ze jeho IP je z rozsahu RFC1918, tak jste naprosti diletanti a podvodnici a hanba vam.

Není to zvláštní, nejsou podvodníci ani diletanti. Takové nastavení je naprosto normální a dělají to téměř všichni už od chvíle, kdy na internetu není dost veřejných IP adres pro všechno (a zároveň ještě není takový nedostatek, aby se NATovalo úplně všechno).

Máte prostě v síti několik rozhraní/vlan. Pro lepší zákazníky s veřejnou IPv4 adresou máte rozhraní s adresou třeba 192.0.2.1/24, pro horší zákazníky máte rozhraní s adresou 10.0.0.1/24. Celé je to v rámci vaší sítě, všechny směrovače díky směrovacímu protokolu vědí, které adresy jsou pověšeny na kterém routeru, bez ohledu na to, zda jsou veřejné nebo ne. Síť nemá žádné zábrany předávat data mezi veřejnými a privátními adresami, ostatně ty směrovače vůbec nezajímá, jestli ta adresa je napsána v nějakém RFC 1918 nebo ne.

Tímhle způsobem se dřív komunikovalo třeba s management rozhraními, které je potřeba mít dostupné po IP, ale není nutné je mít dostupné i z internetu. Teprve když chcete těm zařízením v síti s privátními adresami zajistit komunikaci se zbytkem internetu, musíte dát na hranici sítě NAT box, který přeloží privátní adresy na veřejné tak, aby se požadovaný provoz měl jak vrátit do naší sítě. Pokud ale někdo s privátní adresou v rámci naší sítě komunikuje s veřejnou adresou v rámci naší sítě, nedává žádný smysl tento provoz honit přes NAT box, protože naše síť moc dobře ví, kde která privátní adresa leží a není tedy žádoucí provoz narušovat vkládáním NATu.

Řešení pro tazatele tedy nejspíš je nakonfigurovat správně firewall, aby počítal s tím, že na WAN straně se mohou legitimně objevit i privátní adresy. Zároveň by se měl ISP zeptat, jaké privátní adresy používá a pro svou VPN použít jiné, protože pokud se objeví stejná adresa na WAN i ve VPN, nebude to fungovat.

[messagebus]

Není to zvláštní, nejsou podvodníci ani diletanti. Takové nastavení je naprosto normální a dělají to téměř všichni už od chvíle, kdy na internetu není dost veřejných IP adres pro všechno (a zároveň ještě není takový nedostatek, aby se NATovalo úplně všechno).

Máte prostě v síti několik rozhraní/vlan. Pro lepší zákazníky s veřejnou IPv4 adresou máte rozhraní s adresou třeba 192.0.2.1/24, pro horší zákazníky máte rozhraní s adresou 10.0.0.1/24. Celé je to v rámci vaší sítě, všechny směrovače díky směrovacímu protokolu vědí, které adresy jsou pověšeny na kterém routeru, bez ohledu na to, zda jsou veřejné nebo ne. Síť nemá žádné zábrany předávat data mezi veřejnými a privátními adresami, ostatně ty směrovače vůbec nezajímá, jestli ta adresa je napsána v nějakém RFC 1918 nebo ne.

Tímhle způsobem se dřív komunikovalo třeba s management rozhraními, které je potřeba mít dostupné po IP, ale není nutné je mít dostupné i z internetu. Teprve když chcete těm zařízením v síti s privátními adresami zajistit komunikaci se zbytkem internetu, musíte dát na hranici sítě NAT box, který přeloží privátní adresy na veřejné tak, aby se požadovaný provoz měl jak vrátit do naší sítě. Pokud ale někdo s privátní adresou v rámci naší sítě komunikuje s veřejnou adresou v rámci naší sítě, nedává žádný smysl tento provoz honit přes NAT box, protože naše síť moc dobře ví, kde která privátní adresa leží a není tedy žádoucí provoz narušovat vkládáním NATu.

Řešení pro tazatele tedy nejspíš je nakonfigurovat správně firewall, aby počítal s tím, že na WAN straně se mohou legitimně objevit i privátní adresy. Zároveň by se měl ISP zeptat, jaké privátní adresy používá a pro svou VPN použít jiné, protože pokud se objeví stejná adresa na WAN i ve VPN, nebude to fungovat.

a) Tak mozna to nejsou podvodnici , ale nevzdelanci a diletanti to jsou. Obhajovat neznalost RFC (mj. 1918 a 6598) u ISP je navic chucpe.

b) V dane (spatne a zakaznikem nezavinene) situaci (ktera se ale mohla historicky vyvinout, to zas jo) naopak dava velmi dobry smysl "honit tento provoz pres NAT box", budto navzdy nebo dokud si to sami diletanti nezaridi nejak jinak. Muzou si treba precist RFC6598, kdyz maji malo verejnych IP. Jedna vec je pouzivat adresy dle RFC1918 uvnitr site ISP (to opravdu muzete dle libosti) a uplne jina pridelovat je koncovym zakaznikum.

c) Pozadovat synchronizaci pridelovani IP adress napric vsemi zalazniky je opravdu pozoruhodny pocin Vidim uplne zretelne, s jakym nadsenim to kdejaka matka samozivitelka resi

[Filip Jirsák]

Obhajovat neznalost RFC (mj. 1918 a 6598)

Můžete být konkrétnější, uvést konkrétní body z uvedených RFC?

Pozadovat synchronizaci pridelovani IP adress napric vsemi zalazniky je opravdu pozoruhodny pocin

Aby se tohle nemuselo dělat, byl vymyšlen jeden globální jmenný prostor internetových adres, tím pádem může mát každé zařízení svou vlastní unikátní adresu. Někteří tvrdí, že to není potřeba, někteří tvrdí, že to potřeba je, že už IPv4 adresy dávno došly a je potřeba tlačit na co největší rozšíření IPv6, aby takovéhle problémy nevznikaly.

[messagebus]

Můžete být konkrétnější, uvést konkrétní body z uvedených RFC?

Cemu neni rozumet ve vetach "Private Address Space" a "Shared Address Space" ?

Aby se tohle nemuselo dělat, byl vymyšlen jeden globální jmenný prostor internetových adres, tím pádem může mát každé zařízení svou vlastní unikátní adresu. Někteří tvrdí, že to není potřeba, někteří tvrdí, že to potřeba je, že už IPv4 adresy dávno došly a je potřeba tlačit na co největší rozšíření IPv6, aby takovéhle problémy nevznikaly.

Nerikejte, ted jeste prosim navod na pripravu caje.

[ludvik]

Já nevidím rozdíl mezi použitím 10.0.0.0/8 a 100.64.0.0/10 uvnitř sítě "ISP". Oba jsou dostatečně velké a tedy málokdy použité v síti zákazníka. A ani jeden nesmí na internet ...
Je také nutno si uvědomit, že zmíněné RFC je z roku 2012. A většina ISP vznikla v boomu v prvním desetiletí tohoto století. To mají s každým novým RFC vše předělávat?
A jelikož ten boom byl jaký byl, málokdo dokázal okamžitě provozovat síť jen na veřejných adresách (drahé a stejně vlastně málo) a teprve později nasadit něco, o čem se v tu dobu ani neuvažovalo.
A většina těch ISP bylo z IT, nikoliv z telekomunikací, tedy nápady jako PPPoE je naprosto minuly.

Zpětně se dobře kritizuje.

Pokud je server v takové síti, tak se prostě bude muset přizpůsobit on. Ať už rekonfigurací, nebo odchodem jinam.

[Filip Jirsák]

Cemu neni rozumet ve vetach "Private Address Space" a "Shared Address Space" ?

To nejsou věty. A „privátní“ je dost široký pojem, RFC 1918 má 8 stran textu – na to, abyste mohl někoho obviňovat z neznalosti textu, to chce trochu víc, než jen váš vlastní výklad jediného slova.

[messagebus]

Já nevidím rozdíl mezi použitím 10.0.0.0/8 a 100.64.0.0/10 uvnitř sítě "ISP". Oba jsou dostatečně velké a tedy málokdy použité v síti zákazníka. A ani jeden nesmí na internet ...

Ale ze platici zakaznik ten rozdil vidi, to jste zaregistroval?

Zpětně se dobře kritizuje.

Nekritizuji zpetne, kritizuji dnesni pristup.

Pokud je server v takové síti, tak se prostě bude muset přizpůsobit on. Ať už rekonfigurací, nebo odchodem jinam.

Chapu, poskytovatel prece nebude pro zakaznika neco delat, ze?

[Filip Jirsák]

Ale ze platici zakaznik ten rozdil vidi, to jste zaregistroval?

Kdyby zákazníci neviděli rozdíl v tom, jestli mají všichni globálně routovatelné IP adresy nebo nemají, nebyl by nedostatek IPv4 adres žádný problém. Jenže IPv4 adresy už dávno došly, internet ale primárně stále funguje na IPv4, takže je potřeba se s nedostatkem IPv4 adres nějak vypořádat. Vaše teoretizování o tom, jak by bylo hezké, kdyby všichni měli veřejné IPv4 adresy, je hezké, akorát bohužel nezapadá do dnešní reality.