Lokální adresy v síti ISP

[SB]

Právě kvůli téhle matce mají ISP stále ve své síti adresy podle RFC 1918  namísto adres podle RFC 6890

Měl jsem za to, že rozhraní k poskytovateli obvykle dostává adresu z DHCP, tj. automaticky...

[Reklama]

[zett_cz]

Mam ten dojem, ze se tady diky osobnimu sporu pana messagebus s panem Jirsakem straci samotna podstata dotazu.

Tazatel resi na foru svou neschopnost nastavit si firewall. Kdysi jsem mel pripojeni od jednoho ISP s verenou IP a na serveru mi bezela sluzba. Mel jsem na firewallu zakazany vstup adres ze subnetu urcenych pro lokalni site. Pak prisel clovicek, ktery chtel vyuzit muj server. Ja nelenil zavolal poskytovateli, dotazal jsem se na jeho subnet, vysvetlil mu, proc to chci vedet, on mi jej rekl a ja povolil. HOTOVO. Dnes mam internet od jineho ISP, ktery dela NAT  neverejnych a ja vidim na svem WAN vzdy jen verejnou IP. Jde jen o komunikaci s ISP a o nastaveni.
Takze ze mne je to v poradku. ISP ma svou sit nejak udelanou a tak to je. Pokud nejsi ochotny komunikovat misto na foru se zastupcem ISP, pak to bude pro tebe vzdy tezske.
Mimochodem ted mam u jednoho cloveka od tamnejsiho ISP verejnou zpusobem NAT 1:1 a to je teprve prasarna a hajzlovina. Komunikace vramci jeho site nejde a odmita s tim cokoliv delat. Jo a ja to na foru neresil komunikuju s ISP. Dopadlo to tak ze uz mam pozadavek jinde kde jsem si pred tim overil se obch. zastupcem ISP jejich strategii a funkcnost.

Bohužel u nás není v zásadě žádný výběr z mnoha ISP a proto jsme se s místním poskytovatelem dohodli na veřejné IP, nějaké rychlosti a optiku jsme si od něj natáhli sami. Řeč o připojení do LAN nikde nebyla a nikdo neřešil jak komunikují stroje uvnitř sítě ISP. V momentě kdy jsme kvůli narůstajícímu počtu externích spolupracovníků zřídili VPN se zjistilo, že někteří se na VPN nepřipojí a proč se nepřipojí. Firewall byl původně nastavený tak, že ven ani dovnitř nešlo nic z RFC1918, je to určité bezpečnostní nastavení které léta aplikuji. Samozřejmě teď je FW nastavený tak aby klienti mohli pracovat. Jestli je tu někdo neschopný tak to určitě nebudu já. Jen jsem se zeptal jestli je u ISP "obvyklá" taková konfigurace a jestli ho mám tlačit do změny a nebo se na to vybodnout a nechat to být...

[M_D]

Právě kvůli téhle matce mají ISP stále ve své síti adresy podle RFC 1918  namísto adres podle RFC 6890

Měl jsem za to, že rozhraní k poskytovateli obvykle dostává adresu z DHCP, tj. automaticky...

Rozhodně to není automatické. Ano, kde se WAN strana k ISP konfiguruje nějak rozumně (DHCP / PPPoE / TR-069), tak to ISPík může změnit bez interakce s koncovým zákošem. Ale upřimně, když se podívám, tak hodně alternaticních ISP jede statickou ruční konfiguraci WAN portu zákazníka - tento mechanismus totiž klade nejméně nároků na další logistiku uvnitř sítě ISP. Provozování věcí jako DHCP server, PPPoE koncentrátor, TR server, to je vše rocket science, která přesahuje jejich schopnosti (vždyť řada z nich nemá ani vlastní DNS resolver pro zákazníky a forwardují DNS někam dál, třeba na 8.8.8.8 :-).

[Filip Jirsák]

Proč tohle chcete? Máte jedinečnou možnost logovat skutečnou adresu zdroje provozu, máte možnost přímého obousměrného spojení bez prostředníků. A vy byste místo toho radši, aby tam ISP strčil NAT, za který své zákazníky schová a kvalitu spojení tím poškodí a jediný argument pro to je, že se vám nelíbí zdrojové adresy na vstupu. To je dost chabý argument pro to, aby kvůli němu ISP přebudovával svou síť.

Taky si říkám, že zett_cz docela riskuje, že si to tady přečte nějaký technik od jeho ISP, a upraví konfiguraci speciálně pro něj tak, aby vyhovovala Zettovým představám. Tedy sebere mu veřejnou IP adresu z jeho WAN, přidělí mu tam privátní IP adresu a NAT z té veřejné IP adresy bude dělat někde na svém zařízení. Pokud je to nějaký menší ISP, udělat navíc jedno v pravidlo v NATu nebude problém, zett_cz bude mít přesně to, co chce, akorát bude mít ve výsledku horší službu, protože nebude mít veřejnou IP adresu routovanou ale NATovanou.

[M_D]

Jen jsem se zeptal jestli je u ISP "obvyklá" taková konfigurace a jestli ho mám tlačit do změny a nebo se na to vybodnout a nechat to být...

Jak zaznělo, je to běžný stav ke smíření se s ním. A dokonce je to ještě ta lepší varianta. Dají se také najít "taky ISP", kde vůbec nefunguje, aby spolu mohli zákazníci komunikovat mezi svými koncovými přípojkami přímo. Musí jít s použitím nějakého prostředníka mimo síť daného ISP.

[Reklama]

[zett_cz]

Tímto bych debatu ukončil, já mám vše funkční, ISP ke změně nedotlačím, změnit ISP taky není jednoduché. Díky všem za diskuzi.

Z.

[Filip Jirsák]

Jestli je tu někdo neschopný tak to určitě nebudu já. Jen jsem se zeptal jestli je u ISP "obvyklá" taková konfigurace a jestli ho mám tlačit do změny a nebo se na to vybodnout a nechat to být...

Pokud byste chtěl tlačit ISP do změny, bylo by vhodné najít to ustanovení RFC, které údajně ISP porušuje. Zatím je to „sice je vše v souladu s RFC, ale mně a ještě jednomu člověku na diskusním fóru se to velmi nelíbí“, což pro ISP asi pádný argument nebude.

A ještě než začnete na toho ISP tlačit, rozmyslete si, za to vaše „nelíbí se mi to“ vám vážně stojí za to, abyste si dobrovolně nechal zhoršit službu z routované veřejné IP adresy na NATovanou. Protože kvůli vám ISP všem vašim spolupracovníkům zdarma veřejnou IP adresu dávat nebude, NATovat tu vaši veřejnou IP adresu by pro něj bylo nejlevnější řešení. (Kdysi po internetu kolovala historka ze supportu nějakého ISP, kde si zákazník stěžoval, že má moc nízký ping a chtěl ho zvýšit – čemuž technici s radostí vyhověli.)

[zett_cz]

Jestli je tu někdo neschopný tak to určitě nebudu já. Jen jsem se zeptal jestli je u ISP "obvyklá" taková konfigurace a jestli ho mám tlačit do změny a nebo se na to vybodnout a nechat to být...

Pokud byste chtěl tlačit ISP do změny, bylo by vhodné najít to ustanovení RFC, které údajně ISP porušuje. Zatím je to „sice je vše v souladu s RFC, ale mně a ještě jednomu člověku na diskusním fóru se to velmi nelíbí“, což pro ISP asi pádný argument nebude.

A ještě než začnete na toho ISP tlačit, rozmyslete si, za to vaše „nelíbí se mi to“ vám vážně stojí za to, abyste si dobrovolně nechal zhoršit službu z routované veřejné IP adresy na NATovanou. Protože kvůli vám ISP všem vašim spolupracovníkům zdarma veřejnou IP adresu dávat nebude, NATovat tu vaši veřejnou IP adresu by pro něj bylo nejlevnější řešení. (Kdysi po internetu kolovala historka ze supportu nějakého ISP, kde si zákazník stěžoval, že má moc nízký ping a chtěl ho zvýšit – čemuž technici s radostí vyhověli.)

Veřejnou IP adresu mi nikdo zdarma nedal.

Stále jsem přesvědčen, že RFC1980 mluví o intranetu - uzavřených podnikových sítích a vzhledem k tomu, že poskytovatel připojení do internetu (ISP) takových sítí může připojit stovky nebo tisíce nemají tyto adresy co hledat za mým WAN rozhraním které je dveřmi do internetu (public) nikoliv intranetu (private).

Tímto vám ještě jednou děkuji za přínosnou a plodnou diskuzi ale nepřesvědčil jste mne.

Z.

[messagebus]

Pokud byste chtěl tlačit ISP do změny, bylo by vhodné najít to ustanovení RFC, které údajně ISP porušuje. Zatím je to „sice je vše v souladu s RFC, ale mně a ještě jednomu člověku na diskusním fóru se to velmi nelíbí“, což pro ISP asi pádný argument nebude.

A ještě než začnete na toho ISP tlačit, rozmyslete si, za to vaše „nelíbí se mi to“ vám vážně stojí za to, abyste si dobrovolně nechal zhoršit službu z routované veřejné IP adresy na NATovanou. Protože kvůli vám ISP všem vašim spolupracovníkům zdarma veřejnou IP adresu dávat nebude, NATovat tu vaši veřejnou IP adresu by pro něj bylo nejlevnější řešení. (Kdysi po internetu kolovala historka ze supportu nějakého ISP, kde si zákazník stěžoval, že má moc nízký ping a chtěl ho zvýšit – čemuž technici s radostí vyhověli.)

Proc vlastne sem vubec prispivate, kdyz tomu vubec nerozumite?

PS Fakt, ze vas vubec napadne, ze by mu mel ISP sebrat jeho verejnou IP adresu, kdyz mu vadi, ze ISP nedodrzuje RFC u jinych klientu, nesvedci o vasich dobrych charakterovych vlastnostech.

[Ondřej Caletka]

Stále jsem přesvědčen, že RFC1980 mluví o intranetu - uzavřených podnikových sítích a vzhledem k tomu, že poskytovatel připojení do internetu (ISP) takových sítí může připojit stovky nebo tisíce nemají tyto adresy co hledat za mým WAN rozhraním které je dveřmi do internetu (public) nikoliv intranetu (private).

V roce 1996, kdy RFC 1918 vyšlo, to tak skutečně bylo myšleno, protože tehdy bylo běžné, že ISP pracovali pouze s veřejnými adresami. Carrier grade NAT přišel až mnohem později. Skutečně by bylo lepší, kdyby provozovatelé CGN používali jako privátní adresy ty podle RFC 6598 a byl tak vyloučen konflikt s privátními adresami v koncových sítích, ale spousta ISP zavedla CGN ještě v době, kdy RFC 6598 nebylo a nemají motivaci celou síť přeadresovávat. I tak by vám ale na WAN rozhraní s veřejnou IP adresou chodil provoz z neveřejných IP adres, jen by to nebyly ty rozsahy z RFC 1918.

…kdyz mu vadi, ze ISP nedodrzuje RFC u jinych klientu…

Už jste konečně našel něco v nějakém RFC, co tento ISP nedodržuje? Já stále čekám…

[messagebus]

V roce 1996, kdy RFC 1918 vyšlo, to tak skutečně bylo myšleno, protože tehdy bylo běžné, že ISP pracovali pouze s veřejnými adresami. Carrier grade NAT přišel až mnohem později. Skutečně by bylo lepší, kdyby provozovatelé CGN používali jako privátní adresy ty podle RFC 6598 a byl tak vyloučen konflikt s privátními adresami v koncových sítích, ale spousta ISP zavedla CGN ještě v době, kdy RFC 6598 nebylo a nemají motivaci celou síť přeadresovávat. I tak by vám ale na WAN rozhraní s veřejnou IP adresou chodil provoz z neveřejných IP adres, jen by to nebyly ty rozsahy z RFC 1918.

Nepiste sem prosim lzi. Adresy podle RFC6598 nejsou privatni ale sdilene. Adresy podle RFC1918 jsou privatni a ISP je muze ve sve siti pouzivat dle libosti, akorat je nema co pridelovat klientum, protoze to vytvari kolizni situace. Jak lze omlouvat ISP, ze generuje bordel protoze "nema motivaci" dodrzovat doporucene postupy IETF? Proc by mu melo vadit, ze mu chodi na WAN rozhrani nejake neverejne adresy, kdyby mohl normalne nastavit firewall?

Už jste konečně našel něco v nějakém RFC, co tento ISP nedodržuje? Já stále čekám…

Vse relevannti jiz bylo napsano. ISP nema co pridelovat svym klientum privatni adresy. Pokud jste se rozhodl ignorovat zjevne veci, je to vas problem, cekejte dale.

[robac]

Tak jistěže nezáleží na tom co si myslím nicméně slovy RFC já mám za WAN public a ne private...

No evidentně tam máte private.

Evidentně tam mám public, čtu IP na WAN 46.1x3.x0x.1yy.

Problém je jednoduše v tom, že tomu nerozumíte...
To, že Vám ISP routuje veřejnou IP v rámci svého AS neznamená, že "máte za WAN public". Za WAN máte evidentně privátní síť Vašeho ISP.
Na interface toho zařízení (pokud to podporuje) můžete mít ve stejnou chvíli terminovány adresy z public i private rozsahů. To je naprosto normální a není na tom nic špatně. Pak budete říkat co? Že za WAN máte napůl public a napůl private?

[Filip Jirsák]

ISP nema co pridelovat svym klientum privatni adresy. Pokud jste se rozhodl ignorovat zjevne veci, je to vas problem, cekejte dale.

Takže jste postupně od „diletanti a podvodníci“ přes „nevzdělanci a diletanti“ a „porušují RFC“ dospěl až k tomu, že vlastně žádné RFC neporušují, pouze jednají v rozporu s něčím, co vám je zjevné. Já bych to uzavřel, že ten nevzdělanec a diletant jste tu vy.

[messagebus]

Takže jste postupně od „diletanti a podvodníci“ přes „nevzdělanci a diletanti“ a „porušují RFC“ dospěl až k tomu, že vlastně žádné RFC neporušují, pouze jednají v rozporu s něčím, co vám je zjevné. Já bych to uzavřel, že ten nevzdělanec a diletant jste tu vy.

Zas mi neco podsouvas? Radeji si nech prelozit toto: An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above.

[M_D]

messagebus: Vytrháváš z toho RFC jednu větu z kontextu. Podstatná je i ta hned předchozí. Nic to neříká o tom, že ISP na WAN port tvého CPE nemůže přidělit IPčko ze seznamu z RFC1918. Říká to jen, že IANA/RIPE/.. nepřidělí IP z těchto segmentů někomu k užívání.
Ano, bylo by lepší, aby ISP použil ty 100.64/10 dle RFC6598. Nicméně i toto RFC v čísti 3 uvádí, že ISP může pro CPE používat IP dle RFC1918 pokud ví, co dělá. :-)

Nicméně původní tazatel se s tím už vyrovnal a nějak smířil. Může navrhnout ISPíkovi, aby přešel na to 100.64/10 nebo zkusit hledat připojneí u jiného.

Opravdu si myslím, že třeba variantu, aby v tomto případě musel ISP uplatnit CGNAT, aby na můj router s veřejkou přišel od ostatních lokálních zákošů jen veřejka, tak může nadělat i problémy. Některé VPNky nemusí rozdýchat, pokud se na server spojuje víc klientů schovaných za stejný NAT. Např. PPTP (snad už nikdo nepoužívá) nebo některé implementace IPsec. Průchod přes NAT může být delší než přímá cesta a může se i stát, že při té přímé cestě obcházím nejen NAT, ale u některých ISP i omezování rychlosti, takže takové spojení jede na max kapacity drátů, místo ořezání na placený tarif atd.