Pokud ano, tak se akorát divím, že Vám ještě p. Jirsák nenapsal jeho nejoblíbenější argument, totiž přejít na IPv6. Protože zrovna v tomhle případě IPv6 totiž dává smysl.
Samozřejmě že používat IPv6 a ne NAT dává smysl. Jenže v tomto případě to není něco, co by h4kuna mohl ovlivnit. Pokud chce provozovat web server, který bude dostupný komukoli z celého světa, zatím mu nezbývá, než podporovat i IPv4.
Zásadní otázka zní: jakou IP adresu má Váš domácí server napsanou na síťovém rozhraní? Jestli je tam cokoliv jiného, než IP adresa 81.25.21.57 tak to bez dalších berliček nebude nikdy fungovat.
Má tam 192.168.86.34. Jak to vím? No před tím, než odpovídám v diskusi, přečtu si dotaz a ostatní komentáře.
Fungovat to samozřejmě může, akorát se musí použít hairpin NAT.
Důvody máte napsané v tom mailu od providera - veřejnou IP adresu dostáváte pomocí NAT 1:1 na hlavní bráně providera.
To, že je veřejná IP adresa řešena NATem 1:1 na hlavní bráně není žádný důvod, proč by to nemělo fungovat. On ten paket z vnitřní sítě nejspíš už teď doputuje na tu hlavní bránu. Takže stačí, aby se ten NAT neaplikoval jen na pakety, které přijdou na vnější rozhraní, ale aby se aplikoval i na vnitřním rozhraní. A aby se na tom vnitřním rozhraní aplikoval hairpin NAT, tedy DNAT+SNAT.
Pokud nechápete co pro Vás NAT 1:1 znamená, je to dost marný. Asi bych začal bych tím, že si najdete někoho, kdo rozumí síťím a správně Vám to nastaví.
h4kuna to chápat nemusí. Horší je, když se někdo, kdo to nechápe, pokouší radit – například vy.
kompletně přejít na IPv6 doma i u providera.
Jak se k tomu webu pak připojíte například z mobilního telefonu v síti českých operátorů? Takže to není řešení, ale hack, který vyřeší některé případy.
Rozběhnout doma interní DNS server, který pro adresy z vnitřní sítě bude vracet "správné" IP adresy z vaší lokální sítě. Vyřešíte svůj problém ale ne sousedův na přístupové síti stejného providera.
Další hack…
Pokud chcete řešit i přístup pro sousedy, zeptejete se providera, jestli provozuje vlastní DNS server.
Panebože, jen to ne. Chcete opravit jeden problém, ten nevyřešíte, a místo toho vyrobíte deset dalších problémů. Rozbijete DNSSEC, každé přidání dalšího DNS záznamu bude potřeba řešit s ISP, při případné změně IP adresy bude muset myslet na to, že je potřeba to změnit ještě v DNS ISP. A ISP by z toho také jistě byl nadšený, že má v DNS takovouhle nestandardnost a musí na to myslet při každé změně.
Hledat alternativní řešení je jistě zajímavá disciplína. Ale nesmí se to zvrhnout v soutěž o nalezení toho nejblbějšího možného řešení.
Domluvit se s providerem, aby pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na svém routeru - vyřeší určitě problém přístupu souseda a pokud nebude nějaká zrada na Vašem D-Linku, tak i ten Váš. To je asi nejrychlejší řešení, otázkou je, jestli se providerovi bude do nestandartních konfigurací chcít.
Zrada na domácím routeru nebude – od začátku víme, že spojení z internetu funguje. Když se ISP nebude chtít do nestandardních konfigurací, je to ideální situace – opraví ten NAT nejen pro h4kuna, ale i pro všechny ostatní své zákazníky.
Domluvit se s providerem, jestli Vám odroutuje další rozsah /30 veřejných IP adres až na Vaše zařízení. Tam si s tím uděláte co potřebujete a pokud tomu alespoň částečně rozumíte, protáhnete ty veřejné IP adresy až na síťovku Vašeho serveru. Problém vyřešen pro vás, pro souseda, pro celý internet. Akorát počítejte s tím, že to může být dražší (platíte 4 IP adresy) a opět platí, že pokud neumíte správně nakonfigurovat firewall, vyřešením jednoho problému vznikne spousta jiných.
Platit 4 veřejné IPv4 adresy nemusí. Záleží na tom, kolik takových zákazníků ISP má, jak velkou má síť, případně se to dá řešit trošku chytřejším routerem, kterému půjde nakonfigurovat na WAN portu dvě IPv4 adresy. Žádná speciální konfigurace firewallu v tomhle případě není potřeba.
Providerovi nemusíte psát nic, on Vám korektně odpověděl akorát Vy jste ho nepochopil.
Moc korektně neodpověděl. Nepřiznal, že to jejich řešení není tak docela funkční – a buď měl napsat, že tenhle zmetek mají ve smluvních podmínkách a že na tom tudíž nic měnit nebudou, nebo slíbit nápravu. Problém s pochopením situace tu máte spíš vy.
Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"
Víte, co by bylo báječné? Kdyby se lidé řídili svými vlastními radami.
A jestli vážně chcete doma provozovat www server dostupný z internetu, tak doporučuji se poohlédnout po nějakém jiném routeru než základní segment D-Link, TP-Link atd. Potřebujete router, který má nějaký dlouhodobý support, výrobce pravidelně řeší bezpečnostní díry a vydává aktualizace firmware víc než jednou.
Jistě, tenhle router není žádný zázrak. Ale vzhledem k tomu, že z internetu k němu ISP pustí jen TCP na portech 80, 443 a 2222, které jsou na routeru přesměrované dál na ten server, ten router toho nemá moc co zkazit. Mnohem horší bude přístup z lokální sítě a možná i plný přístup k WAN z celé vnitřní sítě ISP – a to nezávisí na tom, že má přidělenou veřejnou IPv4 adresu.