Je to plnohodnotná veřejná adresa?

Je to plnohodnotná veřejná adresa?
« kdy: 12. 04. 2021, 13:14:20 »
Dobrý den ve spolek,potřeboval jsem veřejnou IP naserver. Zjišťoval jsem,zda mám veřejnou,ale  nemám (jelikož router má na vnější rozhraní 10.0.0.1), přesto mi vše(tedy doufám) funguje,když si klepnu na veřejnou IP na nějaký port, tak to na router probublá. Takže to funguje

Ale co bych rád věděl,je jestli tohle se dá považovat za plnohodnotnou veřejnou IP nebo jestli se to nazývá jinak.Má to nějaké skryté nevýhody,na které jsem nepřišel? Napadá mě jediná věc, že serverový software prostě neuvidí skutečnou IP. Když dám hodně lapidární příklad, tak  nepůjde použít v PHP <a href=$_SERVER[SERVER_ADDR]/about.php> I když to se dá řešit reverzní proxy nebo "zpětným natem"(stejně by server neběžel na routeru, ale na  nějakém stroji za ním), ale  tahle forma řešení "korekčního NATu" co vlastně vrací upravenou IP je takové řešení v protisměru... Asi by to fungovalo, ale je to divné...

Případně proč to takhle někteří provideři mají? Je to v něčem jednodušší? Má to nějaké nedostatky
« Poslední změna: 12. 04. 2021, 13:16:36 od mikesznovu »


Re:Je to plnohodnotná veřejná adresa?
« Odpověď #1 kdy: 12. 04. 2021, 13:32:00 »
Na tom zařízení samozřejmě veřejná IPv4 adresa přidělená není. Je ale vyhrazená někde na hraničním směrovači poskytovatele a odtud je provoz překládán na cílovou adresu. Říká se tomu NAT 1:1. Příchozím paketům se prostě bezestavově přepíše cílová IP adresa na tu místní. Stejně tak zpět u odchozích.

Dělá se to z několika důvodů. Jednak je to velmi jednoduché na konfiguraci, není třeba skrz síť routovat speciální rozsah pro jednoho klienta. Druhou výhodou je, že tím poskytovatel použije jen jednu adresu. V případě běžného dělení sítě na podsítě dochází nutně k využití více adres na každou síť, typicky při /30 se použijí ve skutečnosti čtyři adresy. Dá se to řešit, ale nic není tak jednoduchého jako NAT 1:1.

Nevýhody to má jen drobné a vlastně jste je zmínil. Server nemá přímo na rozhraní skutečnou veřejnou IP adresu. Obvykle to ale vůbec nevadí.

PanVP

  • *****
  • 765
    • Zobrazit profil
    • E-mail
Re:Je to plnohodnotná veřejná adresa?
« Odpověď #2 kdy: 12. 04. 2021, 13:37:21 »
NAT 1:1

Jsou tři běžné způsoby, jednak NAT 1:1 což mnoho lidí nepovažuje za plnohodnotnou veřejnou adresu a mají k tomu svoje dobré důvody. Dále pak zpřístupnění veřejky nad PPPoE, jak to dělají operátoři u některých business linek no a konečně plnohodnotné naroutování adresy až na koncové zařízení.


RDa

  • *****
  • 1 424
    • Zobrazit profil
    • E-mail
Re:Je to plnohodnotná veřejná adresa?
« Odpověď #3 kdy: 12. 04. 2021, 13:55:44 »
Mam to podobne - interni sit je 10.x.x.x a kdyz jsem pozadal o verejnou adresu tak mi ji tam "prepojili". Na svem "bytovem" routru stejne neprovozuji verejne sluzby, ale tuneluji konkretni port na patricnou interni adresu (192.x.x.x), kde sluzba bezi.

Asi jedina nevyhoda je, ze musim tu svoji verejnou IP znat a mit v konfiguracnim skriptu routru (a jsem linej si ji cucnout a zparsovat od nejake whats-my-ip sluzby), nicmene to nicemu nevadi, protoze je staticka a mam ji pak nastavenou i v DNS, takze je to spis jednorazovy ukon to nekde vepsat.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #4 kdy: 12. 04. 2021, 14:06:14 »
Tak děkuji za odpovědi, šlo by jen zmínit, jaké důvody by to mohly být? Když vlastně to žádné funkce neubírá.Jediný problémek mě napadl,že právě v případě potřeby zjištění té veřejné IP nestačí se podívat na přidělenou adresu ale mít ji někde poznamenanou nebo ji odněkud vytáhnout. Řekl bych že to je jen striktní vnímání tohoto pojmu, protože skutečně veřejná IP to není, přestože tak vypadá, chodí a kváká.
NAT 1:1  - nepovažuje za plnohodnotnou veřejnou adresu a mají k tomu svoje dobré důvody


Re:Je to plnohodnotná veřejná adresa?
« Odpověď #5 kdy: 12. 04. 2021, 14:43:42 »
Tak děkuji za odpovědi, šlo by jen zmínit, jaké důvody by to mohly být? Když vlastně to žádné funkce neubírá.Jediný problémek mě napadl,že právě v případě potřeby zjištění té veřejné IP nestačí se podívat na přidělenou adresu ale mít ji někde poznamenanou nebo ji odněkud vytáhnout. Řekl bych že to je jen striktní vnímání tohoto pojmu, protože skutečně veřejná IP to není, přestože tak vypadá, chodí a kváká.
I ten důvod, že aplikace nevidí svou veřejnou IP adresu, může být podstatný. Některé protokoly pracují s IP adresou – třeba FTP v aktivním režimu (který je výchozí) posílá v rámci svého protokolu informaci, na jakou IP adresu se má protistrana připojit. Ve vašem případě samozřejmě pošle tu z privátního rozsahu – a funguje to jenom tehdy, když NAT u poskytovatele FTP rozumí a tu IP adresu v protokolu FTP nahradí.

Obecný problém je pak v tom, že NAT obvykle pracuje o vrstvu výš, než pracuje routování. Pro routování stačí rozumět protokolu IP, podle hlavičky cílové IP adresy se prostě paket pošle dál. NAT 1:1 by sice mohl jenom přepisovat hlavičky v IP datagramu a o detaily se nestarat (pak by ale nefungovalo třeba to aktivní FTP). Obvykle je NAT 1:1 implementován jako speciální případ obecného NATu – a obecný NAT potřebuje rozumět protokolu nad IP. Např. u TCP/IP musí sledovat, do kterého spojení pakety patří (protože obecný NAT musí měnit i porty, v případě TCP/IP tedy musí změnit všem paketům v jednom spojení port stejně). Tím pádem NAT obvykle podporuje nějakou sadu protokolů (třeba TCP/IP, UDP/IP a ICMP), ale je klidně možné, že nějaké speciální nebo novější protokoly podporovat nebude. Takže je třeba možné, že SCTP vám skrz NAT 1:1 neprojde. Kdybyste ale měl skutečnou veřejnou IPv4 adresu, normálně by vám fungoval.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #6 kdy: 12. 04. 2021, 14:44:26 »
NAT 1:1 není přidělená veřejná IP adresa. Ve skutečnosti nevíte, co všechno ISP při překladu provádí. Možná neprovádí nic a chová se to velmi podobně, jako kdyby to veřejná IP adresa byla. Jistota ale není a záleží vždy na provedení.

1:1 NAT lze použít, ale považoval bych to spíš za nouzové řešení. Jedním z problémů, jak bylo zmíněno, je to, že aplikace nemají ani šajnu, pod jakou adresou vůbec pracují a může se to projevovat na nefunkčnosti, nebo neefektivitě protokolů, které se znalostí IP adresy vnitřně pracují.

Setkal jsem se s takovým nastavením u menších sítí a některých freenetů. Usnadňují si tím konfiguraci a správu. Většinu přípojek mají za běžným NATEM a je jednodušší mít pár výjimek pro "exoty", kteří chtějí veřejnou adresu. Nepovažuji to za šťastné, ani za profesionální řešení, jedná se o povyšování nouze na standard, ale taková je situace.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #7 kdy: 12. 04. 2021, 15:06:20 »
Ono to technicky nevadí pouze lidem, kteří od toho připojení ve skutečnosti moc nechtějí. Kdekoli je složitější konfigurace, už vznikají problémy. Třeba u IPSecu je to občas dost bolestivé. Ovšem pokud se takto ptáte, bude vám to nejspíš jedno.

jouda2

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #8 kdy: 12. 04. 2021, 15:25:18 »
Třeba u IPSecu je to občas dost bolestivé. Ovšem pokud se takto ptáte, bude vám to nejspíš jedno.
Huh, opravdu? Pokud má někdo problém do left dát 10.1.2.3 a do leftid a leftsubnet 81.82.83.84, tak nemyslím že ho reálná veřejná IP spasí.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #9 kdy: 12. 04. 2021, 18:52:38 »
Třeba u IPSecu je to občas dost bolestivé. Ovšem pokud se takto ptáte, bude vám to nejspíš jedno.
Huh, opravdu? Pokud má někdo problém do left dát 10.1.2.3 a do leftid a leftsubnet 81.82.83.84, tak nemyslím že ho reálná veřejná IP spasí.

Což nic nemění na tom že veřejná ip adresa je terminus technicus a ISP by ji neměl nabízet, pokud umí nabídnout jen NAT. Protože pokud uživatel žije s tím, že má veřejnou IP adresu, nebudou mu pak fungovat příslušné návody na rozběhání služeb apod.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #10 kdy: 12. 04. 2021, 18:52:52 »
Huh, opravdu? Pokud má někdo problém do left dát 10.1.2.3 a do leftid a leftsubnet 81.82.83.84, tak nemyslím že ho reálná veřejná IP spasí.
Tohle je celkem OK, ale docela mě to potrápilo, když jsem na něčem takovém řešil L2TP/IPsec server. Nastavil jsem to, zkusil na mobilu s Androidem a žádný problém. Pak jsem totéž nastavil na notebooku s Windows 10 a prostě jsem se nepřipojil. Docela jsem si zagooglil, než jsem se dobral k tomu, že ty návody z dob Vist, co je třeba přidat do registrů, aby to začalo fungovat za NATovaným serverem, jsou bohužel aktuální i ve W10.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #11 kdy: 12. 04. 2021, 18:55:07 »
Huh, opravdu? Pokud má někdo problém do left dát 10.1.2.3 a do leftid a leftsubnet 81.82.83.84, tak nemyslím že ho reálná veřejná IP spasí.
Tohle je celkem OK, ale docela mě to potrápilo, když jsem na něčem takovém řešil L2TP/IPsec server. Nastavil jsem to, zkusil na mobilu s Androidem a žádný problém. Pak jsem totéž nastavil na notebooku s Windows 10 a prostě jsem se nepřipojil. Docela jsem si zagooglil, než jsem se dobral k tomu, že ty návody z dob Vist, co je třeba přidat do registrů, aby to začalo fungovat za NATovaným serverem, jsou bohužel aktuální i ve W10.

Problém je, že NAT-Traversal, který v těch registrech s velkou slávou a bez rozmyslu zapínáte, oslabuje bezpečnost IPSecu. Proto je to ve výchozím stavu vypnuté.

PanVP

  • *****
  • 765
    • Zobrazit profil
    • E-mail
Re:Je to plnohodnotná veřejná adresa?
« Odpověď #12 kdy: 12. 04. 2021, 19:01:12 »
Pánové odpověděli už velmi správně.
Všechno má svoje pro i proti.
NAT 1:1 je jednoduchý implementačně, ale NAT má být ve všech případech jeden a to vlastní.
NAT někdy filtruje některé protokoly a povoluje jen základní ICMP provoz a TCP/UDP na porty 0-65535

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #13 kdy: 12. 04. 2021, 20:46:00 »
Huh, opravdu. Třeba ESP.

https://www.uninet.edu/6fevu/text/IPSEC-NAT.SGML.html

Třeba u IPSecu je to občas dost bolestivé. Ovšem pokud se takto ptáte, bude vám to nejspíš jedno.
Huh, opravdu? Pokud má někdo problém do left dát 10.1.2.3 a do leftid a leftsubnet 81.82.83.84, tak nemyslím že ho reálná veřejná IP spasí.

Re:Je to plnohodnotná veřejná adresa?
« Odpověď #14 kdy: 12. 04. 2021, 21:01:46 »
Což nic nemění na tom že veřejná ip adresa je terminus technicus a ISP by ji neměl nabízet, pokud umí nabídnout jen NAT. Protože pokud uživatel žije s tím, že má veřejnou IP adresu, nebudou mu pak fungovat příslušné návody na rozběhání služeb apod.
Ono obvykle v nabídce bývá „veřejná IP adresa“, a nebývá u ní už specifikováno, co s ní. Jestli vám ji budou routovat nebo NATovat.