Přístup na WAN z lokálních adres - povolit či nikoliv?

[Filip Jirsák]

To jako všichni, jenž mají veřejnou IP adresu, aby podle tebe začali blokovat příchozí provoz z neveřejných IP? LOL, to nemá chybu

Nikoli. Všichni by měli na WAN blokovat provoz, který má jako odchozí adresy privátní rozsahy. Protože na ně nemají jak odpovědět. Dokonce to máte napsané v RFC 1812 v sekci 5.3.7.

Výjimkou jsou případy, kdy by WAN byla záměrně připojená i do jiné privátní sítě, ne jen do internetu – ale pokud má někdo složitější topologii sítě, snad ví, co dělá, a umí to správně nastavit.

Jinak každý ISP, který používá uvedené řešení, tak nedává zákazníkům IP z rozsahu neveřejných adres v třídě C, tj. nedává 192.168.xxx.xxx a tedy žádné ty samé adresy na straně LAN nehrozí a každý s home routerem může být zcela v klidu.

To je úplně jedno. Zákazník může ve své síti používat kteroukoli z privátních sítí. Může tam mít třeba připojení do velké VPN, u které bude dobrý důvod používat třeba 10.0.0.0/8. To, že vy si neumíte představit nic většího, než třídu C, je váš problém.

Naopak ISP by pro sítě za NATem neměl používat privátní adresy, pro tyhle účely je vyhrazen blok 100.64.0.0/10.

Mimochodem kolika lidem poskytuješ připojení k netu? Jenom pro info...

Já hlavně doufám, že vy se držíte co nejdál od sítí, když se tváříte, že tomu rozumíte, ale píšete hlouposti.

[Reklama]

[A.S.2]

Nikoliv, provoz na WAN by neměl blokovat vůbec nikdo z koncových userů. A také to ani nikdo nedělá, tedy min. ne ti, jenž mají modemy a routery dodané od ISP, kde taková idiocie vůbec dostupná není.

Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly, které sis právě někde vyGooglil (a máš pocit, že tady s tím někoho ohromíš, byť vůbec nevíš, která bije). To se může týkat podnikové sféry, která má ale připojení k netu obvykle vyřešeno individuálně (a což je mimo rámec této debaty).

Pouze tvoje totální neznalost dané problematiky vysvětluje, proč píšeš naprosto zmatené příspěvky, jenž nemají hlavu ani patu. Možná jedeš na rekord v počtu postů, pak lze chápat, že sesmolíš cokoliv, jenom aby to zvýšilo jejich počet. Ovšem obsahově je to naprostá žumpa.

[mkaluza]

Nikoliv, provoz na WAN by neměl blokovat vůbec nikdo z koncových userů. A také to ani nikdo nedělá, tedy min. ne ti, jenž mají modemy a routery dodané od ISP, kde taková idiocie vůbec dostupná není.

Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly, které sis právě někde vyGooglil (a máš pocit, že tady s tím někoho ohromíš, byť vůbec nevíš, která bije). To se může týkat podnikové sféry, která má ale připojení k netu obvykle vyřešeno individuálně (a což je mimo rámec této debaty).

Pouze tvoje totální neznalost dané problematiky vysvětluje, proč píšeš naprosto zmatené příspěvky, jenž nemají hlavu ani patu. Možná jedeš na rekord v počtu postů, pak lze chápat, že sesmolíš cokoliv, jenom aby to zvýšilo jejich počet. Ovšem obsahově je to naprostá žumpa.

Musim suhlasit s Jirsakom, toto tu je absolutny blabol, alebo neprecitanie si povodneho prispevku, alebo averzia k Jirsakovi .... Z toho co napisal JSOB usudzujem, ze sa nejedna o home usera, ale firmu s jednym serverom, alebo celou farmou "s par sluzbami" ... kludne moze pouzivat vnutorne 10.x rozsah to nebolo definovane, v zasade mal otazku ci vadi bezpecnosti ak na WAN povoli komunikaciu pre LANkove rozsahy 10./8,172.16./12,192.168./16 ... napis k tomu nieco aj so security podtextom inak sa na to vykasli ....

[A.S.2]

Kdyby se jednalo o firemní připojení, tak si to firma dojedná přímo s ISP a nebude tady vůbec takový dotaz (který je zjevně na home připojení nebo max. nějaké rádoby-firemní, ale ve skutečnosti home).
A že lokální ISP používají řešení, které se někomu neznalému může zdát divné, to je prostě fakt a neználkům nezbývá, než se s tím smířit. Ono to totiž v praxi bývá tak, že lokální ISP dodá koncákům modem/router, ten je nastavený a tím to hasne. Nikdo nemá potřebu měnit jakési rozsahy v routeru do vnitřní sítě a zabývat se nesmysly. A jenom trouba, co lokální sítě nezná, tady bude vypisovat jakási svoje moudra o tom, jak to má vypadat. Ať si jde dotyčný dělat svoje sítě a může všem ukázat, zač je toho loket, když tady v debatě má řečí jak Palacký...

[Filip Jirsák]

Nikoliv, provoz na WAN by neměl blokovat vůbec nikdo z koncových userů. A také to ani nikdo nedělá, tedy min. ne ti, jenž mají modemy a routery dodané od ISP, kde taková idiocie vůbec dostupná není.

Koncový uživatel by neměl mít potřebu to blokovat, protože to za něj má dělat ISP. Ale je v pořádku, pokud to koncový uživatel dělá.

Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly, které sis právě někde vyGooglil

Já jsem si to nevygooglil, nepotřebuju googlit věci, které znám. Vy jste si to možná vygooglil, ale evidentně vám to nepomohlo, protože jste to stejně nepochopil. Koncový zákazník samozřejmě do velké VPN může být připojen. Koncový zákazník je třeba člověk, které se z domova připojuje do velké korporátní VPN. Nebo může být koncový zákazník malá pobočka nějaké velké firmy, která je propojena právě pomocí VPN.

To se může týkat podnikové sféry, která má ale připojení k netu obvykle vyřešeno individuálně (a což je mimo rámec této debaty).

Tak si nastudujte, k čemu se používá VPN. Je to pro to, aby se do té interní sítě někdo dostal i z jiné sítě, přes internet. Když pracuje zaměstnanec z domova, připojuje se právě přes VPN. A ten zaměstnanec se k internetu nepřipojuje přes internetové připojení firmy (že bu mu vedla optika z firmy až domů), ale připojuje se k internetu přes nějakého ISP v místě svého bydliště, což může být klidně nějaký wifinář.

Pouze tvoje totální neznalost dané problematiky vysvětluje, proč píšeš naprosto zmatené příspěvky, jenž nemají hlavu ani patu. Možná jedeš na rekord v počtu postů, pak lze chápat, že sesmolíš cokoliv, jenom aby to zvýšilo jejich počet. Ovšem obsahově je to naprostá žumpa.

Ano, příspěvky jednoho z nás dvou jsou naprosto zmatené. Ale ty moje to nejsou.

[Reklama]

[A.S.2]

Opět máš další post do sbírky, gratuluji. Ale jak jsem psal, obsahově je to jenom žumpa bez hlavy a paty, dál je na tebe ztráta času reagovat.

[A.S.2]

Jenom ještě poznámka, že slova "Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly" se vztahovala k tomu, že si běžný user nebude takovou VPN provozovat, což jasně vyplynulo z kontextu diskuze. Pochopitelně Jirsák to zase obrátil jak se mu to hodí a začne tady vypisovat cosi o tom, že se koncový zákazník kamsi připojuje. Což samozřejmě může a je úplně šumák, jestli je v nějaké síti lokálního ISP na neveřejné IP adrese, protože jakmile provoz opustí tuto vnitřní neveřejnou síť lokálního ISP, pak už nějaký rozsah a třída této neveřejné sítě nikoho mimo tuto síť nezajímá (radši jsem to napsal tak polopaticky, aby to zase nemohl někdo otočit k obrazu svému a vykládat jinak).

[Filip Jirsák]

Jenom ještě poznámka, že slova "Běžný koncový zákazník rozhodně nepoužívá nějaké velké VPN a další nesmysly" se vztahovala k tomu, že si běžný user nebude takovou VPN provozovat, což jasně vyplynulo z kontextu diskuze. Pochopitelně Jirsák to zase obrátil jak se mu to hodí a začne tady vypisovat cosi o tom, že se koncový zákazník kamsi připojuje. Což samozřejmě může a je úplně šumák, jestli je v nějaké síti lokálního ISP na neveřejné IP adrese, protože jakmile provoz opustí tuto vnitřní neveřejnou síť lokálního ISP, pak už nějaký rozsah a třída této neveřejné sítě nikoho mimo tuto síť nezajímá (radši jsem to napsal tak polopaticky, aby to zase nemohl někdo otočit k obrazu svému a vykládat jinak).

Ano, z kontextu diskuse to vyplynulo. Já jsem s tím také počítal, a upozornil jsem vás na takovou maličkost, kterou vy nevíte. Totiž že u VPN nezáleží na tom, kde máte nějaký VPN server, router, nebo koncentrátor, ale síťově jsou VPN ovlivněni i klienti té VPN.

Takže abyste se seznámil s jednoduchým příkladem, jak funguje VPN: Firma používá třeba síť 10.0.0.0/16, na 10.0.0.10 bude mít svůj poštovní server, na 10.0.0.12 intranet, na 10.0.0.15 Sambu. Třeba 10.0.160.0/20 vyhradí pro VPN. Zaměstnanec firmy se z domova připojí do VPN, takže dostane adresu třeba 10.0.160.179 a zároveň se mu do routovací tabulky přidá záznam, že 10.0.0.0/16 se má routovat skrze tu VPN. A to je drobnost, která vám unikla. Protože jakmile tam bude mít jiný routovací záznam pro stejnou síť nebo její část, něco přestane fungovat.

Možná byste chtěl argumentovat, že zaměstnanec se do té VPN připojuje z koncového zařízení ve své síti a ne z routeru své sítě. Ano, v drtivé většině případů ano, ale nemusí to tak být ve 100 % případů. Ale hlavně nemusí jít o připojení zaměstnance, ale může se takhle připojovat nějaká malá pobočka. A tam už se nebude připojovat každý zvlášť ze svého počítače, ale připojí se právě ten router, aby do té VPN byla připojena celá pobočka.

No a o nějaké takové malé firmě byla nejspíš v dotazu řeč. Protože domácí uživatel by asi nepsal „mám pár serverů na veřejných IP adresách“. A velká firma by asi zase nepsala „máme pár serverů na veřejných IP adresách, náš ISP není schopen k nám správně směrovat provoz na tyto adresy a v konfiguraci routeru mám nějaký knoflík, můžu ho zmáčknout?“

Takže bych vám doporučil, abyste zde přestal poučovat ostatní, když jste ani nepochopil, o čem je v dotazu řeč a nechápete ani odpovědi.

[A.S.2]

Tady bude odpověď velmi stručná - pokud zaměstnanec (natož nějaká pobočka) používá VPN, tak má jistě firma IT specialistu a ten si s tím u zaměstnance poradí (nepochybně IT specialista řeší u VPN celou řadu obtíží, než jenom příp. shodu rozsahu sítí). A není tudíž nutné malovat Jirsákovské čerty na zeď a strašit okolí, jaký to bude údajně nepřekonatelný problém v lokální síti ISP s neveřejnými IP adresami

[Filip Jirsák]

Tady bude odpověď velmi stručná - pokud zaměstnanec (natož nějaká pobočka) používá VPN, tak má jistě firma IT specialistu a ten si s tím u zaměstnance poradí (nepochybně IT specialista řeší u VPN celou řadu obtíží, než jenom příp. shodu rozsahu sítí). A není tudíž nutné malovat Jirsákovské čerty na zeď a strašit okolí, jaký to bude údajně nepřekonatelný problém v lokální síti ISP s neveřejnými IP adresami

Já jsem netvrdil, že to bude nepřekonatelný problém. Ale pokud bude jeden router připojen do dvou různých sítí s překrývajícími se rozsahy, bude to dost velký problém.

Nicméně VPN je jenom jeden z příkladů, kdy to může způsobit problém. Podstatné je ale to, že ISP připojuje své zákazníky do internetu, WAN rozhraní zákazníkova routeru je tedy připojené do internetu. A pakety se zdrojovou IP adresou z privátních rozsahů nemají na internetu co dělat a je zcela v pořádku je blokovat.

Ale abychom to nějak uzavřeli. Já jsem argumentoval následujícím:

• RFC 1812, RFC 1918,
• Popsal jsem dvě možné topologie sítě ISP odpovídající dotazu a pro oba dva případy jsem popsal možné řešení.

Naproti tomu A.S.2:

• Napsal, že dotaz je divný a začal řešit úplně něco jiného, než na co se tazatel ptal.
• Nenapsal nic k tomu, jak problém vyřešit.
• Neodkázal se na žádný standard.
• Vůbec neřešil, jak může vypadat síťová topologie, kde takový problém vznikne.
• Za to má spoustu ničím nepodložených dojmů.

[A.S.2]

Nejlepší bude, když dotyčného ISP kontaktuješ a sdělíš mu svoje rozumy. Jistě ho poleje horko, strachy zbledne, pak studem přejde do červené a nakonec pokorně přistoupí na tvoje rady, celou síť předělá a všichni budou spokojeni, nejvíc pochopitelně tvoje ego

[Filip Jirsák]

celou síť předělá

To, že jste nepochopil ani to, jakou jednoduchou změnu má ISP udělat, aby mu začaly veřejné IP adresy fungovat správně, jste si mohl nechat pro sebe. Nebylo potřeba to hlásit.

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Tohle by stálo za článek, nějak to osvětlit, až tato odpověď mi trochu osvětlila trochu dotaz a předchozí odpovědi. bylo to takov vágní, nepřesné, jako kdyby tazatel neuměl popsat problém a ostatní odpovídali na něco jiného

Jinak by mě zajímalo, veřejenou IP adresu svým zákazníkům udělá DNATem jde udělat přes iptables ? Já s tím umím jen porty:
PRE:
DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:6789 to:192.168.1.1:443
POST:
SNAT       tcp  --  *      wg0     0.0.0.0/0            192.168.1.1          tcp dpt:443 to:10.1.1.4
teď už z hlavy nevím jestli ten SNAT tam je fakt třeba, myslím, že to tam bylo kvůli jen kvůli wg, že jsem mu nechtěl dávat allowed-ips celý internet
(use case je jiný- port forwarding)

Ten dotaz je nějaký divný... Proč by se user s neveřejnou IP nemohl dostat na IP veřejnou? To jde úplně normálně (opačně pochopitelně nikoliv)

Dotaz není divný. Pokud je ISP nějaký šmudla, který prostě schová své zákazníky za NAT a -, chová se to přesně takhle. Aby to fungovalo, musí vedle ***DNATu veřejné IP adresy dělat i SNAT zákaznických adres***, aby se paket s odpovědí dostal zpět na router/NAT. Bez toho de paket s odpovědí snaží jít přímou cestou (protože cílová adresa je ve stejné síti, jako zdrojová – obě jsou to privátní adresy za NATem), tudíž neproběhne „odNATování“ paketu a počítač klienta dostane „odpověď“ od serveru, kam nic neposílal – bude tam privátní adresa serveru a ne veřejná.

[A.S.2]

celou síť předělá

To, že jste nepochopil ani to, jakou jednoduchou změnu má ISP udělat, aby mu začaly veřejné IP adresy fungovat správně, jste si mohl nechat pro sebe. Nebylo potřeba to hlásit.

Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo

[Filip Jirsák]

Když je to tak jednoduché, jak si myslíš, tak neblábol na rootu a kontaktuj toho ISP. Určitě bude rád, jakého odborníka se mu v tvé podobě dostalo

Vy víte, o kterého ISP jde? Nebo zase jen píšete nesmysly?