Poskytovatel přenese jen neNATovaný provoz

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #15 kdy: 02. 08. 2014, 10:16:00 »
BTW, v kontraktu s ISP mate napsano, ze se jedna o pripojku k intranetu? Protoze Internet to zretelne byt nemuze.


ManNerd

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #16 kdy: 02. 08. 2014, 10:24:47 »
@Mirek Prymek: To uz jsem udelal davno, ale nepochodil jsem. Jedinou odpovedi je, ze podporovane reseni je pouzivat "moje" DHCP. Jenze vzhledem k tomu, ze si o odbornosti tohoto cloveka nedelam valne iluze, litaji mi sem CDP pakety, ikdyz tvrdi, ze STP "nepouziva", navic z brany, kde bezi NAT. Nechci se spolehat na to, ze mi sem jeho vnitrni siti nekdo nepoleze. Ikdyz vzhledem k te "polofunkcnosti", to mozna nebude ani mozne. :-)
Duvodem, proc nehledam jineho providera je to, ze jsem v lokalite, kde jaksi neni vyber. Jsou tu dva, jeden horsi, nez druhy. Druhy ma sice sit pruchozi, ale je to velmi nekorektni spolecnost u ktere se smluvne uvazete i k tomu, kdo konkretne vas v pripade sporu o nefunkcni linku bude soudit (spol. AB-NET, neodpustim si reklamu :-)), mate pravo pouze platit ikdyz vam rychlost lita nahoru a dolu, smlouva se da vypovedet jenom jednou za dva roky. To je ale jina pisnicka a zbytecna diskuse. Spis durazne varovani pro ostatni.
Jak se na to tak koukam, nevim, jestli by nebyl lepsim resenim spise nejaky transparentni firewall.
Zkusim to jeste debugnout proti nejakemu stroji s verejnou IP a napisu, k cemu jsem dospel. Je na to potreba trochu vic casu, ktery ted nemam. Kazdopadne diky za vecne podnety, zejmena Janu Formanovi a a Lukovi.

ManNerd

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #17 kdy: 02. 08. 2014, 10:26:27 »
@Jarda P. : Good one! :-)
To tam postupne doskace, intranet je jen prvnich cca 200 hopu. :-)

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #18 kdy: 02. 08. 2014, 10:27:58 »
Chápu. Kde nic není, ani smrt nebere :)

Pokud chceš řešit bezpečnost, tak řeš bezpečnost a neřeš NAT. Bezpečnost se řeší firewallem. Co je "transparentní firewall" ale netuším :)

ManNerd

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #19 kdy: 02. 08. 2014, 12:03:35 »
Transparentni firewall, resp. transparentni mod firewallu je featura, kterou umi nektere lepsi firewally. Jde o to, ze provadi filtrovani na 2. vrstve a neovlivni stavajicici IP topologii z pohledu 3. vrstvy ISO/OSI. Jsou tam ale nektera omezeni, pramenici z filtrovani ramcu, nikoliv paketu.
Detaily napriklad tady:
http://kb.fortinet.com/kb/viewAttachment.do?attachID=Fortigate_Transparent_Mode_Technical_Guide_FortiOS_4_0_version1.2.pdf&documentID=FD33113
Ze NAT neresi bezpecnost vim, spis mi slo o to, ze jsem potreboval vnitrni sit rozdelit na vice kusu, tedy idealne subnety a routovat mezi nimi. Zaroven odriznout od nechteneho provozu od poskytovatele. Tam je celkem idealnim resenim router ve vnitrni siti, za nim stavovy firewall a NAT, vzhledem k tomu, ze mi provider zpatky nebude routovat moje podsite.


Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #20 kdy: 02. 08. 2014, 13:01:30 »
Transparentni firewall, resp. transparentni mod firewallu je featura, kterou umi nektere lepsi firewally.
Jo, už jsem si to vygooglil, tenhle termín se ke mně zatím nedostal nebo jsem si ho nezapamatoval, spíš "bridging firewall".

Jde o to, ze provadi filtrovani na 2. vrstve a neovlivni stavajicici IP topologii z pohledu 3. vrstvy ISO/OSI. Jsou tam ale nektera omezeni, pramenici z filtrovani ramcu, nikoliv paketu.
Filtrování čistě L2 rámců by bylo na nic, potřebuješ normální L3 filtrování, akorát ne v rámci routování, ale v rámci bridge. To není žádný problém:
http://www.sjdjweis.com/linux/bridging/
http://people.pharmacy.purdue.edu/~tarrh/Transparent%20Firewall%20-%20Filtering%20Bridge%20-%20William%20Tarrh.pdf
http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall

spis mi slo o to, ze jsem potreboval vnitrni sit rozdelit na vice kusu
V tom případě se natu nevyhneš, to je jasný.

Být tebou bych na to šel od podlahy - vysniffovat, jaký pakety od tebe chodí s natem a bez natu a čím se liší. Pokud používáš nějakou pochybnou krabičku na to navtování, je klidně možný, že mění porty na nějakej rozsah, kterej ISP odmítá přijmout... Ověřil bych si, že provoz odchází z "dynamických portů" (49152 až 65535 - viz http://cs.wikipedia.org/wiki/Seznam_%C4%8D%C3%ADsel_port%C5%AF_TCP_a_UDP). Onehdy jsme řešili něco podobnýho - u jednoho ISP nešel odchozí provoz a nakonec se zjistilo, že odcházel z portu, kterej rád používal jakejsi vir, takže ho ISP blokoval... U tebe by to mohlo být něco odbobně stupidního...

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #21 kdy: 03. 08. 2014, 10:52:00 »
a nebylo by vůbec nejlepší zmínit jaké zařízení používáš?
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

ManNerd

Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #22 kdy: 03. 08. 2014, 17:07:55 »
@Zajdan: Zkousel jsem to uz s vice zarizenima, vsechna se chovala stejne. Ted tady mam Fortigate 60C, u ktereho jsem si pomerne jisty, ze se drzi standardu. Ale souhlasim s Mirkem Prymkem, ze bude potreba vzit to nizkourovnove a porovnat detailne pakety. Dam pak vedet k cemu jsem dosel.

Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #23 kdy: 03. 08. 2014, 17:11:35 »
Ale souhlasim s Mirkem Prymkem, ze bude potreba vzit to nizkourovnove a porovnat detailne pakety. Dam pak vedet k cemu jsem dosel.
Ono ti ani nic moc jinyho nezbyva - pokud bys koukal na odchozi pakety a na to, jestli ti prijdou nekam na server, tak treba zjistis, ze neprijdou a porad nebudes vedet proc, takze nakonec u inspekce toho odchoziho provozu skoncis...

luk

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #24 kdy: 03. 08. 2014, 20:42:33 »

Na tom routeru providera, kde je eth rozhrani 192.168.1.1 SNAT bezi, myslim si. Proc by nemely fungovat dva SNATy za sebou? Principielne by to nemel byt problem podle me. Budu rad za jakekoliv nastineni problematickeho scenare. Provozuju tyhle typy konfigurace celkem bezne na ruznych mistech a technologiich a nikde jsem zatim problem nemel, krome tohoto jednoho.
Vice subnetu potrebuji kvuli oddeleni ruznych typu zarizeni (jejich urceni). Na to se routovane subnety hodi pomerne dobre.

Tak jednak - nenech se zmást, ten výsledek traceroute nic v této situaci neříká o počtu NATů, protože ty další privátní rozsahy mohou být pouze routované, nikoliv NATované (ani není důvod, aby byly, ale věřím, že může existovat "ISP", který takto funguje).

A k více NATům. Opět budu jen stručný - http://en.wikipedia.org/wiki/Carrier-grade_NAT - tohle je velmi záludná věc, která když se neumí správně uchopit, působí velké potíže. Jinak více NATů za sebou postrádá logiku z principu věci - mezi privátními subnety ve své síti je nesmysl NATovat, čistě routované řešení je mnohem výkonnější a transparentnější.

A teď k meritu věci - zapomeň na transparentní firewall. Má různá omezení, dosti pracně se konfiguruje, a zdaleka ne každý firewall umí transparentní režim.
Nevím, jak moc jsi znalý IPv4 adresování a routingu, ale ISP ti poskytuje "velkou" /24 síť (byť privátní rozsah), tak co takhle namísto NATu "rozsekat" subnet /24 na tři menší?
Dejme tomu takhle:
192.168.1.128/26
192.168.1.64/26
192.168.1.0/26

Tyhle sítě nakonfiguruješ na svém routeru a 192.168.1.0/26 necháš jako transit k routeru providera, zbylé dvě jsou pro tvé "izolační" účely, každá zapojená k jinému interface routeru. CIDR zajistí zbytek a mělo by to fungovat jako routovaná, nikoliv NATovaná, topologie. Případně si to můžeš rozkouskovat na ještě více menších kousků, nebo můžeš pro transit vyhradit jenom /30 síť, aby ti zbylo více adres a bloků pro tvoje účely. 

A proč to může fungovat?:
Tohle je routovací tabulka na routeru tvého providera platná v tuto chvíli (Cisco-like) - pochopitelně jen ta část, která nás zajímá:

RouterISP#sh ip route
....
....
    192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.1.0/24 is directly connected, GigabitEthernet0/1
L       192.168.1.1/32 is directly connected, GigabitEthernet0/1

Tohle tam prostě je, router musí o prefixu, který ti byl přidělen, vědět. A takhle by vypadala u tebe (Cisco-like):

ManNerdsBox#sh ip route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

     192.168.1.0/24 is variably subnetted, 6 subnets, 2 masks
C       192.168.1.0/26 is directly connected, GigabitEthernet0/1
L       192.168.1.2/32 is directly connected, GigabitEthernet0/1
C       192.168.1.64/26 is directly connected, GigabitEthernet0/0
L       192.168.1.65/32 is directly connected, GigabitEthernet0/0
C       192.168.1.128/26 is directly connected, GigabitEthernet0/2
L       192.168.1.129/32 is directly connected, GigabitEthernet0/2
S*   0.0.0.0/0 [1/0] via 192.168.1.1

Nebudu se pouštět do žádných "velkých akcí" ohledně CIDRu nebo route aggregation, nicméně na CISCO a Linux routerech to mám bezpečně vyzkoušené - běžně se tak segmentují sítě. Navíc tohle bude umět kdejaká krabička z Alzy nebo CZC. Pokud by ani tohle nefungovalo, je zbytečné zkoušet cokoliv dalšího z tohoto ranku - ale to nevím, co by tam musel ISP mít za security.


Závěrem si neodpustím jedno malé "šťouchnutí", ale neber si to osobně - jen konstatování  ;) :
CDP, neboli Cisco Discovery Protocol, může běhat i v síti, která o STP (Spanning Tree Protocol) vůbec neslyšela ;). A přítomnost CDP, potažmo LLDP, na routerech není nic zvláštního nebo špatného, protože umí poskytnout poměrně dosti cenné informace o zapojených sousedech, a to se mnoha případech opravdu hodí.
 

6

Re:Problem s konektivitou - pres providera projde pouze neNATovany provoz
« Odpověď #25 kdy: 03. 08. 2014, 22:24:37 »
A přítomnost CDP, potažmo LLDP, na routerech není nic zvláštního nebo špatného, protože umí poskytnout poměrně dosti cenné informace o zapojených sousedech, a to se mnoha případech opravdu hodí.

A právě proto se na rozhraních, na jejichž druhém konci nejsou "moje" zařízení, zakazuje ;)

ManNerd

Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #26 kdy: 03. 08. 2014, 22:27:26 »
@Luk: Koukam, ze sis s tim dal praci, diky!
S tim stouchnutim je to na miste, pozdeji jsem si uvedomil, ze jsem placnul blbost, STP samozrejme pouziva BPDU ramce. :-) To je tak, kdyz pisu prispevky s jecicima detma za krkem...

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #27 kdy: 04. 08. 2014, 00:18:49 »
A netahá nás tady někdo za nos?
poslouchej....ať si provider vyhrožuje soudama jak chce, ale hned první soud by projel, protože všechny routery pro domácnosti, které se snad i považují jako standard domácích přípojek mají defaultně nastaven NAT a většina z nich neumí fungovat jinak než s NATem, a proto provider nemá šanci obstát a na takového šuli.. bych se okamžitě vy....
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

ManNerd

Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #28 kdy: 04. 08. 2014, 09:19:54 »
@Zajdan: To byla jen odbocka k druhemu providerovi, ktery tady pusobi a na ktereho uz jsem se davno vykaslal (AB-NET). Jemu to technicky jakstaks fungovalo, ale parametry linky byly otresne z pohledu kolisani rychlosti, odezvy. A zrusit jeho smlouvu opravdu neni jednoduche, lze to prakticky pouze k dvouletemu vyroci smlouvy, jinak ani rana. Leda ten soudni spor, ale tam mate ve smlouve, ze souhlasite s takovym tim zjednodusenym rizenim, v nemz bude rozhodovat osoba XY. Je otazka nakolik je toto napadnutelne, nejsem pravnik. Kazdopadne na pristup teto firmy si stezuje vicero lidi po internetu a v tomhle vlaknu je to trosku OT. Ten soucasny ISP nema s tim soucasnym, ktereho tady resim nic spolecneho.

ManNerd

Re:Přes providera projde pouze neNATovaný provoz
« Odpověď #29 kdy: 04. 08. 2014, 09:38:24 »
Eeee, AB-NETem nema nic spolecneho :-)