Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

ISP co nepoužívá VLANy - názor

Dotazy od zákazníků týkající se internetových přípojek nebo čehokoliv souvísejícího s Internetem.
kadlcikales
Příspěvky: 164
Registrován: 7 years ago
Bydliště: Zlín , Otrokovice , Kroměříž
Kontaktovat uživatele:

Re: ISP co nepoužívá VLANy - názor

Příspěvekod kadlcikales » 5 years ago

zorbon píše:to hocimin1:
Já mám Ubiquity Router X s Unify AP na POE.

ISP používá /23 subnet (stále jsem v něm - ale k ostatním se už nedostanu jako předtím ani z routeru ani od sebe), když jsem tehdy skenoval tak 160~200 aktivních IP (a ano, jedno PC bylo napřímo). Jedna věc bylo to, že jsem viděl ostatní, ale ta druhá právě to, že jsem viděl infra ISP v tom subnetu (switche, AP, IPTV/DLNA server(y) s mnoha otevřenými porty,...).

to kadlcikales:
Ne, mám svůj vlastní rozsah 192.168.60.X/24 a ISP má za routerem 172.20.22.0/23. Těch infra ISP bylo několik (cca 10), ostatní byly koncový zákazníci s TP-Linky, Asusy s WRT,...


Z důvodu routy 0.0.0.0/0 pošlu vše na gw ISP je logické (pokud to nemá blokované) že mu vidíš na APčka a do celého jeho IP rosahu, ale je někde něco špatně pokud vydíš DLNA to využívá UPnP takže to má povolené na těch tplinkách a proto to vydíš
0 x

zorbon
Příspěvky: 7
Registrován: 5 years ago

Příspěvekod zorbon » 5 years ago

To já chápu proč to vidím, ale přijde mi to principiálně víc než špatně.

Když vezmu jako ekvivalent následující situaci.

Je firma, která má X pracovních stanic, Wifi síť pro sebe, Wifi síť pro návštěvy, vlastní infra v serverovně a třeba tiskárny. Tak přeci je standardem, že do serverovny se dostanou jen určité stanice nebo v rámci VPN a jejího oprávnění, pak stanice a jejich uživatelé se dostanou na vlastní wifi síť a k tiskárnám, ale návštevy se dostanou maximálně jen k netu.

No a tady jsem se jako "návšteva" mohl dostat k "serverovně" a ke "stanicím", což je dle mého prostě špatně. Je možné, že to jde o běžnou praxi, což by bylo smutné, ale to neznamená, že to není lajdáctví a pod. Kdyby mě na něco takového upozornil zákazník (že třeba vidí aplikace ostatních zákazníků), tak bych se styděl a jen bych šoupal nohama a honem to napravil, a ne až po čtyřech a půl měsících.

Proto jsem se ptal na názor na takovou praxi u ISP.
0 x

ludvik
Příspěvky: 4448
Registrován: 12 years ago

Příspěvekod ludvik » 5 years ago

Principielně je to naopak správně. Co je účelem internetu? Propojovat počítače mezi sebou. Ty je propojená máš a považuješ to za chybu. Že se můžeš připojit na nějaký počítač přes oceán je správně, ale už je to špatně v rámci jedné bytovky?

Vyčítej to obyvateli bytu, že si to neochrání, ne pronajímateli drátu.
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 5 years ago

newster píše:Televize ne ale router otevře porty. Mrkni co dělá UPnP. Na všech těch obyčejných routerech TP-Link je UPnP defaultně povolené.


jo, jenomže je upnp pro rozhlašování to lokálu "hele já sem tady a můžeš mě ovládat (upnp av)" a upnp pro "routere otevři mi porty (nat traversal)" což jsou dvě různý věci.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

zorbon
Příspěvky: 7
Registrován: 5 years ago

Příspěvekod zorbon » 5 years ago

ludvik píše:Principielně je to naopak správně. Co je účelem internetu? Propojovat počítače mezi sebou. Ty je propojená máš a považuješ to za chybu. Že se můžeš připojit na nějaký počítač přes oceán je správně, ale už je to špatně v rámci jedné bytovky?

Vyčítej to obyvateli bytu, že si to neochrání, ne pronajímateli drátu.


Propojovat ano, ale takhle? Snad když už, tak zákazníka s netem (nebo chceš-li serverem) a ne přeci zákazníky se zákazníky. Za oceán se nepřipojím k sousedovi.


Takže ISP dodává neaktualizované routery normálním uživatelům nebo důchodcům (zde třeba většina), nechá jim default přístup s povoleným přístupem z WAN portu a oni rádi, že se podívají na "ten internet s červeným S" si mají toto ohlídat? To jako vážně?
Kdyby to bylo čistě jejich vlastní zařízení (jako já mám třeba UBNT), tak ještě v pořádku, ale oni se uvážou na 24 měsíců s routerem od ISP, tak by měl snad zařídit nějakou bezpečnost, ne? Když už má bordel v síti, tak alespoň u koncovýho zákazníka. Možná mám zkreslené představy o tom co by měl ISP dělat (znám ale i jednoho co měl custom firmware pro routery a takovéto věci řešil), ale pokud by tomu tak nemělo být, tak mi pak takový ISP přijde pomalu jak prodejce "čínských prodlužek", kterýmu je putna, že kupující může vyhořet (že mu třeba "dobrý" soused něco udělá s routerem), hlavně že má vyděláno.
0 x

ludvik
Příspěvky: 4448
Registrován: 12 years ago

Příspěvekod ludvik » 5 years ago

Někdo má holt ten pojem internet pokřivený. Já ještě ne.

Mě přeci nezajímá, jestli tam ten někdo chce provozovat server pro jiné.
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

hocimin1
Příspěvky: 1154
Registrován: 17 years ago
Bydliště: Náchod

Příspěvekod hocimin1 » 5 years ago

sitova neutralita.

Ja preci musim dodat kompletni internet. Nemuzu nastvavovat firewally na routerech, bez zadosti zakaznika.
Vzdyt ja nevim co treba bude vsechno dit delat za tim routerem, nebo na tom pocitaci co ma naprimo. A kdyz bych mu zapnul firewall, nebo nejak omezil to pripojeni. Bude mi volat ze mu neco nejde, ze mu nejde PS2, XBOX a podobne. Takze mu tam nazenu net. A to ze je viditelnej jeho pocitac v okolnich sitich, protoze nema router a nenastavil si na PC firewal, me je uplne jedno.

Pak se nekomu muze jevit, ze je ta sit spatna.

To, ze ty vidis cast, site. Respektive mysleno cast fyzicke, protoze jsi v jejim segmentu, neznamena, ze ISP nepouziva VLANy a ma neco spatne. Nekdo pouziva VLANY na subnety, nekdo pouziva VLANu pro kazdeho zakaznika. Ale i to neznamena, ze je odeleny od ostatnich. Je odeleny jen na te VLAN, ktera se nekde s ostatnimi koncentruje v ROuteru. I presto muzes vyskenovat celou jeho strukturu, protoze urcite nebude mit firewall na tom koncenrovanym routeru, aby se z jedne VLAN nikdo nedopingnul do druhe VLAN.
1 x

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 5 years ago

že vy dva jste jeho ISPíci? takovou kraviny by jste jinak nenapsaly.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

cerva
Příspěvky: 254
Registrován: 9 years ago

Příspěvekod cerva » 5 years ago

A teď si představ, že někteří zlí ISP přidělují zákazníkům veřejné IP přímo na jejich router, a tyhle srandy jsou pak přístupné nejen od sousedů, ale z celého světa. A co teprve IPv6, kde má veřejnou adresu každý mobil na wifi!

</sarcasm>

A teď vážně, taková síť s aktivním DHCP/MLD snooping ošetřena proti IP spoofing a pár dalsima vecma není vyloženě špatně. Za sebe používám CGNAT a zákazníky izoluju na úrovni portu nebo alespoň dummy switche v rámci jedné bytovky, na bezdratu client isolation. Výhody jsou pro mě zjevne, snižuje se tím vektor útoku na zařízení, pokud na těch zařízeních není rozumně řešena securita, a lépe se shapuje provoz mezi zákazníky. Nechtěj ale po ISP, aby v ceně služby řešil ještě securitu nad rámec predavaciho rozhraní.
1 x