Veřejky -NAT 1:1 na hlavním routeru,nebo routovat?

[aliney]

na IP mam +/- 100 pripojek (tech 65535 nenaplni ani omylem) , ja sam mam doma natovanou verejku a mam na tom IPsec a nezaznamenal jsem problem...

[Majklik]

Jo, teoreticky 2x NAT 1:1 by neměl ničemu vadit (pokud pomíjím komplikaci, že by dva takoví klienti v mé síti chtěli spolu komuikovat), ale v reálu mi to nevychází. Ty jebnuté NATy evidentně občas šáhnout i do něčeho jiného. U IPsecu to záleží i na režimu, IPsec tunelu to nevadí, IPsec transport je náchylnější. Taktéž záleží, zda jen šifruji nebo i podepisuji atd.

Co se týče těch možných koncových klientú za jedním NATem, tak je to otázka protokolová (a brzo i legislativní). Za jednu IP může klidně NATovat půl miliónu lidí. Ten limit pro UDP a TCP aktuálně je, že projde max 65535 spojení mířících na stejný cílový IP:port do Internetu, pokud se komunikuje na různé IP nebo porty, tak je to jen dáno množstvím RAM, výkonem CPU... Ale pro jiné protokoly to neplatí. Pokud pro daný protokol neexistuje do NATu specializovaný helper (jako např pro PPTP), tak jde skrz NAT vést jen jedno spojení na jednu cílovou adresu.

Jinak hlasuji tkaé pro /32 routu (pokud nedávám PPPoE).

A pokud vezmu v potaz blížící se EU antikyberntické zločinecké zákony, tak představa je jeden zákazník-jedna IP (nemáteli dostatet IPv4 adres, budete dávat novým lidem IPv6 only konektivitu), jinak podporuji kyberterorismus, jsme špatnej a v lepším případě pár tisíc EUR/denně flastr nebo příkaz na uplinka odpojit síť. Mimochodem, zákon, dle kterého úřada od stolu bez soudu rozhodne o odpojení vaší sítě bude s trchou štestí platit v ČR už letos, když získá pocit, že se podílí vaše síť/váš zákazník na nějakém aktu ohrožující naší skvělou společnost (no, furt lepší jak tálínský pakt, dle kterého se NATO ujišťuje, že je naprosto OK rovnou Vám poslat domů raketu za nějakej povedenej DDoS z vašeho hacknutého počítače, pokud bude mít pocit, že s ena tom úroku sami aktivně spolupodílite ).

[Dalibor Toman]

Ahoj,

co je podle Vás lepší? Mít naházený veřejky na hraničním routeru,co máte do netu a dělat nat 1:1,nebo routovat bloky přímo na koncový vysílače a z nich pak dávat klientům? Já momentálně natuju. Ale přemejšlím o úpravách sítě i co se IP adresace týká,tak mě zajímá Váš názor.

Zatím u natu vidím plus v tom,že můžu dát komukoliv ze sítě veřejku,která se mi zlíbí a nemusím koukat na jakym bloku je routovaná, o to bych přišel když bych zvolil druhej způsob.

- nejdriv se musis sam sebe zeptat ,jestli chces skutecne lidem davat opravdovy verejny IP. Protoze to, ze je za NATem 1:1 podle meho mineni verejna adresa neni. Klient ma verejnou IP adresu, kdyz ji ma na svem PC/routeru. Jakmile je za NATem uz to neni nativni konektivita (nektery sluzby nemusi fungovat i kdyz NAT 1:1 toho dost poresi) - proste software na zakaznikove stroji musi po dotazu na lokalni IP adresu spojeni dostat jako odpoved tu skutecnou verejnou. Aleje jasne, ze 99.9% zakazniku tuhle nuanci nepozna (pac bohuzel kazdy software, ktery chce byt na siti pouzivan se musi v realu s existenci NATu vyporadat jinak ma smulu)

- za dalsi bych bral v potaz, zda jsi LIRkem ci ne (zda mas ve IP nebo jen pujcene od upstreamu). Pokud nemas vlastni IP pak tim prenatovanim se vyhnes zavislosti (kdysi jsme takhle precislovavali par tisic klientu a je fakt lepsi se tomu vyhnout ) na jednom dodavateli. Uznavam, ze dnes je to trosku slozitejsi (resp zrizeni clenstvi v RIPE je slozite/narocne cca stejne ale dostanes malo IPcek) ale vlastni IP jsou vlastni IP.

IMHO NAT patri az do zakaznikovi site - ten at si tam dela co chce. Ja jako ISP mu dorucim data po verejce. Takhle jsme to delali vzdycky. Uznavam ale, ze diky tomu, ze to delame dlouho mame tech IPcek dostatek. Ten kdo zacina jako ISP az ted, tak mu nic nez NATovani nezbyva. Pro me je NAT v siti zase jen dalsi tamagoci o ktereho je treba se starat. Bez nej je spousta veci jednodusi.

[Dalibor Toman]

jistě my dáváme normálně /32 routovanou a je klídek.

tomu nejak nerozumim. Bavime se o cistem ethernetu nebo nejakem tunelu? Naco na zpusob: klient dostane na svuj PC privatku z nejaky subnety vetsi nez /32 (v ni ma i default gatewy) a na to IP se naroutuje verejna/32? To si nejak nedovedu predstavit (problem s preferovanou source IP a pod).

[ludvik]

Klasický omyl ... jsou to dvoupáry IP:PORT-IP:PORT. Za jednu IP zamaskuješ o hodně víc spojení ... Jenom jich z jedné víc neuděláš.

Ještě bych se rád zeptal, když dáváte lidem, který nepotřebujou veřejky, neveřejný IP...kolik lidí maskujete za jednu IP adresu?

Na tohle je jednoducha odpoved a to, ze za 1 ip adresu nedas vic jak 65535 spojeni. Tak si to vyprumeruj

[Daxxim]

Klasický omyl ... jsou to dvoupáry IP:PORT-IP:PORT. Za jednu IP zamaskuješ o hodně víc spojení ... Jenom jich z jedné víc neuděláš.

to cervene jsem nepochopil, podle me si trosku protirecis, mohl by jsi to trosku rozebrat jak to myslis?

[ludvik]

Klasický omyl ... jsou to dvoupáry IP:PORT-IP:PORT. Za jednu IP zamaskuješ o hodně víc spojení ... Jenom jich z jedné víc neuděláš.

to cervene jsem nepochopil, podle me si trosku protirecis, mohl by jsi to trosku rozebrat jak to myslis?

Máš 2^16 portů. Takže z jedné IP neuděláš víš než 65536 spojení. NATka nenatka. Ve skutečnosti méně, ale to je fuk.
Pokud máš NATkovací stroj, tak on nepřekládá tak, že má na výstupu jednu IP a 65536 portů. On si udržuje conntrack tabulku - a tam jsou "kvartety" zdrojová IP : port a cílová IP : port. Takže může existovat spousta zdrojových IP se stejným portem směrujících na stejnou cílovou IP a stejný port. Omezení na počet možných kombinací prakticky neexistuje (ale jo, je tam - velikost té conntrack tabulky, volná RAM, a tak).

Implementačně si ale nejsem úplně jistý - kvůli identifikaci konexe na cílové IP se nejspíš nikdy nepoužije stejný odchozí port pro různé zdrojové IP. Takže se dá říci, že jediné omezení NATky je 65536 konexí na jednu cílovou IP.

A pak jsou občas problémy s protokoly typu ipsec, gre a obdobné, kde je IP součást i datového paketu.

Ale máš pravdu, vysvětlování mi moc nejde Majklikovi to jde lépe. Vlastně napsal to samé.

[Daxxim]

diky za vycerpavajici odpoved

[Majklik]

tomu nejak nerozumim. Bavime se o cistem ethernetu nebo nejakem tunelu? Naco na zpusob: klient dostane na svuj PC privatku z nejaky subnety vetsi nez /32 (v ni ma i default gatewy) a na to IP se naroutuje verejna/32? To si nejak nedovedu predstavit (problem s preferovanou source IP a pod).

Záleží, čím to končí u klienta. Obecně a nejbezpečnější (z pohledu - bude to fungovat s kdejakým krámem) je PPPoE. Pokud tam má něco inteligentnějšího, např mikrotika, tak jsou v podstatě dva způsoby:
a) jak jsi psal - dostane neveřejku z nějakého segmentu třeba /24 a v ní má i default routu ven, vedle toho na wan iface dostane i veřejku /32 a naroutuješ mu to na to. Pro odchozí spojení se jen nastaví srcnat, ať používá tu veřejku.
b) koncovému klientu na wan port (např ether1) dáš pouze tu /32 veřejku a defaultní bránu nastavíš, že míří přímo do ether1 interface. Na straně routeru u ISP je na iface směrem ke klientům zapnut režim proxy-arp a funguje to i bez té pomocné neveřejky (směrem od ISP tu veřejku routneš také přímo na to iface). Tohle se i hodí, když děláš izolaci kleintů od sebe. to proxy arp stáhne vše na sebe a tam profiltruješ, co přímo mezi klienty propustíš (vyházíš MS share a podobné).
Takže u tohoto režimu pak máš v ARP tabulce u klienta pro každou IP (na kterou komunikuje) ARP záznam s MAC adresou odpovídající té bráně (co má zapnuto proxy-arp).

[Dalibor Toman]

..

o techto a podobnych resenich vim. Ja uz se lekl, ze existuje proste a pritulne reseni jak verejnou /32 dostat bez tunelu az k zakaznikovi (ne na nejakou gateway). V nasem pripade je u zakaznika vzdy MT ale na strane k zakaznikovi predavame verejne IP (/30 ci vic). Cili si tam muze pripojit primo PC nebo svuj NAT broadband router.

[Majklik]

Jo, to jsou podvody, ale funčkní. Jinou variantu, jak efektivně využít IPčka je na optice, že mám normálně VLANa co barák, každá má nějakou svoji neveřejný prefix. A pro ty s veřejkama mám jednu VLANu, kde mám zkrátka /24 vwřejek a tato VLANa je roztahána do všech baráků a kdo má veřejku, tak místo aby měl access port na VLANě baráku, tka tam má VLANu s veřejnm Cečkem. Když se VLANa obsadí, tk se nahodí další s dalším C
éčkem a jede se dál... Takových Céčkových VLAN je víc. Na porty se to binduje přes Radius.
Pro wifi rádia se to moc nehodí, tam PPPoE, /32 dle situace.