Veřejná IP od ISP, ale za NATem

[Dacesilian]

Ještě by byla možnost routovat veřejnou IP na privátní, pak by si ji klient mohl nastavit na router, fungoval by ping a přitom by se neplytvalo na adresu site/broadcast. Akorát by to musely znát všechny routery po cestě. Je to tak?

[ludvik]

Tak potom tu veřejnou prostě nemáš. Nebo ti někdo icmp blokuje ještě před příchodem na router.

Kód: Vybrat vše

add action=accept chain=input protocol=icmp


Tohle pravidlo prostě znamená, že jakýkoliv icmp paket z jakékoliv strany router přijme. Máš ho dokonce na začátku.

Ping ti fungovat musí.
Ostatní povolení dáváš před ten poslední drop v inputu

Právě, že ping na verejnou nejde. To pravidlo na icmp jsem tam dal před půl rokem, aby mi šel ping na router z LAN.

[iTomB]

Zkus si trasovani z domova ven a z venku dom. Uvidis jak se bude hodne lisit.
V zakladu by od urcite brany tveho ISP mel by stejny pocet skoku, adresy se mohou lisit.

Tom

[TTcko]

jcltm: no to právě je ten rozdíl, na bráně člověka to sežere vždycky nějaký segment, tedy víc jak 1 IPv4 pro člověka, na NAT 1:1 to sežere právě 1 IPv4 na člověka. A IPv6 musíš vyžadovat všude a od všech jedině tlakem na operátory to bude mít smysl, chápu že jim to je jedno páč maj mega příděly

decesilian: teoreticky by to mělo jít, ale pak musíš dát na vnější rozhraní člověka nějaký "spojovací segment" a člověk musí provést routování nebo NAT u sebe. A to vysvětlovat koncovým zákazníkům je dost unreal ale můžu to zkusit třeba s JCLTM, jestli bude chtít být pokusný králík.

mig01: souhlasím s tím ci psal ludvík, pokud tohle máš ve fw, tak by ping z vnějšího rozhraní měl jít. ssh uděláš podobně, jen protocol dáš navíc protocol=tcp a dstport=22. umím si představit že máš něco ještě jinak v /ip services, tam si koukal?

[hapi]

to je zajímavý. Dáváme veřejku na CPE a spotřebujeme jenom jednu IPv6 style

[pgb]

Na CPE nebo přímo na zákaznický router? Osobně jsem začínal na nat1:1 + když někdo potřeboval plnotučnou, tak tunel/vlan. Pak jsem si chvilku hrál s pppoe a nkonec jsem skončil u takového hybridu VPLS+802.1x+DHCPv4/v6+Radius kdy veřejku dávám jako framed-route a pak ji znovu pomocí DHCP triku pošlu z CPE na zákaznický router v point-to-point režimu. Zákaznický router dostane veřejku na wan, gw dostane privátní cpe na střeše a aby na ní věděl kudy, tak místo běžné masky dostane po p2p analogii ip brány. Je to "hack", ale funguje to a ani já ani zákazník nemusí nic složitě řešit. (pro TTcko => vyhneš se tím spojovacímu segmentu). Takovýho sraní s tím, zlatá ipv6.

veřejky----core-routing(+framed-route s dst cpe)----privátní ip(ppoe/..... 10.x.x.x)----cpe(příjem pppoe,routing)----192.168.5.100---Wifi zakoše (routing)----PC

Vypadá to pak na zákaznickém routeru nějak následovně:
wan ip: 215.8.41.41
maska: 192.168.5.100
brana: 192.168.5.100
dns: 8.8.8.8

[hapi]

Na CPE. Přidá se bridge, do něj veřejná IPv4 /32. Ostatní neveřejný zůstávaji zachovány. Nahodí se OSPF který dá vědět síti že tam je veřejka. Upraví se nat pravidlo na veřejku, dopíšou se dst naty pro zákazníka případně upnp, input drop na komplet veřejku, hotovo. Jo CPE resp tam kde je veřejka je vždy mikrotik.

[pgb]

chápu, já jsem se právě snažil obejít to psaní dst natu, ať zákazník nefrfňá že mu nejde ispec server

[hapi]

jo, to je minorita, pokud to chce u sebe tak se popondá až k němu na router. Většina lidí co ví co dělá má doma jako router mikrotik.

[TTcko]

to pgb: no to je solidní hack, good job! ale, za vším hledej zase ve výsledku ty peníze = náklady, takže tvoje řešení je asi dneska možná dražší než "koupit si ipv4" a pravděpodobně o dost víc než mít NAT 1:1. Záleží zda tu práci s nastavením/udržováním/hackováním počítáš jako náklady. Takže ve výsledku (za což sem rád) dospějem oba k jedinému možnému řešení = IPv6 ..oba si totiž uvědomujeme, že udržovat jakýkoliv systém, hack, nebo kupovat IPv4 je vlastně jen zdražování provozu celé sítě = menší marže pro ISP nebo dražší služba => IPv6

to hapi: CPE = router zákazníka? Pokud není, tak "router" zákazníka je jen bridge a ne router? Nebo vnitřní segment zákazníka NATuješ až na tom CPE?

[hapi]

CPE = anténa. Vše doma co je je bridge. Vše řeší anténa včetně natu. Je to stejný jako dsl. Taky máš modem co všechno dělá.

[TTcko]

Díky za názor.. patřím mezi ně. S většinou bych souhlasil, vyjma věcí jako je VPN. Neumím si dost dobře představit jednotky situací, který se bez VPN neobejdou a to nemluvím např.o centrálním přístupu z domu do netu skrz HQ.. primární cílem není ulehčení práce admina se složitým nastavováním firewallů pro přístup jen na nějaké IP adresy, porty, služby, ale možnost to zašifrovat. Mám kolem sebe desítky lidí, co si tlačí data mezi firmama napříč internetem blbým GRE tunel. Já bych prostě nemoh spát.Byl jsem takovej vždy (bezpečnost)a s příchodem GDPR ještě větší (říkejte tomu třeba paranoik, jak chcete). Zažil jsem už dvě kontroly z ÚOHS a opravdu to nejsou "JEN" úředníci a opravdu nejdou "JEN" po papírech. Každýho čtvrt roku procházíme bezpečnostním auditem kde nám testujou jak vulnerability na perimetru, penetrační testy, CVE apod. A jen proto, abychom mohli spolupracovat s konkrétníma firmama a fakt si při tomhle scénáři nedokážu představit provozovat některý služby nativně na IPv6.
Samozřejmě, webový ksichty public serverů a extranetů, pár intranet služeb bych na IPv6 mohl vyhodit, ale zase řešit složitě FW na tom serveru, aplikační firewall, waf apod. Děkuji, nechci. Pro mě je priorita securita na perimetru, ne na end-pointu (samozřejmě co se networkingu týče, je jasný, že na end-pointech je AV apod.)
Pakliže se bavíme o ISP a carrier trhu, souhlasím s Tebou.. ale firemní prostředí je dle mýho názoru úplně jinej rybník.

Sorry za pozdní odpověď, ale je to komplexnější problém vyžadující komplexnější odpověď ..
V první řadě, bych byl moc rád, jestli budeš otevřenej diskuzi na tohle téma, a věnuješ mi kus svýho času, protože bych to chtěl opravdu pochopit, případně najít cestu, jak umět s enterprise lidma mluvit.


trocha úvodu, jak jsem psal v příspěvku výše, udržování IPv4 světa povede nutně k vyšším nákladům. Buď se internet bude monopolizovat, nebo budou vyšší náklady na "nákup IPv4", nebo vyšší náklady na NAT (vyšší rychlost = vyšší cena NAT). Otázka je, zda tyhle náklady ponese ISP a ukrojí si ze své marže, nebo tyhle náklady přenese na zákazníka, kterému tyhle náklady naúčtuje. Dneska je běžný model "pronájem veřejné IPv4" = náklady nese zákazník a cena je marginální. Ale časem tyhle náklady porostou...


a teď k tomu cos psal, tohle všechno co píšeš je dneska naprosto stejně řešitelné v IPv6 světě. Dokonce se domnívám, že o dost jednodušeji než ve světě IPv4. Nevím proč si nedokážeš představit provozovat služby na IPv6, fakt bych rád věděl proč? Proč složitý fw? Můžeš být konkrétní?


ono je to slepice - vejce, ale nechápu, proč to neprovozuješ jak na IPv4, tak na IPv6. Tam kde obě strany budou IPv6, to uděláš nativně na IPv6 a tam kde druhá strana má jen IPv4, budeš holt dělat old fashion IPv4, jde jen o tu změnu pohledu a možná pak zjistíš jednu zásadní věc (a tuhle věc zjistil každej kdo se odhodlal nasadit IPv6 a provozovat jí, třeba jak psal pgb) ... zlatá IPv6

[TTcko]

CPE = anténa. Vše doma co je je bridge. Vše řeší anténa včetně natu. Je to stejný jako dsl. Taky máš modem co všechno dělá.

a) jak řešíš, když je za jednou anténou více lidí? každému z nich dáváš jiný IPv4 vnitřní segment? nebo nemůžeš mít za jedním CPE víc lidí?
b) jak to řešíš na GPON?

[hapi]

1. za anténou je typicky RB2011 a X subnetů 172.16.x.x/24 pro každýho zákazníka jeden. Každej svůj src-nat na solo "venkovní ip". Tam lze lehce dodat veřejka pro konkrétního usera.
2. na gponu už má každej svůj router, minimálně hap lite ac co routuje. Prakticky je to stejný jako solo wifi přípojka.

nenecháváme na lidech nic. Jak jsme je nechali dělat si doma co chtěji tak se nedělalo nic jinýho než se lítalo po servisech. Jo servis se dá platit ale nejsme tu od toho aby jsme 90% času lítaly po servisu. Takže CPE (jakýkoliv, anténa, gpon, multi wifi přípojka) výhradně v našem dohledu a přístupu do nich bez výjimky. V nich jim dáváme vše co je potřebné (dhcp, nat, capsman atd..) tak aby jim domácnost fungovala. Všechno ostatní co si doma poserou je na nich včetně neodborně nastavenýho jinýho/druhýho apčka atd.. maji volat na servis, vše máme zdarma tak maji volat, dodáme ap, zapojíme a hotovo. To samí s natováním veřejek atd.. pokud tohle neuposlechnou tak platí.

Samozřejmě tohle se týká 99% přípojek. Vždy jsou výjimky jako firmy nebo "extra domácnosti". Jako tady ten co řeší natovací pravidla. Zákazník s tím stráví 2 dny a ještě to možná bude fungovat a pak to dopadne tak že změní poskytovatele protože předá veřejku jinak. My to máme nastavený za 1 minutu pro naše zákazníky a nechceme za to nic, kromě zákazníka co neodejde protože to funguje. Stačí jenom zvednout telefon.

[JCltm]

Tak na domácí přípojce (FTTH HUA GPON od LTnetu) mám ONT v bridge a za tím svůj router, na kterém mám jednu veřejku. Bez jakýchkoli tunelů. Pokud si udělám traceroute, první další zařízení za mým routerem je až centrální server poskytovatele v datacentru v Praze.
Po připojení jsem měl u poskytovatele nastavené automatické DHCP přidělení pro můj router podle MAC adresy, což ale nepoužívám -> koupil jsem nový a nastavil WAN rozhraní manuálně spolu s CloudFlare DNS.
Aktuálně mám na WAN:
static IP abc.def.ghi.45
mask 255.255.255.224
gateway abc.def.ghi.33
Bez jakýchkoli tunelů. Pokud se nepletu, je na mě použitá jen jedna IPv4 veřejka, kterou mám na routeru.
S IPv6 už je to už dobré dva roky slibotechna stylu "za půl roku nasadíme" pokaždé, když se na to zeptám.

Jinak na přípojce od vás mám za Groovem Edgerouter Lite s NATem pro IPv4 a s přidělováním /64 v6 pro každý ze subnetů (jeden z nich se zatím nedořešeným v6 ve VLANě pro síť pro hosty na UniFi - na vině bude asi switch). Veřejku 1:1 tam koupenou nemám. Čekáme na optiku, kterou technik minulý rok při instalaci provizorní wifi slíbil na letošní jaro, zatím se ale ani nekoplo (mám info, že se čeká na územko).