Více NATů v routeru

[rsaf]

a jde vůbec třeba na bridgovaný hap lite nastavit aby přes sebe přidávala option 82?

Pokud to neumí, tak je to šmejd

Myslím si, že se zde stále zapomíná na to, že tam má být Xkrát zákaznická LAN - v bytech je více zásuvek, někteří zákazníci tam klidně mohou mít připojeno více věcí vč. NAS, tiskárny... takže tam prostě samostatný NAT + VLANa pro zákazníka patří.

Bude záležet na vztahu ISP - majitel - nájemníci, jako ISP bych to ale viděl asi takto:
1) připojuji v bytě jednu zásuvku kde si zákazník dá router a nezájem
2) když někdo bude chtít další zásuvku, "rozpletu" ten přívodní kabel (takže jen 100MBit), v RACKu propojím s druhou zásuvkou - stále je jen zákazníkův router, žádná konfigurace navíc a živá další zásuvka v bytě
3) při požadavku na více zásuvek bych asi přidal switch s vlanou pro daného zákazníka - a nechal bych ho alespoň z části zaplatit

[iTomB]

a jde vůbec třeba na bridgovaný hap lite nastavit aby přes sebe přidávala option 82?

Ted si asi nerozumim, nevim zda je to ranem, ci jak ...
Kde je ten hap?

I kdyz v zakladu, nemel by na to vubec sahat, pokud tam neni zaply DHCP server ci relay. Pripadne FW.

[iTomB]

Pokud to neumí, tak je to šmejd

Myslím si, že se zde stále zapomíná na to, že tam má být Xkrát zákaznická LAN - v bytech je více zásuvek, někteří zákazníci tam klidně mohou mít připojeno více věcí vč. NAS, tiskárny... takže tam prostě samostatný NAT + VLANa pro zákazníka patří.

Bude záležet na vztahu ISP - majitel - nájemníci, jako ISP bych to ale viděl asi takto:
1) připojuji v bytě jednu zásuvku kde si zákazník dá router a nezájem
2) když někdo bude chtít další zásuvku, "rozpletu" ten přívodní kabel (takže jen 100MBit), v RACKu propojím s druhou zásuvkou - stále je jen zákazníkův router, žádná konfigurace navíc a živá další zásuvka v bytě
3) při požadavku na více zásuvek bych asi přidal switch s vlanou pro daného zákazníka - a nechal bych ho alespoň z části zaplatit

Spis jsi asi nepochopil hapiho. Jinak i s option 82 lze dat zakaznikovi vice portu a porad jeden pool.

Druhy switch neni potreba, staci vhodne nastavit ten stavajici (pokud staci porty), nebo jen upravit konfiguraci DHCP serveru.

Az bude vice IPv6, tak ten vas NAT bude na 2 veci ... Pokud si tam zakaznik zapoji obyc router v NATU a nebude umet IPv6, tak ji proste nebude moci pouzivat.

Pokud router bude v bridge rezimu, tak projde zakaznikovi IPv6 vsude.

[rsaf]

Heh teď jsi si sám naběhl. Můžeš mi vysvětlit, jak bude fungovat option 82 na při bezstavové konfiguraci IPv6? Pokud bude mít zákazník router s rozumnou podporou IPv6, přidělí se mu prefix z DHCPv6 severu pomocí prefix delegation (zde by teoreticky něco jako option 82 zafungovat mohlo), pokud tam bude mikrotik s XxNATem, dokonfigurují se ty LANky ručně.
Snad nikdo neplánuje mít doma nefirewallovanou IPv6 konektivitu! Dnes tam byl trošku jako security NAT, na IPv6 se běžně z WAN povoluje jen established,related...

[iTomB]

No odhaduju, ze pres 95% ani nevi o nejake IPv6, takze to budes stejne resit centralne ...

Ten kdo vi, tak si stejne poridi router s podporou IPv6 a u nej to vypnes, at si to poresi sam ...

[rsaf]

Jakože od všech zákazníků budu mít nějaký L2 bridge někam na svůj router? Tak to asi ne, nejsem variot. Již dnes dávám zákazníkům routery, které IPv6 podporují (Mikrotik nebo Tomato), u domáností budu podporovat jen a pouze prefix delegation. Kdo bude mít vlastní router který to neumí anebo to nebude umět nastavit (zadarmo cizí routery nastavovat nebudu), zůstane mu jen IPv4 - až bude 6tku potřebovat, ozve se.

[iTomB]

Jakože od všech zákazníků budu mít nějaký L2 bridge někam na svůj router? Tak to asi ne, nejsem variot. Již dnes dávám zákazníkům routery, které IPv6 podporují (Mikrotik nebo Tomato), u domáností budu podporovat jen a pouze prefix delegation. Kdo bude mít vlastní router který to neumí anebo to nebude umět nastavit (zadarmo cizí routery nastavovat nebudu), zůstane mu jen IPv4 - až bude 6tku potřebovat, ozve se.

A jakej je technicky rozdil L2 bridge a ze je za NATem? On se stejne v zakladu dostane na stejne misto ...

[Myghael]

...
Snad nikdo neplánuje mít doma nefirewallovanou IPv6 konektivitu! Dnes tam byl trošku jako security NAT, na IPv6 se běžně z WAN povoluje jen established,related...

Snad nikdo nemá doma nefirewallovanou žádnou konektivitu, ať už IPv4 nebo IPv6. Jenom NAT ti té bezpečnosti moc neudělá, firewall je i na IPv4 NUTNOST! Jo, dual-stack je opruz v tom, že musíš nastavovat dva separátní firewally, ale i tak je to v běžných případech celkem tak 10 max. 20 pravidel, která jsou stejně u všech stejná a nejčastěji generovaná automaticky.

S rozhodnutím podporovat jen jeden typ konfigurace IPv6 naprostý souhlas. K tomu nejspíše dospěje každý, kdo nastavoval zákazníkům routery typu "Dong-feng" a jinou "kvalitu" za "šotópade".

[iTomB]

S rozhodnutím podporovat jen jeden typ konfigurace IPv6 naprostý souhlas. K tomu nejspíše dospěje každý, kdo nastavoval zákazníkům routery typu "Dong-feng" a jinou "kvalitu" za "šotópade".

A proto pak staci i obyc tplink v L2 bridge nastaveni

[rsaf]

Takže 100% tvých klientů se spokojí s tím, že L2 segment jejich LAN sítě poleze až kdo ví kde do tvé infrastruktury, že nebudou mít nikdy žádnou šanci provést vlastní nastavení firewallu/dhcp... ?
Já např. v testovacím provzu IPv6 přiděluji na zákazníka prefix /60 přes prefix delegation. Slušný domácí router si pak z toho vezme jednu /64 na LAN a pokud si zákazník doma udělá další síť (veřejnou, technologickou....) tak v tom routeru jde říct index prefixu, který má dané sítí přiřadit. Zákazník tak může mít až 16 "standardních" /64 sítí, kdyby chtěl tak si může doma postavit cokoliv co si vymyslí...
Možná se to zdá moc, ale proč bych to takto nedělal? IPv6 adres je dost, prefix přiděluji na základě "matematiky" podle ID zákazníka v systému (určitá část adresy je ID zákazníka) a vím, že nikdy v dohledné budoucnosti nebudu u žádného z svých zákazníků řešit nedostatek adres, jak tam "vyjímkou" dostat další nebo větší prefix...

Ale to jsme trošku utekli od původního téma multiNATu

[Myghael]

To co popisuješ, je krásné, a aby to mohlo fungovat, tak právě musíš dohlédnout, aby zákazníci měli ty "trošku slušné routery", třeba tím, že jim odmítneš podporovat ty "čongfengy".

Co se multiNATu týče, v jedné bytovce jsem to viděl vyřešené tak, že v každém bytě byla na jednom místě dvouzásuvka. Router měl zákazník doma, připojil si kablíky "LAN" a "Internet". ISPík v dané bytovce mu tak dělal jen switch. Popřípadě byly zásuvky z bytu zakončeny ve skříňce přímo v bytu, zákazník v ní našel zásuvku na napájení a několik popsaných kabelů - z každé zásuvky v bytě a jeden přívodní. Tam pak měl router buď vlastní nebo mikrotik od poskytovatele. K tomuto řešení jsme se následně uchýlili také. Většina zákazníků to neřeší, prostě je vedle skříňky s jističi ještě jedna. Nám tím samozřejmě odpadla potřeba řešit nějaký víceNAT, bytovku řeší "obyčejný" mikrotik nebo nějaký managovatelný switch.

[iTomB]

to rsaf

Normalne bytovky jsou na L2 ... 95% zakazniku potrebuje net a vic nezna nevi ... Pokud nekdo bude chtit si to poresit jinak, tak at si to udela, my mu v tom nebranime, ale musi to umet.

Mam zakaznika, mermomoci chtel verejku na kamery, dali si tam nejaky cinsky total shit router ... Nasledne sel pres ne DDOS, vcetne info od CSIRTuze to tam maj otevrene. Tak jsem verejku bloknul at si to poresi a on na me rve, ze mu branim pristup ke kameram ... Dnes je verejka uplne zrusena, protoze nebyl schopen si to nastavit ci pouzit neco pouzitelneho ... A to je VS profesor a nastavoval mu to VS student z oboru IT ... Kdyz se pripojoval, tak jsem mu nabizel i router, ne mam to mi staci ...

Takze tak.

[hapi]

budova má dvě bytový jednotky. Nemůže se tahat solo přípojka pro druhou jednotku tak se to napojí do stávající a napojí se tam hap lite. No a teď jak hap lite nastavit aby při průchodu ním byly identifikování a nastaveni do extra subnetu. Chápu že router má něco jako wan a atd.. ale lidi jsou hovada a oni přijdou na to že když to zapojí kamkoliv tak to nějak půjde proto je hap lite v bridge a zapojovat si ho můžou z který strany chtěji ale jde o to aby se vědělo že dotaz vzešel skrz tohohle hapa.

[hapi]

...
Jenom NAT ti té bezpečnosti moc neudělá, firewall je i na IPv4 NUTNOST!

jo ale víš jak to je. Ani já to nedělám. Jak to řešeji ubnt jednotky?

[rsaf]

to rsaf

Normalne bytovky jsou na L2 ... 95% zakazniku potrebuje net a vic nezna nevi ... Pokud nekdo bude chtit si to poresit jinak, tak at si to udela, my mu v tom nebranime, ale musi to umet.

Mam zakaznika, mermomoci chtel verejku na kamery, dali si tam nejaky cinsky total shit router ... Nasledne sel pres ne DDOS, vcetne info od CSIRTuze to tam maj otevrene. Tak jsem verejku bloknul at si to poresi a on na me rve, ze mu branim pristup ke kameram ... Dnes je verejka uplne zrusena, protoze nebyl schopen si to nastavit ci pouzit neco pouzitelneho ... A to je VS profesor a nastavoval mu to VS student z oboru IT ... Kdyz se pripojoval, tak jsem mu nabizel i router, ne mam to mi staci ...

Takze tak.

A to aktivne funguijest jako ISP? By me zajimalo v jakem svete. U nas naopak 99% klientu automaticky chce a potrebuje wifi router protoze k tomu pripojuji mobily, tablety, notebooky bez eth... Máme i nejeden případ, kde v domácnosti není připojeno přes kabel vůbec nic.