Veřejná IP od ISP, ale za NATem

[TTcko]

1. za anténou je typicky RB2011 a X subnetů 172.16.x.x/24 pro každýho zákazníka jeden. Každej svůj src-nat na solo "venkovní ip". Tam lze lehce dodat veřejka pro konkrétního usera.
2. na gponu už má každej svůj router, minimálně hap lite ac co routuje. Prakticky je to stejný jako solo wifi přípojka.

nenecháváme na lidech nic. Jak jsme je nechali dělat si doma co chtěji tak se nedělalo nic jinýho než se lítalo po servisech. Jo servis se dá platit ale nejsme tu od toho aby jsme 90% času lítaly po servisu. Takže CPE (jakýkoliv, anténa, gpon, multi wifi přípojka) výhradně v našem dohledu a přístupu do nich bez výjimky. V nich jim dáváme vše co je potřebné (dhcp, nat, capsman atd..) tak aby jim domácnost fungovala. Všechno ostatní co si doma poserou je na nich včetně neodborně nastavenýho jinýho/druhýho apčka atd.. maji volat na servis, vše máme zdarma tak maji volat, dodáme ap, zapojíme a hotovo. To samí s natováním veřejek atd.. pokud tohle neuposlechnou tak platí.

Samozřejmě tohle se týká 99% přípojek. Vždy jsou výjimky jako firmy nebo "extra domácnosti". Jako tady ten co řeší natovací pravidla. Zákazník s tím stráví 2 dny a ještě to možná bude fungovat a pak to dopadne tak že změní poskytovatele protože předá veřejku jinak. My to máme nastavený za 1 minutu pro naše zákazníky a nechceme za to nic, kromě zákazníka co neodejde protože to funguje. Stačí jenom zvednout telefon.

ok, rozumím, chápu tvůj přístup, ale pro mě je tenhle přístup nereálný.

- je podle mě fér, aby si zákazník mohl vybrat svůj router a dneska je na trhu tolik možností, že lpět na "pouze Mikrotik" mi přijde trochu riskantní. Navíc, jestli se nepletu, jsi v rozporu s nařízením EU o síťové neutralitě, kde je právo na výběr koncového routeru zákazníkem přímo zakotveno. A já se ČTU snažím vycházet co nejvíc vstříc...
- udržovat "databázi" nastavení segmentů u domácích routerů a nastavení OSPF mi přijde z pohledů nákladů zbytečně "dražší" řešení, než obyčejné DHCP.
- na GPONu si odkázaný nastavit OSPF až na domácí router a to z mého pohledu je extra risk i pro integritu sítě. Pak máš teda možnost OLT - ONT - CPE - Router a to je zase o zbytečných nákladech...
- a jestliže děláš NAT na tom RB2011 pro všechny lidi dohromady, tak s tím jak se budou zvyšovat datové toky, a rychlosti, které prodáváš, narazíš na to, že ti nebude stačit kapacita CPU toho RB2011 a tak buď budeš muset sypat víc peněz do CPE, nebo budeš muset poskytovat jen "pomalejší" linky

btw: ten problém co se tu řeší je dle mého názoru nějaká chyba, není to vlastnost řešení NAT 1:1 a souhlasím s tebou, že zákazník má volat rovnou ISP a ne to řešit tady na fóru... heh třeba je to někdo od nás, ale jak to mám vědět, když mi nedá vědět....

edit: A ano, řešením je IPv6 ......

[JCltm]

TTcko má pravdu, držet se Mikrotiku zuby nehty není dobré. Osobně mi jako domácí router vyhovuje ASUS RT-AC66U B1 s Merlinem podstatně víc než Mikrotik. Má to dobrou wifi část a dvoujádro má dost výkonu na NATování gigabitu. S Merlinem tam jde nastavit prakticky cokoli. A že bych neměl do svého routeru přístup a kvůli všemu včetně statického mapování adres a přesměrování portů bych volal poskytovateli? To bych šel rychle jinam...

[TTcko]

Tak na domácí přípojce (FTTH HUA GPON od LTnetu) mám ONT v bridge a za tím svůj router, na kterém mám jednu veřejku. Bez jakýchkoli tunelů. Pokud si udělám traceroute, první další zařízení za mým routerem je až centrální server poskytovatele v datacentru v Praze.
Po připojení jsem měl u poskytovatele nastavené automatické DHCP přidělení pro můj router podle MAC adresy, což ale nepoužívám -> koupil jsem nový a nastavil WAN rozhraní manuálně spolu s CloudFlare DNS.
Aktuálně mám na WAN:
static IP abc.def.ghi.45
mask 255.255.255.224
gateway abc.def.ghi.33
Bez jakýchkoli tunelů. Pokud se nepletu, je na mě použitá jen jedna IPv4 veřejka, kterou mám na routeru.
S IPv6 už je to už dobré dva roky slibotechna stylu "za půl roku nasadíme" pokaždé, když se na to zeptám.

Jinak na přípojce od vás mám za Groovem Edgerouter Lite s NATem pro IPv4 a s přidělováním /64 v6 pro každý ze subnetů (jeden z nich se zatím nedořešeným v6 ve VLANě pro síť pro hosty na UniFi - na vině bude asi switch). Veřejku 1:1 tam koupenou nemám. Čekáme na optiku, kterou technik minulý rok při instalaci provizorní wifi slíbil na letošní jaro, zatím se ale ani nekoplo (mám info, že se čeká na územko).

pokud je maska .224 tak je to segment. A je to třeba 1.2.3.45/27 = 32 IP v segmentu, jedna IP pro GW, jedna broadcast a jedna síť. Teda 32 IPv4 adres pro max 29 zákazníků, to je celkem ok poměr (využitelných IPv4 je 90% ze všech), ovšem záleží jak je vyřešeno "naplnění" těchto segmentů = jak je udělaný transport uvnitř sítě k té bráně, kde jsou veřejky. Takže buď mají VLAN rovnou až někam do "centra" a jednotlivé zákazníky dávají do různých VLAN, nebo je někde po cestě nějaký tunel A pokud neumí naplnit vždy celý segment, tak ten poměr samozřejmě klesá. Mimochodem zrovna LTNET má IPv4 nahrabáno .-)

k optice, jaká je to část LTM? vím že palachovka je hotovo, cihelna se aktuálně připojuje a vaří pár posledních vláken, kocanda je zakopaná a začíná se foukat, teď se dělá něco s městem jako přípolož a pak se půjde na okolí jiráskáčů nebo plešivecká nebo kamýcká. Nemám na starosti výstavbu, řeším spíš IP svět napište mi PM, zjistím přesně stav v konkrétním domě.

[iTomB]

TTcko má pravdu, držet se Mikrotiku zuby nehty není dobré. Osobně mi jako domácí router vyhovuje ASUS RT-AC66U B1 s Merlinem podstatně víc než Mikrotik. Má to dobrou wifi část a dvoujádro má dost výkonu na NATování gigabitu. S Merlinem tam jde nastavit prakticky cokoli. A že bych neměl do svého routeru přístup a kvůli všemu včetně statického mapování adres a přesměrování portů bych volal poskytovateli? To bych šel rychle jinam...

S Asusama jsem zkoncil, HW problem s mikrotikem (rozpadani ethernetu - verze RT10 a 12). Problem nastavit statickou IP z rozsahu 100.64.0.0/10 - hadal jsem se s technickou podporou asusu nekolik mesicu a opravili to jen v tech routerech, co jsem jim napsal ...
Ohledne verejky ... OSPF jen na pateri a vysilacich. Pokud potrebuju dostat verejku ke klientovi, staci na AP dat statickou routu. Nemusim resit OSPF u klienta doma ...
Naroutuju jednu verejku a provedu s ni NAT az doma u klienta, pripadne tunel se konfiguruje primo na prijimaci antene. Na bytovkach jsem si rozbehal DHCP option 82 a staci mi pro bytovku prijimaci antena a switch. Jiny zpusob pripoje, ok, jen vymenim prijimaci antenu, napojim to na optiku, je to pak proste jedno. Nemusim cokoliv dalsiho menit.
Nepotrebuji na kazde bytovce mikrotika ci jiny router. Rychlost je pak omezena jen privodni kapacitou. Pokud to je na 1Gbitu, tak to dostanu i lidem domu.
Tom

[TTcko]

S Asusama jsem zkoncil, HW problem s mikrotikem (rozpadani ethernetu - verze RT10 a 12). Problem nastavit statickou IP z rozsahu 100.64.0.0/10 - hadal jsem se s technickou podporou asusu nekolik mesicu a opravili to jen v tech routerech, co jsem jim napsal ...
Ohledne verejky ... OSPF jen na pateri a vysilacich. Pokud potrebuju dostat verejku ke klientovi, staci na AP dat statickou routu. Nemusim resit OSPF u klienta doma ...
Naroutuju jednu verejku a provedu s ni NAT az doma u klienta, pripadne tunel se konfiguruje primo na prijimaci antene. Na bytovkach jsem si rozbehal DHCP option 82 a staci mi pro bytovku prijimaci antena a switch. Jiny zpusob pripoje, ok, jen vymenim prijimaci antenu, napojim to na optiku, je to pak proste jedno. Nemusim cokoliv dalsiho menit.
Nepotrebuji na kazde bytovce mikrotika ci jiny router. Rychlost je pak omezena jen privodni kapacitou. Pokud to je na 1Gbitu, tak to dostanu i lidem domu.
Tom

veřejka je teda přímo na routeru zákazníka? je to 1.2.3.4/32 ? a jakou máš defaultní bránu? a jak máš routu na tu veřejku na tom hopu před routerem zákazníka?

[JCltm]

A pokud neumí naplnit vždy celý segment, tak ten poměr samozřejmě klesá. Mimochodem zrovna LTNET má IPv4 nahrabáno

Tak zkoušel jsem pár skenů jejich rozsahu (který je dost velký) a většinu mají prázdnou, takže je v6 moc netrápí a veřejka je za normální peníze

[hapi]

1. za anténou je typicky RB2011 a X subnetů 172.16.x.x/24 pro každýho zákazníka jeden. Každej svůj src-nat na solo "venkovní ip". Tam lze lehce dodat veřejka pro konkrétního usera.
2. na gponu už má každej svůj router, minimálně hap lite ac co routuje. Prakticky je to stejný jako solo wifi přípojka.

nenecháváme na lidech nic. Jak jsme je nechali dělat si doma co chtěji tak se nedělalo nic jinýho než se lítalo po servisech. Jo servis se dá platit ale nejsme tu od toho aby jsme 90% času lítaly po servisu. Takže CPE (jakýkoliv, anténa, gpon, multi wifi přípojka) výhradně v našem dohledu a přístupu do nich bez výjimky. V nich jim dáváme vše co je potřebné (dhcp, nat, capsman atd..) tak aby jim domácnost fungovala. Všechno ostatní co si doma poserou je na nich včetně neodborně nastavenýho jinýho/druhýho apčka atd.. maji volat na servis, vše máme zdarma tak maji volat, dodáme ap, zapojíme a hotovo. To samí s natováním veřejek atd.. pokud tohle neuposlechnou tak platí.

Samozřejmě tohle se týká 99% přípojek. Vždy jsou výjimky jako firmy nebo "extra domácnosti". Jako tady ten co řeší natovací pravidla. Zákazník s tím stráví 2 dny a ještě to možná bude fungovat a pak to dopadne tak že změní poskytovatele protože předá veřejku jinak. My to máme nastavený za 1 minutu pro naše zákazníky a nechceme za to nic, kromě zákazníka co neodejde protože to funguje. Stačí jenom zvednout telefon.

ok, rozumím, chápu tvůj přístup, ale pro mě je tenhle přístup nereálný.

- je podle mě fér, aby si zákazník mohl vybrat svůj router a dneska je na trhu tolik možností, že lpět na "pouze Mikrotik" mi přijde trochu riskantní. Navíc, jestli se nepletu, jsi v rozporu s nařízením EU o síťové neutralitě, kde je právo na výběr koncového routeru zákazníkem přímo zakotveno. A já se ČTU snažím vycházet co nejvíc vstříc...
- udržovat "databázi" nastavení segmentů u domácích routerů a nastavení OSPF mi přijde z pohledů nákladů zbytečně "dražší" řešení, než obyčejné DHCP.
- na GPONu si odkázaný nastavit OSPF až na domácí router a to z mého pohledu je extra risk i pro integritu sítě. Pak máš teda možnost OLT - ONT - CPE - Router a to je zase o zbytečných nákladech...
- a jestliže děláš NAT na tom RB2011 pro všechny lidi dohromady, tak s tím jak se budou zvyšovat datové toky, a rychlosti, které prodáváš, narazíš na to, že ti nebude stačit kapacita CPU toho RB2011 a tak buď budeš muset sypat víc peněz do CPE, nebo budeš muset poskytovat jen "pomalejší" linky

btw: ten problém co se tu řeší je dle mého názoru nějaká chyba, není to vlastnost řešení NAT 1:1 a souhlasím s tebou, že zákazník má volat rovnou ISP a ne to řešit tady na fóru... heh třeba je to někdo od nás, ale jak to mám vědět, když mi nedá vědět....

edit: A ano, řešením je IPv6 ......

všechno si to překroutil.

- jenom zařízení mezi náma a klientem je mikrotik tak jak je jinde UBNT. Co si domu člověk dá je jeho věc. My dáváme mikrotik a světe div se, je od lidí pokoj. Změnil se teda i přístup k umístění APček. Jak si může člověk vybrat koncovej router na gpon když většinou daná technologie umožňuje připojení jenom určitých typů jednoho výrobce? a co je vlastně "koncový router"?

- nikde sem nepsal že OSPF je na domácích routerech a opět otázka... co je domácí router? Nepovažuju SXT na střeše kde OSPF končí za "domácí router". Pro zákazníka koncovej router bude APčko na stole.

- u toho GPONu si nějak vedle ne? Běžně nasazuješ ONT HUA co routujou u zákazníků a najednou to vadí? DSL přípojka co routuje u zákazníka doma je taky problém?

- s tou RB2011 seš opět mimo. Připojíš tam max 9 lidí a kdy jako nastane problém když je na přívodu wifi? 100Mbit v natu to dá s prstem v nose a při aktivovaným fast tracku dá i víc a nudí se. Máme desítky takových přípojek na panelákách a výkon RB2011 je to poslední co nestíhá.

Možná by ses měl trochu vrátit na zem. Poslední dobou jsou tvoje příspěvky dost nejednotný a více méně negativní na cokoliv.

[JCltm]

Tak na GPONu je jednoduché řešení, používat pouze jednoduché ONT s jedním ethernetem (jako v síti TTcka) a router za tím. Je to jednoduché a více méně to nejlepší. LTnet mi to odmítl dát, musím mít ONT s wifi, VoIP porty a čtyřmi ethernety i když je připojen jen jeden a celé ONT je v bridge.
CETIN taky vymýšlí Terminátora, ty modemy co mají lidi doma nestojí jako routery za nic. Když chce mít někdo VDSL přípojku udělanou pořádně, stejně jde modem do bridge a za něj přijde slušný router co vytáčí PPPoE.
Slušný router na VDSL je prakticky nesehnatelný. U ASUSu je na nic VDSL část, co je od Mediateku a u ostatních je na nic zase zbytek.

[TTcko]

všechno si to překroutil.

- jenom zařízení mezi náma a klientem je mikrotik tak jak je jinde UBNT. Co si domu člověk dá je jeho věc. My dáváme mikrotik a světe div se, je od lidí pokoj. Změnil se teda i přístup k umístění APček. Jak si může člověk vybrat koncovej router na gpon když většinou daná technologie umožňuje připojení jenom určitých typů jednoho výrobce? a co je vlastně "koncový router"?

- nikde sem nepsal že OSPF je na domácích routerech a opět otázka... co je domácí router? Nepovažuju SXT na střeše kde OSPF končí za "domácí router". Pro zákazníka koncovej router bude APčko na stole.

- u toho GPONu si nějak vedle ne? Běžně nasazuješ ONT HUA co routujou u zákazníků a najednou to vadí? DSL přípojka co routuje u zákazníka doma je taky problém?

- s tou RB2011 seš opět mimo. Připojíš tam max 9 lidí a kdy jako nastane problém když je na přívodu wifi? 100Mbit v natu to dá s prstem v nose a při aktivovaným fast tracku dá i víc a nudí se. Máme desítky takových přípojek na panelákách a výkon RB2011 je to poslední co nestíhá.

Možná by ses měl trochu vrátit na zem. Poslední dobou jsou tvoje příspěvky dost nejednotný a více méně negativní na cokoliv.

- no router je L3 zařízení .. nevím hapi, vole, seš síťař, předpokládám že víš co je router a co je switch .. neblbni, nemusím ti přece posílat odkaz na wiki, ne?
- nechci lidem dávat domácí AP jako switch, chci aby měli router
- u GPONu dávám zásadně jen převodník jako bridge a za ním je router zákazníka
- ok, argumentům s 2011 rozumím, je to jen otázka pohledu, já přemýšlím o tom co bude v budoucnu a jsem přesvědčen, že přichází doba gigabitová. Wifi je mrtvola a je jen otázka času kdy zmizne a jestli si ten trh vezme velká 3ka zpátky a jestli jí ho dáme...

btw, CETIN si vyhodnotil, že domáci DSL co routuje problém je .. proto vymysleli Terminátor .. a za něj si dá každej svůj router podle svého přání .. .-)

a fakt jsou moje příspěvky nejednotný a negativní? to bych nerad...

[rsaf]

trocha úvodu, jak jsem psal v příspěvku výše, udržování IPv4 světa povede nutně k vyšším nákladům. Buď se internet bude monopolizovat, nebo budou vyšší náklady na "nákup IPv4", nebo vyšší náklady na NAT (vyšší rychlost = vyšší cena NAT). Otázka je, zda tyhle náklady ponese ISP a ukrojí si ze své marže, nebo tyhle náklady přenese na zákazníka, kterému tyhle náklady naúčtuje. Dneska je běžný model "pronájem veřejné IPv4" = náklady nese zákazník a cena je marginální. Ale časem tyhle náklady porostou...


a teď k tomu cos psal, tohle všechno co píšeš je dneska naprosto stejně řešitelné v IPv6 světě. Dokonce se domnívám, že o dost jednodušeji než ve světě IPv4. Nevím proč si nedokážeš představit provozovat služby na IPv6, fakt bych rád věděl proč? Proč složitý fw? Můžeš být konkrétní?


ono je to slepice - vejce, ale nechápu, proč to neprovozuješ jak na IPv4, tak na IPv6. Tam kde obě strany budou IPv6, to uděláš nativně na IPv6 a tam kde druhá strana má jen IPv4, budeš holt dělat old fashion IPv4, jde jen o tu změnu pohledu a možná pak zjistíš jednu zásadní věc (a tuhle věc zjistil každej kdo se odhodlal nasadit IPv6 a provozovat jí, třeba jak psal pgb) ... zlatá IPv6

Problém "korporátních" adminů je často už jen v prostém přidělení adresy na pracovní stanici. Admini byli zvyklí, že adresu mají svázanou s konkrétním zařízením, často se na firewallech povolovaly služby podle IP adresy, identifikovali se podle ní uživatelé, monitoroval se provoz a podle adresy byl "spojitelný" s uživatelem. Toto IPv6 se svou zběsilou autokonfigurací velmi komplikuje, podle mě to nemá žádné dobré řešení a je to jedna z velkých překážek nasazení IPv6 v podnicích.
Nasazení IPv6 na veřejné služby/servery je snazší, problém ovšem např. je, že ve spoustě firem jsou nějaké (různě složité) na míru vyvinuté aplikace. Ty mnohdy s IP adresou pracují (byť jen do logu) a prostě na 6tkovou adresu nejsou připravené.

Ono by se dalo dlouhodobě přežívat i bez IPv6. Klidně pár desetiletí. Mnoho služeb se např. soustřeďuje do cloudu. S troškou nadsázky se dají ušetřit miliony adres např. na Exchange serverech a nahradit je "jedinou ip adresou" microsoftího cloudového mailu. Pro domácí IP kamery již dnes také není veřejnou adresu potřeba, pro dálkové ovládání zabezpečovačky taky ne.

Přitom běžnému uživateli již dnes může po IPv6 jít většina provozu - všichni velcí poskytovatele obsahu na 6tce jsou, CDNky taky...

[JCltm]

Je pravda, že například UniFi Controler má perfektní vzdálený přístup i bez veřejky (a díky debug terminálu přes to jde vzdáleně spravovat cokoli v síti přes SSH) a kamerový systém UniFi Video nebo UniFi Protect veřejku taky nepotřebuje. Ale není to zdaleka u všeho, třeba chytrá domácnost od Loxone to neumí a bez veřejky se do ní nedá vzdáleně dostat.

[hapi]

to víš no, když každej typ routeru zachází s IPv6 jinak, jinak jí rozdává, jinak si jí bere... jako malej ISPík nehodlám testovat různý modely a hledat kterej vyhovuje a jak se chová a jak se chová s jiným firmware. Když si vemeš IPv4, je vše jasný, vše daný u všech stejně. Zákazník si koupí tplinka, připojí do wanu a ipv6 v lepším případě možná pojede, v horším ne.

[TTcko]

Problém "korporátních" adminů je často už jen v prostém přidělení adresy na pracovní stanici. Admini byli zvyklí, že adresu mají svázanou s konkrétním zařízením, často se na firewallech povolovaly služby podle IP adresy, identifikovali se podle ní uživatelé, monitoroval se provoz a podle adresy byl "spojitelný" s uživatelem. Toto IPv6 se svou zběsilou autokonfigurací velmi komplikuje, podle mě to nemá žádné dobré řešení a je to jedna z velkých překážek nasazení IPv6 v podnicích.
Nasazení IPv6 na veřejné služby/servery je snazší, problém ovšem např. je, že ve spoustě firem jsou nějaké (různě složité) na míru vyvinuté aplikace. Ty mnohdy s IP adresou pracují (byť jen do logu) a prostě na 6tkovou adresu nejsou připravené.

Ono by se dalo dlouhodobě přežívat i bez IPv6. Klidně pár desetiletí. Mnoho služeb se např. soustřeďuje do cloudu. S troškou nadsázky se dají ušetřit miliony adres např. na Exchange serverech a nahradit je "jedinou ip adresou" microsoftího cloudového mailu. Pro domácí IP kamery již dnes také není veřejnou adresu potřeba, pro dálkové ovládání zabezpečovačky taky ne.

Přitom běžnému uživateli již dnes může po IPv6 jít většina provozu - všichni velcí poskytovatele obsahu na 6tce jsou, CDNky taky...

a taky valná většina po IPv6 jde.. u lidí, kde jí nasadíme, jde víc jak 95% provozu přes IPv6. Jediné co mě ještě trápí jsou IPTV platformy, pokud i tam bude IPv6, tak si umím představit že uděláme "dotaci" na domácí routery, které budou IPv6 podporovat. Bude to levnější, než udržovat IPv4 NAT v provozu.

k tomu m$.. a není to zas NAT44 na straně cloudu?

a Enterprise je to co vnitřně tak nějak předpokládám, přidělování adresy se dá elegantně řešit přes DHCPv6 (klidně s host reservation DB), nebo statickým přídělem, RA se dá vypnout nebo nastavit aby bylo "managed IP adress" a taková KEA umí příděly uložit do DB a on-fly vidíš komu si jakou IPv6 rozdal...
Aplikace na míru chápu, ale už hodně dlouhou dobu se všechno píše nad vrstvou která IP neřeší, takže jde pravděpodobně o hodně obskurní systémy, ale chápu. Jde prostě jen o vůli "to zkusit" a být ready alespoň v tom co na IPv6 pojede ok.

[TTcko]

to víš no, když každej typ routeru zachází s IPv6 jinak, jinak jí rozdává, jinak si jí bere... jako malej ISPík nehodlám testovat různý modely a hledat kterej vyhovuje a jak se chová a jak se chová s jiným firmware. Když si vemeš IPv4, je vše jasný, vše daný u všech stejně. Zákazník si koupí tplinka, připojí do wanu a ipv6 v lepším případě možná pojede, v horším ne.

to s tebou Hapi naprosto souhlasím, je to masakr, a taky jsem to vzdal, ale teď po nějaký době to chci zas zkusit, všiml jsem si že se mi v síti hodně HW u domácích routerů obnovil, tak je možné, že bude víc novějších, co už budou s IPv6 spolupracovat.

[iTomB]

veřejka je teda přímo na routeru zákazníka? je to 1.2.3.4/32 ? a jakou máš defaultní bránu? a jak máš routu na tu veřejku na tom hopu před routerem zákazníka?

Pokud je to RD, tak na CPE je IP z meho rozsahu 100.64.0.0/10, vcetne GW. Naroutuju verejku a pridam SRC a DST NAT. Pokud je to bytovka, musi tam jit mikrotik a jde to jako CPE s WAN. Jinak na bytovkach jde domaci router do bridge.