Veřejná IP od ISP, ale za NATem

[TTcko]

veřejka je teda přímo na routeru zákazníka? je to 1.2.3.4/32 ? a jakou máš defaultní bránu? a jak máš routu na tu veřejku na tom hopu před routerem zákazníka?

Pokud je to RD, tak na CPE je IP z meho rozsahu 100.64.0.0/10, vcetne GW. Naroutuju verejku a pridam SRC a DST NAT. Pokud je to bytovka, musi tam jit mikrotik a jde to jako CPE s WAN. Jinak na bytovkach jde domaci router do bridge.

ok, dík .. takže podobné řešení, jako má Hapi.

[iTomB]

Pokud je to RD, tak na CPE je IP z meho rozsahu 100.64.0.0/10, vcetne GW. Naroutuju verejku a pridam SRC a DST NAT. Pokud je to bytovka, musi tam jit mikrotik a jde to jako CPE s WAN. Jinak na bytovkach jde domaci router do bridge.

ok, dík .. takže podobné řešení, jako má Hapi.

Trosku ... Hlavni patere mam na profi, bridge a jen switche s VLANama (na jednom sidlisti mam L3 opticky switch). Jakmile jde radio 5G, tak se routuje z kabelu na antenu a nasledne u klienta NAT, bytovka routovani. Pater, vysilace OSPF, z vysilace na bytovku, ci RD staticka routa (nedelam OSPF az na RD ... zbytecne). Na bytovkach naroutuju nejaky blok z 100.64.0.0/10 co pouzivam v siti a DHCP option 82. Takze zase jen switch.

[mig01]

Samozřejmě tohle se týká 99% přípojek. Vždy jsou výjimky jako firmy nebo "extra domácnosti". Jako tady ten co řeší natovací pravidla. Zákazník s tím stráví 2 dny

No vidíte to. Dle vás mám NAT pravidlo v pořádku, vše by mělo běžet (minimalne ten ping na vetejnou) a přesto to nechodí... Poskytovatel se dušuje, ze je u nej vse v poradku. A stravim s tim dalsich x hodin nez mu dokazu, že problem u me nejspis nebude... Na privod budu muset připojit místo routeru PC (ať se nemá na co vymlouvat) a budu muset provést pár testů...

[iTomB]

Samozřejmě tohle se týká 99% přípojek. Vždy jsou výjimky jako firmy nebo "extra domácnosti". Jako tady ten co řeší natovací pravidla. Zákazník s tím stráví 2 dny

No vidíte to. Dle vás mám NAT pravidlo v pořádku, vše by mělo běžet (minimalne ten ping na vetejnou) a přesto to nechodí... Poskytovatel se dušuje, ze je u nej vse v poradku. A stravim s tim dalsich x hodin nez mu dokazu, že problem u me nejspis nebude... Na privod budu muset připojit místo routeru PC (ať se nemá na co vymlouvat) a budu muset provést pár testů...

Jak uz jsem psal, zkus si trasovani z domova ven a z venku dom. Poznas kde je problem ... Klidne to postni sem, at muzem vic poradit.

[TTcko]

Samozřejmě tohle se týká 99% přípojek. Vždy jsou výjimky jako firmy nebo "extra domácnosti". Jako tady ten co řeší natovací pravidla. Zákazník s tím stráví 2 dny

No vidíte to. Dle vás mám NAT pravidlo v pořádku, vše by mělo běžet (minimalne ten ping na vetejnou) a přesto to nechodí... Poskytovatel se dušuje, ze je u nej vse v poradku. A stravim s tim dalsich x hodin nez mu dokazu, že problem u me nejspis nebude... Na privod budu muset připojit místo routeru PC (ať se nemá na co vymlouvat) a budu muset provést pár testů...

a můžete sem hodit traceroute?

[mig01]

Teď jsem se dostal ke stroji takže tady jsou ty tracerty.

Ven na 8.8.8.8:

Kód: Vybrat vše

  1     1 ms    < 1 ms    < 1 ms  192.168.123.254
  2     2 ms     3 ms     2 ms  10.26.96.65
  3     2 ms     2 ms     2 ms  192.168.126.1
  4     2 ms     2 ms     3 ms  gw1.kk-net.cz [176.107.121.1]
  5     7 ms     7 ms     6 ms  cz-pra-pop1-rb1-te-0-1-0-2-8.net.upc.cz [213.192.4.173]
  6    10 ms     7 ms     7 ms  cz-prg02a-ra2-ae5-129.aorta.net [84.116.131.153]
  7     8 ms     8 ms     8 ms  cz-prg02b-ri1-ae18-0.aorta.net [84.116.138.145]
  8     8 ms     8 ms     8 ms  213.46.180.74
  9     8 ms     6 ms     6 ms  108.170.245.49
 10     9 ms     6 ms    10 ms  108.170.236.229
 11     8 ms     9 ms     8 ms  dns.google [8.8.8.8]


Dovnitř na tu veřejnou (176.107.123.xxx):

Kód: Vybrat vše

  1    <1 ms    <1 ms    <1 ms  192.168.200.254
  2     2 ms     2 ms     2 ms  user185-94-4-xxx.luminet.cz [185.94.4.xxx]
  3     3 ms     2 ms     3 ms  user185-94-6-120.luminet.cz [185.94.6.120]
  4     3 ms     2 ms     3 ms  user1-1.luminet.cz [46.29.228.1]
  5     6 ms     5 ms     5 ms  nix4.grapesc.cz [93.91.144.241]
  6     9 ms     5 ms     6 ms  u217-75-209-1.static.grapesc.cz [217.75.209.1]
  7    27 ms     6 ms     6 ms  br-t-5920t1.ispalliance.cz [185.52.172.109]
  8    36 ms    13 ms    16 ms  cecolo-ttc117.grapesc.cz [217.75.208.117]
  9     6 ms     6 ms     6 ms  31.170.176.69
 10     7 ms     6 ms     6 ms  v21-j1r.sit.prg.uvt.cz [31.170.176.52]
 11     7 ms     8 ms     7 ms  cz-prg02b-ri1-ae7-0.aorta.net [213.46.180.29]
 12    13 ms    17 ms     9 ms  cz-prg02a-ra2-ae18-0.aorta.net [84.116.138.146]
 13     7 ms     7 ms     7 ms  cz-pra-pop1-rb1-bundle-ether5-129.aorta.net [84.116.131.154]
 14    14 ms    13 ms    16 ms  inercom.cust.net.upc.cz [213.192.4.174]
 15     8 ms     8 ms     9 ms  client-xxx-123-107-176.kk-net.cz [176.107.123.xxx]
 16     *        *        *     Request timed out.
 17     *        *        *     Request timed out.


Nechodí to pokaždé někudy jinudy?

[TTcko]

blbý je že to skončí úplně jinde, co máš v routách?

[mig01]

Kód: Vybrat vše

[admin@MikroTik] > /ip route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

 0 ADS  dst-address=0.0.0.0/0 gateway=10.26.96.65 gateway-status=10.26.96.65 reachable via  ether1 distance=1 scope=30 target-scope=10 vrf-interface=ether1

 1 ADC  dst-address=10.26.96.64/26 pref-src=10.26.96.66 gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10

 2 ADC  dst-address=192.168.123.0/24 pref-src=192.168.123.254 gateway=bridge gateway-status=bridge reachable distance=0 scope=10


[TTcko]

traceroute to 176.107.123.xx (176.107.123.xx), 64 hops max, 52 byte packets
5 ttc-unl-xge-1.amigonet.cz (100.111.1.1) 7.864 ms 7.801 ms 9.249 ms
6 ip-86-49-187-81.net.upcbroadband.cz (86.49.187.81) 7.983 ms
ge2-12-bb2.pop1.brn.sloane.cz (77.48.243.1) 10.422 ms 11.765 ms
7 inercom.cust.net.upc.cz (213.192.4.174) 11.902 ms 12.977 ms
cz-pra-pop1-rb1-vla2160.net.upc.cz (84.116.221.242) 9.013 ms
8 inercom.cust.net.upc.cz (213.192.4.174) 13.932 ms 13.937 ms 14.366 ms
9 * * *
10 *^C


mě to taky shnije na stejném místě ..
tipuju buď drop ve fw, nebo špatná routa na té bráně kde to shnije.
a trochu mě děsí to 192.168.126.1 v cestě..

P.S. oprav si v té zprávě i to "client-xxx-123-107-176.kk-net.cz" jinak všichni vidí ..

[sub_zero]

Díky za názor.. patřím mezi ně. S většinou bych souhlasil, vyjma věcí jako je VPN. Neumím si dost dobře představit jednotky situací, který se bez VPN neobejdou a to nemluvím např.o centrálním přístupu z domu do netu skrz HQ.. primární cílem není ulehčení práce admina se složitým nastavováním firewallů pro přístup jen na nějaké IP adresy, porty, služby, ale možnost to zašifrovat. Mám kolem sebe desítky lidí, co si tlačí data mezi firmama napříč internetem blbým GRE tunel. Já bych prostě nemoh spát.Byl jsem takovej vždy (bezpečnost)a s příchodem GDPR ještě větší (říkejte tomu třeba paranoik, jak chcete). Zažil jsem už dvě kontroly z ÚOHS a opravdu to nejsou "JEN" úředníci a opravdu nejdou "JEN" po papírech. Každýho čtvrt roku procházíme bezpečnostním auditem kde nám testujou jak vulnerability na perimetru, penetrační testy, CVE apod. A jen proto, abychom mohli spolupracovat s konkrétníma firmama a fakt si při tomhle scénáři nedokážu představit provozovat některý služby nativně na IPv6.
Samozřejmě, webový ksichty public serverů a extranetů, pár intranet služeb bych na IPv6 mohl vyhodit, ale zase řešit složitě FW na tom serveru, aplikační firewall, waf apod. Děkuji, nechci. Pro mě je priorita securita na perimetru, ne na end-pointu (samozřejmě co se networkingu týče, je jasný, že na end-pointech je AV apod.)
Pakliže se bavíme o ISP a carrier trhu, souhlasím s Tebou.. ale firemní prostředí je dle mýho názoru úplně jinej rybník.

Sorry za pozdní odpověď, ale je to komplexnější problém vyžadující komplexnější odpověď ..
V první řadě, bych byl moc rád, jestli budeš otevřenej diskuzi na tohle téma, a věnuješ mi kus svýho času, protože bych to chtěl opravdu pochopit, případně najít cestu, jak umět s enterprise lidma mluvit.

NP, máš mě na Linkedinu, napiš

trocha úvodu, jak jsem psal v příspěvku výše, udržování IPv4 světa povede nutně k vyšším nákladům. Buď se internet bude monopolizovat, nebo budou vyšší náklady na "nákup IPv4", nebo vyšší náklady na NAT (vyšší rychlost = vyšší cena NAT). Otázka je, zda tyhle náklady ponese ISP a ukrojí si ze své marže, nebo tyhle náklady přenese na zákazníka, kterému tyhle náklady naúčtuje. Dneska je běžný model "pronájem veřejné IPv4" = náklady nese zákazník a cena je marginální. Ale časem tyhle náklady porostou...

Chápu, nicméně já tohle uvažování psal z pohledu korporátu. Za nějakých 15let co to dělám (konkrétně u naší firmy) vzrostla kapacita inet přípojky z 16Mbps na 2Gbit. Za 15let! Az toho krmíme cca ještě 800 lidí jako ISP (WiFi+P2P+GPON). A to jsme nabrali o cca 100 lidí víc, máme 14 poboček po celým světě, svůj vlastní IS (napsanej na Oraclu) a veškerý služby pro HQ i branch (over IPSec) provozujeme u nás. Nulovej cloud. Vše on-premise. Samozřejmě, určitě by se dalo ušetřit (maintenancky, lidi) kdyby jsme něco přesunuli do cloudu. Ale pro některý lidi ve vedení ten čas ještě nedozrál.. klasický argumenty: dáme to někam do toho kloudu a amíci nám tam budou čumět a krást know-how
Nevím, zda máš nějak přehled o fungování v takovým prostředí a pokud ano, určitě už jsi na podobný uvažování narazil. Takovej ISP si naroutuje jeden prefix, všechny fw "allow" (ono je to vlastně i smysl internetu), každej může komunikovat s každým a nějaký zabezpečení a securita je přeneseny až na residenta. Ale takto to u firem rozhodně nefunguje.Dle mýho je vážně potřeba rozlišit a nesrovnávat hrušky s jablkama.

a teď k tomu cos psal, tohle všechno co píšeš je dneska naprosto stejně řešitelné v IPv6 světě. Dokonce se domnívám, že o dost jednodušeji než ve světě IPv4. Nevím proč si nedokážeš představit provozovat služby na IPv6, fakt bych rád věděl proč? Proč složitý fw? Můžeš být konkrétní?

Ne, zatím ještě opravdu ne. IPv6 používáme, ale výhradně pro rezidenty jako ISP. Co se týká korporátu, za mě jsou ZATÍM důvody "proč ne" jasný:
-máme svázaný konkrétní MAC s konkrétní IP na DHCP
-jako DHCP používáme cluster WinServerů (DHCPv6 na MS funguje trošičku jinak,než jste zvyklý ), je to pro nás komplikace a nefungovalo to dle očekávání (naposled testováno na W2016DC) a nechci bejt odkázanej na RA a nevědět, co se děje
-v některých zemích kde jsou pobočky není ani IPv6 dostupný
-VXLAN kterou používáme na L2 IPsecu má s IPv6 problém (tohle je ale dočasnej bug)
-musíme uchovávat a analyzovat spoustu provozu unitř sítě (komunikace user-server, server-server, server-perimetr atd.)
-při adresaci vnitřní LAN via IPv6 se nám o 50% zvyší náročnost na bez. audit (jiný kritéria, jiný testy)
-některý naši vlastní aplikace IPv6 neumí
-nemám čas

ono je to slepice - vejce, ale nechápu, proč to neprovozuješ jak na IPv4, tak na IPv6. Tam kde obě strany budou IPv6, to uděláš nativně na IPv6 a tam kde druhá strana má jen IPv4, budeš holt dělat old fashion IPv4, jde jen o tu změnu pohledu a možná pak zjistíš jednu zásadní věc (a tuhle věc zjistil každej kdo se odhodlal nasadit IPv6 a provozovat jí, třeba jak psal pgb) ... zlatá IPv6

viz důvody výše. Jsem otevřenej novejm věcem, IPv6 mám doma, mají ji naši klienti ISP divize, mají ji někteří naši firemní klienti (školy, úřady). Ale VŽDY IPv6 nasazuju až po důkladný analýze v závislosti na prostředí, požadavkům zákazníka vs. potencionální přínos.

[iTomB]

Teď jsem se dostal ke stroji takže tady jsou ty tracerty.

Ven na 8.8.8.8:

Kód: Vybrat vše

  1     1 ms    < 1 ms    < 1 ms  192.168.123.254
  2     2 ms     3 ms     2 ms  10.26.96.65
  3     2 ms     2 ms     2 ms  192.168.126.1
  4     2 ms     2 ms     3 ms  gw1.kk-net.cz [176.107.121.1]
  5     7 ms     7 ms     6 ms  cz-pra-pop1-rb1-te-0-1-0-2-8.net.upc.cz [213.192.4.173]


Dovnitř na tu veřejnou (176.107.123.xxx):

Kód: Vybrat vše

14    14 ms    13 ms    16 ms  inercom.cust.net.upc.cz [213.192.4.174]
 15     8 ms     8 ms     9 ms  client-xxx-123-107-176.kk-net.cz [176.107.123.xxx]
 16     *        *        *     Request timed out.
 17     *        *        *     Request timed out.


Nechodí to pokaždé někudy jinudy?

Ten trace posli svymu ISP. Jasne je tam videt ta blokace.
213.192.4.174 a 176.107.121.1 je jeden a ten samej stroj. Pokud je tva verejka "176.107.123.xxx", tak NAT delaji jeste na dalsim stroji.

Tom

[mig01]

Ten trace posli svymu ISP. Jasne je tam videt ta blokace.
213.192.4.174 a 176.107.121.1 je jeden a ten samej stroj. Pokud je tva verejka "176.107.123.xxx", tak NAT delaji jeste na dalsim stroji.

Tom

Díky, pošlu mu to i s touto poznámkou jestli mohu.

[mig01]

Ten trace posli svymu ISP. Jasne je tam videt ta blokace.
213.192.4.174 a 176.107.121.1 je jeden a ten samej stroj. Pokud je tva verejka "176.107.123.xxx", tak NAT delaji jeste na dalsim stroji.

Tom

Díky, pošlu mu to i s touto poznámkou jestli mohu.

Už to funguje. Problem u providera... Díky za pomoc.

[iTomB]

Už to funguje. Problem u providera... Díky za pomoc.

Hlavne ze to pomohlo a napsal jsi, kde byla chyba (pro ostatni aspon vi, jak a co resit )

Ja ted resil neco podohneho pro znameho a trasovani taky ukazalo problem u nich.

Hodne zdaru Tom

[Macek]

Ahoj, poradí mi někdo jak dostat veřejku klientovi na domácí router mikrotik? před domácím routerem je anténa UBNT litebeam v režimu router/nat ten přiděluje dhcp adresy v domácnosti. Veřejku dostanu na ubnt anténu tam vše končí a přes ni už si nevím rady. díky moc