Topologie routované sítě

[Petr S.]

Zamýšlím se nad novou topologií sítě a chtěl bych ji navrhnout jako plně routovanou a NAT dát jenom na hlavní router. Nakreslil jsem si tady schéma sítě. Chtěl jsem poprosit, můžete mě prosím nakopnout, jak by bylo nejlepší vytvořit adresní schéma sítě, tak aby to bylo co nejlepší do budoucna?

Nějak se v tom teď ztrácím. Byl bych moc vděčný. Díky moc.

[reset]

rozmysli si , jak velke subnety budes pouzivat, adresama doporucuji nesetrit

napr. pro vlastni internni sit pouzij 192.168.0.0/16 , kterou nasledne rozdelis na mensi kusy, pro servery, pro AP , pro P2P spoje , pro P2MP ,
pro klienty pouzij treba 172.16.0.0/12 (opet rozsekano na mensi kusy),
a pak to uz jen rozroutovat

na natu si udelej preklad adres (obousmerny) a muzes bez problemu bezet

Pro klienty nedavam primo verejny IP , ale resim to vsechno pres nat, vysvetleni je jednoduche, usetris si s tim mraky verejnych adres a pripadne kdyz budes mit vice pripojeni do inetu (treba backup connect), klient pobezi stale pod jinou adresou

[Majklik]

V podstatě bych osuhlasil. Jenom, pokud stavím síť od nuly, tak bych uvnitř mé ISP sítě použil segment 100.64.0.0/10 (viz RFC6598), který je dnes k tomu alokovaný. Klientům domů můžeš dávat segmenty jak chceš z těch dlě RFC1918 (10/8, 172.16/12, 192.168/16) dle toho, co se ti/zákošům bude líbit.
Nespoléhal bych jen na řešení, že pokud někdo bude chtít veřejku, že ji udělám jako NAT1:1 na hlavní bráně, je to pořád NAT a pro některé aplikace nevhodné. Záleží na tom, jaké koncové zřízení pak zákoš použije, někdy stačí routunout jen tu /32 veřejnou adresu nebo to už pak raději mu tunelovat (ať už PPPoE, L2TP, ... co bude schopné jeho zařízní, tvá síť vyrobi/požrat).

[Tomáš Břinčil]

Souhlasím s tou veřejkou. Raději tunel nebo přímo routnout.
A úplně mimo mísu: Zvažoval Petr možnost nasazení PPPoE?

[hapi]

na core použij 100.64.0.0/10 a předejdeš problémům že připojenou firmu prostě nemůžeš přečíslovat a tvoje servery maji stejný IP jako maji ve firmě. Typicky tam mají 192.168.0 nebo 1 /24 či 10.0.0.0/24. Z toho důvodu jsou tyhle IP zavedený. Postoval to sem Zdeněk, je to cca tak rok a je to přímo doporučení od RIPE.

jo a používal bych 10.0.0.0/8. Dá se docela dobře ideálně rozdělit pro 256 bodů po 256 userech a jde ruku v ruce s koncepcí reseta. Samozřejmě za předpokladu že /24 dáš na APčko a každej klient má doma zase /24. Já jsem něchtěl nějak počítat v terenu jiný masky a hledat jakou ip bude mít brána takže se všude nasadila /24 a je klid.

[Majklik]

Hapi, není to 10.64.0.0/10, ale 100.64.0.0/10 (RFC6598), psal jsem to tu před časem i já.
Typická firma používá kde co a větší má rozsekáno 10.0.0.0 segment celý po různu, takže se na to nedá spoléhat. 10.0.0.0/24 je tak mikrofirmička, co přišla z ADSLka, kde to obvykle tak mají v základuna modemu. Ale v principu mezi obecné klienty bych ro sekal podobně a kdo bude mít takový segment u sebe v nějaké návaznosit na svoje další sítě, bude mít VPNko, admina a NAT na veřejnou IPčku (nebo na tu adresu 100.64..... na WAN portu) a bude mi jedno, co má v LAN.

Souhlasím s tou veřejkou. Raději tunel nebo přímo routnout.
A úplně mimo mísu: Zvažoval Petr možnost nasazení PPPoE?

Neděs s takovou minisíťkou hnedka od začátku s PPPoE, to rovnou už můžu začít propagovat DS-lite (no, mít Mikrotik rozumnou autokonfigurační spolupráci s AFTR serverem, tak proč ne).

[hapi]

jo sorry, překlep.

no ono je jedno jestli tu síť máš někde dál v transportní části sítě. Horší je když to je tvoje DNSko nebo třeba smtp server a oni maji stejný ipčka u sebe ve firmě.

[Majklik]

Jo, proto vždy DNS, SMTP a další služby, co jsou dosutpné zákazníkům cpát na veřejné IP, ať předejdu konfliktům.
Pokud nemám ani těch pár veřejných IP, tak dneska použiju to 100.64.0.0/10 a mám také konflikt vyloučen.

Výhoda použití veřejných IP pro moje servery klientům má ještě jeden dopad. V tom firemním prostředí (nebo i domácí uživatel s trvale nahozeným VPN tunelem z domácího routeru do firmy) pak často využívá DNS servery firemní dostupné skrz VPN tunel, takže vůbec nepoužívá moje, takže když mám servisní služby pro koncáky na veřejkách, můžu je mít v pohodě v DNSku publikované a dostane se na ně i takovýto člověk/pobočka a ne, že to mám na něčem smtp.isp.local, co pro něj tak zůstane skryto, protože to znájí jen lokalní DNS servery. Nebo dneska si kde kdo nastaví lklasické 8.8.8.8/8.8.4.4, open dns a podobné ja je to stejný případ (pokud nechci dělat únos DNS koncákům, což je dosti na hraně s legislativou).

Pozor s tím segmentem 172.16.0.0/12. Už jsme s ním několikrát narazil ve spojení s VPNkama. Dost adminů si evientně říká, že 172.16/12 mikdo nepoužívá a prdne si tyto IPčka na VPNka pro notebooky. Pak si koncák nahodí VPNko z noŤasu a nestačí se divit, jak se ot vše složí.

[hapi]

pokud nacpu dnska na veřejky a změnim poskytovatel tak sem pěkně v prdely.

kdo dneska má nastavený na pevno DNSka?

lokální smtp je pouze pro potřeby sítě, ne pro odesílání z venku. Pokud někdo chce, tak si zapne šifrování, přihlášneí s loginem a odesílá maily přes server kde má schránku.

[Pintero]

hapi kdyz jsi malej ISPik, tak s tou zmenou takovej problem mit nebudes a kdyz budes vetsi, budes mit svy IPcka

[hapi]

to je teorie. Neznám moc velkých ISPíků co maji vlastní IP. Problem neni se změnou ale s tim že porstě musíš u klietnů změnit IP a to prostě je spousta času na nic přitom to můžeš od začátku dělat uplně jinak tak aby si to nemusel nikdy měnit ať máš veřejky jakýkoliv.

[Majklik]

Přečíslování sítě je vždy pakárna (spíše než velikost je to i tom, zda jsou klienti autokonfigurovatlení nebo to musím oblézat), když to člověk dělá potřetí, koupí si vlastní IPčka. Pravda, dneska už moc není kde.

A jak jsem psal, dneska bych to prdnul vše na 100.64/10 a má to vyřešeno pro 99% běžných problémů. Dříve takový blok nebyl, tak člověk řešil, jak se kolízím vyhnout jak se dalo. Ono řada firemních routerů má i politiku, že vůbec nepustí ven/dovnitř pakety s IP dle RFC1918, takto člověk eliminoval nutnost se dohadovat se s adminy tupouny, zvláště pokud centrála je v Německu a admin outscorovaný Ind a na pobočce připojené přes vaši síť nikdo z IT, natož právem do toho krámu šáhnout.

[Pintero]

Hapi v pohode. Delas si to po svym, delej dal.

[sub_zero]

.. zvláště pokud centrála je v Německu a admin outscorovaný Ind a na pobočce připojené přes vaši síť nikdo z IT, natož právem do toho krámu šáhnout.

+ k tomu to, že Ind neumí ani pořádně indicky, natož anglicky...bohužel, je to dnes čím dál větší móda

[Petr S.]

Tak jsem vymyslel toto, může být nebo byste něco změnili dle vašich zkušeností?

Díky moc.