DIGI net nem látható a NAT ügyféltől

Hálózatok általános

Van az iskolának egy DIGI fix IP-s előfizetése, ezen üzemel az iskola honlapja.

Néhány helyről (úgy tűnik, csak NAT-olt, csak DIGI-s előfizetésekről) nem látható a honlap.

- ha az ügyfélszolgálatnak elmondom az előfizető szerződésszámát, kiveszik a nat mögül és jó,
- természetesen ha nem jut el hozzám az információ, nem tudok lépni,

A DIGI azt mondja, hogy a tűzfalon engedjem be a 100.64.0.0/10-et. Nem tudok róla, hogy ez tiltva lenne, hogy engedjem be!?

Mit tegyek?

szaszi

  • 6635 megtekintés

( answ | 2018. 09. 01., szo – 22:05 )

Hat eleg nagy blamazs lenne, de ha ezt mondtak, akkor lehet hogy Digi CGNAT cimrol nem fordit, ha sajat halozataban marad a forgalom. Akkor viszont lehet hogy tenyleg nalad van szures. Sok tuzfal szuri (jogosan) a nem publikus cimeket kulso interfeszen.

A publikus-CGNAT cím közötti átfordítást a Digi végzi.
Úgy van ez, hogy a CGNAT mögött lévő Digis eszközön egy NAT mögött vannak. Teljesen hasonló a dolog ahhoz, mint amikor neked van egy saját NAT-od, meg egy külső címed, ami a publikus neten van, a NAT-oló eszköz végzi címfordítást. A NAT mögött lévő eszközök meg egy hálózatban vannak, közvetlenül kommunikálnak egymással.
Na, a Diginél is így van, a publikus cím az a Digié, a te eszközöd NAT mögött van, a címfordítást a Digi végzi. A NAT mögött lévő (azaz a Digi CGNAT hálózatában lévő eszközök) meg közvetlenül kommunikálnak egymással, nem megy ki a publikus Internetre a csomag.

Itt tökéletesen le van írva a probléma a második helyzetben:
https://wiki.mikrotik.com/wiki/Hairpin_NAT

És a meogldás az, hogy a Digi hálózatából érkező magánhálózati (CGNAT) címeket be kell engedni, ahogy ezt leírták mások is.

Igen, pontosan Digi-nek kellene forditania publikus cimre, de lehet hogy Digi rendszeren belul nem fordit. Ezert a kerdezo tuzfala CGNAT forrassal szembesulhet, amit eldob.

De ez csak talalgatas, amit egy Wireshark trace-el lehetne ellenorizni a routeren/tuzfalon. Akar en is tudnam ellenorizni, ha jelentkezik valaki Digi CGNAT mogul tesztelesre. En is Diginel vagyok, csak CGNAT nelkul.

A szervert tetszőleges porton elérem kintről, így gondolom, az nincs CGNAT mögött.

Egy ügyfélnél próbáltam: érdekes módon a webet nem látta, de ssh-n be tudtam jelentkezni!

Ezért gondoltam, hogy valami kacifántos web proxy lehet.

Az ügyfelet kikértem a CGNAT mögül, így megszűnt a bánata (és ez a teszt lehetőségem - de azért van másik!)

Nos, most kipróbáltam külső címről:
- web nem megy, szerveren nyomát sem látom,
- ssh megy, be tudok jelentkezni, a szerver 100.71... címet mutat.

Úgy gondolom: ügyfél CGNAT mögött van, én elvileg a fix IP-vel nem.
1) Ha nekem publikus címem van, hogy láthatom mégis a NAT ip-t?
2) Ha be tud jönni a 100.71... ssh-n, akkor weben miért nem?
3) Ha látom a 100.71... IP-t, akkor mégiscsak CGNAT vagyok?

(egyébként optika pppoe, 10.0.0.1)

a CGNAT ipje a sajat halozatan routeolt, "publikus" ipkent viselkedik, majd az edgen NATol. ennel favagobban nem tudom megfogalmazni, hogy megertsd.
igy van szolgaltatoi oldalon egy "privat" range ami nem hagyhatja el a szolgaltato halozatat, de azon belul routeolt, ES deklarativ nem utkozik az egzotikus clientside nat tartomanyokkal.

"Úgy gondolom: ügyfél CGNAT mögött van, én elvileg a fix IP-vel nem."
Itt hibázol.
A te fix* IP-d csak a Digi hálózatán kívül létezik, az eszközöd továbbra is CGNAT-olt IP-vel rendelkezik, a Digi tudja azt, hogy hogyan kell átfordítania.

Hogy egy egyszerű NAT példánál maradjunk.

Van neked egy hálózatod, ami egy interfésszel csatlakozik a publikus internethez. Ezen hálózat mögött van 100 géped, és van hozzá 2 publikus IP címed. Majd beállítod arra az egy interfészre, hogy mindkét IP címre hallgasson, és az egyik címen bejövő bármilyen kérést NAT-oljon el a hálózaton lévő 100 gép közül az egyikre.
Ekkor tekintheted úgy, mintha annak az egy gépnek lenne publikus internetcíme, pedig nincs. Ugyanolyan NAT-olt magánhálózati címe van, mint a többi 99 gépnek, csak épp megkap minden csomagot, ami egy publikus címre szól.
Viszont amikor a NAT-olt hálózatban lévő 100 gép beszélget egymással, ugyanúgy a magánhálózati címeket használják, afelé a gép felé is, aki felé a publikus címre szóló csomagok is szólnak.
CGNAT mögött vagy, de a Digi hálózatába X IP címre érkező csomagokat te megkapod. Olyan, mintha lenne egy publikus címed.

*szokjunk már le arról, hogy fix IP-nek nevezünk egy publikus IP címet. Egy magánhálózati, NAT-olt cím is lehet fix, csak épp nem publikus.

Szerintem van igazság a kérdésében. Miért ne lehetne olyan, hogy a Digi egy ügyfélnek tényleg egy publikus fix IP címet ad mindenféle NAT és CGNAT nélkül, amin az ügyfél webszervert futtat, és az közvetlenül látható az internet felől? Eddig nem láttam arra vonatkozó infót, hogy most az ő webszerverének mi az IP címe, tehát akár lehet tényleg publikus fix IP is. (Legalábbis ha jól értettem, a példában szereplő 100.71... cím az a kliensé.) Persze sokat segítene, ha leírná, hogy mi a webszerver IP címe, vagyis mi az ő publikus IP címe, vagy legalábbis az első számjegyeket belőle.

És miért ne lehetne olyan, hogy a Digi más ügyfelei, akik meg CGNAT mögött vannak, azok valahogy a Digi tényleges publikus fix IP címet használó ügyfelei felé valamiért nem tudnak csatlakozni? Simán elképzelhető egy ilyen jellegű félrekonfiguráció a Digi részéről.

"Itt hibázol."

Nagyjából erre a következtetésre jutottam, csak amiatt gondoltam, hogy töredékes a tudásom, mert az ügyfélszolgálat váltig állítja, hogy nem, én rosszul gondolom.

* a fix ip annyiban jogos (bár valóban helytelen), hogy ebből többnyire tudják, hogy miről beszélek. A szolgáltató által adott dinamikus publikus címhez képes általában több szolgáltatás tartozik hozzá.

Nem vagyok biztos benne, hogy igazad van. Amikor nincs CGNAT - vagy legalábbis publikus IP-m van -, akkor a saját edge routerem a publikus IP-t kapja meg, tehát 100.-as IP-m egyáltalán nincs. Ha a CGNAT esetében lenne egy publikus IP csak hozzám rendelve, akkor mindig 100.-as IP-t kéne kapnom, nem (közben persze megkapnám a publikus IP bejövő kéréseit, mint DMZ-nél)?

(Publikus IP-m van, nem üzemeltetek jelenleg semmit, csak kiváncsi vagyok.)
--
https://naszta.hu

"egy publikus IP csak hozzám rendelve"

Szerintem a CGNAT pont nem erről szól, hogy a szolgáltató egy adott publikus IP-jét csak egy adott ügyfél használja, de címfordítással. Annak nem sok értelme lenne, mert továbbra is annyi publikus IP-t kell fenntartania a szolgáltatónak, ahány ügyfele van. És még a címfordítást is el kell végeznie.

A CGNAT arról szól, hogy a szolgáltató egy adott publikus IP-jén több ügyfél osztozik. Persze lehet, hogy rosszul gondolom.

A publikus IP-t csak kérheted, ha akarod és van, nem áll mindenkinek rendelkezésre. Sőt, azt hiszem, fizetni is kell érte. A felhasználók elenyésző száma kéri a teljes felhasználói bázishoz képest.
Épp ezért jó a CGNAT: betolsz mindenkit NAT alá, akinek ez nem jó, az majd kiabál és kér publikus címet, azoknál megcsinálod a címfordítást, a többiek meg észre sem veszik, hogy NAT-olva vannak.

Igen, ezt nagyjából én is így gondolom. Aki viszont publikus IP-t igényel (Digi lakosságinál úgy tudom ingyenes, de nem lesz fix az IP, csak publikus), az kikerül teljesen a CGNAT alól, tehát a saját otthoni eszköze kapja meg ezt a publikus IP címet, mint egy régi klasszikus Internet előfizetésnél. Így viszont továbbra sincs olyan, ami előbb elhangzott, hogy egy CGNAT-os publikus IP csak egy előfizetőhöz tartozzon.

Fizetni nem kell érte, de jó eséllyel valóban kevesen kérik csak. Az egyetlen kérdés szerintem az, hogy csak publikus IP-t kapunk vagy kapunk egyet a CGNAT tartományból is (és hasonlóan megy a publikus IP, mint DMZ-nél sima NAT-nál), amikor publikus IP-t igényelünk.

Az nem lehet, hogy a saját publikus IP-k felé simán nem csinálja meg a NAT feloldást a Digi és ezért a belső NAT-olt klienseket simán 100./8-as hálózatnak látod a publikus címeden?
--
https://naszta.hu

Elnézést, de ne vezess félre senkit, teljesen rossz, amit írsz. Vagy publikus IP címe van valakinek, vagy privát (így NAT-olt) a szolgáltatótól.
Nincs olyan, hogy látszólag publikus IP címed van, de közben a háttérben/igazából privát IP címen folyik az egyébként NAT-olt forgalom.

Amit Te írsz, az az 1:1 NAT, amikor egy publikus IP-nek oda-vissza meg van feleltetve egy privát IP. Ilyenkor valóban igaz, hogy a publikus cím forgalma csakis egy adott privát címre megy (és a privát cím kimenő forgalma mindig arról a publikus címről megy tovább kifelé), de ilyenkor a kiszolgálónak privát címe van, nem pedig publikus, az adott publikus cím pedig az 1:1 NAT-ot végző router publikus lábán van felvéve.
Internet szolgáltató esetében butaság lenne ilyent csinálni az ügyfelek kapcsolataira, mert csak felesleges adminisztráció és macera, publikus IP címből pont ugyan annyi fogyna el, csak még piszmogni kellene a NAT szabályok létrehozásával-eldobásával is.

A Digi-nél kétféle IP címet kaphatsz, vagy valódi publikus IP címet amin pont úgy kommunikálsz, mint bármilyen más szolgáltató publikus IP címén szokás, vagy egy privát tartományból származó IP címet, amit a Digi SNAT-ol az internet felé. Előbbi esetben teljes a bejárás a rendszeredbe, a saját tűzfaladon múlik, mi jut be és mi nem (az adott publikus IP nálad végződik, nem a szolgáltató router-én). Utóbbi esetben nincs kintről bejárás, mert ugye egy címfordítós router belső hálózatán vagy (a Digi nyilván kérésre sem állít be ilyen kapcsolatra DNAT-ot).

A CGNAT pedig csak egy elnevezés arra, amikor szolgáltatói szinten megy a (klasszikus, mindenki által ismert) SourceNAT-olás: Carrier Grade NAT. Annyi az "extrája", hogy egy újabb privát IP tartományt vezet be (100.64/10, ami az interneten nem route-olható ahogyan az RFC1918 címek) azért, hogy az eddig RFC1918-ból ismert privát tartományokkal ne ütközzön, amit normál esetben az előfizetők a belső hálózatukon használhatnak.

A Digi-nél levő publikus IP címen üzemelő szolgáltatás esetében azért kell a 100.64/10 hálózatból is fogadni a kéréseket, mert a Digi hálózatán belül ilyen forráscímmel jönnek a kérések a Digi-s (és csak a Digi-s, mert pl. Telekom is CGNAT-ol, de onnan nyilván nem jöhet ki a publikus interneten át ilyen forrás című csomag), CGNAT tartományban üzemelő kliensektől. A másik lehetőség az lenne, hogy a Digi Hairpin-NAT-tal minden NAT-os ügyfél forgalmát publikus címmel visszafordítaná a saját hálózatába, de ez iszonyú erőforrás-igényes lenne ilyen előfizetői számnál (és teljesen felesleges is).

Remélem nem voltam túl bántó, de muszáj volt beleszólnom, mert nagyon ment már a hibás állítás bizonyítása, ami senkinek sem jó.

( ncc1701 | 2018. 09. 03., h – 06:28 )

A suli honlapját tedd ki egy erre szakosodott céghez.

( dannyboi | 2018. 09. 04., k – 13:54 )

Lehetséges, hogy ezzel függ össze az is, hogy DIGI mögötti gépekre nem DIGI hálózatból nem tudok SSH-n bejutni. Nagyjából szeptember 1-től.

A témaindítónál az volt a probléma, hogy CGNAT-os Digi ügyfél nem érte el a Digi publikus IP-n (nem CGNAT-olt) figyelő tartalmat. Nálad valószínűleg más lesz a probléma.

Az érintett Digi végpontokon nézd meg, hogy milyen IP-t kap a router. Ha 100.64.0.0/10, akkor csak simán átdobtak CGNAT-ra. Felhívod őket és megkéred, hogy vegyenek ki a CGNAT-ból.

Regota pakolgatjak ugyfeleket CGNAT moge, de barki kerhet ingyen publikus IPv4 cimet, csak jelezni kell. Eleg jo megoldas ez az IPv4 cimek fogyasara. Kivancsi vagyok hogy eleri-e az 1 szazalekot, akik kernek publikus cimet. Jobb mint a T, aki mobilnal mindenkit NAT-ol es nem is lehet publikus cimet kerni.

Ez szép és jó, de például vannak olyan eszközök, amik a Digi IPv6 hálózatát nem tudják használni, mert szoftveresen szarok. Például egy TP-Link Archer v1200. Tök fasza gigabites dual-band eszköz, mégsem lehet a felületén beállítani olyan IPv6-IPv4 hibridet (pedig a Digi hálózata tudja), hogy működjön.
De ez igaz sok más eszközre is.

Egy ötvenes hozzánemértő ne akarjon weboldalt heggeszteni, valamint elvileg neki az se kell hogy gond legyen, ha NAT mögött van és csak az 80,443-as portokat éri el a külvilágból, meg a szolgáltató DNS szervereit, mert a face, a gmail, meg pártállástól függően 888 és 444 menni fog így is, bár utóbbi érzékeny az MTU-ra meg az MTI-re :D

Nem tudom, nekem Asus nem tűnik komolyabb gyártónak hálózati eszközök terén, mint egy TipLink.
Ha csak az Asus driver és FW ellátottságára kellene hagyatkoznom és nem lenne kiútként a SoC/GPU/CPU stb áramkör gyártójának a drivere mint az alaplapjai és VGA kártyái esetén, akkor biza nem venném meg.
De van még ilyen gyártó bőven akik csak úgy cserbenhagynak saját termékcsaládokat, használhatatlanná téve őket egy rendszerfrissítés után, holott maga a hardver képes lett volna még évekkel később is arra amire való.

( KicsiBocs | 2018. 09. 05., sze – 07:52 )

Nem is a felhasználóknak kell felfogni, hanem a szolgáltatóknak kellene.

( dannyboi | 2018. 09. 05., sze – 21:13 )

Tényleg írni kell csak nekik, hogy NAT helyett legyen publikus IP. Két előfizetésnél vagyok túl rajta, pár óra alatt megcsinálták. Gyorsabb az ügyintézés, ha ide írsz: hibabejelento@digikabel.hu

( szaszi | 2018. 09. 12., sze – 22:43 )

> A DIGI azt mondja, hogy a tűzfalon engedjem be a 100.64.0.0/10-et.

Igazuk volt.

Nos, volt egy eldugott pfSense, ahova mentek ezek a csomagok, az meg eldobigálta.
Interfaces/WAN: „Block bogon networks” pipálva volt, no azt nem kellett volna. 


> tcproute -p 22 szepi.hu

Using the following values:
---------------------------
Local IP:    192.168.0.104
Remote IP:   92.249.148.57

Tracing route to szepi.hu:22
  1       140 ms        192.168.0.1     TimeExceeded
  2        14 ms        10.0.0.1        TimeExceeded
  3        19 ms        10.1.129.65     TimeExceeded
  4         9 ms        10.1.129.67     TimeExceeded
  5        52 ms        szepi.hu [92.249.148.57]        TimeExceeded
  6        81 ms        szepi.hu [92.249.148.57]:22     Synchronize, Acknowledgment (port open)

Ezek mellett: az ügyfél bejelentkezik ssh-val, akkor a 100.71.0.xx címen látszik.
Az ügyfél publikus ip-je: 94.21.132.3

Köszönöm mindenkinek
szaszi