האם אני מאחורי nat?

R

ronwesty

New member
האם אני מאחורי nat?

שלום לכם!

קצת רקע לפני הבעיה עצמה:

יש לי vm עליו מותקן שרת nginx. השרת מקשיב על הפורטים 80 ו-443. הפורטים פתוחים ב-vm עצמו.
ה-vm "מחובר" לראוטר tl-wr841nd עליו מותקנת מערכת ההפעלה openwrt גרסה chaos calmer 15.05.01.
פתחתי בראוטר את הפורטים 80 ו-443 והפנתי אותם ל-ip של ה-vm (כלומר כלל forward פשוט מ-wan ל-lan).

הבעיה:

לפני מספר חודשים עברתי לספק הוטנט (לפני כן הייתי בבזק בינ"ל).

קיבלתי כתובת ip שהתחילה ב-137 (למיטב זכרוני). שמתי לב של-ip הנ"ל הייתה גם רשומה של rdns.
בכל מקרה, כאשר ניסיתי לגשת לפורט 80 או 443 בראוטר מהארץ או מחו"ל לא נתקלתי באף בעיה.
telnet לפורטים הנ"ל עבד בכל מקרה ואתרים כמו canyouseeme.org דיווחו שהפורט פתוח.

לאחרונה השתנתה כתובת ה-ip שלי לכתובת שמתחילה ב-149. שמתי לב שלכתובת זו אין רשומת rdns.
כאשר אני מנסה לגשת לפורט 80 או 443 בראוטר שלי מה-wan, אני מצליח, אבל רק מתחומי הארץ (בדקתי דרך הרשת הסלולרית של פרטנר וגולן ודרך הספקים הוטנט ובזק בינ"ל).
כאשר שירות שיושב בחו"ל מנסה לגשת לפורטים הנ"ל מתקבלת שגיאה (למשל שירות כמו letsencrypt) ואתרים כמו canyouseeme.org מדווחים שהפורט סגור.
כמו כן, telnet לפורטים הנ"ל לא עובד מחו"ל אבל עובד מהארץ.

בשני המקרים הנ"ל מדובר בכתובת ip דינאמית.

למיטב ידיעתי, ייתכן שהוטנט החליפו את כתובת ה-ip שלי לאחת שנמצאת מאחורי nat.
רציתי לשאול אתכם אם נתקלתם במשהו דומה, ואם אכן המצב שתיארתי מתאים ל-ip מאחורי nat.

אגב, התקשרתי לתמיכה הטכנית של הוטנט, לא היה להם ממש מושג על מה אני מדבר.
הציעו לי לקנות ip סטטי ע"מ לפתור את הבעיה, למרות שהכל היה בסדר גם בכתובת ה-ip הקודמת שלי שהיתה דינאמית.
אני גם מודע לעובדה ש-webhosting על רשת ביתית זה רעיון רע, ה-vm מיועד לבדיקות בלבד ולא למשהו מעבר לזה.

תודה לכולם!
 
R

rafid1

Active member
מנהל
אתה צודק. הבעייה דווחה כאן גם בעבר.

http://is.gd/mUofDi
פרט ללפנות לספקית ולבקש רענון IP - לא הציעו ממש פתרון. כמובן שהעובדה שהם כבר חודשים במצב הזה - מעידה על רמה טכנית נמוכה שלהם. אז אתה מוזמן להחליף אותם... :)
&nbsp
 
R

rafid1

Active member
מנהל
יש המשך...

הסתבר שגם אני עם אותה בעייה בדיוק... אז התהליך לתיקון:
1. אתה מתקשר להוטנט *6901
2. מדווח על הבעיה ומסתבר שרוב הנציגים יודעים עליה...
3. מספרים לך שיש מין הקצעה של טווחי IP ל TYPE 3 במקום TYPE 2 לחלק מהשרתים, כי זול יותר להם...
4. היות ואין להם דרך ישירה לשנות IP, הם מציעים לך - להרשם לשירות חינמי של סינון. השירות ניתן בשרתים עם IP TYPE 2...
5. אתה נרשם, והIP משתנה לטווח .5 לאחר שהם מעדכנים/מרסטים את המודם במיידי
6. לאחר 3-4 ימים אתה מוזמן לפנות שנית לביטול השירות. הIP אמור לא להשתנות

באמת, "יפה" מאוד...


נב: בינתיים אני לא רואה שהסינון ממש עובד, אז אולי כדאי "להתנסות" יותר מ3 ימים...
 
R

ronwesty

New member
תודה רבה! אגב...

האם ידוע לך אם אחת מהספקיות בארץ מתכוונת לעבור ל-ipv6 (בתקופת חיינו) ולגאול אותנו מייסורי הגסיסה של ipv4? לפחות כל עניין ה-nat ייפתר...

בכל מקרה, אני מתכוון לעקוב אחרי התהליך שציינת ואשתדל לדווח כאן לטובת אחרים.

שוב תודה!
 
S

SysAdmin1

New member
בארץ אף אחת מהספקיות לא מתכננת אפילו את המעבר ל IPv6, אבל...

בארץ אף אחת מהספקיות לא מתכננת אפילו את המעבר להספקת IPv6, אבל כל מי שבאמת יודע על מה מדובר כבר קרוב לעשור משתמש ב IPv6 ומקבל טווחים של עד 48/ ( שזה 1208925819614629174706176 כתובות חוקיות מנותבות לשימוש ) . כמובן שנדרש למשוך את הכתובות מחו''ל .





 
R

rafid1

Active member
מנהל
לא הבנתי, אתה עובד בארץ עם ספקית בחו"ל(VPN?) רק לטובת IP V6?

או שזו רק דוגמא של לקוח בחו"ל?
 
S

SysAdmin1

New member
כן, אני עובד בארץ עם טווח כתובות שאני מקבל מספקית מחו''ל...

כן, אני עובד בארץ עם טווח כתובות שאני מקבל אותו מספקית מחו''ל דרך ערוץ VPN .
אני גם בבית ( בישראל ) משתמש בתצורה של dual stack , כך שכל התקשורת IPv4 הפרהיסטורית מנותבת דרך הספק הישראלי, גם מסיבה שכל השירותים בישראל עדיין עובדים אך ורק בשיטה הזו, ולטובת הקישוריות ה IPv6 העכשווית אני משתמש בנקודת טרמינצייה באירופה, בנקודה שגם ממילא הכבל שמחבר את ישראל לעולם מסתיים שם, כך שזה לא מאריך לי את הדרך, במיוחד שבכל מקרה, לכל מקום בעולם הייתי חייב לעבור דרך הנקודה הזו.
לא מדובר כאן על משהו חדש, אלה על טופולוגית רשת שאני משתמש בה כבר יותר מעשור. לשיטה הזו קיימים הרבה יתרונות, כמו למשל, שאם אני נדרש לעבור ספק אינטרנט בישראל, אז אני שומר על כל הטווח הכתובות שלי שהכתובות ממנו משמות אותי לזיהוי מול שרתים ושירותים בחו''ל, לצורך הגברת אבטחת מידע, רשומות DNS שלא צריך כל פעם לעדכן, סרטיפיקטים SSL שהונפקו לכתובת IP מסוימת וכו'.
גם היתרונות המובנים הם, שבכל התקופה הזו, אצלי כבר לא קיימים יותר כל אותן בעיות ידועות של NAT , בגלל שכל ציוד רשת שקיים אצלי, מהטלפוני IP , דרך סמארטפונים, מצלמות אבטחה, טלוויזיות חכמות, אינטרקומים, נגני מדייה וכל השאר מקבלים כל אחד כתובת חוקית ייחודית ועצמאית מנותבת ויכולים לתקשר עם העולם בצורה תקינה, ללא הבעיות של שמיעה חד כיוונית בטלפונים למשל או בעיות אחרות בשירותים שדורשים nat traversal שפעם עובד ופעם לא.
גם בארגונים שבהם אני מתכנן את הפריסה ומיגרציה ל IPv6, אני משתמש בשיטה הזו בגלל שעד היום, גם לארגוני Enterprise ספקיות אינטרנט ישראליות לא מסוגלות לספק קישוריות IPv6 וכל ההבטחות של אנשי שיווק ו PreSale של הספקים, נשארות בגדר אבטחות ריקות מתוכן ולא משנה כמה מנסים להפעיל את המחלקות ההנדסה ואת תכנון שלהם, שומעים תמיד שהבעיה היא לא בצד שלהם, אלה אצל ספק תשתית, ציוד או הלקוח. ובשנים אחרונות כבר יש יותר ויותר ארגונים שמחויבים לשימוש ב IPv6 בגלל עבודה מול לקוחות וספקים בחול, שהם כתנאי מחייב דורשים שימוש ב IPv6 , שעדיין אחרי כל השנים לא זמין בישראל.
על הלקוחות הפרטיים אפשר אפילו לא לדבר, כי כמה שעובר יותר זמן, כך נהייה לספקים יותר מורכב לבצע את ההסבה, בגלל שיש יותר ויותר ציוד שצריך להחליף, דבר שמתבטא בהשקעות הכספיות הנדרשות, שהספקים לא מוכנים לבצע וגם בגלל המבנה של השוק הסיטונאי הנושא נהפך לעוד יותר יקר ולא אפשרי. לזה אפשר להוסיף גם שרוב המכריע של ציוד הקצה הביתי שמשווק בישראל לא תומך בכלל בצורה אמיתית ונדרשת בפרוטוקול IPv6 , במיוחד שלרוב הציוד רשת מבצעים התאמות Firmware מקומיות, ששונות במבנה שלהם מתוכנות של ציוד זהה בחו''ל ולא מאפשרות שימוש או החלפה ל Firmware מלא ולא מסורס.
מצד שני אנחנו שומעים חדשות לבקרים הכרזות ריקות מתוכן, על זה שכמה שאנחנו מעצמת הייטק וסייבר, מבלי שמי שמכריז את זה בכלל מבין את המושגים האלה וכמה זה נשמע גרוטסקי.
למשל מההכרזה של בזק בינלאומי מ 2008 ניתן ללמוד שכבר ב 2013 היא תספק ללקוחות הפרטיים את השרות החדשני ( שב 2016 עוד לא קיים אצלה ) .
https://www.bezeqint.net/business/products-and-services/internet/ipv6

לפי מקורות זרים בשנת 2011 במשרד התקשורת אפילו יצרו את כוח משימה מיוחד, שאנשי הדממה הנועזים שלו היו אמורים לפעול אי שם עמוק בעורף האויב ולנסות להבין מה זה ה IPv6 שכולם מדברים עליו:
http://www.ynet.co.il/articles/0,7340,L-4072328,00.html
https://knesset.gov.il/protocols/data/rtf/mada/2011-05-23.rtf
רק שכל הצוות של הכוח המשימה המיוחד נעלם ללא עקבות במעמקי הרשת האפלה מבלי שהצליח להביא לנו אפילו כתובת IP בודדת.

גם הייה לנו בשנת 2011, באמצע המשבר של כתובות האינטרנט בישראל את יום ההשקת IPv6 :
http://www.isoc.org.il/papers/Position_paper_IPV6.html
ששקע למצולות של אותה הרשת העמוקה כבר באותו היום.

השוק הסיטונאי ובעיית ה- IPv6 :
http://www.telecomnews.co.il/השוק-הסיטונאי-ובעיית-ה-IPv6.html

ואת הסיום אנחנו כבר יודעים.



 
R

rafid1

Active member
מנהל
מעניין. נראה שעדיין כנראה אפשר "לחיות עם זה"...

כמה עולה לך כל התענוג הזה?

לפי גוגל אנחנו ב0.26% פריסה של IPV6... גם משהו
http://is.gd/lIOStd
ויש עוד כמה מדינות מתחתנו ברשימה, כמו איטליה למשל...

אשאל אותך רק שאלה: מה יהיה הסדר העדיפויות שתתן (כראש ממשלה כמובן...):
1. IPV6 לכל פועל
2. עידן+ בHD עם 18 ערוצים
3. שתי מדינות לשני עמים
4. חירוב הגרעין של אירן ...

???
 
S

SysAdmin1

New member
לא חייבים או, או, אפשר לשלב...

אפשר למשל: חירוב הגרעין של אירן over ipv6 , על גבי תשתית של עידן פלוס עם ערוץ חזור כמובן, ועל אותה התשתית אפשר לשלב גם 18 ערוצים של UHD IPTV אינטראקטיביים וכל זה בפריסה של שני מדינות ולשני העמים בתקן של DVB-T2 RCT.
https://en.wikipedia.org/wiki/DVB-RCT
מאמר בנושא, עוד משנת 2001 :
http://www.amalnet.k12.il/madatec/articles/A6_00083.asp#top

את התקן של חירוב הגרעין over ipv6 , שלפי מקורות זרים כבר גיבשנו ואימצנו עוד בשנות החמישים המוקדמות, כולל הכימוס והאצה בחומרה אני מקווה שלא צריך לפרט ולהסביר.


בקשר לפריסה שלנו, אותן 0.26% אני חושב שזה מה שמכונה בסטטיסטיקה בשם טעות דגימה, ואם ננקה אותה, אז נשאר עם מספר עגול שאסור לחלק בו במחשבים ובגלל זה, במקרה שלנו מכניסים למשוואה את הטעות הדגימה.
https://he.wikipedia.org/wiki/חלוקה_באפס

 
R

rafid1

Active member
מנהל
אין טעות בדגימה. ספרו אחד-אחד...

למען הדיוק אולי צריך להוריד 1 - את שלך... וכלשראש הממשלה יש 10 כובעים של כל המשרדים - אי אפשר גם וגם... זה או-או, יש קושי ב multi tasking....
 
R

ronwesty

New member
נשמע מעניין! אנא שתף...

אגב, נראה שאקספון כן תומכת ב-ipv6 (לפחות לפי הפרסום באתר שלהם, מעולם לא הייתי מנוי שלהם):
http://018.co.il/internet-service/ipv6/

rafid1, התקשרתי להוטנט לפי עצתך ואכן ידעו על מה מדובר.
נרשמתי לשירות הסינון כפי שהצעת, ועכשיו הכל תקין.
שוב תודה!
 
S

SysAdmin1

New member
לגבי האקספון, בהכרזה של אתר שלהם, הם כן תומכים ב IPv6 ...

לגבי האקספון, בהכרזה של אתר שלהם, הם כן תומכים ב IPv6 , אבל במציאות לא

אבל הם לא היו הראשונים, שהכריזו שהם גאים להיות הראשונים מבין הספקים בישראל שתומכים ב IPv6 , מבלי שעשו את זה בפועל, בזק בינלאומי כבר הקדימו אותם לפני הרבה שנים.
https://www.bezeqint.net/business/products-and-services/internet/ipv6
 
R

ronwesty

New member
כמה עצוב... אמור לי בבקשה...

אמרת שאתה משתמש בשירות vpn וספקית מחו"ל.
תוכל לתת פרטים בנושא? כלומר, מהו שירות ה-vpn, מיהי הספקית ואולי מגבלות שנובעות מהשימוש שתיארת (בסגנון מחיר או data caps).
אשמח גם לשמוע על ה-use case שלך (תיארת זיהוי מול שרתים, DNS...).
ונקודת הטרמינציה - קפריסין? סיצליה?

למען האמת, חשבתי בעבר לרכוש vps בחו"ל (כמו digitalocean, vultr, linode...) וכך אני גם מקבל "שרת פרטי" (למשל עבור webhosting ו-email) וגם יכול להתקין שרת vpn פרטי וכך למעשה לקבל כתובת ipv6 בבית (עם ציוד קצה שתומך בזה, כמובן). זה זול, אבל בדרך כלל בא עם data cap של טרה-בייט או שניים בחודש (סביר, לא?).

זה דומה למה שתיארת, אבל אצלי מדובר רק בתיאוריה.

אגב, אני מסכים איתך לחלוטין. נראה שבמקרה של ipv6, הישועה תבוא רק מיוזמה עצמית של הלקוח... אם רק היינו יכולים לפרוש גם רשת סיבים אופטיים בעצמנו...
 
S

SysAdmin1

New member
אני משתמש בספק Tunnel Broker בשם: Hurricane Electric ...

אני משתמש בספק שרות מסוג Tunnel Broker בשם: Hurricane Electric , שקיימות לו נקודות טרמינצייה בהבה מקומות בעולם. אני בחרתי בנקודה שממוקמת ב Frankfurt , שלשם הקישוריות הכי היגיונית מישראל. https://tunnelbroker.net/
החיבור הוא חינם אין כסף, ללא הגבלה כלשהי שלקוח פרטי ישראלי יכול להגיעה אלייה מבחינת מהירות, רוחב פס או נפח תעבורה. כל מה שנדרש, זה לעבור סרטיפיקצייה שמזהה שאתה איש מקצוע ומסוגל להיתמודד עם משימות רשת פשוטות, כמו למשל הקמה וניהול של שרת דואר, שרת FTP ושרת WEB על תשתיות של IPv6 או ניהול שרת DNS ו FireWall בצורה היגיונית על גבי המשאבים שהוקצו לטובתך. גם נידרש שיהיה ציוד ניתוב מתאים בצד הלקוח והלקוח ידע להגדיר ולנהל אותו. ללקוח ביתי מספיק אפילו נתב פשוט, כמו למשל WRT1900ACS של LinkSYS , שעליו יהיה מותקן OpenWRT ומוגדר בהתאם, למשימות יותר מתקדמות, ברשת שלי למשל אני משתמש במערכת PFSense שנותנת גם אפשרויות הרבה יותר מתקדמות.
בקשר לשרת VPS בחו''ל, מדובר על סוג שונה לגמרי של שרות, שבו אתה לא מקבל את הטווח הכתובות הנדרש לצורך שימוש ברשת שלמה של IPv6 , אלה בכתובות שמספיקות לשרת בודד. כל הראיון של IPv6 , הוא שאתה מקבל כמות מאוד גדולה של כתובות אמיתיות ומנותבות שאותן אתה צריך לדעת גם לנהל, כי ב IPv6 המנגנונים של הקצאת כתובות הרבה יותר מתקדמים, כמו למשל לצד של שרת DHCPv6 , שגם הוא שונה לגמרי משרת DHCP ישן, קיימים גם מנגנונים כגון SLAAC , שגם אותם צריך להגדיר, כך שהם לא יפריעו אחד לשני.
בנוסף לזה קיימים גם היביטים של ניהול וחלוקה של הכתובות לרשתות משנה ושיקולים של אבטחת מידע, שאותם חייבים להבין, בגלל שב IPv6 , כל ההתקני רשת זמינים מהאינטרנט ( כי הם לא אחרי NAT ) ויש צורך להגדיר את הכללים של Firewall כך, שרק השרותים הנדרשים יהיו נגישים מצד האינטרנט.
צירפתי גם את צילומי מסך של הממשק ניהול של המערכת שאני משתמש לנושא.



 
eladts

eladts

New member
חשוב לציין ש-tunnelbroker.net תומך רק במנהרות 6in4 סטטיות

שעבורן צריך שתהיה לך כתובת IPv4 אמיתית (לא מאחורי NAT) קבועה או לפחות שלא משתנה בתדירות גדולה מדי. אם אתה מאחורי NAT של הספקית, יש את sixxs.net שתומכים גם בפרוטוקול AYIYA שעובד גם במצב כזה אבל בזמן האחרון לא מקבלים מנויים חדשים ושולחים אותך לבקש IPv6 מהספק שלך.
&nbsp
יש גם מנגנוני גישה אוטומטיים, ללא צורך בנקודת קצה מנוהלת, אבל הם פחות אמינים.
* 6to4 - מצריך כתובת IPv4 חיצונית, מאפשר ניתוב תת רשת 64/.
* Teredo - פועל מאחורי NAT אבל רק לא מחשב בודד.
 
S

SysAdmin1

New member
בידיוק הפוך...

דבר ראשון חשוב להבין, שלא קיים בכלל מושג כזה בשם: "מנהרות 6in4 סטטיות" .
בנוסף לזה tunnelbroker.net תומך במנהרות 6in4 , גם אם ללקוח קיימת כתובת IPv4 חיצונית סטטית וגם, אם ללקוח קיימת כתובת IPv4 חיצונית דינאמית. כל זה גם מוסבר בהרחבה באתר התפעולי של החברה וגם אני יכול להעיד מהניסיון האישי במשך שנים, בכמות די גדולה של המערכות, שבהן הספק אינטרנט נותן כתובת משתנה בכל התחברות מחדש ובכולם השרות של tunnelbroker.net עובד מצויין לאורך אותן השנים ללא שום תקלות. בסל הכל נדרש לבצע את ההגדרות המתאימות בציוד שבצד הלקוח. צירפתי גם מספר קישורים לנושא:
https://ipv6.he.net/certification/faq.php
https://wiki.openwrt.org/doc/howto/ipv6
צירפתי גם מספר צילומי מסך מכמה סוגים של המערכות כאלה.

ובקשר לאותם מנגנונים בסגנון של Teredo , Miredo הידועים לשמצה, מדובר בעיקר על בלגן מתמשך, שלא נותן שום פתרון הולם באופן היגיוני או מעשי.



 
eladts

eladts

New member
פרוטוקול 6in4 הוא סטטי במהותו

tunnelbroker מאפשרים שימוש בכתובות דינמיות בעזרת עדכון הכתובת בשיטה שדומה לשרותי DNS דינמיים. זה עובד, אבל זה לא יעיל כמו תמיכה במנהרות דינמיות ברמת הפרוטוקול.

אבל הבעיה הגדולה היא שחייבים כתובת IPv4 ציבורית לצורך 6in4. בנוסף, השרתים של tunnelbroker.net לא יאפשרו לך להגדיר כתובת שחסומה לפינג (למרות שאפשר בספקים אחרים להשתמש בכזו כתובת למנהרת 6in4). לכן, למי שמאחורי NAT של הספקית השירות שלהם לא רלונטי.
 
R

rafid1

Active member
מנהל
לא הבנתי כיצד השירות ניתן חינם,כשרוחב פס עולה הרבה כסף בד"כ?

כי אין ביקוש רב בינתים, ומחר יתחילו לגבות כסף מכל שבויי הIP?...
 
eladts

eladts

New member
כי הם ספק גדול והכסף הזה זה גרושים בשבילהם

הרעיון זה להכשיר אנשים שיבינו ב-IPv6 ואז יקנו את השרותים המסחריים שלהם.
 
You must log in or register to reply here.

Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.

למעלה