Gå til innhold

Benytter Altibox seg av Carrier Grade NAT?


Anbefalte innlegg

8 hours ago, arne22 said:

Her var det jammen mye super interessant informasjon. Mange takk!

Sannheten er jo den at jeg aldri har testet ut IPv6 i noe særlig omfang. Man er jo litt bortskjemt med den gamle IPv4 teknologien som jo egentlig for en stor del er utrolig enkel og robust.

Hva framtiden vil bringe av utvikling, "i det store og det brede" det er det jo bare framtiden selv som vet, men det er jo klart at man bør lære seg den forholdsvis nye IPv6 teknologien (Ny i forhold til utbredelse og "market share").

Synes at det er litt problematisk å finne gode online læringsressurser for en litt mer helhetlig praktisk anvendelse av IPv6. Det har lett for å handle om adressering og grunnleggende egenskaper ved IPv6, og så stanser det der, mens at det gamle rundt IPv4 går i dybden "i alle retninger".

Går ut i fra at det ikke kan ha så mye for seg å sette opp et LAN basert på IPv6, hvis man ikke har tilgang til Internett med IPv6.

Skulle tro at en "farbar vei" er å sette opp et par virtuelle servere og/eller desktop'er i nettskyen, for eksempel MS Azure, og så teste ut på den måten?  (Via RDP eller lignende.)

Da kan man jo ha tilgang til "full IPv6 funkjsonalitet og egenskaper" selv om man rent fysisk befinner seg bak en CGNAT. (Og så får man også dratt dette innlegget inn under rammene av, og faktisk midt i senter av det som denne tråden faktisk skulle handle om, he, he...)

... Men så var det dette med RDP fra IPv4 til IPv6 .. Kanskje det enkleste vil være å sette opp virtuell Windows maskin i nettskyen med to nettverksadaptere, en for IPv4 og RDP og en for IPv6 og all annen internettrafikk??

.. Eller med en "RDP server in the midle", Teamviwer eller lignende, så skulle det vel også fungere med "native IPv4 i den ene enden" og "native Ipv6 i den andre enden"?

Dersom ikke din isp tilbyr ipv6 så kan du få det via tunell til hurrican electric.

https://tunnelbroker.net/

 

Lenke til kommentar
Videoannonse
Annonse
9 hours ago, arne22 said:

Synes at det er litt problematisk å finne gode online læringsressurser for en litt mer helhetlig praktisk anvendelse av IPv6. Det har lett for å handle om adressering og grunnleggende egenskaper ved IPv6, og så stanser det der, mens at det gamle rundt IPv4 går i dybden "i alle retninger".

Det er naturligvis mer dokumentasjon rundt v4.  Jeg er heller av oppfatningen av at det finnes mye dybdeinformasjon om v6, men mye av det er alt for mye i dybden. :)  Lettfattelige "getting started" guides er det ikke så mange av og det gjør det nok også vanskeligere å komme i gang.  Har måttet mentalt sammenstille en del ulike "slik gjør du det for å komme i gang på ISP X" guider for å få en ok forståelse.

9 hours ago, arne22 said:

Går ut i fra at det ikke kan ha så mye for seg å sette opp et LAN basert på IPv6, hvis man ikke har tilgang til Internett med IPv6.

Enig. Dette synes jeg fort blir litt komplekst. I et lab miljø med en gateway som gir 6-4 kanskje. Mange applikasjoner vil først forsøke  v6 dersom det finnes en AAAA record (v6 varianten av en A record) i DNS og den har en lokal v6 adresse. Dette medfører at ting må time ut på v6 før den faller tilbake til v4. 

Det kan være verdt å sjekke om du har muligheten hjemme hvis du vil teste litt.  Overraskende mange ISP har dette nå. 

9 hours ago, arne22 said:

Da kan man jo ha tilgang til "full IPv6 funkjsonalitet og egenskaper" selv om man rent fysisk befinner seg bak en CGNAT. (Og så får man også dratt dette innlegget inn under rammene av, og faktisk midt i senter av det som denne tråden faktisk skulle handle om, he, he...)

Hehehe.  Har tenkt tanken på å be mod om å splitte ut, men orginaltråden var løst - altibox leverandører benytter cgnat. Samtidig var det en god diskusjon som fulgte.  

 På den annen side kan "vanlig NAT" også skape problemer med PS4, her finnes det utallige tråder om nat "type 1 og 2" fra ps4 nettverksmenyen.  Er ikke så engasjert i konsoller, men kan det være at PS4 ønsker upnp igd? Samt så kunne det vært nyttig å etablere om @G faktisk er bak cgnat for å hjelpe å løse X i X-Y problemet…

9 hours ago, arne22 said:

... Men så var det dette med RDP fra IPv4 til IPv6 .. Kanskje det enkleste vil være å sette opp virtuell Windows maskin i nettskyen med to nettverksadaptere, en for IPv4 og RDP og en for IPv6 og all annen internettrafikk??

Liten implementasjonsdetalj - v4 og v6 er adresser på samme nettverksadapter, så her kan du sette opp en adapter med begge deler og kjøre på som vanlig. Det hjelper for å redusere kompleksiteten litt.

Lenke til kommentar
2 hours ago, process said:

Liten implementasjonsdetalj - v4 og v6 er adresser på samme nettverksadapter, så her kan du sette opp en adapter med begge deler og kjøre på som vanlig. Det hjelper for å redusere kompleksiteten litt.

Takker for fenomenalt bra informasjon. Da har vi kanskje løst noe av trådens tema: Hvordan komme i gang med unik IPv4 og unik IPv6 adresse fra en posisjon bak CGNAT?

Svar: Man oppretter bare en en virtuel desktop i nettskyen og så konfigurere man dobbelt med IPv4 og IPv6 og så logger man seg på med RDP eller lignende. Alle problemer løst 🙂 

(Med mindre man driver med spill eller noe slik som ikke passer for desktop i nettskyen.)

Endret av arne22
  • Hjerte 1
Lenke til kommentar
2 hours ago, bmork said:

Du bør se deg om etter en annen ISP hvis du både mangler native IPv6 og sitter bak CGNAT....

Denne tråden handler jo om at Altibox skal ha begynt å levere denne type Internettilkobling.

Regner med at jeg vil teste ut en virtuell desktop i løpet av den nærmeste framtid og at det vil fungere både i forhold til "fast IPv4 og fast IPv6."

Har egentlig bare bruk for IPv6 for testing og læring, en gang i blant, så løsningen med virtuell desktop bør fungere ok for meg. (Hvis det nå virker da.)

Endret av arne22
Lenke til kommentar

At endel spilletjenester brekker er nok ikke usannsynlig, den bransjen har jo ignorert IPv6 alt for lenge og håpet at det skulle gå over av seg selv. Problemet er jo uløselig i lengden, Altibox kunne ha analysert bruksmønsteret og funnet store mengder kunder som aldri noensinne ville merke CGNAT og flyttet over disse og på den måten fått frigjort mye IPv4, men skal man bruke sære ting fremover må man nok punge ut for IPv4.

Endret av agvg
Lenke til kommentar

I romjulen satte han seg ned med sønnen sin for å sette opp spillkonsollen Nintendo Switch. Men uansett hva den IT-utdannede mannen gjorde, så gikk det ikke å spille online.

Flere timer feilsøking fulgte, men uten å oppnå kontakt med server. Da klaget han sin nød til bredbåndsleverandøren.

– Jeg kontaktet Altibox og lurte på om de hadde en brannmur som lukket portene vi trengte, siden alt var åpent på min side. De innrømmet at de hadde lukket porter for alle og kun noen porter var åpne, forteller kunden. 

Bergen Fiber eier kablene, men internettjenesten er levert av Altibox, som med over 800.000 abonnenter er Norges største leverandør av fiberbredbånd. Selskapet svarer lenger ned.

– Kan ikke unnskyldes

Kunden fikk beskjed at hvis man trenger å åpne porter utover noen standardporter, så er ikke det mulig – med mindre man bestiller fast IP-adresse. Det koster for tiden 89 kroner i måneden, pluss 200 kroner i etableringsgebyr. 

Problemet skyldes mangel på IPv4-adresser, opplyser kundeservice i dialogen som vi er forelagt, men kunden kjøper ikke den forklaringen.

– Hvorfor må jeg betale ekstra for et åpent nett. Jeg liker ikke at dere skal bestemme hva jeg skal bruke abonnementet til. Nå sperrer dere for deler av nettet. Det å stenge halve internettet og skylde på sikkerhet og manglende IPv4-adresser er ikke noe man burde oppleve. Dette er svært alvorlig og kan ikke unnskyldes, raser kunden.

Skalker lukene

Problemstillingen har ingenting med IPv4 og IPv6 å gjøre, det bør være uproblematisk å la kundene styre portene selv, mener han.

Men det vil ikke være forsvarlig at enkeltkunder «får styre fritt med portviderekobling», er blant motargumentene han møter, viser dialogen med kundeservice.

De mener at kundene ikke kan åpne porter etter eget forgodtbefinnende, for det vil påvirke alle som deler samme offentlige IP-adresse.

Altibox bekrefter at de siden våren 2021 har innført «Carrier Grade» Network Address Translation (CGNAT) for flere av kundene sine.

Hittil omfatter det om lag 70.000 kunder.  Se faktaramme for en kort innføring om NAT.

– Majoriteten merker ingen forskjell

Andreas Veggeland er kommunikasjonssjef i Altibox. Han viser til at antall abonnenter har vokst og tilgangen på IPv4-adresser er en globalt begrenset ressurs.

– Det lar seg ikke lenger gjøre å gi alle abonnenter en unik IPv4-adresse. Altibox benytter derfor i likhet med flere andre internasjonale ISP-er såkalt carrier grade NAT (CGNAT) hos noen av våre kunder for å sørge for at alle som ønsker det, får tilgang til internett, sier Veggeland til Digi.

CGNAT innebærer at flere kunder deler samme offentlige IPv4-adresse. Samtidig har Altibox jobbet lenge for å innføre den nyere IPv6-protokollen, som ikke har samme begrensning på antall tilgjengelige adresser og har siden 2020 hatt støtte for IPv6 i vårt nett, fortsetter han.

– Majoriteten av abonnentene opplever ikke noen forskjell mellom unik og delt IPv4-adresse, og de fleste spill og spillkonsoller støtter IPv6 og fungerer også ved bruk av CGNAT.

I noen tilfeller kan det imidlertid være at en tjeneste på internett ikke støtter IPv6 eller at brukerutstyret ikke støtter IPv6. Dersom tjenesten samtidig krever portviderekobling og baseres på peer-to-peer, vil det være nødvendig å bestille tilvalgstjenesten fast IP-adresse, fastholder kommunikasjonssjefen.

Andreas Veggeland er kommunikasjonssjef i Altibox. Andreas Veggeland er kommunikasjonssjef i Altibox. Foto: Elisabeth Tønnessen/Lyse

Kan gi trøbbel for P2P

Altibox hevder at de ikke har fått mange kundehenvendelser om denne problemstillingen. De har heller ikke rukket å gjøre noen inngående testing.

Kjapp research på nettet indikerer likevel at spillkonsollen kunden har prøvd å sette opp, kan oppleve problemer med CGNAT.

– Det kan se ut til at Nintendo Switch i stor grad ikke investerer i egne servere og i stedet baserer sin online multiplayer-plattform på peer-to-peer. Dette vil sannsynligvis kunne gi utfordringer for kunder med CGNAT, sier Veggeland og sender ballen videre til Nintendo.

Digi har kontaktet Bergsala, som er Nintendos distributør i Norge, for en kommentar, men har ikke fått svar innen publisering. Saken blir oppdatert om vi hører fra dem.

Kjøper inn spillkonsoll for å teste

Digi ber Altibox utdype om kunder bak CGNAT-oppsettet vil kunne få trøbbel med å bruke peer-to-peer-tjenester helt generelt, eller om de mener at det er noe spesielt med Nintendos P2P-implementering.

– CGNAT blokkerer for inngående trafikk mot kunden, noe som igjen gjør at det ikke er mulig å sende trafikk direkte til kunden – uten at kundens utstyr først selv har etablert en sesjon mellom utstyret og en tjener. Det finnes teknologier som gjør dette mulig, kalt PCP (Port Control Protocol), men Altibox har valgt å ikke ta i bruk denne og heller fokusere på å gjøre IPv6 tilgjengelig for alle våre kunder, sier Andreas Veggeland.

– Selv om vi hadde gjort PCP, så ville dette ikke løst alle problemer, og kundene ville kun hatt tilgang til et begrenset utvalg av de 65.535 portene som er tilgjengelige i IP-protokollen. Kundene måtte ha delt på disse, og kun én kunde per CGNAT utsideadresse kunne brukt en port. Det vil si kun én kunde per IP ville hatt mulighet til å ha en privat webserver. PCP ville heller ikke kunne brukes av kunder som hadde satt hjemmesentralen sin i bromodus.

– Bruk av P2P kan føre til problemer hvis man ikke har en server/tjener som står som en «mellommann» for å sikre at man får etablert kommunikasjon mellom to enheter.

Hvilke valg den velkjente japanske spillkonsollprodusenten har gjort her, vet de foreløpig for lite om, men Veggeland forsikrer at de vil undersøke saken nærmere.

– Vi vil anskaffe en Nintendo Switch for å teste og gjøre ytterligere undersøkelser av dette, avslutter kommunikasjonssjefen i Altibox.

  • Liker 2
Lenke til kommentar

 

Vi har Bergen Fiber i boligen i byen og jeg sjekket nettopp at vi ikke er berørt av CGNAT (enda). IPv6 ser ut til å fungere greit også. Får følge med om de endrer til CGNAT. Per nå tror jeg ikke det vil få store konsekvenser for vår bruk siden vi ikke spiller dataspill eller har et særlig komplisert hjemmenettverk i den boligen, men håper uansett vi unngår CGNAT enn så lenge siden det sikkert vil få noen konsekvenser jeg ikke har tenkt over enda. 

Endret av Hedonism
Lenke til kommentar
15 hours ago, agvg said:

Kunden fikk beskjed at hvis man trenger å åpne porter utover noen standardporter, så er ikke det mulig – med mindre man bestiller fast IP-adresse. Det koster for tiden 89 kroner i måneden, pluss 200 kroner i etableringsgebyr. 

Det er vel litt uklart med hva man mener med "å åpne porter".

De fleste NAT routere med enkelt oppsett har jo alle porter åpne for trafikk satt opp fra innsiden og ut, og så åpner NAT routern dynamisk for returtrafikken. For trafikk som initiereres fra utsiden, så er det motsatt. NAT-routeren er stengt, og fungerer på et vis som en "enveisventil".

I prinsipp så skal dette fungere likt med CGNAT som er hva man kan kalle en "dobbelnat" eller to NAT routere koblet i serie. I praksis aå er det vel slik at i noen sammenhenger, og for visse anvendelser, som for eksempel visse spill, så fungerer det ikke med CGNAT og dynamisk åpning for returtrafikk.

Når man abonerer på " en fast ip", så har man jo i utgangspunktet ikke "åpnet for noen flere porter", men man har en "enkeltnat" i stedet for en "dobbelnat" der "mekanismen for automatisk åpning for returtrafikk" fungerer bedre. I prasis så betyr bare "fast ip" i første omgang at "CGNAT mekanismen" er koblet ut.

Abonerer man på en fast IP, og så setter opp en "portforwarding", da er man over i noe annet. Da åpner man opp for trafikk som initieres og settes opp fra utsiden. (Og så finnes det automatiske scannere på internett som melder i fra til hackermiljøene at nå er det åpnet en inngående port på ip x.x.x.x port x, nå er det bare å sette i gang å angripe, slik at det å åpne for trafikk initiert fra utsiden ikke er helt ufarlig.) 

Hvis man bare skal ha den "automatiske mekanismen" får åpning for returtrafikk til å fungere, så åpner man egentlig ingen porter, man bare sørger for en "enkeltnat" som medfører at den automatiske åpningen for returtrafikk fungerer 100%.

Slik fungerer det for IPv4 og CGNAT og NAT, men hvordan det tilsvarende fungerer for IPv6, det er ikke så enkelt å ha en helt detaljert oversikt over. Sikkerhetsmessig, så fungerer IPv4 meget bra, og det er egentlig ganske enkelt å konfigurere og ha "full kontroll" på det hele.

Appropos spørsmål som var stilt et sted over. Hva kan man bruke en "packet sniffer til"? Man kan for eksempel gå inn i den enkelte "datapakke" og se på om "flaggene" er satt for trafikk initiert fra innsiden, eller det dreier seg om trafikk initiert fra utsiden, eller "spoofede" (forfalskede) pakker fra en hacker som forsøker å komme forbi "mekanismene" for automatisk åpning av returtrafikk i NAT routeren. (Når det dreier seg om IPv4). Hvis man skaffer seg fast ip og åpner for trafikk initiert fra usiden, ved å sette opp "port forwarding" så kan man også bruke packetsnifferen, til å hente ut detaljer omkring hvordan hackerangrepene blir utført, så snart som disse kommer i gang.

Endret av arne22
Lenke til kommentar
31 minutes ago, arne22 said:

Det er vel litt uklart med hva man mener med "å åpne porter".

De fleste NAT routere med enkelt oppsett har jo alle porter åpne for trafikk satt opp fra innsiden og ut, og så åpner NAT routern dynamisk for returtrafikken. For trafikk som initiereres fra utsiden, så er det motsatt. NAT-routeren er stengt, og fungerer på et vis som en "enveisventil".

I prinsipp så skal dette fungere likt med CGNAT som er hva man kan kalle en "dobbelnat" eller to NAT routere koblet i serie. I praksis aå er det vel slik at i noen sammenhenger, og for visse anvendelser, som for eksempel visse spill, så fungerer det ikke med CGNAT og dynamisk åpning for returtrafikk.

Når man abonerer på " en fast ip", så har man jo i utgangspunktet ikke "åpnet for noen flere porter", men man har en "enkeltnat" i stedet for en "dobbelnat" der "mekanismen for automatisk åpning for returtrafikk" fungerer bedre. I prasis så betyr bare "fast ip" i første omgang at "CGNAT mekanismen" er koblet ut.

Abonerer man på en fast IP, og så setter opp en "portforwarding", da er man over i noe annet. Da åpner man opp for trafikk som initieres og settes opp fra utsiden. (Og så finnes det automatiske scannere på internett som melder i fra til hackermiljøene at nå er det åpnet en inngående port på ip x.x.x.x port x, nå er det bare å sette i gang å angripe, slik at det å åpne for trafikk initiert fra utsiden ikke er helt ufarlig.) 

Hvis man bare skal ha den "automatiske mekanismen" får åpning for returtrafikk til å fungere, så åpner man egentlig ingen porter, man bare sørger for en "enkeltnat" som medfører at den automatiske åpningen for returtrafikk fungerer 100%.

Slik fungerer det for IPv4 og CGNAT og NAT, men hvordan det tilsvarende fungerer for IPv6, det er ikke så enkelt å ha en helt detaljert oversikt over. Sikkerhetsmessig, så fungerer IPv4 meget bra, og det er egentlig ganske enkelt å konfigurere og ha "full kontroll" på det hele.

Konsoller og annet åpner porter på samme måte som port-forwarding for trafikk initiert i begge retninger. Dette oppnås ofte automagisk av unpn igd - hvor programvaren på PCen kan åpne porter i routeren og skru på NAT til seg selv. 

Dette fungerer naturligvis ikke med CGNAT ettersom det også må settes opp en NAT regel på neste NAT lag og den offentlige ip adressen deles av flere. 

Hvis vi tenker netfilter er dette nesten likt med ip6, du beholder FORWARD regelen, men du dropper -j DNAT regelen i PREROUTING. Altså ingen omskriving av destinasjon. Sånn sett en forenkling.

NAT og brannmur er separate konsepter, men dette blir mer tydelig i en verden man ikke trenger å forholde seg til NAT 🙂

Ps: tror jeg kom i skade for å si at du beholder INPUT reglene lenger opp i tråden, men mente FORWARD.

Edit: for å presisere, dette er ikke det samme som conntrack modulen gjør med ESTABLISHED, RELATED for returtrafikk. 

Edit2: conntrack benyttes også på samme måte med v6 for å få "enveis" trafikk.

Endret av process
  • Liker 1
Lenke til kommentar
15 minutes ago, process said:

Konsoller og annet åpner porter på samme måte som port-forwarding for trafikk initiert i begge retninger. Dette oppnås ofte automagisk av unpn igd - hvor programvaren på PCen kan åpne porter i routeren og skru på NAT til seg selv. 

Det har du helt rett i. Pleier bestandig å deaktivsere UPnP. Dette kan jo være aktivsert eller deaktivisert i en NAT router.

Det er jo en slags "automatisk portforwarding" som kan fungere med NAT men ikke CGNAT.

Synes at UPnP er såpass sikkerhetsmessig uakseptabelt i bruk, at jeg glemte i farta, at det i det hele tatt finnes.

Rent sikkerhetsmessig så skal man faktisk ikke se bort i fra at CGNAT faktisk medfører en del fordeler., hvor fraværet av UPnP er en av dem.

Endret av arne22
  • Liker 1
Lenke til kommentar
arne22 skrev (13 minutter siden):

Det har du helt rett i. Pleier bestandig å deaktivsere UPnP. Dette kan jo være aktivsert eller deaktivisert i en NAT router.

Det er jo en slags "automatisk portforwarding" som kan fungere med NAT men ikke CGNAT.

Synes at UPnP er såpass sikkerhetsmessig uakseptabelt i bruk, at jeg glemte i farta, at det i det hele tatt finnes.

UPNP er jo en forutsetning for og få ett fungerende og brukervennlig nett, paranoia har liten hensikt i ett hjemmenett hvor risiko er tilnærmet null.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...