Gå til innhold

Benytter Altibox seg av Carrier Grade NAT?

G

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
NULL

NULL

Skrevet
Skrevet
4 hours ago, agvg said:

Da får innholdsleverandørene tjenestene også komme seg over på IPv6, det går ikke akkurat i rasende tempo.

Skru av IPv4 og surf i vei, butter hardt mange steder for og si det veldig pent.

Det burde de. I hvert fall hvis de har tjenester som gir utfordringer med CGNAT. CGNAT er en realitet de må forholde seg til mange steder allerede.

Lenke til kommentar
arne22

arne22

Skrevet
Skrevet (endret)
On 8/23/2020 at 5:00 PM, HawP said:

Ipv6 ble opprinnelig laget uten NAT/port forwarding, og det er normalt heller ikke nødvendig, men det har etterpå visstnok kommet måter å gjøre det på for de som absolutt ønsker det i spesielle tilfeller.

Men det skulle vel ikke være umulig å gjøre det så banalt enkelt at man benytter IPV6 som global adresse, på utsiden av en (NAT) router, og så vanlig IPV4 på innsiden av (NAT) routeren?

Bruker ICE sin mobiltelefoniløsning, og her mener jeg at det periodevis har fungert med CGNAT og IPV6. Har periodevis ikke sett at det har kommet opp noe annet enn en IPV6 adresse som "global IP", samtidig som IPV4 har fungert som normalt på lokalnettet.

Hvis denne observasjonen eventuelt er riktig så betyr jo det at prinsippet med en global IPV6 adresse på utsiden av en NAT router og vanlige lokale IPV4 adresser, delt ut via DHCP, på LAN siden er såpass enkelt at det støttes som default, for eksempel av en mobiltelefon som NAT router med trådløst delt mobilnett.

Det var i alle fall en periode der jeg ikke kunne få fram noen global IPV4 adresse for mitt ICE nett, mener jeg, det kom bare opp data for IPV6.

IPV6 uten en NAT funksjon elelr behov for port forwarding, vil jo ellers være en nettverkløsning med 0,00 sikkerhet, komplett galskap så vidt jeg kan forstå det. Alternativt så må man sette opp en god nok brannmur, og da er man vel over i noe som er mer komplisert og større risiko for feil enn en NAT router.

Skulle man vurdere behov og kostnader opp mot hverandre, så skulle man vel tro at en NAT router med IPV6 som global adresse på utsiden og lokale IPV4 adresser på innsiden må bli det optimale valg, ut i fra en avveining mellom kostnad, funksjonalitet og sikkerhet?!

Hvilket lokalnett er det som ikke kan klare seg med denne adresse-rangen: 10.x.x.x/255.x.x.x (Det skulle jo gi litt over 16 millioner adresser til LAN og hvem har nå flere PC'er og nettbrett enn det?)

Det var faktisk min første tanke da jeg hørte om IPV6 for mange år siden, og jeg synes fortsatt at konseptet IPV6 på utsiden av en natrouter og IPV4 på innsiden, må bli det mest fornuftige valget.

Litt om ulike "dual stack" løsninger:

https://community.fs.com/blog/how-to-achieve-ipv4-and-ipv6-coexistence-dual-stack-or-mpls-tunnel.html

Hvis løsning slik som beskrevet over kan fungere, så skulle jo overgangen fra NAT-CGNAT-IPV6 bli ganske enkel for sluttbruker. Det er noe som ISP tenker på og fikser opp i til det hele fungerer. (Som før)

Endret av arne22
  • Liker 1
Lenke til kommentar
Musefella

Musefella

Skrevet
Skrevet
NULL skrev (7 timer siden):

Vi har vel i Norge ganske lenge vært litt bortskjemte her på en måte - i en del andre land har det i en god del år vært vanlig at man havnet bak CGNat.

Men så blir også IPv6 mer og mer utbredt.

Ja vi har nok vært for bortskjemte på mye rart her i Norge som gode lønninger, billig boliger, billig energi m.m.. Bra at dette har endret seg og at vi er nå på de fleste/alle områder er mer lik EU.

Lenke til kommentar
sk0yern

sk0yern

Skrevet
Skrevet
arne22 skrev (11 timer siden):

IPV6 uten en NAT funksjon elelr behov for port forwarding, vil jo ellers være en nettverkløsning med 0,00 sikkerhet, komplett galskap så vidt jeg kan forstå det.

Det er nok flere grunner til at det ikke er fullt så ille.
En av grunnene er egentlig som med IPv4, det er ikke null sikkerhet å koble til et gjestenett, der mange andre også er koblet til.
Lokal brannmur er en ting som mitigerer dette, eller andre innstillinger på lokal maskin som hindrer andre å koble til tjenester.

Ende-til-ende konnektivitet er jo nettopp en av de store fordelene til IPv6, å innføre NAT da, vil være et stort steg tilbake.

Lenke til kommentar
NULL

NULL

Skrevet
Skrevet
8 minutes ago, sk0yern said:

Det er nok flere grunner til at det ikke er fullt så ille.
En av grunnene er egentlig som med IPv4, det er ikke null sikkerhet å koble til et gjestenett, der mange andre også er koblet til.

Et gjestenett bør være satt opp med klientisolering. Da vil ikke klientene koblet til gjestenettet kunne kommunisere med hverandre. Og slikt er det i svært mange tilfeller, men det er også løsninger der gjestenett i praksis er et separat nett der alle koblet til kan "snakke med hverandre", men ikke med de som er tilkoblet hovednettverket. Men dette har da veldig lite med IPv4 å gjøre.

Hovedhensikten med et gjestenett blir at de som kobler til ikke skal nå enheter på hovednettverket. Ikke å beskytte enhetene på gjestenettet....

Quote

Lokal brannmur er en ting som mitigerer dette, eller andre innstillinger på lokal maskin som hindrer andre å koble til tjenester.

Usikker på hva du tenker på her når det gjelder lokal brannmur. På enhet eller ruter? Det vanlige er jo at det er en brannmur på ruteren, ja selv "konsumentruterne", der porter må åpnes hvis man direkte skal kunne ha inngående trafikk til en IPv6-adresse. Med det sagt, det skulle ikke overraske meg om det er en haug rutere som har helt elendige IPv6-implementasjoner på dette området.

Lenke til kommentar
NULL

NULL

Skrevet
Skrevet
9 hours ago, Musefella said:

Ja vi har nok vært for bortskjemte på mye rart her i Norge som gode lønninger, billig boliger, billig energi m.m.. Bra at dette har endret seg og at vi er nå på de fleste/alle områder er mer lik EU.

Men det klages gjerne over hvor dyrt bredbånd er og så pekes det på diverse andre land. I et marked med større konkurranse, blir det fort etter hvert til at ting vi ellers kunne sett var en del av løsningen internettleverandørene leverer, blir noe man må betale ekstra for. Fokuset blir fort å dekke behovet til 99%. Og det er da kanskje fair også at det betales ekstra for det om man har de litt mer spesielle behovene.

Ser ellers ikke relevansen med EU inn i dette. Men kanskje er det push fra EU som faktisk må til for at IPv6 kommer skikkelig på plass. Med det sagt, i hvert fall enkelte norske internettleverandører har vært langt framme og tidlig ute når det gjelder IPv6.

Lenke til kommentar
cacb

cacb

Skrevet
Skrevet
1 hour ago, NULL said:

Men kanskje er det push fra EU som faktisk må til for at IPv6 kommer skikkelig på plass. 

EU er nok historie før IPv6 er kommet skikkelig på plass. Er forøvrig enig med den posteren som sa det burde være mulig å ha eget IPv4 lokalnett med ekstern IPv6. 

Lenke til kommentar
agvg

agvg

Skrevet
Skrevet
arne22 skrev (21 timer siden):

IPV6 uten en NAT funksjon elelr behov for port forwarding, vil jo ellers være en nettverkløsning med 0,00 sikkerhet, komplett galskap så vidt jeg kan forstå det. Alternativt så må man sette opp en god nok brannmur, og da er man vel over i noe som er mer komplisert og større risiko for feil enn en NAT router.

 

Hvorfor tror du NAT er bedre? på IPv6 så har du en brannmur som sperrer like godt som en NAT, du må åpne de portene på den for og slippe data inn, akkurat som på NAT, så hva er forskjellen?

  • Liker 2
Lenke til kommentar
NULL

NULL

Skrevet
Skrevet
16 hours ago, agvg said:

Hvorfor tror du NAT er bedre? på IPv6 så har du en brannmur som sperrer like godt som en NAT, du må åpne de portene på den for og slippe data inn, akkurat som på NAT, så hva er forskjellen?

NAT er i utgangspunktet ikke noe man "foretrekker å ha", men ble en løsning ettersom man ikke hadde nok IP-er. Om man har her SPI FW og NAT som gjør at trafikken må initialiseres innenfra. FW-delen vil man fortsatt ha på IPv6 ja.

Men man blir nok "stuck" med dual-stack lenge, så lenge det fortsatt leveres produkter som ikke støtter IPv6, samt at det er tjenester som ikke støtter det. At tjenester ikke støtter det kan man komme seg rundt via "konverteringsløsninger", men at enheter overhode ikke støtter IPv6 på LAN-siden blir vanskeligere. 

 

Lenke til kommentar
sk0yern

sk0yern

Skrevet
Skrevet
NULL skrev (På 30.12.2022 den 12.51):

Et gjestenett bør være satt opp med klientisolering. Da vil ikke klientene koblet til gjestenettet kunne kommunisere med hverandre. Og slikt er det i svært mange tilfeller, men det er også løsninger der gjestenett i praksis er et separat nett der alle koblet til kan "snakke med hverandre", men ikke med de som er tilkoblet hovednettverket. Men dette har da veldig lite med IPv4 å gjøre.

Hovedhensikten med et gjestenett blir at de som kobler til ikke skal nå enheter på hovednettverket. Ikke å beskytte enhetene på gjestenettet....

Usikker på hva du tenker på her når det gjelder lokal brannmur. På enhet eller ruter? Det vanlige er jo at det er en brannmur på ruteren, ja selv "konsumentruterne", der porter må åpnes hvis man direkte skal kunne ha inngående trafikk til en IPv6-adresse. Med det sagt, det skulle ikke overraske meg om det er en haug rutere som har helt elendige IPv6-implementasjoner på dette området.

Enig i at det bør settes opp med klientisolering, men det er ikke så lett for hvermansen å vite noe om, når man kobler seg til et random gjestenett.
Med lokal brannmur mener jeg enheten ja, altså f.eks den lokale brannmuren på klienten.
Aner ikke hvordan IPv6 brannmuren er generelt på routere, og hvordan default-konfigurasjonen eventuelt er.
Altibox skriver følgene om egen router:

Sitat

Brannmur-funksjonalitet på IPv6

For å beskytte enheter på hjemmenettet, benyttes en såkalt brannmur. Brannmuren gjør at det ikke er mulig å nå IPv6-adresser fra internett. Det er ikke mulig å slå av brannmuren eller åpne porter på nåværende tidspunkt. Dersom dette er påkrevd, er det mulig å sette hjemmesentral i bromodus og benytte egen ruter som støtter mulighet til å nå IPv6-adresser fra internett.

Det er ikke så lenge siden de ikke hadde brannmur-funksjonalitet på IPv6, så vidt jeg husker.

Lenke til kommentar
agvg

agvg

Skrevet
Skrevet
sk0yern skrev (48 minutter siden):

Enig i at det bør settes opp med klientisolering, men det er ikke så lett for hvermansen å vite noe om, når man kobler seg til et random gjestenett.
Med lokal brannmur mener jeg enheten ja, altså f.eks den lokale brannmuren på klienten.
Aner ikke hvordan IPv6 brannmuren er generelt på routere, og hvordan default-konfigurasjonen eventuelt er.
Altibox skriver følgene om egen router:

Det er ikke så lenge siden de ikke hadde brannmur-funksjonalitet på IPv6, så vidt jeg husker.

Jo, men da var vel ikke IPv6 påskrudd som default? Altibox har jo kjørt 6rd lenge før de fikk det som default. Og at en ISP ikke her helt på er jo ikke noe argument mot IPv6 på ett generelt grunnlag.

Lenke til kommentar
Musefella

Musefella

Skrevet
Skrevet (endret)

Man kan ikke si at alle hos Altibox er på ipv6 når jeg mistet det samtidig som det ble innført CGNAT.

 

edit, hvis informasjonen på nettet er korrekt så koster en ipv4 adresse rundt 200kr. Å leie, 5 kr i mnden

Med tanke på de store begrensingene  cgnat gir for kunden, så ser jeg ingen gode argumentasjoner for dette når man betaler 500++ i måneden for internett.

Endret av Musefella
Lenke til kommentar
NULL

NULL

Skrevet
Skrevet
3 hours ago, sk0yern said:

Det er forresten krav både i USA og Norge nå, om at offentlige etater til en viss grad må støtte IPv6.
Husker ikke helt detaljene, men mener det fantes krav om at de enkelte enhetene i nettet også skulle ha en IPv6 adresse som måtte routes.

 

Så vidt jeg har forstått, skal offentlige kreve at løsninger de kjøper inn eller for utviklet støtter IPv6. 

De store pådriverne for IPv6, med en mer reell innvirkning, er vel ellers egentlig Apple og Google....

Lenke til kommentar
NULL

NULL

Skrevet
Skrevet
3 hours ago, sk0yern said:

Enig i at det bør settes opp med klientisolering, men det er ikke så lett for hvermansen å vite noe om, når man kobler seg til et random gjestenett.

Nettopp. Random gjestenett vet man ingenting om, klientisolering eller ikke. Gjestenett er ikke en sikkerhetsfunksjon for brukeren, men mer en sikkerhetsfunksjon for de som eier nettverket - dvs. du skal ikke la hvem som helst kunne være på nettverket som du har egne ting. F.eks. om det så er snakk om en liten bedrift eller et større selskap (og sistnevnte vil gjerne i tillegg ha en oppdeling av nettene sine på flere forskjellige møter)

Quote

Med lokal brannmur mener jeg enheten ja, altså f.eks den lokale brannmuren på klienten.

Men her bør det være på plass begge steder. Dvs. man har en brannmur på enheten og man har brannmur på ruteren. Men det overrasker meg ikke om det er en del som har tatt litt lett på dette.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...