Gå til innhold

Benytter Altibox seg av Carrier Grade NAT?


Anbefalte innlegg

Videoannonse
Annonse
20 minutes ago, Musefella said:

Jeg mistet IPv6 når de gikk over til CGNAT

Jeg har også mistet IPv6 noen ganger ifm diverse arbeid i nettet. Det har alltid kommet tilbake igjen etter en del trøbling og feilmelding. Jeg gjetter på at dette er en feil de sliter med generelt og at den ikke har noen direkte sammenheng med CGNAT.

Det finnes ingen logisk grunn til at de skulle fjerne IPv6 med vilje.

Jeg er for inhabil til å kunne si noe mer om hva jeg synes om robustheten i designet deres 😉

  • Liker 1
Lenke til kommentar
bmork skrev (2 minutter siden):

Jeg har også mistet IPv6 noen ganger ifm diverse arbeid i nettet. Det har alltid kommet tilbake igjen etter en del trøbling og feilmelding. Jeg gjetter på at dette er en feil de sliter med generelt og at den ikke har noen direkte sammenheng med CGNAT.

Det finnes ingen logisk grunn til at de skulle fjerne IPv6 med vilje.

Jeg er for inhabil til å kunne si noe mer om hva jeg synes om robustheten i designet deres 😉

Er det så at det har vært utfordrerne og få opp IPv6 når man skal kjøre TV i samme nett, har forstått at dette har blitt brukt som ett forsvar for den relativt trege utrullingen av IPv6 hos endel ISPer.

Lenke til kommentar
arne22 skrev (2 minutter siden):

Ville nok tro at risikoen er vanligvis størst i hjemmedatanettverk og at fo eksempel mange "botnet" kjører mye "hjemmefra". 

https://www.techtarget.com/searchsecurity/definition/botnet

Konsekvensene kan nok bli større i et bedriftsnettverk.

Nå tar jeg heller en økt risiko enn og få konstant kjeft for at ett eller annet spill eller P2P ikke virker. kunne ha hivd opp en PfSense, skrudd på all logging og låst ned alt, man hva hadde jeg oppnådd?  Har en Unifi router og såpass kontroll at jeg ville antagelig ha oppdaget hvis noen PC var infisert med noe som generer trafikk. Jeg har surret med slikt og har interesse, for folk flest er målet at det bare virker og her bør dingseprodusentene ta tak i det, er sikker på at de kunne fikset det meste hvis viljen var der, Ipv4 krisen er varslet får mange herrens år siden. Og bygge ting uten absolutt IPv6 støtte er direkte latterlig. ISPene i norge er heller ikke akkurat noe forbilde, vi er ikke tet for og si det veldig pent.

Lenke til kommentar
47 minutes ago, process said:

Konsoller og annet åpner porter på samme måte som port-forwarding for trafikk initiert i begge retninger.

Men hr process, du som har greie på ting...

Denne tråden handler jo om Altibox som har begynt å brueke CGNAT for noen kunder, og da lurer jeg jo litt på: Er det noe mer som disse kundene kan gjøre med situasjonen, for å få alle tingene til å fungere slik som de ønsker?

En løsning det må jo være "fast IP", for da har man jo ikke lengre CGNAT, man har i stedet "god gammel nat".

En annen mulighet det skulle jo være å sette opp en VPN tunell med en unik global IP og så portforwarding inn gjennom tunellen, slik at klinenten blir tilgjengelig på Internett fra denne globake IP'en. 

Jeg er 100% sikker på at dette kan fungeremed manuell portforwarding, for det har jeg satt opp manuelt tidligere. (Tror det var OpenVPV som ble brukt og det tok litt lang tid å finne ut av.)

Spørsmålet blir jo da: Finnes det noen tilbydere av VPN tjenster som kan levere en unik global IP i kombinasjon med port forwarding? (Inn til klienten.)

Prøvde å google litt og har inntrykk av at tjenesten finnes, men det er vel ikke akkurat sikkert at det blir billigere enn "fast IP". 

(Og for VPN så er vi vel stadig vekk over i "gammel IPv4")

Endret av arne22
Lenke til kommentar
On 1/1/2023 at 3:28 AM, arne22 said:

NAT basert på IPV4 er mye enklere å, forstå, å sette opp og å konfigurere.

Nei, det er jo ikke sant. Tvert imot er det vanskeligere, fordi pakkeflyten ikke lenger er lineær, og headerene i pakken endrer seg etter hvor i nettverket det er. Konseptuelt er det vanskeligere å forstå også, fordi en brannmurregel vil være forskjellig alt etter om den blir evaluert før eller etter omskriving av destinasjon. Med IPv6 er source og destination uendret, og slik uklarhet vil ikke oppstå.

On 1/1/2023 at 3:28 AM, arne22 said:

Hvis man skal konfigurere og sikre en teknologi som man ikke helt forstår, så ligger det både kostnader og sikkerhetsrisiko i dette.

Løsningen på det er jo å lære seg IPv6. For privatmarkedet er løsningen at brannmurer by default dropper innkommende trafikk.

Quote

Hvis dette skal være "regningssvarende" så må fordlene med IPV6 i lokalnett oppveie kostander og risiko. Mitt inntrykk er at dette så langt ikke er tilfellet, slika t den naturlige utviklingstrenden vil være IPV6 i WAN/Internett og fortsatt IPV4 i lokalnett.

Hvordan ser du for deg at du skal få til det? IPv6 krever jo at du har IPv6 i lokalnettet også.

Mitt inntrykk er at du ikke forstår hverken IPv4 eller IPv6, og derfor tror at den måten du har lært fragmenter av er den beste måten å løse ting på.

  • Liker 1
Lenke til kommentar
On 1/2/2023 at 4:49 PM, arne22 said:

Tenker nok mest på noe i retning nettverk ut i fra Purdue modellen, men mange av disse prinsippene vil jo også være relevante fro andre typer nettverk også.

Hvordan tenker du at IPv6 er relevant for Purdue-modellen? Den forutsetter soner, og legger ikke til grunn noe om hva slags protokoller man bruker.

På dette nivået er IPv4 og IPv6 relativt like; begge er rutbare protokoller der man bruker brannmurer for å styre tillatt trafikk.

Det er ingen store forskjeller på IPv6 og IPv4 på sikkerhetsplanet. NAT er ikke sikkerhet; du må ha brannmurer for å styre trafikk. Det gjelder både IPv4 og IPv6.

On 1/2/2023 at 4:58 PM, arne22 said:

Kompleksiteten til IPV6 medfører rett og slett at en helhetilig risikovurdering blir mye mer komplisert, hvis IPV6 ligger til grunn for det bedriftinterne nettverket, og at det finnes flere "feilkilder", eller om man vil flere "angrepsvektorer".

Niks, kompleksiteten blir lavere. Grunnen til det er at man slipper NAT. Med NAT risikerer jeg at et untrusted nett plutselig kan sende trafikk som på grunn av NAT fremstår som det kommer fra et trusted nett! NAT skjuler nettverk og øker kompleksitet!

On 1/3/2023 at 7:47 PM, arne22 said:

Hvis man skal kunne den grunnleggende teorien for IPV6 fitrering, slik at man kan gjennomføre dette på en noenlunde sikker måte, hvilken bok eller hvilken referanse er det da man skal bruke?

Hva er det som er nytt med IPv6? Det er samme grunnleggende egenskaper ved protokollen, og de oppfører seg så godt som identisk. Husk at endringen er i IP. TCP er slik den var før, med samme handshake, portnummere også videre.

Igjen; det fremstår som du overdriver risikoen fordi du ikke har satt deg inn i det. Jeg vil foreslå at du trykker deg gjennom https://ipv6.he.net/certification/

Da får du en kul t-skjorte også om du greier det.

Lenke til kommentar
1 hour ago, barfoo said:

Mitt inntrykk er at du ikke forstår hverken IPv4 eller IPv6, og derfor tror at den måten du har lært fragmenter av er den beste måten å løse ting på.

Har da driftet internettservere i litt over 20 år sammenhengende. Alt sammen på IPv4. Så langt ingen problemer med det som går på nettverk og sikkerhet. Synes nok at det som kjører på IPv4 kjører ganske problemfritt. Har jo forsøkt å holde meg oppdatert gjennom disse 20 årene, men når det sommer til IPv6 så synes jeg ikke at det er så lett å finne kursopplegg som gir noen særlig god oversikt.

 

35 minutes ago, barfoo said:

Jeg vil foreslå at du trykker deg gjennom https://ipv6.he.net/certification/

Jo det kan da godt være at det er noe interessant her 🙂

Når det gjelder det som går det som går på risko og sikkerhet, så har jeg et forholdvis enkelt syn på saken. Det er det som de skriver om i Telenor sin sikkerhetsblogg: https://telenorsoc.blogspot.com/

Det er ikke alle beskrivelser som akkurat går i dybden, men hvis man følger med fortløpende og undersøker litt videre, så ser man jo hva det går i.

 

Endret av arne22
Lenke til kommentar
2 minutes ago, arne22 said:

Har da driftet internettservere i litt over 20 år sammenhengende. Alt sammen på IPv4. Så langt ingen problemer med det som går på nettverk og sikkerhet. Synes nok at det som kjører på IPv4 kjører ganske problemfritt.

Men kan du faktisk IPv4? Forstår du fordelen ved å unngå kompleksitet i form av NAT? At ting har fungert vil ikke si at det er spesielt gode løsninger; det vil si at det har fungert.

Jeg kom over et emne der du spurte om kameraer og VPN, og innleggene der antydet at du ikke forstår konseptene bak IP, men befinner deg i prosumer-segmentet, altså litt mer avansert enn mannen i gata, men et godt stykke igjen til større nettverk med flere subnet og rutere.

3 minutes ago, arne22 said:

Har jo forsøkt å holde meg oppdatert gjennom disse 20 årene, men når det sommer til IPv6 så synes jeg ikke at det er så lett å finne kursopplegg som gir noen særlig god oversikt.

Hva er det du savner?

Som sagt er ikke IPv6 revolusjonerende. Den største endringen er at adressene er 128 bits, versus 32 bits for IPv4. Litt nye mekanismer som SLAAC og Router Advertisement når det kommer til adresser, men sikkerhetsmessig så kan ikke jeg komme på relevante endringer. TCP er TCP slik det var på IPv4. Brannmurer vil derfor oppføre seg omlag likt.

Hurricane Electric sitt minikurs tar for seg forskjellene på IPv4 og IPv6, og forklarer det som er nytt på en relativt god måte. Om du setter av en del timer på det vil du forstå ruting, hvordan slaac fungerer, hvor DNS kommer inn i bildet også videre.

Lenke til kommentar
arne22 skrev (1 minutt siden):

Men nå var det vel Altibox og hjemmenettverk, dette egentlig handlet om?

Regner med at vi går mot reine IPv6 nett i hjemmet, i løpet av kort tid vil nesten alt støtte IPv6 og det er ikke sikkert ISP gidder kostnaden med og holde liv i utdaterte løsninger som IPv4.

Lenke til kommentar
48 minutes ago, arne22 said:

Men nå var det vel Altibox og hjemmenettverk, dette egentlig handlet om?

Ja, det jeg reagerer på er at du har såpass sterke meninger om IPv6 når du faktisk ikke forstår IPv6 - eller IPv4 for den saks skyld.

Å sikre et hjemmenett med IPv6 tilsvarende det som er standard for IPv4 er veldig enkelt: Det er å tillate all utgående trafikk, og blokkere all innkommende trafikk, og skru på statefull firewall slik at den tillater svar på utgående trafikk.

Det er nøyaktig samme brannmurregler som du bør ha med IPv4, med eller uten NAT. NAT er ikke brannmur.

Det sentrale poenget er at vi ikke kan overlate sikring av hjemmenettverk til sluttbrukere. De er ikke i stand til å ta informerte valg rundt sikkerhet, og bør heller ikke forventes å kunne det. Utstyrslevrandører og ISPer må ta det ansvaret for de. ISPer og utstyrslevrandører har kompetanse på IPv6, og har gjort nøyaktig det jeg skriver over.

 

Endret av barfoo
Lenke til kommentar
2 hours ago, arne22 said:

En løsning det må jo være "fast IP", for da har man jo ikke lengre CGNAT, man har i stedet "god gammel nat".

Man hadde ikke trengt fast ip, men en mulighet til å "reservere seg" mot CGNAT. CGNAT vil ikke være en issue for sikkert 80% av kundene (trolig mer). Altibox har nok IPv4-adresser til å dekke behovet til de siste 20 prosentene flere ganger og uten at det skal koste 200+89/mnd. KAnskje evt. en mer "symbolsk" sum for å evt. dekke inn kostnadene.

Prinsippielt er det kanskje et nettnøytralitetsspørsmpål her. I praksis må man betale ekstra for å bruke en del tjenester. 

Quote

En annen mulighet det skulle jo være å sette opp en VPN tunell med en unik global IP og så portforwarding inn gjennom tunellen, slik at klinenten blir tilgjengelig på Internett fra denne globake IP'en. 

Jeg er 100% sikker på at dette kan fungeremed manuell portforwarding, for det har jeg satt opp manuelt tidligere. (Tror det var OpenVPV som ble brukt og det tok litt lang tid å finne ut av.)

Spørsmålet blir jo da: Finnes det noen tilbydere av VPN tjenster som kan levere en unik global IP i kombinasjon med port forwarding? (Inn til klienten.)

Prøvde å google litt og har inntrykk av at tjenesten finnes, men det er vel ikke akkurat sikkert at det blir billigere enn "fast IP". 

(Og for VPN så er vi vel stadig vekk over i "gammel IPv4")

Her er du over kunnskapsnivået til de som bare vil at en del spill skal fungere.... Og så er det spørsmålet om hva det evt. gjør med latency i forhold til spillene. 

I utgangspunktet vil jeg ellers tro at svært mange av "de generelle VPN-leverandørene" baserer seg på å bruke CGNAT. 

  • Liker 1
Lenke til kommentar
1 hour ago, agvg said:

Problemet er at IPv4 adresser begynner og bli dyrt, hvor mange VPN løsninger vil kunne gi deg en egen IPv4 uten kostnad? Altibox kan jo løse hele greia mot en sum som tilsvarer en hamburger på CK. Vet ikke hvordan andre ISP ligger an på IPv4 fronten.

Kan godt være at flere ISP-er går i den retningen etter hver. Men det er da et par elementer som bør vurderes, med mindre man ikke har tenkt å tjene penger på å selge unna eksisterende IPv4-adresser som man har. CGNAT er ikke et problem for de aller fleste, men 200+89/mnd er ganske mye for å få ha en offentlig ipv4-adresse. "Kanskje" er det 10-20 prosent som hadde valgt å "reservere" seg mot CGNAT.

Lenke til kommentar
bmork skrev (2 timer siden):

Jeg har også mistet IPv6 noen ganger ifm diverse arbeid i nettet. Det har alltid kommet tilbake igjen etter en del trøbling og feilmelding. Jeg gjetter på at dette er en feil de sliter med generelt og at den ikke har noen direkte sammenheng med CGNAT.

Det finnes ingen logisk grunn til at de skulle fjerne IPv6 med vilje.

Jeg er for inhabil til å kunne si noe mer om hva jeg synes om robustheten i designet deres 😉

Kan godt være, men det endrer ikke at jeg mistet det samtidig som cgnat ble innført.

Var slik i flere måneder, var først når jeg fikk fast ip at jeg fikk ipv6 tilbake
Med cgnat så økte også responstiden ifra 4 til 7ms til vg.no m.m.. Samt man får jo ikke tilgang til enhetene sine utenfor lokalnettet.

Slik som plex, arlo lokallagring m.m.

Whatever, må dem så må dem. Men er uansett noe dritt.

Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...