Veřejná adresa?

[klasyc]

Ahoj, tenhle problém se netýká ani tak Linuxu, jako spíš routování obecně:

Mám doma server s veřejnou adresou a Apachem, dávám na to kamarádům fotky. Z většiny počítačů se na něj bez potíží připojím, ale několika kamarádům se tam prostě připojit nejde - ani dopingovat. Navíc tahle "problémová skupina" má stejného poskytovatele. Nevidím žádný důvod, proč by jejich ISP zakazoval právě moji adresu.

Napadá mě proto jediné vysvětlení: naši poskytovatelé mají stejného "globálního" poskytovatele internetu a teprve ten překládá tu moji slavnou adresu na veřejnou a funguje to jenom "zvenku" - tomu odpovídá i to, že já se ze serveru na jeho vlastní veřejnou IP adresu taky nedopinguju.

Pokud by to tak opravdu bylo, musí existovat nějaká IP adresa, kterou mám ve chvíli kdy paket přechází mezi mím ISP  jeho globálním ISP a na tu by se mohli připojit mí kamarádi a sosat ty fotky. Otázka zní: lze to zjistit jinak než dotazem na ISP? (veřejná adresa se totiž nějak záhadně vytratila z faktury a tak se mi do toho nechce moc šťourat, protože je teď vlastně zadarmo...)

Děkuji vám všem, kteří jste dočetli až sem

[Martin Kiklhorn]

to co vypíše třeba http://ipv4.whatismyv6.com/
je stejné jako to co máte na rozhraní domácího serveru?

a rovnou napište jakou máte.

Něco jako poloveřejná adresa jak to popisujete neexistuje, maximálně chyby v routovacích tabulkách.

[klasyc]

Moje IP adresa od ISP je 192.168.68.9, což rozhodně není veřejná a ta se pak někde překládá na 82.113.53.xxx, kterou mi vypíše i výše zmíněná stránka. Jinak "podveřejná adresa" zní sice dost divně, ale na druhou stranu nevím, jak jinak by to mělo chodit. Myslel jsem, že je to tak, že má můj ISP server a za ním natuje všechny svoje klienty a má pro sebe jednu veřejnou adresu. Ten poskytovatel má zase většího poskytovatele a ten má nějakou svoji vnitřní organizaci sítě a podle ní přidělí tomu mému ISP nějakou adresu a teprve ten globální poskytovatel tu adresu nějakou natkou přeloží na tu finální veřejnou. Pokud by to bylo takhle a já jako klient požádal o veřejnou adresu, znamenalo by to, že můj ISP dostane od svého poskytovatele nějakou druhou adresu a tu by ten jeho poskytovatel pak překládal na tu moji veřejnou. No a ta adresa před tím překladem by byla ta, která mě zajímá...

Nicméně internet jsem nikdy ve velkém neposkytoval, takže se tady pohybuji na dost tenkém ledě. Prosím, opravte mě.

[Martin Kiklhorn]

Na jakou adresu se ti vaši známí k vám připojují?
zjednodušeně pokud máte adresu z těchto rozsahů:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
tak není veřejná.

Máte doma nějaký router (na jeho vnějším konci možná veřejnou máte) nebo jak jste vlastně připojený k internetu?

dejte výpis

Kód: [Vybrat]

ip a
ip r
To co popisujete je mnohonásobný NAT, to se používá jako nouzové řešení když máte hodně počítačů a jen jednu veřejnou adresu a všechny počítače chtějí na internet nějak přistupovat.
Internet jinak funguje na směrování (routování) paketů.

Zkusím to vysvětlit na analogii poštovních adres (takových těch na papírových dopisech)
Routování: Píše vám někdo dopis z USA na vaši adresu, napíše vaše jméno, adresu stát a PSČ.
Pošta to sesype do pytle spolu s ostatními dopisy mířícími do Evropy, tam to přesypou do pytle mířícího do CZ, tady to přesypou do pytle mířícího do vašeho města, pytel na vaši poštu, kabela do vaší ulice, vhození do vaší schránky. Analogicky každé "přesypání do jiného pytle" provádějí s IP pakety routery. Dopis dorazil až do vaší osobní schránky.
NAT: Teď si představte že se nejednalo o vaši poštovní schránku, ale o podnikovou podatelnu a namísto vašeho vašeho jména na adrese dopisu je napsáno podatelna (počet kolonek je omezený, takže tam může být napsáno buď vaše jméno nebo jméno podniku). Tam někdo dopis otevře, zjistí že jde o odpověd na dopis číslo jednací 1234, pracovnice se podívá do knihy odeslané pošty a zjistí že čj 1234 jste posílal vy a dá vám na něj tuto došlou odpověď.

Pokud by tam nebylo uvedeno že se jedná o odpověď na čj XY tak se podatelna zachová podle podnikových směrnic - buď dopis zahodí, nebo jej předá do určené kanceláře kde končí veškerá nedoručitelná pošta.

To byl NAT. Vy nejste adresovatelný napřímo z celého světa, ale alespoň vám chodí odpovědi na dopisy (IP pakety) které jste odeslal.

Při troše štěstí si můžete vyškemrat u providera aby jste byl jednou z těch kanceláří kde končí veškerá nedoručitelná pošta (přesměrování některého portu veřejné adresy na vaši lokální adresu) A nebo si zažádáte o veřejnou IP adresu (dostanete tedy vlastní poštovní schránku dole v baráku a nebude vám pošta chodit přes podatelnu, ale napřímo).

Všechno co nazývám pošta tak se bavím o té papírové.

Pochopeno?

Jestli máte otázku jak ty routery vědí kam to mají poslat dál tak je to také podobné jak to vědí poštovní úřady.

Pokud to budete chtít trochy techničtěji tak pohledejte výrazy "Autonomous systems, routing, CIDR, NAT, BGP, OSPF...)

[klasyc]

Díky za vysvětlení, ale tímhle způsobem jsem to chápal i předtím. Přesto si myslím, že můj ISP to má udělané nějak jinak - a to tak, že se veřejná IP na jeho serveru překládá na mojí IP, kterou mi přidělil.

honza@delfin:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:04:75:76:04:51 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.1/24 brd 192.168.10.255 scope global eth0
    inet6 fe80::204:75ff:fe76:451/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:e0:7d:75:5b:b2 brd ff:ff:ff:ff:ff:ff
    inet 192.168.68.9/24 brd 192.168.68.255 scope global eth1
    inet6 fe80::2e0:7dff:fe75:5bb2/64 scope link
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/[65534]
    inet 192.168.30.1 peer 192.168.30.2/32 scope global tun0

honza@delfin:~$ ip r
192.168.30.2 dev tun0  proto kernel  scope link  src 192.168.30.1
192.168.68.0/24 dev eth1  proto kernel  scope link  src 192.168.68.9
192.168.30.0/24 via 192.168.30.2 dev tun0
192.168.10.0/24 dev eth0  proto kernel  scope link  src 192.168.10.1
default via 192.168.68.100 dev eth1  metric 100

Moje IP adresa je určitě veřejná - není to "jen přesměrování některých portů" - a nebo je, ale náhodou mi povolil http, ssh, ftp a openvpn, protože všechny tyto služby mi bezproblémů fungují - opravdu jedinou výjimkou jsou ti dva kamarádi. Zajímavé je - jak jsem psal - že mi nejde ping na moji vlastní veřejnou adresu - jako kdyby v síti ISP žádný router o té veřejné adrese nevěděl, což si vysvětluju něčím takovým, jak jsem psal výše.

[Martin Kiklhorn]

Máte doma nějaký router (na jeho vnějším konci možná veřejnou máte) nebo jak jste vlastně připojený k internetu?

[klasyc]

No mám na střeše mám anténu na wifinu, na půdě nějakýho ovislinka - to rozhodně router není, má jenom jednu adresu a za ním mám svůj server s veřejnou adresou a teprve za ním mám napojenej zbytek domácí sítě

[Martin Kiklhorn]

Jestli ty výpisy jsou z toho serveru o kterém se stále bavíme jako "ten s veřejnou IP" tak vás musím zklamat - na jeho rozhraní žádná veřejná adresa není.
Z výpisů vidím že na internet máte kabel z eth0 (192.168.68.9) s tím že nejbližší router má adresu 192.168.68.100
- to je buď ten ovis jako router a 192.168.68.100 je jeho adresa,
nebo ovis je v režimu bridge a adresa 192.168.68.100 patří nějakému jinému zařízení až za ovisem který je průchozí.

Vzhledem k problémům jaké popisujete

problémová skupina má stejného poskytovatelke a nemůžete pingnout na svoji veřejnou

si jsem na 99% jistý že poskytovatel používá speciální případ a to NAT 1:1 kdy veřejnou adresu překládá 1:1 na adresu z privátního rozsahu - což mj jsou všechny 192.168... (tzn příchozí a odchozí porty zůstávají zachovány, mění se jen zdrojová a cílová adresa z privátní (192.168.68.9) na veřejnou (82.113.53.xxx) a naopak - podle směru provozu)

problémová skupina se připojí na vaši privátní adresu, tedy 192.168.68.9 ? Pokud ano (znamenalo by to že jste ve stejné vnitřní síti), tak ať používají tuto adresu, pokud by se měli připojovat i na veřejnou adresu tak řešením by bylo aby na GW (192.168.68.100) byl zprovozněn DNAT/SNAT, pak by to fungovalo i na veřejnou adresu z vnitřní sítě - s tím ale nic neprovedete - věc providera.

Jen tak na okraj: Další věc která mne napadá jak být přístupný ze světa je zprovoznění IPv6 tunelu třeba od http://tunnelbroker.net/
tam dostanete veřejnou bez problémů s nějakými NATy, ale jen IPv6 a to dnes kromě Asie zatím ještě mnoho lidí nepoužívá. (A pokud vím tak kromě Cesnetu ani nativní IPv6 připojení od nikoho jiného u nás nedostanete, takže zbývají jen tunely). Osobně jsem tak vyřešil jak mít všechny počítače v domácnosti přístupné zvenku, každý na své adrese.

Víc variant jak to upáchat svépomocí bez kontaktování providera mne nenapadá.

[klasyc]

Díky za odpověď, myslím si, že si konečně rozumíme - s metodou NAT 1:1 souhlasím, jinak by to asi udělat nešlo. Mám ještě jednoho známého, který má přímo stejného poskytovatele, a ten se ke mě dostane přímo přes adresu ..68.9, ti další dva jsou bohužel o něco dál a tahle adresa jim nefunguje.

Na druhou stranu, můj ISP má zase svého poskytovatele, což je tuším inway. Nepředpokládám, že by ta natka šla přes dva poskytovatele. Přišlo by mi logičtější, kdyby ta natka skončila někde na posledním serveru mého poskytovatele, kde by se přeložila na nějakou dočasnou adresu, a ten inway by překládal tu úplně veřejnou adresu na tu dočasnou. Potom by se mělo nechat dostat na můj server i přes tu "dočasnou" adresu, ne?

[Tomáš Pikálek]

Další věc která mne napadá jak být přístupný ze světa je zprovoznění IPv6 tunelu třeba od http://tunnelbroker.net/

Jak koukám, vypadá, že tomu dost rozumíte, tak bych se také rád zeptal a na nový topic to není.
Mám doma PC za několika NATy a chtěl bych ovládat (stačí SSH) jiné PC, které je také za několika NATy.
Chápu dobře, že když na obou PC zprovozním IPv6 tunel, bude to fungovat prakticky stejně, jako by měly klasickou veřejnou IP (s tím rozdílem, že budu muset použít tu IPv6)?
Musím to zprovozňovat na obou PC nebo stačí na tom, které chci mít vzdáleně dostupné?
Píšete, že toto řešení také používáte. Jak je na tom s rychlostí?

[Martin Kiklhorn]

Tunel na obou, vzhledem k NATum použijte skriptík ip route 2 nebo jak je to nazváno na tunnelbroker, namísto vaší "veřejné" kterou to předepíše tam dejte vaší privátní adresu. Při troše štěstí všechny NAT udělátka propustí protokol 41 až k vám. test fce třeba na http://whatismyv6.com

edit:// musel jsem odejít, takže druhá část:

Pokud by to neprošlo takto jednoduše (a hlavně zakončené na velmi rychlou IPv6 páteř (10G+) v blízkém okolí - Frankfurt, Paříž a po silných linkách i do USA) tak stále není vůbec nic ztraceno, speciálně pro jednoduché protunelování NATů se používají vlastní "drivery" dalších brokerů, třeba AYIYA od SixXS a mnoho dalších.

Určitě se podívejte na naprosto skvělou knihu o IPv6 od Pavla Satrapy, ke stažení by měla být někde na http://nic.cz

Pokud budete chtít na ty své IPv6 rozsahy navázat i DNS záznamy tak se mi osvědčil pro domény .eu dánské freeDNS servery http://gratisdns.dk (není v angličtině, takže se držte  - trochu dost mi pomohl google translator) kde všechny ns servery mají IPv4 i IPv6 adresy viz třeba

Kód: [Vybrat]

dig kiklhorn.eu
Pokud tohle nepomůže klasycovi (ale myslím že by mohlo) tak téma rozdělíme a budeme se tam věnovat jen IPv6, stejně jsem chtěl psát nějaké zkušenosti. Třeba radvd nahozený na domácím serveru na kterém končí tunel advertisuje přidělěný routed/64 rozsah zbytku domácích počítačů a ty si bez zásahu automaticky nakonfigurují IPv6 adresy které jsou také automaticky veřejné. (Linux, Vista, WindowsMobile 6 samy, WXP a W2K se musí trochu pomoci

Kód: [Vybrat]

ipv6 install.  Pak veškerý IPv4 provoz funguje stejně jako před tím přes NATy a všechen IPv6 provoz je cpaný přes tento domácí server do tunelu a také všechny domácí počítače jsou odkudkoliv z internetu dostupné po IPv6.

[Petr Merlin Vaněček]

Podotknu a zdůrazním co psal kiklhorn, že pouze ipv6 se pak chová jako "veřejná" adresa - veškerý ipv4 provoz jde opět přes NAT.

[Milhouse]

Jen si značím vlákno...

[truhlik]

Jen si značím vlákno...

Na tohle tu chybi presne nejaka funkce. Upozorneni na mail nechci. Chci aby se mi zobrazilo vlakno stejne jako ve kterem mam prispevek, prestoze bych ho tam nemel.