Zpět na článek

Diskuze: Malé domácí síťování: modem, router, switch

Nejsi přihlášený(á)

Pro psaní a hodnocení komentářů se prosím přihlas ke svému účtu nebo si jej vytvoř.

Rychlé přihlášení přes:

petr_

Level 1

8. 2. 2018 23:06

Komentáře tohoto uživatele máš zablokované.

Je dobré už rovnou poskytovatele bombardova dotazy na IPv6, a urychlit tím konec pekla jménem NAT.

roob

Level 36

10. 2. 2018 07:14

Komentáře tohoto uživatele máš zablokované.

@petr_ ale potom si pre cely ipv4 internet na 1 IPadrese so vsetkymi klientami ISP.. nemozes si presmerovat porty a si v haji. Napr. na zahrade mam kamery a ten drbnuty ubiquiti cloud system je jedna velka katastrofa. Cez pripojenie priamo na IP s presmerovanim na NVR to funguje lepsie (nie vsak dokonale).

randomofamber

Level 17

9. 2. 2018 10:43

Komentáře tohoto uživatele máš zablokované.

@petr_ Můj poskytovatel dává IPv6 novým zákazníkům, ale pěkně to domrvil, takže pokud jste u UPC, tak s tím IPv6 počkejte co to jen jde...

Cituji vyjádření UPC k jejich "úžasnému" řešení IPv6:
Pokud má klient na modemu podporu dual stacku lite, dostane nově privátní IPv4 adresu a veřejný IPv6 prefix. V současné době běží testy, které budou během několika dnů ukončeny. Během následujících týdnů zahájíme provoz v režimu DS-Lite. Pro místní síť bude pomocí DHCPv6 přidělován prefix o délce /56, drátová síť i Wi-Fi pak dostanou pomocí SLAAC společný rozsah /64. Bohužel zatím nebude možné z routeru prostřednictvím DHCPv6 serveru dostat další rozsah pro zařízení v místní síti. Bohužel to neumožňuje firmware modemů. Zároveň nebude možné mít modem přepnutý do režimu bridge a routovat na jiném zařízení za ním.

Jejich výmluva "Bohužel to neumožňuje firmware modemů. Zároveň nebude možné mít modem přepnutý do režimu bridge a routovat na jiném zařízení za ním." je směšná, trapná a tragická zároveň. Oni mají dodavatele vlastních zařízení a nejsou schopni si dupnout, aby měli v pořádku firmware?!? Kdepak, je to jinak. Oni to samozřejmě umí, ale nechtějí aby někdy v budoucnu mohli udělat "super" akci "My vám teď poskytneme ještě lepší IPv6 než doposud."... Kdyby v místě mého připojení byla nějaká konkurence, tak už jsem dávno odešel, ale zatím je pro mě UPC bohužel jediná rozumná možnost.

Takže pokud chcete bombardovat své poskytovatele dotazy na IPv6, pak si dejte pozor zda zrovna ten váš poskytovatel z IPv6 neudělal hromadu sr**ek...

stavi

Level 1

9. 2. 2018 10:25

Komentáře tohoto uživatele máš zablokované.

@petr_ Mno, aby to pak neskončilo jako u mne (UnityMedia - UPC v DE), kdy provider sice nasadil IPv6, ale ne Dual Stack ale DS-lite, kdy IPv4 je stejně NATovaný.

https://www.ipv6.cz/Dual-Stack_Lite

petr_

Level 1

10. 2. 2018 17:20

Komentáře tohoto uživatele máš zablokované.

@stavi Tak to co předvedlo UPC je čistá prasárna, a ti ne z technických, ale zcela jistě z nenažraných důvodů...

MrHackCZ

Level 21

9. 2. 2018 09:10

Komentáře tohoto uživatele máš zablokované.

@petr_ To je sice pravda, ale tomu NATu se nevyhneš. V dnešní době bych na pc opravdu nechtěl pouze a čistě IPv6 (bez tunelu) Protože by půlka internetu stejnak nefungovala. Otázkou tedy je, zdali je lepší mít tunel IPv6 -> IPv4 nebo ten NAT. Já jsem tedy názoru, že radši bych zůstal u natu. 8)

petr_

Level 1

10. 2. 2018 17:21

Komentáře tohoto uživatele máš zablokované.

@MrHackCZ Nevyhneš, ale je potřeba vyvíjet nátlat na ISP. Dnes už jiný problém není.

karle

Level 1

9. 2. 2018 09:54

Komentáře tohoto uživatele máš zablokované.

@MrHackCZ Asi tak. Třeba můj poskytovatel dává na své (uživatelům pronajaté) routery IPv6 automaticky, ostatním po dohodě. Ale přístup z netu blokuje a otevře jej pro příslušnou subsíť až na požádání. Mám IPv6 skoro dva roky a přístup zvenčí jsem ještě nepotřeboval...

rnb

Level 0

9. 2. 2018 09:41

Komentáře tohoto uživatele máš zablokované.

@MrHackCZ Ve světě to všechno mají dávno vyřešeno, jen v USA a Evropě si díky počáteční rezervaci velkého počtu IPv4 adres mohou dovolit ten luxus neřešit to :idea:

Třeba v Číně je nová veřejná IPv4 pro domácnosti sci-fi, všichni dostanou pouze IPv6 a pro přístup na IPv4 používají technologie jako třeba NAT64 a 464XLAT.

Pa3ck

Level 5

9. 2. 2018 02:01

Komentáře tohoto uživatele máš zablokované.

Mohol by som napisat intro do Lede/Openwrt ak by bol zaujem :) Bohuzial len po Slovensky ak to nebude problem :)

feke

Level 1

9. 2. 2018 08:27

Komentáře tohoto uživatele máš zablokované.

Gratuluji, perfektně napsané, aby to pochopili i ti bez základních znalostí.
V 5. kapitole by bylo dobré sjednotit "doručovatele" Karel a Franta, aby to přece jen některé nemátlo.. :)

karle

Level 1

9. 2. 2018 11:39

Komentáře tohoto uživatele máš zablokované.

@feke Karel routuje, Franta NATuje.

feke

Level 1

9. 2. 2018 14:01

Komentáře tohoto uživatele máš zablokované.

@karle Ano, ale u natování je v článku napsáno, že odpověd dostane "zase Karel". Domnívám se, že by tam mělo být "Franta". Protože při natování se odpověd vrací zpátky na adresu NATu, tedy "Franty"..

kernel

Level 1

9. 2. 2018 09:12

Komentáře tohoto uživatele máš zablokované.

@feke Výborně, moc fandím takovýmto článkům!
Takový obecný základ je názorně představen. Co se týče veřejné IP adresy, určitě je dobré mít vlastní (přidělování veřejných statických ipv6 adres dosud není u většiny ISP běžné) dá se připlatit za vlastní ipv4 adresu ( mě to stojí 60 CZK měsíčně).

Nebudu rýpat do jednotlivých podrobností v článku, ten koho baví síťování ví, že všechno jde nějak vymyslet a zprovoznit.

Hodně doporučuji zařízení Mikrotik koho to zajímá, s tím se dá doopravdy kouzlit a je to cenově dostupné. Paketový firewall co je obsažen mi dovoluje filtrovat cokoliv jakkoliv, včetně skriptování a případných notifikací.

Wifi ISP často používají Ubiquiti, protože je dobré co se týká výkonu v bezdrátu, ale routováním nesahá ani po kotníky Mikrotiku, který naopak použijí pro routování (mikrotik podporuje i chytré BGP a OSPF routovací protokoly).

Každopádně díky za článek a jen tak dál :-)

LivingLegend

Level 1

9. 2. 2018 13:48

Komentáře tohoto uživatele máš zablokované.

@kernel [i]"Wifi ISP často používají Ubiquiti, protože je dobré co se týká výkonu v bezdrátu, ale routováním nesahá ani po kotníky Mikrotiku"[/i]

Tak určitě :D :D

to je to samé jako tvrdit že jezdit s automatem je lepší jak S manuálem

kernel

Level 1

9. 2. 2018 14:06

Komentáře tohoto uživatele máš zablokované.

@kernel @LivingLegend: Ano, jsou to informace z praxe, sám jsem pro jednoho ISP dělal, u klientů většinou nějaký Ubiquiti nanobeam (opravdu pěkně bezdrátuje). A na spojovacích bodech opět nějaké ubiquiti nebo jirous, ALE vlany routy a naty obstarával právě nějaký Mikrotik (který je v bezdrátu horší, ale stojím si za svým coby router s ubiquti absolutně srovnání, a pokud nejdete v ciscu nebo vlastní unix-like řešení tak nemá konkurenci). :D :D

LivingLegend

Level 1

12. 2. 2018 10:37

Komentáře tohoto uživatele máš zablokované.

@kernel @banba: jako nechápu proč bych zato strkal MKT a okrádal se o další funkcionalitu celého ekosystému...

Buď si to naklikám v grafickém klikátku a to co tam nejde nastavím přes cls...

roob

Level 36

10. 2. 2018 07:20

Komentáře tohoto uživatele máš zablokované.

@kernel @banba: ja mam v jednej budove ubi edgerouter er8 s 18 virtualnimi sietami a slape to jak svajciarske hodinky. Mikrotik som mal len 1x pred 100 rokmi a nevedel som tam nic nastavit...

ronysek

Level 1

10. 2. 2018 01:36

Komentáře tohoto uživatele máš zablokované.

V článku se píše: .. A je víc než vhodné změnit IP adresu druhého modemu tak, aby byl ve stejné síti jako první modem a zároveň, aby jeho adresa nezasahovala do seznamu adres, které může přidělit DHCP server.
Dotaz: Proč musí být IP adresa 2. modemu mimo rozsah DHCP prvního modemu? Druhý modem má vypnuté DHCP tudíž by neměla nastata kolize. Rád bych věděl důvod. Děkuji za článek.

Mtss

Level 7

10. 2. 2018 18:34

Komentáře tohoto uživatele máš zablokované.

@ronysek je to jednoduche... Ten 1. router totiz nevi ze ta adresa je staticky obsazena jinym zarizenim (2. routerem). Sice by si prvni router mel overit zda adresa neni obsazena ale router to nedela. Nektere routery poznaji kdyz je ta adresa aktivni a chodi pres ne ven ze je obsazena a tak ji neprideli, ale nektere ani tohle neresi. Problem druheho routeru je v tom, ze on sam od sebe pres branu nekomunikuje a tudiz ta brana o nem ani nemuze vedet. Nejlepsi reseni by bylo dat druhemu routeru dhcp client na stranu switch portu, ale tohle na levnych routerech nastavit nejde aproto se musi nastavit adresat staticky na .2 a vyjmout ji v DHCP serveru... ja to delam tak ze prvnich 10 adres nechavam umyslne mimo DHCP a nemusim na to potom myslet.

roob

Level 36

10. 2. 2018 07:25

Komentáře tohoto uživatele máš zablokované.

@ronysek aby nahodou DHCP routeru1 nepridelilo danu IP, ktoru ma router2 nejakemu inemu zariadeniu. Samozrejme menit IP rozsah R2 na rovnaky ako ma R1 nieje nutne, len sa potom nedostanes do nastaveni bez zmeny IP...

Mtss

Level 7

10. 2. 2018 18:13

Komentáře tohoto uživatele máš zablokované.

Nelíbí se mi označování všech ISP za ty zlé. Uvědomte si že adresy nejsou zadarmo. Nejde každému klientovi dát veřejnou adresu. Obrázek s natem u ISP je taky blbost. Jak potom tu síť chcete spravovat? Síť je logicky routovaná, ale nikoliv natovaná. To je docela velký rozdíl. U nás to funguje tak, že kdo si o veřejnou adresu řekne dostane ji zdarma. Díky tomuto modelu jsem schopen vyjít s počtem adres a nemusím za ně platit. Kdybych měl být super hodný a každému dávat veřejnou adresu, tak musím být dražší a vzhledem k tomu že 80% lidí nevadí že nemají veřejnou a hodně velká část lidí ani veřejnou nechce (nechtějí aby měli popotahovanice, když jejich dítě přes torrent sdílí duševně chráněné vlastnictví). Co se týka ipv6 tak toto je uděláno úmyslně jako šmírovací věc a osobně dokud to nebude nutné tak to nechci. Uvědomte si že ipv6 adresa je tak velká aby její vznik fungoval na základě MAC adresy. Na základě tohoto je jasné že IP adresama v ipv6 se nehorázným způsobem plýtvá. Přestože ipv6 umožňuje obrovské množství ip adres je to jeden z důvodů proč jednou dojdou. Otázkou je kdyby je dnes používali všichni jestli by už nedošly. ipv6 je technologicky krok zpět proti ipv4. On ten nat má taky svoje výhody. Skovat počítače negramotných lidí za nat je v rámci jejich dobra. Dát jim veřejné adresy na všechny zařízení by mohlo znamenat že i chytrá lednička by je někdy mohla chtít zabít. Obecně si nedokaží představit že by všechna zařízení v rámci chytré domácnosti měla mít veřejné IP...

rnb

Level 0

10. 2. 2018 23:26

Komentáře tohoto uživatele máš zablokované.

@Mtss Co je to zase za bláboly :?: Nutnou, nikoliv postačující, podmínkou k připojení se k internetu je veřejná IP :idea: Pokud ISP nemá IPv4, nechť rozdává IPv6, NAT není internet :idea: Skutečně existují vesničtí ISP, kteří mají za jednou veřejnou IP celou vesnici. Pokud ti vadí autokonfigurace IPv6 podle MAC adresy, není problém zprovoznit DHCPv6. Ten kdo si myslí, že NAT nějak nahrazuje firewall, by vůbec do sítí neměl dělat.

ch3vr0n

Level 13

10. 2. 2018 22:37

Komentáře tohoto uživatele máš zablokované.

@Mtss 2^128 adres ..tak ty urcite dojdou :D

pletes japka s hruskama ...a EUI adresy... te nenuti nikdo pouzivat ...

Mtss

Level 7

13. 2. 2018 18:58

Komentáře tohoto uživatele máš zablokované.

@ch3vr0n doporucuji nastudovat pravidla pouzivani IPv6 dle RIPE. 2^128 to totiz v realu neni. /64 je totiz nejmensi subnet. Nevim k cemu je dobre davat kazde domaci siti 18446744073709551616 adres, kdyz ted si myslim ze kazdemu z nas staci obligatnich 252 adres. Jak jsem rikal.. je to jen smirovaci nastroj jak byt schopen cloveka rozpoznat a velky ten blok je prave protoze adresa klienta vznika na zaklade jeho MAC. Cele je to jeste nekdy nahouby, protoze v momente kdy zarizeni jednou adresu vygeneruje snazi se ji pouzivat porad stale a je jedno jestli jste na wifi doma, nebo pres mobilni pripojeni nebo nekde na verejnem hotspotu. Samozrejmne prvni cast adres se meni, ale ta posledni nikoliv. A z toho vznika ta zajimava situace a to jest jak rozpoznat zarizeni. Klientsky notebook se poprve k ipv6 pripoji nekde na hotspot. Dostane tam ipv6, ktery si idealne vygeneruje na zaklade mac adresy wifi adapteru (ale uz jsem videl ze to vzalo i MAC od bluetooth) a potom kdyz se takovyto clovek pripoji s notebookem k firemni siti, tak pouzije ethernet a najednou mi nesedi ipv6 s mac protoze to stale drzi tu prvni vygenerovanou.

Proc IPv6 mohou dojit?

protoze se s nima plytva jako prase. To ze kazdy subnet sezere pulku kazde adresy je relativne detail, protoze stale zbyva 2^64 adres... ale...

2^48 by mel dostat spravne kazdy zakaznik, nastesti ISP nejsou idioti a takoveto adresni rozsahy svym zakaznikum nedavaji - davaji obvykle 2^56 (256 subnetu do 2^64) - da se to oznacit jako stejne mnozstvi jako IPv4 class C subnet (256 adres). Ano v IPv6 je to sice 256 subnetu a realnych verejnych adres je sakra vic, ale realne je to pro stejnych 256 klientu, protoze klient nenatuje a nenastavuje se presmerovani portu jako v ipv4, ale dostava cely blok 2^64 adres pro vsechny svoje zarizeni.

Pokud teda jako poskytovatel zazadate v RIPU o adresy v ipv6, tak dostavate automaticky 2^32 adres. Jen tak pro predstavu hadejte kolik je adres v IPv4 ano je to 2^32. Takze teoreticky - pokud by kazdy poskytovatel mel C blok v IPv4 (256 adres) tak to znamena ze muzeme mit 2^24 poskytovatelu v IPv6 muzeme mit dle stavajicich pravitel 2^32 poskytovatelu. Stale si myslite ze adresy v IPv6 nemohou dojit?

Mimochodem adresy dostavate zdarma. Plati se jen clenstvi v RIPE. Registrace v RIPE stoji 2000€ a kazdy rok se plati 1400€. Takze ted mi definujte vesnickeho poskytovatele. Pokud takovy poskytovatel ma 100 platicich klientu a musi platit 1400€ aby kazdemu z nich mohl dat verejne IPv6 tak je to 1400*25/12=2920kc / mesic - na cloveka ho to stoji 292kc. Pokud tento ISP ma 1000 platicich lidi (je to stale vesnicky ISP?) tak je to ~30kc na cloveka. Ted se prosim oprostete od nas samotnych (piseme tady vsichni minimalne technicky nadseni) a uvedomte si kolik z tech vesnickych lidi poznaji jestli maji nebo nemaji verejnou IP a kolik z nich by dobrovolne pridalo 30kc mesicne - je mi jasne ze z nas prakticky vsichni, ale opravdu si to myslite o bezne rodince z vesnice? Ty obvykle ani nezajima rychlost... Ty resi jestli za ty internety daji 100, 200 nebo 300 a vic uz je moc.

Zkuste nehodnotit prosim jestli vzorek lidi o kterem vam zde pisi dava nebo nedava smysl. Jiny kraj jiny mrav. Bavme se jen technicky a zkuste mi tady najit nejakou chybu.

Mtss

Level 7

13. 2. 2018 19:10

Komentáře tohoto uživatele máš zablokované.

@ch3vr0n @Mtss: jednu chybu jsem si nasel 2920/100=~30 a 2920/1000=~3...

uznavam pro 1000 lidi uz to i financni smysl ma.

ch3vr0n

Level 13

13. 2. 2018 21:18

Komentáře tohoto uživatele máš zablokované.

@ch3vr0n @Mtss: koncakum davame /96

ch3vr0n

Level 13

13. 2. 2018 21:23

Komentáře tohoto uživatele máš zablokované.

@ch3vr0n @ch3vr0n: prosimte nedosly ani 4ky... to ze je maj vsichni nasisleny je vec druha...a ne..nepridelujeme ipv6 na zaklade mac adresy :D

roob

Level 36

10. 2. 2018 21:32

Komentáře tohoto uživatele máš zablokované.

@Mtss mat verejnu IP na vsetkych zariadeniach doma je kktina na ntu! Znamena to, ze musim chranit vsetky zariadenia, v pripade NATu musim chranit len router. Je jasne, co je jednoduhsie. A chladnicka pripojena na net... som konzervativny clovek, do chladnicky nikdy LAN kabel nepichnem!