Ero on siinä että puhdas NAT yrittää ohjata kaiken perille, jos vain osaa. Eli siinä menee ne ei toivotutkin.
Koska 1-moneen NAT ei muuten osaisi reitittään niitä paketteja perille, niin tarvitaan jokin konstti millä kerrotaan (tai käyttäjä käsin, mutta käyttäjällä ei välttämättä kykyä, ei välttämättä edes pääsyä).
Ei se viimeisin kerneli mitään lisäarvoa tuollaisessa tuo. Jos tuote toimii kuten sen on luvattu toimivan ei sitä firmistä ole järkevää alkaa päivittämään.
Ainoastaan jos se NAT on conffattu tekemään noin. Tuollaiselle ei nykypäivänä juurikaan käyttökohteita ole. Jo yhden hypoteettisen kohteen kerroinkin.
Täysin väärää tulkintaa. Ei se yksi moneen natti tee mitään tommoista että yrittää väkisin reitittää sitä sisääntulevaa liikennettä kaikkialle sisäverkkoon. Jos oikein kovasti yrittää niin EHKÄ tuollaisen viritelmän saisi rakennettua mutta sehän olisi täysin typerä viritys.
Ei voi kohdistaa. Se voi kohdistaa ainoastaan siihen koneeseen josta se rööri on avattu ja ainoastaan siihen porttiin josta on yhteys avattu. Se reititin/gateway/palomuuri/nat pitää kirjaa kaikista yhteyksistä mitkä on muodostettu ja välittää liikennettä ainoastaan sinne mistä on pyydetty.
Ei voi. Se kohdistuu ainoastaan siihen koneeseen josta se yhteys on luotu. Jos se yhteyden luonut kone on reikäjuustoa esim selaimen osalta, niin on mahdollista että sen selaimen reikäisyyden takia sitten vaarantuu koko sisäverkko niin että se kone joka vuotaa toimii ns. välittäjänä sinne sisäverkkoon. Mutta melko teoreettinen skenaario. Jos tuollaista pelkää niin sitten ei kannata moista laitetta sisäverkkon kytkeä.
Kyllä se NAT käytännössä nykyisin osaa välittää lähes kaiken pyydetyn liikenteen. Oli joskus aika kun tiettyjen palveluiden kanssa oli ongelmia, mutta esim. iptables sisältää moneen sellaiseen palveluun ns. helper moduulin. Lisäksi tuollaiset palvelut alkaa olla poistumassa jotka tarvitsee kuuntelevan portin sinun päässä toimiakseen. Esim. kohta selaimet ei enää tue ftp:tä.
Nykyisin on hyvin vähän tavan käyttäjän softia jotka ihan pakolla vaatii kuuntelevan portin. Suosituin tällainen on ehdottomasti torrent. Jos ei ole pääsyä kuuntelevaan porttiin, turskan seedaus ei onnistu kaikille, se onnistuu vain niille joilla on kuunteleva portti auki ja sinä saat avattua sen putken siihen kohteeseen.
Juuri tuota ongelmaa vartenhan se nat on nykyisin olemassa, joten ei ole mitään ongelmaa.
Ei kyse ole siitä ettei se osaa, sen ei tartte eikä edes pidä välittää mitään paketteja sisäverkkoon ellei ole erikseen pyydetty.
Ehkä joskus on ollut aika että nat on ollut ihan erillinen kikkare, nykyisin se on kuitenkin osa palomuuria tai palomuuri on osa nattia.
Joskus esim ADSL purkeissa oli niin lussua rautaa, että ne kyykkäsi kun alettiin ajaa enempi yhteyksiä sen natin läpitte, prosessori teho ei riittänyt taikka muisti loppui kesken pitämään kirjaa kaikesta. Varsinkin joku turskan kalastus on sellainen että yhteyksiä saattaa olla satoja auki ja koko purkki menee yksinkertaisesti kyykkyyn joka näkyy sitten ihan kaikessa liikenteessä.
Kyllä se tuo, esim wireguardin. IPv6 tuki on myös vuosien aikana parantunut. Mutta ihan peruskäyttöön tuo kyllä riittäisi ihan hyvin. Lisäksi purkin tarjoamat fyytsörit alkaa olla happamia, eli parasta ennen päiväys ummessa.
Itse kanssa laitoin DNA:n IPV6 pois. Se toimi hetken ja test-ipv6.com näytti kaikki ok. Sitten meni hetki ja koko roska kippas jostain syystä. Ei kiinnostanut alkaa selvittää, että johtuuko DNA:sta vai minun Opnsense purkista. Nyt ei ole ollut varmaan yli vuoteen käytössä ja ei juuri ongelmia ollut.
Se vähän sen NATin tehtävä. (siis ohjata ne paketit perille)
Teknisesti voi ajatella noin, mutta tuossa tarkoitn sitä että kotipalomuurissa voi olla sen verran "älykkyyttä" että selviää hommista ilman käyttäjän manuaali säätöjä. Voi se olla mekaanista, avataan portteja kun tietyt tunnusmerkit täyttyy. Tai sitten enemmän käyttäytymiseen perustuvaa, jossa ei niin suoraviivaisia sääntöjä.
Ei kaikkea kaikkialle, vaan se yrittää ohjata ne perille mitä osaa.
Kuten kirjoitit, niin jos siellä kotiverkossa on niitä laitteita jotka nettiin yhteydessä, niin niitä reittejä joudutaan avaamaan, ja jos avattu, niin siellä sisäverkossa on myö sjoku joka kuuntelee ko porttia.
Se ohjaa kaiken perille mitä on pyydetty. Ei se nykyisin ole mitään toivotaan toivotaan hommaa.
Näin nopeasti unohtui se kirjanpito?
Joutuu olemaan? Se on helvetin hieno asia että ne ON integroitu, ei tartte tehdä samoja asioita moneen kertaan. Perus palomuurin ja natin ero conffaus vaikeessa on nykyisin muutama extra sääntö palomuuriin.
Ihan samoin niitä "joudutaan" avaamaan pelkän palomuurin ja julkisen ip:n kanssakin. Ei yhteydet toimi jos sulla on kaikki kiinni. RELATED ja ESTABLISHED on se maaginen juttu jolla hommat toimii ilman suurempaa säätöä. Noiden lisäksi löytyy NEW jota sitten käytetään kun halutaan porata muuriin pysyvä reikä.
Kehitys kehittyy ja nykyisin koti natin kanssa ei ole käytännössä mitään ongelmia. ISP nat on paljon rajoittavampi, koska siihen ei ole mahdollista tehdä porttiohjauksia.
Kuten? Olisikohan kuitenkin niin että osaamattomuus on ollut se syy?
IPv6 tuo potentiaalisesti uuden tietoturha katastrofin a´la Win XP aika jolloin kone ehti saastua jo ennen kuin asennus oli edes valmis. Noin kärjistettynä, koska on paljon koti reitittimiä joissa on kyllä IPv6 tuki, mutta ei minkäänlaista palomuuria sille IPv6:lle vakiona, jolloin se IPv6 puolen turvaaminen jää täysin sen käyttäjän vastuulle. Kaikissa purkeissa ei edes ole kunnollista mahdollisuutta rakentaa IPv6 puolelle mitään palomuuria. Sinällään tilanne on nykyisin parempi koska windowsissa on defaulttina palomuuri päällä kuten älyluureissa. Mutta sitten meillä on näitä muita laitteita joissa saattaa olla joku dlna palvelu eikä mitään palomuuria tai vaikka olisi niin pitäähän se dlna olla auki ja sitten se itse dlna on niin vanha versio että siinä on mahdollisesti useita aukkoja joita hyväksikäyttäen se pahis saa ujutettua tuhmuuksia tekevän ohjelman ajoon ja käyttäjä ei yleensä tiedä asiasta mitään.
1-moneen NAT rikkoi yhteydet, ei siinä ole osaamattomuudesta kyse.
- Kotiverkkoon aina palomuuri, jos se on julkiseen nettiin yhteydessä
Ei toimi DNA ipv6 myöskään täällä. Toimii hetken kunnes putoaa taas pois.
Koko tämä NAT keskustelu taisi lähteä liikenteeseen siitä, että Elisa ilmoitti vihdoinkin ottavansa ipv6:n käyttöön. Tässä on varsin hyvä potentiaali hoitaa asiat päin persettä ja todellakin vastassa on samanlainen tietoturvakatastrofi mihin @JiiPee:kin viittasi.
Rikkoi? Mutta ei riko enää? Mikä siis on ongelma?
Tiedän kyllä, sinä et tuo mitään faktaa että mikä ON rikki, sinä vaan mutuilet ja rakentelet olkikukkoja asian ympärille.
Ja tämä on ongelma miten? Jos et esitä mitään esimerkkejä niin silloin ainakin minun tulkinta on että tämä on sinun omaa mutuilua / tietämättömyyttä.
Voisitko nyt tarkentaa että mitä ihmettä tämäkin taas tarkoittaa?
Ei tuo juurikaan. Se tarjoaa jotain parannuksia verrattuna IPv4:n mutta ei se että otetaan IPv6 käyttöön auitomaattisesti tuo mitään turvaa vaan kuten on jo moneen kertaa kerrottu, niin se voi potentiaalisesti tuota aikamoisen tietoturha sopan mukanaan.
No kerrotko mistä saa sellaisen verkkolaitteen joka on ajantasalla ja joka on myös 5v päästä ajantasalla? Niin sellaista ei saa! Tai saa mutta sellainen maksaa sitten ihan toista luokkaa rahaa kuin nämä ISP purkit joissa melkein tuki loppuu sillä hetkellä kun kannat sen ulos kaupasta.
Ja taas unohtuu se NAT:n kirjanpito. Se NAT tietää tasan tarkkaan minne niitä paketteja pitää ohjata ja myös se pystyy tekemään jotain koneoppimis mumbojumboa jota ilmeisesti tarkoitat tuolla "voidaan tunnistaa vakiintuneita yhteyksiä"
Tämä, siksi jaksoikin naurattaa hervottomasti kun jengi puhuu että onko siltaava vai reitittävä liittymä. Eipä oo näkynyt paljon reitittäviä liittymiä kuluttajilla hetkeen.
Mutta juuri kuten sanoit. Tämähän toki pätee myös IPv6:n ei siinä mitään. mm. Kuusitunnelin kanssa tulee sitten "reitittävä" yhteys, kun on erikseen käyttö ja reititys osoitteet, haha.Joskus pitää, joskus ei. mm. Halvemmissa laitteissa on usein suorituskykyä varten optiot NAT ja Stateful NAT. Näistä tosissaan NAT (full cone / perinteinen) NAT mappaa vain sisä IP:n ja port:in WAN rajapinnan port:iin. Ja kaikki tuohon ulko porttiin kohdistuva liikenne ohjataan takaisin sisälle. Eli suorituskyky on parempi ja muistia tarvitaan vähemmän. Stateful aka Symmetric NAT on selvästi raskaampi. Ja varsinkin mm, torrent / P2P / pelikäytössä se on mahtavuutta, että tuo sallii yhdellä ohjauksella muistissa, tuhansien koneiden kommunikoida sisään esim. DHT:n tai muun vastaavan UDP pohjaisen laajasti hajautetun ratkaisun tapauksessa ilman ylimääräistä kuormaa. Joka saattaisi kyykätä / kaataa halvat laitteet. Mutta tämän sanoinkin tuossa jo aikaisemmin. - Siinä on hyvät ja huonot puolet.
3 rai1-sr3.dnaip.fi (2001:14b8:1040:104::1c:0) 35.758 ms 35.894 ms 43.007 ms
4 2001:14b8:1040:0:3e4e:641e:: (2001:14b8:1040:0:3e4e:641e::) 48.083 ms 48.241 ms 48.229 ms
5 * * *
6 as16086-20g-ix1.sthix.net (2001:7f8:3e:0:a500:1:6086:1) 60.449 ms 60.436 ms 60.211 ms
7 as6939-20g-sk1.sthix.net (2001:7f8:3e:0:a500:0:6939:1) 53.238 ms 53.427 ms 53.417 ms
8 * * *
9 ve951.core1.ewr5.he.net (2001:470:0:593::2) 129.615 ms 126.823 ms 131.023 ms
10 100ge2-2.core1.nyc5.he.net (2001:470:0:559::1) 136.432 ms 136.625 ms 136.614 ms
11 * 100ge4-2.core1.nyc4.he.net (2001:470:0:20a::1) 136.593 ms 136.789 ms
12 * * *
13 ::ffff:64.230.15.228 (::ffff:64.230.15.228) 200.072 ms ::ffff:64.230.15.227 (::ffff:64.230.15.227) 210.857 ms 221.474 ms
14 ::ffff:64.230.15.60 (::ffff:64.230.15.60) 215.410 ms 231.501 ms 231.166 ms
15 ::ffff:64.230.193.225 (::ffff:64.230.193.225) 199.798 ms 212.322 ms 212.113 ms
16 ::ffff:64.230.15.148 (::ffff:64.230.15.148) 196.631 ms 194.838 ms 202.519 ms
17 ::ffff:64.230.15.183 (::ffff:64.230.15.183) 201.871 ms 202.177 ms 202.269 ms
18 * * *
19 2001:4958:1::b (2001:4958:1::b) 192.778 ms 208.761 ms 205.865 ms
20 * * *
21 be300.pdx-pdx02-sbb1-nc5.oregon.us (2607:5300::259c) 200.629 ms * *
22 2001:41d0:aaaa:100::3 (2001:41d0:aaaa:100::3) 231.154 ms 223.955 ms 2001:41d0:aaaa:100::5 (2001:41d0:aaaa:100::5) 217.965 ms
23 * * *
24 chi-1-a9.il.us (2607:5300::2554) 219.910 ms 207.093 ms *
25 be103.bhs-g2-nc5.qc.ca (2607:5300::1d0) 220.537 ms 215.469 ms 209.900 ms
26 * * *
27 * * *
28 * * *
29 vl100.gra-d1-a75.fr.eu (2001:41d0::42d) 209.533 ms vl100.gra-d2-a75.fr.eu (2001:41d0::437) 215.468 ms 215.239 ms
30 be5.gra-z1g2-a75.fr.eu (2001:41d0::22b) 215.066 ms be5.gra-z1g1-a75.fr.eu (2001:41d0::229) 215.218 ms be7.gra-z1g1-a75.fr.eu (2001:41d0::22d) 220.777 ms
31 po5.gra-z1b12-a70.fr.eu (2001:41d0:0:1:1:b12:1:0) 221.162 ms 220.935 ms 220.925 ms
32 2001:41d0:302:b12::11 (2001:41d0:302:b12::11) 215.384 ms 228.426 ms 211.310 ms
33 * * *
34 vps (2001:41d0:302:2200::x) 222.285 ms !X 217.304 ms !X 217.206 ms !XMulla oli ensimmäinen dsl yhteys reitittävä. Mikäköhän se elisan patentin nimi oli... Reititin sai 10. sarjan osoitteet, jota oli kuitenkin 1:1 natattu julkisen osoitteiden kanssa, niin että jos mitään palomuuria ei asettanut, niin kone oli paljaana internetissä vaikka vaikka olikin nat.Tämä, siksi jaksoikin naurattaa hervottomasti kun jengi puhuu että onko siltaava vai reitittävä liittymä. Eipä oo näkynyt paljon reitittäviä liittymiä kuluttajilla hetkeen.
Muistan tuon hyvin, Arena net oli tuo palvelu (muistaakseni), joka siis hoisi yhteydet ja sitten sen internet yhteyden saattoi ostaa usealta eri operaattorilta. Sinänsä ihan fiksu konsepti. Eikös se ainoa oikea "avoinkuitu" ole sellainen, johon voi sitten valita vapaasti operaattorin jonka palvelua haluaa käyttää. Riittää että operaattorit tuo yhteydet johonkin POP:iin joka on yhteydessä verkkoon.
Tulee vanhat hyvät ajat mieleen, silloin kun Ficixi feilasi alkoi liikenne pääsääntöisesti kiertää nykin kautta, ja sitä tapahtui vielä yllättävän usein. Oli oikein viihdyttävää ottaa shellit yliopistolle jostain normi kuluttajaliittymästä silloin.
docs.hetzner.com
Vähän kuulostaa liian hyvältä, mutta kuinkakohan hyvin tulee abusea on eri asia.
Siis miten tuo kuusitunneli ei muka natin takaa toimisi? Sehän on tunneli joka avataan sieltä natin takaa tarvittaessa.
Mutta vaatii julkisen IPv4:n. Sehän tuossa kai oli pointtina, että tämä p2p NAT64 -toteutus ei kai vaadi
Ei toimi NATin takaa, jos käytössä olisi Teredo, niin sitten toimisi. Ref: Protokolla 41 - Trex tosin tarjoaa Teredolla palvelua ja toimii hienosti ja ilmaiseksi.
Ai vähän niinku tää? Ungleich:in IPv6 VPN.
ungleich.ch
www.ripe.net
Muna-Kana-ongelma.
Eiköhän Telia halua tuosta vain lisää rahaa että reititys nieluun sisältää myö IPv6:sen. En jaksa uskoa että siihen mitään ylitsepääsemätöntä teknistä rajoitetta olisi. Siitä sitten tiedä keiden välisessä sopparissa on määritelty että IPv4 riittää.
Munakana konkretisoitui, kun tiedustelin sekä Lounealta, että Valokuituselta mikä homma ja vastaukset olivat:
Lounea sanoi:
Sinänsä sivuraide itse asiastani: vai oikein yritystason palvelu ja lainausmerkeissäValokuitunen sanoi:
Juuuuuu, yritystasonpa hyvinkin. Paskapuhetta sanon minä. Jos valokuitusen kanta on tuo (tiedä kuinka toisen IPv6 osaajan Telian perintöä tuo on) niin ei ihme että suomi teknologian huippu maa on sellainen IPv6 kehitysmaa.Munakana konkretisoitui, kun tiedustelin sekä Lounealta, että Valokuituselta mikä homma ja vastaukset olivat:
Sinänsä sivuraide itse asiastani: vai oikein yritystason palvelu ja lainausmerkeissä
Olisko kuituoperaattorin kommentin taustalla se että kaikkien nettioperaattorien valikoimassa ei ole ollut IPv6 palveluita ja vähän sen on paha mennä lupaileen muiden puolesta.
No tässäpä juuri se muna-kana, kun Lounea sanoo ettei Valokuitusen verkkoon saa ipv6:sta ja Valokuitunen antaa rivien välistä ymmärtää, että kyllä heidän verkossa ipv6 kulkee. Lounea kuitenkin itse rakentamiinsa verkkoihin tarjoaa ipv6:n veloituksetta.
Tämäpä justiinsa. En omaa riittävää asiantuntemusta, mutta hihasta ravistaisin ettei tuo ipv6:n tukeminen olisi kovinkaan suuri taloudellinen panos verkko-operaattorille enää sen jälkeen, kun verkko on jo rakennettu ja ipv4 kulkee siellä.
Ok, tarjoaako Lounea muilla Avoimenkuidun operaattorien verkoissa IPv6ta ?
Seltimilin liittymiin saa IPv6:n Avoimen Kuidun liittymissäkin (ml. Valokuitunen). Eli varmaankin enemmän Lounean asia, etteivät ole tuota implementoineet hieman erilaiseen ympäristöön.
Onhan se merkillistä että DNA sen IPv6 on saanut toimimaan jopa mobiilissa jo vuosia sitten.
Ainakin aiemmin "tuki" palstalla oli ihan ohjeet heidän tunneliin.
Ai elisa saanu IPv6 mobiiliin, hienoa. Nyt sitten odotellaan että saako telia sen aikaiseksi tässä 5v sisällä. Itte siirryn telialta dna:n asiakkaaksi pitkälti IPv6 puutteen takia kun ei jaksa pelata enää minkään tunneleitten kanssa 2020 vuosikymmentä kuitenkin mennää. Tunneleitten kanssa tuli pelatttua 15-20v sitten.
