Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Transferuri instant intre bancile...

player video

Carefur Act for good

Parcare gratis in Bucuresti pentr...
 Rovinieta prin SMS pentru masina ...

Viteza mica Usb 3.2 gen.1 header

Cerificat atestare fiscala pentru...

Schimbare destinatie imobil din l...
 Dorsalgie

Recomandare brand cheie dinamomet...

Divorț la notar

Vechime vs km reali
 Android 12 : "Yahoo Mail s-a ...

Bloc Favorit cu RS2

Ce extractor audio (analogic) pen...

Cine suporta cheltuielile de jude...
 

Carrier-grade NAT (CGN) la RDS?

- - - - -
  • Please log in to reply
138 replies to this topic

#127
draand28

draand28

    Member

  • Grup: Members
  • Posts: 438
  • Înscris: 22.04.2015

View PostZnevna, on 04 martie 2022 - 08:56, said:

Banuiesc ca poti face un script ceva care sa-ti reconecteze contul pppoe daca prinzi IP de CGNAT.
Cel mai ieftin abonament business nu-i chiar asa scump fata de un abonament normal.

M-am gandit sincer sa fac un script care sa dea toggle on/off la WAN daca prinde 100.X, dar nu prea e de viitor, avand in vedere ca trendul e spre cat mai putine adrese ipv4 publice.
Iar abonamentul business e prea scump pentru ce am nevoie (am facut din octombrie precomanda de 10gbps pe rezidential, fiind 50 de lei, o sa fie doar un *nice to have*). Nu am nevoie de banda garantata si nici de uptime garantat.

View PostAlexutzulro, on 04 martie 2022 - 10:16, said:

Eu folosesc https://github.com/t...cloudflare-ddns pentru actualizarea datelor DNS (A & AAAA) la Cloudflare cu un site personal.

E o idee buna, vad ca suporta si ipv6. O sa ma uit astazi pe el. Folosesc oricum cloudflare pt cele 3 domenii pe care la gazduiesc.

#128
me_iauras

me_iauras

    Senior Member

  • Grup: Senior Members
  • Posts: 2,313
  • Înscris: 08.01.2009
@draand28
si NoIP are suport AAAA si fiind inclus in firmware-urile multor router-e e posibil sa fie mai simplu asa ; in ceea ce priveste  scoaterea din pool-ul CGN in cele mai multe cazuri in care clientii s-au plans ca "nu mai pot accesa sistemul supraveghere video" cei de la RDS au fost cooperanti si i-au scos din lista clientilor potential afectati (ce-i adevarat majoritatea NVR-urilor/DVR-urilor inca nu au suport IPv6 nici local nici la nivel de cloud furnizor si e oarecum justificat)

#129
-koss-

-koss-

    Technology apprentice

  • Grup: Senior Members
  • Posts: 6,329
  • Înscris: 29.11.2017
Mie imi merg DVRurile prin CGN fara probleme. Probabil tine si de produs. DVRurile moderne si camerele de supraveghere mai noi produse ar trebui sa aiba in vedere si CGN.

Edited by -koss-, 05 March 2022 - 12:35.


#130
Znevna

Znevna

    Senior Member

  • Grup: Senior Members
  • Posts: 2,436
  • Înscris: 23.08.2020
Da, iti merg prin ceva serviciu de cloud.

#131
draand28

draand28

    Member

  • Grup: Members
  • Posts: 438
  • Înscris: 22.04.2015
Asa cum ati recomandat, sunt dual stack ipv4+ipv6, stabile ambele. Am pus si DDNS-uri pe ipv4 si ipv6 hostate direct in pfsense prin cloudflare.

Problema actuala e ca userii externi ipv4 only nu pot accesa serverele de ipv6 only. Evident, as putea lua un VPS care sa faca translation 4to6 si apoi redirect catre mine, dar asta distruge scopul.

Stie cineva vreo solutie, eventual direct de cloudflare, de 4to6 translation? Vreau sa ma indepartez cat mai mult de ipv4 din cauza CGN dar totusi sa pastrez suportul legacy.

Edited by draand28, 06 March 2022 - 13:27.


#132
Znevna

Znevna

    Senior Member

  • Grup: Senior Members
  • Posts: 2,436
  • Înscris: 23.08.2020
..
Pentru "hosting at home" poti sa-ti iei cel mai ieftin abonament business dupa cum am zis si mai sus, e vreo 9 euro fara tva parca, vorbesti cu un agent comercial din zona ta.
Asta daca nu vrei si mai multe dureri de cap.
Sau it convingi userii "IPv4 only" sa treaca si ei totusi la dual stack sau sa foloseasca macar un IPv6 tunnel broker de la HE https://tunnelbroker.net/
Sau altele: https://en.m.wikiped..._tunnel_brokers
Sau iti muti serviciile pe-un VPS ceva.

#133
Whyse1

Whyse1

    Active Member

  • Grup: Members
  • Posts: 1,301
  • Înscris: 26.06.2013

 draand28, on 06 martie 2022 - 13:26, said:

Stie cineva vreo solutie, eventual direct de cloudflare, de 4to6 translation? Vreau sa ma indepartez cat mai mult de ipv4 din cauza CGN dar totusi sa pastrez suportul legacy.

De la Cloudflare ar mai putea fi o "solutie" Cloudflare Tunnel, dar asta depinde la ce planuiesti sa-l folosesti.
Pentru mai multe detalii: https://cyberhost.uk...re-argo-tunnel/, https://github.com/c...ared/issues/145

#134
scooby2008

scooby2008

    Active Member

  • Grup: Members
  • Posts: 1,098
  • Înscris: 04.09.2008
Eu am scăpat de CGNAT prin activarea dinamic DNS din contul Digi.

#135
mreg

mreg

    Junior Member

  • Grup: Members
  • Posts: 89
  • Înscris: 28.07.2013
Un expert CGN pe aici avem?

Teorie: CGN are 4 milioane si ceva de abonati (maxim), iar TCP/IP are 65535 de porturi.
Intrebare: cum se descurca ruterul CGN daca toti sunt calare pe net sambata seara?

Mi-am pus intrebarea cand am vazut pachete blocate pe firewall incoming de la IP-uri unde eu nu am trimis nimic. Banuiesc ca e replyul altuia.

#136
snapilica2003

snapilica2003

    Member

  • Grup: Members
  • Posts: 325
  • Înscris: 18.11.2007

View Postmreg, on 22 octombrie 2023 - 21:32, said:

Un expert CGN pe aici avem?

Teorie: CGN are 4 milioane si ceva de abonati (maxim), iar TCP/IP are 65535 de porturi.
Intrebare: cum se descurca ruterul CGN daca toti sunt calare pe net sambata seara?

Mi-am pus intrebarea cand am vazut pachete blocate pe firewall incoming de la IP-uri unde eu nu am trimis nimic. Banuiesc ca e replyul altuia.

Pai 4 milioane de IP-uri de CGNAT inmultit cu 65535 de porturi inseamna 274.865.324.160 posibilie conexiuni deschise de la clientii CGNAT catre exterior. Eu zic ca ajung. Plus ca o buna parte din cei pe CGNAT au si IPv6 si cam jumatate de trafic se duce pe IPv6.

#137
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,502
  • Înscris: 07.03.2006
@snapilica vezi ca ai dat all in si ai pierdut :)

@mreg

Quote

Mi-am pus intrebarea cand am vazut pachete blocate pe firewall incoming de la IP-uri unde eu nu am trimis nimic. Banuiesc ca e replyul altuia.
Asta n-are treaba  cu CGN-ul, nu ai de unde sa stii ca ip-ul public ce il vezi tu pe chain-ul IN are in spate ip-uri CGN; in plus, asa e internetul de cand lumea, numai boti si etc care scaneaza/incearca/etc; nu trebuie sa trimiti tu nimic te cauta ei :)

Referitor la CGN, cam 128:1 la e ratio -asta e matematic!- (deci aprox 500 porturi per client) iar cand sunt toate ocupate, cel cu CGN primeste Destination unreachable - code 1 host unreachable; ideea e ca cgn-ul se implementeaza impreuna cu ipv6, iar cum bine a intuit snapilica, majoritatea traficului va "iesi" prin ipv6.
Alocare porturilor poate fi dinamica/statica sau per block-port si trebui tinut cont ca anumite range-uri nu sunt folosite (0-1023 de ex sau 1024 - 49151, sau 0-32767 - depinde aici...) => astfel aprox 128 up to 256 porturi/client/cgnat pt un ratio 1:128 (ratio care este EXTREM de mare iar acest ratio se calcuzeaza in functie de cati subscriberi activi are ISP-ul - deci  teoretic, nr de porturi alocate poate creste up to 1000 pe client)

#138
mreg

mreg

    Junior Member

  • Grup: Members
  • Posts: 89
  • Înscris: 28.07.2013

View Postsnapilica2003, on 23 octombrie 2023 - 08:03, said:

274.865.324.160 posibilie conexiuni deschise de la clientii CGNAT catre exterior.

La asta m-am referit, exact! Ce ruter barosan o fi de suporta 300 miliarde de conexiuni.
Sau asta o fi motivul ca greseste si trimite packete la mine, ca e supraincarcat. Packetele astea se vede ca erau pentru altcineva cine se dadea pe net pe portul 443 pe un site oarecare pe care eu nu am fost.

View Postogo, on 23 octombrie 2023 - 09:42, said:

nu trebuie sa trimiti tu nimic te cauta ei Posted Image

Nu cred ca e plauzibil sa ma caute cineva dupa NAT-ul CGN. N-au de unde sa stie de IP-ul meu 100.64.34.56, si chiar daca ar sti nu au cum sa initieze conexiuni, nu au ruta pentru asa ceva.
O singura situatie e plauzibila, cand s-a deconectat un alt utilizator PppoE si m-am conectat eu imediat dupa, timp de cateva minute pot sa-mi vina mie reply-uri pentru celalalt. Dar dupa ore de conectare nu mai e nici asta plauzibil.

#139
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,502
  • Înscris: 07.03.2006
1. Nu se aloca toate porturile (vezi mai sus ca am atins subiectul)
2. Nu e un singur L3 (router) pt tot ISP-ul care face CGN (poate fi de ex pt Brasov unul singur -router- , se aloca un subnet din /10 ala doar pt Brasov, si 1-5 ip-uri publice si rezolva tot judetul) si asa mai departe
3. Revin, ce vezi tu pe chain-ul IN sunt boti - sau le poti zice echipamente proaste/sau prost setate ale altor clienti ce sunt si ei in CGN - 99% din plasticele de pe piata scaneaza aiurea-n tramvai.
4. Daca vrei sa scapi de astfel de loguri, simplu blochezi tot 100.64.0.0/10 -cu unele mici “issues” - de ex torrrrenti (dar acum merg majoritatea si pe ipv6).
Sper ca e mai clar acum.


PS
Ar fi mai usor de explicat daca ai pune o linie completa dintr-un log:
source ip/destination ip/protocol/numar port.


Anunturi

Second Opinion Second Opinion

Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale.

Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate