jsem v 192.168/16 a stále se dostanu na privátní 10.0.0.0/8
Chtěl bych objasnit jednu věc, zda to je vůbec v pořádku, zda nedochází k porušení specifikace, když se dokážu dostat na adresu 10.x.y.z. z notebooku,který je připojen k mobilu sdílející internet přes NAT (jsou zde tedy 2, možná 3 sítě - 10.x.y.z, 192.168 a možná ještě efektivně vnější 78.x.y.z). Jak ze strany telefonu, přes který je sdílen internetu (routuje privátní pakety dál), tak ze strany připojeného PC (posílá pakety s cílovou adresou privátního rozsahu na bránu). To co je vyznačené v kurzívě je správné odůvodnění, proč by se tak dít nemělo? které zařízení dělá, to co nemá? nebo je vše v pořádku?
Mám připojení na net v telefonu . Když otevřu IP adresu 10.z.x.y, dostanu se na ovládací panel (aktivace tarifů, přehled, přikoupení dat).
Co bohužel nevím, jakou má telefonu přiřazenu vnitřní IP (nejsem schopen to zjistit, nechci kvůli tomu hledat na netu program, který tohle zvládne pro telefon) .. Můžu pouze předjímat, že má například 10.0.0.1 , mohlo by to být nějaké PPP . A nebo má stejnou adresu 78.x.y.z, ale to už asi nehraje roli
A teď to zvláštní: v telefonu mi běží sdílení internetu. Provádí překlad na 192.168.2.0/24 (a DHCP přiřadí IP ntb IP).
A já z toho notebooku (IP 192.168.2.2, gateway telefonu wifi 192.168.2.1) jsem schopen normálně komunikovat s tou stránkou ovládacího panelu (která na telefonu beží).
(Takže v připojeném počítači vidím komunikaci mezi 10.12.34.56 a 192.168.2.2)
Je mi to divné, pakety by podle mého názoru neměl opustit síť notebooku a pokud se tak stalo, tak ani telefon by neměl paket na 10.x.y.z přeposlat dál.
Je zde v úvahách chyba a tedy zbytečně plaším a není důvod, proč komunikace neměla být možná a nebo by to skutečně nemělo jít a někde je chyba (na telefonu i notebooku?)? (Napadá mě, že NAT telefonu korektně provede SNAT a a paket se jeví jako v rámci sítě 10.x.y.z ale přitom měl předtím provést kontrolu, že source IP je opět 192.168, což je také privátní)
jaké je vysvětlení? RFC o neroutování privántích rozsahů neplatí? Nebo s tím zde špatně šermuji? A dokonce zde vidím 2 privátní rozsahy (10 a 192.168)
Z mobilu jsi připojen na 10.x.y.z
Ty uděláš sdílení na mobilu, takže se 10.x.y.z NATuje na 192.168.y.z
Takže není důvod, aby se počítač nedostal na to, co je před NATem.
naopak ze sítě před NATem se nedostaneš na to, co je za NATem - zde už bys musel přesměrovávat porty a IP adresy.
Díkes, čekal jsem obsáhlejší odpověď.
To nevím jistě, jestli z mobilu jsem připojen na 10.x.y.z, (blbě to budu zjisťovat).. Sdílecí program na wifi rozjede gateway 192.168.2.1 a přiděluje notebooku 192.168.2.2.
A on to není důvod, ani když jde o privátní adresy?
To pak zní docela hrozivě, myslel jsem, to pak jsou v ohrožení miliony privátních sítí: je totiž možné se dostat z jedné privátní sítě do druhé: například když propojím do Switche deset počítačů a pět z nich (pro jistotu staticky nastaveno) bude mít IP 10.22.0.0/24 a dalších pět 10.111.0.0/24, pak bych čekal, že spolu nebudou komunikovat. NAT zde vůbec nevystupuje
Ale o přesměrování portů to vůbec není, to je jiný druh problému (že klient se nemůže připojit na server za NATem), to je můj názor, že NAT zde nehraje roli.
je jasné, že NAT umožní komunikovat notebooku se zařízeními v internetu (protože telefon musí změnit zdrojovou adresu odcházejícho paketu na svou) , a technicky je jedno jestli jde o veřejnou IP v netu (seznam.cz) nebo privátní IP 10.x.y.z dashbardu, ale podle mě pravidlo, že právě když se chce spojit s privátní adresou, tak se to nesmí..
Nebo to pravidlo o tom, že privátní adresy vykládám špatně?
Vykladas si to spatne. Tvuj pocitac vsechny adresy co nejsou ve stejne siti odroutuje defaultni cestou na nadrazeny router. A ten, pokud nema uplnou smerovaci tabulku (nebo nema v tabulce zaznamy pro RFC1918 adresy do blackhole) udela to stejne, totiz odroutuje to defaultem dal. Az pak to dojde nekam, kde se to skutecne zahodi.
no a já se tedy ptám, proč nemá ty záznamy RFC1918 pro blachole ?
Otázka bokem: Mám připojení do internetu přes domácí ADSL modem (IP sítě 10.0.5.0/16). Tam jsou nějaký zařízení v této síti.
Nyní mám další sadu zařízení, který si chci propojit do oddělené sítě, s tím, že tato síť bude mít přístup do internetu přes router (například turris omnia) , který bude druhým rozhraním připojen do té sítě výše (tzn bude mít na tomto rozhraní 10.0.5.13).
Podmínka : zařízení z této nové sítě nesmí komunikovat se zařízeními v této sítě výše Ten router musí vystupovat jako jedno zařízení, tak tam musí být NAT. Na prvním routeru se nic měnit nebude. Ten o tom jako by nevěděl.
Jaká jsou možná řešení? Je nutný vytvářet jiné číslování této nové sítě. Je nutné tam dávat firewall? Nebo jde to dané z podstaty věci, že spolu nebudou komunikovat? (I když t odpovědí jsem se dozvěděl, že to právě možné je ,že se z 192.168... klidně dostanu na 10.5.2)
Switche switchují, routery routují. Pokud chceš, aby jedna privátní síť nesměla komunikovat s tou druhou, tak musíš na routeru (GW) nastavit takové pravidlo (resp. ho nesmíš vůbec vytvářet.) Pokud máš pouze switch, tak ti pustí všechno všude. Doporučuji ti si nastudovat rozdíl mezi switchem a routerem.
Příklad s switchtem jsem dal schválně - přeci ty počítače musí být spojené nějak . Konrétně na linkové úrovni.
A tím, že jsem jedném půlce nastavil 10.111/16 a druhé 10.33/16, tak předpokládám že spolu nemohou komunikovat. Je to pravda?
Nemohou spolu komunikovat protokolem treti vrstvy (IP) ale mohou spolu komunikovat protokolem linkove vrstvy. V praxi tak v sitovem analyzeru uvidis ruzne ARP dotazy, broadcasty atd.
Ano myslel jsem IP vrstvě.
Ale nic ti nebrání v tom, udělat na kompu s adresou 10.111.xx.yy v routovací tabulce záznam 10.133.0.0/16 dev eth0 (prostě řekneš že ta síť je na stejném kabelu jako tvoje) a pak spolu budou moci komunikovat i bez jakéhokoliv routeru.