Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno jsem v 192.168/16 a stále se dostanu na privátní 10.0.0.0/8

Chtěl bych objasnit jednu věc, zda to je vůbec v pořádku, zda nedochází k porušení specifikace, když se dokážu dostat na adresu 10.x.y.z. z notebooku,který je připojen k mobilu sdílející internet přes NAT (jsou zde tedy 2, možná 3 sítě - 10.x.y.z, 192.168 a možná ještě efektivně vnější 78.x.y.z). Jak ze strany telefonu, přes který je sdílen internetu (routuje privátní pakety dál), tak ze strany připojeného PC (posílá pakety s cílovou adresou privátního rozsahu na bránu). To co je vyznačené v kurzívě je správné odůvodnění, proč by se tak dít nemělo? které zařízení dělá, to co nemá? nebo je vše v pořádku?

Mám připojení na net v telefonu . Když otevřu IP adresu 10.z.x.y, dostanu se na ovládací panel (aktivace tarifů, přehled, přikoupení dat).
Co bohužel nevím, jakou má telefonu přiřazenu vnitřní IP (nejsem schopen to zjistit, nechci kvůli tomu hledat na netu program, který tohle zvládne pro telefon) .. Můžu pouze předjímat, že má například 10.0.0.1 , mohlo by to být nějaké PPP . A nebo má stejnou adresu 78.x.y.z, ale to už asi nehraje roli

A teď to zvláštní: v telefonu mi běží sdílení internetu. Provádí překlad na 192.168.2.0/24 (a DHCP přiřadí IP ntb IP).

A já z toho notebooku (IP 192.168.2.2, gateway telefonu wifi 192.168.2.1) jsem schopen normálně komunikovat s tou stránkou ovládacího panelu (která na telefonu beží).

(Takže v připojeném počítači vidím komunikaci mezi 10.12.34.56 a 192.168.2.2)

Je mi to divné, pakety by podle mého názoru neměl opustit síť notebooku a pokud se tak stalo, tak ani telefon by neměl paket na 10.x.y.z přeposlat dál.

Je zde v úvahách chyba a tedy zbytečně plaším a není důvod, proč komunikace neměla být možná a nebo by to skutečně nemělo jít a někde je chyba (na telefonu i notebooku?)? (Napadá mě, že NAT telefonu korektně provede SNAT a a paket se jeví jako v rámci sítě 10.x.y.z ale přitom měl předtím provést kontrolu, že source IP je opět 192.168, což je také privátní)

jaké je vysvětlení? RFC o neroutování privántích rozsahů neplatí? Nebo s tím zde špatně šermuji? A dokonce zde vidím 2 privátní rozsahy (10 a 192.168)

Předmět Autor Datum
Z mobilu jsi připojen na 10.x.y.z Ty uděláš sdílení na mobilu, takže se 10.x.y.z NATuje na 192.168.y…
Jan Fiala 25.05.2020 11:13
Jan Fiala
Díkes, čekal jsem obsáhlejší odpověď. To nevím jistě, jestli z mobilu jsem připojen na 10.x.y.z, (bl…
zdruhystrany 25.05.2020 12:11
zdruhystrany
Vykladas si to spatne. Tvuj pocitac vsechny adresy co nejsou ve stejne siti odroutuje defaultni cest…
Tbrthg iodzvj 25.05.2020 13:57
Tbrthg iodzvj
no a já se tedy ptám, proč nemá ty záznamy RFC1918 pro blachole ? Otázka bokem: Mám připojení do in…
zdruhystrany 25.05.2020 15:00
zdruhystrany
Switche switchují, routery routují. Pokud chceš, aby jedna privátní síť nesměla komunikovat s tou dr…
sadasd 25.05.2020 14:03
sadasd
Příklad s switchtem jsem dal schválně - přeci ty počítače musí být spojené nějak . Konrétně na linko…
zdruhystrany 25.05.2020 14:49
zdruhystrany
Nemohou spolu komunikovat protokolem treti vrstvy (IP) ale mohou spolu komunikovat protokolem linkov…
Tbrthg iodzvj 25.05.2020 14:58
Tbrthg iodzvj
Ano myslel jsem IP vrstvě.
zdruhystrany 25.05.2020 15:01
zdruhystrany
Ale nic ti nebrání v tom, udělat na kompu s adresou 10.111.xx.yy v routovací tabulce záznam 10.133.0… poslední
Tbrthg iodzvj 25.05.2020 15:05
Tbrthg iodzvj

Z mobilu jsi připojen na 10.x.y.z
Ty uděláš sdílení na mobilu, takže se 10.x.y.z NATuje na 192.168.y.z
Takže není důvod, aby se počítač nedostal na to, co je před NATem.
naopak ze sítě před NATem se nedostaneš na to, co je za NATem - zde už bys musel přesměrovávat porty a IP adresy.

Díkes, čekal jsem obsáhlejší odpověď.
To nevím jistě, jestli z mobilu jsem připojen na 10.x.y.z, (blbě to budu zjisťovat).. Sdílecí program na wifi rozjede gateway 192.168.2.1 a přiděluje notebooku 192.168.2.2.

A on to není důvod, ani když jde o privátní adresy?

To pak zní docela hrozivě, myslel jsem, to pak jsou v ohrožení miliony privátních sítí: je totiž možné se dostat z jedné privátní sítě do druhé: například když propojím do Switche deset počítačů a pět z nich (pro jistotu staticky nastaveno) bude mít IP 10.22.0.0/24 a dalších pět 10.111.0.0/24, pak bych čekal, že spolu nebudou komunikovat. NAT zde vůbec nevystupuje

Ale o přesměrování portů to vůbec není, to je jiný druh problému (že klient se nemůže připojit na server za NATem), to je můj názor, že NAT zde nehraje roli.

je jasné, že NAT umožní komunikovat notebooku se zařízeními v internetu (protože telefon musí změnit zdrojovou adresu odcházejícho paketu na svou) , a technicky je jedno jestli jde o veřejnou IP v netu (seznam.cz) nebo privátní IP 10.x.y.z dashbardu, ale podle mě pravidlo, že právě když se chce spojit s privátní adresou, tak se to nesmí..

Nebo to pravidlo o tom, že privátní adresy vykládám špatně?

Vykladas si to spatne. Tvuj pocitac vsechny adresy co nejsou ve stejne siti odroutuje defaultni cestou na nadrazeny router. A ten, pokud nema uplnou smerovaci tabulku (nebo nema v tabulce zaznamy pro RFC1918 adresy do blackhole) udela to stejne, totiz odroutuje to defaultem dal. Az pak to dojde nekam, kde se to skutecne zahodi.

no a já se tedy ptám, proč nemá ty záznamy RFC1918 pro blachole ?

Otázka bokem: Mám připojení do internetu přes domácí ADSL modem (IP sítě 10.0.5.0/16). Tam jsou nějaký zařízení v této síti.

Nyní mám další sadu zařízení, který si chci propojit do oddělené sítě, s tím, že tato síť bude mít přístup do internetu přes router (například turris omnia) , který bude druhým rozhraním připojen do té sítě výše (tzn bude mít na tomto rozhraní 10.0.5.13).

Podmínka : zařízení z této nové sítě nesmí komunikovat se zařízeními v této sítě výše Ten router musí vystupovat jako jedno zařízení, tak tam musí být NAT. Na prvním routeru se nic měnit nebude. Ten o tom jako by nevěděl.

Jaká jsou možná řešení? Je nutný vytvářet jiné číslování této nové sítě. Je nutné tam dávat firewall? Nebo jde to dané z podstaty věci, že spolu nebudou komunikovat? (I když t odpovědí jsem se dozvěděl, že to právě možné je ,že se z 192.168... klidně dostanu na 10.5.2)

Switche switchují, routery routují. Pokud chceš, aby jedna privátní síť nesměla komunikovat s tou druhou, tak musíš na routeru (GW) nastavit takové pravidlo (resp. ho nesmíš vůbec vytvářet.) Pokud máš pouze switch, tak ti pustí všechno všude. Doporučuji ti si nastudovat rozdíl mezi switchem a routerem.

Příklad s switchtem jsem dal schválně - přeci ty počítače musí být spojené nějak . Konrétně na linkové úrovni.

A tím, že jsem jedném půlce nastavil 10.111/16 a druhé 10.33/16, tak předpokládám že spolu nemohou komunikovat. Je to pravda?

Zpět do poradny Odpovědět na původní otázku Nahoru