Gerät für (viel) IPv4-NAT
Heiko Schlichting
ich suche Gerï¿œte, welche IPv4 NAT machen. Nun kann das bereits jeder
Router@Home und auch iptables, aber es mï¿œssen ziemlich viele Verbindungen
fï¿œr einige aktive Gerï¿œte umgesetzt werden.
Umgesetzt werden soll von
10.$x.$y.$z auf A.B.$x.$y
fï¿œr alle zulï¿œssigen Werte von $x und $y. Einzutragen wï¿œren also ca. 65.000
NAT-Regeln, falls obenstehendes nicht als eine Regel zu formulieren wï¿œre.
Die Schwierigkeit besteht darin, dass das Gerï¿œt, was ich suche, in der Lage
sein muss, dieses fï¿œr mind. 15.000 gleichzeitig aktive Gerï¿œte(*), die alle
per WLAN(**) auf der 10/8 Seite ankommen, zu leisten. Zwecks Redundanz (aber
vielleicht auch zur Lastverteilung) sollten es mind. zwei Gerï¿œte sein. Up-
und Downlink entweder 10 GE oder n*1GE gebï¿œndelt.
Was nimmt man fï¿œr ein Gerï¿œt fï¿œr einen solchen Zweck? (***)
Heiko
(*) Die machen das, was Studierende auf Ihren Laptops/Smartphones/Tablets
so machen. Sind heutzutage alle wesentlichen Anwendungen von sich aus
NAT-fï¿œhig oder muss man sich darum kï¿œmmern, dass sowas wie die
Helper-Module bei iptables auf dem Gerï¿œt vorhanden sind?
(**) Etwa 1.200 Accesspoints mit entsprechenden Cisco Wireless Services
Modulen.
(***) Debian und iptables wird hier stark genutzt, so dass ich zunï¿œchst an
etwa 4 bis 8 Stï¿œck HP Blades BL460 mit Debian und iptables gedacht
habe. Andererseits mï¿œsste es doch auch Gerï¿œte geben, die fï¿œr NAT
optimiert sind und das vielleicht performanter hinbekommen, die ich
aber noch nicht kenne.
Juergen Nickelsen
> Umgesetzt werden soll von
>
> 10.$x.$y.$z auf A.B.$x.$y
>
> für alle zulässigen Werte von $x und $y. Einzutragen wären also ca. 65.000
> NAT-Regeln, falls obenstehendes nicht als eine Regel zu formulieren wäre.
>
> Die Schwierigkeit besteht darin, dass das Gerät, was ich suche, in der Lage
> sein muss, dieses für mind. 15.000 gleichzeitig aktive Geräte(*), die alle
> per WLAN(**) auf der 10/8 Seite ankommen, zu leisten. Zwecks Redundanz (aber
> vielleicht auch zur Lastverteilung) sollten es mind. zwei Geräte sein. Up-
> und Downlink entweder 10 GE oder n*1GE gebündelt.
>
> Was nimmt man für ein Gerät für einen solchen Zweck? (***)
Ist natuerlich immer auch ein Frage des Budgets. Gehen wuerde das
zum Beispiel mit den SRX-Routern von Juniper ("Services Gateways");
fuer eine Bandbreite von n Gbits/s koennte eventuell ein SRX1400 in
Frage kommen. Die sind natuerlich nicht ganz umsonst, koennen aber,
so habe ich das verstanden, NAT relativ gut und noch eine Reihe
anderer Dinge (vor allem sonstige Firewall-Funktionalitaet), und
koennen in Active/Active- und Active/Passive-Konfiguration laufen.
Praktische Erfahrung damit habe ich allerdings nicht. Mit meinem
SRX100 zu Hause bin ich sehr zufrieden, aber der spielt doch in
einer etwas anderen Groessenordnung. :-}
--
I have always wished that my computer would be as easy to use as my
telephone. My wish has come true. I no longer know how to use my
telephone. -- Bjarne Stroustrup
Florian Weimer
> Umgesetzt werden soll von
>
> 10.$x.$y.$z auf A.B.$x.$y
>
> NAT-Regeln, falls obenstehendes nicht als eine Regel zu formulieren wäre.
Das sollte netfilter mit speziellem Modul machen können, daß diese Art
von NAT direkt mit einer Regel durchführt. Das eigentliche Umschreiben
kann dann vom allgemeinen netfilter-Stack durchgeführt werden, so daß
sich das Modul einfach programmieren lassen sollte (mit NETMAP als
Vorlage bzw. als --shift-Argument dort).
> Die Schwierigkeit besteht darin, dass das Gerät, was ich suche, in der Lage
> sein muss, dieses für mind. 15.000 gleichzeitig aktive Geräte(*), die alle
> und Downlink entweder 10 GE oder n*1GE gebündelt.
Die Anzahl der Sessions und die Aufbaurate sind auch interessant.
Ich würde versuchen, das mit netfilter zu implementieren, und zwar auf
einem System mit *einem* CPU-Sockel und möglichst viel Cache, so daß
die Netfilter-Datenstrukturen größtenteils dort gehalten werden
können.
Warum machst Du eigentlich überhaupt NAT bei 15.000 Clients und 2**16
Adressen?
Gert Doering
>Warum machst Du eigentlich überhaupt NAT bei 15.000 Clients und 2**16
>Adressen?
*flücht*
gert
--
USENET is *not* the non-clickable part of WWW!
//www.muc.de/~gert/
Gert Doering - Munich, Germany ge...@greenie.muc.de
fax: +49-89-35655025 ge...@net.informatik.tu-muenchen.de
Marc Haber
>Ich würde versuchen, das mit netfilter zu implementieren, und zwar auf
>einem System mit *einem* CPU-Sockel und möglichst viel Cache, so daß
>die Netfilter-Datenstrukturen größtenteils dort gehalten werden
>können.
--from 10.0.0.0/16 jump chain10-0
--from 10.1.0.0/16 jump chain10-1
--from 10.2.0.0/16 jump chain10-2
chain10-0
--from 10.0.0.0/24 jump chain10-0-0
chain 10-0-0
--from 10.0.0.0 NAT
--from 10.0.0.1 NAT
usw, usf
Ziel: minimiere die Zahl der Regeln, die für ein Paket verarbeitet
werden müssen.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Bastian Blank
> Warum machst Du eigentlich überhaupt NAT bei 15.000 Clients und 2**16
> Adressen?
aber der FU scheint ihr /16-Block wohl nicht zu reichen, so das sie die
Eduroamler in den DFN-Roaming-Bereich stecken müssen.
Florian Weimer
daher nicht fremden Geräten zugewiesen werden, aber das wird
eigentlich nur bei IPv6 so eng gesehen.
Florian Weimer
> Florian Weimer <f...@deneb.enyo.de> wrote:
>>Ich würde versuchen, das mit netfilter zu implementieren, und zwar auf
>>einem System mit *einem* CPU-Sockel und möglichst viel Cache, so daß
>>die Netfilter-Datenstrukturen größtenteils dort gehalten werden
>>können.
>
> Und die Regeln staffeln:
notwendig, weil sonst die Regeln die Zustandstabelle aus dem Cache zu
verdrängen drohen.
Bastian Blank
> * Bastian Blank:
>> aber der FU scheint ihr /16-Block wohl nicht zu reichen, so das sie die
>> Eduroamler in den DFN-Roaming-Bereich stecken müssen.
> Sie haben mindestens 3 /16er-Blöcke. Gut, alle sind PI und dürfen
> daher nicht fremden Geräten zugewiesen werden, aber das wird
> eigentlich nur bei IPv6 so eng gesehen.
RIPE-Agreement steht nur was von "internal purposes".
Durch das NAT ändert sich die Zuordnung? Die Nutzer sind per Definition
Gäste der Einrichtung. Ich habe noch keine Uni gesehen, die das
ernstlich stört, sowohl welche mit PI als auch mit EARLY-REGISTRATION
IP-Bereichen.
Bastian
Florian Weimer
> Florian Weimer wrote:
>> * Bastian Blank:
>>> Die FU Berlin macht Eduroam mit NAT. Alle anderen Unis haben genug IPs,
>>> aber der FU scheint ihr /16-Block wohl nicht zu reichen, so das sie die
>>> Eduroamler in den DFN-Roaming-Bereich stecken m�ssen.
>> Sie haben mindestens 3 /16er-Bl�cke. Gut, alle sind PI und d�rfen
>> daher nicht fremden Ger�ten zugewiesen werden, aber das wird
>> eigentlich nur bei IPv6 so eng gesehen.
>
> Woraus ergibt sich deiner Meinung nach diese Policy? In dem
> RIPE-Agreement steht nur was von "internal purposes".
| Provider Independent (PI) address space is assigned to End Users
| directly from the address pools managed directly by the RIPE NCC.
| PI space cannot be re-assigned or further assigned to other parties.
(8.0 in RIPE-524)
Bei IPv6 wird die analoge Klausel dahingehend ausgelegt, da� die
Zuweisung an Kunden (z.B. f�r deren Webserver) nicht zul�ssig ist.
Bei IPv4 bislang nicht.
> Durch das NAT �ndert sich die Zuordnung?
Die Adresse wird nicht einer anderen Partei zugewiesen, sondern
verbleibt beim Betreiber.
> Die Nutzer sind per Definition G�ste der Einrichtung. Ich habe noch
> keine Uni gesehen, die das ernstlich st�rt, sowohl welche mit PI als
> auch mit EARLY-REGISTRATION IP-Bereichen.
EARLY-REGISTRATION-inetnum-Objekte k�nnen weiter unterteilt werden.
Bastian Blank
> * Bastian Blank:
>>> Sie haben mindestens 3 /16er-Blöcke. Gut, alle sind PI und dürfen
>>> eigentlich nur bei IPv6 so eng gesehen.
>> Woraus ergibt sich deiner Meinung nach diese Policy? In dem
>> RIPE-Agreement steht nur was von "internal purposes".
>| Provider Independent (PI) address space is assigned to End Users
>| directly from the address pools managed directly by the RIPE NCC.
>| PI space cannot be re-assigned or further assigned to other parties.
> (8.0 in RIPE-524)
> Zuweisung an Kunden (z.B. für deren Webserver) nicht zulässig ist.
> Bei IPv4 bislang nicht.
Hier geht es nicht um Kunden.
Ausser du willst den Begriff des Kunden sehr weit auslegen. Dann
erschlägst du damit aber auch eine Abteilung innerhalb einer Firma,
welche bei einer anderen als Kunde Dienstleistungen "einkauft".
>> Durch das NAT ändert sich die Zuordnung?
> Die Adresse wird nicht einer anderen Partei zugewiesen, sondern
> verbleibt beim Betreiber.
Natürlich wird das zugewiesen, sonst könnte keine Kommunikation
stattfinden. Du erreichst damit das selbe Ergebniss mit einem anderen
Weg.
Mit dieser Begründung kann ich aber auch IPs an die Webserver der Kunden
vergeben, es muss halt ein NAT o.ä. um Weg sein.
Bastian
Carsten Krueger
> Umgesetzt werden soll von
>
> 10.$x.$y.$z auf A.B.$x.$y
>
> f�r alle zul�ssigen Werte von $x und $y.
Nur aus Neugier, was hat man davon?
Dann kann man doch gleich �ffentliche IPs direkt vergeben.
> (*) Die machen das, was Studierende auf Ihren Laptops/Smartphones/Tablets
> so machen. Sind heutzutage alle wesentlichen Anwendungen von sich aus
> NAT-f�hig oder muss man sich darum k�mmern, dass sowas wie die
> Helper-Module bei iptables auf dem Ger�t vorhanden sind?
Studenten die SIP benutzen werden dich hassen, wenn da ein NAT eingeschoben
wird. STUN nervt.
Active FTP geht auch kaputt.
Gru� Carsten
--
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://mailcatch.com/ - Antispam
cakruege (at) gmail (dot) com
Andreas Schwarz
> ich suche Geräte, welche IPv4 NAT machen. Nun kann das bereits jeder
> Router@Home und auch iptables, aber es müssen ziemlich viele Verbindungen
> für einige aktive Geräte umgesetzt werden.
> Umgesetzt werden soll von
>
> 10.$x.$y.$z auf A.B.$x.$y
>
> NAT-Regeln, falls obenstehendes nicht als eine Regel zu formulieren wäre.
> Die Schwierigkeit besteht darin, dass das Gerät, was ich suche, in der Lage
>
> Was nimmt man für ein Gerät für einen solchen Zweck? (***)
nicht zurueckhaltend, dir die Vorteile ihrer "carrier grade" Geraete zu
erklaeren.
--
PGP: 0x661AB571
Heiko Schlichting
> Warum machst Du eigentlich überhaupt NAT bei 15.000 Clients und 2**16
> Adressen?
Benutzer hat eine feste IP-Adresse (was auch keinesfalls geändert werden
soll) und es funktioniert auch seit Jahren wunderbar. Leider schleppen
einige Benutzer mehr als ein Device (Laptop, Smartphone, Tablett) mit sich
rum und wir lassen mit einer IP-Adresse aber eben nicht mehr als ein Gerät
gleichzeitig zu.
Jetzt wird vermehrt der Wunsch laut, mehrere Geräte auf die persönliche,
dauerhafte IP-Adresse schalten zu können, was man z.B. mit NAT machen
könnte. Daher die Anfrage.
IPv6 oder eine dynamische Vergabe von IP-Adressen sind keine Option.
Heiko
Heiko Schlichting
uns vom DFN zugewiesen wurde. Das geht demzufolge nur mit NAT.
Dass hierfür keine IP-Adressen der Freien Universität Berlin genutzt
werden, sondern welche, die dem DFN zugeordnet sind, hat verschiedene
Gründe, u.a. bezüglich der Frage der Haftung, wer das Abuse-Management
macht und ob man auf bestimmte Ressourcen von Vertragspartnern zugreifen
darf.
Meine Abfrage bezog sich aber nicht auf Eduroam für externe Nutzer.
Heiko
Heiko Schlichting
> Am 17 Sep 2011 13:06:07 GMT schrieb Heiko Schlichting:
>
>> Umgesetzt werden soll von
>>
>> 10.$x.$y.$z auf A.B.$x.$y
>>
> Nur aus Neugier, was hat man davon?
So ist es jetzt: ca. 60.000 Benutzer haben statische IPs. Jetzt wollen aber
einige von denen mehr als ein Gerät gleichzeitig nutzen (auf eben jener
einen statischen IP-Adresse).
> Studenten die SIP benutzen werden dich hassen, wenn da ein NAT eingeschoben
> wird. STUN nervt.
> Active FTP geht auch kaputt.
einstellen, ob sie NAT bekommen oder nicht. Wenn nicht, können sie aber
eben nicht mehr als ein Gerät gleichzeitig im WLAN betreiben. Ich würde ja
auch denken, dass das reicht, aber ...
Eine Abkehr von statischen IP-Adressen ist keine Option, da diese
vielfältig innerhalb und ausserhalb der FU zur Zuordnung und für Freigaben
(iptables, samba, NFS, diverse Ressourcen) genutzt werden und eine Änderung
nicht gewollt ist.
Heiko
Heiko Schlichting
>> Dass hierfür keine IP-Adressen der Freien Universität Berlin genutzt
>> werden, sondern welche, die dem DFN zugeordnet sind, hat verschiedene
>> Gründe, u.a. bezüglich der Frage der Haftung, wer das Abuse-Management
>> macht und ob man auf bestimmte Ressourcen von Vertragspartnern zugreifen
>> darf.
>
> Hochschule bekannt, die sich auch so ins Hemd macht.
Ich habe da keine Liste, aber da der DFN einigen anderen Universitäten
ebenfalls IP-Adressen zugeordnet hat, wird es da vermutlich weitere geben.
Aufgrund der Größe und der Hauptstadt gibt es hier vermutlich auch
überdurchschnittlich viele Eduroam-Nutzer und damit mehr Mißbrauch.
Über die Qualität des Abuse-Managements anderer Universitäten möchte ich
mich nicht im Detail äußern, aber ich denke, dass wir das schon ganz gut
machen und zu den oberen 10% zählen. Ich bin mir nicht sicher, wie es um
die Kontinuität bei Eduroam an manchen Einrichtungen bestellt ist, wenn die
wegen eines eduroam-Gastes verklagt werden.
Aber wir kommen zu sehr vom Thema ab ... Heiko
Carsten Krueger
> Carsten Krueger wrote:
>> Am 17 Sep 2011 13:06:07 GMT schrieb Heiko Schlichting:
>>> Umgesetzt werden soll von
>>> 10.$x.$y.$z auf A.B.$x.$y
>
> Dir ist offenbar entgangen, daß die Variable $z in der öffentlichen IP nicht
> mehr vorkommt.
Ich bin irritiert, dass da nur "für alle zulässigen Werte von $x und $y"
steht und $z nicht erwähnt ist.
> FTP ist kaputt seit es spezifiziert wurde.
;-)
Gruß Carsten
Carsten Krueger
> So ist es jetzt: ca. 60.000 Benutzer haben statische IPs.
IP?
> Eine Abkehr von statischen IP-Adressen ist keine Option, da diese
> vielfältig innerhalb und ausserhalb der FU zur Zuordnung und für Freigaben
> (iptables, samba, NFS, diverse Ressourcen) genutzt werden und eine Änderung
> nicht gewollt ist.
IIRC haben wir bei uns an der HU öffentliche IP-Adressen die per DHCP
vergeben werden und nur in der Informatik machen wir NAT.
Ohne jetzt mit Herrn Winks gesprochen zu haben schätze ich mal, dass wir
nur 5000-10000 WLAN-Clients gleichzeitig haben.
Gruß Carsten
Gert Doering
>IPv6 ... keine Option.
Heiko, �brigens, wir haben 2011...
Gert Doering
>Sie haben mindestens 3 /16er-Bl�cke. Gut, alle sind PI und d�rfen
>daher nicht fremden Ger�ten zugewiesen werden, aber das wird
>eigentlich nur bei IPv6 so eng gesehen.
/me verweist auf die bekannte Ausnahmeregel f�r IPv4 PI und Interconnect-
Infrastruktur. Was alles, wo "der Kunde bekommt genau eine Adresse" ist.
Nicht dass das bei (effektiv) Legacy-Assignments irgendwie relevant w�re.
Juergen P. Meier
> Heiko, übrigens, wir haben 2011...
IPv6 ist noch nicht abgehangen genug.
Florian Weimer
> So ist es jetzt: ca. 60.000 Benutzer haben statische IPs. Jetzt wollen aber
> einige von denen mehr als ein Gerät gleichzeitig nutzen (auf eben jener
> einen statischen IP-Adresse).
sicher, daß Schritte auf Netzbetreiberseite erforderlich sind? Andere
Anbieter machen das nicht.
Heiko Schlichting
> Am 19 Sep 2011 09:29:12 GMT schrieb Heiko Schlichting:
>
>> So ist es jetzt: ca. 60.000 Benutzer haben statische IPs.
>
> Alle Studenten und Mitarbeiter der FU und der Charite haben eine statische
> IP?
>> Eine Abkehr von statischen IP-Adressen ist keine Option, da diese
>> vielfältig innerhalb und ausserhalb der FU zur Zuordnung und für Freigaben
>> (iptables, samba, NFS, diverse Ressourcen) genutzt werden und eine Änderung
>> nicht gewollt ist.
>
> Ihr habt WLAN-Geräte mit statischen IPs weil darauf Server laufen?
gewollt.
Heiko
Florian Weimer
> Florian Weimer <f...@deneb.enyo.de> writes:
>
>>Sie haben mindestens 3 /16er-Blöcke. Gut, alle sind PI und dürfen
>
> eine Adresse" ist.
| IP addresses used solely for the connection of an End User to a
| service provider (e.g. point-to-point links) are considered part of
| the service provider's infrastructure.
(Abschnitt 6.2)
Ich finde es überraschend, daß der "service provider" selbst wieder
"End User" sein kann. Da PI-Adressen an "End User" vergeben werden,
ist dies Voraussetzung dafür, daß die Regel Anwendung finden kann.
> Nicht dass das bei (effektiv) Legacy-Assignments irgendwie relevant
Beziehst Du das auf IPv4 oder auf das Alter der Zuteilung? Bei
letzterem gibt es, wie soll ich's sagen, eine Anomalie.
Heiko Schlichting
> Dafür gibt es doch ICS, Personal Hotspot und so weiter. Bist Du Dir
> sicher, daß Schritte auf Netzbetreiberseite erforderlich sind?
bringen wollen, sage ich doch nicht, dass die noch einen Personal Hotpot
mit sich rumtragen sollen. Genauer: Das sage ich denen bisher schon, aber
es wird gewünscht, dass sich dieser Zustand ändert und es "einfach so"
funktioniert. Das finde ich jetzt auch nicht wirklich ungewöhnlich und die
Zahl der Nutzer, die sich bei der Hotline melden, weil ein zweites Gerät
über den gleichen Account an das Netz angeschlossen wurde, ist deutlich
ansteigend. NAT ist nicht die einzig mögliche Lösung, aber eine, die sich
mit vertretbarem Aufwand realisieren liesse.
Heiko
Carsten Krueger
> Dafür gibt es doch ICS, Personal Hotspot und so weiter. Bist Du Dir
> sicher, daß Schritte auf Netzbetreiberseite erforderlich sind? Andere
> Anbieter machen das nicht.
ICS hilft nicht, die wenigstens Notebooks können gleichzeitig WLAN-Client
als auch AP sein und unpraktisch wär das sowieso.
Gruß Carsten
Carsten Krueger
> Ja.
Krass.
> Nein, Server sollte es im WLAN nicht geben und wenn doch, dann nicht
> gewollt.
Martin Hotze
> IPv6 oder eine dynamische Vergabe von IP-Adressen sind keine Option.
#m
--
"What would I do with 72 virgins? That's not a reward,
that's a punishment. Give me two seasoned whores any day."
(Billy Connolly)
Heiko Schlichting
> hmm und die Adresse sind kreuz und quer vergeben und nicht "gepoolt"?
für die gesamte Laufzeit und in der Zeit kann sich der Status von Student
in Mitarbeiter und in Alumnus ändern. Auch Fachbereichszugehörigkeit geht
nicht, denn auch diese kann sich ändern. Und natürlich gibt es auch
Personen, die Student und Mitarbeiter gleichzeitig sind und welche, die
mehreren Fachbereichen angehören. Und ausserdem bleibt bei bis zu 60.000
Accounts auch nicht mehr viel Platz in einem /16, um sinnvolle Poolgrößen
zu bilden, denn da hätte man ja Verschnitt.
Die persönliche IP-Nummer wird beim Anlegen eines Accounts durch den
Benutzerservice automatisch aus dem Pool der freien IP-Nummern zufällig
vergeben und beim Löschen des Accounts wieder freigegeben.
Heiko
Heiko Schlichting
> Am 19.09.2011 11:08, schrieb Heiko Schlichting:
>
>> IPv6 oder eine dynamische Vergabe von IP-Adressen sind keine Option.
>
> Und weitere IPv4 Adressen von der RIPE beantragen ist auch keine Option?
begründen und habe mich über das zugeteilte /16 gefreut. Wenn jemand aber
mehr als ein Device mit sich rumträgt und im WLAN betreiben will, dann kann
man demjenigen m.E. zumuten über NAT zu gehen. Ich kann ja nicht n*/16
beantragen, nur weil ein Student meint, "n" Geräte besitzen zu müssen. Mal
davon abgesehen, dass ich "n" nicht kenne, aber bei der NAT-Lösung mit
maximal 254 gleichzeitigen Geräten im WLAN je Account schon mal ziemlich
hoch ansetze.
Dass langfristig IPv6 (only, ohne dual stack und ohne NAT/TRT) die richtige
Lösung ist, steht ausser Frage, aber das zur Zeit keine Option.
Heiko
Heiko Schlichting
> Am 19.09.2011 11:08, schrieb Heiko Schlichting:
>
>> IPv6 oder eine dynamische Vergabe von IP-Adressen sind keine Option.
>
> Und weitere IPv4 Adressen von der RIPE beantragen ist auch keine Option?
begründen und habe mich über das zugeteilte /16 gefreut. Wenn jemand aber
mehr als ein Device mit sich rumträgt und im WLAN betreiben will, dann kann
man demjenigen m.E. zumuten über NAT zu gehen. Ich kann ja nicht n*/16
beantragen, nur weil ein Student meint, "n" Geräte besitzen zu müssen. Mal
davon abgesehen, dass ich "n" nicht kenne, aber bei der NAT-Lösung mit
ansetze (das war ja $z im Ursprungsposting).
Gert Doering
>> /me verweist auf die bekannte Ausnahmeregel für IPv4 PI und
>> Interconnect- Infrastruktur. Was alles, wo "der Kunde bekommt genau
>> eine Adresse" ist.
>Meinst Du das hier?
>| IP addresses used solely for the connection of an End User to a
>| service provider (e.g. point-to-point links) are considered part of
>| the service provider's infrastructure.
>(Abschnitt 6.2)
Ja.
>Ich finde es überraschend, daß der "service provider" selbst wieder
>"End User" sein kann. Da PI-Adressen an "End User" vergeben werden,
>ist dies Voraussetzung dafür, daß die Regel Anwendung finden kann.
Die Terminologie geht hier etwas durcheinander, es ist halt ein alter
Text der nie wirklich aufgeraeumt wurde.
Inzwischen wird diese Klausel verwendet, um grosse DSL-Provider mit
PI-Space zu fahren "weil's billiger ist als PA". Aber das ist alles
legacy space, und damit eh bald vorbei.
>> Nicht dass das bei (effektiv) Legacy-Assignments irgendwie relevant
>> wäre.
>Beziehst Du das auf IPv4 oder auf das Alter der Zuteilung? Bei
>letzterem gibt es, wie soll ich's sagen, eine Anomalie.
In dem Fall auf "legacy IPv4" - die Uni-/16s sind doch alle noch
richtige "Class B"-Netze, und im Zweifel nicht von RIPE, oder aelter
als diese Policy-Dokumente.
Heiko Schlichting
> In dem Fall auf "legacy IPv4" - die Uni-/16s sind doch alle noch
> richtige "Class B"-Netze, und im Zweifel nicht von RIPE, oder aelter
> als diese Policy-Dokumente.
Das für die persönlichen IP-Adressen von Studierenden und Mitarbeitern
genutzte Netz ist aber neu und wurde von RIPE am 21.06.2006 für den
genannten Zweck zugewiesen.
Heiko
Carsten Krueger
> Nee. *Eine* IP-Nummer je Student/Mitarbeiter konnte ich ja noch sinnvoll
> begründen
und Studenten gleichzeitig online sind.
Es werden ja immer nur ein Bruchteil der Adressen gleichzeitig gebraucht.
Ist halt historisch gewachsen ...
Carsten Krueger
> Zwei unserer drei /16 sind alt; eines (130.133/16) älter als RIPE selbst.
> Das für die persönlichen IP-Adressen von Studierenden und Mitarbeitern
> genutzte Netz ist aber neu und wurde von RIPE am 21.06.2006 für den
> genannten Zweck zugewiesen.
verschwenden anstatt dynamisch zuzuteilen ist schon echt ...
Wahrscheinlich brauchen davon nur 0,2% eine statische IP, für WLAN mit
Laptop/Handy ist das schließlich absolut überflüssig.
Ich würde ernsthaft darüber nachdenken möglichst große Blöcke darin frei zu
schaufeln und dann für's WLAN ausschließlich dynamisch vergeben.
-1 Monat lang alle paar Minuten mit nmap durchcrawlen, schauen wo echte
Rechner stehen und wo nur Laptops/Handies ab und zu auftauchen
-Rundmail an "alle IPs mit Handy/Laptop", dass die Adressen eingezogen
werden solange nicht innerhalb des nächstens Monats ein Widerspruch erfolgt
Gruß Carsten
PS: Falls das zu sehr off-topic ist, kein Problem. Ich versuche nur
Vorschläge zu machen wie man das doch ohne NAT und insgesamt sinnvoll
hinbekommt.
Carsten Krueger
> Das läßt sich nicht sinnvoll "poolen". Die IP-Adresse behält ein Account ja
> für die gesamte Laufzeit und in der Zeit kann sich der Status von Student
> in Mitarbeiter und in Alumnus ändern.
Nur "echte" Client-PCs und Server brauchen eine feste IP.
Ich glaube die Informatik hat an der HU z.B. 512 oder 1024 Adressen, die
Mathematik auch, kleine Fakultäten vermutlich weniger, der Rest gehört dem
CMS und das hat darin einen Pool für dynamisch vergebene WLAN-Adressen.
Heiko Schlichting
> Wozu haben Studenten und Mitarbeiter eine persönliche IP?
beschränken kann. Zum Beispiel Einträge in iptables, worüber einige Dienste
oder Zugang zu bestimmten Resourcen freigegeben werden, ähnliches gilt für
Zugriff auf Samba und NFS. Desweiteren wird die feste IP-Adresse auch zur
Nutzung externer Dienste verwendet. Mit meiner persönlichen IP-Adresse kann
ich zum Beispiel auf mein NAS zuhause und auf eine Reihe weiterer
geschützer Server per ssh zugreifen, weil der Zugriff von dieser IP-Adresse
freigeschaltet ist. Natürlich ist die IP-Adresse nicht der einzige Schutz.
Abuse-Management wird durch feste IP-Adressen auch vereinfacht.
Heiko
Carsten Krueger
> Weil es eine Reihe von Sachen gibt, die man nur anhand einer IP-Adresse
> beschränken kann. Zum Beispiel Einträge in iptables, worüber einige Dienste
> oder Zugang zu bestimmten Resourcen freigegeben werden, ähnliches gilt für
> Zugriff auf Samba und NFS.
wenn man selbst Dienste betreibt.
Für's WLAN ist das doch VÖLLIG schnurz.
> Abuse-Management wird durch feste IP-Adressen auch vereinfacht.
Lutz Donnerhacke
> ich suche Geräte, welche IPv4 NAT machen. Nun kann das bereits jeder
> Router@Home und auch iptables, aber es müssen ziemlich viele Verbindungen
> für einige aktive Geräte umgesetzt werden.
> Umgesetzt werden soll von
>
> 10.$x.$y.$z auf A.B.$x.$y
>
> NAT-Regeln, falls obenstehendes nicht als eine Regel zu formulieren wäre.
Ich hab's mal mit einer ASA 8.4 ausprobiert ... geht. Als 60000 object
network Einträge. Unschön aber geht.
Mir ist unklar, welche Ports von außen erreicht werden dürfen. Ich hab also
mal den Bereich 1-1023 an 10.x.y.0 durchgereicht und 10.x.y.z auf a.b.x.y
mit PAT genattet.
HTH
Ob das auch läuft?
Juergen P. Meier
> Damit kann Heiko dem Benutzer der Infomatik erlauben, den Server der
> Infomatik zu nutzen - ja auch über das WLAN, über den per 1GBit/100MBit
Aua. Stirbt dieser Bullshit immer noch nicht aus?
IP Addressen sind kein Authentifizierungsmerkmal. Vollidioten.
Zur sicheren und *zuverlaessigen* Authentifizierung gibe es speizielle
Protokolle, die irgendwann vor 20 Jahren erfunden wurden. Vielleicht
lehrt ihr euren Studenten ja grundsaeztlich keinen neumodischen
Schnickschnack, auf dass sie auch ja nicht auf die Idee kommen, sich
fuer Qualifiziert zu halten.
Anderswo sind Universitaeten progressiver, und der Ausschuss an
Studierten dann entsprechend geringer.
> angebundenen Notebook oder bei Einwahl über den Computer der Freundin
> des Benutzers. Er sieht immer gleich aus, und kann z.B. Beschränkunguen
> welcher Art auch immer niemals unterlaufen.
IP Addressen lassen sich natuerlich nicht faelschen. Ueberhaupt nicht.
> Umgekehrt kann er auch Serverdienste nutzen, da er ja eine feste IP
> hat, um z.B. später als Professor seinen Studenten Daten ausliefern zu
> können.
Wozu? Warum stellt man ihm dafuer keinen Server bereit?
> Und falls er Mist baut, kann er aufgrund der IP-Adresse sehr leicht
> eingeschränkt werden.
man Vorratsdatenspeicherung. Gilt auch fuer Zugangsdaten wie
RADIUS-Logs etc.
Faulheit, gepaart mit Ignoranz duerften die Hauptgruende fuer eine
Beibehaltung so eines Status Quo einer "historisch gewachsenen" Leosung
sein.
Das mag zynisch sein, aber Zyniker haben nunmal all zu oft Recht.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Heiko Schlichting
>
> Ich hab's mal mit einer ASA 8.4 ausprobiert ... geht. Als 60000 object
> network Einträge. Unschön aber geht.
nicht ständig "show running-config" aufrufen.
Heiko
Lutz Donnerhacke
abspeichern kannst, sondern die Config vom TFTP laden mußt.
Und ob sie überhaupt tut, ist die nächste Frage. Evtl. bebekommst Du
seltsame Einträge im Log ala "Connection table for static entries is full"
oder ähnlichen Blödsinn.
Ich hatte schon den Fall, daß er beim 50. Interface keine PAT Regel mehr
annahm. Vier Tage später ging's dann problemlos.
Juergen Ilse
Lutz Donnerhacke <lu...@iks-jena.de> wrote:
[ Cisco ASA ]
> Ich hatte schon den Fall, daß er beim 50. Interface keine PAT Regel mehr
> annahm. Vier Tage später ging's dann problemlos.
Solche Phaenomene kene ich von Situationen, wo der Speicher knapp wird.
In einem ASA-Cluster hilft es dann manchmal, ein failover zu erzwingen
und die (dann) standby-maschine zu rebooten (notfalls Vorgang wieder-
holen, damit dann beide Maschinen mal neu gebootet worden sind) ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Tobias Crefeld
> Florian Weimer <f...@deneb.enyo.de> writes:
>> Warum machst Du eigentlich überhaupt NAT bei 15.000 Clients und 2**16
>> Adressen?
> NAT ist ganz toll!! Und total sicher!
Ich glaube eher, er hat sich bei der Verteilung der letzten V4-Adressen zu
spät in der Schlange angestellt... und will die eigentlich logische
Konsequenz vermeiden.
Hatte bislang immer die Vorstellung, dass sich Akademien für alles
Innovative begeistern können. Scheint nicht mehr so der Fall zu sein.
--
Gruss,
Tobias.
Gert Doering
>Autsch. Im Jahre 2006 ein ganzes /16 durch statische Vergabe zu
>verschwenden anstatt dynamisch zuzuteilen ist schon echt ...
>Ich würde ernsthaft darüber nachdenken möglichst große Blöcke darin frei zu
>schaufeln und dann für's WLAN ausschließlich dynamisch vergeben.
mit sowas vertut, ist vertane Zeit.
>PS: Falls das zu sehr off-topic ist, kein Problem. Ich versuche nur
>Vorschläge zu machen wie man das doch ohne NAT und insgesamt sinnvoll
>hinbekommt.