LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> Jak zajistit veřejnou adresu internetovému providerovi navzdory

V době, kdy se nedostává IP adres, se začínají ve velkém rozmáhat různá zařízení pro sběr dat. Často na takovém zařízení běží web server s přístupem k datům - záleží však na ochotě ISP, jestli bude vaše zařízení na internetu viditelné. Cestou pro snadné zviditelnění takového zařízení může být už dnes IPv6.

6.2.2013 09:00 | Petr Bravenec | Články autora | přečteno 8383×

Současná doba je trochu rozporná - přibývá různých zařízení na měření kdečeho, ale ubývá adres, které by umožnily takové zařízení na internetu oslovit přímo. Zároveň chybí odborníci - adresy sice k dispozici jsou (IPv6), ale často se lze setkat s postojem "IPv6 je první věc, co v počítači vypínám", navíc o nabídce IPv6 ze strany ISP je škoda mluvit. Většina takových zařízení proto končí v síti 192.168.něco.něco schovaná za natem, mnohdy s nepříjemným důsledkem - v jedné IPv4 síti se vám sejde několik stejných zařízení se službami na stejném portu - v lokální síti pak běží služba například na portu 80, ale na internetu je viditelná na portu 8080. Pokud máte přístup na router, máte částečně vyhráno - nastavit NAT můžete alespoň směrem z internetu do vnitřní sítě prakticky libovolně, ale obvykle můžete zapomenout na to, že byste dokázali nastavit NAT i z lokální sítě do lokální sítě. A i když tu možnost router poskytuje (ale upřímně - už jste někdy takovou škatulku z kategorie "levné" potkali?), kdo by se s tím nastavoval - je s tím spousta práce. Pokud na router přístup nemáte a router pro vás nastavuje nějaký lokální správce sítě, je situace ještě pracnější. Moje zkušenosti říkají, že když od lokálního správce dostanu statickou adresu 192.168.1.něco, protože v síti neběhá dhcp, budou lapálie pokračovat a třeba na požadavek "nastavte mi tam, prosím, NAT na port 8081", dostanu NAT na porty 90 a 91, protože port 80 už obsadilo jiné zařízení.

A i když se podaří takové zařízení oživit, potíže nekončí. Není vyjímkou, že ISP vaši síť přeadresuje a nedá vám vědět - z jeho pohledu je vše v pořádku, internet v lokální síti chodí.

Další kapitolou jsou servisní technici - člověk, který je zvyklý vyměňovat pojistky, obvykle nerozeznává tak jemné nuance, jako je IP adresa, a stejně jako s pojistkami zachází i s počítači - vyměňuje je kus za kus. Důsledky si jistě dokážete domyslet, ať už v síti s DHCP nebo bez DHCP.

Celé to pak nabírá silně pikantní příchuť, máte-li svá zařízení rozmístěná po celé Evropě, a k odborným hlediskům věci se přidávají ještě i jazykové dispozice a indispozice.

Se vším výše uvedeným jsem se potkal u rozsáhlého systému Fotomon pro sledování provozu fotovoltaických elektráren (můj názor a námět na flame: fotovoltaika je ok, dotace jsou špatně, a to jakékoliv).

Jak z takových potíží ven?

Ideální by bylo, kdybych počítač jednoduše připojil do sítě a nemusel se o nic starat, zařízení by se samo nakonfigurovalo, dostalo veřejnou adresu a ihned po zapnutí bych je "kdekoliv" na internetu viděl. Dá se to zařídit? Na sto procent ne, ale je možné se takovému stavu alespoň hodně přiblížit - pomocí tunelu a IPv6.

A jak to celé funguje:

Mějme "Zařízení" - počítač s měřící aparaturou umístěný na fotovoltaické elektrárně někde uprostřed ukrajinské stepi a "Server" - počítač, který pro zařízení poskytuje služby pro vytvoření tunelu a přiděluje IPv6 adresy.

1. Zařízení v lokální síti nabootuje a získá lokální IPv4 adresu. V lepším případě je síť nastavená pomocí DHCP - potom zařízení může dostat pokaždé adresu jinou, ale to nevadí, důležitější je fakt, že kvůli fungování na síti nebylo nutné zařízení nijak konfigurovat. V horším případě je přidělování adres v síti řešeno staticky. Potom nezbyde, než adresu prostě změnit.

2. Na vrstvě IPv4 se zařízení připojí přes internet na server ve vlastní firemní síti a vytvoří tunel, čímž se obejdou obvyklé potíže s nastavením NATu na routeru a s proměnlivou IPv4 adresou v lokální síti zařízení. Pro vytvoření tunelu lze s úspěchem použít protokol L2TP. Na úrovni tunelu nefigurují žádné IP adresy, ať už IPv4 či IPv6, tunel slouží jen jako "drát" pro vyšší vrstvy. Při vytváření tunelu se zařízení prokazuje heslem (chap autentikace), vyšší vrstvy (PPP) už žádnou další autentizaci neprovádějí. Šifrování nás nezajímá - data chodí beztak i na IPv4 buď nezašifrovaná, v otevřené podobě, nebo zašifrovaná protokolem https. Nastavení L2TP tunelu je díky tomu velmi jednoduché a odpadá nastavování IPSEC, které je spolu s L2TP často spojeno.

3. Na drátě vytvořeném tunelem L2TP se nastartuje PPP. Protože nám jde o veřejné ip adresy a těch se na IPv4 nedostává, je IPv4 kompletně vypnuté a PPP se domlouvá pouze na IPv6 adresách. V tento okamžik lze s úspěchem nastavit pouze linkové IPv6 adresy, ale jakmile je PPP nastartované a nakonfigurované, zařízení je už schopné se domluvit se serverem, ke kterému se připojuje, na dalším postupu. Použije k tomu právě linkové adresy, které sice ještě nejsou veřejné, ale umožňují už nyní na lince provoz point-to-point mezi zařízením a serverem.

4. Na síťových rozhraních vytvořených pomocí PPP se nastaví veřejné IPv6 adresy. Záměrně píšu množné číslo, protože veřejnou IPv6 adresu musíte nastavit jak na serveru, tak na zařízení. Protože na serveru se pro každé zařízení vytváří vlastní síťové rozhraní PPP, nejsnazší cestou, jak zařízení se serverem propojit, je obyčejné routování mezi sítí vytvořenou pro zařízení a veřejnou IPv6 sítí serveru. Pro přidělení veřejné adresy lze použít například radvd nebo dhcp, v případě specifických požadavků pak vlastní řešení - v PPP si můžete pro nastavení adres vytvořit vlastní skript.

Zde je třeba poukázat na jeden mentální rozdíl mezi IPv4 a IPv6: Nový protokol IPv6 má veliké množství adres. Aby vám něco neuniklo, zopakuji ještě jednou, že IPv6 má opravdu hodně veliké množství adres. Minimální adresní rozsah, který byste měli od svého ISP obdržet, je 64 bitů - adresami, které dostanete od svého ISP pro svou domácnost, byste současný internet naadresovali na druhou. Pro připojení zařízení to přesto nestačí, protože tento adresní rozsah je z principu fungování IPv6 dále nedělitelný do různých podsítí. Svého ISP proto musíte požádat o masku 48. S takovým adresním rozsahem už můžete vytvářet vlastní podsítě. Každé zařízení tak dostane k dispozici vlastní síť, ze které se sice využijí pouze dvě adresy, ale routování na serveru je díky tomu velmi jednoduché a prakticky se o ně nemusíte starat. Se síťovou maskou 48 bitů můžete vytvořit dalších 65 tisíc podsítí. Slovy klasika: 65 tisíc podsítí musí stačit každému.

Jste-li postižení uvažováním v mantinelech IPv4, a říkáte si: "Ale to je přece nehorázné plýtvání", můžete zkusit rozkouskovat svou 64-bitovou síť, ale tato cesta je slepá. Mnohem snazší pro vás bude, když se zbavíte mentalních hranic spojených se současným fungováním internetu na IPv4.

Oproti klasickému prostému připojení přes IPv4 má takové řešení řadu výhod:

  • nastavení může být řádově jednodušší
  • zařízení se vám často podaří nastavit i bez spolupráce s ISP
  • zařízení má veřejnou IP adresu, zařízení je díky tomu přístupné kdekoliv, kde funguje IPv6
  • veřejná IPv6 adresa není závislá na ISP, nemění se při změně adresy IPv4
  • v závislosti na mechanismu přidělování adres může být IPv6 adresa na každé elektrárně stále stejná, neměnná i při výměně zařízení
  • paradoxně vyšší spolehlivost spojení (tunel je vytvářený protokolem UDP bez potřeby NATu, který má tendenci časem spojení ukončovat).

Jistě se najdou i nevýhody:

  • zařízení je přístupné pouze na IPv6
  • v případě problémů si s tím běžný uživatel neporadí, v IPv6 se zatím mnoho lidí nevyzná
  • donutit vlastního ISP na straně serveru k poskytnutí IPv6 může být obtížné
  • řešení problémů na IPv6 může být pomalejší, protože jste obvykle první, kdo problémy s IPv6 svému ISP reportuje
  • veškerý síťový provoz zařízení na IPv6 prochází přes váš server
  • v případě, že máte IPv6 na serveru přes tunel například od Hurrican Electric, pakety mohou zbytečně běhat internetem sem a tam a přístup z cizí sítě může být pomalejší.

Závěr

V dnešním článku jsme si popsali princip postupu, který nám může jednoduše zajistit veřejnou IPv6 adresu u různých udělátek pro sběr dat navzdory všem překážkám ze strany ISP. Připraveno je pokračování článku, ve kterém představíme praktické řešení na konkrétním příkladu.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze