Я специально даю такой заголовок чтобы можно было нагуглить, поскольку с этим я столкнулся сам и ничего не нагуглил.
Итак, что такое белый и серый адрес, я писать не буду. Если вы не знаете, то, скорее всего, вам этот пост интересен не будет.
Когда-то, на заре интернета, большинство пользователей сидели с серыми адресами, за NAT'ом. У провайдеров были маленькие диапазоны адресов, поэтому приходилось работать так. Это вызывало ряд проблем при использовании торрента, игр и некоторых других сервисов.
С 2007 года я сидел на Корбине. Она тогда выдавала пользователям белые адреса. Пусть динамические, но белые. Я, естественно, был этому рад. У меня хорошо работали не только торренты, но и такое малоизвестное ПО, как Share и Perfect Dark. Кроме того, тогда ещё было мало программ по типу Team Viewer, поэтому для подключения к удалённому рабочему столу я использовал TightVNC, который также требует белого адреса.
Шли годы. Билайн поглотил Корбину. Я закончил институт. Последний диапазон IPv4 был выдан в 2011 году.
Два дня назад я обнаружил, что я не могу подключиться к своему домашнему компу. Посмотрев внимательнее, я обнаружил, что порт торрента тоже закрыт. Я провёл несколько диагностических операций, которые привели меня к однозначному выводу -- меня пересадили на серый адрес. Без об'явления войны. В 2k21-м. Я 13 лет жил как белый человек, но всему приходит конец.
Немножко технической информации. Давным-давно подключение к интернету у корбины было сделано через VPN. Сначала PPTP, затем L2TP. Потом они (уже в лице Билайна) перешли на PPPoE. Это было удобнее, поскольку не надо было устанавливать дополнительное соединение, а достаточно ввести в веб-интерфейсе логин и пароль -- и тебе заменяют адрес сразу на внешний.
Последние годы у меня были адреса серии 128.x.x.x или 95.x.x.x . Но недавно я стал получать адреса серии 2.x.x.x, и тогда-то появились проблемы. Изучив сетевую конфигурацию, я выяснил, что локальный адрес отличается от внешнего. А локальный находится в диапазоне 100.x.x.x . А диапазон 100.64.x.x-100.127.x.x является таким же зарезервированным под локальные сети, как и всем известный 192.168.x.x .
При этом:
1. пинги до меня идут. И если я отключаю ответы на пинги, то пинги идти перестают.
2. каждый раз при коннекте мне выдаётся новый внешний айпишник, т.е. похоже, что число людей на один айпи весьма невелико. Но порты, естественно, не проброшены.
Как следует подготовившись, я позвонил в техподдержку, уже догадываясь, что мне скажут.
-- Алло, техподдержка Билайн? У меня проблема с интернетом.
-- Подскажите, пожалуйста, какой у вас адрес?
-- Внутренний -- 100.72.14.103, внешний 2.140.15.6 .
-- ДОМАШНИЙ адрес!
Как ни странно, первую линию я преодолел быстро и почти сразу попал на знающего человека, с которым можно было говорить на одном языке. Резюмирую то, что я выяснил:
1. Билайн переводит всех абонентов на технологию CG-NAT. Они добрались до моего района.
2. Это означает, что со временем все абоненты перейдут на серые адреса, кроме тех, у кого подключена услуга "фиксированный айпи" (но за неё надо доплатить).
3. При подключении через L2TP пока что выдаётся белый айпишник. Но это может закончиться в любой момент.
4. Нельзя просто так взять и переключиться с режима PPPoE обратно на L2TP. Надо удалить привязку между мак-адресом сетевой карты и режимом. Для этого надо либо позвонить в техподдержку (и они нажмут кнопку, предварительно спросив номер паспорта), либо надо сменить пароль доступа в личном кабинете.
5. Если L2TP при подключении выдаёт ошибку 789, то она исправляется при помощи следующего ключа в реестре:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters]
"ProhibitIpSec"=dword:00000001
Что же мне делать? Неясно.
1. Сидеть через L2TP пока сидится.
2. Уходить к другому провайдеру. Я уже проверил, что один из других провайдеров моего дома даёт нормальный белый адрес. Есть риск, что они тоже перейдут на серые адреса, но это менее крупный провайдер.
3. Чем мне поможет IPv6? Когда я ходил на курсы Cisco CCNA, нам кое-что рассказали про IPv6. Я сделал вывод, что у IPv6 все адреса белые. Но препод не смог мне ответить на вопрос, как в таком случае спрятать мои устройства от внешнего мира. А я бы хотел, чтобы были видны только определённые порты определённых устройств.
4. Радикальный метод. Иностранный VPN. За бабки. Дополнительный плюс этому варианту -- с учётом политической обстановки в России.
В целом, в связи с исчерпанием IPv4 адресов ситуация будет только усугубляться. Но это мало кто заметит. Почему?
Давайте подумаем, так ли нужен рядовому пользователю белый адрес? Нет. Это скорее роскошь для гиков. Зачем пользователю торрент, когда можно всё посмотреть онлайн? Большинство же других распространённых сервисов нормально относятся к серым адресам. Исключение -- какие-нибудь онлайн-игры, когда ты сам поднимаешь у себя сервер.
Го, я создал.
Итак, что такое белый и серый адрес, я писать не буду. Если вы не знаете, то, скорее всего, вам этот пост интересен не будет.
Когда-то, на заре интернета, большинство пользователей сидели с серыми адресами, за NAT'ом. У провайдеров были маленькие диапазоны адресов, поэтому приходилось работать так. Это вызывало ряд проблем при использовании торрента, игр и некоторых других сервисов.
С 2007 года я сидел на Корбине. Она тогда выдавала пользователям белые адреса. Пусть динамические, но белые. Я, естественно, был этому рад. У меня хорошо работали не только торренты, но и такое малоизвестное ПО, как Share и Perfect Dark. Кроме того, тогда ещё было мало программ по типу Team Viewer, поэтому для подключения к удалённому рабочему столу я использовал TightVNC, который также требует белого адреса.
Шли годы. Билайн поглотил Корбину. Я закончил институт. Последний диапазон IPv4 был выдан в 2011 году.
Два дня назад я обнаружил, что я не могу подключиться к своему домашнему компу. Посмотрев внимательнее, я обнаружил, что порт торрента тоже закрыт. Я провёл несколько диагностических операций, которые привели меня к однозначному выводу -- меня пересадили на серый адрес. Без об'явления войны. В 2k21-м. Я 13 лет жил как белый человек, но всему приходит конец.
Немножко технической информации. Давным-давно подключение к интернету у корбины было сделано через VPN. Сначала PPTP, затем L2TP. Потом они (уже в лице Билайна) перешли на PPPoE. Это было удобнее, поскольку не надо было устанавливать дополнительное соединение, а достаточно ввести в веб-интерфейсе логин и пароль -- и тебе заменяют адрес сразу на внешний.
Последние годы у меня были адреса серии 128.x.x.x или 95.x.x.x . Но недавно я стал получать адреса серии 2.x.x.x, и тогда-то появились проблемы. Изучив сетевую конфигурацию, я выяснил, что локальный адрес отличается от внешнего. А локальный находится в диапазоне 100.x.x.x . А диапазон 100.64.x.x-100.127.x.x является таким же зарезервированным под локальные сети, как и всем известный 192.168.x.x .
При этом:
1. пинги до меня идут. И если я отключаю ответы на пинги, то пинги идти перестают.
2. каждый раз при коннекте мне выдаётся новый внешний айпишник, т.е. похоже, что число людей на один айпи весьма невелико. Но порты, естественно, не проброшены.
Как следует подготовившись, я позвонил в техподдержку, уже догадываясь, что мне скажут.
-- Алло, техподдержка Билайн? У меня проблема с интернетом.
-- Подскажите, пожалуйста, какой у вас адрес?
-- Внутренний -- 100.72.14.103, внешний 2.140.15.6 .
-- ДОМАШНИЙ адрес!
Как ни странно, первую линию я преодолел быстро и почти сразу попал на знающего человека, с которым можно было говорить на одном языке. Резюмирую то, что я выяснил:
1. Билайн переводит всех абонентов на технологию CG-NAT. Они добрались до моего района.
2. Это означает, что со временем все абоненты перейдут на серые адреса, кроме тех, у кого подключена услуга "фиксированный айпи" (но за неё надо доплатить).
3. При подключении через L2TP пока что выдаётся белый айпишник. Но это может закончиться в любой момент.
4. Нельзя просто так взять и переключиться с режима PPPoE обратно на L2TP. Надо удалить привязку между мак-адресом сетевой карты и режимом. Для этого надо либо позвонить в техподдержку (и они нажмут кнопку, предварительно спросив номер паспорта), либо надо сменить пароль доступа в личном кабинете.
5. Если L2TP при подключении выдаёт ошибку 789, то она исправляется при помощи следующего ключа в реестре:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters]
"ProhibitIpSec"=dword:00000001
Что же мне делать? Неясно.
1. Сидеть через L2TP пока сидится.
2. Уходить к другому провайдеру. Я уже проверил, что один из других провайдеров моего дома даёт нормальный белый адрес. Есть риск, что они тоже перейдут на серые адреса, но это менее крупный провайдер.
3. Чем мне поможет IPv6? Когда я ходил на курсы Cisco CCNA, нам кое-что рассказали про IPv6. Я сделал вывод, что у IPv6 все адреса белые. Но препод не смог мне ответить на вопрос, как в таком случае спрятать мои устройства от внешнего мира. А я бы хотел, чтобы были видны только определённые порты определённых устройств.
4. Радикальный метод. Иностранный VPN. За бабки. Дополнительный плюс этому варианту -- с учётом политической обстановки в России.
В целом, в связи с исчерпанием IPv4 адресов ситуация будет только усугубляться. Но это мало кто заметит. Почему?
Давайте подумаем, так ли нужен рядовому пользователю белый адрес? Нет. Это скорее роскошь для гиков. Зачем пользователю торрент, когда можно всё посмотреть онлайн? Большинство же других распространённых сервисов нормально относятся к серым адресам. Исключение -- какие-нибудь онлайн-игры, когда ты сам поднимаешь у себя сервер.
Го, я создал.
19.02.2021 в 23:48
я уже лет 5 сижу за натом (ростелеком)
и большинство других юзеров тоже
чтобы получить белый ип, нужно:
либо оплатить услугу "постоянный ип" 180 руб/мес,
либо подключиться на любой дорогой тариф (там ип будет динамический, но белый).
я когда-то был в корбине, и сразу убежал оттуда как только билайн поглотил корбину
но я до сих пор помню тот корбиновско-билайновский ужас: чтобы выйти в интернет, нужно в каком-то окошке набирать логин и пароль))))
то есть, вариант минимальной автоматизации вообще исключён, напр: "при включении компа без участии человека автоматически запустить скрипт, который запускает wget и куда-то лезет"
какой же это комфорт - не нужно думать про логины, пароли и вообще про процедуру подключения к инету, интернет просто всегда есть!
рекомендую попробовать такой комфорт
19.02.2021 в 23:57
>>чтобы выйти в интернет, нужно в каком-то окошке набирать логин и пароль
В своё время я помучился, чтобы эта штука запускалась на роутере автоматически. И сейчас к ней вернулся, по крайней мере временно.
>>либо подключиться на любой дорогой тариф (там ип будет динамический, но белый).
Там это в условиях договора прописано?
>>рекомендую попробовать такой комфорт
Ты что, забыл, что я люблю страдать?
20.02.2021 в 00:00
адреса и порты - это вещи независимые
нат - это внешний сервер, который закрывает твои порты от интернета
ты хочешь, чтобы адреса ип6 магическим образом избавили тебя от необходимости устанавливать этот сервер? )))
20.02.2021 в 00:10
20.02.2021 в 11:56
(Дальше — аналитика от диванного сетевого инженера, не посещавшего никакие курсы. Можно не читать.)
Белый адрес нужен рядовому пользователю для того, чтобы не глючило, не тормозило и не задалбывало капчами.
Чем больше NAT-ов между тобой и другим концом соединения, тем меньше шансов на успешный NAT traversal и быстрое, устойчивое соединение. Эти техники неплохо вылизаны, так что шансы меняются не драматично, просто иногда что-нибудь будет временно ломаться.
Касательно CAPTCHA: ты когда-нибудь ходил в Интернет через Tor? Бывал на сайтах, защищённых Cloudflare DDoS protection? Тогда ты знаешь, насколько хреново всё работает, когда за одним и тем же IP оказываются десятки, сотни пользователей. А ведь CGN именно к этому и приведёт: если это превентивная мера, то сегодня у каждого абонента всё ещё будет личный белый IP-адрес, пусть и за двумя натами; завтра, по мере переезда клиентов за CGN, ты начнёшь делить адрес с десятком соседей; а после того, как вся абонентская база окажется на CGN, Билайн сообразит, что, во-первых, им уже не нужно так много блоков IPv4, а во-вторых, эти блоки дорожают с каждым днём и их можно выгодно продать.
Сколько у тебя в среднем открыто соединений? 10? 100? 500? NAT позволяет повесить на один адрес как минимум 2^16, по одному на порт (а если они на разные адреса — то даже больше, теоретически до 2^32 * 2^16). floor(2^16 / 500) = 131 клиент может быть спрятан за одним IPv4-адресом. И все они будут непрестанно гуглить, и рано или поздно Гугл начнёт у каждого требовать отметить три светофора и пять велосипедов. А включивший торренты сосед запросто сделает невозможным веб-сёрфинг для пары других пользователей — для них попросту не останется портов.
IPv6, скорее всего, поможет. При желании ты можешь настроить точно такой же NAT с пробросом портов — это будет работать, хоть и идёт вразрез с идеологией IPv6, пытающейся вернуть Интернет обратно во времена до появления NAT, когда все узлы связывались напрямую безо всякой трансляции адресов.
Если же ты хочешь полностью окунуться в прекрасный мир IPv6, ты должен понять, что IPv4 NAT выполнял для тебя полторы функции: 1) он прятал все твои машины за один IPv4-адрес; 2) он не позволял подключаться снаружи на порты, которые не были проброшены. Я говорю «полторы», потому что вторую функцию NAT выполняет плохо, и её лучше переложить на фаерволлы (и на роутере, и на оконечных хостах).
Что касается первой функции, очевидно, что она противоречит идее end-to-end addressability, заложенной в IPv6. Но если задуматься, «все устройства на одном IP-адресе» — это скорее средство, чем цель. Что именно ты хочешь спрятать? Ты хочешь скрыть, сколько у тебя устройств? Ты хочешь скрыть, какое из соединений какому устройству принадлежит? IPv6 предлагает другой способ достижения той же цели: пусть твой компьютер каждые X секунд получает новый IPv6-адрес. Провайдер выдаст тебе /64, /56 или даже /48 — даже в худшем случае (/64) это в 2^32 раз больше адресов, чем весь IPv4-Интернет. «Размазав» свои соединения по этому огромному пространству, ты весьма эффективно скроешь, сколько у тебя устройств и кто чем занимается. (Хотя по мета-информации все равно можно что-то восстановить. Например, DNS-запросы не шифруются, и если запрос послан с одного адреса, а после этого на адреса из ответа были открыты соединения с другого адреса — становится понятно, что первый и второй адреса принадлежат одной машине. Решается с помощью DoH, DoT и рекурсивных резолверов на роутере. Но это уже другой разговор.)
-- Minoru
20.02.2021 в 13:37
Особенно порадовало вот это:
>>Это должно быть оскорбительным для любого человека, способного отличить IP-адрес от телефонного номера.
Про каптчу у меня было классное видео, вывешу, когда найду.
20.02.2021 в 13:41
itglobal.com/ru-ru/solutions/for-telecom-provid...
Из текста косвенно следует:
1. Возможно, переход на CGNAT связан с DPI
2. Возможно, проброс портов должен работать, но билайновцы его не настроили
20.02.2021 в 14:05
Вот это? fsmi.social/notice/A1j8bAiSjF37RMCfMe
Вот кстати интересная инфа:
Хм. Про плавный переход на IPv6 они, может, и правы: в переходной период придётся либо держать dual-stack (а IPv4-адресов на всех не хватит, так что для IPv4 все равно понадобится NAT), либо NAT64 (который, хоть и -64, но все равно NAT, и его проще настроить централизованно, чем конфигурировать роутеры пользователей
Port restricted NAT они описывают неправильно: он смотрит на порт назначения, а не порт отправки. Но эффект описан верно: из-за подмены портов некоторые протоколы будут работать неверно. Та же проблема, кстати, будет и у NAT64. Я не понимаю, как CGNAT решает эту проблему; публичный IP-адрес все равно один, следовательно, по одному только номеру порта нельзя догадаться, к какому клиенту направляется соединение. Мне кажется, они подменяют понятия, потому что CGNAT действительно решает похожую проблему: он позволяет нескольким клиентам одновременно использовать один и тот же публичный порт для исходящих соединений. Но обычный NAT тоже так умеет, по крайней мере, теоретически.
Связи с DPI я не вижу. Какая разница, в какой точке соединения воткнуть прослушку?
Для проброса портов есть RFC 6887. Идея похожа на UPnP, шансы на включение такой фичи на уровне провайдера я оцениваю как нулевые — зачем провайдеру париться с пробросом портов и разрешением подключений извне, если можно под предлогом защиты пользователей от кибератак сидеть и ничего не делать?
-- Minoru
20.02.2021 в 19:03
NAT - это просто такой небольшой костыль, который просто подменяет адрес отправителя. Anomymity set очень маленький в это случае - по сути твоё домохозяйство, так что лучше весь нешифрованный траффик кидать через левое место, которое нельзя будет связать с тобой.
21.02.2021 в 21:55
Там это в условиях договора прописано?
техподдержка заверяет, что на дорогих тарифах ната нету
я сам не пробовал, потому что по деньгам получается дешевле доплатить 180 руб к самому дешёвому тарифу )))
а самый дешёвый тариф у них - 100Мбит/100Мбит, что более чем достатично )))
я пробовал подключать "постоянный ип", он действительно белый, т.к. все застывшие торренты без сидов магически где-то находили сидов и начинали скачиваться )))