Kysymys

Mobiililaajakaista ja NAT


  • Uusi keskustelija
  • 2 kommenttia
Moi Saunalahden väki,

Nyt, kun tämä mobiililaajakaistan NATattujen IP-osoitteiden jakelu laajenee entisestään ehdottaisin seuraavaa:

* Tehkää NAT kaikille internet.saunalahti APN:ää käyttäville yhteyksille.
* Tarjotkaa toinen APN niille, jotka tuntevat tarvitsevansa julkisen IP:n.

Pääosa teidän asiakkaista ei välitä tuon taivaallista kunhan yhteydet toimii, mutta alan harrastajille ja aktiivikäyttäjille asialla on sitäkin suurempi merkitys. Varsinkin sellaiset laitteet jotka on yksinään kesämökeillä hoitamassa valvontaa tai muut kohteet joissa mobiililaajakaista on käytössä ilman, että paikanpäällä on joku huolehtimassa toiminnasta,  on nyt vaarassa jäädä NATin taakse ilman suoraa pääsyä dyndns  osoitteen turvin.

Monissa käyttökohteissa touhu mutkistuu huomattavasti, kun tarvii pelkän dyndns tyyppisen palvelun lisäksi VPN:n.

Toivottavasti otatte myös meidät harrastelijat huomioon nyt tässä asiassa.

146 kommenttia

Käyttäjätaso 1
Kannatetaan...
Käyttäjätaso 5
Kunniamerkki +1
Olen tainut tuota nattausta ehdotella jo kolmisen vuotta sitten nähden. Tuolloin näin että tämä ongelma on tulossa. Kaikki tietävä ystävämme Panu ei lämmennyt idealle, koska ei ole kysyntää. Veikkaan että nytkin tuo torperoidaan juuri kysynnän puutteen vuoksi. Ongelma lienee siinä että operaattori haluaa asiakkaiden olevan niin nestepää-Urpåja ettei ymmärrä että tälläisiä palveluita voisi olla. Tästä syystä halutaan kynsin ja hampain estää kaikki kehitys ja mahdollisuudet.

Joten kannatan tuota vaikka alkuperäinen ideani oli hieman käänteinen; nykyinen antaisi aina julkisen osoitteen ja tyypiin apn:nat.saunalahti.internet olisi osoitteenmuunnoksen takana. Tässäkin voisi vielä ehkäpä käyttää porkkanaa. Se voisi olla se että nykysellä hinnalla aukeaisi vain tuo nattiyhteys. Lisähinnalla saisi mahdollisuuden myös tuohon julkisenosoitteen yhdyskäytävään.

Nykyiseen purkkaviritelmään voisi todeta että taisi ongelma tulla yllätyksenä.  :P
Käyttäjätaso 5
Ihan hyvä idea, kunhan se kuuluu liittymän perusominaisuuksiin. NAT vaikeuttaa monien palveluiden käyttämistä, jopa FTP-ssl yhteydet eivät pelitä. Nykyinen käytäntö on hyvä niille (tod.näk. enemmistölle), jotka pystyvät luomaan yhteyden uudelleen ja saavat julkisen ip:n parin yrityksen jälkeen. Se nyt ei kaikilla ole mahdollista, kuten tuossa on esimerkkiä tullut.

Ehkä lopulta ne, jotka tarvitsevat ehdottomasti joka kerta julkisen IP:n, todennäköisesti voisivat hyötyä täysin staattisesta IP:stä. Staattinen IP-osoite voisi olla lisäpalvelu. Sittenpä ei tarvitse niitä dyndns viritelmiä käyttääkään.  Veikkaan, että enemmistölle nykyinen käytäntö on paras mahdollinen, koska se ei rajoita palvelunkäyttöä liikaa ja sitten on se joukko, joka voisi ostaa sen julkisen staattisen ip:n lisäpalveluna.

Ei ne IP-osoitteet todella ole sieltä nyt minnekään loppumassa, että tarvitsisi alkaa laskuttamaan julkisista dynaamisista ip-osoitteista.  😉 (huh mihin tämä maailma on menossa)
Käyttäjätaso 3

Ei ne IP-osoitteet todella ole sieltä nyt minnekään loppumassa, että tarvitsisi alkaa laskuttamaan julkisista dynaamisista ip-osoitteista.  (huh mihin tämä maailma on menossa)


Nelinumeroisia kai ei enää ole vapaana ainuttakaan, viimeinen kaupallinen nippu on jo myyty
helmikuun loppupuolella eli melkein vuosi sitten. Uusia ei IANA:lta enää saa kun ei oo.

Älypuhelinten ja langattomien lisääntyminen on taatusti verottanut tuota varantoa aika tavalla
ja ilman siirtymistä IPV6:een tai nattausta liikennöinti loppuu ennemmin tai myöhemmin.
Käyttäjätaso 5
Ipv4 osoitteita lojuu paljon käyttämättömänä, kun niitä on varattu ihan varmuuden vuoksi suuria määriä.  On sitten ihan erijuttu tuleeko niitä käyttöön.
Käyttäjätaso 5
Juu. Olenkohan vain ainoa, jolla ei tahdo edes perus nettiselailu onnistua, jos saa natatun IP:n ... vaikka kello oli jo melkein 22.  Vasta sitten kun tuli julkinen jakoon sivut alkoi latautua.  Että on siellä varmaan verkko ollut paukkumassa viimeaikoina.
Käyttäjätaso 3

Ipv4 osoitteita lojuu paljon käyttämättömänä, kun niitä on varattu ihan varmuuden vuoksi suuria määriä. 



Totta kai... ja en minäkään niitä noin vain jakaisi, jos niitä omistaisin. 99 prosenttia käyttäjistä pärjää
NATin avulla loistavasti, joten se viimeinen prosentti (jolla on silläkään aniharvoin oikeaa ja perusteltua
tarvetta oikeaan IP:hen) jää muiden jalkoihin. Jos kaikille annettaisiin oikeat IP-numerot, ne aivan
varmasti loppuisivat melko nopeasti.

Toki niitä oikeita tarpeitakin on (kuten ehkä jokin mökin valvonta, VPN tai IP-rajoitus johonkin
rajoitettuun palveluun), en minä niitä kiistä. Parissa yhteydessä nuo IP-jutut ratkaistiin reitittämällä
tietyt palvelut kiinteällä osoitteella varustetun reitityspalvelimen läpi.

Mutta toivoahan saa ja kyllä minäkin ottaisin mielelläni vaikka kiinteän IP:n ja muutamat portit vielä
auki myös sisäänpäin. Ihan oikeaa tarvetta näet olisi..
Erittäin hyvä idea. Kannatetaan toista APN:ää!!

Kaikkiin liittymiin oletuksena tuo NAT:attu APN, jota kaikki normiasiakkaat käyttävät.
Sitten kun "säätäjällä" tulee tarve päästä NAT:sta eroon, niin se hiukka säätää APN:ää ja NAT katoaa...  😉
Toinen vaihtoehto voisi olla se, että NAT:n poiskytkentä olisi täplänä oma.saunalahdessa ja vaikkapa kohtuullisella 1e/kk lisäpalveluhinnalla...
Tulis vähä lisätienestiä operaattorillekin ja pysyis vaativammatkin asiakkaat itsellä eikä tähylis vihreempää ruohoa aidan takaa...  ::)
Käyttäjätaso 5
Ai natitetaan kaikki, koska ne ei tajua ja sit tämä valiojoukko saa oman apn:n. :)

NAT kuitenkin estää kaikki yhteydet internetistä koneelle päin. Itse tarvitsen välillä julkisen IP:n ja ei haittaa jos joutuu luomaan yhteyden uudelleen.

Olen edelleen sillä kannalla, että NAT laskee palvelun laatua niin paljon, että nykyinen käytäntö on ihan hyvä enemmistölle. 

Jotkut on niin innoissaan, että ostaisivat dynaamisen vaihtuvan julkisen IP:n lisähinnalla.  😃 Hullua?

Taas nuo Elisan mobiilinetit yrityksille eivät taida sisältää nattausta ja APN taitaa olla niille eri. Eli se toinen APN on jo olemassa... on toinen homma tuleeko siihen pääsy myös Saunalahden liittymistä...
Käyttäjätaso 3

NAT kuitenkin estää kaikki yhteydet internetistä koneelle päin.


Sen estää myös nyt ainakin itse näkemissäni 900 MHz:n tukiasemissa oleva
pakollinen palomuuri. NAT ei siis nältä osin muuta tilannetta miksikään, sillä oli
NAT tai ei, sisään ei pääse millään ilveellä. Jos jokin erikoisempi portti sattuukin
olemaan auki, en ole yhtään vielä löytänyt.

Toisekseen: Joka auki olevia portteja ja ei-nattia tarvitsee oikeasti, on kyllä
valmis maksamaan siitä, aivan kuten ammatikseen asiakirjoja kirjoittava maksaa
mielellään toimivasta toimisto-ohjelmasta sen sijaan, että tappelee ilmaisohjelmien
kummallisuuksien kanssa haaskaten työaikaa.

Sen estää myös nyt ainakin itse näkemissäni 900 MHz:n tukiasemissa oleva
pakollinen palomuuri.


Onkohan tuo palomuuri osassa tukiasemia ja osassa ei? Kun saa julkisen ip:n, niin välillä läpi pääsee ja välillä ei.
En ole tuota ongelmaa käytettävään tukiasemaan ennen osannutkaan yhdistää..

Olikos DNA:lla julkiset ip:t ja yläportit auki koneelle päin?
Käyttäjätaso 5
Siinä NAT ohjeessa oli kerrottu mitkä portit ovat normaalisti kiinni. Suurinosa kuitenkin auki.

Kyllä sieltä joku portti on auki, ellei sitten oman koneen palomuurista ole portit kiinni tai huono yhteys.

Lopulta se on oman koneen palomuuri mikä ne portit estää, jos sieltä ei vartavasten ole jotain avattu.

Muutenkaan palvelimen pito mobiilikaistalla tai edes normi kiinteällä kuluttajaliittymällä ei ole sallittua kuin ehkä omaan käyttöön.

Pitää kuitenkin muistaa että puhutaan internetliittymästä, että aika absurdiksi menee tämä keskustelu. Ja syy tähän nattaukseen on varautuminen ipv4
osoitteiden saatavuuden heikkenimiseen. Lopulta käyttöön tulee ipv6, eli ei tämä varmasti pysyvä käytäntö ole.
Käyttäjätaso 3

Siinä NAT ohjeessa oli kerrottu mitkä portit ovat normaalisti kiinni. Suurinosa kuitenkin auki.
Kyllä sieltä joku portti on auki, ellei sitten oman koneen palomuurista ole portit kiinni tai huono yhteys.


Mistähän NAT-ohjeesta puhut?

No minä olen noita nattauksia ja palomuureja tehnyt kohta 15 vuotta ja voin
vakuuttaa, että ainakaan minun käyttämieni 900 MHz tukiasemien takaa ei pääse
yhteenkään yleisesti käytettyyn porttiin (22,21,23,25,80,443,3128,3306,8080,8085
ja muutama yli 50000:n oleva portti testattu). Yritetty kolmen eri reitittimen ohjaus-
sääntöjä viritellen, XP:n portteja viritellen yms. Kun olen kytkeytynyt vaihtanut
tukiasemaksi 2100 MHz:n, kaikki ovat toimineet. Mikään muu kuin tukiasema ei ole
siis vaihtunut.

2100 Mhz:llä signaali on ollut murto-osan 900 MHz:n signaalista, joten yhteysteoria
kaatuu myös.

Samaa mieltä olen ehdottomasti siitä, että omaa palvelinta on turha viritellä edes
ADSL-linjan taakse muuhun kuin leikkikäyttöön.

On muistettava lisäksi, että kiinni pistetyt portit lisäävät tietoturvaa merkittävästi
ja kotipalomuuria ei tarvitse sen kummemmin viritellä tai edes pitää välttämättä
päälläkään. Kun ulkoa ei voi tulla ketään, miksi säätää tiukempia lukkoja?
Käyttäjätaso 7
Kunniamerkki +3

Olikos DNA:lla julkiset ip:t ja yläportit auki koneelle päin?


Julkiset ip-osoitteet kyllä, mutta tcp-porteista ainoastaan 500 on auki.


Kun ulkoa ei voi tulla ketään, miksi säätää tiukempia lukkoja?


Mutta entäs jos joku tuleekin sisältä? Älä unohda, että siellä NAT:in takana on muitakin asiakkaita kuin sinä itse.
Käyttäjätaso 5
Tässä ohjeessa on eritelty suljetut portit
http://www.elisa.fi/saunalahti/asiakaspalvelu/570/osoitteenmuunnos-nat/ ' TARGET='_blank

Noiden luettelemiesi porttien estot ovat varmasti ihan hyvästä syystä. Toki jonkin palvelimen, vaikka SSH:n voi konffata kyllä mihin tahansa porttiin.

Tuo kuulostaa aika jännältä miksi 900mhz:n alueella on noin paljon rajoituksia. Olisiko kyse siitä, että yhteyksiä on syytä rajata, kun myös puhelut ovat samalla taajuusalueella tms.

Ihan hyvä tietää, ettei se ruoho kuitenkaan ole vihreämpää toisaalla, ehkä päinvastoin.
Minulle tuo NATin käyttöönotto on ollut melkoinen katastrofi. Olen panostanut tuhansia euroja ja satoja työtunteja kesämökin etävalvontaan/etähallintaan. Kuluneen viikon aikana minulla on ollut suurimman osan aikaa ei-julkinen IP-osoite enkä siten ole saanut yhteyttä kotikoneelta/matkapuhelimesta mökillä olevaan tietokoneeseen. Silloin välillä kun satun saamaan julkisen IP-osoitteen (jos yhteys katkeaa ja muodostuu uudestaan tai kun reititin resetoituu automaattisesti kerran vuorokaudessa) niin yhteys molempiin suuntiin toimii todella hyvin. Olen ollut asiasta yhteydessä Saunalahden asiakaspalveluun kolme päivää sitten mutta en ole vielä saanut vastausta. Tosin, en usko että asiakaspalvelussa tehdään muuta kuin pahoitellan muutoksesta aiheutuineita ongelmia. Yhteyden uudelleen muodostaminen useamman kerran kunnes saan julkisen IP-osoitteen ei luonnollisesti ole ratkaisu minun tapauksessa kun kesämökki sijaitsee kymmenien kilometrien päässä.

Vaihtaisin operaattoria saman tien jos jollakin toisella operaattorilla olisi tarjolla taattu julkinen IP-osoite ja useampi TCP-portti auki. Ilmeisesti kuitenkin Soneralla NAT käytössä kaikissa liittymissä (ei taida prointernet APN enää toimia?) ja DNAlla julkinen IP mutta ainoastaan TCP-portti 500 auki. Elisan liittymistä en sitten tiedä (tiedotteen mukaan NATin käyttöönotto ei koske Elisan liittymiä). Alkaa ideat loppua...
Käyttäjätaso 7
Kunniamerkki +2
Missään toimitus/sopimusehdoissa ei varmaankaan taata oikean julkisen ip-osoitteen saatavuutta. Ikäväähän se on, että tämä muutos rajoittaa halpojen mobiilikaistojen käyttöä, mutta muutos ei koske Elisan liittymiä eikä yritysliittymiä. Tästä voisi vetää sen johtopäätöksen, että hankkimalla Elisan mobiilikaistan (vaatinee y-tunnuksen, mutta tuon saa toiminimen rekisteröimällä varsin edullisesti) ja maksamalla liittymästä enemmän rahaa, saa kaikki julkista ip-osoitetta vaativat palvelut edelleen toimimaan. Eli: hevosella pääsee ja rahalla saa. Kaipa se on päivän selvää, että jos/kun operaattori haluaa saada rahaakin tuottamistaan palveluista niin jotakin muutoksia näihin halpoihin "laajakaista"liittymiin on tehtävä. Tokihan voi olla, että ipv4 osoitteet ovat niin vähissä Elisalla että on pakko alkaa rajoittamaan niiden käyttöä. Yritysten palveluista kun saa helposti 10-kertaiset maksut kuluttajiin verrattuna ja näissä palveluissa julkisia osoitteita tarvitaan useammin kuin kuluttajille tuotetuissa palveluissa. "Money talks, bullshit walks" ja siinä se, mitään ei voida. Ja yyhyy, jos nyt 1-2% käyttäjistä jotka tuovat 0,00000001% Elisan liikevaihdosta (josta voittoa ei jää enää ollenkaan) vaihtavat toiseen operaattoriin. Luuletteko tosiaan, että murinamarinalla on jotain vaikutusta??
Käyttäjätaso 3
Kunniamerkki
Tässäpä koodausprojekti jollekin osaavalle, koodata win/mac/linux-ohjelma joka katkaisee ja yhdistää mobiilikaistan niin kauan kuin on tarvis, kunnes mobiilikaista-yhteys on NATiton.

Mites nämä saunalahden tupla-3G ja LTE-liittymät, saavatko ne myös saunalahden NAT-osoitteita? Yhdistämis APN niissä on tietääkseni: internet
Käyttäjätaso 7
Kunniamerkki +3

Ilmeisesti kuitenkin Soneralla NAT käytössä kaikissa liittymissä (ei taida prointernet APN enää toimia?)


Sonera ei käytä NAT:ia ja prointernet on edelleen käytössä. Mutta Sonerallakin on palomuuri, joka pistää yhteydet poikki ellei sovelluksesi ole palomuuritietoinen. Sen pitäisi siis lähettää säännöllisesti halutun tulevan liikenteen portista dataa ulos maailmalle, jotta palomuuriiin aukeasi reikä. Sama tekniikka toimii myös dna:lla muiden tcp-porttien kuin 500 käyttämiseen.

Voitko käyttää etävalvontajärjestelmääsi udp-protokollalla (joko suoraan tai asentamalla valvontajärjestelmään esim. OpenVPN)? Tällöin voisit käyttää dna:n liittymää, sillä udp-liikennöinti toimii.

Jos valvontajärjestelmä ei ole palomuuritietoinen eikä UDP:n käyttö onnitu, mieleen tulee vielä seuraavat vaihtoehdot:

- Operaattori, jolla homma toimii. Onko Elisan tai Dicamen mobiililaajakaistasta kokemuksia? https://dicame.fi/ ' TARGET='_blank ainakin on käytössä julkiset ip-osoitteet ja liittymiä myydään myös yksityishenkilöille. Huomaa, että Dicamella ei ole erikseen dataliittymiä, eli tarvitset https://dicame.fi/node/20 ' TARGET='_blank (Liittymä tai Sekunti) ja siihen päälle https://dicame.fi/node/20 ' TARGET='_blank.
- Kokonaan muut yhteystekniikat (@450, Wimax).
- Datapuhelut, jos valvontajärjestelmäsi reititin tukee pakettidatan lisäksi myös dialup-yhteyksiä (kannattaa käyttää ISDN-yhteyttä V.110 tai V.120, analogisilla modeemiprotokollilla yhteyden avautuminen on hidasta).
- Reverse-VPN eli valvontajärjestelmä ottaa yhteyden kaupalliseen tai omaan¹ VPN-palveluun ja reitittää yhteyden sitä kautta.
¹ tämä vaatii toki kotiin tai muuhun sopivaan paikkaan ADSL/kaapelimodeemi/kuituyhteyden.
Minulla on ollut Nopsa2 ja E398 nyt noin 2,5 kuukautta. Jos yritän muodostaa yhteyden Mobile Partnerilla, jossa APN on internet, ohjelma ilmoittaa: yhteys katkaistu.Jos yritän muuttaa Win 7:n mobiililaajakaistyhteyden profiilissa tukiaseman nimeksi internet, niin yhteys ei toimi.
Eli minulla toimii vain APN internet.saunalahti. Luulen kuitenkin, ettei tukiasema tue vielä DC:tä.
Olen seurannut myös tukiaseman ja solun tunnistetta. Se on ollut koko ajan sama eli MWconn:n näyttämä Elisa .
Myös MWconfig näyttää samaa tunnistetta AT - komennolla AT+CGREG?.
Eli NATtiin törmään minäkin joka päivä neljän jälkeen.

Tässäpä koodausprojekti jollekin osaavalle, koodata win/mac/linux-ohjelma joka katkaisee ja yhdistää mobiilikaistan niin kauan kuin on tarvis, kunnes mobiilikaista-yhteys on NATiton.


Aloin jo tuollaista väsäämään Linuxille. Tarkoitus olisi että crontab palvelimella testaa tietyin väliajoin onko yhteys julkinen vai nat.
Jos nat, rebootattaisiin niin kauan että julkinen osoite saadaan. Jos on julkinen, skripti loppuu siihen.
Tuli vain ongelmia A-linkin WNAP:n reboottaamiseen curl:illa. Pitänee siihen jossain vaiheessa paneutua uudelleen, nyt ongelma ei enää niin akuutti kun vaihdoin toisen liittymän DNA:lle, jonka avoimella 500-portilla pärjään jo kummasti.

Mutta tässä tämä skripti tähän mennessä:
http://pastebin.com/1xp6E7bt ' TARGET='_blank
Vielä se ei tee mitään muuta kuin tarkistaa yhteyden, mutta tuohon kohtaan ##modeemin rebootti tähän voi lisätä
modeemin rebootin curlilla jos joku sen keksii tai sitten killall wvdial && wvdial -hässäkän jos mokkula on suoraan koneessa kiinni.
30.11 osui sitten omalle kohdalle, ihmettelinkin mihin ip-kamera oikein katosi.

Itselle tuli mieleen joko vaihtaa hienosti toiminut WNAP johonkin toiseen johon saa DD-WRT:n ja 3G tuettuna tai sitten pistää vain joku DD-WRT tuettu tukiasema väliin ja laittaa sen tekemään VPN-tunneli jonnekin. Harmittaa vaan vaihtaa kuukausia ongelmitta toiminut WNAP pois tai laittaa ketjuun yksi mahdollinen vianaiheuttaja lisää.

VPN sijaan voisi käyttää myös SSH reverse tunnelia


http://www.dd-wrt.com/wiki/index.php/3G_/_3.5G
Käyttäjätaso 3

Sonera ei käytä NAT:ia ja prointernet on edelleen käytössä.


Tarkennus tuohon, että minun tietoni mukaan VAIN prointernet tarjoaa oikean IP:n.
Neljä vuotta sitten jo normaalit (ei-pro:t) natattiin Soneralla.
Käyttäjätaso 3

Tässä ohjeessa on eritelty suljetut portit
http://www.elisa.fi/saunalahti/asiakaspalvelu/570/osoitteenmuunnos-nat/ ' TARGET='_blank


Kiitokset, en ollut tuota nähnytkään. Tuollahan sanotaan aivan selvästi:

"Normaalisti sisäänpäin kulkevassa liikenteessä on suljettuna portit: 135, 137-139, 445 ja 25. "

Perin outoa on se, että ainakaan minun nattaamattomassa 900 MHz:n yhteydessäni yksikään portti
ei ollut auki ja kuten kerroin, 2100 MHz:n puolelle siirryttäessä kaikki vastaavasti olivat auki.  No, noita
Windows-portteja ja SMTP-porttia en ole varmaan testannut (vaikka 25:n luulin testanneeni).

Jos työnteolta jää aikaa saati mielenkiintoa, kokeilen jonakin päivänä vielä kertaalleen.

Osallistu keskusteluun