Hur kopplar man sitt byanät till Internet?

Många undrar hur man kopplar sitt byanät till Internet. Så även jag.

Inspirerad av diskussionen på

Finlandssvenskt fiberforum / Fiber hem (FTTH) / Öppet nät, open access, VLAN m.m.

http://bredband.selfip.net/forum/index.php?action= vthread&forum=7&topic=590

öppnar jag denna tråd.

Alltså... hur blir man en ISP för dem som är anslutna till byanätet?

Kom gärna med synpukter och frågor så kan vi tillsammans försöka bena ut problematiken.

Här i Optowest är vi just nu i det läget att planera för Internet-uppkopplingen. Eller IP transit som det också brukar kallas.

Bakgrund

Vi har några fiber-km nergrävda men ingenting svetsat. Vi planerar redan från början att kunna köpa IP transit från flera håll. Dels för att hålla priset facilt men också med tanke på att säkra kontakten till internet. För tillfället reder vi ut var vi kan hitta anslutnigspunkter.

Vi är med i Statens Bredbandsprojekt 2015 och förväntas uppfylla vissa myndighetskrav. Stöd eller inte - vi siktar på att bli en riktig nätverksoperatör i vilekt fall som helst. Främst för att kunna bygga ett öppet nät så som vi uppfattar begreppet "öppna nät".


Internetuppkopplingen


Jag börjar med att titta på vad Elisa erbjuder för operatörstjänster

http://www.elisa.fi/operaattoreille/


Här är deras krav på den som skall köpa IP transit

Elisa IP Transit can be provided for customers who fulfill the following prerequisites:
• 1) The customer is an Internet Service Provider or an IT integrator
• 2) The customer has a public AS number and public provider independent IP addresses
• 3) Elisa's network management systems have no visibility to customer owned equipment. Therefore Elisa's Fault Management process only starts after the customer contacts Elisa.
• 4) The customer has the necessary hardware, software and knowledge for operating and maintaining a dynamic BGPv4 routing environment.

( http://www.elisaip.net/introduction.shtml )

Guje, det är ju bara att läsa här i forum hur Nisse gjort i Hindersby. Snacka med en ISP/operatör så fixar dom både IP-numror och tuffa hastigheter ut på Internet. Int behöver man nåt mer än de!

En router och in med ISP:ns kabel i WAN-porten. Koppla på DHCP:n. Thats IT!

Låter bra det där med IP transit.

Så varför sjutton har andra nät gjort det så invecklat i Österbotten, då, med tjänsteportaler hit och dit och varje kund ska välja egen ISP (vilken process alltså). Det finns väl för hundan bara ETT Internet att välja på!!!

(ja, jag vet nog svaret, men ibland blir man lite villrådig)

Det är väl ganska klart att dagens operatörer inte vill sälja IP transit till vem som helst. Det är ju råvaran i deras Internet-produkter. T.ex. serien ADSL 1, 8, 24 Mbps säljs genom samma IP Transit men så att hastigheten stryps för dem som inte vill betala. Upplägget kräver naturligtvis ett dyrare maskineri för att funka, men det betalas av kunderna.

I våra byanät har vi inte dethär behovet av business så därför tror jag att vi kan lämna bort det. Det leder till att alla surfar med samma hastighet ut på Internet enligt best-effort principen. Men så funkar ju Internet i övrigt också. Hastigheten blir vad den blir och man får nöja sig med det.

Upplever nån att den gemensamma porten ut på Internet knycker och är dålig så finns det säkert nån operatör som kan sälja en bättre linje än vår 100/100 Mbps. Som vi säkert höjer till 1000/1000 så småningom.

På tal om att koppla upp sig mot Internet skriver Bredde: "Ta en router och in med ISP:ns kabel i WAN-porten. Koppla på DHCP:n. Thats IT"

Sant!

Exakt så gör man ju i hem- och företagsnätverk också.

Men!

Då är du beroende av ISP:ns möjligheter att styra globala IP-nummer till ditt nät.
Du jobbar enbart inom den IP-rymd som din ISP gett dig.

Men!

Om det funkar och är gott nog, så varför bry sig?


Jag menar, visst är Elisas krav ganska tuffa om man vill köpa IP transit av dem. Månne inte några av kraven finns där därför att vem som helst inte skall komma åt guldgruvan.
Som sagt - inte behöver man väl greja sin egen AS och BGP för att komma ut på nätet! Eller ... ?

Läs mer om BGP på http://sv.wikipedia.org/wiki/Border_Gateway_Protoc ol


Nu utlyser jag en uppgift åt alla trådens läsare.
(Annars riskerar den bli en dialog mellan Bredde och mig - och då vet ni hur det brukar sluta )


Alltså, två frågor:


a) Vilka problem uppstår om alla ligger bakom samma globala IP (public IP) i byanätet?

b) Vad är fördelarna med att rå om sina egna IP:n?
(dvs. ha sin AS och sköta sin BGP)


I båda fallen kan alla surfa och Skypa och köpa sina INternet-tjänster var som helst. Inga portar behöver vara låsta.

På problemsidan har det redan nämnts att den gemensamma IP-nummern kan svartlistas pga. överaktiv spelare. Nu söker jag ytterligare 10 andra synpunkter ... gärna av var och en här i forum!

Tja, vi har åtta års erfarenhet av ett IP-nummer (nåja, vi använder fler men i ganska liten omfattning). Inga större katastrofer har det varit. De flesta "behov" av global IP-adress kan man gå runt på något sätt.

Vi har alltså tillgång till 256 globala IP-adresser men det har inte varit något tvingande behov av att använda dem ännu.

Den största fördelen med att ha kontroll över anslutningen till Internet (ha egen brandmur/router) har varit att ingen kan stänga nån port eller annars bara syssla med utpressning.

Och så är det ganska billigt ...

IP-numrorna tog slut i februari 2011. Hur ser allt detta ut när IPv6 väl tagit över? Då kan man väl inte köpslå numrorna mera.

Varför går det förresten så trögt undan med övergången till IPv6 om vi enligt alla konstens regler i så fall redan borde ha varit där i den stora adressrymden.

Nisse, då kan ni nog inte ha så många servrar på insidan av nätet, kan jag anta.

Om Ipv4-numrorna tog slut i februari i år så blir det ju svårt för alla oss som nu bygger byanät att sätta upp servrar. Det där låter ju inte så trevligt precis. Kanske man borde satsa på IPv6 redan nu?

Hur skall tex. den som vill ha kameraövervakning komma åt sin kamera från Internet i så fall? Här hjälper det ju inte ens med en DNS-tjänst eftersom den jobbar med globala IP:n.


Nån som vet hur t.ex. Skype och TeamViewer löst problemet? Där kan man ju ta kontakt med vilken PC som helst som ligger bakom en enda IP!

Både skype och tiemvjuern använder servrar på utsidan av nätet. Den som vill ha kontakt med clienten på insidan lämnar bara ett "ringbud" i servern. När clenten håkar att nån vill ha kontakt så "ringer" clienten upp. Man lurar alltså clienten att ta kontakt inifrån nätet. Den vägen är ju alltid öppen. Krypterar man dessutom trafiken och går ut på port 80 som alltid står öppen så finns det INGEN brandmur i världen som stoppar den trafiken!

Skype kan man stoppa genom att stoppa själva inloggningen till skype. Den processen kan en fiffig brandmur eventuellt ta fast. Men om inloggningen redan är gjord (tex. via nån tillfälligt ansluten mokkula ) så går trafiken ändå igenom.

Våran Watchguard här i forum stoppar skype på andra grunder. Eftersom skypen irriterar wachguarden med en massa skanningar då den söker en väg ut blockas IP-n så skypetelefonen/PC:n mistar helt och hållet kontakten till omvärlden. Sen är det bara att stänga skype och öppna blockningen i watchguarden. Nästa gång man startar skypen så kan det tänkas att den inte irriterar watchguarden lika mycket, och då går den igenom. Åtminstone en stund.

Timvjuern har watchguarden inte stoppat.

IPv4 har haft brist på IP-numror redan länge. Därför började man med NAT och det fungerar så bra att behovet av IP-numror har minskat betydligt. Principen är den att nätet blir hierarkiskt i stället för att alla är på samma nivå (alla har globala IP-numror). Då finns det lokalnät innanför lokalnät innanför lokalnät och NAT (Network Address Translation) ser till att numrorna ändras i varje nätövergång så paketen skickas rätt.

Sist och slutligen är det ett fåtal tillämpningar som verkligen behöver global adress och det fixar NAT med 1-1-NAT där en lokal adress mappas till en global adress.

IPv6 har problem därför att det inte är kompatibelt med IPv4 och ALLA burkar och program måste bytas till sådana som har stöd för IPv6. Nu har ju Linux haft stöd för IPv6 redan länge men där finns problem. Jag måste stänga av IPv6 för att DNS-programmet blir råddigt i huvudet annnars. IPv6 kommer nog men inte i brådrasket.

Och som jag många gånger påpekat så är det inte problemfritt med att alla har globala IP-adresser. Det är en betydande SÄKERHETSRISK. NAT ger ett visst skydd mot intrång även om det inte på något sätt är helt säkert. Det är bra att ha en DUM burk inkopplad mellan den egna maskinen och nätet därför att det är svårt att kracka dumma burkar. Om det blir så att var och en kopplar sin maskin direkt till Internet så har vi STORA problem - skyddsprogrammen är ganska dåliga och hänger sällan med i utvecklingen av hoten.

Nisse, en Voip-fråga: Hur fixar ni t.ex. SIP om NAT finns i vägen?

Det är just NAT:en som gör direkta samtal ett problem. Jag kan inte svara för Nisse men många av SIP telefonerna stöder STUN mekanismerna (Session Traversal Utilities for NAT). Men det visste du kanske redan. Problemet är att man också i detta fall behöver hjälp av en tredje part, STUN-servern. Och så är det ju också ett problem för användarna som måste lära sig att det trots allt behövs en server som måste ställas in i telefonen.

Vi kan hjälpa till genom att definiera en SRV rad i domain namn servern, som ger den som ringer möjlighet att automatiskt lokalisera STUN servern för alla telefoner i SIP domainen. Det går ungefär på samma sätt som när man definierar en SIP domain, men det har jag inte ännu hunnit pröva.

Det dumma är att också den mekanismen är omöjlig att använda på en telefon som har bara numror, * och #.

Vi har faktiskt inte haft några problem med SIP-telefonerna. Men vi har ju VoIP-operatörer med egna servrar. Både Cellip och Saunalahti fun gerade med första försöket.

Intressant nog kan jag INTE ställa in vår brandmur att stöda SIP - då slutar SIP-telefonerna att fungera ...

Direkta samtal har jag inte testat men jag vet att man kan koppla en SIP-router parallellt med brandmuren för SIP-samtal.

Nisse: Intressant nog kan jag INTE ställa in vår brandmur att stöda SIP.

Jag har fått för mig att NAT kan åstadkommas på många olika sätt och att det är just detta som gör det svårt att komma över den.

Nisse: ... jag vet att man kan koppla en SIP-router parallellt med brandmuren för SIP-samtal.

Detta är något för byanäten, men inte för det enskilda telebolagsoffret. Det låter i varje fall intressant. Kan du berätta mer om detta arrangemang?