Öppet nät, open access, VLAN m.m.

Jag tar igen upp dessa frågor, även om de diskuterats på forumet många gånger tidigare. Jag tycker ändå att det är viktigt att hålla igång diskussionen, eftersom en massa nya fibernät håller på att byggas upp.

Vi är i startgroparna och jag har reagerat på hur inställsamma de andra näten i Österbotten tycks vara till "Open Access" -modellen. FIONETS-andelslaget verkar ha bestämt att alla medlemmar måste använda deras program Netadmin för att kunna göra en portal för tjänster och "administrera" nätet. Hur mycket det egentligen begränsar principerna för öppna nät återstår att se, men jag har onda aningar.

I ett riktigt öppet nät borde inte användarna begränsas till låsta tjänster på en portal, där de gamla teleoperatörerna bjuder ut sina tjänster, samtidigt som de kräver att nätet konfigureras som VLAN till kunden, eller ännu värre, automatiskt gör det via Netadmin-programmet. Dvs. att tjänsteleverantören direkt eller indirekt konfigurerar om nätet. Då säger nog jag: bort med tassarna från vårt nät!

Låt vara att kunderna vill ha kabel-TV. OK, då finns det kanske inget annat sätt än att låta TV-operatören ha VLAN till kunderna. Men det låter som om man i onödan bara skapar extra administrering för något som man kunde slippa om man körde allting över Internet.

"Mitt" nät skall vara ett öppet nät där grannar ska kunna kommunicera utan att trafiken körs ut via Internet. Modellen med ett VLAN för varje kund tycker jag är HELT förkastlig. Det är ju som att återinföra det gamla telenätet!

Hur ställer ni som håller på att bygga nya nät er till detta? (och för all del befintliga nät också)

Nå, jag har ju länge talat för helt öppna nät, dvs. INTE en begränsad "valfrihet". Alltså inga begränsningar ifråga om portar och protokoll. Visst får det finnas nån "administrativ portal" även om jag tycker den är onödig. Men man måste kunna gå förbi den ! Varför inte erbjuda tjänster via portalen, men då får Internetanslutning inte räknas till en "tjänst".

Hela idén med det gamla telenätet var ju lokala monopol och det bör vi inte gå tillbaka till.

Rent tekniskt är det inget som hindrar att det fixas virtuella "förbindelser" i nätet så länge de inte hindrar andra att kommunicera fritt. Det går också att använda skilda våglängder för vissa gammaldags tjänster utan att det stör det öppna nätet. Man kan till och med köra flera lokala nät över samma fysiska nät ! Poängen är att inte förbjuda nånting. VLAN går också att använda jämsides med ett öppet nät (i samma fysiska nät). Det är viktigt att skilja mellan det fysiska nätet och det logiska nätet.

VLAN är ett kapitel för sig. Skall användas med förstånd!

Den som ansluter sig till ett vlan måste inse att det nätet innehåller exakt det som vlan ägaren erbjuder - och inget annat.
Så värst öppet är det knappast om man bara har en teleoperatör i andra ändan.

I österbotten har de satt in sig själva mellan tjänsteleverantören och kunden. På så sätt anpassas öppna nät modellen till en businesmodell med säljare och köpare. Men kommersen går bara mellan dem som finns med i det lokala systemet. Det kan vara svårt för utomstående att förmedla tjänster i det nätet. Ok, visst ... Via kundens internet anslutning kan man väl sälja vad som helst, men om den hastigheten är låg blir det svårt att garantera kvaliteten.

Hos oss i Tenala-bromarv har vi tagit en lite annan infallsvinkel. Vi kör antagligen också med Packet Front för att förmedla tjänster dit de skall levereras. Men, det att man kommer ut på Internet ligger som en basservice för alla som är anslutna till Vårt nät. Vi ser inte att Internet är en separat tjänst utan det är en infrastruktur som gör att folk kommer ut på nätet. Som nätoperatör skall vi se till att folk är uppkopplade.

Om någon utöver detta vill ha en ännu bättre och snabbare Internet-förbindelse kan hon ju alltid köpa tilläggskapacitet av någon tjänsteleverantör.

Notera också att i normala nätverk är hastigheten den vad hårdvaran klarar av. Det är bara business att strypa trafiken för dem som inte betalar. Sådana behov har inte vi och därför blir det best effort för alla. Precis som nätet i övrigt också funkar.

Hos oss i Tenala-bromarv har vi tagit en lite annan infallsvinkel. Vi kör antagligen också med Packet Front för att förmedla tjänster dit de skall levereras. Men, det att man kommer ut på Internet ligger som en basservice för alla som är anslutna till Vårt nät. Vi ser inte att Internet är en separat tjänst utan det är en infrastruktur som gör att folk kommer ut på nätet. Som nätoperatör skall vi se till att folk är uppkopplade.

Om någon utöver detta vill ha en ännu bättre och snabbare Internet-förbindelse kan hon ju alltid köpa tilläggskapacitet av någon tjänsteleverantör.

Notera också att i normala nätverk är hastigheten den vad hårdvaran klarar av. Det är bara business att strypa trafiken för dem som inte betalar. Sådana behov har inte vi och därför blir det best effort för alla. Precis som nätet i övrigt också funkar.


Här är jag absolut överens och jag tror vi ska köra med den här modellen, ifall jag får gehör för min åsikt.

Tack för kommentarerna så här långt!

Det viktigaste är att hålla förbindelsen ut till Internet HELT ÖPPEN - utan begränsningar ifråga om portar och protokoll eller nånting. Därutöver kan man sätta in alla möjliga onödiga portaler om man så vill.

Om vi nu är överens om idén med ett gemensamt Internet, så går det i alla fall att realisera det på lite olika sätt. Jag har läst om hur Nisse har konfigurerat det. Men det verkar inte populärt bland nätverksexperterna i min bekantskapskrets om alla i "byanätet" ligger bakom samma IP ut mot Internet (alla i nätet kan ju bli blockerade på samma gång då någon råkar få IP:n blockerad av t.ex. någon tjänst på Internet). De vill hellre att var och en tilldelas extern IP (helst av Internet-leverantören). Men hur går detta tekniskt ihop med min idé om ett öppet lokalnät där man ska kunna starta upp lokala tjänster? Det vore ju en fördel att t.ex. strömma video lokalt eller ha t.ex. spelservrar i byn, utan att trafiken ruttas via Internet-leverantören. Känner ni till om det finns det andra tekniska lösningar på detta, eller är Nisses modell det enda, med eget lokalnät?

Alla är inte heller pigga på idén att andelslaget för det öppna nätet blir en sorts operatör, utan vill hellre lämna det ansvaret till en kommersiell operatör. Finns det några lagliga aspekter på detta, och hur definieras "operatör" här? Blir man operatör om man sätter en router emellan, eller är man det redan då man erbjuder ett gemensamt Internet? Blir man tvungen att tillhandaha loggar etc.?

Johanh: "Men det verkar inte populärt bland nätverksexperterna i min bekantskapskrets om alla i "byanätet" ligger bakom samma IP ut mot Internet ..."

Främst med tanke på att IP:numret blir blockerat. Kan du Johanh be dina nätverkskunniga vänner berätta här i forum var IP:numret i så fall blir blockerat och av vem? Vad händer med en "blockerad IP"?
Kommer ingen ut på nätet därefter? Vad betyder "någon internettjänst" rent konkret? Faller Facebook eller MaxiVision?


Johanh:"Alla är inte heller pigga på idén att andelslaget för det öppna nätet blir en sorts operatör, utan vill hellre lämna det ansvaret till en kommersiell operatör."

Upprepar: ... "vill hellre lämna ansvaret på en operatör" ... Blir inte detta att äta kakan och ha den kvar? ;)

Låt mig föreslå följande:

1. Bestäm er för ett öppet nät eller inte.
2. Tag konsekvenserna av ert beslut (Ansvarar man för sitt nät så gör man det till 100%, vill man ge ansvaret till nån annan så gör dom det på sitt sätt till 100%)

Det hjälper att skilt se på nätets ägare och den som opererar nätet. Hos oss kommer vi att äga nätet och eventuellt be nån annan administrera det. Eller så gör vi det själva. Huvudsaken är att vi bestämmer (och har ansvaret).
För så mycket raketteknik är det nog inte fråga om. Men mer än att driva ett hemnätverk är det förstås. En god grundbildning måste man nog ha. En del klarar av att själva läsa sig in på ämnet, andra måste gå kurser. Priecis som med mycket annat här i livet.

--------

Johanh, av ditt senaste inlägg får jag känslan av att er nätgrupp vill göra stora strategiska beslut utgående från egna erfarenheter som konsumentkund hos någon ISP. Själv tror jag att man borde se på saken ur ett större perspektiv - våga tänka lite större än så.

Läs t.ex.

http://sv.wikipedia.org/wiki/Stadsn%C3%A4t

Speciellt Rapporten "Svenska Stadnätsföreningens syn på stadsnätens roll"
Finns nere på sidan http://www.ssnf.org/

Vi har alltså ett lokalt nät men den som vill kan få en egen global IP-adress. Det behövs en brandmur/router som klarar 1-1-NAT (en lokal adress mappas på en global adress). Då kan man äta kakan och ha den kvar. Jag personligen tycker det är dumt med en global adress eftersom den öppnar för attacker från skurkar i mycket högre grad. Därför får folk nog globala adresser men jag rekommenderar det inte.

Bara nätoperatören kan stänga av hela nätet och då har det ingen betydelse huruvida folk har globala IP-adresser eller lokala. Däremot kan en global IP-adress komma på en "svart lista". Det stänger ännu inte av nånting men vissa tjänsteleverantörer kan börja blockera IP-adresser som finns på svarta listan. Det har hänt oss flera gånger och jag har inte märkt nånting. Man bara fixar problemet och skickar meddelande till svarta listan att det är OK och då tas IP-adressen omedelbart bort från svartlistan (men sätts tillbaka om problemet återkommer). Vanligen är problemet att en maskin infekterats och skickar ut skurkpaket.

Man måste välja som Guje påpekar. Antingen sköter man nätet själva eller så får man ta vad nån annan besluter. Gujes modell är bra. Om man äger nätet men ger ut administrationen åt någon annan så har man tummen på dem i alla fall. Men får ni någon operatör att göra det ? De vill ha hela nätet för att få monopol ! Och då sitter ni där med skägget i brevlådan.

Det är inte svårt att administrera ett nät på distans. Det gör jag då jag är i Sverige. Vi skulle behöva små företag som fixar sådant och de kommer nog. Det går bra att sköta vid sidan av sitt arbete för det är ganska litet jobb. Vi måste aktivt börja bygga upp organisationen så det finns utbud på sådana tjänster. Jag kan myckt väl tänka mej att en person klarar av att administrera alla lokalnät i Svensk-Finland till exempel.

Lättjan är alla lasters moder som det heter. Jag vet att folk vill ge bort ansvaret åt en utomstående operatör men dessa sysslar inte med välgörenhet och det finns en stark tradition av lokala monopol bland teleoperatörerna. Just därför skulle vi behöva nya operatörer som inte har den traditionen.

Främst med tanke på att IP:numret blir blockerat. Kan du Johanh be dina nätverkskunniga vänner berätta här i forum var IP:numret i så fall blir blockerat och av vem? Vad händer med en "blockerad IP"?
Kommer ingen ut på nätet därefter? Vad betyder "någon internettjänst" rent konkret? Faller Facebook eller MaxiVision?


Exemplet var en spelserver. Då blir alla ungar inom byanätet blockerade om en blir. Jag kan nu inte komma på andra exempel själv. Så egentligen tycker jag att argumentet faller där.


Låt mig föreslå följande:

1. Bestäm er för ett öppet nät eller inte.

Det har vi redan gjort. Men det gäller att tydligt definiera var ansvaret går. Här tror jag några av de andra öppna näten i Österbotten har gjort bort sig lite, främst på grund av teknisk okunnighet och okunnighet om vad "open access" modellen egentligen innebär. Själv är jag beredd att ta hela ansvaret förutom med nätadministreringen också på kommunikationsnivå. Det betyder inte att andra operatörer inte är välkomna, tvärtom ska det vara möjligt för kunder som verkligen vill ha en annan operatör.

Jag tror inte det är admininstrationsbiten som är det stora problemet här, utan att få alla övertygade om hur ett öppet (och ett verkligt öppet) nät borde fungera.

Tack för länkarna. Jag ska studera dem.

Vi har alltså ett lokalt nät men den som vill kan få en egen global IP-adress. Det behövs en brandmur/router som klarar 1-1-NAT (en lokal adres mappas på en global adress). Då kan man äta kakan och ha den kvar. Jag personligen tycker det är dumt med en global adress eftersom den öppnar för attacker från skurkar i mycket högre grad. Därför får folk nog globala adresser men jag rekommenderar det inte.

Varifrån får ni dom globala adresserna? Har ni avtalat med en Internet-leverantör om dessa eller köpt själva?

Eftersom jag är med i samma grupp som Johan känner jag att jag vill komma med lite tillägg, speciellt angående att alla skulle dela på en extern IP.

Exemplet med spelservrar beskriver en del av problemet ganska bra. Unge A uppför sig inte på företaget X's spelserver, serveradministratören gör det som de brukar nämnligen gör en ipban på den enskilda ipaddressen antingen temporärt eller permanent. Att banna på t.ex. spelarens id brukar inte hjälpa pga det bara är att skapa en ny. Kvar finns då kanske 50 ungar som vill spela på samma ställe men som inte kommer in pga UngeA. Den enkla lösningen vid problem är tyvärr att köra en ipban på bråkstakar.

Ett annat problem som jag direkt kommer att tänka på är portforwarding, hur sköter ni det i praktiken om det bara finns en enda extern IP ?

Sen till det sista men kanske viktigaste. Hur loggar ni för att kunna redovisa för till exempel CKP undersöker en barnpornigrafihärva eller övrig grov verksamhet ?
CKP knackar på och frågar vem som har IP xxx.xxx.xxx.xxx för att reda ut YYY, hur kan man "peka ut" syndabocken i såfall ?
Känns som att det blir andelslagets styrelse som får sitta inne vid ett sånt fall.

Vi har fått 256 globala IP-adresser med avtalet om anslutning till Internet.

Portforwarding sysslar vi inte med eftersom alla portar måste vara öppna för alla. Men man kan använda en av våra globala IP-adresser som mappas på en lokal adress och så stänger man alla andra portar för just den adressen. Då är det ganska säkert men alla andra kan fortfarande använda det öppna nätet. Det finns alltså som jag påpekade 256 globala adresser men bara ett fåtal är i bruk. Jag öppnar nya enbart enligt behov. Det är alltså inte förbjudet men jag rekommenderar att man först kollar om man klarar sej med DDNS - det finns flera gratisservrar.

DDNS är alltså en mekanism där ett program inne i lokalnätet i en dator tar kontakt till DDNS-servern utanför och således öppnar en rutt in till nätet. Utifrån använder man DDNS-adressen som är global och via DDNS-servern får man tillgång till den lokala maskin som beställt DDNS-adressen. Till exempel det här forumet använder DDNS ! Och bra har det fungerat - helt utan global IP-adress.

Spelservrar är ett problem som tjänsteleverantören måste lösa. Som jag påpekade ovan så är det inte svårt rent tekniskt. Dessutom har ytterst få spelare fasta globala adresse. De flest har operatörernas dynamiska adresser som ändras hela tiden. Så jag kan inte se det som något verkligt problem.

Polisen får syssla med nånting nyttigare. Jag ger inte ut IP-adresser lika litet som en mängd operatörer över hela världen. Det är mediamonopolens svineri och dumma politiker som ställt till med eländet. Sådant bör man inte gå med på. Om det gäller något verkligt brott så samarbetar jag förstås. Här loggas ingenting men jag kan påpeka att det rent tekniskt inte är särskilt svårt att spåra paket så skurkarna bör akta sej. Det är nog onödigt att vara så livrädd för alla töntiga förordningar. De är inte alls prövade i domstol och de flesta strider troligen mot grundlagen och EU-domstolen dömer säkert till fördel för de grundläggande fri- och rättigheterna.

Det är förresten helt omöjligt att tekniskt och juridiskt binda en IP-adress till ett visst nät och en viss maskin. Det är så lätt att byta IP-adress i ett paket att bara totala klåpare låter bli att göra det. Skurkarna går förstås via anonymitetsservrar så där står sej polisen slätt - de har ingen kompetens.

Jag använder själv DDNS och det har alltid fungerat bra. IP:n är alltså publik och dynamisk på min DSL-anslutning.

Matias hittade en sida här med argument mot lokala adresser: http://blog.rootshell.be/2011/04/01/carrier-grade- nat-vs-ipv6/

Argumenten i artikeln utgår ifrån att man har en ISP som man inte litar på och som stänger portar. Men det kan ju ISP:n göra också även utan CGN eller NAT! Det säger han själv i artikeln.

Är man däremot en öppen operatör som Nisse (och som jag skulle vilja vara), så tillåter man ju all trafik och hela argumentet faller. Man kan tillåta inkommande trafik åt dem som begär det. Iofs använder jag en massa portar (22, 80, 443 och kanske nån till) som jag använder för inkommande trafik, men jag tror inte det är så många användare som gör det. Och lokala tjänsteproducenter ska förstås få tillgång till vilken inkommande trafik de vill, t.ex. någon som vill sätta upp videotjänster, forum etc.

Tyvärr måste man erkänna att globala IP-adresser är en säkerhetsrisk - ifall de används oförståndigt. Och till 99 % är folk oförståndiga vilket inte minst bevisas av att de köper en WLAN-burk som de kopplar in UTAN att sätta den minsta kryptering eller ens lösenord. Då är den vidöppen för alla !

Sedan är det också riktigt att operatörerna försöker binda folk till sina egna tjänster och där är triple-play-burkarna en verklig bov. Operatörerna räknar alldeles riktigt med att folks lättja och ovilja att sätta sej in i saken gör dem till lätta offer för monopoliseringen.

Det blir förstås bättre då det kommer nya generationer som bättre känner till nätet. Då inser de att begränsningarna i operatörernas system hindrar dem från att komma åt en mängd tjänster.

Frågan om lokala tjänsteproducenter är väldigt viktig. De är helt beroende av att nätet är öppet. Annars har de inte en chans mot operatörerna. Speciellt i början är det viktigt att göra tröskeln att ställa upp en tjänst så låg som möjligt - helst obefintlig. Då de nya tjänsteleverantörerna blir starkare så klarar de sej nog.

Det går inte att förbise säkerhetsproblemen. Tvärtom måste man sköta säkerheten för att nätet skall kunna vara öppet. Det är inte så svårt. Redan om man ser till att de grundläggande sakerna fungerar så klarar man sej ganska långt. Men det är ingen idé att stänga allting utan bara åtgärda de verkliga problemen. Vi har som utgångspunkt att allting är öppet och tar till åtgärder bara då det verkligen behövs. Och det har varit väldigt litet under de åtta år vi haft nätet. Huvudsakligen har åtgärderna gått ut på att be folk med infekterade maskiner att avlusa dem. Det är effektivt för då maskinen varit en vecka på avlusning så aktar man sej ganska noga i framtiden.

I nu-net är möjligheten att vara med i det gemensamma internet valbart där anslutna betalar sin del av kostnaden om de vill vara med. (Jag i mitt tekniska okunskap tror att routningen sköts av operatören som internet kapaciteten är köpt av). Gör denna valbarhet av delat internet detta till en tjänst?

Efter vad jag förstår skall Netadminnen inte användas till att begränsa valfridheten utan som ett verktyg för att se till att förbindelserna funkar.