IP-numror

Medan åskan mullrade och Bredde besökte sjöjungfruns land, brevväxlade jag med Nisse om fibernätets administration.

pdonner: Vi bör alltså registrera oss som operatör. Jag hade den uppfattningen att vårt nät har en enda väg (eller flere prisreglerade vägar såsom du föreslog) ut till operatorn och att vi själva administrerar vår egen operatöroberoende IP-rymd. Det förutsätter väl att vi måste beställa IP-rymden av RIPE. Inte bör Internet access operatören (eller operatörerna) kunna ställa krav på hur abonnenten är uppkopplad eftersom de bara säljer internet kapacitet. Om vi låter dem bestämma IP-numrorna kan det väl bli problem med dem som vill erbjuda sina tjänster genom en fast IP. När vi sedan byter försäljare av internet kapaciteten blir de kunder sura som vill hålla sig med fast IP.

Nisse: Vi kör med lokala adresser inom nätet 192.168.x.x och de som vill ha fast adress får en i brandmuren med 1-1-NAT, dvs. den lokala adressen mappas till en global. De globala adresserna beställes från RIPE men vår operator ger oss 256 globala adresser som ingår i priset. Vi gör ingen reklam för fasta adresser för de är en väg in i vårt nät för all sorts skurkar. Det är bättre att ENBART folk som absolut måste ha en global adress anhåller om den.

Det är uppenbart att onödiga fasta (globala, offentliga) IP-numror utgör en säkerhetsrisk för det blir onödigt lätt för inbrytaren att hacka den kända IP-nummern och när man väl sluppit in i nätet så är det möjligt att också gå vidare in i den lokala adressrymden som annars aldrig syns utåt.

Hur blir det om inte servermaskinen (telefonen eller videokonferensapparaten) med den globala IP-nummern kommer åt de andra adresserna i den lokala adressrymden?

Jag tänker mig t.ex. ett system med små videoterminaler utan skrivminne. Inställningarna görs genom att tillverkaren bl.a. skriver en fast IP-adress i ROM. Den telefonen/videokonferensterminalen kan man ringa till utifrån men den har inte om kunskap om eller tillgång till det dumma nätets lokala numror.

Jodå, man borde stänga av det lokala nätet i sådana maskiner som bara behöver global IP. Det är ett av de få tillfällen då man kunde använda VLAN (virtuellt LAN) så att den globala servern är i ett eget VLAN och alltså intee kan kommunicera med andra maskiner inom det lokala nätet. Om VLAN ställs in i växeln så går det inte ens att som root andra på inställningarna.

Nisse skrev på annan tråd såhär:

Vi behöver alltså inte ta kontakt med RIPE direkt utan får våra globala IP-adresser via vår nätoperatör (som köper en hel bunt av RIPE och alltså har mycket låga kostnader per adress). I vårt Internetavtal på 100/100 Mbit/s ingår 256 globala IP-adresser. Och hela avtalet är väldigt förmånligt om man jämför med de skräckpriser de lokala telemonopolen har.

Vi kan ge varje anslutning en egen global IP-adress men vanligen behöver de inte global adress och det är litet farligt för då kommer också skurkarna lättare in på vårt nät. Men om någon vill ha så får de gratis global adress. Fast jag vill gärna ha en god orsak varför den är nödvändig och att de klarar av att hantera säkerheten. De flesta klarar sej med en DDNS-tjänst (som är gratis på många DDNS-servrar). Då får de en global namnadress via servern (men inte en global numerisk IP-adress).

Jag har tänkt mig två situationer där man kunde ha fördel av egen IP-adressrymd:

Det kan ju hända att underhandlingarna om förbindelsetrafiken går dåligt och monopolet står sig. Då har vi inget annat alternativ än att göra upp avtal med telebolaget. Och då får vi en situation där en del av medlemmarna vill hålla sig med fast adress måste använda det nummer som vi fått genom telefonbolaget. Om vi sedan lyckas komma ur monopolbojan så har vi en besvärlig situation där ett antal telefon- och videokonferensabonnenter måste meddela sina kumpaner att de bytt telefonnummer. (Poängen var ju den att man inte kunde använda DNS-tjänsten).

Hur går det till när bya- eller nejdnätet har Internet-uppkopplat sig genom flere operatörer. Det kan man göra utan att abonnenten behöver bekymra sig om hur trafiken förmedlas, men hur vet kumpanen som ringer upp abonnenten vilket IP-nummer som skall användas?

Jag hade tänkt mig att man genom att beställa operatöroberoende IP-numror kunde slingra sig genom dessa problem. Inser dock att monopolisten kanske inte tillåter användning av egna numror. De hittar som sagt på nya argument an efter som diskussionssituationen ändras.

Bäst är att inte använda IP-adresser i numeriskt format utan köpa en domän på fria marknaden. Vi köpte till exempel Hindersby.net från Domeneshop i Norge. Därefter kan man sätta domänen på de allmänna DNS-servrarna eller t.o.m. använda egna DNS-servrar. Därefter sköter DNS om att domännamnet kopplas till rätt IP-nummer och det är relativt lätt att byta. En domän för .net kostar 70 norska kronor per år och det betalar jag gärna för bekvämligheten. Kan köpas helt oberoende av alla operatörer.

Ännu lättare är att använda alias. Då ställer man in ett alias som via en tabell mappas på den konkreta domänen och man bara byter namn i tabellen. Inom en timme är hela världen medveten om bytet - det tar litet tid för definitionerna att gå igenom alla DNS-servrar i hela världen. Jag har till exempel satt in ett alias för forumet på Domeneshop. Där mappas fiberforum.hindersby.net på bredband.selfip.net (som i sin tur är ett virtuellt namn det också eftersom Guje använder DDNS). Likaså använder jag byyin.Hindersby.net som alias för det krångligare nissehusberg.scorpionshops.com/nywp/.

Alias är utmärkta motmedel mot monopol. Om man regelmässigt använder alias både för domäner och epostadresser så är det mycket enkelt att byta leverantör när som helst. Då behöver man aldrig meddela folk om ändringarna eftersom aliasen fungerar som vanligt.

Det är bara ett problem och det är då DNS inte fungerar. Och det är tyvärr en av de vanligaste orsakerna till att folk ringer och säjer att "nätet inte fungerar". Det fungerar nog men om DNS inte fungerar så får de inte kontakt. Och tyvärr så kan vem som helst klåpa till det egna operativsystemet så att DNS slutar fungera. I vissa fall tycks Windows själv klara av att rådda till DNS - speciellt Vista har ställt till med problem helt spontant.

Intressant, men kom ihåg att många videokonferensapparater hänger samman med teletiden, så där kan man inte använda dns-namn. Och lika är det med ett antal SIP-telefoner ifall man behöver koppla direkt till den kumpan som inte finns i det egna SIP-registret.

Skrivfelsnisse: http://byyin.Hindersby.net/