logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak otworzyć porty na CG-NAT za pomocą PCP (Port Control Protocol)

yaritza22 20 Gru 2024 15:18 1317 10
REKLAMA
Zgłoś naruszenie prawa
Odpowiedz | Nowy temat
  • #1 21356299
    yaritza22
    Poziom 3  
    Posty: 5
    Przed napisaniem, że się nie da, polecam sprawdzić https://www.youtube.com/watch?v=vnYxevtQuzw, gdzie można używając od 38 minuty filmu
    W skrócie chodzi o funkcjonalności NAT-a operatorskiego, żeby otworzyć port na świat:
    Endpoint independent mapping (EIM)
    Endpoint independent filtering (EIF)
    Port Control Protocol (PCP)
    UPnP interworking

    Cześć, większość operatorów używa CG-NAT wg. adresacji "Reserved IPv4 Prefix for Shared Address Space" - RFC 6598.
    Jak otworzyć port na świat? Z tego co mi wiadomo, powinno się użyć PCP Port Control Protocol, ale jak to powinno wyglądać pod Linuxem czy innym Unixem?
    Cytując Wikipedię:
    Cytat:

    Carrier-grade NAT usually prevents the ISP customers from using port forwarding, because the network address translation (NAT) is usually implemented by mapping ports of the NAT devices in the network to other ports in the external interface. This is done so the router will be able to map the responses to the correct device; w carrier-grade NAT networks, nawet though the router at the consumer end might be configured for port forwarding, the "master router" of the ISP, which runs the CGN, will block to port forwarding, because the actual port would not be the port configured by the consumer.[7]
    In order to overcome the former disadvantage, the Port Control Protocol (PCP) has been standardized in the RFC 6887.


    Co do PCP, to jest coś tam napisane na Wikipedii, że jest support pod OpenWRT, ale nic konkretnego, tak jakby program upnpc, czyli "upnpc - miniupnpc library test client", miałby to wspierać PCP, ale dla mnie chyba to normalne, że dostaję komunikat:
    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    No IGD UPnP Device found on the network !

    Bo nie mam Internet Gateway Device (UPnP IGD) u siebie włączonego, a z tego co mi wiadomo, serwer UPnP IGD nazywa się miniupnpd. Tutaj to już nie wiem, jakbym miał to skonfigurować pod pppd.
    Próbowałem bez skutku, otwierałem port:
    TCP i UDP 1900 Simple Service Discovery Protocol (SSDP), discovery of UPnP devices
    TCP i UDP 5351 NAT Port Mapping Protocol and Port Control Protocol client-requested configuration for connections through network address translators and firewalls
  • REKLAMA
  • #2 21356515
    m.jastrzebski
    Specjalista Sieci, Internet
    Posty: 5246
    Pomógł: 679
    Ocena: 863
    Nie wiem do końca o co pytasz. O kontrolowanie przekierowania portów na swoim routerze z publicznym adresem IP przy pomocy wspomnianego protokołu (żeby się nie musieć logować i zmieniać co chwilę konfiguracji), czy o wpływanie na przekierowanie portów na routerze/NATe operatora. Jak to drugie to nie ma w tym wszechświecie opcji, że jakikolwiek operator pozwoli abonamentowi zdalnie i samodzielnie otwierać porty na ich operatorskim routerze/NATe, na routerze który obsługuje wielu abonentów.
  • #3 21356809
    jprzedworski
    Specjalista Sieci, Internet
    Posty: 5357
    Pomógł: 758
    Ocena: 826
    W dodatku przy CGNAT adresy IP nie są unikalne, i mogą się powtarzać w wielu miejscach na świecie.
  • REKLAMA
  • #4 21357085
    yaritza22
    Poziom 3  
    Posty: 5
    @m.jastrzebski @jprzedworski
    Don't you all speak English?
    Carrier-grade NAT usually prevents the ISP customers from using port forwarding, because the NAT is usually implemented by mapping ports of the NAT devices in the network to other ports in the external interface. This is done so the router will be able to map the responses to the correct device; in carrier-grade NAT networks, even though the router at the consumer end might be configured for port forwarding, the "master router" of the ISP, which runs the CGN, will block this port forwarding because the actual port would not be the port configured by the consumer. In order to overcome the former disadvantage, the Port Control Protocol (PCP) has been standardized in the RFC 6887.
    Zobaczcie sobie w pdf który sie nazywa IPv4 Mroczne Widmo czyli IPv6 DS-lite w Neostradzie na samym końcu jest mowa o Port Control Protocol czyli o otwieraniu portów na CG-NAT w prezentacji jest też mowa o funkcjonalnościach NATa operatorskiego tj.:
    Endpoint independent mapping (EIM)
    Endpoint independent filtering (EIF)
  • #5 21358839
    m.jastrzebski
    Specjalista Sieci, Internet
    Posty: 5246
    Pomógł: 679
    Ocena: 863
    yaritza22 napisał:
    @m.jastrzebski @jprzedworski
    Don't you all speak English?
    Carrier-grade NAT usually prevents the ISP customers from using port forwarding, because the NAT is usually implemented by mapping ports of the NAT devices in the network to other ports in the external interface. This is done so the router will be able to map the responses to the correct device; in carrier-grade NAT networks, even though the router at the consumer end might be configured for port forwarding, the "master router" of the ISP, which runs the CGN, will block this port forwarding because the actual port would not be the port configured by the consumer. In order to overcome the former disadvantage, the Port Control Protocol (PCP) has been standardized in the RFC 6887.
    Zobaczcie sobie w pdf który sie nazywa IPv4 Mroczne Widmo czyli IPv6 DS-lite w Neostradzie na samym końcu jest mowa o Port Control Protocol czyli o otwieraniu portów na CG-NAT w prezentacji jest też mowa o funkcjonalnościach NATa operatorskiego tj.:
    Endpoint independent mapping (EIM)
    Endpoint independent filtering (EIF)

    Nie odpowiedziałes, więc zakładam, że chodzi Ci o przekirowanie na NATe operatorskim.

    Przejrzałeś tą prezentacje? Dyskutuje problem braku adresów IP + różne techniki do migracji do IP6.
    Prezentacja jest sprzed 10lat!! W IT to wieczność. Masz u któregoś operatora to PCP wdrożone? Operatorom to jest potrzebne jak zającowi dzwonek na polowaniu. Jakby cały śwait przemigrował w 100% do IP6 i każdy uzyszkodnik miał publiczne IP 6 na swoim routerze, to te protokoły zdalnej konfiguracji NATu miałyby sens - np gra komputerowa sama se ustawia potrzebne jej przekierowania portów - gracz nie musi nawet wiedzieć że takie coś jest potrzebne!

    A NAT operatorski to nadal NAT. Tylko borykajacy się z innymi wyzwaniami wynikającymi ze skali.
    EIM, to rozwiązanie z jednego z tych problemów. Mając tysiace uzyszkodników za NATem i duzo adresów publicznych, trzeba tym dynamicznie zarządzac. Część usług (e.x. wideło-konferncje) mogą wymagać stałego publicznego IP. Wypada tak zarządzać NATem żeby nie zrwywało klientowi sesji czyli mu nie zmieniać publicznego IP.
    A wracajac do Twojego problemu. Internet nawet po angliszczańsku nie podpowiada za wiele w kwestii umozliwienia odbiorcom usług, grzebanie i konfigurowanie operatorskiego NATa przy pomocy PCP cz uPNP. U operatów ciężko jest uzyskać ONT zamiast jedynego słusznego routera a ty się spodziewasz że operator pozwoli na zdalnie otwieranie portów na ich routerze. Zejdz na ziemie.
  • REKLAMA
  • #6 21359173
    yaritza22
    Poziom 3  
    Posty: 5
    @m.jastrzebski
    Prezentację w pdf https://www.data.proidea.org.pl/plnog/12edycja/day1/track4/04_ipv6_dslite_neostrada.pdf
    I film z prezentacji https://www.youtube.com/watch?v=vnYxevtQuzw
    Przejrzałem kilka razy, chodzi mi to że wyraźnie mówią o PCP Port Control Protocol na prezentacji i w PDF. Czy to jest wdrożone, nie wiem bo nie wiem jak wysłać do CG-NAT pakietu PCP. Zauważ że są różne techniki takie jak np. UDP hole punching i inne których na ten moment nie pamiętam żeby działało to za NATem à la publiczny adres IP na interfejsie w peer to peer.


    Próbowałem przez upnpc otworzyć porty na funbox 3.0 dostając różne błędy bez skutku, z różnymi loginami do PPPoE m.in. bez_ochrony-login(_at_)neostrada.pl lub bez_ochrony-login(_at_)neostrada.pl/ipv6 nawet z wymuszeniem IPv4.
    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    Found valid IGD : http://
Local LAN ip address : 
ExternalIPAddress = 
AddPortMapping( ) failed with code 606 (Action not authorized)

    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    Found a (not connected?) IGD : http://
No valid UPNP Internet Gateway Device found.

    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    No IGD UPnP Device found on the network ! 

    To ja nie wiem po co im te UPnP IGD na tym funboxie skoro to jakoś nie chce działać

    Co do ONT to sprawa jest krótka, nie podpisujemy nic jeśli nie dostaniemy ONT (nie jest to argument na temat)
  • #7 21359187
    Konto nie istnieje
    Poziom 1  
  • #8 21359230
    yaritza22
    Poziom 3  
    Posty: 5
    @erbit
    Tak jest CG-NAT na IPv4 (podobno domyślnie), jak dodasz /ipv6 w loginie do PPPoE, na funboxie czy oddzielnym ONT, jak podasz taki login do PPPoE.
    Ogólnie, jeśli kogoś interesuje, jak wygląda config z ONT na IPv6, to tutaj ktoś zrobił sobie notatki https://idea.popcount.org/2023-04-01-orange-ftth-and-ipv6---part-two/
    Z tego, co zauważyłem, to funbox 3.0 bez ONT domyślnie nie ma /ipv6 w loginie do PPPoE, domyślnie jest dynamiczny publiczny adres IPv4 na interfejsie WAN funboxa, geolokalizacja wg. różnych baz geoip takiego adresu IPv4 jest w miarę poprawna (może być, ale nie musi), chyba nie działa UPnP IGD, także nie wiem, po co jest domyślnie włączone.
    Wiadomo też z tych prezentacji, które tutaj wysłałem, jak i z pdf, że mamy trzy obszary geograficzne dla CG-NAT, jeśli dodamy /ipv6 do loginu (powinno być domyślnie, a u mnie nie jest). Ciekawe jest to, że tak jak mówili w prezentacji, na IPv6 mamy dokładność do routera brzegowego - przynajmniej jeśli chodzi o geolokalizację adresu IPv6, którą używa Google, czyli bardzo dokładną, aż za bardzo. Oczywiście niech nikogo nie zdziwi swój MAC Address w adresie IPv6, funbox 3.0 nie ma włączonego Privacy Extensions w Stateless Address Autoconfiguration (SLAAC).
  • REKLAMA
  • #9 21359317
    Konto nie istnieje
    Poziom 1  
  • #10 21359358
    yaritza22
    Poziom 3  
    Posty: 5
    @erbit
    Nie zrobię tego na funboxie 3.0 bez uid=0 i tak można zestawić do 3 sesji PPPoE (wg. informacji od Orange z prezentacji i PDF-a).
    Poza tym w tytule jest pytanie o to, jak wysłać pakiet Port Control Protocol (PCP) do CG-NAT.
    Moim celem nie jest pozbycie się CG-NAT-a, tylko otworzenie na nim portu na świat, bo da się, nawet w T-Mobile widziałem też prezentację i była o tym mowa (zostało tutaj już to wspomniane).
  • #11 21359370
    KOCUREK1970
    Specjalista Sieci, Internet
    Posty: 35235
    Pomógł: 3811
    Ocena: 5363
    yaritza22 napisał:
    Moim celem nie jest pozbycie się CG-NATa tylko otworzenie na nim portu na świat bo da się,

    Już ktoś Ci na innym forum napisał, a człowiek ten ma własną kablówkę i wie, co mówi - do tanga trzeba dwojga.
    Ty, możesz sobie chcieć, co tam chcesz.
Odpowiedz | Nowy temat
Zgłoś naruszenie prawa

Podsumowanie tematu

✨ W dyskusji poruszono problem otwierania portów na CG-NAT za pomocą protokołu PCP (Port Control Protocol). Użytkownicy wskazali, że operatorzy, stosując CG-NAT, uniemożliwiają klientom samodzielne przekierowywanie portów, ponieważ NAT operatora blokuje te operacje. Zwrócono uwagę na funkcjonalności takie jak Endpoint Independent Mapping (EIM) i Endpoint Independent Filtering (EIF), które mogą być pomocne w zarządzaniu NAT-em. Użytkownicy podzielili się doświadczeniami z próbami użycia narzędzi takich jak upnpc, jednak napotkali problemy z autoryzacją i brakiem wsparcia dla IGD (Internet Gateway Device). Wspomniano również o konieczności dodania sesji PPPoE dla IPv6, aby uzyskać publiczny adres IPv4 bez CG-NAT.
Wygenerowane przez model językowy.
REKLAMA