RFC 3021 ed IP non contigui.

frakka · 2020-05-01T23:02:07+00:00

Buonasera a tutti, avrei una domanda per chi ha una buona conoscenza teorica della reti basate su IP. A quanto mi risulta, le subnet /31 utilizzate per il...

x_term

Menion la RFC è valida anche per impostazioni statiche manuali, si fa sui circuiti Ethernet dedicati se non è stata richiesta una subnet più grande.

frakka È anche possibile isolare i client a livello 2 comunque, se filtrano i broadcast.

frakka

x_term

Ok per il broadcast ma se provassi a contattare direttamente uno degli endpoint, quello non potrebbero filtrarlo, giusto?

[cancellato]

frakka Non li vedi perché tipicamente le redi di access sono impostate per non consentire la comunicazione tra peer, ma solo verso i gateway.
Il fatto che ti abbiano dato un GW fuori dalla subnet è inconcepibile (a mie conoscenze)...

x_term È anche possibile isolare i client a livello 2 comunque, se filtrano i broadcast.

Mica solo i broadcast... le ACL simil-port isolation filtrano anche il traffico unicast, semplicemente non consegnano i frame a porte non marcate come "uplink"... stesso concetto nelle reti wireless con la client isolation 😉

matteocontrini Eh mi sa proprio di sì.
Perché hanno sulla stessa interfaccia/VLAN di consegna un DHCP server che assegna indirizzi privati NATed, e in più accetta forwarding di indirizzi pubblici che vengono "staticamente" (= amanuense) assegnati ad ogni cliente che lo richiede... a quanto ho letto, non è neanche automatico l'assegnamento, se il cliente chiede loro l'indirizzo lo forniscono, altrimenti no (ma prendilo con le pinze perché non sono loro cliente, non posso dare info di prima mano).

frakka

Menion

È un IP statico.

Menion

[cancellato] il suo gateway È nella sua sotto rete. L'utente si chiede perché non gli hanno fornito una sotto rete /31 punto punto facendo riferimento ad una RFC che si applica per i link punto punto ma non è il suo caso. Lui si trova in una sotto rete esposta su internet.

frakka

Menion

No: Mi hanno detto che devo configurare l'IP statico che mi hanno fornito usando come subnet 255.255.255.255 oppure 255.255.255.254 oppure 255.255.255.0 (sì, c'era scritto proprio "oppure"!) , in accordo a quanto previsto dalla RFC in oggetto (lo dicono loro, non io!) per i link punto-punto e fornito i due IP così come sono, il mio è quello del gateway.

Forse indicano direttamente di usare la /24 come fallback, sapendo già che per molti quel setup non può funzionare. Non ne ho idea perché alle mie domande in merito hanno risposto in modo fumoso ed evasivo.

LucaTNT
Grazie, mi guardo il link che hai indicato per capire se riesco a recuperare qualche info in più.

LucaTNT

Su online.net (ora scaleway dedibox), presso cui ho un paio di server, usano un unico gateway per qualunque IP, anche in subnet completamente diverse: https://documentation.online.net/en/dedicated-server/network/ip-failover/virtual-machine

[cancellato]

LucaTNT Si ma li ti stanno fornendo una interfaccia con subnet /32, non /31... La RFC 3021 si applica a casi diversi.

frakka

[cancellato] in realtà può ricadere nella conf che mi hanno mandato per email (la subnet 255.255.255.255 era indicata come una possibilità) quindi vale la pena fare un a prova, approfittando del fatto che l'os del mio router di fatto è una Debian.

[cancellato]

frakka Certo, però permettimi... Una mail scritta così significa che chi l'ha preparata ha "sparato a caso", senza avere le competenze necessarie.

Comunque, a meno che tu non voglia raggiungere altri clienti con IP pubblico dello stesso operatore, puoi banalmente lasciare quei che funziona 😉

frakka

[cancellato]
Sì, sono d'accordo.
È anche la spiegazione più logica alla riluttanza nel fornire spiegazioni dettagliate a seguito di richiesta esplicita.
Sto riscontrando da un po' dei micro "freeze", con la connessione che si inceppa per qualche secondo poi riparte. Prima di aprire un ticket anche per questo voglio vedere se riesco a configurare la WAN nel modo più compliant possibile alle loro indicazioni (per quanto assurde o inesatte).

frakka

Sì, ho letto: Ma matteo-rock ha detto che non dovrebbe dipendere da Seaflow e di sentire loro.

Comunque ce l'ho fatta! Il suggerimento di @LucaTNT è stato determinante!
Adesso scrivo riporto i dettagli, a imperitura memoria...

frakka

Continuo a tediarvi (e forse la smetto anche) ma dopo il blocco di questo pomeriggio la configurazione che nel pomeriggio per un po' ha funzionato poi ha smesso: Visto che non si riprendeva nulla, neppure quando nell'altra discussione il problema sembrava per lo più rientrato, ho resettato le impostazioni sulla WAN e le ho fatto prendere prima l'IP dal DHCP dietro al loro NAT e poi ho reimpostato l'IP statico con la /26 ed il collegamento internet si è immediatamente ripreso.

Domanda importante: C'è la possibilità anche remota che siano stati miei test a mandargli in banana qualcosa, anche solo quel router o l'interfaccia su cui lo vedo?

frakka

Ho provato stasera a ri-applicare la configurazione usando la /32 e per funzionare, funziona.

Non ho nessun particolare "packet loss" quindi direi che il problema dell'altro giorno è confermato essere dovuto al contemporaneo down.

--- 1.1.1.1 ping statistics ---
778 packets transmitted, 777 received, 0% packet loss, time 780006ms
rtt min/avg/max/mdev = 3.932/4.758/88.210/3.489 ms

Due problemi:
1) In questa configurazione sembra non funzionare "hairpin NAT" (aka "NAT loopback" o "NAT reflection") quindi la possibilità di raggiungere un risorsa sulla LAN chiamandola tramite il suo IP pubblico (che con la modalità /24 invece funziona). Forse devo sistemare qualche regola di firewall... Boh, ci devo guardare.
2) Le route applicate al router da linea di comando sembrano non essere persistenti, al reboot le perde ma questo è un problema del mio apparato.

frakka

Problema 2 -> Risolto con uno script eseguito al boot.
Problema 1 -> WIP ma la parte WAN funziona correttamente e dall'esterno i servizi nattati sono comunque raggiungibili.

In questo modo la configurazione sembra correttamente funzionante e, soprattutto, persistente.
Grazie di nuovo a tutti per il supporto ed a @LucaTNT per l'imbeccata risolutiva!

P.S: @matteocontrini
C'è un limite di tempo entro cui si possono editare i msg inviati nel forum? Ho provato a editare il precedente e al momento di salvare mi ha detto che non ero autorizzato. Ho ricaricato la pagina ed era scomparsa l'opzione dal menù...

matteocontrini

frakka P.S: @matteocontrini
C'è un limite di tempo entro cui si possono editare i msg inviati nel forum? Ho provato a editare il precedente e al momento di salvare mi ha detto che non ero autorizzato. Ho ricaricato la pagina ed era scomparsa l'opzione dal menù...

30 minuti

frakka

P.P.S: Credo che il motivo alla base di tutto questo cinema da parte dell'ISP sia che sono i router Mikrotik a NON supportare le subnet /31, stando ad alcuni post su un forum... Da qui l'esigenza di configurare la punto-punto in questo modo insolito.

[cancellato]

frakka Non necessariamente... per tutti i clienti se assegnassi una /31, sprecheresti metà degli indirizzi perché tutti alias del router di accesso; assegnare una /32 ad ogni cliente non spreca nessun indirizzo utile rispetto per esempio ad una /24 o addirittura /23 o /22. 😉

frakka

Sì, chiaro.
Ma rimane comunque una scelta abbastanza "esoterica", su cui non danno alcune informazione e citano una RFC non propriamente calzante, se non per il fatto che ne richiama altre.

Inoltre il mancato supporto alle /31 da parte dell'OS dei mikrotik è citato dal forum che ho linkato, che dovrebbe essere la community del brand. Il post che chiede quando verrà implementato il supporto alla /31 è vecchio di due anni ma c'è poi gente che chiede ancora se ci sono news in merito...

[cancellato]

frakka citano una RFC non propriamente calzante

Dì pure che non c'entra niente... 🙂
Quanto al Mikrotik e /31, onestamente non ho mai provato... stasera provo e ti dico.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile