Nextgentels produkt "Subnett med 4 adresser"

[Horge]

Har én fast ip-adresse fra nextgentel, men i forbindelse med en del testing av et labmiljø, så kunne jeg ha trengt et par (faste) ip-adresser til.

 

Ser at de har et produkt som heter “Subnett med 4 adresser (en fri adresse)”, men jeg har ikke funnet stort av info på hva produktet innebærer. Sendte spørsmål til NGT, men god-dag-mann-økseskaft-svaret jeg fikk var en link til en faq hvor dette produktet ikke blir omtalt.

 

Er det noen som har "subnett med 4 adresser" fra NGT og kan kort fortelle hva produktet er i praksis. Er det så enkelt som at man får fire faste ip-adresser, og sette NAT slik man ønsker for hver av de fire adressene?

[leftbrain]

Jeg har ikke selv hverken NGT eller dette produktet, men synes selv at produktnavnet er ganske selvforklarende. De kunne kanskje lage et datablad som forklarer dette, så de slipper henvendelsene.

 

Men det er vel rett og slett "et subnett med fire adresser" de selger.

 

Da reserverer de altså et /30-subnett til deg.

Du får i praksis EN ledig adresse du kan benytte.

 

Eksempel:

Du får subnettet 81.80.79.0/30 (maske 255.255.255.252)

 

.0: Nettverksadresse

.1: Ruter på NGTs side

.2: Ruter på din side

.3: Broadcast

 

Skal du ha noe større subnett må du vel ha bedriftsabonnement.

 

Forskjellen på "et subnett med 4 adresser" og "fast IP-adresse" er at den faste IP-adressen er en blandt en rekke hosts bak samme ruter hos NGT, mens med "subnett" får du ja, altså, et subnett

 

Det er altså ikke det du er ute etter.

 

Produktet du vil ha er jo "flere faste IP-adresser", noe NGT ikke leverer til private. Det står på vilje, ikke tekniske begrensninger.

 

Bl.a. Get gjør dette som standard på dyrere abo.

 

Mulig du kan overtale mindre ISPer til å levere deg dette - hør med Dataguard.

[Horge]

Takk for svar! Tidligere erfaringer har lært meg at DNS er mer komplekst enn man skulle tro, og dette er vel således nok en erfaring som forsterker inntrykket.

 

Har bare såvidt lest om subnett av denne typen tidligere, og mener å huske at man fort kan bruke en uke på kurs bare for å risse litt i overflaten; så jeg tror jeg stoler på deg når du sier at det ikke er dette jeg skal ha.

 

Spørsmålet blir i så fall om jeg kan løse utfordringen uten flere ip-adresser. Strengt tatt så kan jeg jo lage flere subdomener som alle peker mot samme ip, men denne løsningen fordrer at jeg har en nettverksboks som kan sette NAT basert på domenenavnet. Tviler på at adsl-boksen jeg har fikser noe slikt, men finnes det kanskje en noe annet lurt man kan sette opp "bak" adsl-boksen (som vel må settes i "bridge")?

[leftbrain]

Takk for svar! Tidligere erfaringer har lært meg at DNS er mer komplekst enn man skulle tro, og dette er vel således nok en erfaring som forsterker inntrykket.

 

Strengt tatt så kan jeg jo lage flere subdomener som alle peker mot samme ip, men denne løsningen fordrer at jeg har en nettverksboks som kan sette NAT basert på domenenavnet. Tviler på at adsl-boksen jeg har fikser noe slikt, men finnes det kanskje en noe annet lurt man kan sette opp "bak" adsl-boksen (som vel må settes i "bridge")?

 

Nå er det jo ikke DNS som var tema, men IP-subnett.

 

Det du beskriver, "DNS-basert NAT" (å rute trafikk til en intern host bak en NAT basert på DNS hostnavn) fungerer ikke.

 

Ruteren vet jo ikke hvilket hostnavn du skal til, da det er en stakkars IP-ruter som forholder seg til IP-adresser, intet mer.

 

All verdens bridge mode og/eller fancy programvare kan ikke løse det via DNS og IP alene, da informasjonen rett og slett ikke er til stede.

 

 

Tenker du på noe a la virtual hosting så gjøres det jo på lag 7.

 

Det er webserveren som leser host-feltet, men det er jo lenge etter det er etablert en HTTP-sesjon. Men bruker du en protokoll som inneholder hostnavn på samme måte som HTTP, kan du jo klart gjøre alskens facny "mapping" og manipulere det du vil på lag 7. Men det handler ikke om ruting eller DNS, bortsett fra at du har flere hostnavn registrert mot samme IP-adresse.

 

 

Ble litt nysgjerrig på hva slags protokoller og tjenester du skal kjøre?

Endret 22. februar 2011 av leftbrain

[Horge]

Nå er det jo ikke DNS som var tema, men IP-subnett.

 

Sant nok, men for meg som bare trenger å kåle med dette en gang i skuddåret, så blir IP, subnett, nettverkslag, DNS, A-/B-C-name, MX og alt annet i samme sfære fort sett på som del av den samme tåkeskyen. =)

 

 

Det du beskriver, "DNS-basert NAT" (å rute trafikk til en intern host bak en NAT basert på DNS hostnavn) fungerer ikke.

 

<snip>

 

Det er webserveren som leser host-feltet, men det er jo lenge etter det er etablert en HTTP-sesjon. Men bruker du en protokoll som inneholder hostnavn på samme måte som HTTP, kan du jo klart gjøre alskens facny "mapping" og manipulere det du vil på lag 7. Men det handler ikke om ruting eller DNS, bortsett fra at du har flere hostnavn registrert mot samme IP-adresse.

 

Ble litt nysgjerrig på hva slags protokoller og tjenester du skal kjøre?

 

Oppsettet er så enkelt som at jeg har både en stereotyp testlab, med blant annet domenekontroller, webserver, exchange, terminalserver, database etc, og alle skal mer eller mindre kunne bli sett utenfra.

 

Problemet oppstår når flere av serverne har tjenester på samme port. F.eks. klarer ikke exchange å nøye seg med 25, den vil også ha 80 og 443 (webmail, activesync osv). I tillegg vil også domenekontrolleren ha tak i 443, i hvert fall når man skal teste direct access. Så da står webserveren der litt molefunken, og mener at det egentlig er den som skal ha 80 og 443, og at de andre serverne heller kan leke på kjellerlemmen.

 

Men, hvis jeg kunne ha fått til "DNS-basert NAT", så er jeg selvfølgelig i mål. Skulle jo tro at det gikk an å få tak i en "smart" brannmur elns, som kan lese hostname og delegere NAT i tråd med dette...

[leftbrain]

 

Problemet oppstår når flere av serverne har tjenester på samme port. F.eks. klarer ikke exchange å nøye seg med 25, den vil også ha 80 og 443 (webmail, activesync osv). I tillegg vil også domenekontrolleren ha tak i 443, i hvert fall når man skal teste direct access. Så da står webserveren der litt molefunken, og mener at det egentlig er den som skal ha 80 og 443, og at de andre serverne heller kan leke på kjellerlemmen.

 

Men, hvis jeg kunne ha fått til "DNS-basert NAT", så er jeg selvfølgelig i mål. Skulle jo tro at det gikk an å få tak i en "smart" brannmur elns, som kan lese hostname og delegere NAT i tråd med dette...

 

Høres ut som det enkleste er å skifte portnummer på de tjeneste som kolliderer, f.eks. legge webmail på 8080, 4433 eller lignende?

 

Blir fremdeles vanskelig med NAT basert på hostname, men en eller form for smart proxy kan jo rute HTTP og andre protokoller som faktisk inneholder et hostnavn, men det kan bli sølete sammen med Exchange og det andre.

 

443 rett inn til en domenekontroller høres ikke ut som noen god idé for meg, men det blir en annen diskusjon.

 

Høres ut som det er mest Microsoft-tjenester du skal slippe inn.

 

Hva med å bridge all trafikken gjennom ISPs brannmur og la Microsoft TMG håndtere NAT og slikt? Vil tro en TMG-server løse alt dette og samtidig gjøre det enklere å støtte DA, og for alt jeg vet har de "hostname-basert ruting" av HTTP også.

 

Siden du har så mye MS fra får har du vel tilgang på lab/edu-lisenser eller noe sånt?

 

Ellers er det alltid kjekt med et subnett til slikt lab-bruk da - vil gjenta forslaget om å snakke med en litt mindre ISP - Dataguard, Powertech?

[Horge]

Høres ut som det enkleste er å skifte portnummer på de tjeneste som kolliderer, f.eks. legge webmail på 8080, 4433 eller lignende?

Joa, det løser jo saken her og nå; men labmiljøet skal simulere et livemiljø, hvor alle servere har egne eksterne adresser, så portene åpenbart ikke trenger å endres. Dersom alle eksterne enheter nå i testen må kjøres på alternative porter, så blir dette et lite skudd for baugen.

 

 

Blir fremdeles vanskelig med NAT basert på hostname, men en eller form for smart proxy kan jo rute HTTP og andre protokoller som faktisk inneholder et hostnavn, men det kan bli sølete sammen med Exchange og det andre.

Her blir det sikkert så mye søl, at litt fra eller til ikke er så nøye. En smart proxy er nok uansett smartere enn meg, og det vil være en god start.

 

 

443 rett inn til en domenekontroller høres ikke ut som noen god idé for meg, men det blir en annen diskusjon.

Ja, jeg har også stusset litt på denne; men en av testene er å se hvordan direct access fungerer i praksis, og om domenekontrolleren kan ha denne rollen.

 

 

Høres ut som det er mest Microsoft-tjenester du skal slippe inn.

Oh yes, all the way.

 

 

Siden du har så mye MS fra får har du vel tilgang på lab/edu-lisenser eller noe sånt?

All of the above, og enda litt til.

 

 

Hva med å bridge all trafikken gjennom ISPs brannmur og la Microsoft TMG håndtere NAT og slikt? Vil tro en TMG-server løse alt dette og samtidig gjøre det enklere å støtte DA, og for alt jeg vet har de "hostname-basert ruting" av HTTP også.

Ja, kan vurdere å sette opp dette på test her lokalt, dersom det får ting til å virke. Dog blir det neppe TMG i livemiljøet, så TMG blir en liten "urenhet" i testen. =)

 

 

Ellers er det alltid kjekt med et subnett til slikt lab-bruk da - vil gjenta forslaget om å snakke med en litt mindre ISP - Dataguard, Powertech?

Hmm... må ærlig vedgå at jeg ikke helt skjønte hva jeg kan gjøre med eget subnett som jeg ikke allerede får med den faste ip-adressen jeg har, men en dag får jeg vel lære meg slikt også.

 

Det enkleste hadde nå i hvert fall vært om det var en boks man kunne sette på "bak" adsl-boksen, og som ga meg noe tilnærmet DNS-NAT. Særlig fordi det er en boks jeg sikkert kunne ha hatt litt nytte av etter at testen er ferdig. Hvis jeg må inn med alt for mye mikk makk nå først (TMG og/eller å sette opp NAT for en haug med alternative porter), så får jeg jo like mye jobb med å konfigurere ting tilbake i etterkant. Og man er jo lat, må vite.

[xcomiii]

Det finnes ingenting som heter DNS-NAT.

 

Du har 2 muligheter så lenge du har tjenester som bruker samme porter (eks TCP 443).

 

1. Endre porter på de tjenestene det gjelder, jeg anbefaler det ikke da noen sære støtteverktøy/tillegg osv ting har hardkodet portnr i applikasjonene.

 

2. 1 offentlig IP pr tjeneste som kolliderer. Dvs har du 3 tjenester som bruker port 443, må du har 3 IP adresser.

 

Så lenge du MÅ teste hele oppsettet fra internet, må du ha like mange offentlige IP adresser som du du trenger i produksjon.

 

 

Ellers går det an å bestille fastIP med subnett hos NGT og samtidig bestiller minste pakken med NextPhone, da får du faktisk hele 5 offentlige IP adresser å kose deg meg, pga NextPhone krever en egen offentlig IP når du har fastip med subnett. Du får i praksis tildelt en /29 maske kontra /30 maske når du bestiller NextPhone.

 

Edit: det du ser, er resultatet av mangel på IPv4 adresser. Kan du bruke IPv6 adresser, dette ikke noe problem. Men IPv6 støtten på flere av MS sine serverprodukter er fremdeles temmelig tvilsom, så IPv4 er nok det riktige for deg.

Endret 25. februar 2011 av xcomiii

[Zenit]

Jeg har hatt subnet fra NGT tidligere, og det fungerer veldig bra. Det som skjer er at NGT ruter hele /30 nettet frem til deg. Som nevnt over, får du bare én ledig adresse da resten går bort til nettaddresse, gw og broadcast. Men, du kan trikse det til så du får utnyttet flere av de. Spørs hva du kan fra før, ev. er villig å lese deg frem til. Litt teori om subnetting hjelper. Her er noen alternativer:

 

1) Du utvider nettmasken på nettverket du har fått utdelt til f.eks. /29 eller /28. Det er litt avhengig av hvor adressene dine ligger om du må ty til /29 eller /28. Med mitt siste subnet holdt det med /29. Dette er fullt mulig, men det går på bekostning av at du ikke kommer til å nå de adressene i subnettet som ikke er "dine". Nettmasken avgjør nå at de befinner seg lokalt. Så fremt det ikke er nabo-adresser du virkelig må nå (verdt å sjekke først), er det en ok løsning. I praksis må du her fortsatt sette av én adresse til ruteren, men de tre andre kan du nå bruke fritt.

 

Det ligger en oppskrift ute et sted, dog den baserer seg på en gammel cisco-ruter som NGT hadde ute før. Dog det her er ganske generelt, og du bør klare det uansett ruter. Hvis jeg finner den oppskriften igjen, skal jeg legge ut en lenke.

 

2) Du oppretter et privat linknett (f.eks. 192.168.0.0/30) mellom NGT sin ruter og din egen ruter (f.eks. en pc). I tillegg må du endre på rutingtabellen (statisk rute) i NGT-ruteren slik at den får beskjed om at subnettet ditt befinner seg på neste hop. Dette går helt fint da hele subnettet rutes helt frem til deg av NGT. I praksis får du nå to adresser du kan bruke fritt (gw- og ruter sine IPer), ev. se neste punkt.

 

3) Hvis du bare trenger én ekstra adresse pleier det å gå greit å sette nettadressen som klientadresse også. Broadcastadressen kan gi mer trøbbel, da den gjerne er reservert til nettopp ja, broadcast.

 

4) Som en bonus, er det ikke noe i veien for å kombinere 1) og 2). Gjør du det riktig, kan du nå sette alle fire adressene i subnettet på dine maskiner.

 

Btw, jeg har testet ut alle løsningene jeg beskriver her, men jeg bruker knapt windows. I tillegg vil det variere hvor enkelt det er å få til avhengig av ruter. Mine siste forsøk ble gjort på en Netopia, i f.eks. en Speedtouch må man lære seg en del kommandoer som utføres over telnet. Som nevnt i posten over, kan du bestille IP-telefoni samtidig og da skal du få et ekte /29 som burde dekke dine behov uten å hacke noe som helst.