Veřejná IP, NAT

Kapánek zmatený dotaz.. 1. Jasné je jen to, že máš na routeru od ISP veřejnou IP adresu, kterou jsi v úvodu dotazu naznačil.. 2. Máš vlastní router, který je připojen k routeru od ISP.. Jakým způsobem je připojený s routerem od ISP..??? ISP -LAN < -- > Tvůj router..??? LAN / nebo WAN port..???Pokud chceš mít vytvořenou vlastní vnitřní síť za routerem od ISP, měl bys mít připjení kabelem od routeru ISP do tvého routeru do portu WAN.. WAN adresu přidělit z IP adres DHCP serveru z routeru od ISP.. Tvůj DHCP server na tvém routeru bych nastavil v jiném rozsahu, jinou třídu IP vnitřních adresVnitřní IP adresy, třídy: A - 10.0.0.0B - 172.16.0.0C - 192.168.0.0*ty dvě koncové nuly si můžeš snadno změnit dle vlastního uvážení.. Ta poslední 0 by mohla být změněna na číslo 1 -tj. adresa routeru(výchozí brána.. DHCP server může být v rozsahu IP adres např.: 192.168.1.10-192.168.1.254 / nebo 172.16.0.10-172.16.0.254.. podobně i utřídy A(10.0.0.0).. za předpokladu, že adresa routeru bude mít na konci číslo1: 172.16.0.1Vlastní síť za routerem od ISP je rozhodně dobré řešení.. Tvůj router bude jako druhý NAT za routerem od ISP.. ničemu to nevadí..

Správně to je:10.0.0.0/8172.16.0.0/12192.168.0.0/16Maska je taky důležité značení.

Ano.. ale u těch běžných routerů se prefix nepíše.. číslo za lomítkem¨U routeru Mikrotik ano.. /8 ../12 ../16.. Neblbni.. víš co ty čísla znamenají..??? Jednoduše řečeno, určují rozsah IP adres DHCP serveru.. 8 ..12..16 takový rozsah IP adres v domácí síti opravdu nepotřebuje.. Stačí v pohodě klasika: /24.. čemuž se rozumí 254 IP adres.. respektive 256

Tady máš ukázku IP adres, prefixhttp://internet.vprdeli.com/view.php/8/12/16Opravdu potřebuješ tolik IP adres..???..

Ano, napsal jsi totez, co Ondra. On te jen opravil, ze pokud pises privatni rozsahy, mel bys je napsat spravne.

No.. Už jsi viděl, že se např. u routerů TP-Link a dalších sraček, při nastavení vyplňuje i prefix.. ??? Já tedy ne.. U routerů Mikrotik je to zcela normální, vytváří-li se IP adresa, vytvoří se komplet + prefix(za lomítkem příslušná hodnota)Tazatel má nějaký obyčejný router, který stejně nic neumí..

Prefix je jen zkrácená verze spojité masky. Neexistuje v routeru kvůli DHCP, ale kvůli routování. Maska sítě jasně určuje, který bit v síťové adrese je ještě adresa sítě a který bit už je adresa jednotlivého zařízení v té síti. To že se to nastavuje do DHCP serveru je proto, aby koncové zařízení vědělo s kterými adresami se má bavit napřímo a s kterými pomocí své výchozí brány. Takže opět routování.

Router Netis neznam (takovych hruz se stranim), ale zakladem je podivat se do logu firewallu (jestli to ten router umi), zda tam ten ping zvenci vubec dorazil. Z toho odvodis, jestli je problem u poskytovatele, nebo u tebe.Mimochodem, jaky ma smysl schovavat cast verejne adresy? Od toho je verejna, abys ji mohl ukazat celou. Pokud bys ji sem napsal, muze nekdo vyzkouset traceroute nebo tcptraceroute a napsat, kde po ceste je problem.Pokud je tvuj router opravdu na te verejne IP adrese dosazitelny, tak na nej denne "utoci" spoustu ruznych botu a automatickych skriptu, takze schovavat ji pred par lidmi ze zive.cz nema valny smysl.

" Mimochodem, jaky ma smysl schovavat cast verejne adresy? Od toho je verejna, abys ji mohl ukazat celou."Tohle napíše bezpečnostní analytik? Veřejnou adresu si člověk pořídí proto, aby se do své sítě dostal zvenčí bez nutnosti nějakého tunelování. Rozhodně ne proto, aby jí vytruboval všem na požádání na fórech. Takže teď mu kromě obvyklých botů může zkoušet defaultní heslo a další zranitelnosti jeho skvělého Netis routeru i osazenstvo zdejší poradny hned, jak si to spojení vyřeší. Existuje důvod, proč je veřejná IP adresa osobní údaj i ze zákona. Taky, kdybys měl problémy se zámkem u dveří napíšeš "Bydlím v Novákově ulici 25 v Dolních Kotěhůlkách a nefunguje mi zámek, nevíte někdo jak to spravit?"

Můžeš prosím ozdrojovat tvoje tvrzení „Existuje důvod, proč je veřejná IP adresa osobní údaj i ze zákona. “ tedy vyjmenovat ty důvody a napsat paragraf kterého konkrétního zákona?

Můžu, ale neber to jako podklad k diskuzi. Je to offtopic.https://gdpr-text.com/read/recital-30/https://www.gdpr.cz/gdpr/heslo/ip-adresa/https://www.pravniprostor.cz/clanky/obcanske-pravo/roz... https://gdpr-text.com/read/recital-30/

Dobře, adresa je 62.204.243.242.Ten router už mám dlouho, domácí síť funguje, používám rozsah adres 192.168.1.xxx. Od providera vede optika, na zdi je krabička Huawei - převod na "metaliku". Odtud ethernet kabel do portu GWAN na routeru. LAN porty (4) fungují, WiFi taky. Rychlost a odezva internetu je v pohodě.Na různé rady jsem vyzkoušel nastavit router jako switch, dát bridge, dát příchozí kabel do LAN, atd. atd. Firewall je vypnutý, momentálně nastaven forwarding na 192.168.1.1 (adresa routeru) port 80. Do logu se podívám, je-li nějaký. Ještě mě napadlo dát kabel na zkoušku rovnou do PC, ale to musím naštudovat, co kde nastavit, mám Linux Ubuntu. Na zkoušení přístupu používám m.j. Network Analyzer pro Android (samozřejmě přes mobilní data.)

Forwarding se nastavuje na zarizeni za routerem a vy pisete, ze ho mate nastaveny na ip adresu routeru.

nc -vvn 62.204.243.242 80nc: connect to 62.204.243.242 port 80 (tcp) failed: No route to hostVidel bych to chybu v konfiguraci poskytovatele. Ale aby se to dalo rict s jistotou, musely by se zkontrolovat logy na routeru.

Tak jsem zkusil traceroute a znovu ping. Zkusil jsem dát kabel do síťovky na PC - získal adresu 10.30.92.192, internet OK, traceroute končil u poskytovatele, ping bez odezvy. Na PC nemám žádný forwarding ani firewall. Takže to vypadá opavdu na poskytovatele, jen jak mu to dokážu? Těch návštěv u něj už bylo mnoho a pořád tvrdí, že u něj to není a že nic neblokuje. (A mých ztracených hodin taky.) Pokud budete mít někdo čas a chuť, zkuste porovnat 62.204.243.242 (moje) a 62.204.243.240 (hospoda). Stejný provider.Díky všem za reakce.

Do hospody se dostanu. To znamena spatne zabezpeceny router, ale potvrzuje to ze jejich IP funguje:nc -vvn 62.204.243.240 80Connection to 62.204.243.240 80 port [tcp/*] succeeded!

Jasně, šlo mi o to, jestli nedělám úplně debilní chybu. Ale když dám Ethernet kabel místo do routeru přímo do PC, tedy vyřadím router a internet poté funguje funguje, tak by mělo jít na IP adresu alespoň ping-nout, protože ping jde na zařízení a ne na porty? A protože ping na PC zakázán není (na lokální síti funguje), tak by měl odpovědět? Takže v routeru chyba asi není, i když je to třeba sračka, tak výměna nepomůže. Proč mi teda provider tvrdí, že nic neblokuje? Jestli je chyba u mě, tak jsem idiot a zaplatím za odstranění, docela budu potřebovat přímý přístup k práci... Ale díky všem.

A co ukazuje https://www.mojeip.cz/ ?

Poskytovateli to dokazes tak, ze na routeru najdes logy a v nich neuvidis ani ping, ani pokusy o spojeni na jinych portech (treba 80, jak jsem zkousel ja).Pripadne na PC pripojenem misto routeru spustis neco jako Wireshark a budes koukat, jaky provoz na nej leze zvenci.

Tomu rikam odvaha, mit na internetu pristupny webovy rozhrani Huawei HG8245H bez sifrovani. Krome webu ma jeste otevreny port pro ssh.

Čím je přístupný..??? Že si na něj pingneš..??? Můžeš mě trochu poučit..??? Mám stejný router(optika) od ISP..do jejich routeru mám jen uživatelský účet - přístup na forwarding, DMZ apod.. Za routerem(HG8245H) od ISP mám router Mikrotik(vlastní vnitřní síť)

Jj.. už pochopil, kam tím míříš.. Router hospody a zobrazení v prohlížeči vstupní možnost přihlášení do routeru62.204.243.240Naštěstí ISP Centrio má tohle správně ošetřené.. Právě teď jsem vzdáleně připojený na jiné PC mimo Prahu.. zkusil jsem si zadat moji veřejnou IP adresu do prohlížeče Chrome.. a ani ťuk.. Po vložení adresy hospody: 62.204.243.240 .. ano, zobrazí se mi přihlašovací okno do routeru.. kdybych znal přihlašovací údaje, byl bych v rozhraní nastavení routeru..

Tohle je jen jedna cast problemu a to ta mensi. Mnohem horsi je, ze ta komunikace neni sifrovana takze kdejaky trosku zrucnejsi jouda ji muze odposlechnout a pripadne pozmenit (MITM). Pritom na te adrese bezi jeste openvpn takze pokud potrebuje hospodsky porad neco menit na routeru proc radsi post 80 nezavre a nepouziva to vpn? Mozna by ho na to Zdenek mel upozornit, ze si koleduje o pruser.

Jo vyřidím mu to. Taky jsem čuměl, co všechno má otevřený za porty, a to tomu nehovím. Bohužel mám opačnej problém, co bych za to dal. Dobře, Netis vyhodím, jen co budu zvenku vidět.

A to je přesně důvod, proč se veřejné IP adresy nezveřejňují. Nota bene cizí.

Souhlasím. Jenže, stačí se připojit v daném objektu na WiFi (a hospody mívaj SSID a heslo na nástěnce, případně ochotně sdělí) a každej jouda si může dát whatsmyip nebo spustit jakoukoliv z mrtě aplikací z google play. IP vyběhne, a jestli je to moje vlastní veřejná nebo sdílená onen jouda zjistí po jejím zadání do prohlížeče (Pokud ví, co je IP, tak už si dál poradí.) Bohužel. To samé může návštěvník provést mě. Jestli toto řeší hotspot nevím, ale to už je asi OT.

Samozřejmě. Proto by měly být veřejně dostupné Wi-Fi sítě velmi důkladně zabezpečeny směrem dovnitř i ven, nechce-li si provozovatel zadělat na potenciální problémy.

Chtel jsem se udrzet, ale neda mi to. Pardon za offtopic.Security by obscurity nefunguje. Nema smysl adresu schovavat a doufat, ze se tim vyresi vsechny problemy. Na *kazdou* verejnou IPv4 adresu se za den pripoji na beznych portech pripoji nekolik botu a automatu, ktere si vyvari databaze dostupnych zarizeni a propojuji je se seznamy zranitelnosti.Nedat IP adresu sem do diskuse, aby byla "bezpecnejsi" je jako prijit do prace s falesnym knirkem, aby me nikdo nepoznal.Tady jsou moje verejne adresy: 77.236.203.193 a 2a03:f282:17:5299::99:1

Jestli se chces probourat dovnitr, musis pouzit neco jineho nez nmap se vsemi NSE skripty

Nemám zapotřebí se ti hrabat v síti, takže v tom skenu prsty nemám. Ale vidíš, jak rychle to zkusí někdo, koho by to předtím ani nanapadlo.

OK, pardon za obvineni :) At to zkousi, neni zdaleka ani prvni, ani posledni.

A vida, nekdo je dokonce takovy hacker, ze dokaze stahnout robots.txt a pak zkopirovat cely web :)

Taky poslední příspěvek offtopic. Nikdo netvrdí, že se schováváním IP adresy vyřeší všechny problémy, jen omezíš zbytečné další. Podívej se, kolik lidí už zkusilo proskenovat síť toho hospodského, který nemusí nic vědět ani o tom, kolik toho má z venku vidět, ani o tom, že mu do sítě buší několik lidí navíc jenom proto, že Zdeňkovi nejde ping na jeho router. Svojí adresu jsi sem dal proto, že jsi si jistý svým zabezpečením. Jsi si tak jistý tím jeho?

Ne. Jsem si tak jisty tim, ze zverejnenim jeho adresy se nic zasadniho nezmeni. Vim totiz, jak vypada bezny provoz, kdyz se nikdo "normalni" nediva.

Pánové, hned zítra hospodskýho kontaktuju a upozorním.A i sem do vidlákova pronikla technika a znalosti, takže se někteří baví tím, že skenují značky a MAC adresy nejen telefonů přísedících hostů. Už tu byl případ v jednom baru, že se musela EET kasa dát jinam, protože ji borci zahltili. (No to byl nápad, dát ji na stejnou privátní síť.) Ještě více k pláči však je, že onen hospodský tomuto vůbec nerozumí, takže mu to instalovali PROFÍCi.

To Stanislav: To ano, tady šlo o vyzkoušení, mělo by se zobrazit přihlášení do routeru - snad.

Na prihlaseni do routeru se nepouziva port forwarding, mela by tam byt konfigurace vzdalene spravy.

Dobře, budiž. Já budu šťastný, pokud se mi podaří na nějaké zařízení na této adrese alespoň ping, pak budu řešit dál.

A nemas nahodou jinej router, protoze DL4422V sem nasel jako VDSL modem+router a nevim jak tam davas ethernet do GWAN.

Ano, umí i VDSL, kupovanej původně pro DSL od Cetinu. Nicméně GWAN má a už mi tak jede v novém bydlišti téměř 2 roky.

Co Firewall na routeru?Ukázka z jiného routeru:https://ctrlv.cz/eJzGhttps://ctrlv.cz/D5fm

Firewall vypnutý, ping povolen. (Jasně, až se připojím, tak to budu muset hned odpojit a vše nastavit, jinak jsem f ....).Ale na svou IP se nedostanu, ani když vyřadím router a připojím přímo PC. Ale třeba to blokuje Linux, to nevím, proto jsem se tu ptal.Kdyby mi to nefungovalo u minulého providera, tak bych hledal chybu jen v sobě. Ten je však na této adrese nedostupný.