Vor dem ISP sind nicht alle gleich

In diesem Artikel möchte ich mich mit einem Effekt beschäftigen, den man sich manchmal zu selten vor Augen hält.
Ich spreche von dem begrenzten Raum an öffentlichen IPv4 Adressen.

Wer über seinen privaten Internetanschluss Dienste wie VPN hosten will, oder einen Kunden hat, der über eine gewöhnliche Consumer Line online geht, sollte sich dieses Effektes bewusst sein.

Um dem Problem mit den mit den begrenzten IP Adressen Herr zu werden, bedienen sich die Internetanbieter einer Technik namens NAT.
Wenn ein Internet Service Provider, auch Carrier genannt, mehrere IP Adressen seiner Kunden auf eine Öffentliche IP Adresse "nattet", spricht man hier von Carrier Grade NAT.
Dies bedeutet, dass dem großen Pool an IP (v4 oder v6) Adressen die der Carrier seinen Kunden gibt, ein kleinerer öffentlicher Adresspool gegenübersteht.

Es sind also unter einer öffentlichen IP Adresse immer mehrere Kunden gleichzeitig im Internet.
Der ISP merkt sich dann über die geöffneten ports, welche Session welchem Kunden hinter seinem NAT zuzuordnen sind.
Viele IP Anschlüsse für Endkunden laufen heute nur noch auf IPv6.
Um es den Kunden mit IPv6 Adressen zu ermöglichen IPv4 Dienste zu nutzen, setzen die ISPs sogenannte DS (Dual Stack) Lite Tunnel ein.
Diese setzen der IPv6 Adresse des Kundenanschlusses eine öffentliche IPv4 Adresse des ISP gegenüber.
Die IPv4 Pakete werden dann in IPv6 verkapselt, an den ISP geschickt welcher sie wiederum auspackt und an den IPv4 Dienst im Internet weiterleitet.
Die IPv4 Antwortpakete werden vor dem Weiterleiten und an den Kunden wieder in IPv6 verpackt.

Soweit, so theoretisch.
Nehmen wir an ich prüfe nun welches meine aktuelle öffentliche IPv4 Adresse ist und versuche diese auf Port 8080 anzusprechen.
Weder erwartet mein ISP momentan eine Antwort auf 8080 (da er dort vermutlich aktuell keine Session hält), noch kann er meine Anfrage einem bestimmten Kunden zuordnen.
Die Pakete werden also entweder rejected oder dropped.

Ihr muss also euren Internetanbieter darüber informieren, dass Ihr vorhabt Dienste im Internet anzubieten.
Dieser muss dann das Carrier grade NAT für diesen Anschluss abzuschalten bzw. es eher in ein 1:1 NAT verwandeln.
Die Kundenhotlines kennen das meist unter "den DS Lite Tunnel anpassen" oder "Portweiterleitungen aktivieren".

Ob der ISP das macht, hängt davon ab, wie groß sein Pool an öffentliche IPv4 Adressen noch ist.
Einen Anspruch darauf, dass ihr eine 1:1 Zuweisung eurer IP mit einer der öffentlichen IPs des ISP erhaltet, gibt es meines Wissens nach nicht.
Da aber relativ wenige Kunden dies beantragen, sind die ISPs dort meist recht entspannt.

Anschließend kann der öffentlichen IP auch direkt eine Interne IP zugeordnet werden.

Bitte behaltet außerdem noch im Hinterkopf, dass Ihr die Portweiterleitungen auch noch auf dem Router hinter der consumer line einrichten müsst.
Dieser macht schließlich auch ein NAT und versteckt eure internen IPs.
Zusätzlich zu den Portweiterleitungen (oder "Port-Freigaben" wie sie manche nennen) haben machen end-user Router noch "Filter" oder "Parenting controlls".
Diese können trotz aktiviertem Portforwarding verhindern, dass Traffic weitergeleitet wird.
Die Konfiguration dieser Geräte ist manchmal sehr ansträngend, um es nett auszudrücken.

Außerdem ändert sich eure öffentliche IP vermutlich täglich.
Just saying.

 

Cheers,
Ori


Voice V-Lans

When using VOIP Phones you will find that the Ethernet Cable into your network and the Computer both get attached to the Phone.

This setup exists because most of the VOIP Phones have a Two-Port-Switch integrated.

This is resulting to the phone beeing a bottleneck when it has a slow 10/100 MBit/s switch integrated, like the one in the picture above.
Also this is resulting in a challange for us, if we want to seperate the phones traffic into a different network then the computers traffic.

This is where Voice V-Lans come into play.
The protocols used are LLDP or the Cisco proprietary CDP protocol.

They are capable of identifying the devices behind the port and seperating thier traffic.

Setting up the Voice V-Lans on the switch

In this example I am configuring the Voice V-Lan on a HP 2540-48G-PEO switch.
The configuration is simular on Juniper and Cisco.

As you can see from the screeshot above there is already a row for "Voice" in the GUIs V-Lan MGMT area.
However it is not possible to make a VLAN become a "Voice V-Lan" using the GUI.

Connect to the switch via SSH.
Here we create a V-Lan (if it does not exist already) and make it a Voice V-Lan.

Using the command conf we change into the configuration layer of the CLI.
vlan 300 name Voice creates a new V-Lan named "Voice".
vlan 300 voice defines the vlan 300 as a Voice V-Lan.

This is now also visible in the GUI.

When you are having multiple switches, please remember that the v-lan needs to be able to traverse trunk-ports.
Define the v-lan on all switches as voice v-lan and add it as tagged to the trunk ports.
If you are unsure what ports that might be, just take a look where the other v-lans are tagged.

Cheers,
Ori


Voice V-Lans

Wenn VOIP Telefone eingesetzt werden ist es meist üblich, dass sowohl das in euer Netzwerk führende Ethernet Kabel sowie das Ethernet Kabel des Client Computers an das Telefon angeschlossen werden.

Dies ist möglich, da die meisten VOIP Telefone einen Zwei-Port-Switch verbaut haben.

Dies führt zum einen dazu, dass wie im oberen Bild gezeigte 10/100 MBit/s Switche einen Flaschenhals darstellen
Zum anderen stellt es uns vor eine Herausforderung, wenn wir den Traffic des Telefons in einem anderen Netzwerk haben wollen als den Traffic des Computers.

Hier kommen sogenannte Voice V-Lans ins Spiel.
Zum Einsatz kommen hier das LLDP Protokoll oder das Cisco proprietäre CDP Protokoll.

Mit Ihnen ist es möglich die Geräte hinter dem Port zu identifizieren und deren Traffic zu separieren.

Voice V-Lans auf den Switches einrichten

In diesem Beispiel werde ich das Voice V-Lan auf einem HP 2540-48G-PEO Switch anwenden.
Auf Juniper und Cisco Switchen verhält sich die Konfiguration ähnlich.

Wie in dem oberen Screenshot zu sehen ist, existiert im V-Lan MGMT der GUI bereits ein Reiter "Voice".
Es ist über die GUI allerdings nicht möglich ein V-Lan zum VOICE V-Lan zu machen.

Wir verbinden uns also über SSH mit dem Switch.
Hier erstellen wir (falls es noch nicht existiert) ein V-Lan und machen es zum Voice V-Lan.

Mit dem Befehl conf wechseln wir in die Konfigurationsebene der CLI.
vlan 300 name Voice legt ein neues vlan mit dem namen "Voice" an.
vlan 300 voice definiert das vlan 300 als Voice V-Lan.

Das ist jetzt auch in der GUI sichtbar.

Wenn Ihr mehrere Switches habt denkt dran, dass auch das VOICE V-Lan sich über Trunks hinweg bewegen muss.
Legt das gleiche VLAN auf allen Switches als VOICE V-Lan an und legt es Tagged auf die Trunks.

Um Herauszufinden welche das sind, schaut euch an, auf welchen Ports die anderen V-Lans tagged anliegen.

Cheers,
Ori