חיבור MPLS

שלום לכולם,

רק רציתי לשתף אתכם - עכשיו הייתי בשיחה עם התמיכה של ברק (013) מכיוון שהראוטר סירב להתחבר כבר חצי יום,

לאחר שאמרתי לתומך החביב שהראוטר שלי מנסה בכוח לתפוס את אותו IP כל הזמן בתחום 85.64.3.81/24 הוא נזכר לספר

לי שברק לאט לאט מעבירים את הלקוחות שלהם לחיבורי MPLS.

דעו לכם שאם אתם לקוחות ברק ויש לכם בעיה להתחבר אליהם, תבדקו אם הראוטר שלכם מנסה לתפוס כתובת חוקית גם כשאתם

לא מחוברים בתחום ה-IP ב-CIDR שציינתי למעלה - יכול מאוד להיות שגם אתם הועברתם.

ברגע ששיניתי את חיבור ה-WAN מ-L2TP ל-DHCP, הכל התעורר לחיים ועובד כמו גדול.

כל הכבוד לברק על היוזמה!

זה די מוזר כי אם משתמים ב DHCP הלקוח (במקרה הזה הראוטר) לא יכול לדרוש IP מסויים, כן הוא יכול

לבקש בפאקט של ה DHCP discovery כתובת מסויימת וזה בהחלט נפוץ ונוח אבל השרת יכול בקלות

להתעלם ולשלוח לו offer עם IP שונה לחלוטין, כן בתאוריה הלקוח יכול לסרב אבל בחיים שלי לא נתקלתי

בכזה דבר, ואם אתם שואלים אותי זה די טיפשי לכתוב client כזה, יש דרכים הרבה יותר חכמות לנהל הקצאת

כתובות. אבל מצד שני זה ציוד שלהם אז כנראה הם יודעים משהו שאני לא...

ואם זה אפשרי תראה לי מה שינת, כי L2TP זה פרוטוקול VPN ו DHCP זה פרוטוקול להקצאת כתובות, לא רק שאלה 2

דברים שונים לחלוטין, לרוב הם עובדים ביחד.

תגידו,יש MPLS לADSL?

תגידו,יש MPLS לADSL?

לא (לא בארץ לפחות).

ניר, תעשה טובה תשנה כותרת למשהו יותר "תחת חוקי הפורום"...

ו- PIG, אני חושב שהיה כאן איזשהו קצר בתקשורת

הוא היה מחובר עד עכשיו בחייגן , שזה אומר שהוא קיבל DHCP, אבל בטווח 172.2X מהוט ועל גביו עשה L2TP לברק

ועכשיו הם שינו את ההתחברות ונותנים לו DHCP ישר עם כתובת ציבורית. (מה שנקרא הרבה פעמים בטעות "MPLS" - חיבור ללא חייגן)

(בטעות , כי גם ה 172.2X זה עדיין MPLS, לא רק ה"ללא חייגן" הוא MPLS)

אז ברגע שהוא שינה את הנתב שלו מ L2TP ל obtain ip automatically הנתב הפסיק לנסות לחייג/לתהחבר ופשוט היה מחובר.

כל הכבוד לברק על היוזמה!

אגב, ברק (או שמא עלי לומר- החברה המאוחדת, "נטויז'ן-ברק-גלובלקול" ? )

שינו לגמרי את החיבור ללא חייגן שלהם, מנויים חדשים שעושים חיבור ללא חייגן בברק, מוצאים את עצמם חסרי יכולת גלישה בכלל

עד שהם מזדהים בשם משתמש וססמא דרך ממשק וובי באתר של ברק, מין פרוקסי שקוף שמחיייבים אותך לעבור דרכו

סוג של חיבור ללא חייגן, אבל בכל זאת מצאו דרך לשלוט בו - ע"י פרוקסי אתה (הלקוח) גם מזדהה וגם נתון לשליטה מלאה לראות עיני הספקית

ממש כמו בחיבור עם חייגן לכל דבר, רק עם פחות תקלות חיבור (אני מתאר לעצמי שזה הרעיון שעומד מאחורי זה)

זה לא אצל כל המנויים של ברק עדיין, ולא כל החיבורים ללא חייגן שלהם, רק החדשים בינתיים.

אני אישית עדיין לא הועברתי לזה בכח, אני מאמין שבקרוב זה יגיע גם אלי, ואני לא אוהב את הריח של זה, בכלל.

ניר, לא נתקלת בזיהוי החד פעמי הזה כשעברת ל MPLS ?

(הם אומרים שזה חד פעמי, אני מניח שזה פשוט עובד על שיוך של Mac (של מודם) לשם משתמש)

DHCP זה לא MPLS?

כי ביקשתי מהם חיבור ללא חייגן וזה מה שהם הביאו לי

ו- PIG, אני חושב שהיה כאן איזשהו קצר בתקשורת

הוא היה מחובר עד עכשיו בחייגן , שזה אומר שהוא קיבל DHCP, אבל בטווח 172.2X מהוט ועל גביו עשה L2TP לברק

ועכשיו הם שינו את ההתחברות ונותנים לו DHCP ישר עם כתובת ציבורית. (מה שנקרא הרבה פעמים בטעות "MPLS" - חיבור ללא חייגן)

(בטעות , כי גם ה 172.2X זה עדיין MPLS, לא רק ה"ללא חייגן" הוא MPLS)

אז ברגע שהוא שינה את הנתב שלו מ L2TP ל obtain ip automatically הנתב הפסיק לנסות לחייג/לתהחבר ופשוט היה מחובר.

תודה על ההסבר, אני חושב שזה מובן לי עכשיו... ועדיין לא הבנתי מה הקשר בין MPLS לחיבור עם/ללא חייגן, כל בן אדם שני

אומר לי ש MPLS זאת מילה נרדפת לחיבור ללא חייגן, ועד כמה שאני יודע (אני ממש לא מומחה בטכנולוגיות WAN, וגם לא ל"רשתות

ואינטרנט" אם אתה רוצה באמת להיכנס לזה... ) אין לזה קשר.

אגב, ברק (או שמא עלי לומר- החברה המאוחדת, "נטויז'ן-ברק-גלובלקול" ? )

שינו לגמרי את החיבור ללא חייגן שלהם, מנויים חדשים שעושים חיבור ללא חייגן בברק, מוצאים את עצמם חסרי יכולת גלישה בכלל

עד שהם מזדהים בשם משתמש וססמא דרך ממשק וובי באתר של ברק, מין פרוקסי שקוף שמחיייבים אותך לעבור דרכו

סוג של חיבור ללא חייגן, אבל בכל זאת מצאו דרך לשלוט בו - ע"י פרוקסי אתה (הלקוח) גם מזדהה וגם נתון לשליטה מלאה לראות עיני הספקית

ממש כמו בחיבור עם חייגן לכל דבר, רק עם פחות תקלות חיבור (אני מתאר לעצמי שזה הרעיון שעומד מאחורי זה)

זה לא אצל כל המנויים של ברק עדיין, ולא כל החיבורים ללא חייגן שלהם, רק החדשים בינתיים.

אני אישית עדיין לא הועברתי לזה בכח, אני מאמין שבקרוב זה יגיע גם אלי, ואני לא אוהב את הריח של זה, בכלל.

גם כשאתה מתחבר ל VPN ללא חייגן, קורה אותו תהליך רק הראוטר, הוא זה ש"מחייג" ויוצר בעצם site to site VPN,

הקטע אם הממשק ווב זה לא נראה כמו פרוקסי, אני מנחש שזה פשוט דרך שונה לעשות authentication .

כשאתה "מחייג" לשרת VPN אתם מסכימים על הפרוטוקול שישמש לעשות את ה tunnel עצמה (לרוב זה PPTP או L2TP )

וגם על פרוטוקול authentication , כשתהליך ה authentication נעשה השרת VPN (בדרך כלל) שולח את התגובה של ה client לשרת

RADIUS שמחליט האם לאפשר גישה או לא.

אני מנחש שמה שהם עשו זה פשוט בנו ממשק ווב שדרכו אתה שולח את הפרטים שלך לאותה מערכת ה AAA , טוב לפי ההגדרה זה (כנראה) סוג

של פרוקסי אבל לא במובן שהתכוונת ,הוא פשוט עושה חלק ממה ש NAS לקוח RADIUS עושה.

אבל שוב, אין לי מושג איך הרשת שלהם בנויה אז לך תדע...

אז אני מניח שזה החדשות הטובות פה זה שכנראה לא הרבה השתנה... החדשות הרעות הם שכל ISP יכול לרגל אחרי המשתמשים שלו גם במצב

הנתון, החדשות הטובות בחדשות הרעות (עזוב אני עייף...) זה לאף אחד לא אכפת מאיתנו מספיק בשביל לרגל...

DHCP זה לא MPLS?

כי ביקשתי מהם חיבור ללא חייגן וזה מה שהם הביאו לי

אין שום קשר בין 2 הדברים האלה (טוב, חוץ מזה שזה 2 פרוטוקולים).

DHCP זה פרוטוקול לחילוק דינאמי של כתובות IP (ועוד כמה דברים) ברשת.

MPLS - על כמה שאני זוכר זאת טכנולוגיה שפותחה במקור על ידי CISCO, הרעיון היה לכניס header בין זה של IP (או כל פרוטוקול שיכבה 3 )

לבין זה של השיכבה השניה, ובתוך ה header לשים label ועוד מידע QOS ,שאמור היה לעזור לעשות ניתוב יעל יותר מלבחון את הכתובת יעד

ב IP header .

האמת הייתי בטוח שזה פרוקסי, כי מה שראיתי שקורה זה :

יש IP אינטרנטי ציבורי על הכ.רשת,

(כי מדובר כמובן בחיבור ללא חייגן, כלומר אתה מקבל IP ציבורי מה- DHCP שיושב בהוט.. (לפי שיוך לספקית כמובן) ולא דרך חיבור VPN)

אז יש IP, יש DNS, יש פינג לאתרים חיצוניים, אבל כל מקום שאתה מנסה לגלוש אליו -

אתה מגיע רק לאתר מיוחד של ברק לצורך זיהוי.

רק אחרי הזיהוי אתה יכול לגלוש, עד אז כל נסיון גלישה מביא אותך לאתר שלהם.

(למרות שפינג ל walla.co.il למשל עובר והריזולבינג אכן נכון, (לצערי אני זוכר את ה IP של ואללה בע"ם מהתקופה שעבדתי בספקית.....)

אם תנסה לגלוש ל walla.co.il תגיע לאתר של ברק, אלא אם כן הזדהית קודם, ואז תגיע כבר ל walla.co.il באמת)

אני מניח שזה לא חייב להיות פרוקסי, ויש מצב שזה סט של חוקים ב NAT/PAT שלהם,

(למשל 80 מפנה אותך לאתר שלהם אלא אם כן ה Mac שלך מזוהה במערכת)

אבל כמוך כמוני, אין לי שמץ של מושג על מבנה הרשת שלהם וצורת העבודה במקרה הזה.

אז אני מניח שזה החדשות הטובות פה זה שכנראה לא הרבה השתנה... החדשות הרעות הם שכל ISP יכול לרגל אחרי המשתמשים שלו גם במצב

הנתון, החדשות הטובות בחדשות הרעות (עזוב אני עייף...) זה לאף אחד לא אכפת מאיתנו מספיק בשביל לרגל...

זה לא עניין של לרגל, (האמת איפשהו כן, לא "ריגול 007" ולא "ריגול הרגלי צריכה", אבל כן יש כאן big brother)

זה יותר עניין של שליטה של ה ISP בך

למשל שינוי תיעדוף לפאקטים מסוג מסויים , אני לא רומז שזה נעשה - אני יודע כמעט בוודאות שזה נעשה כמעט בכל הספקיות בארץ.

(אני מדבר על P2P בעיקר)

החיבור ללא חייגן עד היום איפשר לך להתגבר על זה, כי עברת במכונה שהם לא כ"כ שלטו בה, אבל עכשיו הכל תחת ידם.

אתה אמנם תמיד יכול להצפין את הפאקטות שלך, אבל עדיין, זה מציק ברמה העקרונית, ובעתיד אני מפחד שאנחנו (הצרכנים) כולנו,

נסבול בצורה כלשהיא מסנקציות שהספקיות/ממשלה/משרד התקשורת/ whoever ירצו להפיל עלינו.

(הגבלת הגלישה לפי כמות מידע שהורדת למשל, מה שראינו לאחרונה שהתחיל לקרות באמת, או לתכנים מסוג מסויים בלבד וכו')

יש IP אינטרנטי ציבורי על הכ.רשת,

(כי מדובר כמובן בחיבור ללא חייגן, כלומר אתה מקבל IP ציבורי מה- DHCP שיושב בהוט.. (לפי שיוך לספקית כמובן) ולא דרך חיבור VPN)

איך הוט יודעים לאיזה ISP אתה שייך?

תמיד הייתי בטוח שה ISP עצמו דואג לדברים האלה... יכול להיות שטעיתי.

אז יש IP, יש DNS, יש פינג לאתרים חיצוניים, אבל כל מקום שאתה מנסה לגלוש אליו -

אתה מגיע רק לאתר מיוחד של ברק לצורך זיהוי.

רק אחרי הזיהוי אתה יכול לגלוש, עד אז כל נסיון גלישה מביא אותך לאתר שלהם.

השרתים של ה ISP עושים בשבילך DNS , ופינג משתמש ב ICMP (אם אני זוכר נכון זה type 8 ו 0 ),

לכן התחושה שיש לך גישה לאתרים חיצוניים היא לא נכונה, בגלל שקל מאוד להבדיל ICMP מ UDP או TCP

ולסנן אותו.

עכשיו שאני חושב על זה בתאוריה אתה יכול לדפוק את ה ISP שלך בזה שתדחוף פאקטים של IP בתוך פאקטים של ICMP,

אבל אז אתה צריך שתהיה לך מכונה באינטרנט שתוריד את ICMP וה header של IP

(לא ה IP שבתוך הפאקט כמובן), ואז תשנה את כתובת המקור ל IP שלה.

אותו דבר כמובן בחזרה רק במקום ICMP type 8 צריך 0, ככה זה יראה כאילו המוכנה שלך כל היום

עושה פינג ל IP מסויים שמחזיר לו פינג כשבעצם אתה מקבל גישה חינמית (ואיטית) לאינטרנט.

למה לא לשלם את ה 30 שקל ולקבל גישה נורמאלית בלי כאב ראש? אין לי מושג... אבל אנחנו חיים בישראל,

אני שם כסף שמישהו כבר עשה את זה...

כנראה כל סגמנט TCP עם פורט יעד של 80 מופנה לשרת WEB הפנימי שלהם כל השאר נזרקים, אם זה

פאקט ICMP type 8 מותר לו לעבור.

אני מנחש שככה ה ACL שלהם עובד, ולדעתי הם מסננים לפי IP מקור ולא Mac בגלל ש Mac משתנה

אחרי כל HOP (כלומר כל ראוטר שזה עובר דרכו...).

ואם נותנים לך IP ציבורי אין שום סיבה להשתמש ב NAT , אבל הסט חוקים הזה שדיברת עליו אפשר ליישם

בקלות גם בלי NAT .

זה לא עניין של לרגל, (האמת איפשהו כן, לא "ריגול 007" ולא "ריגול הרגלי צריכה", אבל כן יש כאן big brother)

זה יותר עניין של שליטה של ה ISP בך

למשל שינוי תיעדוף לפאקטים מסוג מסויים , אני לא רומז שזה נעשה - אני יודע כמעט בוודאות שזה נעשה כמעט בכל הספקיות בארץ.

(אני מדבר על P2P בעיקר)

החיבור ללא חייגן עד היום איפשר לך להתגבר על זה, כי עברת במכונה שהם לא כ"כ שלטו בה, אבל עכשיו הכל תחת ידם.

אתה אמנם תמיד יכול להצפין את הפאקטות שלך, אבל עדיין, זה מציק ברמה העקרונית, ובעתיד אני מפחד שאנחנו (הצרכנים) כולנו,

נסבול בצורה כלשהיא מסנקציות שהספקיות/ממשלה/משרד התקשורת/ whoever ירצו להפיל עלינו.

(הגבלת הגלישה לפי כמות מידע שהורדת למשל, מה שראינו לאחרונה שהתחיל לקרות באמת, או לתכנים מסוג מסויים בלבד וכו')

זה לא סוד שהספקיות ינסו לסחוט ממך כל שקל, הקטע הוא שיש גם בינהן תחרות + תוסיף לזה את הקטע שרוחב פס הולך ונהיה

זול יותר (להם), אם תחבר את שני הדברים האלה תראה שעתיד לא נראה כלכך גרוע.

אני לא חושב גם שהממשלה שלנו תדחוף את האף שלה לתחום הזה, טוב חוץ מאולי מכמה רבנים חרמנים שלא יכולים לשלוט

בעצמם ורוצים להרוס את הכיף לכולם...

בקיצור יהיה בסדר

איך הוט יודעים לאיזה ISP אתה שייך?

תמיד הייתי בטוח שה ISP עצמו דואג לדברים האלה... יכול להיות שטעיתי.

ה Mac של המודם שאצלך בבית, משוייך אצלהם בטבלה לספקית

(כשאתה עובר לחיבור ללא חייגן, הם שואלים אותך באיזו ספקית אתה, ומוודאים מולם בתהליך שליחת "קבצים" לוידוא זהות, חבילת מהירות וכו')

כנראה כל סגמנט TCP עם פורט יעד של 80 מופנה לשרת WEB הפנימי שלהם כל השאר נזרקים, אם זה

פאקט ICMP type 8 מותר לו לעבור.

אבל גם telnet עובר במצב הזה ל 80 , ניסיתי, ודרך הטלנט המידע זורם

(קיבלתי HTML לסשן טלנט (מהאתר שאליו הפניתי את השאילתה, ולא מהאתר של ברק) , ולמרות זאת לא הייתה גישה בדפדפן, עד לאחר ההזדהות)

למה לא לשלם את ה 30 שקל ולקבל גישה נורמאלית בלי כאב ראש? אין לי מושג... אבל אנחנו חיים בישראל,

אני שם כסף שמישהו כבר עשה את זה...

לא יודע אם בשיטה שתיארת, אבל אני מכיר המון אנשים ש"פרצו" את המודם (מוטורולה בד"כ) שלהם,

(פרצו = העלו לו firmware עם אפשרויות שאין במקורי, כמו למשל Mac spoofing)

עד לא מזמן זה היה ממש קל לביצוע, היית יכול לבקש מה- CMTS שלהם איזה מהירות שרק רצית, 4 הורדה על 4 העלאה, ואפילו יותר.

הם (הוט) שינו במהלך השנים כמה דברים, ולאחרונה מצאו דרך לחסום את רוב האנשים שעשו את זה (אחרי המעבר ל docsis 2.0)

אני מאמין שיש מעט מאוד אנשים כרגע בארץ שעדיין מצליחים לעבוד בצורה פיראטית שכזו

(לא משלמים לא להוט ולא לספקית, ומקבלים חיבור בקצב מטורף)

אבל אולי אני טועה

תוסיף לזה את הקטע שרוחב פס הולך ונהיה זול יותר (להם)

מאיפה המידע הזה ? אני תיארתי לעצמי שזה מתייקר...

בקיצור יהיה בסדר

icmp tunnel אכן, קיים כבר די הרבה זמן.

^ כנראה, אבל זה (היה) נראה לי די מטומטם להשתמש ב ICMP לבנות tunnel כי לרוב

מנסים לחסום ICMP בגלל כל ההתקפות DOS של הילדים הטיפשים האלה.

אם חושבים על זה ברוב המוחלט של המקרים (לא כולל VPNים) יצא לי לעשות tunnel על HTTP .

אגב עשיתי חיפוש קצר ובלינק הראשון מצאתי את זה:

http://www.cs.uit.no/~daniels/PingTunnel/

מסתבר שזה הרבה יותר נפוץ ושימושי ממה שחשבתי...

אבל גם telnet עובר במצב הזה ל 80 , ניסיתי, ודרך הטלנט המידע זורם

(קיבלתי HTML לסשן טלנט (מהאתר שאליו הפניתי את השאילתה, ולא מהאתר של ברק) , ולמרות זאת לא הייתה גישה בדפדפן, עד לאחר ההזדהות)

מוזר מאוד...

ההסבר ההגיוני היחיד שעולה לי בראש זה שיכול להיות שהם מסננים מידע ב application layer (כן, סוג של פרוקסי)

והמערכת שלהם לא מזהה את ה GET שאתה שולח עם telnet כ GET חוקי, כי לרוב יש הבדל די גדול בינהם, לדוגמה כשאני

מכין GET ב telnet אני כותב אותו כך:

GET / HTTP/1.1
HOST: [url]www.google.com[/url]

firefox לדוגמה בונה אותו ככה:

GET / HTTP/1.1\r\n
Host: [url]www.google.com\r\n[/url]
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3\r\n
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5\r\n
Accept-Language: en-us,en;q=0.5\r\n
Accept-Encoding: gzip,deflate\r\n
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\n
Keep-Alive: 300\r\n
Connection: keep-alive\r\n
Cookie: PREF=ID=0c24b4bc0e07e870:LD=en:CR=2:TM=1175655403:LM=1175655430:S=W9Ub85dgbdQTVhwI\r\n
\r\n

אגב, בדקתי וגם wireshark לא זיהה את מה שעישיתי ב telnet כ GET חוקי.

אם התאוריה שלי נכונה (ולא נראה לי שהיא נכונה...) זה ממש קל לקבל אינטרנט חינם...

שניה, ניסת במקרה אולי לעשות telnet רגיל? או P2P או משהו כזה?

מאיפה המידע הזה ? אני תיארתי לעצמי שזה מתייקר...

100% ניחוש...

פשוט המהירות גודלת והמחיר נשאר פחות או יותר אותו דבר אז חשבתי שזה נהיה להם זול יותר ויותר...

^ כנראה, אבל זה (היה) נראה לי די מטומטם להשתמש ב ICMP לבנות tunnel כי לרוב

מנסים לחסום ICMP בגלל כל ההתקפות DOS של הילדים הטיפשים האלה.

אם חושבים על זה ברוב המוחלט של המקרים (לא כולל VPNים) יצא לי לעשות tunnel על HTTP .

כן, אבל בדיוק לסיטואציות כאלו שיש לך רק אפשרות לעשות פינגים וכו' עשו את ה PingTunnel וכמו שראית זה כבר קיים זמן רב.