<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-15"
 http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
<div class="moz-text-html" lang="x-unicode"> Bernd Petrovitsch schrieb:
<blockquote cite="mid1137666343.17545.60.camel@tara.firmix.at"
 type="cite">
  <pre wrap="">On Wed, 2006-01-18 at 18:18 +0100, Markus Kittenberger wrote:
[...]
  </pre>
  <blockquote type="cite">
    <pre wrap="">Um das Netz stabiler zu machen sollten wir uns eine sowieso etwas kluges
bzgl. nating etc überlegen
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Es ist ein Ziel "echte" IP-Adressen am Ende zu haben (wenn man das
will). Damit müssen die mal erhalten bleiben.
"Uplink Sponsoren" kann dann (IP-technisch) im einfachen Fall 2 Formen
annehmen - siehe andere Mail.
"Alles über den VPN" Tunnel hat den (mbMn gravierenden) Nachteil, daß
wenn ich z.B. im Inode Netz häng und der Server, von dem ich sauge auch,
daß der Traffic halt am jetzigen 0xFF-Uplink rein und rausgeht, obwohl
Source und Destination beim gleichen Provider sind.
Da ist "NAT lokal" raus mbMn das kleinere Übel.

  </pre>
</blockquote>
Ja, Echte IP Adressen sollten weiterhin möglich sein<br>
<br>
Alles über VPN ist macht nichts stabiler denn wenn der uplink z.B.:
abbrennt oder etwas harmloseres mit gleichen auswirkungen (-; dann
"brennen" alle VPN-Uplinks mit ab, nebenbei kostet es den Uplinks in
Summe die 3 fache Bandbreite (und höhere Latenz).<br>
gegen das "abbrennen" hilft BGP4 natürlich am besten<br>
<blockquote cite="mid1137666343.17545.60.camel@tara.firmix.at"
 type="cite">
  <pre wrap="">3. Möglichkeit: Mit 0xFF-IP-Adressen über einen Uplink direkt
rauszugehen (so wie am Vivi) erfordert zwingend, daß Du (bzw. eigentlich
0xFF) BGP4 mit dem Uplink-Provider bei Dir spricht (und ich es gibt mWn
noch keine Erfahrungsberichte, ob und wie verschiedene Provider
reagieren, wenn man am Helldesk mit "Ich würde gerne BGP4 mit euch
sprechen." deponiert). Ob der dann 0xFF-Netze auch nach außen announcet
(und damit Transit zuläßt oder nur rein/rausläßt) oder nicht, ist dann
schon das kleinere Problem.

  </pre>
</blockquote>
Was passiert aber dann in der Praxis?<br>
Wenn A,B, und C 0xFF announcen (es gibt auch VPN Tunnels AC und AB)<br>
Wenn jetzt User 1 über B rausgeht, kommt dan der Traffic zu ihm auch
immer über A zurück oder gleichmässig verteilt (A,B,C)?<br>
<br>
Ist das zweite der Fall dann könnte diese Lösung den VPN Traffic sogar
trastisch erhöhen falls User 1 nur selten/schlecht/langsam über WLAN zu
erreichen ist, dann muss der Response im worst Case durch 2 Tunnel zu B
und von dort dann zu User 1<br>
<br>
Oder anderes Beispiel<br>
<br>
Und bei den Uplinks der (Halb-)Funkinseln trifft ungefähr folgendes zu <br>
10% der oxFF Adressen sind von ihnen direkt zu erreichen 90% meist nur
(gut) über Tunnel<br>
<br>
Wenn so eine Insel nun aber 0xFF announct und folgedessen dann 30% der
Requests/Responses nach 0xFF bekommt wird ziemlich viel davon erst
recht wieder durch den Tunnel müssen<br>
<br>
(Falls obiges unnachvollziehbar ist kann ich notfalls auch ne Skizze
davon machen)<br>
<br>
Oder seh ich da jetzt schwarz und auch ausserhalb 0xFF wird dynamisch
genug gerouted so das sich intelligente Routen (zu einzelnen Hosts
innerhalb des 0xFF subnets) von selber laufend ergeben ???<br>
<blockquote cite="mid1137666343.17545.60.camel@tara.firmix.at"
 type="cite">
  <blockquote type="cite">
    <pre wrap="">Ist halt seltsam wenn man manchmal hinter ner Firewall hängt und
manchmal ne offizielle IP hat (je nachdem über welchen uplink man
rausgeht)
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Ja, aber mbMn sollte man das so gut wie selten bis nie merken. Mit SIP
o.ä. komplexen Prokollen wird es zwar mehr Probleme geben können wie mit
http, aber man kann nicht alles haben.

  </pre>
</blockquote>
Für mich selber hab ich keine Bedenken, nur für die Nodes in der mitte
zweier uplinks, deren IP kann sich dank des dynamischen routings
schnell mal ändern (je nachdem welchen Uplink sie verwenden)<br>
<br>
Alternativ könnte man http und andere unhagliche Protokolle/ports naten
und ssh, ftp, und weitere Problemfälle via VPN abwickeln, es sei denn
der VPN Tunnel reisst ab, dann sollte man idealerweise sofort auch
diesen Traffic naten.<br>
Das würde dann auch obiges Problem nicht aufkommen lassen, weil die
Responses zu den genaten request ihren Weg schön sauber zurückfinden<br>
Auch ein "abbrennen" des jetzigen Uplinks würde zumindest Teile des
0xFF Netzes nur teilweise treffen (internet ist noch da, über seine
offizielle IP ist man nicht aber mehr erreichbar)<br>
<br>
Ob teilweises naten bei den Reponses von Servern innerhalb 0xFF auch
immer hinhaut ist eine anderes Problem, evt. wärs besser http responses
nicht zu naten sondern nur die requests.<br>
<br>
Allerdings wird das Routing dieser VPN+NAT Hybridlösung an den
(Halbinsel-)Uplinks dann schon etwas sofisticated, während die VPN
ueberall lösung überzeugend simpel ist<br>
<br>
Aber wer simple Lösungen will wo man selber nicht drüber nachdenken
muss, ist bei chello et al eh bestens aufgehoben<br>
<br>
Interressant wäre jetzt wieviel Traffic die einzelnen Protokolle/Ports
zurzeit verbrauchen<br>
Gibts darüber schon statistiken?<br>
<br>
</div>
</body>
</html>