hsd
Medlem
· Kalmar län, Östra Götaland
· 6 298 inlägg
hsd
Medlem
- Kalmar län, Östra Götaland
- 6 298 inlägg
I asus kan man skapa gästnät utan access till lokalt nät
Om du nöjer dig med enkelriktad uppkoppling mellan subnäten, dvs från det privata till gästnätverket så funkar det bra med vanliga hemmaroutrar. NAT-funktionen i routern som hanterar det privata nätverket kommer förhindra uppkopplingar åt det andra hållet, men du kan öppna portar genom "port forwarding".
Om jag sätter två routrar efter varann för att ha en säkrare och en mer öppen, ska den säkrare sitta som nr 2 ifrån WAN?
Borde väl vara så ...
Borde väl vara så ...
För att latency ökar då trafiken går genom två?TowaTei skrev:
Ja alla mina routrar har DMZ.Nerre skrev:
Tänkte du att man kan öppna raka spåret till efterföljande router genom att öppna DMZ till dess IP-adr?
edit:
Eller vänta nu lite, du skrev LAN-port. Det stödet saknas nog, att jag kan dedikera en (av de fyra) portarna till DMZ.
Bara välja IP som DMZ gäller.
Redigerat:
För att en hel del program fungerar dåligt när de är dubbelNATade. T.ex bittorrent. Säkert SSH också, har inte provat.Mikael_L skrev:
Nja, det borde vara försumbart om man inte är übergamer. Funktioner som uPNP och liknande fungerar inte. Det blir i praktiken omöjligt att göra portforwards för att fungera. Jag är lite osäker på hur det blir med ftp och liknande protokoll som kräver att brandväggen inspekterar trafiken för att öppna ett flöde från klienten, men det borde fungera.Mikael_L skrev:
Det är inte ett riktigt segmenterat DMZ, trafik mellan DMZ-servern och övriga maskiner på insidan kan sannolikt kommunicera utan att gå via brandväggen som de hade gjort om det varit ett riktigt DMZ.Mikael_L skrev:
Bittorrent brukar via uPNP eller portforward kräva att brandväggen öppnas för att släppa in trafik från Internet till klienten.tommib skrev:
Att uPNP inte fungerar kan ur vissa aspekter vara en säkerhetshöjande funktion
SSH, HTTP och liknande protokoll borde fungera rakt av då de bara öppnar en session inifrån och ut.
Det blir väl i princip en "port forward på alla portar" till en specificerad IP-adress, inte riktigt vad man brukar avse med DMZ.
Poängen med en riktig DMZ är ju att den maskinen hamnar utanför brandvägg/NAT. Men det innebär väl iofs att den behöver ha en egen publik IP-adress...
Poängen med en riktig DMZ är ju att den maskinen hamnar utanför brandvägg/NAT. Men det innebär väl iofs att den behöver ha en egen publik IP-adress...
Jag menade utifrån och in, men det är kanske bara jag som kör egen server
Håller med om att det kan vara säkerhetshöjande men det kan också skapa irriterande problem som är svårdiagnosticerade.
Det finns en anledning till att det finns (fanns? det kanske har blivit bättre) ett utbrett motstånd mot Carrier Grade NAT, även om många leverantörer kör det.
Håller med om att det kan vara säkerhetshöjande men det kan också skapa irriterande problem som är svårdiagnosticerade.
Det finns en anledning till att det finns (fanns? det kanske har blivit bättre) ett utbrett motstånd mot Carrier Grade NAT, även om många leverantörer kör det.
SSH från internet till egen server menar du? Det borde gå att lösa även med dubbel-NAT men blir ett extra steg och definitivt inget särskilt praktiskt. Det är i de lägena man börjar se nackdelarna med dubbel-NAT.tommib skrev:Jag menade utifrån och in, men det är kanske bara jag som kör egen server
Jag har inte stött på den. Är det någon leverantör i Sverige som använder det? Inget jag skulle vilja ha i alla fall. Plockar man då bort kundroutern och kombinerar dey med privata vlan så att alla kunder inte kommer åt varandra?tommib skrev:
Kundroutern sitter nog kvar som vanligt tyvärr, så det blir dubbel NAT. För folk som bara "surfar" så fungerar det ju ändå. Jag tror de flesta mobiloperatörer har kört det på mobilsurf (inte mobilt bredband) i flera års tid.
Ja, SSH in från t.ex. telefonen eller datorn på jobbet.andersgd skrev:
Det var ett tag sen jag följde debatten om CGN i Sverige men det var snack om att bahnhof och någon till börjat införa det men att man kunde få en publik adress om man ringde kundtjänst. Vet inte hur det slutade dock. En snabb googling nu ger inte så mycket träffar.
CGN funkar som vanlig NAT men en nivå upp. Kundroutern är kvar så det blir dubbelNAT, först ut på operatörens nät och därefter ut på Internet. En otroligt sugig lösning och dessutom väldigt irriterande eftersom det kan vara svårt att felsöka och ge problem för diverse program. Du lär ju knappast få tillgång till port forward på leverantörens router och alla försök till automatisk konfigurering ad modum uPNP lär haverera snabbt av bl.a. säkerhetsskäl.
Ja, och här är problemet. De flesta kunder märker inget särskilt och fattar inte varför nördarna gnäller så mycket. De kan ju fortfarande streama Netflix eller Spotify och gå in på facebook.Nerre skrev:
Debatten är egentligen snarlik nätneutralitetsdebatten. Man förstör grundprinciperna bakom internet och skapar ett segmenterat nät. Detta drabbar alla möjliga nya tekniker, bl.a. detta med Internet of Things (som inte nödvändigtvis är en bra idé i sig, men det är en annan debatt).