27 февраля 2019 в 10:08 (МСК) | сохранено

H NAT, IPv6 и http в сетях сотовых операторов (опрос) в черновиках

Переход операторов на NAT может затронуть приложения и устройства «Интернета вещей», использующих IPv4 или IPv6 адреса для установки соединений с мобильным устройством по «внешнему» адресу. Например, для мониторинга или опроса со стороны серверной части приложений.

Ранее проблема для некоторых, не учитывающих этот аспект, приложений и протоколов могла решалаться на уровне сети.

Один из методов: на NAT-устройствах искать и менять ip-адреса внутри ip-пакетов.

С учетом использования https вместо http и переход на NAT, это станет нецелесообразно.

Как проверить, использует ли мобильный оператор NAT и ipv6

1. Отключить VPN.

2. Проверить подключение к сети IPv6 и посмотреть свой «внешний» IPv4 адрес, можно, например, на сайте: https://test-ipv6.com/

IPv4 адрес Android-устройства можно посмотреть в настройках телефона (настройка->информация об устройстве).

Если сотовый оператор использует NAT, то IPv4-адрес на телефоне будет отличаться от того, что представлен на указанном сайте:

— Your IPv4 address on the public Internet appears to be 131.13.8.196 (fake)
— No IPv6 address detected.

Маленькая ремарка, сравните результат.
http://test-ipv6.com/
https://test-ipv6.com/

Оставлю статью для антирейтинга :)

PS Не публикуйте черновики :)

–1

~3200

7land

комментарии (43)

remzalp , 27 февраля 2019 в 10:14 (МСК)

Ну, традиционное решение, когда конечное устройство лезет на сервер с белым IP адресом, поддерживает соединение и ждёт сообщений — продолжает оставаться хоть и тяжелым, но надежным вариантом, который работал всегда и везде, если ему сильно не мешать.

STUN/TURN сервисы тоже будут помогать, благо IP телефония за годы жизни уже накопила типовой набор костылей и протезов.

7land , 27 февраля 2019 в 10:46 (МСК) * (был изменён)

Для этого устройство должно самостоятельно инициировать сессию с сервером и поддерживать ее в жизнеспособном состоянии. Это, помимо прочего, доп затраты электроэнергии и расход аккумулятора.

Архитектура ip-телефонии не самая простая и ее приемы во многих приложениях сложно адаптировать.

LLE , 27 февраля 2019 в 10:30 (МСК) * (был изменён)

Зачем они отключили IPv6?

7land , 27 февраля 2019 в 10:38 (МСК)

Без понятия.

remzalp , 27 февраля 2019 в 12:32 (МСК)

~~За телеграммом гоняться проще~~ Потому что дообучать сетевиков эффективной работе надо

7land , 27 февраля 2019 в 12:44 (МСК)

Во многих сферах пионеры отрасли накопили такое количество технического долга, что исправлять сложно.
Все ведь в продакшн. Дернешь за ухо, нос отвалится.

Fil1577 , 27 февраля 2019 в 13:38 (МСК)

В качестве приступа паранойи:
Размер адресного поля IPv6 делает попытки блокировки по ip адресу бессмысленными, можно менять адреса хоть каждый час.

7land , 27 февраля 2019 в 13:40 (МСК) * (был изменён)

Имхо, стоило бы использовать блокировку по url и доменным именам.
А блокировка по ip это как подкладывать гвозди на шоссе.
Рокеры на танках не заметят, а водителям с правами не понравится.

7land , 27 февраля 2019 в 13:45 (МСК)

Хотя в этом варианте тоже свои заморочки.

imanushin , 27 февраля 2019 в 14:21 (МСК)

стоило бы использовать блокировку

Лучше вообще не блокировать, как я считаю.

Zolg , 27 февраля 2019 в 13:46 (МСК)

не переживайте вы так, ничего не поменяется:
да, адресов больше, но и в /12* их во столько же больше и помещается

(*) больших по размеру подсетей РКН не банил (но это не точно)

LLE , 27 февраля 2019 в 14:44 (МСК)

А кто-то будет блокировать IPv6-адреса поштучно, а не по /64 одной записью?

iddqda , 27 февраля 2019 в 10:32 (МСК)

Один из методов: на NAT-устройствах искать и менять ip-адреса внутри ip-пакетов.
С учетом использования https вместо http 'и переход на NAT, это будет невозможно

поясните свое утверждение пожалуйста
в моей вселенной трансляция NAT происходит на сетевом уровне L3
И устройству, которое осуществляет NAT-трансляцию совершенно по барабану http или https использует приложение

7land , 27 февраля 2019 в 10:43 (МСК) * (был изменён)

На firewall-ах устройство смотрит не только на ip-заголовки, но и на уровни выше.
Эту возможность приспособили решать некоторые проблемы уровня приложений.
Один из костылей передавать свой ip-адрес на сервер внутри ip-пакетов для установки сессии со стороны сервера.
DPI аналогично.

iddqda , 27 февраля 2019 в 11:20 (МСК)

Не увиливайте. Операторы для NAT не используют файрволы и DPI.
Вы утверждаете что при использовании NAT и протокола http все более менее работает
но при использовании NAT и протокола https все пропало
Проясните этот момент

7land , 27 февраля 2019 в 11:39 (МСК) * (был изменён)

Если раньше на туннельных интерфейсах от абонентов до пакетного ядра устройство получало 2 адреса:
— IPv4, причем внешний
— IPv6

То сейчас только ipv4 адрес, причем приватный.

Простейшая проверка показывает:
mtu 1500
1:…
2: 10.x.x.x 38.534ms
3:…
4:…
5: 10.x.x.x 43.005ms
6: 10.x.x.x 50.052ms
…

Это может означать, что nat выполняется где-то централизованно.
И nat маршрутизатор, возможно, удален от пакетного ядра на несколько хопов.
Разбираться не стал.

7land , 27 февраля 2019 в 12:01 (МСК)

Кстати, параметры задержки для пакетов 1500 зачетные.

7land , 27 февраля 2019 в 12:11 (МСК) * (был изменён)

Небольшой разбор полетов показал, что nat, похоже, выполнен до pe с внешним ip-адресом.
Для обычного пользователя эта информация обычно закрыта, т.к. раскрывает информацию о структуре сети оператора.

7land , 27 февраля 2019 в 12:07 (МСК)

Это не мое утверждение. И суть описанной проблемы не в этом. :)
Я отвечу на вопрос. Только сначала уточните, пожалуйста, какие операторы не используют DPI?

7land , 27 февраля 2019 в 12:20 (МСК)

Для NAT DPI не используют.
Что касается firewall. То зависит от сервиса, предоставляемого заказчику.

norguhtar , 27 февраля 2019 в 13:08 (МСК)

Если в NAT есть трекинг протоколов, то там зайчатки присутствуют.

7land , 27 февраля 2019 в 10:38 (МСК) * (был изменён)

del… не в ту ветку )

vasiache , 27 февраля 2019 в 11:24 (МСК)

По идее операторы используют dualsteck ipv4 и ipv6 в одном флаконе для массовых apn. Разрешение на dualsteck прописывается в HLR/HSS.
Сомневаюсь что тупо убрали ipv6. Возможно убрали ipv6 для конкретных сим или ваше оборудование перестало запрашивать ipv6 и запрашивает только ipv4. Cтоит все таки и свое железо проверить, прежде чем винить «нескольких» операторов.

7land , 27 февраля 2019 в 11:53 (МСК)

Согласен. Пост поправил.

7land , 27 февраля 2019 в 13:30 (МСК) * (был изменён)

В MVNO используются PGW и ip-адреса виртуального оператора?

vasiache , 27 февраля 2019 в 14:11 (МСК)

А смысл им тратиться на свое железо? У них только свой биллинг.

ne_kotin , 27 февраля 2019 в 11:27 (МСК)

А можно уточнить — какие именно операторы, и в какой стране?
Потому что у меня МТС, Россия, услуга IPv6 подключена, и глобальный v6-адрес никуда не делся.
А у остальных российских операторов, насколько мне известно — v6 в последние два года и не было.

7land , 27 февраля 2019 в 11:44 (МСК) * (был изменён)

Ранее ipv4-адреса раздавались внешние.
Что касается ipv6, обращал внимание, что ранее раздавались.
Не отслеживал специально, игрался с ssh на телефоне и, возможно случайно попал на какие-то профилактические работы.

7land , 27 февраля 2019 в 12:15 (МСК)

МТС не пробовал использовать.

kmansoft , 27 февраля 2019 в 14:01 (МСК)

Тоже проверил, ближнее Подмосковье (восток), все операторы 4G

— Мегафон: IPv6 нет, лично я не обращал внимания был он вообще или нет
— Yota: IPv6 нет
— МТС: IPv6 есть

Так что кто именно отключил, когда, где — мне не совсем ясно.

MAXXL , 27 февраля 2019 в 11:39 (МСК)

Megafon. Нужен был ipv6 — тыкал их в их же новость, на их же сайте (двухгодичной где-то давности) о запуске поддержки протокола для клиентов. Долго техподдержка мычала, в конце концов признались что нету и неизвестно когда будет.

Zolg , 27 февраля 2019 в 12:15 (МСК) * (был изменён)

Как проверить, использует ли мобильный оператор NAT

Очень просто проверить — да, использует (и испокон веков использовали).

О чем вообще статья?

7land , 27 февраля 2019 в 12:25 (МСК)

О техническом развитии, невнимательности в разных сферах работы и их последствиях. )

Serge78rus , 27 февраля 2019 в 12:37 (МСК)

Ну не все операторы делали это «испокон веков». Лет 10 назад Tele2 присваивал честный внешний IP без NAT.

Zolg , 27 февраля 2019 в 13:12 (МСК)

Ок, с момента массового появления смартфонов.

Когда почти каждое абонентское устройство жаждет интернета, а самих устройств под сотню миллионов (официально — вообще две с половиной) другого варианта просто нет. Ибо целая /8 сеть это всего-навсего шестнадцать миллионов адресов. А роскоши в виде /8 у ни у кого из наших операторов нет. Все гораздо-гораздо скромнее:

МТС: bgp.he.net/AS8359#_prefixes
Билайн: bgp.he.net/AS3216#_prefixes
у Мегафона еще скромнее: bgp.he.net/AS31133#_prefixes

7land , 27 февраля 2019 в 12:48 (МСК)

Видимо наступил на больную мозоль )
Ок, пока завязываю с публикациями на хабре.

Darkhon , 27 февраля 2019 в 13:44 (МСК)

IPv6 предоставляет МТС. NAT используют, вероятно, все.

7land , 27 февраля 2019 в 13:54 (МСК)

С некоторыми операторами оказалось сложнее.
Выдают рандомно то публичный, то приватный ip.

braineater , 27 февраля 2019 в 18:57 (МСК)

Проверил Мегафон. Как прикажете отметить факт что ipv6 нет?

7land , 28 февраля 2019 в 09:06 (МСК)

Обновил структуру опроса на более правильную и логичную.
Теперь можно отметить.

worldxaker , 28 февраля 2019 в 11:06 (МСК)

ответы в вопросе про йоту не правильные

7land , 28 февраля 2019 в 12:53 (МСК) * (был изменён)

Спасибо, исправил

7land , 28 февраля 2019 в 12:58 (МСК)

Опрос про МТС пришлось пересоздать.
Не по алфавиту получилось.: /

Нельзя менять порядок опросов и прятать текст опросов под спойлеры.
Встраивать их в текст статьи было бы нагляднее.