3dfx.pl :: retro computers :: ogólne :: Są tu jacyś szpece od sieci ?

Chodzi o usługę Xbox Live na kompie z Windows 10. Co bym nie robił - przekierowanie portów, włączenie DMZ, uPNP i inne porady ze strony supportu Microsoftu czy producenta routera, to nie udaje się sprawić aby NAT był otwarty. Tak to wygląda:
<brak linka>

Router to Tp-link TL-WR1043ND v2.1 z najnowszym firmware (na starszym to samo). Łącze światłowodowe 50Mbit od lokalnego dostawcy. I tu przyszło mi do głowy, że to może odgórnie porty są zablokowane przez dostawcę netu. Jest jakiś soft żeby mieć pewność, że to dostawca blokuje porty?

@Callahan

Nie wiem na ile takie coś jest pokazuje stan faktyczny:

<brak linka>

Tylko mam tu kolejne wątpliwości, bo ta stronka i inne pokazują inne IP niż mam to które mi dostawca przypisał, ale może dlatego że jest dynamiczne?
Nie znam się więc na WAN mam inne, w DHCP zarezerwowałem wybrany przez siebie adres 192.168.0.122 i taki też pokazuje mi po wykonaniu polecenia ipconfig/all

Nie wiem które to IP wpisać na tej stronce sprawdzającej porty. Sorry, ale sieci, nawet proste to nie moja bajka, a admin który zarządza netem to taki ciężki w kontakcie koleś, który nie uznaje, że coś u niego jest nie tak, tylko z automatu zrzuca winę na odbiorcę netu. Muszę mieć pewność, że to z ich strony jest problem.

PS. Czy to pokazuje stan rzeczywisty? Bo praktycznie wszystko mam zablokowane:

<brak linka>

Dla Xbox Live nie musisz ręcznie przekierowywać niczego na routerze, bo usługa korzysta z UPnP - upewnij się, że masz to włączone w ustawieniach routera. Jeśli nadal nie działa - wyjaśniaj z dostawcą łącza internetowego. Jak najbardziej mogą cośtam po drodze blokować.

IP widoczny na stronie którą podałeś to Twój zewnętrzny adres IP, którym wychodzisz do Internetu (możesz go też sprawdzić na <brak linka>). Jeśli w ustawieniach WAN routera masz inny - to masz odpowiedź dlaczego Ci to nie działa (po prostu nie jest to publiczny IP tylko IP w podsieci Twojego operatora - w tej sytuacji masz podwójną (albo i lepiej) translację adresów i takie problemy są spodziewane).

HanJammer wrote on 02. May 2020 at 14:21:
Dla Xbox Live nie musisz ręcznie przekierowywać niczego na routerze, bo usługa korzysta z UPnP - upewnij się, że masz to włączone w ustawieniach routera. Jeśli nadal nie działa - wyjaśniaj z dostawcą łącza internetowego. Jak najbardziej mogą cośtam po drodze blokować.

IP widoczny na stronie którą podałeś to Twój zewnętrzny adres IP, którym wychodzisz do Internetu (możesz go też sprawdzić na <brak linka>). Jeśli w ustawieniach WAN routera masz inny - to masz odpowiedź dlaczego Ci to nie działa (po prostu nie jest to publiczny IP tylko IP w podsieci Twojego operatora - w tej sytuacji masz podwójną (albo i lepiej) translację adresów i takie problemy są spodziewane).

Dzięki za zainteresowanie problemem. I tak:
uPnP mam włączone, natomiast pomoc techniczna tplinka skierowała mnie tu:
<brak linka>
a pomoc MS tu:
<brak linka>

Próbowałem i nic z tego nie pomogło.

Ze stronki którą podałeś wynika, że ten IP jest wewnętrzne.

Jeśli dobrze rozumuję to żeby normalnie to działało to powinienem mieć stały adres na wyjściu?? To pewnie za darmo mi tego nie dadzą.

Pytanie podstawowe, bo bez tego w ogóle nie ma co strzępić języka: Jaki adres IP dostał router od dostawcy internetu?

314TeR wrote on 02. May 2020 at 15:43:
Pytanie podstawowe, bo bez tego w ogóle nie ma co strzępić języka: Jaki adres IP dostał router od dostawcy internetu?

Coś w tym stylu IP Address: 172.16.xx.xx

Natomiast na byle jakiej stronie typu checkip pokazuje: 188.112.xx.xxx

Quote:
Adresy prywatne sieci klasy A to zakres adresów IP: 10.0.0.0 – 10.255.255.255, Adresy prywatne sieci klasy B to zakres adresów IP: 172.16.0.0 – 172.31.0.0, Adresy prywatne sieci klasy C to zakres adresów IP: 192.168.0.0 – 192.168.255.0.

Masz prywatny adres. Twój operator robi natowanie. Jeśli teraz nie działa Ci prawidłowo na tym ustawieniu to musiałbyś zmienić u operatora adres IP z prywatnego na publiczny. Nie musi być stały, ważne aby był publiczny i też nie był notowany bo i takie kwiatki widziałem.

314TeR wrote on 02. May 2020 at 15:48:
Quote:
Adresy prywatne sieci klasy A to zakres adresów IP: 10.0.0.0 – 10.255.255.255, Adresy prywatne sieci klasy B to zakres adresów IP: 172.16.0.0 – 172.31.0.0, Adresy prywatne sieci klasy C to zakres adresów IP: 192.168.0.0 – 192.168.255.0.

Masz prywatny adres. Twój operator robi natowanie. Jeśli teraz nie działa Ci prawidłowo na tym ustawieniu to musiałbyś zmienić u operatora adres IP z prywatnego na publiczny. Nie musi być stały, ważne aby był publiczny i też nie był notowany bo i takie kwiatki widziałem.

A to coś faktycznego pokazuje czy ściema?

<brak linka>

Reasumując to nie u mnie jest kwas tylko u dostawcy tak?

leosh wrote on 02. May 2020 at 15:50:
314TeR wrote on 02. May 2020 at 15:48:
Quote:
Adresy prywatne sieci klasy A to zakres adresów IP: 10.0.0.0 – 10.255.255.255, Adresy prywatne sieci klasy B to zakres adresów IP: 172.16.0.0 – 172.31.0.0, Adresy prywatne sieci klasy C to zakres adresów IP: 192.168.0.0 – 192.168.255.0.

Masz prywatny adres. Twój operator robi natowanie. Jeśli teraz nie działa Ci prawidłowo na tym ustawieniu to musiałbyś zmienić u operatora adres IP z prywatnego na publiczny. Nie musi być stały, ważne aby był publiczny i też nie był notowany bo i takie kwiatki widziałem.

Reasumując to nie u mnie jest kwas tylko u dostawcy tak?

Niekoniecznie, masz po prostu podwójne natowanie. To nigdy nie działa OK dla usług dwukierunkowych.

Dodatkowo masz router który miał podatność na przejęcie kontroli nad nim. Nie wiem czy konkretnie ten model z tą wersją firmware, ponieważ TP-Link pod nazwą 1043 wypuścił tak naprawdę 4-ry różne modele.
<brak linka>
Jeśli ta podatność NIE jest załatana w tym modelu - to nawet NIE próbuj prosić operatora o zmianę adresu prywatnego na publiczny, tylko wpierw zmień router na taki który nie ma takiej podatności.

314TeR wrote on 02. May 2020 at 16:10:
leosh wrote on 02. May 2020 at 15:50:
314TeR wrote on 02. May 2020 at 15:48:
Quote:
Adresy prywatne sieci klasy A to zakres adresów IP: 10.0.0.0 – 10.255.255.255, Adresy prywatne sieci klasy B to zakres adresów IP: 172.16.0.0 – 172.31.0.0, Adresy prywatne sieci klasy C to zakres adresów IP: 192.168.0.0 – 192.168.255.0.

Masz prywatny adres. Twój operator robi natowanie. Jeśli teraz nie działa Ci prawidłowo na tym ustawieniu to musiałbyś zmienić u operatora adres IP z prywatnego na publiczny. Nie musi być stały, ważne aby był publiczny i też nie był notowany bo i takie kwiatki widziałem.

Reasumując to nie u mnie jest kwas tylko u dostawcy tak?

Niekoniecznie, masz po prostu podwójne natowanie. To nigdy nie działa OK dla usług dwukierunkowych.

Dodatkowo masz router który miał podatność na przejęcie kontroli nad nim. Nie wiem czy konkretnie ten model z tą wersją firmware, ponieważ TP-Link pod nazwą 1043 wypuścił tak naprawdę 4-ry różne modele.
<brak linka>
Jeśli ta podatność NIE jest załatana w tym modelu - to nawet NIE próbuj prosić operatora o zmianę adresu prywatnego na publiczny, tylko wpierw zmień router na taki który nie ma takiej podatności.

Myślałem o zmianie routera na Asus RT-AC65P, chyba że polecisz coś lepszego, ale więcej jak 400zł to nie dam za router

leosh wrote on 02. May 2020 at 16:15:
Myślałem o zmianie routera na Asus RT-AC65P, chyba że polecisz coś lepszego, ale więcej jak 400zł to nie dam za router

Nie jestem osobą reprezentatywną do polecania domowego sprzętu... Ja zwyczajnie nie korzystam z "plastikowych" routerów. W większości instalacji stosuję ze względu na koszt, mikrotiki w wersji przewodowej + AP i odpalam na nich CAPSa. Niestety te routery wymagają wiedzy przy konfiguracji, ale za to możesz z nimi zrobić niemal wszystko a modele wyprodukowane 15 lat temu wciąż dostają aktualizacje.

EDIT: I parę ważnych spraw w kwestii UPnP, poniżej masz wytłumaczone jak banalnie wykorzystywać UPnP do dostępu tam gdzie go nie powinno być:
<brak linka>
Najlepsze jest podsumowanie autora:
Quote:
Najbezpieczniejszym rozwiązaniem jest wyłączenie UPnP.

U Ciebie byś miał aramgedon, nie dość, że 1043 (jeśli to ten podatny) ma podatność do przejęcia uprawnień superusera to po włączeniu UPnP hulaj dusza, to tak jakbyś wszystko udostępnił na zewnątrz.

leosh wrote on 02. May 2020 at 14:47:

Ze stronki którą podałeś wynika, że ten IP jest wewnętrzne.

Jeśli dobrze rozumuję to żeby normalnie to działało to powinienem mieć stały adres na wyjściu?? To pewnie za darmo mi tego nie dadzą.


No i to jest Twój problem. Adres, który podałeś niżej to wewnętrzny adres nieroutowalny - musiałbyś mieć przekierowane porty na routerze swojego dostawcy Internetu.

314TeR wrote on 02. May 2020 at 17:54:
Najlepsze jest podsumowanie autora:
Quote:
Najbezpieczniejszym rozwiązaniem jest wyłączenie UPnP.

Pierdololo - jak ktoś nie wie co robi, co uruchamia i generalnie nie myśli korzystając z sieci, to najlepiej w ogóle do Internetu się nie podłącza itd. Każde zwiększenie bezpieczeństwa _zawsze_ wiąże się z ograniczeniem funkcjonalności/łatwości korzystania/swobody użytkownika - zauważ, że w podanych przykładach intranet jest już i tak skompromitowany (tj. działa w nim host do którego zdalny dostęp ma atakujący) - pytanie czy ten konkretny, opisany przykład jakkolwiek ma się do praktyki i rzeczywistości:

"Ktoś powie, że komunikacja UPnP ogranicza się do sieci lokalnej – z Internetu nikt nie zmieni konfiguracji mapowania portów. To prawda. Wystarczy jednak, że z naszej lokalnej sieci nieświadomy użytkownik, malware lub znajomy dla żartu wywoła funkcję execute w następujący sposób:

upnp.execute (‘AddPortMapping’, 1900, ‘UDP’, 1900, ‘192.168.1.1’, ‘JOKE’)

i w ten sposób udostępni możliwość enumeracji urządzeń sieci lokalnej z Internetu.

Tyle w temacie. Takie wyssane z palca obawy paranoika i straszenie byle mieć temat na "mądry" artykuł (A co jeśli wpuścimy do domu hakera, który usiądzie do naszego komputera? A co jeśli nasz kot sprzeda naszą bazę chińczykom za 100g kocimiętki? itd)

:::

Za dychę netto dostałem zewnętrzny adres, a NAT nadal nie jest otwarty tylko średni/umiarkowany. Nie wiem już co z tym zrobić. Czy w routerze mam zmienić? Bo jak dam w zakładce WAN static IP i wpiszę ten adres zewnętrzny to netu ni ma. Jak zdam się na automatyczne ustawienia to w WAN Connection type widnieje Dynamic IP i nadal widzi stary adres IP.

PS. Zrobiłem screeny z opcji routera i wysłałem do dostawcy. Niech wymyślą co i jak ustawić.

No takich jazd to się nie spodziewałem. Po kilku różnych ustawieniach sugerowanych przez dostawcę, DMZ enabled/disabled, wyłączenie testowo firewalla, zmiana stanu sieci z prywatnej na publiczną i na końcu reset routera - net padł. Kurwa całkowicie zdechł. Zanim zacząłem te zmiany w ustawieniach, zrobiłem sobie backup ustawień działającego routera do pliku. Mimo to po przywróceniu netu nadal nie było. ROuter w ogóle nie pobierał parametrów sieci. Rano pojechałem do pracy pożyczyć nowy router z ekspozycji. I to samo, netu nie ma, komunikat o błędzie - WAN odłączony.
Zajekurwabiście, a KONKUbina ma dziś prowadzić rano lekcje online i wisiała groźba wpierdolu i wyprowadzki w samej "żonobijce".
Ostatecznie dzwonie do tych chujków, coś tam resetowali albo chuj wie co zrobili, ale router zaczął pingować. Pobrał ustawienia sieci i zadziałało. Co więcej bez kombinacji z przekierowaniem portów na nowym routerze NAT jest Otwarty. Nie będę już kombinował i jeśli nic się nie schrzani to zostawię sobie ten nowy router.
Taka chłodna historia

Może zblacklistowało twojego MACa po jakichś kombinacjach a nowy nie był dopisany???
W każdym razie dobrze że KONKUbina nie pokazała jaką jest kolejność dziobania w waszym stadzie.

Co do podatności podanej przez 314TeR, to po szybkim przeczytaniu, jest nie do wykorzystania z internetu przy domyślnych ustawieniach routera, bo przecież panel administracyjny nie jest wystawiony na świat.

Ja mam router którego ostatni firmware powstał w 2015 roku i nie ma DD-WRT / OpenWRT (tzn jest, ale bez obsługi wifi 5GHz). Tak więc ma tą podatność Crack, pewnie Heartbleeda i co tam jeszcze po drodze wyszło. Ogólnie to yolo, na razie nic się nie dzieje

No właśnie u @leosh - było podejrzenie i to dość poważne, że jego router jest właśnie podatny na przejęcie ustawień panelu admina od strony internetu. UPnP było jego najmniejszym zmartwieniem.

Co do samego UPnP - To problem jest z nim to, że został u podstaw źle zaprojektowany. W skrócie - stworzono protokół (usługę), która może sterować routerem na prawach administratora, bez konieczności posiadania uprawnień administratora. Bo jak można inaczej sklasyfikować, że wysłanie zwykłego pakietu do routera, bez konieczności autentykacji, pozwala przekierować cały ruch przechodzą przez router w dowolny sposób. Do tego dorzuć złe implementacje UPnP na wielu plastikowych routerach gdzie może przekierowanie zrobić nie tylko do wewnątrz, ale wręcz "wyprowadzić" cały ruch na zewnątrz na konkretny host.