Archiwa: Sieć - Strona 15 z 26

3 marca, 201217 kwietnia, 2018

Jak zdobyć certyfikat IPv6 i fajną koszulkę za darmo.

No i udało się. Szczerze mówiąc myślałem, że będzie trudniej i nie przypuszczałem, że cel jest tak blisko. Blokada IRC przez HE o której pisałem niedawno okazała się świetnym motywatorem do skończenia testu, czyli osiągnięcia poziomu Sage, który pozwala na odblokowanie dostępu do IRC. No i okazuje się, że prawdą jest to, co chciałem sprawdzić, czyli że certyfkiat IPv6 od HE da się zrobić, nie wydając ani złotówki i korzystając wyłącznie z zasobów (domeny, serwery DNS), dostępnych zupełnie za darmo w Internecie.

Nie zamierzam robić tutoriala krok po kroku – sam proces certyfikacji jest prosty i w sumie daje sporo frajdy (pod warunkiem, że nie trzeba powtarzać kroków kilka razy jak w moim przypadku…), poza tym samo HE daje tutoriale video, ale parę wskazówek się przyda, żeby się nie frustrować niepotrzebnie.

Adresację (tunel) IPv6 za darmo dostaniemy na przykład od samego HE. Z kolei domeny (dobra, subdomeny) za darmo daje na przykład afraid.org w ramach usługi FreeDNS. Niestety, ich NSy nie posiadają adresów IPv6 (żaden!). Można to jednak obejść delegując subdomenę na takie NSy, które posiadają obsługę IPv6. Na przykład te od HE.

Żeby nie było za prosto – wygląda, że jest jakiś problem z cache’owaniem(?) wpisów DNS po stronie HE – w pewnym momencie panel żadną miarą nie chciał przyjąć obsługi domeny, mimo, że powinien (support też tak twierdził). Rozwiązaniem jest dodanie delegacji na wszystkie ns1 do ns5 na he.net. Potem, przy którymś teście co prawda trzeba usunąć ns1, bo test wymaga (IMHO błędnie, powinien sprawdzać czy minimum 1 ma), żeby wszystkie NSy miały adresy IPv6, ale to insza inszość.

I tyle. Warto dodać, że ukończenie certyfikatu IPv6 od HE daje nie tylko możliwość odblokowania dostępu do IRC. Dodatkowo (a może przede wszystkim?) każdy, kto uzyska poziom Sage może otrzymać fajną, geekową, unikatową koszulkę za darmo (wysyłka też) – wystarczy podać rozmiar w panelu HE i potwierdzić adres do wysyłki. Taki – podobno bardzo udany – pomysł HE na popularyzację IPv6.

Zachęcam do zabawy. Mi pozostało wymaksowanie punktów. Osobną kategorią zabawy jest znalezienie błędów (implementacyjnych, nie rzeczowych) w samym teście (można udawać, że się zrobiło pewne rzeczy, nie robiąc ich, ale nie o to oczywiście chodzi). 😉

UPDATE: Szczerze mówiąc, myślałem, że Sage jest więcej, szczególnie, że sporo spotkałem na IRCu. Tymczasem na PLNOG dowiedziałem się, że jest raptem 87 osób w Polsce i ok. 4600 na całym świecie. Więcej statystyk.

23 lutego, 201217 kwietnia, 2018

Tunele IPv6 od Hurricane Electric i IRC – uwaga przy przeniesieniach!

Od dłuższego czasu byłem – powiedzy, że szczęśliwym, chociaż przy dynamicznym IP miałem uwagi – użytkownikiem IPv6. Jednym źródłem jest tunel od HE, drugim jest tunel IPv6 od czeskiego virtio.cz. Z HE byłem zadowolony, ale AFAIK wymagają publicznego IP na końcówce tunelu (lub zabawy z przekierowywaniem portów – głowy nie dam, czy w ogóle się da, ale powinno się dać). Natomiast rozwiązanie Czechów korzysta z Tunnel6, który bez problemu, OOTB, bez zabaw z przekierowaniem portów przechodzi przez NAT (a akurat taką miałem potrzebę). I tak sobie to wszystko działało parę lat, służąc głównie do połączeń SSH, zapewniając stały adres IP służący dla dostępu IRCa i – w drugim przypadku – robiąc za przejście NAT bez przekierowywania portów na routerze.

Wszystko działało dobrze, do czasu… Niedawno uruchomiony został PoP HE w Warszawie, więc postanowiłem przenieść tam terminowanie tunelu. Pełna treść ogłoszenia wyglądała następująco. Nic nie wróży problemów, prawda? Trochę może boleć konieczność usunięcia i założenia nowego tunelu, ale rozumiem powody. Postępuję zgodnie z instrukcją, tj. usuwam stary tunel (to był błąd! powiadam wam, nie idźcie tą drogą!) i tworzę nowy, terminowany w W-wie. Niby bliżej, ale szału nie ma – opóźnienia do docelowych hostów podobne jak były. Ogólnie – wiele hałasu o nic, spokojnie mogło zostać po staremu, czyli z terminowaniem w Holandii. No ale skoro już zmieniłem, odwrotu nie ma, skoro wszystko działa, to niech tak zostanie…

Wszytko działało. Do czasu. Parę dni temu zauważyłem, że nie mogę się połączyć do serwerów IRC. Co gorsza, i co bardziej podejrzane, w żadnej sieci. Nie działał ani IRCnet, ani Freenode, ani OFTC. Szybka diagnostyka (ogólnie łączność do serwerów jest, wygląda na blokadę portów i to na pierwszym hopie), ticket do HE, ale zanim odpowiedzieli, znalazłem już przyczynę:

Due to an increase in IRC abuse, new non-BGP tunnels now have IRC blocked by default. If you are a Sage, you can re-enable IRC by visiting the tunnel details page for that specific tunnel and selecting the 'Unblock IRC’ option. Existing tunnels have not been filtered.

Pewnie nawet kiedyś to przeczytałem i zdążyłem zapomnieć. Oczywiście – to już informacja z odpowiedzi z ticketa – przeniesione tunele traktowane są jak nowe, będą miały zablokowany dostęp do IRC (do momentu uzyskania Sage) i tyle. Czyli chwilowo „odwyk” od IRCa.

Cóż, z jednej strony jest to jakiś motywator do powrotu do zrobienia certyfikatu IPv6 od HE (który polecam, bo bawiąc uczy, ucząc bawi), z drugiej strony jest to wylewanie dziecka z kąpielą, bo co to za popularyzowanie przez blokowanie? Zrobienie certyfikatu nie jest problemem (ale – póki co – okazało się niemożliwe w pierwotnie zakładanym wariancie, czyli „bezinwestycyjnie”, opierając się tylko na dostępnych za darmo usługach w sieci, stąd opóźnienie w jego robieniu). Być może skończy się po prostu zakupem domeny…

PS. Tak, wiem, mogę wziąć kolejny tunel od Czechów. Albo od SixXS (który AFAIK też zza NAT od kopa działa). Ale HE obok wad ma zalety. Choćby aktualizacja endpointa wgetem, co sprawia, że wszędzie (*wrt) zadziała.

26 listopada, 201129 lipca, 2022

Jak sprawdzić IP komentującego?

Ostatni wpis traktujący o tym jak sprawdzić IP komputera zaowocował sporą ilością zapytań o to, jak sprawdzić IP komentującego na blogu albo forum. Sprawa może być utrudniona, bo adres IP bywa uznawany za daną osobową, a poza tym dobra praktyką jest ukrywanie przynajmniej części adresu przed osobami postronnymi. Zasadniczo wyróżnić można dwa przypadki:

Sprawdzanie IP komentarza przez osoby postronne

Wariant gorszy, bo dostęp jest bardzo ograniczony. W tym wariancie mamy trzy przypadki:

Komentarz zamieszczony jest z zarejestrowanego konta – w takim przypadku adres IP ukryty jest całkowicie. Niewiele można zrobić, ale – patrząc z drugiej strony – wiemy dokładnie, kto (jaki nick) zamieścił dany komentarz, co zwykle lepiej określa osobę, niż adres IP.
Jeśli komentarz dodawany jest bez logowania do serwisu, wygwiazdkowany. Również niewiele można zrobić, chyba, że ukrywanie części adresu jest zrobione bez głowy, np. schowana jest dokładnie jedna cyfra. Także schowanie jednego bloku adresu IP (np. wyświetlone 100.101.102.*) może pomóc w określeniu, kto dany komentarz zamieścił.
Komentarz z widoczną nazwą hosta. Z niewiadomych przyczyn (zapewne chodzi o głęboką wiedzę w temacie, szerokie spojrzenie i konsekwencję) urzędnicy nie uznają – w przeciwieństwie do adresu IP – nazwy hosta za daną osobową, przez co pojawia się ona w wielu serwisach/forach zamiast IP komentującego, więc możemy zobaczyć np. adaa194.neoplus.adsl.tpnet.pl. Sprawdzenie IP w takim przypadku to zwykłe uruchomienie polecenia ping adaa194.neoplus.adsl.tpnet.pl (tak, ping nie jest do tego, ale jest dostępny na wszystkich systemach, popularny, jednolity…). Jeśli ktoś woli wersję online lub nie wie, jak dobrać się do wiersza poleceń w systemie, to pomoże strona hostname IP lookup.

Sprawdzanie IP komentarza przez właściciela serwisu

Wariant lepszy, bo obok wszystkich środków dostępnych w poprzednim przypadku, możemy:

Sprawdzić IP po zalogowaniu do systemu. Wiele systemów udostępnia w takim wypadku wprost IP komentującego właścicielowi bloga.
Sprawdzić IP przy blokowaniu komentarzy z danego IP. Nawet jeśli adresy IP komentujących nie są widoczne wprost, to często pojawiają się podczas blokowania możliwości komentowania, czy to wprost, czy w linku do blokowania, czy wreszcie na liście adresów zablokowanych (blokujemy możliwość komentowania autorowi komentarza na moment, patrzymy jaki adres, odblokowujemy).
Sprawdzić IP w systemie statystyk, jeśli korzystamy z takiego na stronie. Szczególnie przydatne przy niewielkim ruchu – łatwo wtedy skorelować dane wejście odnotowane w statystykach z czasem zamieszczenia komentarza. Na pewno ładnie widać to w stat4u, z którego korzystam.

Możemy też oczywiście sprawdzić IP połączenia, z którego zamieszczono komentarz w logach serwera WWW, jeśli działa na naszym hostingu lub mamy dostęp do logów.

HTH i łącznie z poprzednim wpisem wyczerpuje temat ustalania adresu IP.