IP-adresse forvirring

Efter at have talt med en medarbejder hos mobilselskabet 3, er jeg blevet forvirret:

Hvad er de tekniske forskelle på

... en privat IP-adresse
... en offentlig IP-adresse
... en statisk IP-adresse
... en dynamisk IP-adresse?

Hvilken adresse skal bruges, når der skal være adgang til fx. et web-kamera eller en radiostation udefra. Både web-kameraet og radiostationen ligger bag ved routeren i et LAN.


Lad nu være med at forplumre debatten med indlæg, der ligger langt uden for dette emne! Sådan som det skete med mit "TS-480 remote" indlæg forleden. Det var ikke værdigt for radioamatører!!

Vy 73 de OV6A

Svar til #1:
Kort og godt:
En privat IP adresse: adresser der starter med 10.x.x.x eller 192.168.x.x de findes typisk bag en roter som folk har stående derhjemm
En offentligt IP adresse: er alle IP adresser som bruges på det store internet. Det kan være hvadsomhelst bortset fra de førnævnte.
Statisk IP adresse: kan være enhver IP adresse som benyttes på det offentlige eller private net. Det betyder at et givet dingenot f.eks. En printer vil altid have den samme adresse uanset hvornår man tænder for den. På det offentlige net så får man tildelt et fast (statisk) adresse. Den løsning er at foretrække hvis man vil tilgå sine dimser fra et vilkårligt sted i værden.
Dynamisk IP adresse: Er en adresse der tildeles fra gang til gang. Dette gøres ved hjælp af protokollen DHCP. Det gælder både for private og offentlige net. På det offentlige net er det ikke så godt hvis man vil tilgå sine dimser udefra for man kan risikere at ens IP adresse er blevet ændret.
Det skal lige siges at der er nogle internet udbydere der tildeler private adresser til deres kunder. Det betyder at det kan være endda særdeles vanskelig at forbinde sig til ens udstyr derhjemme da man ikke kender portforwarding reglerne hos den enkelte udbyder.
Håber det ovenstående giver mening

Svar til #1:
Her er en eksempel fra det virkelige liv:
Ønskes: Tilgang til et web kamera fra et vilkårligt sted i verden.
Der er to måder at gøre det på
1.
Abonnere på et statisk IP adresse fra ens internet udbyder og dermed sikre at man altid er sikker på ens IP adresse. På ens private net skal man finde en IP adresse som man ved er indenfor ens routers adresse range. Det kan man se ved at kikke i routerens opsætnings vindue. (via browser) Når man har fundet en passende adresse så skal den reserveres i routeren som værende "blokeret". Herefter sættes kameraets IP til "statisk" og den førnævnte IP adresse skrives i kameraets opsætning. Nu kommer det lidt spooky del. I routeren er der et sted hvor man kan definere "port forwarding". Her skal "inbound" port defineres. Vælg en over 10000. (Der kan vælges fra 0 til 65000 sådan ca) Der er nogle som er reserveret så det er derfor jeg siger at du skal vælge over 10000. På samme linje i routeren er der også noget der hedder "outbound" her skal kameraets IP adresse tastes ind samt den port hvor kameraet reagerer. (Typisk port 80). Når alt det er gjort så kører skidtet.
2.
Det er det samme som beskrevet ovenfor blot med den afviglese at du ikke vil betale for en fast IP adresse. (Det koster ekstra) Her skal du gøre det samme som ovenfor blot med det ekstra tillæg at du skal definere adressen på en tjeneste som hedder Dyn-DNS. Der er. Nogle routere der kan understøtte den funktionalitet. Det gør at hvergang din udbyder ændrer din IP adresse så vil den kontakte en central server som sørger for at fortælle hvad din nuværende adresse er uanset hvor du er. Men pas på det er ikke alle routeren der understøtter det her.

Når man er ude i det pulvariserende liv og vil lige kikke på om katten pisser i sengen så skal man huske at opgive portadressen sammen med ens IP adresse i browseren dette gøres ved: 123.234.321.12:portadresse
IP adressen ovenfor er bare et eksempel.

Svar til #1:
Hvis du vil finde IP adresse på radioenheden,
kan du aktivere/udfylde
menu punktet med dynamic DNS Settings i opsætningen.
Det hostname der kommer frem kan du skrive ind på den her side under Check DNS
http://www.remoterig.com/wp/?page_id=1481
Siden svarer med din radiosites offentlige ipadresse.
Hvad der af routere osv frem til selve radioen er noget der skal sættes op.
MÃ¥ske ikke det store, men en service der ikke er ret kendt.
vy 73 de oz1fhu Preben

Svar til #2 og #4
En fornøjelse at se en kort og tydelig forklaring på et stillet spørgsmål på BG.

Svar til #2:
Lige en præsicering, i følge https://en.wikipedia.org/wiki/Private_network er følgende IP adresser private:

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Private IP adresser kan ikke routes over internettet og kan dermed ikke tilgås via internettet. Fra den private IP adresse kan man derimod godt tilgå offentlige IP adresser på internettet, idet internetudbyderen omsætter (NAT'ter) den private IP adresse til en offentlig der præsenteres på internettet. Typisk får mange eller alle udbyderens kunder samme offentlige IP adresse på internettet og det er kun den man ser på f.eks. myip.dk Det vigtige er den IP adresse som ens router får på WAN-siden og den står typisk på routerens statusside.

Hvis ens router får en privat IP adresse på udbyderens net kan man bruge avancerede tricks som en VPN-forbindelse initieret inde fra lokalnettet til en proxyserver udenfor lokalnettet. Fjernstyring eller adgang til overvågningskameraer sker så ved adgang til proxyserveren, som skal være konfigureret til at sende trafikken via VPN-forbindelsen til lokalnettet bag den private IP adresse. VPN er foreslået og beskrevet i en tidligere tråd her på Brugtgrej om EDR Ballerup's problemer med fjernstyring. Medmindre man er netværkshaj kræver VPN kræver nok nogen brug af Google, så hvis man ikke er stiv i ping og tracert vil jeg fraråde VPN. Driftsstabiliteten kommer også til at lide under at både VPN-forbindelsen og proxyserveren skal virke.

Det er værd at bemærke at en ADSL/fiber router eller en router på mobilt bredbånd har to IP adresser, en på LAN-siden til lokalnettet hvor pc'ere og overvågningskameraer mv. normalt får private IP adresser ofte 192.168.x.x og en på WAN-siden som er routerens IP adresse på internetudbyderens netværk. Det er sidstnævnte som står på routerens statusside og den skal være offentlig for at man udefra kan tilgå overvågningskameraer og remoterig-boksen til fjernstyring af radioen.

Om WAN-adressen er dynamisk eller statisk=fast er ikke så vigtigt. Hvis den er dynamisk findes der nemme tricks i form af Dynamisk DNS til at klare det (DDNS). Remoterig boksen til radiodelen har indbygget DDNS og det er ret nemt at bruge. Men det nemmeste er naturligvis hvis ens router får en fast offentlig IP adresse.

Kundeservice hos internetudbydererne har typisk ikke forstand på privare/offentlige IP adresser. Ofte siger de bare at man skal betale for at få fast IP adresse, måske endda i forbindelse med et dyrt erhvervsabbonement.

Bemærk at firmaet '3' for nogle år siden havde en fejl i deres netværk så to kunder på '3's mobile bredbånd ikke kan kommunikere. Da Oister benytter '3's netværk kan en kunde hos Oister heller ikke kontakte et overvågningskamera eller en Remoterig-boks på '3's mobilt bredbånd selvom alle andre på internettet kan. Dengang sagde '3's kundeservice at begge parter skal have fast IP adresse. Om fejlen er rettet ved jeg ikke.

73, Palle, OZ1RH.

PS, problematikken med private IP adresser har tidligere været beskrevet både her på brugtgrej og især på Remoterig's forum: www.remoterig.com/wp/?page_id=906 hvor problemet kaldes Double NAT.

Svar til #6:
Tak Palle for præciseringen!. Kunne ikke huske den sidste private IP range det er derfor den ikke er med.

Svar til alle:

Tusind tak for de gode og konstruktive inputs. Og tak fordi ingen hidtil har forstyrret tråden med andre emner end det aktuelle, eller personlig mudderkastning.

Jeg blev i øvrigt ringet op af en Charlotte fra mobilselskabet 3 i går. Hun fattede ikke en pind, hverken hvad mit spørgsmål gik ud på eller, hvad jeg evt. havde brug for. Hun forsøgte blot at sælge mig et dyrt abonnement.

Om ca. en måned får jeg en offentlig IP-adresse af min internet-udbyder.

73 de OV6A Jørgen

Svar til #1:

Den offentlige IP er den som offentligheden kan se - dvs. den din router bruger udad på internettet.

En privat IP er de IP-adresser som dit udstyr bruger bag din router, f.eks. din PC, telefon eller et trådløst webcam.

Alt udstyr, din router incl. kan benytte enten en statisk eller en dynamisk IP-adresse. En analogi er din telefon. Den har et "statisk" telefonnummer fordi at folk skal kunne taste et specifikt nummer ind og forventer at det er dig der tager telefonen.
Hvis din telefon fik tildelt et dynamisk telefonnummer fra dit selskab hver gang du tændte den så ville ingen vide hvad de skulle taste for at komme i kontakt med dig. Så derfor. :-)

Normalt så vil man benytte statiske IP'er til udstyr som andre enheder skal kunne koble op til vha. IP-adressen uden at lede efter det..

Det er oplagt dit web-cam skal bruge statisk IP for at f.eks. en video-server kan finde det eller hvis du router forbindelse ude fra internettet gennem din router til kameraet. Så er det routeren der skal kunne finde kameraet på en specifik adresse.

Til enheder der har brug for netværk men ikke nødvendigvis skal kunne findes uden at lede, bruger man dynamiske IP-adresser. Det er f.eks. din computer som har brug for en IP for at routeren ved hvor den skal sende siderne fra brugtgrej hen fra nettet så det ikke er din kones telefon der får dem, men i øvrigt ikke har brug for at andre enheder kan vide hvor den er på dit hjemmenetværk, da de ikke "snakker" sammen. Det er i princippet altid din computer der "ringer ud" og ikke omvendt, med mindre du har noget server-nams til at køre på den af den ene eller anden art. I og med at det er routeren der giver din computer en dynamisk adresse hver gang du tænder den så ved routeren hvor den skal sende trafik hen, men det gør andre enheder på dit hjemmenetværk ikke umiddelbart hvis de skal have kontakt til den. (Der benytter man andre metoder)

Dynamiske IP-adresser bliver tildelt fra gang tíl gang vha. en DHCP-server. Sådan en sidder der oftest i en router som en del af pakken i en hobby-router.
I virkeligheden består en hobby-router af flere sammenbyggede enheder, men det er sagen her ligemeget. Jeg vil bare nævne det fordi at du ikke nødvendigvis skal/kan bruge DHCP-serveren i routeren...

De fleste hobbyroutere er fra fabrikken sat op til at køre DHCP i et område der giver adresser som hedder noget i området 192.168.16.1-254. Der er altså 254 adresser til rådighed og det er det sidste tal som bestemmer hvilken enhed der er tale om. Adressen 192.168.16.1 er forbeholdt routeren i så fald.

Der er som sagt mulighed for at forbinde som enten en statisk eller en dynamisk (DHCP) enhed for dit udstyr når det benytter dit netværk. Men der må kun være en enhed der bruger en adresse ad gangen.
Du kan altså ikke have to enheder hvor den ene bruger den samme adresse statisk og den anden dynamisk IP på det samme net.
Tænk på IP-adressen som et telefonnummer, der er kun en der kan have et nummer ad gangen ellers ved man ikke hvor man ringer hen.

Det første du skal gøre for at få dit web-cam op og køre er derfor at resavere et område i dine Ip-adresser til at køre med statiske adresser.
Det gør du inde i den sektion der rimer på DHCP i routeren.
Her kan du sætte start-adressen for dens DHCP-område.
Det kan f.eks. fint være fra adressen 192.168.16.100 og op. Så har du alle adresserne fra 192.168.16.2 til 192.168.16.99 som kan bruges til fast udstyr og de resterende 150 adresser til andet grej i huset.

Der er mange måder at organisere sine IP-adresser på, men det er en god ide at have lidt styr på hvor tingene er. Jo flere faste IP-adresser man bruger jo mere forvirrende kan de nemt blive.
De fleste vælger at reservere områder der er nemme at huske til forskellige ting.
F.eks. lade de første 10 adresser stå til div. servere, NAS, UPS osv. De næste op til f.eks 20 være til printere osv osv så dine enheder er grupperede og der er plads til at udvide indenfor nummersekvensen.

Det næste du skal er er indstille dit web-cam til at bruge en af de friholdte IP-adresser som DHCP-serveren ikke råder over. Det er noget med at smide CDen i der følger med og køre installationssoftwaren.
Du skal så indstille dit kamera til at bruge den faste IP du vælger og subnet, gateway og DNS til det samme som din computer bruger.
Det vil så typisk være hhv:
255.255.255.0
192.168.16.1
192.168.16.1

Når du har indstillet kameraets IP burde du kunne taste den ind i en browser og tilgå kameraet med det samme.

Det næste du skal er at indstille din router til at route trafik fra internettet til dit kamera. For at gøre det skal vi have fat i endnu et begreb, nemlig porte.
Hvis vi tænker på IP-adresser som telefonnumre så kan du tænke på porte som lokalnumre. Port-systemet er lidt mere rigid idet at der er en hvis fælles standard for at bestemte ting bruger bestemte porte på netværk. Det er f.eks. emailprogrammer og mange andre typer traffik der er så almindelige at man direkte har bestemt at nogen normalt bruges til særlige formål.
Da din router kun har en IP-adresse men skal route trafik ud til mange enheder på dit private netværk, så svare det for en på internettet til at ringe din router op.
Enheden på internettet beder så om at få lov til at tale med et bestemt lokalnummer og det er så det der er porten og grunden til at man bruger dem.

Hvis du tilgår dit kamera indenfor dit eget netværk kan du blot benytte kameraets IP som du har indstillet, men hvis du er ude på internettet f.eks. via mobildata eller på dit arbejde så skal du bruge routerens offentlige Ip-adresse efterfulgt af kolon og porten.
Det kunne f.eks. være 34.72.189.242:8890

Det variere rigtigt meget hvordan menusystemet er bygget op i en router så jeg kan desværre ikke give dig en specifik anvisning på hvordan du gør det.
Ideen er at man benytter det der heddet NAT (Network Adress Translation) i routeren som sørger for at "viderestille" til web-kameraets IP-adresse vha. porten som der "ringes op til" udefra.
Du skal kort sagt oprette en NAT-regel i routeren der modtager på porten du vælger og sender trafik til kameraet (ofte kaldet "target" i routern).

Har du flere enheder vælger du blot forskellige porte til dem hver i sær i routeren. Man kan godt have flere enheder der benytter samme port på et netværk, men ikke samme IP.
F.eks.
En radio med adressen 192.168.16.31:8834
og webcam med adressen 192.168.16.32:8834
Men IKKE forskellige porte og samme IP. Tænk igen telefon og lokalnumre. Maler Petersen og Mure Jensen har forskellige telefonnumre, men de kan internt sagtens benytte samme lokalnumre fordi du først ringer til telefonen og derefter vælger lokalnummer....

Dvs. at hvis du f.eks. har et webcam og en radio du skal tilgå udefra internettet og din offentlige Ip-adresse er 34.72.189.242 så kan du sætte modtagerporten i routeren til 8890 for kameraet på den interne IP 192.168.16.31 og radioen med modtagerporten 8891 på den interne IP 192.168.16.33.

Når du så tilgår kameraet fra internettet skal du taste IPen 34.72.189.242:8890 og for radioen 34.72.189.242:8891

Håber det hele giver mening, det er sværer at forklare end at forstå. ;-)

PS: Det kan være fristende at tænke ok, så bruger jeg blot den offentlige IP + port hver gang jeg skal tilgå mit webcam. Det vil virke, men da det er den offentlige adresse som din telefon (f.eks.) kobler op til så går trafikken i princippet også ud omkring internettet hver gang. Det kan have den ulempe at det dels måske koster penge at have trafik på internettet og dels at det vil gå langsommere end ved en direkte forbindelse. De fleste routere kan af sig selv skelne og se at når der er en enhed internt der vil i kontakt med en anden intern enhed så skal den ikke sende trafikken omkring internettet og tilbage, MEN det er ikke alle der kan. Så det skal man lige være opmærksom på. Hvis man vil kunne benytte den externe IP uanset om man er hjemme eller ude hver gang uden at risikere ovenstående så skal man indstille en regel til det i routeren. Her er din manual din ven.

PPS: Når du engang er så langt at du har det hele til at køre med IP-adresser så kan du overveje at bringe det hele et skridt videre.
Hvis dit kamera og radio kan tilgås med en browser så kan du give dem en WWW-adresse forudsat at du har en "hjemmeside" med i abonnementet hos din internetudbyder.
Det gør du ved at hoppe ind i de avancerede indstillinger til din hjemmeside og ændre den sektion der hedder DNS-records. Du skal så angive din routers externe adresse som adressen på din webserver.
Har du mere end en enhed skal du oprette det der hedder sub-domains først og så lade hvert af dem pege på hver enhed. Så vil du skulle taste f.eks.
www.webcam.jensen.dk for kameraet og
www.radio.jensen.dk for radioen... smart ikke? :-)
Har du allerede en hjemmeside oppe og køre som hedder www.jensen.dk så kan den godt fortsætte uden at der er forbindelse til dine subdomæner.

Svar til #9:
Hej Jens,

Det er stort set rigtigt hvad du skriver for så vidt det drejer sig om LAN-siden, men Jørgens problem er at hans internetudbyder tildeler hans router en privat IP-adresse på WAN-siden og så kan routeren med tilhørende overvågningskamera og Remoterig ikke tilgå fra internettet uden særlige tricks som VPN hvilket jeg som tidligere nævnt ikke tør anbefale. Jørgen har bestilt fast offentlig IP adr, så er hans problem løst.

73, Palle, OZ1RH.

Svar til #10:
Hvis du med en "privat" IP mener en 10.xxx, 172.xxx eller 192.xxx adresse så er det ikke korrekt. Routere er fuldstændigt ligeglade med hvilke netværk de router imellem så længe de ligger på forskellige subnet.
Det eneste der kan være et problem og det er det for øvrigt også gennem en VPN forbindelse, er hvis man router mellem to ens net. Det vil betyde at man risikere at to maskiner med den samme IP kommer i forbindelse med hinanden og så går der ged i det.

Står man i den situation så er der ikke andet at gøre end at ændre sit IP scope så de ikke overlapper. Det kan man f.eks. gøre ved at flytte subnet og ekskludere den del der overlapper i mange tilfælde. I værste fald ved at ændre fra det typiske 192.xxx klasse c scope til et b eller a scope ie. til 10.xxx eller 172.xxx

Tror du ikke du mener at han bliver tildelt en dynamisk WAN adresse sådan som de fleste gør (DHCP tildelt fast IP)?
Den bedste løsning er som du nævner en fast WAN IP adresse.

Svar til #11:
Hej Jens,

Du skrev: "Tror du ikke du mener at han bliver tildelt en dynamisk WAN adresse sådan som de fleste gør"
Om Jørgens WAN adresse er dynamisk eller fast er ligemeget, det afgørende er at den skal have adgang for indgående trafik og det betyder i praksis at den skal være offentlig.

Vi er ved at bevæge os ud en teknisk diskussion om detailjer. Du skrev:

"Den offentlige IP er den som offentligheden kan se - dvs. den din router bruger udad på internettet.

En privat IP er de IP-adresser som dit udstyr bruger bag din router, f.eks. din PC, telefon eller et trådløst webcam".

Den beskrivelse af begreberne offentlig og privat IP adresse er ikke korrekt, men du har ret i at det er sådan de normalt benyttes. Problemet er her bare at Jørgens udbyder ikke bruger IP adresserne på den måde. Tilbage til definitionerne: private IP adresser er som jeg skrev:

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Alle andre IP adresser er offentlige. Hvis man ved hvad man gør kan et LAN godt benytte offentlige IP adresser til pc'ere og overvågningskameraer mv.

Private IP adresser kan ikke routes på internettet. Hvis ens ADSL/fibernet/mobil bredbånds router får tildelt en fast eller dynamisk privat IP adresse kan denne private IP adresse ikke tilgås fra internettet medmindre udbyderens firewall er konfigureret med en 1:1 NAT fra en offentlig til den private IP adresse eller der i udbyderens firewall er lavet port forward og det er der med ret stor garanti ikke.

Jørgens problem ligger i udbyderens firewall og udbyderens netværksdesign. Udbyderen retter det så Jørgens router på WAN-siden får en offentlig IP adresse, som endda bliver fast. Det skulle gerne betyde at Jørgens router på WAN-siden får samme offentlige IP adresse som den præsenterer sig med på nettet på f.eks. myip.dk ellers må Jørgen have fat i udbyderen igen. Når der er adgang fra internettet til Jørgens router er resten er kun almindelig design af Jørgens LAN incl. den port forward, som Jørgen forlængst har lavet.

Det hele kan siges meget enkelt: udbyderen skal sørge for at der er adgang for indgående trafik på alle porte til Jørgens router, men når udbyderens kundeservice ikke forstår hvad det betyder har Jørgen svært ved at få udbyderen til at levere det udbyderen skal.

Jeg havde for flere år siden samme problem og måtte bruge et par timer på fejlsøgning med tracert i Telmore's (TDC's) og på '3's net før jeg kunne fejlmelde præcis hvilken IP adresse (firewall eller router) i udbyderens net der havde problemet, men da kundeservice ikke forstod en dyt af det var det svært at komme igennem.

Bemærk at en standard ADSL er åben for indgående trafik, men at udbydere af mobilt bredbånd og boligforeninger mv. sælger internetforbindelser som ikke svarer til en ADSL i og med at de sælges uden adgang til indgående trafik og at kunderne ikke oplyses tydeligt herom. Det er en sag for Konkurrence- Og Forbrugerstyrelsen og Erhvervsstyrelsen eller hvad de nu hedder for tiden.

73, Palle, OZ1RH.