Деловое волокно AT&T - это, по сути, ребрендинг домашнего Интернета U-Verse. «Модем» (на самом деле это маршрутизатор, но позвольте называть его так для простоты) имеет жесткое ограничение примерно в 8K сеансов. Даже если модем находится в режиме каскадного маршрутизатора (аналогично режиму моста в других устройствах), модем по-прежнему отслеживает сеансы TCP и не разрешает новые при достижении предела. Ответ AT&T заключается в том, что эта проблема возникает, когда пользователь перерос свой план малого бизнеса и ему необходимо перейти на корпоративное волокно, которое на несколько порядков дороже при той же скорости. Это кажется глупым для очень маленького офиса. Учитывая все сообщения, которые я нашел в сети об этом, датируемые более чем 3 годами, я сомневаюсь, что AT&T спешит это исправить.
Также есть несколько задокументированных хаков, связанных с использованием маршрутизатора для обхода модема, но я очень робко рекомендую что-то ненадежное для бизнеса. Им потребуется долгосрочное поддерживаемое решение. Я был удивлен отсутствием обсуждения идеи VPN, поэтому я здесь.
Смена ISP изучается, но возможности ISP очень ограничены.
Если бы клиент предоставил маршрутизатор ниже по течению модема, подключенного к туннелю VPN типа «сеть-сеть» IPSEC, и направил бы весь трафик на другую сторону туннеля, смог бы модем наблюдать за несколькими сеансами? Заключает ли туннель весь трафик в свой собственный установленный сеанс? Будет ли каждый новый сеанс новым в глобальной сети только зашифрованным, поскольку IPSEC работает на более высоком уровне, чем TCP?
https://www.reddit.com/r/sysadmin/comments/74qu5s/isp_nat_sessions_limit/
http://solderoughtts.com/2017/06/growing-pains-att-gigabit-fiber/
IPsec - это набор протоколов, и здесь мы говорим более конкретно о IP-инкапсуляция данных безопасности (ESP) в туннельный режим. Соответствующие детали находятся в RFC 4303, 3.1.2 Обработка туннельного режима:
В туннельном режиме «внутренний» IP-заголовок несет конечные (IP) адреса источника и назначения, в то время как «внешний» IP-заголовок содержит адреса «одноранговых» IPsec, например, адреса шлюзов безопасности. - - В туннельном режиме ESP защищает весь внутренний IP-пакет, включая весь внутренний IP-заголовок. - - На следующей диаграмме показано позиционирование в туннельном режиме ESP для типичных пакетов IPv4 и IPv6.
----------------------------------------------------------- IPv4 | new IP hdr* | | orig IP hdr* | | | ESP | ESP| |(any options)| ESP | (any options) |TCP|Data|Trailer| ICV| ----------------------------------------------------------- |<--------- encryption --------->| |<------------- integrity ------------>| ------------------------------------------------------------ IPv6 | new* |new ext | | orig*|orig ext | | | ESP | ESP| |IP hdr| hdrs* |ESP|IP hdr| hdrs * |TCP|Data|Trailer| ICV| ------------------------------------------------------------ |<--------- encryption ---------->| |<------------ integrity ------------>|
Поскольку в туннельном режиме исходные заголовки IP и транспортный уровень заголовки (не обязательно TCP) зашифрованы, провайдер может видеть только новые заголовки IP для одноранговых узлов IPsec и заголовки ESP. Поэтому за пределами туннеля невозможно сказать, сколько IP:port пары есть в исходных заголовках. (Хотя у TCP есть сеансы, начинающиеся с SYN, SYN-ACK, ACK и заканчивая FIN, FIN-ACK, ACK, "Сеансы" UDP можно угадать только на основе одних и тех же IP-адресов и портов UDP на обоих концах. Следовательно, подсчет UDP-подключений как активных сеансов включает добавление искусственных тайм-аутов подключения.)
Однако ограничение количества одновременных сеансов - не единственное, что может сделать интернет-провайдер, чтобы заставить вас платить больше за соединение, предназначенное для использования в бизнесе. Туннель IPsec VPN может быть обнаружен и заблокирован. Поскольку внешние заголовки IP (ни заголовки ESP) не зашифрованы, например IP-пакеты с номерами протоколов 50 (ESP) или 51 (AH, Заголовок аутентификации, RFC 4302) можно было бы вообще отказаться. Юридическая сторона этого была бы Условия использования заявив, что VPN типа "сеть-сеть" не разрешены.
Если бы клиент предоставил маршрутизатор ниже по течению от модема, подключенного к туннелю VPN типа «сеть-сеть» IPSEC, и направил бы весь трафик на другую сторону туннеля, смог бы модем наблюдать за несколькими сеансами?
Нет. Весь трафик между двумя конечными точками IPSec зашифрован. Наблюдатель не может видеть сеансы или что-либо еще внутри туннеля.