Tämä ohje koskee taloverkkoja, joissa on käytössä "HelsinkiOpen" -palomuuri. Samanlaiset asetukset ovat käytössä useassa taloyhtiössä, joten myös asuntokohtaiset asetukset ovat samanlaisia.
Taloverkon palomuuri suojaa asuntoja ulkoapäin tulevalta vihamieliseltä liikenteeltä. Asuntojen välinen suora liikenne on myös estetty. Asunnossa ei ole tarvetta käyttää erillistä palomuurilaitetta, vaan tietokoneen voi turvallisesti kytkeä suoraan Ethernet-seinäpirtorasiaan.
Jos asunnossa on käytössä useita tietokoneita, voidaan nämä yhdistää toisiinsa ja taloverkkoon Ethernet-kytkimellä. (5-porttisia kytkimä on saatavissa alle 20 euron hintaan.)
Palomuurilaite huolehtii samalla myös reitityksestä taloverkon ja Internetin välillä. Käytössä on NAPT-osoitteenmuunnos, jolla taloyhtiön yksi julkinen Internet-osoite jaetaan taloverkon käyttöön.
Taloverkon sisällä käytetään yksityistä IP-osoiteavaruutta. Käytössä ovat osoitteet 10.10.0.0 - 10.10.255.255.
(Lyhyesti ilmaistuna: 10.10.0.0/16)
Taloverkon reititin jakaa asuntojen käyttöön tarvittavat IP-osoitteet DHCP-protokollalla. Windows- ja Macintosh-tietokoneiden oletusasetuksena kone osaa hakea tarvitsemansa osoitteet. Kone voidaan kytkeä verkoon, ilman että Internet-yhteyttä varten tarvitsee muuttaa verkkoasetuksia.
Taloverkossa voidaan käyttää myös kiinteitä sisäverkon osoitteita. Jos verkon tehokäyttäjä haluaa näitä käyttää, tulee koneen asetuksiin tehdä tarvittavat muutokset.
Palomuuri-reitittimen kolmas tehtävä on kuormantasaus eli käytettävissä olevan tiedonsiirtokaistan jakaminen oikeudenmukaisesti eri käyttäjien kesken.
Kuormanmuokaaja:Useat Internet-yhteysasetukset riippuvat taloyhtiön käyttämästä Internet-palveluntarjoajasta. Sama palveluntarjoaja antaa myös useimmissa tapauksissa asukkaiden käyttöön sähköpostilaatikot ja osoitteet sekä mahdollisesti kotisivutilaa.
Sähköpostilaatikoiden tilaamista varten on joillain palveluntarjojilla automaattinen menettely, joka toimii webbin kautta.
Netsonicin sähköpostilaatikot pitää tilata yhteyshenkilöltä, joka välittää tilausen eteenpäin.Sähköpostitilin tiedot pitää kertoa käytettävälle sähköpostiohjelmalle. Ohjeita löytyy mm. NetSonicin sivuilta.
Sähköposti pitää aina lähettää taloverkon Internet-palveluntarjojan sähköpostipalvelimen (SMTP) kautta, aivan riippumatta siitä mitä postilaatikkoa käytetään saapuvan postin vastaanottamiseen.
Eri palveluntarjoajien sähköpostipalvelimien osoitteet löytyvät palveluntarjoajien ohjesivuilta.
Internetin peruspalvelujen käyttämiseksi pelkkien sähköpostiasetusten tekeminen on riittävää. Tehokäyttäjät voivat tarvita myös muita palveluja ja niiden palvelimia.
Tarvittavat tiedot löytyvät yleensä samalta sivulta sähköpostipalvelimen tietojen kanssa.
Skype toimii lähes missä tahaansa verkossa palomuurin asetuksista riippumatta. Yleensä koneen asetuksiin ei tavitse tehdä muutoksia Skypen käyttämiseksi.
Palomuurin asetuksilla voi joskus olla merkittävä vaikutus äänenlaatuun. Jotta Skype toimisi häiriöttä, tullee liikenteen liikkua vähintään samalla prioriteetillä kuin web-liikenne, mielummin kuitenkin korkeammala prioriteetillä.
Skype toimii p2p-ohjelmien tapaan välittäen liikennettä suoraan asiakasohjelmien välillä. Pääsääntöisesti tällainen liikenne tulkitaan tiedostonvaihto-liikenteeksi ja taloverkon palomuurissa se asetetaan alimmalla prioriteetille. Skype-pakettien pieni koko kuitenkin mahdollistaa niiden asettamisen korkeammalle prioriteetille.
Kotikoneessa voi siis olla tarpeen tehdä asetuksia, jotka mahdollistavat Skype-liikenteen tunnistamisen ja asianmukaisen käsittelyn. Jos Skype-puheluissa esiintyy häiriöitä kokeile näitä:
Aseta Skype käyttämään porttia 60000. Tämän portin liikennettä priorisoidaan
taloverkon palomuurissa.
Näin taataan puheliikenteelle pienet viiveet ja tasainen äänenlaatu.
http://www.skype.com/help/faq/technical.html
Koska tätä porttia ei ole ulkoapäin ohjattu millekään sisäverkon koneelle, joutuu Skype toimimaan passiivimoodissa.
Toinen vaihtoehto liikenteen nopeuttamiseksi on asunnon palvelinporttien käyttö myös Skype puhelimelle. Tämä edellyttää kiinteän IP-osoitteen käyttöä, ja Skypen asettamista käyttämään jotain asunnolle varatuista porteista.
Näillä asetuksilla Skype toimii aktiivimoodissa, ja pystyy suoraan ottamaan ja vastaanottamaan yhteyksiä muista Skype-puhelimista. Seurauksena on myös se, että asiakasohjelma joutuu välittämään myös muiden Skype-käyttäjien liikennettä.
Internetissä voidaan puhua puheluja myös standardinmukaisella SIP-protokollalla. Puheluun voidaan käyttää tietokoneeseen asennettua SIP-ohjelmaa tai erillistä VoIP-puhelinkonetta. Vaihtoehtona on myös vanhan lankapuhelinkoneen käyttö erityisen reitittimen tai "ATA"-adapterin kautta.
Jotta SIP-puhelimella voitaisiin vastaanottaa suoria yhteyksiä toisista SIP-puhelimista, tulee puhelimen kuunnella jotain julkisen IP-osoiteen porttia. Joka asunnolle on varattu joukko avoimia portteja, näitä voidaan käyttää myös VoIP-liikenteelle.
Helpoiten SIP-puhelut onnistuvat, jos kaikki liikenne ohjataan palveluntarjojan välityspalvelimen kautta. Tämä edellytää sopimusta palveluntarjojan kanssa. Palvelusta joudutaan myös perimään kuukausimaksua.
Laajakaistapuhelin.netin tarjoama palvelu toimii tällä periaatteella. Puhelin toimii, ilman että palomuuriin tai itse puhelimeen tarvitsee tehdä asetuksia palomuurin läpäisemiseksi.
Palveluntarjoajan kautta kulkeva liikenne kulkee kiinteään osoitteeseen. Tämä mahdollistaa tämän VoIP-liikenteen tunnistamisen ja siten priorisoinnin.
Laajakaistapuhelin.netin tapaisen palveluntarjoajan käytöllä on sekin etu, että käyttöön tulee aito paikallinen (09-alue) lankapuhelinnumero. Puhelujen vastaanotto ja soittaminen lanka- ja matkapuhelinverkkoon on mahdollista, SIP-puhelin voi siis kokonaan korvata lankapuhelimen.
Tehokäyttäjiä varten on taloverkon reitittimessä joukko portteja ohjattu sisäverkon kiinteisiin osoitteisiin. Joka asunnolle on varattu joukko kiinteitä osoitteita, yksi näistä on tarkoitettu asunnon palvelimelle. Jos asunnossa haluttaan pitää palvelinta, joka on näkyvissä julkisessa Internetissä, tulee tämä asuntokohtainen kiinteä osoite ottaa käyttöön.
Kiinteä IP-osoite riippuu asunnon numerosta. IP-osoite on muotoa 10.10.10.<asunnon numero>. Asunto 44 saa siis käyttöönsä osoitteen 10.10.10.44/16. Vakiokonfiguraatiossa on varauduttu yhteensä 200 asuntoon.
Joka asunnolle on varattu 10 kpl reitittimen porteista eli "porttiosoitetta". Varatut portit ovat väliltä 50000 - 52009. Kuhunkin sisäverkon osoitteeseen on ohjattu portit 50000 + 10×<asunnon numero> - 50000 + 10×<asunnon numero> + 9. Asunto 44 saa siis käyttöönsä portit 50440 - 50449.
Reitittimen osoitteenmuunnos ei muuta portin numeroa, vaan sama portti on käytössä niin sisäverkossa kuin julkisessa Internetissä. Jos talon julkinen osoite on rekisteröity DNS-nimipalveluun nimellä kotikatu.palveluntarjoaja.fi, ohjautuu porttiosoite kotikatu.palveluntarjoaja.fi:50448 sisäverkossa ositteeseen 10.10.10.44:50448.
Jos siis asukas pitää webbipalvelinta (http) portissa 50448, näkyvät asukkaan kotisivut ulospäin osoitteessa http://kotikatu.palveluntarjoaja.fi:50448/.
Hyvä käytäntö on varata numeroon 8 päättyvä portti juuri webbipalvelimelle. Tällöin voidaan talon webbisivulle valmiiksi tehdä linkit asukkaiden sivuille. (Tähän tyyliin:)
As Oy Kotikadun asukkaiden kotisivut
Liikenne portteihin 50000 - 52009 kulkee korkealla prioriteetilla. Portit on tarkoitettu vain "hyötyliikenteelle" kuten web-, FTP- ja pelipalvelimille sekä VoIP-liikenteelle. Näihin portteihin ei saa missään tapauksessa ohjata tiedostonjako-ohjelmien liikennettä.
Jos joku käyttäjä näin tekee, on seurauksena:
Jos joku käyttäjä syyllistyy tällaiseen väärinkäyttöön, on seurauksena yhteyden tilapäinen katkaisu ja/tai oikeuksien ja prioriteettien pysyvä lasku.
Sisäverkon käyttöön on varattu 65000 osoitteen kokoinen osa 10.0.0.0/8 yksityisverkkojen osoiteavaruudesta. Verkon osoite on 10.10.0.0/16 eli verkon peite (netmask) on 255.255.0.0.
Asuntojen käyttöön on varattu kiinteät osoitteet välillä 10.10.10.0 - 10.10.127.255. Osoitteet muotoa 10.10.X.<asunnon numero> missä X on välillä 10 - 127, on siis varattu kuillekin asunnolla. (Näistä ainoastaan yhteen, eli osoiteeseen 10.10.10.<asunnon numero> on ohjattu ulkoapäin tulevaa liikennettä.)
Kun kiinteä IP-osoite otetaan käyttöön, kirjoitetaan osoite TCP/IP protokollan välilehdelle verkkosovittimen asetuksiin. (Windowsissa: "Ohjauspaneli" - "Control Panel") Osoitteen lisäksi täytyy kertoa verkon peite.
Jos käytössä on kiinteä IP-osoite, myös DNS-nimipalvelinten osoitteet täytyy kertoa koneelle. (Yleensä myös tämä tieto välitetään DHCP:n kautta.) Nimipalvelinten osoitteet ilmaistaan numeromuodossa, esim. Netsonicin käyttämät palvelimet löytyvät osoitteista 194.29.192.192 ja 194.29.194.194 .
Taloverkon tarkoituksena on palvella kaikkia talon asukkaita, tiedonsiirtotarpeista ja tottumuksista riippumatta. Eri käyttäjien kaistantarpeet voivat vaihdella jopa 10000 kertaisesti. Käytetyn kaistan kustannukset ja jaetun Internet-yhteyden asukkaalle tuoma hyöty vaihtelee kuitenkin huomattavasti vähemmän. Ei siis ole mitään perusteita kieltää jotain taloverkon käyttömuotoja tai sulkea joitain käyttäjiä verkon ylkopuolelle. Päinvastoin, on erityisen tärkeää saada myös verkon tehokäyttäjät pysymään taloverkon käyttäjinä. Vain tämä takaa verkon korkean palvelutason myös jatkossa.
Talon ulkoinen yhteys tulee mitoittaa interaktiivisen käytön vaatimisten mukaan. On tarpeellista, että webbisivut latautuvat salamannopeasti ja VoIP-puhelille on riittävästi kaistaa käytössä. Interaktiivinen käyttö ei kuitenkaan voi koskaan käyttää kaikkea ostettua ja maksettua kapasiteettia. (Jos näin uhkaa käydä, on yhteysnopeus auttamattomasti liian pieni ja tarpeen päivittää nopeammaksi.)
Taloverkon tiedonsiirtokapasiteetista yli 90% on yleensä käytettävissä tiedostonjako-ohjelmien tarpeisiin.
Ilman asianmukaista kuormanjakajaa on tiedostonjako-ohjelmien käyttö taloverkossa mahdotonta. Tiedostonjako-ohjelmat pyrkivät täyttämään liikenteellään kaiken käytettävissä olevan kaistan liikenteen tukkoisuudesta riippumatta. Seurauksena on reitittimien puskureiden täyttyminen, useiden satojen millisekunttien, jopa sekuntin viiveet tiedonsiirrossa ja pakettien häviäminen.
Tuloksena on, että Internetin interaktiivinen käyttö käy mahdottomaksi. Sivujen latautuminen kestää sekuntteja, jos ne latautuvat yleensä ollenkaan. Tiedostonsiirto tavannomaisilla ohjelmilla, kuten FTP:llä hidastuu muutamiin kilobitteihin sekunnissa. Yksi "häirikkökäytäjä" voi siis omalla toiminnallaan estää jopa sadan naapurinsa pääsyn Internetiin lähes kokonaan.
Jonkinlaista helpotusta tilanteeseen saadaan, jos p2p-käyttäjät asettavat koneeseensa tai ohjelmaansa rajoittimen lähtevälle liikenteelle. Taloverkossa tarvitaan kuitenkin innokas verkon ylläpitäjä ja valvoja, joka liikennemäärien ylittyessä käy kytkemässä yksittäisiä asuntoja pois verkosta.
Tiedostonjako-ohjelmien käyttö edellyttää liikenteen priorisointia ja kaistan tasaamista. Juuri tätä m0n0wall-palomuuri tekee.
Jotta priorisointi onnistuisi, on p2p-liikenne tunnistettava. Tämä edellyttää, että p2p-liikenne käyttä sellaisia portteja, joiden perusteella se on tunnistetavissa. Missään tapauksessa p2p-liikenne ei saa naamioitua kiireelliseksi hyötyliikenteeksi. Erityisen vaaran taloverkon toiminnalle aikaansaa VoIP- ja palvelinliikenteelle avatut portit. P2P-liikenne ei saa missään tapauksessa joutua näille porteille.
Liikenteen priorisoinnin tarkoituksena ei suinkaan ole estää p2p-liikennettä, ei edes merkittävästi hidastaa sitä. Tarkoituksena on ainoastaan estää p2p-liikenteen muulle liikenteelle aiheuttamat häiriöt. Hyvin toimiessaan liikenteen priorisointi mahdollistaa konekohtaisista kaistarajoittimista luopumisen, seurauksena on huomattavasti tehostunut tiedostonvaihto.
P2P-ohjelmat voivat toimia kahdella tavalla, "aktiivi" tai "passiivimoodissa". Passivimoodissa toimivat koneeet ovat palomuurin tai NAT-ositteenmuunnoksen takana, eikä niihin pysty muodostamaan yhteyksiä Internetistä käsin. Kaksi passiivimoodissa toimivaa asiakasohjelmaa ei siis voi suoraan vaihtaa tietoja keskenään. Passiivimoodissa toimivat koneet joutuvat vaihtamaan tietonsa aktiivimoodissa toimivan koneen kautta ja joutuvat siksi tiedostojenjaon jonoissa häntäpäähän ja saavat huonosti ladattua tiedostoja.
Aktiivimoodisssa toimiva asiakasohjelma pystyy huomattavasi tehokkaampaan tiedostojenvaihtoon. Ohjelman ajaminen aktiivimoodissa parantaa myös taloverkon toimintamahdollisuuksia, sillä se mahdollistaa paremmin liikennetyypin tunnistamisen.
Aktiivimoodissa p2p-asiakasohjelma toimii Internet-palvelimena. Se tarvitsee käyttöönsä julkisen porttiosoitteen, taloverkossa tämä edellyttää ulos näkyvän portin ohjaamista sisäverkon koneelle.
Palvelinkäyttöön ohjattujen porttien lisäksi jokaiseen kiinteään sisäverkon osoitteeseen on ohjattu yksi ulkoinen porttiosoite p2p-käyttöön. Portin numero on 6900 + <asunnon numero>. Asunto 57 saa siis käyttöönsä portin 6957. Tähän porttiin ulkoapäin tuleva liikenne ohjataan sisäverkon osoitteeseen 10.10.10.57.
P2P-käyttöön varattujen porttien liikenne tunnistetaan p2p-liikenteeksi ja priorisoidaan oikein alimpaan luokkaan.
Priorisoinnista huolimatta jatkuva ulospäin suuntautuva liikenne tukkii hetkittäin taloverkon paluukaistan. Ongelma on suurin hitailla ADSL-yhteyksillä, joissa ulospäin suunnatun liikenteen signalointinopeus on vain 512 kbit/s. Täysimittainen Ethernet-paketti on 1542 tavua eli 12336 bittiä pitkä. ATM-kehykset mukaanlaskien paketin pituus on noin 14800 bittiä. 512 kbit/s signalointinopeudella paketin välittäminen vie aikaa 29 ms. Samaan aikaan (aavistuksen myöhemmin) modeemille saapuva kiirellinen paketti joutuu siis odottamaan pahimmassa tapauksessa 30 ms, että pääsee eteenpäin.
30 ms viive vasteajassa eli pingissä on erittäin haitallista joillekin sovelluksille, verkkopelit eräänä esimerkkinä. Kasvanut viive hidastaa myös TCP-yhteyksiä, jolloin taloverkon koko 4 Mbit/s tai 8 Mbit/s kapasiteetta ei saada yhdellä yhteydellä käyttöön.
Vaikutusta voi vähentää pienentämällä lähteviä IP-paketteja. Suurimmaksi pakettikooksi voidaan asettaa 1500 sijaan 500 tavua.
Ohjeet
Jos käytät p2p-ohjelmia:
- Ota käyttöön asunnollesi varattu kiinteä sisäverkon osoite.
- Aseta BitTorrent tai muu p2p-ohjelma käyttämään asunnollesi ohjattua porttia (6901-7100).
- Aseta TCP/IP-asetuksista verkkokorttisi lähtevän liikenteen suurimmaksi pakettinkooksi (MTU) 500 tavua.
Älä käytä palvelimille varattuja portteja 50000-52009, tai asuntosi kytketään pois taloverkosta!
Jos tiedät olevasi kulmakunnan kovin kundi ja talon ykkös-warettaja (tai Linux-lataaja), voit ottaa käyttöön sisäverkon osoitteen 10.10.1 0.0. Tähän ositteeseen on ohjattu portit 6881-6900. Nämä ovat BitTorrentin oletusportit. Asiakasohjelmaan ei siis tarvitse tehdä mitään muutoksia porttiasetuksiin, vaan ohjelma käynnistyy aktiivimoodiin käytäen kaikkia portteja.
Jos otat osoitteen suoraan käyttöösi, saattaa olla, että se on samaan aikaan jo naapurisi käytössä. Kumpikaan kone ei siis toimi kunnolla. Yritä siis sopia osoitevarauksesta taloverkon vastuuhenkilön kanssa.
Jos haluat esiintyä verkossa nimettömönä, älä kuitenkaan ota käyttöön naapurillesi varattua IP-osoitetta. Valitse jokin satunnainen osoite välillä 10.10.10.<suurin asunnon numero> - 10.10.10.200.
M0n0wall-ohjelmisto on ladattavissa verkosta osoitteesta http://www.m0n0.ch/wall/
HelsinkiOpen-konfiguraatiotiedosto löytyy tältä palvelimelta: config_HelsinkiOpen.xml