Hoeveel TCP/UDP connecties gebruikt de gemiddelde telefoon?

Sowieso kun je veel meer dan 65k NAT sessies per publiek IP hebben. Dit omdat het destination IP meegenomen wordt in de NAT hash. Enkel de combinatie tussen source en destination moet uniek zijn. Dus ja er is wel ergens een limiet maar die zal in de praktijk veel groter zijn dan 65k connecties per publiek IP als het gaat om standaard internettoegang.

Voor wat betreft aantal connecties hangt dat inderdaad echt heel erg af van het gebruik. Een CGN opstelling met huisaansluitingen is heel wat anders dan een evenement opstelling waar enkel smartphones en een wat laptops gebruik maken van de WiFi.

Als het voor een grooot project is dan lijkt een pilot me de beste optie. Daarin kan je dit soort dingen goed monitoren.

[ Voor 3% gewijzigd door ik222 op 29-05-2017 20:51 ]

Ja daar is geen peil op te trekken natuurlijk. Als ik idle ben heeft mijn iPhone 4 connecties open, maar zodra ik een refresh op nu.nl doe 54. Het ligt dus alleen maar aan hoe actief je gebruikers gaan zijn.

Als je fortinets niet fatsoenlijk op schaal kunnen NATten is 't tijd om ze te vervangen door iets wat dat wel kan imo. 65k sessies per IP is jaren '90 werk.

Ik weet niet wat voor Fortigate jij hebt draaien, en met welke software versie, maar 5.4 kan gewoon meer dan 65k sessies hiden achter 1 IP: http://help.fortinet.com/... sessions when NATing.htm , zie onderaan "Calculations for possible session numbers".

knutsel smurf schreef op dinsdag 30 mei 2017 @ 11:20:
[...]


Klopt er is idd geen pijl op te trekken dus dat is ook een beetje de reden dat ik op zoek ben naar een veilige methode om het te berekenen. Ik wil niet een /25 aanvragen en dan tot de conculsie komen dat ik een groter subnet nodig heb.
Ik plan de FG-3000 te gebruiken hiervoor en die support in principe voldoende sessies in totaal. Echter het advies van de consultant hier is niet meer dan 65.500 sessies per publiek IP te gebruiken.

Dat is alleen een zinnig advies als het realistisch is dat alle aangesloten clients tegelijk dezelfde website of service gaan gebruiken. Ik kan me namelijk absoluut niet voorstellen dat deze Fortigate echt de limiet van 65k sessies per publiek IP heeft, die kan echt wel zinnig NAT met een destination ip / poort in de hash.

De vraag is dus zit ik safe met bijvoorbeeld 50 sessies.

"@TommyboyNL Ik heb even gekeken naar de berekening daar maar die laat mijns inziens alleen maar zien wat het verwachtte aantal sessies kan zijn. Zowiezoo kan ik niet met 1 IP alles doen omdat ik op verschillende locaties tegelijkertijd devices actief ga hebben. En de overheid hier in Ierland geeft aan dat ik per locatie minimaal 1 public IP nodig heb.

Je gaat dat echt alleen weten door te meten, maar om wat te roepen zou ik zelf bij een evenement opstelling denk ik rekenen met 100. Ook omdat steeds een deel van de clients idle zal zijn.

Even los van hoeveel IP's je precies nodig hebt raad ik je aan de IP reeks ruim van te voren te regelen en de WHOIS zodanig aan te passen dat het daadwerkelijk als een aparte reeks wordt gezien. (En niet als een subnetje van een veel grotere reeks.)

Waar ik zelf regelmatig tegenaanloop met kleine IP reeksen is dat Google of andere websites ze blokkeren en/of achter captcha's stoppen omdat iemand anders in de grotere reeks (waar mijn reeks binnen valt) heeft lopen spammen of op andere manier oneigenlijk gebruikt heeft gemaakt van z'n IP adressen. Niet iets wat je last-minute tijdens een festival wilt oplossen.

Wat aantal sessies betreft: ik zou de hoeveelheid sessies per client beperken. Je kunt de effecten daarvan vrij eenvoudig testen. Waarschijnlijk heb je aan 1 Android en 1 iOS client voldoende. Vervolgens kun je met dat getal gaan rekenen. Die beperking zorgt er ook meteen voor dat een enkele client met malware niet je hele sessie-tabel vult of een firewall van Google/Facebook/etc. triggered.

Last but not least: Google, Facebook, Netflix, etc. gaan bij voorkeur over IPv6. Er zou je eigenlijk niets in de weg moeten staan om elke festival bezoeker een uniek IPv6 adres te geven. Daarmee vermijd je voor deze bekende apps/sites in elk geval eventuele limieten.

knutsel smurf schreef op dinsdag 30 mei 2017 @ 15:54:
@ik222 je hebt een goed punt, het is inderdaad de verwachting dat veel bezoekers veel dezelfde sites gaan bezoeken. Ik zal eens nagaan bij deze sites wat hun limiet is als er veel bezoekers vanaf 1 IP komen.

Los van de sites zelf is dat dan ook technisch aan jou kant een valide reden om het aantal clients per publiek IP te beperken. Want je kan wel maximaal 65k sessies naar poort 80 van hetzelfde IP opzetten vanaf het zelfde (publieke) source IP, immers destination IP en poort is dan overal hetzelfde dus kan je enkel nog met de source poort een unieke hash genereren.

En inderdaad wat tweatbook zegt, IPv6 kan je veel NAT sessies schelen als je ISP dat kan aanleveren.

Je kan de software wissen en pfSense installeren, dan kan je zo veel sessies draaien als je maar wil tot het geheugen op is... Of zelfs met OpenWRT kan dat nog.

[ Voor 12% gewijzigd door johnkeates op 30-05-2017 16:39 ]

knutsel smurf schreef op dinsdag 30 mei 2017 @ 11:20:
[...]
"@TommyboyNL Ik heb even gekeken naar de berekening daar maar die laat mijns inziens alleen maar zien wat het verwachtte aantal sessies kan zijn. Zowiezoo kan ik niet met 1 IP alles doen omdat ik op verschillende locaties tegelijkertijd devices actief ga hebben. En de overheid hier in Ierland geeft aan dat ik per locatie minimaal 1 public IP nodig heb.

En hebben die verschillende sites dan *elk* een eigen breakout ? Of aggregeer je ergens en kom je wel degelijk slechts op fysieke plek via een Fortinet naar buiten ? Daar zou je dan een kleine pool publieke IP's kunnen voorzien.
Ik zie geen probleem, die link geeft aan dat het best schaalbaar is en kan je wat berekenen.
Mischien eerder zorgen maken over de algemen performantie van al je clients ten velde (wireless)

Indien je denk dat veel bezoekers naar dezelfde site(s) gaan eventueel iets van reverse-proxy voorzien ?
(vb nginx maar nog héél wat andere opties) want die kan ook een enorme boost geven. Je kan de Fortinet ook als Reverse Proxy overwegen, maar dat is mogelijks niet optimaal...