obstlord
Goto Top

Nordischnet: Fremde Router im LAN sichtbar

Guten Abend werte Admins,

nach langer Zeit des Lesens nun auch mal registriert.


Zum Thema:
Mein Schwager hat heute nach langer Wartezeit die Zugangsdaten zu seinem Glasfaseranschluss von Nordischnet bekommen. Also den ONT an den WAN-Port der FB7590, die IP der Fritzbox aufrufen und....sich wundern dass die Zugangsdaten nicht mehr stimmen. Und es plötzlich eine FB7530 ist. F5 drücken und eine FB7490 sehen.

Long Story Short:
Der WAN ist Standardmäßig als LAN-Port eingestellt. Das erklärt nicht, wieso er in der Netzwerkübersicht 5(!) Fritzboxen und weitere fremde Geräte sehen konnte.
Nachdem der WAN-Port auch als WAN eingestellt wurde, lief der Anschluss problemlos.


Wie kann sowas passieren? Klar sind alle Anschlüsse irgendwo am Backbone zusammengeschaltet, aber die einzelnen Teilnehmer dürften sich doch niemals gegenseitig im LAN anpingen dürfen. Selbst ich hab es geschafft meine OPNsense zu so konfigurieren dass die VLANs nicht untereinander kommunizieren, wenn ich das nicht will.
Ich werde morgen mal einen Testclient aufsetzen um das Szenario nachzuspielen.

Der Support vom ISP ist natürlich nur bis 20 Uhr erreichbar.


Bin sehr gespannt auf eure Antworten.


Anbei noch sein "Screenshot" ­čÖä
screenshot

Content-Key: 93161408229

Url: https://administrator.de/contentid/93161408229

Printed on: December 8, 2023 at 03:12 o'clock

Member: SeaStorm
SeaStorm Nov 06, 2023 at 20:25:27 (UTC)
Goto Top
da hat der ISP mal wirklich SCHWER verkackt. Offenbar sind da die Kunden aus einem Segment im gleichen internen Netz und das ist über den Port erreichbar.
Da hätte ich echt gerne mal meine Finger dran face-smile
Member: Spirit-of-Eli
Spirit-of-Eli Nov 06, 2023 updated at 20:39:22 (UTC)
Goto Top
Ihr werdet euch wundern bei wie vielen kleinen Providern das so der Normalfall ist.

Das coole ist ja wenn Kunden ihre Geräte dann einfach irgendwie anschließen. Die machen dann allen ihr heimnetz verfügbar. Um das laienhaft auszudrücken.

Der Hintergrund ist, dass für die Kunden Anbindung einfach bis zum vermeintlichen Anschlusspunkt simple Switche genutzt werden und an der Glasfaser alleine schon auf Grund der Performance nichts gefiltert wird.

Oft werden hier auch Mikrotik Geräte eingesetzt. Was ich begrüße, aber diese werden halt auch ohne Firewall betrieben.

Edit:

Die public IP kommt ja per PPPoE. Jedoch reicht ja schon ein Switch am Glasfaser Konverter oder wenn dieser gar mehrere Ports hat und jemand auf die Idee kommt, das überall Kabel rein gehören.
Member: 400GBit
400GBit Nov 07, 2023 at 05:39:04 (UTC)
Goto Top
Die IP-Adresse auf dem WAN Port sieht wie aus? und die FritzBoxen sind ganz normale oder kommen die vom Provider?
Member: Lochkartenstanzer
Lochkartenstanzer Nov 07, 2023 updated at 06:23:45 (UTC)
Goto Top
Moin,

Ist doch praktisch. Dann kann man sich den Backbone "freimachen" indem man die anderen Fritten drosselt. face-smile

Und hat mehr Speicher zur Verfügung, weil man die shares der Nachbarn als Ablage für Daten nutzen kann.

Notfalls kann man dann durch die "rictigen" Daten auch unliebsame Nachbarn wegsperren lassen. face-smile

Fazit: Anbieter wechseln!

lks

Ps: Falls man beim Anbieter bleiben will: statt der Fritte lieber eine pfsense nehmen.
Member: Looser27
Looser27 Nov 07, 2023 updated at 07:08:43 (UTC)
Goto Top
Ps: Falls man beim Anbieter bleiben will: statt der Fritte lieber eine pfsense nehmen.

Für den ambitionierten Laien der beste Weg. Nur leider nix für Oma Erna, die ihren Enkeln nur schnelles WLAN zur Verfügung stellen will, damit die sie öfter besuchen kommen.....
Member: Lochkartenstanzer
Lochkartenstanzer Nov 07, 2023 at 07:43:08 (UTC)
Goto Top
Zitat von @Looser27:

Ps: Falls man beim Anbieter bleiben will: statt der Fritte lieber eine pfsense nehmen.

Für den ambitionierten Laien der beste Weg. Nur leider nix für Oma Erna, die ihren Enkeln nur schnelles WLAN zur Verfügung stellen will, damit die sie öfter besuchen kommen.....

Die Fritte kann man immer noch hinter die passende hängen. face-smile
Member: Spirit-of-Eli
Spirit-of-Eli Nov 07, 2023 at 07:45:10 (UTC)
Goto Top
Wenn die Fritte richtig konfiguriert ist, dann kann die auch an dem Anschluss betrieben werden.
Member: Lochkartenstanzer
Lochkartenstanzer Nov 07, 2023 at 07:48:29 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Wenn die Fritte richtig konfiguriert ist, dann kann die auch an dem Anschluss betrieben werden.

Natürlich.

Aber bei der Dritte besteht gißere die Gefahr die falsch zu konfigurieren, weil sich an die jeder traut.

Mein Vorschlag zielt darauf ab, eine pfsense hinzustellen, die kein Laie mehr anfasst und dahinter eine Fritte, die der User nach Lust und Laune verkonfigurieren kann und darf, sofern er das will.

lks
Member: Looser27
Looser27 Nov 07, 2023 at 07:49:56 (UTC)
Goto Top
Wenn die Fritte richtig konfiguriert ist, dann kann die auch an dem Anschluss betrieben werden.

Daran zweifel ich auch nicht....nur wenn das nicht Out-of-the-box gegeben ist, haben wir bei einigen Providern dann offene Netze, wie in dem Beispiel von oben.

Es kann doch nicht so schwer sein, mit den Zugangsdaten einen Startcode mitzugeben, der die Kiste einmalig sauber grundkonfiguriert (hier kann man von 1&1 halten was man will, aber das bekommen die hin).

Gruß

Looser
Member: Spirit-of-Eli
Spirit-of-Eli Nov 07, 2023 at 08:00:15 (UTC)
Goto Top
Zitat von @Looser27:

Wenn die Fritte richtig konfiguriert ist, dann kann die auch an dem Anschluss betrieben werden.

Daran zweifel ich auch nicht....nur wenn das nicht Out-of-the-box gegeben ist, haben wir bei einigen Providern dann offene Netze, wie in dem Beispiel von oben.

Es kann doch nicht so schwer sein, mit den Zugangsdaten einen Startcode mitzugeben, der die Kiste einmalig sauber grundkonfiguriert (hier kann man von 1&1 halten was man will, aber das bekommen die hin).

Gruß

Looser

Viele kleine Provider haben die Infrastruktur für deployment per Start-Code gar nicht.
Bei meinem alten AG wurden die Fritten initial mit einem vorgefertigtem Image herausgegeben.

Um Sicherheit ist es bei denen meist nicht so weit her.
Member: Molly11
Molly11 Nov 07, 2023 at 10:41:10 (UTC)
Goto Top
Moin,

wie SeaStorm schon geschrieben hat, ist die Sichtbarkeit über die Ports gegeben worden.

Ist gleich der Nachfrage, wenn Dein Rechner am Netz fragt, ob er für andere im Netz sichtbar sein soll.

Tot ziens.

Molly
Member: Spirit-of-Eli
Spirit-of-Eli Nov 07, 2023 at 12:41:05 (UTC)
Goto Top
Zitat von @Molly11:

Moin,

wie SeaStorm schon geschrieben hat, ist die Sichtbarkeit über die Ports gegeben worden.

Ist gleich der Nachfrage, wenn Dein Rechner am Netz fragt, ob er für andere im Netz sichtbar sein soll.

Tot ziens.

Molly

So wie vom TO beschrieben sollen die Geräte niemals auftauchen.
Member: C.R.S.
C.R.S. Nov 07, 2023 at 12:43:30 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Oft werden hier auch Mikrotik Geräte eingesetzt. Was ich begrüße, aber diese werden halt auch ohne Firewall betrieben.

Auf denen können sie doch auch einfach Port-Isolation konfigurieren, da brauchen sie keine "Firewall" im eigentlichen Sinne.
Member: Spirit-of-Eli
Spirit-of-Eli Nov 07, 2023 at 12:49:45 (UTC)
Goto Top
Zitat von @c.r.s.:

Zitat von @Spirit-of-Eli:

Oft werden hier auch Mikrotik Geräte eingesetzt. Was ich begrüße, aber diese werden halt auch ohne Firewall betrieben.

Auf denen können sie doch auch einfach Port-Isolation konfigurieren, da brauchen sie keine "Firewall" im eigentlichen Sinne.

Ja, das wäre auch eine Option.
Member: Molly11
Molly11 Nov 07, 2023 at 13:28:37 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Zitat von @Molly11:

Moin,

wie SeaStorm schon geschrieben hat, ist die Sichtbarkeit über die Ports gegeben worden.

Ist gleich der Nachfrage, wenn Dein Rechner am Netz fragt, ob er für andere im Netz sichtbar sein soll.

Tot ziens.

Molly

So wie vom TO beschrieben sollen die Geräte niemals auftauchen.

Danke, schon klar. Nur die Frage des TO ist vielleicht beantwortet.

"Wie kann sowas passieren? Klar sind alle Anschlüsse irgendwo am Backbone zusammengeschaltet, aber die einzelnen Teilnehmer dürften sich doch niemals gegenseitig im LAN anpingen dürfen. "
Member: NordicMike
NordicMike Nov 07, 2023 at 14:09:54 (UTC)
Goto Top
Der WAN ist Standardmäßig als LAN-Port eingestellt. Das erklärt nicht, wieso er in der Netzwerkübersicht 5(!) Fritzboxen und weitere fremde Geräte sehen konnte.

Das würde es schon erklären. Du hattest also auf der Provider Seite ein normales LAN untereinander. Geräte im LAN (in der gleichen Broadcast Domain) sehen sich untereinander. Es fehlt das NAT, das die eigentliche Trennung zwischen den Netzen macht. NAT ist normal nur von LAN Richtung WAN gegeben, ohne dem NAT hast du also ein normales direktes "Routing" gehabt.