9
Private IP wird öffentlich gerouted
Wie kann es sein, dass eine eigentlich private IP (10.196.0.1) öffentlich gerouted wird? Jedenfalls kann ich diese aus dem Telefonica-Netz erreichen.
Oder andersherum gefragt: Ich hatte bisher als (zusätzlichen) Schutz immer auf die Source IP abgestellt und dabei eben das 10er-Netz includiert. Wenn dies nun aber doch öffentlich geroutet wird wäre das ja sinnlos...
Bekommt Ihr Anfragen mit IP-Adressen aus dem Bereich der Privaten Netze? Wenn ja, wie geht Ihr damit um?
Oder andersherum gefragt: Ich hatte bisher als (zusätzlichen) Schutz immer auf die Source IP abgestellt und dabei eben das 10er-Netz includiert. Wenn dies nun aber doch öffentlich geroutet wird wäre das ja sinnlos...
Bekommt Ihr Anfragen mit IP-Adressen aus dem Bereich der Privaten Netze? Wenn ja, wie geht Ihr damit um?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300800
Url: https://administrator.de/contentid/300800
Printed on: April 24, 2024 at 09:04 o'clock
9 Comments
Latest comment
Moin,
viele Provider machen aufgrund der IPv4 Knappheit ein zentrales NAT und verteilen private IPs an ihre Kunden (Hauptsächlich im Mobilfunkbereich).
Meinst du das?
VG
Val
viele Provider machen aufgrund der IPv4 Knappheit ein zentrales NAT und verteilen private IPs an ihre Kunden (Hauptsächlich im Mobilfunkbereich).
Meinst du das?
VG
Val
Alles andere wäre auch Quatsch, denn die RFC 1918 IP Netze werden de facto NICHT geroutet. Jeder Provider hat auf seinen Peering Routern ein Filter dafür laufen !
https://de.wikipedia.org/wiki/Private_IP-Adresse
https://de.wikipedia.org/wiki/Private_IP-Adresse
Moin,
vermutlich macht dein Provider Provider grade-NAt und vergibt daher nur RFC-1918-Adressen an seine Kunden. Dann kommt sowas automatisch.
Du kannst dich inzwischne bei vielen providern nicht mehr darauf verlassen, daß die keine RFC1918-Adressen für Kunden verwenden.
Ansonsten werden normalerweise RFC1918-Adressen nicht zwischen den Providern geroutet. das einzige was ab und zu mal passiert ist, wenn ein techniker mal wieder geschlampt hat und die intern verwendeten RFC-1918-Adressen zu Kunden durchrutschen (sofern nicht der Provider diese eh schon für Kunden nutzt, z.B. bei DS-Lite).
lks
Nachtrag: Ich schließe RFC-1918-Adressen normalerweise immer im internen Netz kurz, d.h. ich richte eine eine /dev/null-Route für 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 und 169.254.0.0/16 ein. Und dann werden für einzelne Subnetze Ausnahmen gemacht, wenn diese nach außen sollen.
Es gibt zwar auch entsprechenden Firewall-regeln, aber der Kurzshluß verhindert, daß die Pakete Ihren Weg nach außen finden, auch ewnn man mal die Firewall verhunzt.
vermutlich macht dein Provider Provider grade-NAt und vergibt daher nur RFC-1918-Adressen an seine Kunden. Dann kommt sowas automatisch.
Du kannst dich inzwischne bei vielen providern nicht mehr darauf verlassen, daß die keine RFC1918-Adressen für Kunden verwenden.
Ansonsten werden normalerweise RFC1918-Adressen nicht zwischen den Providern geroutet. das einzige was ab und zu mal passiert ist, wenn ein techniker mal wieder geschlampt hat und die intern verwendeten RFC-1918-Adressen zu Kunden durchrutschen (sofern nicht der Provider diese eh schon für Kunden nutzt, z.B. bei DS-Lite).
lks
Nachtrag: Ich schließe RFC-1918-Adressen normalerweise immer im internen Netz kurz, d.h. ich richte eine eine /dev/null-Route für 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 und 169.254.0.0/16 ein. Und dann werden für einzelne Subnetze Ausnahmen gemacht, wenn diese nach außen sollen.
Es gibt zwar auch entsprechenden Firewall-regeln, aber der Kurzshluß verhindert, daß die Pakete Ihren Weg nach außen finden, auch ewnn man mal die Firewall verhunzt.
Also es handelt sich nicht um Carrier-grade NAT.
In diesem Falle wird de facto gerouted. Probiert es mal aus!
Interessant ist, dass bspw. die 10.196.0.2 gefiltert wird; gerouted wird sie aber. Hinter beiden Adressen verbirgt sich u.a. ein DNS-Server eines Freifunkprojektes.
In diesem Falle wird de facto gerouted. Probiert es mal aus!
Interessant ist, dass bspw. die 10.196.0.2 gefiltert wird; gerouted wird sie aber. Hinter beiden Adressen verbirgt sich u.a. ein DNS-Server eines Freifunkprojektes.
Tatsache - auch wenn der TO es bisher erfolgreich hat abwenden können einen Traceroute zu zeigen, aus dem Telefónica-Festnetz wird das Netz tatsächlich geroutet:
Getestet von einem o2 Vollanschluss ohne Carrier-NAT mit eigener öffentlicher IPv4-Adresse.
Das scheint nur ein recht kleines Subnetz (maximal /29) zu betreffen. Wofür das gebraucht wird weiß vermutlich nur die TDE selber.
Allerdings lässt der PTR eines vorgelagerten Routers beim Traceroute zur .3 durchaus Raum für Spekulation:
Wenn die Telefónica unter einem RTAP versteht was ich verstehe dann könnte das entweder ein Diagnosenetz sein oder eventuell (gaaaaanz weit aus dem Fenster gelehnt) mit den "Legal Interception"-Systemen zu tun haben.
Von Freifunk wird die IP aber mit Sicherheit nicht betrieben, die haben halt nur rein zufällig unter den selben IP-Adressen DNS-Server laufen. Dafür sind die RFC1918-Netze ja auch eigentlich da.
NACHTRAG:
WIGB könnte als Abkürzung auch für "Wireless Infrastructure Group" dienen, womit diese Stelle auch einen Punkt zwischen dem NAT-Netzwerk und dem Rest des TDE-Netzes darstellen könnte.
>tracert 10.196.0.1
Routenverfolgung zu 10.196.0.1 über maximal 30 Hops
1 25 ms 5 ms 7 ms fritz.box [192.168.178.1]
2 24 ms 63 ms 22 ms 62.52.200.186
3 36 ms 26 ms 20 ms ae18-0.02.xd.0001-01.dus.de.net.telefonica.de [62.53.9.58]
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 30 ms 32 ms 30 ms ae8-0.0004.dbrx.01.ham.de.net.telefonica.de [62.53.14.98]
7 37 ms 44 ms 30 ms te6-5.10.xmws.99.ham.de.net.telefonica.de [62.53.3.106]
8 67 ms 64 ms 69 ms 10.196.0.1Das scheint nur ein recht kleines Subnetz (maximal /29) zu betreffen. Wofür das gebraucht wird weiß vermutlich nur die TDE selber.
Allerdings lässt der PTR eines vorgelagerten Routers beim Traceroute zur .3 durchaus Raum für Spekulation:
>tracert 10.196.0.3
Routenverfolgung zu 10.196.0.3 über maximal 30 Hops
1 19 ms 15 ms 2 ms fritz.box [192.168.178.1]
2 29 ms 24 ms 21 ms 62.52.200.186
3 23 ms 21 ms 22 ms ae18-0.01.xd.0001-01.dus.de.net.telefonica.de [62.53.9.56]
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 39 ms 31 ms 36 ms ae9-0.0003.dbrx.01.ham.de.net.telefonica.de [62.53.14.96]
7 35 ms 31 ms 31 ms te6-4.10.xmws.99.ham.de.net.telefonica.de [62.53.3.104]
8 43 ms 40 ms 57 ms rtap-wibg-de02-fastet-0-1.nw.mediaways.net [195.71.250.234]
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.Wenn die Telefónica unter einem RTAP versteht was ich verstehe dann könnte das entweder ein Diagnosenetz sein oder eventuell (gaaaaanz weit aus dem Fenster gelehnt) mit den "Legal Interception"-Systemen zu tun haben.
Von Freifunk wird die IP aber mit Sicherheit nicht betrieben, die haben halt nur rein zufällig unter den selben IP-Adressen DNS-Server laufen. Dafür sind die RFC1918-Netze ja auch eigentlich da.
NACHTRAG:
WIGB könnte als Abkürzung auch für "Wireless Infrastructure Group" dienen, womit diese Stelle auch einen Punkt zwischen dem NAT-Netzwerk und dem Rest des TDE-Netzes darstellen könnte.
1
Ouups - auf den Trace hätte ich auch kommen können. Sieht bei mir tatsächlich genau so aus.
Interessant ist, dass dort tatsächlich ein DNS-Server läuft:
Mir fällt partout nicht ein, wie man noch herausbekommen könnte, ob es sich nicht doch um den gleichen Server handelt. Ich kann diesen auch übers Freifunk-Netz erreichen. Von dort aus wird aber über VPN weiter gerouted.
Interessant ist, dass dort tatsächlich ein DNS-Server läuft:
C:\>nslookup www.administrator.de 10.196.0.1
Server: UnKnown
Address: 10.196.0.1
Nicht autorisierende Antwort:
Name: www.administrator.de
Address: 82.149.225.18Mir fällt partout nicht ein, wie man noch herausbekommen könnte, ob es sich nicht doch um den gleichen Server handelt. Ich kann diesen auch übers Freifunk-Netz erreichen. Von dort aus wird aber über VPN weiter gerouted.
Zitat von @whitbread:
Mir fällt partout nicht ein, wie man noch herausbekommen könnte, ob es sich nicht doch um den gleichen Server handelt. Ich kann diesen auch übers Freifunk-Netz erreichen. Von dort aus wird aber über VPN weiter gerouted.
Mir fällt partout nicht ein, wie man noch herausbekommen könnte, ob es sich nicht doch um den gleichen Server handelt. Ich kann diesen auch übers Freifunk-Netz erreichen. Von dort aus wird aber über VPN weiter gerouted.
Passenden nmap-Scan drauf loslassen, der nicht nur die Dienste, sondern auch die signaturen des TCP/IP_Stcaks prüft. Könnte allerdings auch als "unfreundlicher" Akt gewertet werden, wenn das tatsälich ein TAP ist.
lks
Frag ihn doch mal nach "whoami.akamai.net", dann siehst du über welche öffentliche IP er die Records erfragt resp. an welchen Resolver das geforwarded wird.
Mir antwortete der Server gestern komischerweise nicht auf meine Fragen...
Mir antwortete der Server gestern komischerweise nicht auf meine Fragen...
Normal ist das auf alle Fälle nicht.
Da haben sie wohl mal den Azubi an den DNS gelassen oder sowas...
Bei Telefonica ja nicht unüblich...
Da haben sie wohl mal den Azubi an den DNS gelassen oder sowas...
Bei Telefonica ja nicht unüblich...
