whitbread
Goto Top

Private IP wird öffentlich gerouted

Wie kann es sein, dass eine eigentlich private IP (10.196.0.1) öffentlich gerouted wird? Jedenfalls kann ich diese aus dem Telefonica-Netz erreichen.

Oder andersherum gefragt: Ich hatte bisher als (zusätzlichen) Schutz immer auf die Source IP abgestellt und dabei eben das 10er-Netz includiert. Wenn dies nun aber doch öffentlich geroutet wird wäre das ja sinnlos...
Bekommt Ihr Anfragen mit IP-Adressen aus dem Bereich der Privaten Netze? Wenn ja, wie geht Ihr damit um?

Content-ID: 300800

Url: https://administrator.de/forum/private-ip-wird-oeffentlich-gerouted-300800.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

119944
119944 03.04.2016 um 09:08:00 Uhr
Goto Top
Moin,

viele Provider machen aufgrund der IPv4 Knappheit ein zentrales NAT und verteilen private IPs an ihre Kunden (Hauptsächlich im Mobilfunkbereich).

Meinst du das?

VG
Val
aqui
aqui 03.04.2016 um 09:41:15 Uhr
Goto Top
Alles andere wäre auch Quatsch, denn die RFC 1918 IP Netze werden de facto NICHT geroutet. Jeder Provider hat auf seinen Peering Routern ein Filter dafür laufen !
https://de.wikipedia.org/wiki/Private_IP-Adresse
Lochkartenstanzer
Lochkartenstanzer 03.04.2016 aktualisiert um 10:54:49 Uhr
Goto Top
Moin,

vermutlich macht dein Provider Provider grade-NAt und vergibt daher nur RFC-1918-Adressen an seine Kunden. Dann kommt sowas automatisch.

Du kannst dich inzwischne bei vielen providern nicht mehr darauf verlassen, daß die keine RFC1918-Adressen für Kunden verwenden.

Ansonsten werden normalerweise RFC1918-Adressen nicht zwischen den Providern geroutet. das einzige was ab und zu mal passiert ist, wenn ein techniker mal wieder geschlampt hat und die intern verwendeten RFC-1918-Adressen zu Kunden durchrutschen (sofern nicht der Provider diese eh schon für Kunden nutzt, z.B. bei DS-Lite).

lks

Nachtrag: Ich schließe RFC-1918-Adressen normalerweise immer im internen Netz kurz, d.h. ich richte eine eine /dev/null-Route für 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 und 169.254.0.0/16 ein. Und dann werden für einzelne Subnetze Ausnahmen gemacht, wenn diese nach außen sollen.

Es gibt zwar auch entsprechenden Firewall-regeln, aber der Kurzshluß verhindert, daß die Pakete Ihren Weg nach außen finden, auch ewnn man mal die Firewall verhunzt.
whitbread
whitbread 03.04.2016 aktualisiert um 16:52:37 Uhr
Goto Top
Also es handelt sich nicht um Carrier-grade NAT.

In diesem Falle wird de facto gerouted. Probiert es mal aus!

Interessant ist, dass bspw. die 10.196.0.2 gefiltert wird; gerouted wird sie aber. Hinter beiden Adressen verbirgt sich u.a. ein DNS-Server eines Freifunkprojektes.
LordGurke
LordGurke 04.04.2016 aktualisiert um 01:16:42 Uhr
Goto Top
Tatsache - auch wenn der TO es bisher erfolgreich hat abwenden können einen Traceroute zu zeigen, aus dem Telefónica-Festnetz wird das Netz tatsächlich geroutet:

>tracert 10.196.0.1

Routenverfolgung zu 10.196.0.1 über maximal 30 Hops

  1    25 ms     5 ms     7 ms  fritz.box [192.168.178.1]
  2    24 ms    63 ms    22 ms  62.52.200.186
  3    36 ms    26 ms    20 ms  ae18-0.02.xd.0001-01.dus.de.net.telefonica.de [62.53.9.58]
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6    30 ms    32 ms    30 ms  ae8-0.0004.dbrx.01.ham.de.net.telefonica.de [62.53.14.98]
  7    37 ms    44 ms    30 ms  te6-5.10.xmws.99.ham.de.net.telefonica.de [62.53.3.106]
  8    67 ms    64 ms    69 ms  10.196.0.1
Getestet von einem o2 Vollanschluss ohne Carrier-NAT mit eigener öffentlicher IPv4-Adresse.


Das scheint nur ein recht kleines Subnetz (maximal /29) zu betreffen. Wofür das gebraucht wird weiß vermutlich nur die TDE selber.
Allerdings lässt der PTR eines vorgelagerten Routers beim Traceroute zur .3 durchaus Raum für Spekulation:

>tracert 10.196.0.3

Routenverfolgung zu 10.196.0.3 über maximal 30 Hops

  1    19 ms    15 ms     2 ms  fritz.box [192.168.178.1]
  2    29 ms    24 ms    21 ms  62.52.200.186
  3    23 ms    21 ms    22 ms  ae18-0.01.xd.0001-01.dus.de.net.telefonica.de [62.53.9.56]
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6    39 ms    31 ms    36 ms  ae9-0.0003.dbrx.01.ham.de.net.telefonica.de [62.53.14.96]
  7    35 ms    31 ms    31 ms  te6-4.10.xmws.99.ham.de.net.telefonica.de [62.53.3.104]
  8    43 ms    40 ms    57 ms  rtap-wibg-de02-fastet-0-1.nw.mediaways.net [195.71.250.234]
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.

Wenn die Telefónica unter einem RTAP versteht was ich verstehe dann könnte das entweder ein Diagnosenetz sein oder eventuell (gaaaaanz weit aus dem Fenster gelehnt) mit den "Legal Interception"-Systemen zu tun haben.
Von Freifunk wird die IP aber mit Sicherheit nicht betrieben, die haben halt nur rein zufällig unter den selben IP-Adressen DNS-Server laufen. Dafür sind die RFC1918-Netze ja auch eigentlich da.


NACHTRAG:
WIGB könnte als Abkürzung auch für "Wireless Infrastructure Group" dienen, womit diese Stelle auch einen Punkt zwischen dem NAT-Netzwerk und dem Rest des TDE-Netzes darstellen könnte.
whitbread
whitbread 04.04.2016 um 10:25:22 Uhr
Goto Top
Ouups - auf den Trace hätte ich auch kommen können. Sieht bei mir tatsächlich genau so aus.

Interessant ist, dass dort tatsächlich ein DNS-Server läuft:
C:\>nslookup www.administrator.de 10.196.0.1
Server:  UnKnown
Address:  10.196.0.1

Nicht autorisierende Antwort:
Name:    www.administrator.de
Address:  82.149.225.18

Mir fällt partout nicht ein, wie man noch herausbekommen könnte, ob es sich nicht doch um den gleichen Server handelt. Ich kann diesen auch übers Freifunk-Netz erreichen. Von dort aus wird aber über VPN weiter gerouted.
Lochkartenstanzer
Lochkartenstanzer 04.04.2016 um 10:29:15 Uhr
Goto Top
Zitat von @whitbread:

Mir fällt partout nicht ein, wie man noch herausbekommen könnte, ob es sich nicht doch um den gleichen Server handelt. Ich kann diesen auch übers Freifunk-Netz erreichen. Von dort aus wird aber über VPN weiter gerouted.


Passenden nmap-Scan drauf loslassen, der nicht nur die Dienste, sondern auch die signaturen des TCP/IP_Stcaks prüft. Könnte allerdings auch als "unfreundlicher" Akt gewertet werden, wenn das tatsälich ein TAP ist. face-smile

lks
LordGurke
LordGurke 04.04.2016 um 21:04:28 Uhr
Goto Top
Frag ihn doch mal nach "whoami.akamai.net", dann siehst du über welche öffentliche IP er die Records erfragt resp. an welchen Resolver das geforwarded wird.
Mir antwortete der Server gestern komischerweise nicht auf meine Fragen...
aqui
aqui 05.04.2016 aktualisiert um 10:08:16 Uhr
Goto Top
Normal ist das auf alle Fälle nicht.
Da haben sie wohl mal den Azubi an den DNS gelassen oder sowas... face-wink
Bei Telefonica ja nicht unüblich...