Private IP wird öffentlich gerouted
Wie kann es sein, dass eine eigentlich private IP (10.196.0.1) öffentlich gerouted wird? Jedenfalls kann ich diese aus dem Telefonica-Netz erreichen.
Oder andersherum gefragt: Ich hatte bisher als (zusätzlichen) Schutz immer auf die Source IP abgestellt und dabei eben das 10er-Netz includiert. Wenn dies nun aber doch öffentlich geroutet wird wäre das ja sinnlos...
Bekommt Ihr Anfragen mit IP-Adressen aus dem Bereich der Privaten Netze? Wenn ja, wie geht Ihr damit um?
Oder andersherum gefragt: Ich hatte bisher als (zusätzlichen) Schutz immer auf die Source IP abgestellt und dabei eben das 10er-Netz includiert. Wenn dies nun aber doch öffentlich geroutet wird wäre das ja sinnlos...
Bekommt Ihr Anfragen mit IP-Adressen aus dem Bereich der Privaten Netze? Wenn ja, wie geht Ihr damit um?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300800
Url: https://administrator.de/forum/private-ip-wird-oeffentlich-gerouted-300800.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
9 Kommentare
Neuester Kommentar
Moin,
viele Provider machen aufgrund der IPv4 Knappheit ein zentrales NAT und verteilen private IPs an ihre Kunden (Hauptsächlich im Mobilfunkbereich).
Meinst du das?
VG
Val
viele Provider machen aufgrund der IPv4 Knappheit ein zentrales NAT und verteilen private IPs an ihre Kunden (Hauptsächlich im Mobilfunkbereich).
Meinst du das?
VG
Val
Alles andere wäre auch Quatsch, denn die RFC 1918 IP Netze werden de facto NICHT geroutet. Jeder Provider hat auf seinen Peering Routern ein Filter dafür laufen !
https://de.wikipedia.org/wiki/Private_IP-Adresse
https://de.wikipedia.org/wiki/Private_IP-Adresse
Moin,
vermutlich macht dein Provider Provider grade-NAt und vergibt daher nur RFC-1918-Adressen an seine Kunden. Dann kommt sowas automatisch.
Du kannst dich inzwischne bei vielen providern nicht mehr darauf verlassen, daß die keine RFC1918-Adressen für Kunden verwenden.
Ansonsten werden normalerweise RFC1918-Adressen nicht zwischen den Providern geroutet. das einzige was ab und zu mal passiert ist, wenn ein techniker mal wieder geschlampt hat und die intern verwendeten RFC-1918-Adressen zu Kunden durchrutschen (sofern nicht der Provider diese eh schon für Kunden nutzt, z.B. bei DS-Lite).
lks
Nachtrag: Ich schließe RFC-1918-Adressen normalerweise immer im internen Netz kurz, d.h. ich richte eine eine /dev/null-Route für 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 und 169.254.0.0/16 ein. Und dann werden für einzelne Subnetze Ausnahmen gemacht, wenn diese nach außen sollen.
Es gibt zwar auch entsprechenden Firewall-regeln, aber der Kurzshluß verhindert, daß die Pakete Ihren Weg nach außen finden, auch ewnn man mal die Firewall verhunzt.
vermutlich macht dein Provider Provider grade-NAt und vergibt daher nur RFC-1918-Adressen an seine Kunden. Dann kommt sowas automatisch.
Du kannst dich inzwischne bei vielen providern nicht mehr darauf verlassen, daß die keine RFC1918-Adressen für Kunden verwenden.
Ansonsten werden normalerweise RFC1918-Adressen nicht zwischen den Providern geroutet. das einzige was ab und zu mal passiert ist, wenn ein techniker mal wieder geschlampt hat und die intern verwendeten RFC-1918-Adressen zu Kunden durchrutschen (sofern nicht der Provider diese eh schon für Kunden nutzt, z.B. bei DS-Lite).
lks
Nachtrag: Ich schließe RFC-1918-Adressen normalerweise immer im internen Netz kurz, d.h. ich richte eine eine /dev/null-Route für 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 und 169.254.0.0/16 ein. Und dann werden für einzelne Subnetze Ausnahmen gemacht, wenn diese nach außen sollen.
Es gibt zwar auch entsprechenden Firewall-regeln, aber der Kurzshluß verhindert, daß die Pakete Ihren Weg nach außen finden, auch ewnn man mal die Firewall verhunzt.
Tatsache - auch wenn der TO es bisher erfolgreich hat abwenden können einen Traceroute zu zeigen, aus dem Telefónica-Festnetz wird das Netz tatsächlich geroutet:
Getestet von einem o2 Vollanschluss ohne Carrier-NAT mit eigener öffentlicher IPv4-Adresse.
Das scheint nur ein recht kleines Subnetz (maximal /29) zu betreffen. Wofür das gebraucht wird weiß vermutlich nur die TDE selber.
Allerdings lässt der PTR eines vorgelagerten Routers beim Traceroute zur .3 durchaus Raum für Spekulation:
Wenn die Telefónica unter einem RTAP versteht was ich verstehe dann könnte das entweder ein Diagnosenetz sein oder eventuell (gaaaaanz weit aus dem Fenster gelehnt) mit den "Legal Interception"-Systemen zu tun haben.
Von Freifunk wird die IP aber mit Sicherheit nicht betrieben, die haben halt nur rein zufällig unter den selben IP-Adressen DNS-Server laufen. Dafür sind die RFC1918-Netze ja auch eigentlich da.
NACHTRAG:
WIGB könnte als Abkürzung auch für "Wireless Infrastructure Group" dienen, womit diese Stelle auch einen Punkt zwischen dem NAT-Netzwerk und dem Rest des TDE-Netzes darstellen könnte.
>tracert 10.196.0.1
Routenverfolgung zu 10.196.0.1 über maximal 30 Hops
1 25 ms 5 ms 7 ms fritz.box [192.168.178.1]
2 24 ms 63 ms 22 ms 62.52.200.186
3 36 ms 26 ms 20 ms ae18-0.02.xd.0001-01.dus.de.net.telefonica.de [62.53.9.58]
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 30 ms 32 ms 30 ms ae8-0.0004.dbrx.01.ham.de.net.telefonica.de [62.53.14.98]
7 37 ms 44 ms 30 ms te6-5.10.xmws.99.ham.de.net.telefonica.de [62.53.3.106]
8 67 ms 64 ms 69 ms 10.196.0.1
Das scheint nur ein recht kleines Subnetz (maximal /29) zu betreffen. Wofür das gebraucht wird weiß vermutlich nur die TDE selber.
Allerdings lässt der PTR eines vorgelagerten Routers beim Traceroute zur .3 durchaus Raum für Spekulation:
>tracert 10.196.0.3
Routenverfolgung zu 10.196.0.3 über maximal 30 Hops
1 19 ms 15 ms 2 ms fritz.box [192.168.178.1]
2 29 ms 24 ms 21 ms 62.52.200.186
3 23 ms 21 ms 22 ms ae18-0.01.xd.0001-01.dus.de.net.telefonica.de [62.53.9.56]
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 39 ms 31 ms 36 ms ae9-0.0003.dbrx.01.ham.de.net.telefonica.de [62.53.14.96]
7 35 ms 31 ms 31 ms te6-4.10.xmws.99.ham.de.net.telefonica.de [62.53.3.104]
8 43 ms 40 ms 57 ms rtap-wibg-de02-fastet-0-1.nw.mediaways.net [195.71.250.234]
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
Wenn die Telefónica unter einem RTAP versteht was ich verstehe dann könnte das entweder ein Diagnosenetz sein oder eventuell (gaaaaanz weit aus dem Fenster gelehnt) mit den "Legal Interception"-Systemen zu tun haben.
Von Freifunk wird die IP aber mit Sicherheit nicht betrieben, die haben halt nur rein zufällig unter den selben IP-Adressen DNS-Server laufen. Dafür sind die RFC1918-Netze ja auch eigentlich da.
NACHTRAG:
WIGB könnte als Abkürzung auch für "Wireless Infrastructure Group" dienen, womit diese Stelle auch einen Punkt zwischen dem NAT-Netzwerk und dem Rest des TDE-Netzes darstellen könnte.
Zitat von @whitbread:
Mir fällt partout nicht ein, wie man noch herausbekommen könnte, ob es sich nicht doch um den gleichen Server handelt. Ich kann diesen auch übers Freifunk-Netz erreichen. Von dort aus wird aber über VPN weiter gerouted.
Mir fällt partout nicht ein, wie man noch herausbekommen könnte, ob es sich nicht doch um den gleichen Server handelt. Ich kann diesen auch übers Freifunk-Netz erreichen. Von dort aus wird aber über VPN weiter gerouted.
Passenden nmap-Scan drauf loslassen, der nicht nur die Dienste, sondern auch die signaturen des TCP/IP_Stcaks prüft. Könnte allerdings auch als "unfreundlicher" Akt gewertet werden, wenn das tatsälich ein TAP ist.
lks