[PROBLEM] ARP overwritten: ALICE routet fremde private IPs über WAN

Das Webinterface sieht beim IX67 wie folgt aus (default-Einstellung: "per DHCP beziehen" - ich wüsste ja auch gar nicht, welche IP-Daten ich manuell eingeben müsste). Eingestellt ist im Untermenü PPPoE und dann eben die Alice Zugangsdaten (ich habe leider keinen aktuellen Screenshot, da das Netzwerk nicht hier bei mir ist).
Bei meinem eigenen Netzwerk/Internetanschluss (QSC) funktioniert das soweit einwandfrei - dort ist nur der DHCP Server des vorgeschalteten Modems (Router im bridged Modus) deaktiviert.

Der IX67 bezieht dann automatisch die WAN IP, Netzwerkmaske, DNS Server Adresse und die Gateway Adresse, hier also z. B.

DNS:
213.191.92.87
213.191.74.19

Gateway:
213.191.76.88


Irgendwann werden dann die DNS und Gateway-IP Adressen auf 192.168.178.1 umgeschrieben.

Ach so, der Internetzugang ibefindet sich in Augsburg Innenstadt.
 

Anhänge

  • Capture_12212005_165303.png
    Capture_12212005_165303.png
    67.3 KB · Aufrufe: 32
  • Capture_12212005_165804.png
    Capture_12212005_165804.png
    130.8 KB · Aufrufe: 38
frank_m24 schrieb:
Warum sucht der IX67 überhaupt nach einem DHCP Server auf dem WAN Interface und wertet dessen Informationen aus?
Das habe ich mich auch schon gefragt..


frank_m24 schrieb:
...PPPOE, und da wird meines Wissens die IP Aushandlung über LCP gemacht

korrekt, leider kenne ich Alice nicht
@der Gersthofer: Musstest Du einen Benutzernamen und ein Kennwort bei Alice eingeben?

Ich kenne die oben beschriebenen Phänomen nur aus Kabenetzen, da dort i.d.R. kein PPOE gemacht wird.

btw: Alice wir _nicht_ private Netze "routen", wie denn auch? Die IP-Adressen sind dort dutzendfach vergeben, was man Alice vorwerfen kann, ist die Tatsache, das dort DHCP-Requests und Broadcasts von Kunden durchgelassen werden. Intertex muß sich die Frage gefallenlassen, warum sie bei aktiviertem PPOE noch einen DHCP-Client auf der WAN-Seite laufen lassen.

@der_gersthofer: kannst Du mal "per dhcp" beziehen ausschalten lassen? Für ppoe ist das nicht erforderlich
 
andreas schrieb:
Das habe ich mich auch schon gefragt..

Er macht dies, weil standardmäßig (Werkseinstellung) "per DHCP beziehen" aktiviert ist. Ich hatte jetzt gedacht, dass dies dafür sorgt, dass automatisch die WAN IP, Netzwerkmaske, DNS Server IPs, Gateway IP bezogen wird.

andreas schrieb:
Musstest Du einen Benutzernamen und ein Kennwort bei Alice eingeben?

Ja, vgl. Screenshot oben. Dort ist unter PPPoverEthernet als Benutzername eben der Alice-Benutzername und das Alice Passwort eingetragen.

andreas schrieb:
kannst Du mal "per dhcp" beziehen ausschalten lassen? Für ppoe ist das nicht erforderlich

Habe ich gerade mal ausschalten lassen. WAN IP, DNS Server, Gateway IP wurden wohl auch bezogen. Momentan funktioniert dort Internet. Ich werde mal in ner Stunde noch mal nachfragen und hier berichten.
 
der_Gersthofer schrieb:
Ich hatte jetzt gedacht, dass dies dafür sorgt, dass automatisch die WAN IP, Netzwerkmaske, DNS Server IPs, Gateway IP bezogen wird.
Wenn PPOE benutzt wird, kommen diese Daten per LCP wie Frank schon geschrieben hat

der_Gersthofer schrieb:
Ja, vgl. Screenshot oben.
ok, hatte ich übersehen

der_Gersthofer schrieb:
Momentan funktioniert dort Internet.
Ich würde mal vermuten, dass das auch so bleibt.


Ich versuche mal zu erklären was m.E. passiert ist:
Ein DSL Anschluß ist zunächst mal nichts anderes wie ein "verlängerter" Port von einem Switch. Der Switch wäre in dem Fall der DSLAM (DSL-Acesss Multiplexer)
Der DSLAM kann so eingerichtet werden, das er sich wie ein normaler Switch verhält. Das wird z.B. in Firmen verwendet, wo eine bestehende Telefonverkabelung mißbaucht wird um Netzwerk in entlegene Ecken zu bekommen, die per strukturierter Verkabelung nur teuer zu erschließen wären.
Wenn jetzt ein DHCP-Server angeschlossen ist, bekommen die anderen Teilnehmer ein Lease zugeteilt. Wenn mehrere angeschlossen sind und dazu noch mit gleichen Adressen gibt es Chaos.

Im Carrier-Bereich wird die Kommunikation zwischen den Ports i.d.R. unterbunden. Der Nutzer "wählt" sich per ppoe ein und stellt eine Punkt zu Punkt Verbindung zwischen seinem Modem und dem Einwahlrechner des Providers her. Von da an beginnt dann das Routing in das Internet. Bei Alice hat man offensichtlich vergessen das abzuschalten. Wenn Du jetzt also einen Rechner an das Modem hängst und einen anderen Rechner an ein anderes, können die vermutlich miteinander kommunizieren ohne das dazu ein Router oder gar Einwahlkennungen nötig sind. Kannst Du mal ausprobieren ;-) einfach direkt an das Modem anklemmen und in die Netzwerkumgebung schauen...

Die Schuldfrage zu klären, dürfte also etwas schwierig werden ;-) Das könntest Du ja eher wissen: Mir ist keine Vorschrift bekannt, die die Verbindung zwischen den Ports zwingend untersagt. m.E. könnten auch die Nutzer dran sein, die den Betrieb des Carriers stören indem Sie dhcp-server im Netz des Carriers betreiben, wobei der Carrier da seiner Sorgfaltspflicht vielleicht nicht nachgekommen ist. Im Prinzip hat auch Thomas recht, es ist auch ein Sicherheitsproblem deines Routers, wenn er diese Pakete zulässt, aber auch da kann es Anwendungen geben, die genau das wollen und deshalb ist es Intertex nicht anzukreiden wenn sie das nicht per default verhindern......

Das Problem dürft deshalb nicht so geläufig sein, da fast alle Hersteller von Routern defaultmäßig dhcp empfang auf dem WAN abschalten, wenn ppoe verwendet wird, da fällt es dann nicht auf -und erst recht natürlich keine dhcp-server auf dem WAN zulassen.

Da müssen einige Nutzer ziemlich gebastelt haben...... Alice hat gepennt und intertex vielleicht etwas zu unsichere Defaulteinstellungen.

Blöde gelaufen....
 
Also: Die DSL-Verbindung bleibt jetzt soweit stabil.

Bei Alice wurde das Problem intern weitergereicht; mal schauen, wann die dies beheben.
 
Das Problem fiel durch einen Extremfall auf. In der Windows-Netzwerkumgebung eines DSL-Nutzers erschien plötzlich ein fremder PC mit freigegebenen Ordner, in denen Kinderpornos lagen. Und, was noch schlimmer war, dieser fremde Rechner verband sich auf dem Umweg über den PC des arglosen Nutzers mit dem Internet, um die illegale Sammlung zu erweitern.

Das kann geschehen, wenn durch eine Fehlkonfiguration beim Provider mehrere DSL-Anschlüsse zusammengeschaltet werden, wie am Switch in einem lokalen Netzwerk. Dann besteht auch ohne Internet-Einwahl eine direkte Verbindung über die beiden DSL-Leitungen. Wenn dann ein PC ohne vorgeschalteten Router direkt am ADSL-Modem hängt, stellt er über seine "LAN-Verbindung" den anderen betroffenen Kunden seine Freigaben zur Verfügung.

Ist wohl doch mehr gewesen.
Aber die Fritzboxen waren es nicht. Und die privaten Router auch nicht.
 
In dem obigen Beitrag der c´t in Heft 16/2007 auf S. 162 ff. wird unter "In Nachbars Netz" ausdrücklich vom "Auftritt Alice" gesprochen.

Beruhigt ungemein, dass "mindestens einer der Provider [Hansenet und Telefonica] sein Netz nicht vollständig im Griff" hat.

Was dabei ja dann auch interessant ist, wenn die bei evtl. Straftaten festgestellte IP gar nicht zum Verdächtigten gehört, da der Provider mehrere Nutzer durch fehlerhafte Switch-Konfiguration zu einem LAN zusammenschaltet.


Von Alice kam bis dato nichts außer ein: "wird intern weitergegeben"
 
Es gab mal das Problem das einige Kd an bestimmten DSLAM´s auf Grund eines Konfigurationsfehler ein Großes LAN bildeten. Hmmmmm meines Wissens nach sollte dies aber schon behoben sein.
 
der_Gersthofer schrieb:
In dem obigen Beitrag der c´t in Heft 16/2007 auf S. 162 ff. wird unter "In Nachbars Netz" ausdrücklich vom "Auftritt Alice" gesprochen.

Was dabei ja dann auch interessant ist, wenn die bei evtl. Straftaten festgestellte IP gar nicht zum Verdächtigten gehört, da der Provider mehrere Nutzer durch fehlerhafte Switch-Konfiguration zu einem LAN zusammenschaltet.

Von daher ist es für Strafverfolgungsbehörden jetzt nichtmehr eindeutig das die IP auch wirklich dem Nutzer zugeordnet werden kann.
Find ich ja genial das sich ein Provider sowas erlauben kann, auch wenn es unwissentlich geschehen ist.
Sollte bei so einem großen Anbieter ja eigentlich nicht vorkommen.

Gruß
kleinroland
 
Das sollte nicht vorkommen, ist jedoch bei Kabel-BW ebenso ganz normal... ich sehe hinter dem Kabelmodem alle möglichen ARPs und IP-Adressen von anderen Netzen - private Netze (gehören wohl Kunden oder Kabel-BW), 172.xxx.xxx.xxx Netze (gehören Kabel-BW) und öffentliche IP-Adressen (gehören teils Kunden von Kabel-BW, teils sind das gewöhnliche Internet-Systeme draußen).

Hierzu beispielsweise dieser Thread im Kabel-BW Forum: http://forum.kabelbw.de/viewtopic.php?t=7278

--gandalf.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.