Private 100.64 Adressen "aus dem Internet" bei Zugriff auf Büro vom Homeoffice aus, im gleichen Glasfasernetz von LEW-Highspeed

Toggle sidebar Toggle sidebar
Upgrade 3CX to v18 and get it hosted free!
E

egi

Neuer User
Mitglied seit
31 Okt 2015
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Ich habe heute festgestellt, dass bei LEW-Highspeed Anfragen "aus dem Internet" kommen die als Source eine Carrier Grade Nat Adresse haben: 100.64.x.x.

Dabei greift ein Homeoffice System auf ein Firmennetz zu. Beide befinden sich wohl hinter dem gleichen AFTR Gateway.

Meiner Meinung nach dürfte das trotzdem nicht passieren.
der Homeoffice-Anschluß hat über dyndns eine andere Adresse, eine "echte ipv4" und kommt aber bei dem Büro mit der 100er Adresse an.

Darf das so?

egi
 
Wenn ich mir dieses Bild (Quelle) so anschaue, denke ich, dass das möglich ist, wenn beide Anschlüsse beim gleichen Provider sind.
Wenn man sich die linken beiden grünen Netzwerke anschaut, mit welcher IP als der 100er sollten die schon reinkommen, wenn sie untereinander kommunizieren? Das geht ja nicht wirklich übers Internet.

1690379091854.png
 
Zuletzt bearbeitet von einem Moderator:
Ok. ja genau so ist das. das hatte ich noch nicht gefunden.
Aber ich denke halt es sollte nicht so sein, dass die Kunden im gleichen 100er Netz über die internen Addressen miteinander sprechen können.
Die sollten alle über des Nat, und dann zurück..... aber ich finde da keine rfc ob das ok ist oder nicht
 
Wieso sollten sie das nicht können? Was spricht da deiner Meinung nach dagegen?
 
  • Like
Reaktionen: Changed Later
egi schrieb:
Aber ich denke halt es sollte nicht so sein, dass die Kunden im gleichen 100er Netz über die internen Adressen miteinander sprechen können.
Zum Vergrößern anklicken....
Bei mir verbinden sich die Geräte auch direkt, wenn sie im gleichen Netz sind. Ein Gateway wird nicht benötigt.
 
naja dyndns geht halt nicht mehr. ich nutze dyndns zur firewall authentisierung. Und naja größere Router stören sich an den privaten Adressen..
aber naja es hat ja auch Vorteile.

Man kann für die kumpels in the town ports freigeben :-) und hat nen automatischen firewall

ich finde es halt irgendwie unschön.. aber carrier grade nat is halt net schön...


Hab jetzt den Techniker von LEW erreicht, und der meinte das ist und bleibt im Moment so, weil nicht anders möglich...
Also muß ich wohl durch meine Firewalls das Private Netzwerk durchlassen.
 
Ich hab bei der Deutschen Glasfaser mit CGN DynDNS mittels myfritz und dynv6 wunderbar am laufen.
Was funktioniert denn bei dir nicht? Bzw. was hast du wo wie eingerichtet?
 
Er hat gar nichts eingerichtet, das hat sein Provider gemacht. Bei ihm sind Heimnetz und Firmennetz beim gleichen Provider und zufällig auch am selben AFTR Gateway. Eigentlich kann man diese Erweiterung des lokalen Netzes als Vorteil sehen. :)
 
KunterBunter schrieb:
Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney
Zum Vergrößern anklicken....
Genau, es hat eben sowohl vor wie auch Nachteile. Mir gings eher darum, ob das so "richtig" ist, dass sich die Clients darin sehen, und warum das nicht so läuft, wie beim Gastnetz der Fritzbox wo man einschalten kann, dass sich die Gäste untereinander nicht sehen.

Man bekommt das in den UTMS schon konfiguriert, dann muß man halt das 100.64/10 freigeben...
Und Firmen mit Servern on Premise müssen sich halt ne Feste ip buchen, auch wenns des doppelte kostet.... hilft halt net..
 
egi schrieb:
Meiner Meinung nach dürfte das trotzdem nicht passieren.
Zum Vergrößern anklicken....
Die jeweiligen Router müssten ein Host-Routing zum Internet-Gateway machen.
Auf keinen Fall dürfen sich Netze, die im Provider-Netz sich im gleichen Netz befinden, gegenseitig sehen und auch zugreifen können.

Solches gab es mal bei einem Kabelprovider, der wohl auch CGN verwendet hatte, und in seinem Providernetz die Kundennetze sich sauber getrennt hatte.

Denn da man so auf Systeme eines anderen Kunden zugreifen kann (und wenn man sie nur sieht, ist ein Sicherheitsproblem.

Wenn der Provider das nicht freiwillig ändert, notfalls https://www.heise.de/investigativ/ verwenden ;-)
 
Theo Tintensich schrieb:
Auf keinen Fall dürfen sich Netze, die im Provider-Netz sich im gleichen Netz befinden, gegenseitig sehen und auch zugreifen können.
Zum Vergrößern anklicken....

Das sehe ich eigentlich auch so, aber das Sicherheitsproblem sehe ich eher nicht, denn wenn man mit ner echten Ip im Internet hängt, ist das Sicherheitsproblem mit Sicherheit größer :-)
 
Hier ist mal wieder das geballte Nichtwissen unterwegs. AFTR-Gateways gibt es bei DS-Lite, aber DS-Lite verwendet nicht 100.64.0.0/10. Die Adressen werden für die WAN-Schnittstellen mit CGNAT eingesetzt, und es ist völlig normal, dass man WAN-Adressen von außen erreichen kann. Das ist bei öffentlichen IP-Adressen genauso, und wer denkt, er braucht wegen CGNAT keine Firewall, denkt halt falsch. Aber die "NAT=sicher" Ente verbreiten ja sogar namhafte Computerzeitschriften. Es gibt Protokolle, die darauf angewiesen sind, dass verschiedene Kunden mit solchen Adressen sich gegenseitig darüber erreichen können. Wer vom Provider verlangt, dass das nicht möglich sein soll, macht das Netz kaputt. Aber man ist ja deutsch, also erstmal beschweren, denn dafür muss man sich nicht auskennen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Tuffi
Changed Later schrieb:
Es gibt Protokolle, die darauf angewiesen sind
Zum Vergrößern anklicken....
Was für Protokolle sollen denn das sein?
es ist vielleicht ein unvermeidbares übel.. aber geplant ist das sicher nicht... genauso wie CGNAT
Und ja es kann Vorteile haben, wenn beide parteien im gleichen Netz sind...
 
Changed Later schrieb:
Es gibt Protokolle, die darauf angewiesen sind, dass verschiedene Kunden mit solchen Adressen sich gegenseitig darüber erreichen können.
Zum Vergrößern anklicken....
Welche Protokolle erfordern es, dass Kunden, die einen CGN-Anschluss haben, einen anderen Kunden, der einen CGN-Anschluss beim gleichen Netzanbieter hat, sich erreichen müssen?

Wenn jemand bei sich in der Firma CGN benutzt, weil er sonst keine freien IPs gefunden hat, dann man das so sein, doch es muss technisch ausgeschlossen sein, dass ein CGN- Kunde einen anderen erreichen kann, ohne das dieser davon etwas mitbekommt.

Das ist ein schwerere Sicherheitsproblem des Netzanbieters.
 
Dann ist auch das Internet ein schweres Sicherheitsrisiko...
NAT is not a Firewall!
 
  • Like
Reaktionen: Changed Later
Wenn sich CGN Adressen gegenseitig erreichen können, ist das nur dann ein Sicherheits-Problem, wenn überschlaue Kunden mal wieder LAN und WAN vermischt haben. Was glaubt ihr, warum ich immer so darauf herumreite, nur ein Gerät am ONT zu betreiben, ohne Switch, ohne Powerline usw.? Oder eben mit VLANs zu arbeiten? Ich sag das ja nicht zum Spaß und mache immer wieder darauf aufmerksam, dass genau das passiert, was hier gerade diskutiert wird. Übrigens: Es betrifft auch Kabel- und DSL Anbieter. Da gilt also das gleiche.

Aber man muss auch ganz deutlich sagen: Wo ist denn jetzt der Unterschied, ob sich zwei Kundenanschlüsse über eine öffentliche IP erreichen können, oder über eine CGNAT Adresse? Genau: Es gibt keinen. Das Ergebnis ist exakt das gleiche. Und auch bei öffentlichen IPs hält es die Kunden nicht davon ab, Harakiri Verschaltungen von LAN und WAN vorzunehmen, ich erinnere an die unsäglichen Alice Modem / Fritzbox Konstrukte in den Jahren 2007 bis 2010. Ja, damals war das auch schon ein Problem. Und es hat sich nichts daran geändert.

Übrigens gibt es Anbieter, deren Geschäftsmodell darauf basiert, dass sich die CGN Adressen eines Providers gegenseitig sehen können. Feste-IP zum Beispiel, die "öffentliche" IPs im Netz der Deutschen Glasfaser verkaufen. Die machen nichts anderes, als eine Port-Weiterleitung von der öffentlichen IP auf die CGN des Kunden über einen eigenen DG Anschluss und dessen CGN Adresse. Das funktioniert seit 2016, wir reden also nicht über ein neues Phänomen.

Lange Rede, kurzer Sinn: Baut euer Netz vernünftig auf. Router mit WAN an den ONT und das LAN sauber getrennt. Fertig. Dann kann euch völlig egal sein, welche CGN Adressen da miteinander reden können. Aus Sicht des Providers gibt es absolut gar keinen Grund, das zu unterbinden. Ein Problem kann nur die Dummheit des Kunden sein, nichts anderes. Und: Selbst wenn der Provider die Kommunikation zwischen den Kunden unterbinden würde, dann könnte mindestens er selber mit seinem Gateway in euer Heimnetz gucken. An der eigentlichen Problematik ändert also auch das nichts.
 
  • Like
Reaktionen: LastRaven und Tuffi
Um antworten zu können musst du eingeloggt sein.
Kostenlos!
Jetzt holen

Neueste Beiträge

Kategorien

Wissenswertes

Zurzeit aktive Besucher

Gesamt: 282 (Mitglieder: 36, Gäste: 246)

Statistik des Forums

Themen
247,201
Beiträge
2,263,694
Mitglieder
375,687
Neuestes Mitglied
der_koelner_telefonhansel

3CX jetzt einen Monat kostenlos testen

Die Verbindung, Zusammenarbeit und Kommunikation mit Ihrem Team und Ihren Kunden war noch nie so einfach. Nutzen Sie unsere kostenlose 30-Tage-Testversion und entdecken Sie die richtige Lösung für Ihr Unternehmen.

3CX start your free trial guy
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten