yellowcab
Goto Top

Provider nutzt fremden IP Adressbereich, Problem?

Mein Provider nutzt fremde IP Bereiche netzintern. Ist das ein Problem?

Hallo.

Mein Provider nutzt einen definitiv nicht ihm zugewisene IP Adressbereich Netzintern.
Und zwar den Bereich 44/8.

Ich habe beispielsweise die externe IP: 44.130.100.10

Der Provider ist "virtueller" Provider.
Er besitzt keine eigene Backbone-Netz-Technik und kein eigenes pysikalisches Netzwerk.
Das Netzwerk existiert nur in Form eines VPN Netzwerks mit mehreren Gateway-Servern.

Der Provider hat nur diverse Wlan Zugänge und Teilweise ein Backbone / Zubringer-Wlan-Richtfunkstrecken. Für die "letzte Meile" und Ortsverteilung.
Die Wlan Netze sind untereinander und mit den Gateways über Standard-Internetzugänge (DSL) und VPN verbunden.

Um Zugang zu erhalten, muss man sich über VPN bei einem VPN Concentrator einloggen. Dann wird man über das virtuelle Providerbackbone bis zu einem Gateway weitergeleitet, und von da gehts ins Internet.
Er hat mehrere Gatewayserver bei verschiedenen Rootserver Anbietern. Z.B. bei Hetzner und anderen. Außerdem hat er einen Gateway ins TOR-Netz.

Das VPN läuft auf 44/8. Das Wlan Netz selbst läuft auf 10/8 Ip's. Die Zugangs-AP's haben wlan seitig 172er IP's und der Kunden-Wlan-Router hat nach innen hin 192.168.1.1

Könnte das mit den 44/8er IP's zu irgendwelchen Problemen führen?

Content-Key: 157556

Url: https://administrator.de/contentid/157556

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: LordGurke
LordGurke 25.12.2010 um 21:30:45 Uhr
Goto Top
Damit ich das richtig verstehe: Du erhältst nach außen sichtbar (z.B. auf wieistmeineip.de angezeigt) eine IP aus dem Netz 44.0.0.0/8 ? Oder werden die IPs nur zwischen VPN-Concentrator und WLAN genutzt und dann geNATet?

Ersteres würde darauf hindeuten dass das Routing dieser IP-Adressen funktioniert und daher wohl der Adressbereich vielleicht nur nicht korrekt auf ihn eingetragen wurde.
Würde der Bereich gekapert, also definitiv unrechtmäßig genutzt werden, würdest du i.d.R. massive Routingschwierigkeiten haben, da ja mit Sicherheit irgendwo Router dazwischen sind, die statisch dieses Netz an den richtigen Eigentümer resp. auf dessen AS routen.

Ist der NAT-Fall der Fall, dann wirst du Probleme haben, Systeme aus dem Bereich 4.0.0.0/8 zu erreichen, weil natürlich alle Router deines Providers Anfragen an dieses Netz nicht mehr nach außen schicken sondern irgendwo intern routen. Und dann würde ich dem Provider Dampf machen, dass er doch nochmal nachsehen soll, wie das mit den Privaten und Öffentlichen IPs nochmal genau war...
Mitglied: Yellowcab
Yellowcab 25.12.2010 um 22:05:19 Uhr
Goto Top
Also nach außen hin (wieistmeineip.de und co) habe ich immer eine IP Adresse von verschiedenen Rootserveranbietern, wie z.B. Hetzner. Denn der Provider nutzt diese Rootserver als Verbindung vom VPN ins Internet.
der 44er IP Bereich wird im VPN benutzt.

Vom VPN concentrator bekommt man ne 44er IP Adrese zugewiesen. Und die Gateways haben in Richtung VPN auch eine 44er Adresse.

Wenn man nicht über den VPN Concentrator geht, dann kommt man nicht ins Internet. Nur ein paar vom Provider freigegebe Seiten über ein vom WLAN DHCP zugewiesenes Gateway/Proxyserver.
Die Hotspots sind ja offen und unverschlüsselt. Die Autjentifizierung und der eigentliche Zugang läuft alles über VPN.

Das 44er Netzwerk ist übrigens dem Amateurfunk zugeweisen. Laut Aussage des Providers ist dieser IP Bereich für die normalen Internetbenutzer ohne Relevanz.
Er hat diesen IP Bereich genommen, um das Routing zu vereinfachen und IP Adresskonflikten bei den privaten IP Bereichen vorzubeugen.

Hätte er sein Netz komplett im 10er oder 172er Bereich mit mit /16 oder /24 Subnetzen gebaut, wäre es meiner Meinung nach auch gegangen. Aber dann hätte er bei der IP und Subnetzverteilung und beim Routing mehr Arbeit reinstecken müssen.

Der Provider ist übrigens kein richtig professioneller Provider.
Sondern so ne Art Semiprofessioneller "Wohnzimmerprovider", der als UG firmiert, hier ein paar Hotspots betreibt und die DSL losen Dörfer in der Gegend hier via Wlan anbindet.
Mitglied: dog
dog 25.12.2010 um 23:47:31 Uhr
Goto Top
Das VPN läuft auf 44/8. Das Wlan Netz selbst läuft auf 10/8 Ip's. Die Zugangs-AP's haben wlan seitig 172er IP's und der Kunden-Wlan-Router hat nach innen hin 192.168.1.1

Wenn mein Kunde so viel über meinen netzinternen Aufbau wüsste sollte ich den Job an den Nagel hängen...

Könnte das mit den 44/8er IP's zu irgendwelchen Problemen führen?

Ja, wenn du jemals mit einer IP im 44/8 Segment kommunizieren willst.

Das 44er Netzwerk ist übrigens dem Amateurfunk zugeweisen.

Ja, http://www.qsl.net/kb9mwr/projects/wireless/amprnet.html
http://en.wikipedia.org/wiki/AMPRNet
Das bedeutet aber nicht, dass es Freiwild ist.

und die DSL losen Dörfer in der Gegend hier via Wlan anbindet.

Das nennt sich dann ein Bürgernetzprojekt.
Mitglied: Yellowcab
Yellowcab 26.12.2010 um 02:19:14 Uhr
Goto Top
Zitat von @dog:
> Das VPN läuft auf 44/8. Das Wlan Netz selbst läuft auf 10/8 Ip's. Die Zugangs-AP's haben wlan seitig
172er IP's und der Kunden-Wlan-Router hat nach innen hin 192.168.1.1

Wenn mein Kunde so viel über meinen netzinternen Aufbau wüsste sollte ich den Job an den Nagel hängen...

Das ist in dem Netz ja kein Problem. Die W-Lan AP's sind ja offen. Da braucht man nur den nächstbesten AP zu connecten und mal ein Traceroute auf den Proxy zu machen, der für den "Gastzugang" zuständig ist.. Das sind ein paar vom Provider freiegegebene Seiten die man kostenlos erreichen kann. Den Weg bis dahin bekommt man mit Traceroute im Klartext, wenn man im Gastzugang ohne VPN Login ist.

> Könnte das mit den 44/8er IP's zu irgendwelchen Problemen führen?

Ja, wenn du jemals mit einer IP im 44/8 Segment kommunizieren willst.


> Das 44er Netzwerk ist übrigens dem Amateurfunk zugeweisen.

Ja, http://www.qsl.net/kb9mwr/projects/wireless/amprnet.html
http://en.wikipedia.org/wiki/AMPRNet



Der Witrz: Der Betreiber ist selber Funkamateur und nutzt das Knowhow vom Hamnet für den Aufbau der Wlan Richtfunk Anbindungen. Der benutzt auch die selbe Hardware wie beim Hamnet: Ubiquiti und Mikrotik. Teilweise macht der auch BFWA mit Lancom Hardware. Um das rauszufinden, muss man sich noch nicht mal anstrengen. Da brauchte man nur auf die Präsentationsveranstaltung zu gehen, wo das Netz vorgestellt wurde. Die Veranstaltung ist so alle 12 Monate ca und dient hauptsächlich der Neukundengewinnung und um Kunden als Repeaterstandort mit Dachantennen zu gewinnen.


Das bedeutet aber nicht, dass es Freiwild ist.

> und die DSL losen Dörfer in der Gegend hier via Wlan anbindet.

Das nennt sich dann ein Bürgernetzprojekt.

Ein "richtiges" Bürgernetzprojekt ist das hier nicht.
Das ist genau einer, der das alles macht. Und zwar als Firma mit Gewinnerzielungsabsicht. Trotzdem bekommt der wohl in irgendeiner Form auch noch Zuwendungen und Vorteile von der Gemeinde. Soweit ich gehört habe, bezahlt der für mindestens den wichtigsten Standort keine Miete und kein Strom, sondern bekommts von der Gemeinde geschenkt: Der Turm, der als Richtfunkverteiler genutzt wird.
Im Prinzip finde ich das nicht verwerflich. Der bringt wenigstens Breitband-Internet aufs Land. Dazu noch ein paar "normale" Hotspots an Points of Interest in den DSL versorgten Gebieten.
Die Qualität der Umsetztung ist leider softwaretechnisch teilweise etwas Stümperhaft. Man merkt deutlich, dass der kein IT-ler ist, sondern ein Elektrotechniker.
Mitglied: maretz
maretz 26.12.2010 um 15:32:18 Uhr
Goto Top
Moin,

also es kommt drauf an. Wenn ich jetzt hier mein WLAN im Haus freigebe und die Leute mit über meine Leitung surfen dürfen dann wäre das ja noch akzeptabel (auch wenn es da schönere Möglichkeiten gibt).

Aber: Wenn ich das ganze im großen Bereich aufbaue und meine ich möchte dafür sogar Geld haben - DANN sollte ich mir überlegen ob mein Wissen dafür ausreicht. Und das tut es da definitiv nicht!

Es gibt ja nicht mal nur probleme wenn du mit nem Server im 44er Netz kommunizieren möchtest - sondern auch wenn da nur nen Router steht über den du gehen solltest. Schon hast du lustige Seiteneffekte.

Ganz davon abgesehen: Wenn jemand das so aufbaut und als Wohnzimmer-Provider auftritt dann hätte ich persönlich meine Probleme damit dem einen Zugang zu meinem Netz zu geben (das VPN arbeitet ja in beide richtungen!). Zum ersten weiss ich ja nicht ob der das hinbekommen hat das auch andere in dem VPN mein System nicht sehen können - und zum anderen weiss ich nicht ob der nicht auch auf die Idee kommt da irgendwelche Sachen zu loggen...
Mitglied: dog
dog 26.12.2010 um 16:12:54 Uhr
Goto Top
Auf dem Land sieht die Sache aber nun mal so aus.
Kein großer Anbieter will dort hin, weil es nichts zu holen gibt und ehrlich gesagt ist man dann über jede Möglichkeit froh dort Internet zu bekommen.
Und da fängt eben auch mal jeder klein an (Lancom und dd-wrt am Anfang, später dann MT und UBNT).

Da geht es auch nicht um "Geld haben" sondern um Kosten decken.
Server im RZ kosten 50€ im Monat, so eine Richtfunkantenne 300€ und die einzige Förderung ist meistens "OK, dann musst du keinen Strom bezahlen" (was bei den 15W von so einer Antenne jetzt auch nicht weiter spannend ist).

Und wenn man dann endlich mal soweit ist zu sagen "Ja, wir können DSL 6000 für jeden" hat spätestens dann auch die Telekom was gemerkt und kann dann auch auf plötzlich DSL 6000...

Wenn ich persönlich ein Problem mit der Sicherheit habe kann ich mir ja immer noch einen VPN-Tunnel über das Netzwerk drüber weg legen (was sich übrigens auch ganz besonders bei kabelgebundenen DSL-Netzen empfiehlt, die keinerlei Schutzmechanismen haben)...