Frage zu ISP seitigem NAT

[BurnerR]

Bisher kannte ich das immer so, dass man vom ISP eine dynamische IP zugewiesen bekommt und die dann auch aus dem Internet erreichbar ist.
Hier der lokale Anbieter macht das aber offenbar ganz anders und ich wollte mich einfach mal allgemein darüber austauschen was dahinter steckt, wie man dennoch erreichbar sein kann aus dem Internet und ähnliches.
Also der ISP hier vergibt teilweise private IP Adressen (10.x.x.x Adressraum), d.h. schaue ich im Router webinterface nach, welche Adresse dem WAN Interface zugeordnet ist ist da diese Adresse angegeben.
Wenn ich auf https://www.whatismyip.com/ gehe dann wird allerdings eine öffentliche angezeigt. Kann es btw. sein, dass diese von mehreren Kunden verwendet wird?
Heißt das, dass http traffic über einen Proxy geleitet wird, oder auf welche Ebene findet das statt?
Wenn ich 'traceroute www.google.com' eingebe, dann habe ich als 8. Hop (insgesamt 14) wiederum eine 10.x.x.x Adresse, ist das normal, oder heißt dass, dass der traffic bis dahin beim ISP geblieben ist?

Warum machen ISPs das btw.?
Vllt auch als so eine Art absicherung? Ich kam da grad drauf, weil der Router (selbes Netgear Modell zu dem ich hier schonmal nachgefragt habe ) hier in meiner Unterkunft vom WLAN aus erreichbar ist und man sich mit "Admin/Admin" einloggen kann -_-. Und dann ist auch noch remote zugriff für 'everyone' über Port 8080 eingestellt...
Aber einloggen von außen konnte ich mich dennoch nicht, da die zugeordnete IP ja aus dem 10.x.x.x adressraum kommt. Mit der anderen http IP ging es auch nicht.

 

[virtus]

Kann es btw. sein, dass diese von mehreren Kunden verwendet wird?

Ja

Heißt das, dass http traffic über einen Proxy geleitet wird, oder auf welche Ebene findet das statt?

Nicht zwangsweise über einen Proxy. Stell dir vor das, was du im Heimnetzwerk hast, hat der Provider. Bei ihm sind die einzelnen Kunden das, was bei dir daheim die einzelnen, mit dem Router/DSL-Modem verbundenen Geräte sind.
Und nein, nicht nur der HTTP-Traffic. Mutmaßlich wird sämtlicher Traffic darüber geleitet. Jeder TCP, UDP, (etc pp) Stream.

Wenn ich 'traceroute www.google.com' eingebe, dann habe ich als 8. Hop (insgesamt 14) wiederum eine 10.x.x.x Adresse, ist das normal, oder heißt dass, dass der traffic bis dahin beim ISP geblieben ist?

Normal: Das hängt von deiner Definition von "normal" ab. Ich würde es durchaus als normal bezeichnen.
Ist der Traffic bis da hin beim ISP geblieben: Das ist anzunehmen.

Warum machen ISPs das btw.?

IPv4 Adressen sind Mangelware. In weiten Teilen der USA ist der IPv4 Adresspool derzeit voll ausgeschöpft und auch in Europa sind die Grenzen langsam erreicht. Wenn keine IPv4 Adressen mehr verfügbar sind, dann müssen sich Kunden die verfügbaren Adressen teilen. Das heißt, dass entweder ein Teil der Kunden nicht ins Netz gehen kann oder dass mehrere Kunden gleichzeitig die gleiche (öffentliche) IP verwenden müssen. Je nach Provider kann es auch sein, dass einfach nicht die Finanzmittel zur Verfügung stehen, für alle Kunden eigene IP Addressen zur Verfügung zu stellen. Das wiederum liegt aber auch an der allgemeinen Knappheit der IPv4 Adressen.
Mobilfunkprovider machen dieses NATting regelmäßig. Ob es dort einen besonderen Hintergrund hat, kann ich dir mangels Erfahrung nicht sagen. Eventuell ein ähnlich gelagertes Problem.

Vllt auch als so eine Art absicherung?

Jein. Natürlich bringt es eine gewisse Absicherung, weil von außerhalb nicht erreichbar bist. Effektiv kannst du so keinen Server hosten. Für mich stellt das eher eine Einschränkung, als ein Sicherheitsfeature dar. Denn Sicherheit würde ebenso eine vernünftige Routerfirewall liefern.

Ich kam da grad drauf, weil der Router (...) vom WLAN aus erreichbar ist und man sich mit "Admin/Admin" einloggen kann

1. Dass er per wlan erreichbar ist, ist erst mal nichts schlimmes. Falls du den wlan Zugang nicht abgesichert hast, solltest du das dringend nachholen!
2. Die Zugangsdaten zum Administrationsinferfaces deines Routers solltest du umgehend ändern. "admin/admin" ist eine häufige Standardeinstellung, die vorgegeben ist, damit der Router/ das DSL-Modem problemlos in Betrieb genommen werden kann und man die Zugangsdaten in eine Anleitung schreiben kann. Bei der ersten Inbetriebnahme sollten diese dringend von dir geändert werden!

Und dann ist auch noch remote zugriff für 'everyone' über Port 8080 eingestellt...

Auch wenn dich das NATting erst mal schützt, ist so eine Einstellung der letzte Witz. Diese Funktion sollte dringend deaktiviert werden. Zusätzlich würde ich an deiner Stelle den Provider wechseln, weil das sicherlich keinem akzeptablen Sicherheitskonzept entspricht.

Aber einloggen von außen konnte ich mich dennoch nicht, da die zugeordnete IP ja aus dem 10.x.x.x adressraum kommt. Mit der anderen http IP ging es auch nicht.

Richtig, das funktioniert nur, wenn du dich in diesem Netz befindest und der Zugriff untereinander gestattet ist.

 

[BurnerR]

Danke für die Erläuterung!
Das ist nicht mein Router, aber ich werde morgen natürlich bescheid geben, dass das dringend zu ändern ist.

 

[ynbl]

Auch wenn dich das NATting erst mal schützt, ist so eine Einstellung der letzte Witz. Diese Funktion sollte dringend deaktiviert werden. Zusätzlich würde ich an deiner Stelle den Provider wechseln, weil das sicherlich keinem akzeptablen Sicherheitskonzept entspricht.

So gut wie jeder andere Provider verfolgt das selbe "Sicherheits"-Konzept.

 

[virtus]

Hast du dafür Belege? Meiner nicht, zumal mein Router definitiv kein offenes Webinterface hat.

 

[ynbl]

Ich kann dir jetzt keine internen Dokumente auf den Tisch legen. Ich kann nur aus meiner beruflichen Erfahrung bei einem ISP und meiner beruflichen Erfahrung im Umgang mit der Sicherheit bei ISPs sprechen - das heisst du hast das gute Recht es nicht zu glauben. Aber schrottreifes CPE-Zeug in Kombination mit komplett kaputter und unwartbarer Firmware - sowie der daraus resultierende Missbrauch, beispielsweise fuer Reflection-Attacken - sind im DACH-Raum ein akutes Problem, welches erst in den letzten ein bis zwei Jahren, hauptsaechlich dank der unermuedlichen Arbeit nichtstaatlichen Akteuren, angegangen wird. Sei es weil die ISPs begonnen haben, endlich einmal BCP38 implementieren, sei es weil im Rahmen einer Zertifizierung endlich zentralisiertes Konfigurationsmanagement betrieben wurde, sei es weil eine Netzwerkumstrukturierung vorgenommen wurde, .. wichtig ist eigentlich nur, dass die ISPs endlich begriffen haben, dass ein Grossteil ihrer Probleme daher ruehren, dass sie ihre Kundenleitungen jahrelang mit Nachsicht behandelt haben, und Abusemeldungen, unabhaengig von DMCA-Claims, komplett ignoriert wurden.

Genauso gab es, vor allem in Grossbritannien aber auch im "mittleren Osteuropa" (hier hauptsaechlich Polen) Malwarekampagnen, die sich diese Schwachstellen zu Nutze gemacht haben. Dort wurde das Kundenmodemrouterplastikdrecksteil via Brute-Force geknackt, die im lokalen DHCP ausgelieferten Nameserver durch von den Kriminellen kontrollierte Nameserver ersetzt welche dann, teilweise im Zusammenspiel mit Malware, fuer Betrug genutzt wurden. (Es gibt dazu einige Whitepaper, die Sicherheitsforscher von Team Cymru haben das, meines Wissens, Aktuellste geschrieben.)

Meine OpenBSD-Kiste hat auch kein extern erreichbares Webinterface. Aber wir beide wissen, dass wir die Ausnahme sind.

 

[BurnerR]

Interessante Einblicke!
Wobei die Umsetzung wie das jetzt hier der Fall ist in D doch eher ungewöhnlich ist, oder?

 

[ynbl]

Weil mein Einblick in Deutschland nicht so gut ist wie in meinem Heimatland will ich mich jetzt nicht zu weit aus dem Fenster lehnen und sagen, dass das gewoehnlich ist - aber von extern via Telnet oder Webinterface erreichbares Modemroutergeraet ist jetzt nicht unbedingt etwas, was man lange suchen muss. Genauso wie aus einer deterministischen Zufallszahl generierte WLAN-Passwoerter. Ich habe auch schon voellig verhunzte TR-069-Setups gesehen, die es einem Angreifer leicht gemacht haetten, automatisiert in solche Kundengeraete einzubrechen.

 

[BurnerR]

Ah, da haben wir grad aneinander vorbei geredet. Ich hatte an das Thema gedacht, dass der ISP IPs ausm privaten adressraum vergibt und dadurch ein solcher verhunzter Router (glaube ich sofort dass es in D tausende gibt) dann wiederum doch nicht ausm Internet erreichbar ist.

 

[virtus]

Meine OpenBSD-Kiste hat auch kein extern erreichbares Webinterface. Aber wir beide wissen, dass wir die Ausnahme sind.

Ich kenne keine absoluten oder relativen Zahlen, aber dass "so gut wie jeder" betroffen ist, bezweifele ich. Ein Großteil vielleicht, aber nicht so gut wie jeder.

Ah, da haben wir grad aneinander vorbei geredet. Ich hatte an das Thema gedacht, dass der ISP IPs ausm privaten adressraum vergibt und dadurch ein solcher verhunzter Router (glaube ich sofort dass es in D tausende gibt) dann wiederum doch nicht ausm Internet erreichbar ist.

Ob er 100% sicher nicht erreichbar ist, kann man nicht unbedingt sagen. Vielleicht hat irgendein Spaßvogel Routing- und Firewall-Regeln eingerichtet, so dass man die Router doch erreichen kann.

 

[drfuture]

Das nat-ing von DSL-Zugängen im IPv4 Bereich nennt sich "Dual Stack Lite" - das heißt du hast eine ipv4 adresse die du mit anderen teilst und eine nativ ipv6 Adresse insofern dein Router das unterstützt.
Im Gegensatz zum Dual Stack Betrieb bei dem du eine vollwertige ipv4 und v6 adresse jeweils für dich alleine hast.

Ich finde keine zuverlässige Liste wer Dual Stack Lite in Deutschland den Kunden "Anbietet" - aber unter diesem Begriff findest du zumindest Infos darüber.

 

[BurnerR]

Aha!
Das heißt dann ja, dass Dienste per IPv6 erreichbar sein werden.
Kann ich irgendwie testen, dass Dual Stack Lite zum Einsatz kommt, oder ist das sowieso das einzige mögliche Szenario? Generell hindert den ISP ja nichts daran keine IPv6 Adresse zu vergeben o.ä.

 

[drfuture]

wieistmeineip kann auch ipv6 anzeigen http://www.wieistmeineip.de/ipv6-test/
ob es je einen provider gab der auch nur nat mit ipv4 angeboten hat k.a
Aber das ist das gängige Szenario das du dann eine v6 adresse hast ja.

 

[virtus]

Das heißt dann ja, dass Dienste per IPv6 erreichbar sein werden.

Nur wenn der Dienst auch tatsächlich IPv6 anbietet.
Wenn du IPv6 verwendest ("kannst"), dann heißt das ja noch nicht, dass deine Gegenstelle auch IPv6 kann.

Kann ich irgendwie testen, dass Dual Stack Lite zum Einsatz kommt, oder ist das sowieso das einzige mögliche Szenario?

Es ist nicht zwangsweise das einzige Szenario. Andere Möglichkeiten wurden ja schon gezeigt. Die Frage wäre dann eher, warum dein Provider diese realisiert.

Generell hindert den ISP ja nichts daran keine IPv6 Adresse zu vergeben o.ä.

Das ist korrekt. Wobei Provider eher ein Problem mit der Vergabe von IPv4 Adressen haben, da diese ausgeschöpft sind.

 

[BurnerR]

Grad mal den IPv6 Test von wieistmeineip.de gemacht, hier das Ergebnis:

Ihre IPv4-Adresse lautet: 111.111.111.111
Ihre IPv6-Adresse lautet: nicht vorhanden
Test IPv4 mit DNS: OK
Test IPv4 ohne DNS: OK
Test IPv6 mit DNS: fehlgeschlagen
Test IPv6 ohne DNS: fehlgeschlagen
Test Dual Stack: OK
Test, ob DNS des ISP IPv6 unterstützt: OK

Das sieht ja eher schlecht aus was IPv6 angeht .

 

[drfuture]

ja schon ein wenig... dann ist es aber echt komisch - hatte noch keinen Anschluss gesehen der NUR ipv4 mit shared ip anbietet... wo bist du denn?
Oder gehst du über LTE?

 

[BurnerR]

Naher Osten... und ich meine damit nicht Sachsen :-D.
Anschluss ist vom großen lokalen Anbieter.. jetzt kein Business Anschluss, aber auch nichts exotisches.

 

[BurnerR]

Ich hätte da noch eine angeschlossene Frage: Ist es dennoch irgendwie möglich per VPN(-Server) in das lokale Netzwerk zu kommen? Aktuell wird in diesem Teamviewer betrieben, das geht, weil es ja über einen Drittserver läuft. Gibt es ein VPN äquivalent?
Ich denke mal ich muss dazu einen VPN-Server an anderer Stelle betreiben, dort das Netzwerk reinbringen und mich dann entsprechend auch, right?

 

[drfuture]

jep genau....
wobei es bezahlbar wohl keinen Service gibt der dir einen eigenen openvpn-Server betreibt und dir dein eigenes privates Netz innerhalb dem du kommunizieren kannst zur verfügung stellt.
Alternative ist das mieten eines kleinen VPS für 5€ / Monat nur der muss dann aktiv immer auf aktuellem Stand gehalten und gehärtet werden...
Am einfachsten und günstigsten währe vermutlich wenn du einen Freund hättest der vpn-server spielt weil er einen echten ipv4 anschluss hat ^^

 

[Sp1xx]

@drfuture: Du könntest auch "einfach" einen xbeliebigen (v)Server miten und diesen als VPN Server einrichten.

Heim-PC/SERVER -> VPN -> Server -> VPN -> externer Computer

Dann kannst du dich entweder per ssh/rdp auf den Server verbinden und auf das Heimnetz zugreifen, oder du verbindest dich wie beschrieben mit einem VPN auf den Server von extern und bist dadurch im Netz.

Gute Anlaufstelle für so einen minimalen Server ist: https://lowendbox.com