Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: c-mu on September 09, 2020, 02:33:17 PM

Title: OPNSense Routet private IP ins internet
Post by: c-mu on September 09, 2020, 02:33:17 PM
Hallo!
Ich wundere mich gerade über diesen Sachverhalt:

Quotetraceroute 10.0.2.3
traceroute to 10.0.2.3 (10.0.2.3), 30 hops max, 60 byte packets
1  gw01.*.de (172.27.6.251)  0.510 ms  0.480 ms  0.452 ms
2  gate.*.*.de (*.*.*.*)  1.482 ms  1.139 ms  1.325 ms
3  bgp2.*.de (82.198.216.182)  0.867 ms  0.852 ms  0.851 ms
4  te0-0-0-1.rcr11.bre01.atlas.cogentco.com (149.6.64.25)  1.761 ms  1.881 ms  1.628 ms
5  be2985.ccr42.ham01.atlas.cogentco.com (130.117.49.161)  2.957 ms te0-17-0-25.ccr41.ham01.atlas.cogentco.com (130.117.1.69)  4.116 ms  4.105 ms
6  be2815.ccr41.ams03.atlas.cogentco.com (154.54.38.205)  12.053 ms  11.695 ms be2816.ccr42.ams03.atlas.cogentco.com (154.54.38.209)  11.929 ms
7  be12194.ccr41.lon13.atlas.cogentco.com (154.54.56.93)  96.607 ms  96.860 ms  96.945 ms
8  be3628.ccr42.jfk02.atlas.cogentco.com (154.54.27.169)  93.688 ms  93.102 ms be12497.ccr41.par01.atlas.cogentco.com (154.54.56.130)  96.312 ms
9  be3627.ccr41.jfk02.atlas.cogentco.com (66.28.4.197)  96.666 ms be2315.ccr31.bio02.atlas.cogentco.com (154.54.61.113)  99.939 ms be3627.ccr41.jfk02.atlas.cogentco.com (66.28.4.197)  96.790 ms
10  be2331.ccr41.dca01.atlas.cogentco.com (154.54.85.241)  99.759 ms be2806.ccr41.dca01.atlas.cogentco.com (154.54.40.106)  96.705 ms be2331.ccr41.dca01.atlas.cogentco.com (154.54.85.241)  100.202 ms
11  be2952.agr11.iad03.atlas.cogentco.com (154.54.0.82)  94.361 ms  94.456 ms be3523.rcr22.iad03.atlas.cogentco.com (154.54.46.190)  97.674 ms^C

Wieso wird eine Private IP (ist egal welche ich nehme) über das WAN interface hinaus geroutet? Und wie verhindere ich das? Ich würde jetzt z.B. eine 10.0.0.0/8 (usw.) Deny rule auf dem WAN Interface bauen.
Blog Bogon IP's habe ich auf jedem Interface aktiviert.

Danke!
Title: Re: OPNSense Routet private IP ins internet
Post by: JeGr on September 09, 2020, 04:43:32 PM
> Blog Bogon IP's habe ich auf jedem Interface aktiviert.

Das ist unnötig und brauchst du nur auf dem WAN.

Aber Glückwunsch, das ist ja wirklich ein Kuriosum.
An sich ist aber Hop 2 "schuld":

2  gate.*.*.de (*.*.*.*)  1.482 ms  1.139 ms  1.325 ms

Egal was du da zensiert hast, es wird wohl keine private IP sein, sonst hättest du sie nicht mit * geschwärzt. An der Stelle bzw. an Hop 3 spätestens läuft es aber dann falsch. RFC1918 sagt ja konkret, dass das private IPs sind die NICHT ins Public Internet geroutet werden dürfen, also muss eigentlich jeder Uplink/Upstream die IP-Range geblockt haben und darf sie nicht weiterrouten.
Scheint aber witzigerweise Cogent nicht zu kümmern.

Andere Alternative: du hast was an der Konfiguration richtig verbogen und dein RFC1918 Bereich wird abgehend irgendwo hin geNATtet und wird deshalb weitertransportiert. Aber dazu müssten wir Konfiguration sehen, so ohne Glaskugel kann man sonst schlecht sagen "Jup, liegt an X was du falsch eingestellt hast" :)
Text only | Text with Images