OPNSense Routet private IP ins internet

Started by c-mu, September 09, 2020, 02:33:17 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 09, 2020, 02:33:17 PM
Hallo!
Ich wundere mich gerade über diesen Sachverhalt:

Quotetraceroute 10.0.2.3
traceroute to 10.0.2.3 (10.0.2.3), 30 hops max, 60 byte packets
1  gw01.*.de (172.27.6.251)  0.510 ms  0.480 ms  0.452 ms
2  gate.*.*.de (*.*.*.*)  1.482 ms  1.139 ms  1.325 ms
3  bgp2.*.de (82.198.216.182)  0.867 ms  0.852 ms  0.851 ms
te0-0-0-1.rcr11.bre01.atlas.cogentco.com (149.6.64.25)  1.761 ms  1.881 ms  1.628 ms
be2985.ccr42.ham01.atlas.cogentco.com (130.117.49.161)  2.957 ms te0-17-0-25.ccr41.ham01.atlas.cogentco.com (130.117.1.69)  4.116 ms  4.105 ms
be2815.ccr41.ams03.atlas.cogentco.com (154.54.38.205)  12.053 ms  11.695 ms be2816.ccr42.ams03.atlas.cogentco.com (154.54.38.209)  11.929 ms
be12194.ccr41.lon13.atlas.cogentco.com (154.54.56.93)  96.607 ms  96.860 ms  96.945 ms
be3628.ccr42.jfk02.atlas.cogentco.com (154.54.27.169)  93.688 ms  93.102 ms be12497.ccr41.par01.atlas.cogentco.com (154.54.56.130)  96.312 ms
be3627.ccr41.jfk02.atlas.cogentco.com (66.28.4.197)  96.666 ms be2315.ccr31.bio02.atlas.cogentco.com (154.54.61.113)  99.939 ms be3627.ccr41.jfk02.atlas.cogentco.com (66.28.4.197)  96.790 ms
10  be2331.ccr41.dca01.atlas.cogentco.com (154.54.85.241)  99.759 ms be2806.ccr41.dca01.atlas.cogentco.com (154.54.40.106)  96.705 ms be2331.ccr41.dca01.atlas.cogentco.com (154.54.85.241)  100.202 ms
11  be2952.agr11.iad03.atlas.cogentco.com (154.54.0.82)  94.361 ms  94.456 ms be3523.rcr22.iad03.atlas.cogentco.com (154.54.46.190)  97.674 ms^C

Wieso wird eine Private IP (ist egal welche ich nehme) über das WAN interface hinaus geroutet? Und wie verhindere ich das? Ich würde jetzt z.B. eine 10.0.0.0/8 (usw.) Deny rule auf dem WAN Interface bauen.
Blog Bogon IP's habe ich auf jedem Interface aktiviert.

Danke!
September 09, 2020, 04:43:32 PM #1
> Blog Bogon IP's habe ich auf jedem Interface aktiviert.

Das ist unnötig und brauchst du nur auf dem WAN.

Aber Glückwunsch, das ist ja wirklich ein Kuriosum.
An sich ist aber Hop 2 "schuld":

2  gate.*.*.de (*.*.*.*)  1.482 ms  1.139 ms  1.325 ms

Egal was du da zensiert hast, es wird wohl keine private IP sein, sonst hättest du sie nicht mit * geschwärzt. An der Stelle bzw. an Hop 3 spätestens läuft es aber dann falsch. RFC1918 sagt ja konkret, dass das private IPs sind die NICHT ins Public Internet geroutet werden dürfen, also muss eigentlich jeder Uplink/Upstream die IP-Range geblockt haben und darf sie nicht weiterrouten.
Scheint aber witzigerweise Cogent nicht zu kümmern.

Andere Alternative: du hast was an der Konfiguration richtig verbogen und dein RFC1918 Bereich wird abgehend irgendwo hin geNATtet und wird deshalb weitertransportiert. Aber dazu müssten wir Konfiguration sehen, so ohne Glaskugel kann man sonst schlecht sagen "Jup, liegt an X was du falsch eingestellt hast" :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions