Carrier Grande Nat - Was darf mein ISP?

[superwinni2]

Hallo zusammen


ich habe aktuell einen etwas verstrickten Fall bei welchem ich nicht genau weiß ob ich wirklich unrecht habe oder nicht  ::)   Vielleicht kann mir die Erfahrung von euch etwas helfen.


Ich habe einen Business Anschluss bei einem ISP mit festem IPv4 Bereich.
Der gleiche Anbieter vertreibt ebenfalls in der Stadt in jener die Firma ist Internetanschlüsse für PrivatPersonen.


Bisher hatte jeder PrivatAnschluss eine normale öffentliche IPv4 Adresse.
Nun hat der ISP die PrivatAnschlüsse geändert. Die Stadt in verschiedene Bereiche geteilt welche nun via CGN mit dem IP Bereich 100.64/10  bis zu seinem Gateway kommunizieren.


Da wir mit unserer Firma jedoch ebenfalls in der gleichen Stadt sind, routet/NATtet der ISP nun den Verkehr nicht erst nach draussen und dann wieder in sein Netz hinein.


Der ISP routet/NATtet den Verkehr nun so, dass bei uns auf der FW die CGN IPs ankommen.
Problem bei der ganzen Sache: Durch den Haken "Block Private Networks" in der WAN Schnittstelle, werden diese Pakete natürlich verworfen.
Somit können alle Mitarbeiter welche ebenfalls in der Stadt leben nun keine Verbindungen mehr zur Firma aufbauen.


Damit dies kurzfristig erstmal gelöst wird, haben wir den Haken entsprechend entfernt und es funktioniert wieder.


Leider ist ein Wechsel des ISP nicht möglich, da dies der einzige Anbieter ist.
Vertrag mit der Gemeinde seit mehreren Jahren.
Früher wurde der (Firmen) Anschluss via Richtfunk für Unsummen an Geld bereitgestellt. Sonst gab es nur 2000er DSL....
Glücklicherweise kann man sehr gut mit dem ISP reden.
[/size]
Nun meine Frage:
Darf der ISP sowas? Ist dies im CGN vorgesehen, einfach "Abkürzungen" zu nehmen?
Oder gibt es sogar extra eine RFC wo dies erlaubt/ nicht erlaubt?


Danke für eure Hilfe und Gruß

[rantwolf]

Moin.
Fakt ist, daß es keine IPv4 Adressen mehr gibt und Carrier Grade NAT ist für die ISP halt die Lösung. "Leider auch für den Endkunden".
Also mein lokaler ISP hier in Thüringen hat das vor etwa zwei Jahren auch gemacht.
Ich hatte damals auch zum Spaß nachgefragt und man hat halt auf IPv4 Knappheit verwiesen.
Ich denke schon, daß es rechtens ist. Sonst könnte es nicht so einfach gemacht werden.

Ich hab zwar auch ne feste IPv4 gebucht (kann man hier auch als Privatperson), aber ein paar Kumpelz hatten nach der Umstellung Schwierigkeiten beim Zocken.
Für diejenigen die ne öffentliche IP brauchen, muß ne eMail an den ISP gesendet werden.
Dann bekommt man halt auf Anfrage ne dynamische 'öffentliche' IP.
Vielleicht geht das bei deinem ISP auch...
Die meisten Leute machen ja auch keine Freigaben von Zuhause aus.

Der Haken 'block private networks' müßte jedenfalls so oder so entfernt werden, wenn du zwei Standorte per S2S VPN verbinden willst.
Also ich meine, daß ist nicht so schlimm, da du ja die eingehenden Verbindung am WAN erlauben mußt.
Also lass doch nur zu was benötigt wird...  8)

[superwinni2]

Moin


Das es bald keine IPv4 Adressen mehr gibt ist mir ebenfalls bekannt. Interessanterweise macht der ISP dies nicht wegen IPv4 Knappheit sondern "um seine Kunden zu schützen" weil (laut dem ISP) im Moment sehr viele  Angriffe auf sein Netz gemacht werden.
Wie haben wir nur mehrere Jahrzehnte ohne solch einen Schutz überleben können?!?  ;D
Früher waren es "dynamische" öffentliche IPs die sich ejdoch nie geändert haben sondern nur auf nachfrage beim ISP wenn man unbedingt eine neue brauchte. Ob die Leute von zuhause freigaben machen oder nicht sei mal dahingestellt... Ich hatte bereits einige Arbeitskollegen mit ner Synology oder Solaranlage oder was weiiß ich was zuhause welche dies benötigt haben.


Die große Frage ist eher, ob es gedacht ist direkt im CGN zu routen/NATten wie es der ISP macht oder nicht?


PS. Habe mehrere S2S VPNs auch mit dem Haken aktiv und funktionierend... Klappt alles  ;)

[robgnu]

Hi,

ich denke der Provider tut das richtige. Denn schließlich ist das IP-Protokoll so designt, dass man möglichst den schnellsten und effektivsten Weg geht. Wenn die Kunden eures Providers jetzt über das interne CGNAT kommen, ist das ja effektiver als erst "raus ins Internet" und dann wieder rein.

RFC1918 sagt ja folgendes:

10.0.0.0        -   10.255.255.255  (10/8 prefix)
172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

RFC6598 reserviert für CGNAT:

The Shared Address Space address range is 100.64.0.0/10.

Ich würde die Firewall so konfigurieren, dass die RFC 1918 Adressen am WAN verworfen werden und die RFC6598 Adressen zugelassen werden.

Gruß
Robert.

[JeGr]

Mal vom technischen abgesehen ist das eine ganz interessante Frage, die man auch mal als Firma an seine Rechtsabteilung / an seinen Anwalt geben kann - und sei es nur um nachzufragen. Wenn ich bis dato nämlich eine valide externe IPv4 Adresse hatte/habe und "plötzlich der Provider was umstellt" und ich danach keine mehr habe, ist das so IMHO nicht rechtens. IANAL, aber soweit mir bekannt war/ist, kann ein Provider nicht ohne Änderungsansage einfach so technisch sein Layout ändern, vor allem wenn der Kunde (und in dem Fall gewerblicher Kunde) darauf angewiesen ist bzw. das in der Leistungsbeschreibung festgeschrieben war. Das wäre dann eine Änderung der angebotenen Leistung (mit dem ganzen Kram von wegen Änderungskündigung etc. etc. hintenan).

Das hat wenn ich es recht weiß auch Kabel Deutschland bzw. Vodafone mehrfach bei Kabelanschlüssen probiert, von denen die älteren noch mit echter v4 oder gar DualStack kamen, die neuen nur noch DSLite hatten. Bei Vertragsänderung/Upgrade wurde dann plötzlich stillschweigend die v4 geklaut und durch CGN ersetzt. Erst nach Einspruch gab man da das alte Setup kleinlaut wieder raus.

Dass es technisch/vom Routing korrekt ist, dass IP natürlich den kürzesten Weg sucht und dann logisch betrachtet Traffic vom einen Endkunden zum anderen innerhalb des CGN bleibt ist nicht weiter verwunderlich :)

Ansonsten würde ich tatsächlich den Weg von Robert für richtig halten. RFC1918 hat auf WAN Seite nichts verloren bzw. ist spezifiziert als "zu verwerfen bei public routing", ergo würde ich nur den CGN Space zusätzlich zu public IPs öffnen.

Vielleicht sollte man dazu auch das "Block Private Networks" modifizieren und hiermit wirklich nur RFC1918 blocken und nicht den CGN Space o.ä. (oder ggf. dazu einen Extra Punkt)? Würde ich tatsächlich für aussagekräftiger halten, denn CGN Space ist streng genommen kein private network nach 1918, sondern IMHO eher ein Transfernetz.

Und zuletzt:
> Das es bald keine IPv4 Adressen mehr gibt ist mir ebenfalls bekannt.

Es gibt bereits schon lange keine Adressen mehr. Zumindest in Europa bzw. dem RIPE. Alles was jetzt noch da ist, sind Reste, die für ISPs/Provider (also neue) reserviert sind, damit die noch eine /22er Zuteilung bekommen können. Ansonsten gibt es nur noch vereinzelte kleinere Subnetze die gegenseitig zugeschachert und für teils einiges an Geld von A nach B wandern.

Leider denke ich, dass solange weiterhin Ausreden und Pseudo-Sicherheit vorgeschoben wird und an unnützen und kontraproduktiven Techniken wie dynamic IPv6 festgehalten wird, sich die IPv6 Einführung überall nur schleppend weiterbewegt weil niemand das Eisen anfassen möchte. Und so wie früher, dass es gerade Admins und technische User erstmal zu Hause ausprobieren und dann in die Firmen mit einbringen läuft es nicht, da man als Privatmensch kaum sinnvoll IPv6 Prefixe bekommt, die man ordentlich vergeben kann. Solange hier gerade im Heimbereich so weiter Neuland betrieben wird, gibt das eine laaaange Durststrecke :(

[superwinni2]

Mal vom technischen abgesehen ist das eine ganz interessante Frage, die man auch mal als Firma an seine Rechtsabteilung / an seinen Anwalt geben kann - und sei es nur um nachzufragen. Wenn ich bis dato nämlich eine valide externe IPv4 Adresse hatte/habe und "plötzlich der Provider was umstellt" und ich danach keine mehr habe, ist das so IMHO nicht rechtens. IANAL, aber soweit mir bekannt war/ist, kann ein Provider nicht ohne Änderungsansage einfach so technisch sein Layout ändern, vor allem wenn der Kunde (und in dem Fall gewerblicher Kunde) darauf angewiesen ist bzw. das in der Leistungsbeschreibung festgeschrieben war. Das wäre dann eine Änderung der angebotenen Leistung (mit dem ganzen Kram von wegen Änderungskündigung etc. etc. hintenan).

Achtung: Nicht die FirmenIPs wurden zum CGN umgemünzt sondern die ganzen Privathaushalte. Daher hat sich auf Firmenseite nichts geändert sondern auf Clientseite. Hier wären ja dann die Mitarbeiter zuständig. Ob da jeder Lust hat dagegen zu klagen etc... Ich glaube kaum. Hauptsache man hat Internet. Strom kommt ja auch nur aus der Steckdose ;D

Dass es technisch/vom Routing korrekt ist, dass IP natürlich den kürzesten Weg sucht und dann logisch betrachtet Traffic vom einen Endkunden zum anderen innerhalb des CGN bleibt ist nicht weiter verwunderlich

Okay... Dann muss ich dies wohl so hinnehmen.

Ansonsten würde ich tatsächlich den Weg von Robert für richtig halten. RFC1918 hat auf WAN Seite nichts verloren bzw. ist spezifiziert als "zu verwerfen bei public routing", ergo würde ich nur den CGN Space zusätzlich zu public IPs öffnen.

Dies werde ich auch als tempräre Lösung machen.

Vielleicht sollte man dazu auch das "Block Private Networks" modifizieren und hiermit wirklich nur RFC1918 blocken und nicht den CGN Space o.ä. (oder ggf. dazu einen Extra Punkt)? Würde ich tatsächlich für aussagekräftiger halten, denn CGN Space ist streng genommen kein private network nach 1918, sondern IMHO eher ein Transfernetz.

An dieser Logik habe ich ebenfalls bereits überlegt und sogar damals einen Feature Request von GitHub raus gekramt... War jedoch schon div. Jahre alt und wurde damals abgeleht. Soll ich hier evtl. diesen nochmals eröffnen bzw. einen neuen erstellen?

Pseudo-Sicherheit

Wie haben wir nur alle all die Jahre überlebt mit einer öffentlichen IP?  :o

[JeGr]

> Achtung: Nicht die FirmenIPs wurden zum CGN umgemünzt sondern die ganzen Privathaushalte.

Ah OK ich dachte es betraf auch die Firma. Mea culpa, aber ändert nichts daran, dass das Vodafone auch zurückrollen musste bei denen die es aktiv gemeldet haben. Es wird eben "mal gemacht" - wer sich nicht beschwert, toll, wieder ein paar Adressen eingespart :D

> Hier wären ja dann die Mitarbeiter zuständig. Ob da jeder Lust hat dagegen zu klagen etc... Ich glaube kaum. Hauptsache man hat Internet. Strom kommt ja auch nur aus der Steckdose ;D

Es ging da auch nicht um Klagen, sondern um wieder "einfordern" von Leistung, die bereits da war und unrechtmäßig abgeschaltet wurde :) Das haben die auch gar nicht lange ausgefochten. Darum hab ich bisher auch bei jedem einzelnen Vertragsupgrade bei Kabel immer am Telefon drauf bestanden, dass es mit aufgeführt wird, dass beim DualStack bleibt wie es ist oder es rollen Köpfe! :D

> Okay... Dann muss ich dies wohl so hinnehmen.

Schon, denn wenn die Endpunkte sich eben untereinander mit 100.x sehen und merken, hey Routing direkt möglich, wird das Paket immer den direktesten Weg nehmen außer es wird manuell eingegriffen - was eher unwahrscheinlich ist.

> War jedoch schon div. Jahre alt und wurde damals abgeleht. Soll ich hier evtl. diesen nochmals eröffnen bzw. einen neuen erstellen?

Gute Frage - wenn du den alten Request findest, kannst du den ja nochmal verlinken, evtl. kann man ihn dann wieder aufmachen und/oder einfach die Beschreibung WAS genau in dem "Alias" drin ist nochmal spezifizieren. Ich hätte jetzt tatsächlich nicht unbedingt mit dem CGN Bereich gerechnet.

> Wie haben wir nur alle all die Jahre überlebt mit einer öffentlichen IP?  :o

Da hat doch dein Anbieter weil er dich liebt deshalb extra spätestens alle 24h dir eine andere IP gegeben damit du auch gut versteckt bist!  8)