Hallo! Fortsetzung dieses alten Themas bitte auf der Discuss-Liste.
Am 2016-06-22 um 08:58 schrieb Matthias Šubik: > Hallo, > >> On 22.06.2016, at 00:32, Erich N. Pekarek <[email protected]> wrote: >> • ad c) Was laut Deiner Information nicht zutrifft, aber sonst >> ein häufiger Fehler sein kann: Wenn Deine Gegenstelle eine Firewall hat, die >> nur die Netze 193.238.156.0/22 und 78.41.112.0/22 [richtig wäre seit >> geraumer Zeit 78.41.112.0/21] zulässt, und Deine IP aus dem Bereich >> 78.41.118.0/24 oder 78.41.119.0/24 kommt. > Bitte nicht auf IPs filtern, da können viele andere auch daherkommen, Im Gegenteil: Bitte unbedingt filtern! Dass "viele andere auch daherkommen", mag u.U. das Cert interessieren, aber sicher nicht den jeweiligen Nodebetreiber. > bitte bei Bedarf 192.168.0.0/23, da dies das häufigste private Netz ist. Dies rein statistisch zu bewerten, halte ich für verfehlt: Nur weil etwas "häufig" auftritt, schließt es die Möglichkeit nicht aus, dass auch andere Varianten genutzt werden. Es schließt nur bis zu einem gewissen Grad die Möglichkeit des häufigeren Zusammentreffens von Ereignissen aus. > Sonst sind private IPs in unserem Netz sicher sehr nützlich, wenn man z.B. > Tests macht, oder einfach nur mal eine Verbindung ausprobieren will. Es gibt unterschiedliche Sichtweisen. Sobald aber auch Nichttechniker das Netz mitbenutzen, sollte man darauf Bedacht nehmen, auch ihre Interessen zu wahren: Fiktive Geschichte 1: Anna nützt zwei verschiedene WLANs: eines mit interner IP-Range 192.168.1.0/24, die DHCP-Server ihres Provider-CPE stammt. Das CPE hat einen Alias 10.0.0.138/24, der dort auch geroutet wird. Im Netzwerk von Anna ist ein IP-fähiger Drucker auf der IP 10.0.0.10/24, der am Switch des Providerrouters hängt über den Alias des Default-Gateways ist dieser Drucker praktischerweise immer erreichbar. Annas Freund Clemens experimentiert mit einem Funkfeuer-Tunnel: Dazu ist ein zweiter WLAN-Router in ihrem Netz, der vom CPE WAN-seitig die IP 192.168.1.103 erhält und der 192.168.1.1 als Gateway benutzt. Das interne zweite WLAN nutzt den IP-Range 192.168.99.0/24. Anna ist gerade im Begriff ein wichtiges, datenschutzrechtlich relevantes Dokument auszudrucken, als ihr sie bemerkt, dass Ihr Ausdruck einfach nicht "aus ihrem Drucker herauskommt". Sie stellt fest, dass sie mit dem WLAN ihres Funkfeuer-Tunnel-Routers verbunden ist. Dieser kündigt die Default-Route 192.168.99.1 an und sollte keinen Zugriff auf 192.168.1.103 haben. Sie stellt fest, dass in der Routing-Tabelle ihres Funkfeuer-Routers eine Route 192.168.1.0/24 angekündigt wird, die auch prompt über über das Funkfeuer-Netz routet. Bernd, der den IP-Range seines internen Netzwerks 10.0.0.10/24 "zur umfassenden Erreichbarkeit im Funkfeuer-Netz" mittels HNA ankündigt, hat zufällig einen Netzwerkdrucker, der auch auf 10.0.0.10 erreichbar ist. Er wundert sich, dass er plötzlich Ausdrucke erhält, die er gar nicht beauftragt hat. Häufig genutzte Ranges: 10.0.0.0/8 - wird bei Mobilem Breitband providerseitig vergeben. 10.0.0.0/24 - wird auf Leitungen von A1TA am Modem als Alias benutzt. 192.168.[0-2,66,99,100,254].0/24 wird auf diversen Routern per Default verwendet. 172.16.0.0/16 wird wird gerne als Alternative für VPNs etc genützt. Ich vertrete weiterhin die Auffassung, dass das Routing in unserem Mesh mit öffentlichen IPs grundsätzlich sinngemäß analog den einschlägigen RFC1918 mit gewissen Ausnahmen in Bezug auf RFC3927 zu entsprechen hat, wonach "interne IP Ranges" auch innerhalb des Mesh regelmäßig nichts verloren haben. Auch die vom Vergabeberechtigten nicht genehmigte Ankündigung anderer Ranges, wie sie hier zeitweise praktiziert wird sehe ich prinzipiell skeptisch, da für Außenstehende nicht differenzierbar quasi-lokal "in ein fremdes Routing" eingriffen wird. Dass dieses Routing an den Grenzen des Funkfeuer-BGP endet und nachhaltige Beeinflussungen daher ausgeschlossen sind, ändert im Einzelfall daran nichts. (z.B.: wenn, wie bei Tunneln, das sonst vorgesehene Default-Routing willkürlich und gegenüber potentiell Betroffenen unangekündigt unterbunden wird.) Wenn Ausnahmen dazu sollen bestehen, müssen diese in geeigneter Weise publiziert werden, sodass auch Verwechslungen dieser Art nicht vorkommen können. > > bG > Matthias > LG Erich -- Discuss mailing list [email protected] https://lists.funkfeuer.at/mailman/listinfo/discuss
