[Discuss] private IPs im Mesh (war: Re: [Wien] Hag10 reaktiviert, verbindet nicht mit HH10)

Erich N. Pekarek (spam-protected)
Mi Jun 22 10:56:01 CEST 2016


Hallo!

Fortsetzung dieses alten Themas bitte auf der Discuss-Liste.

Am 2016-06-22 um 08:58 schrieb Matthias Šubik:
> Hallo,
>
>> On 22.06.2016, at 00:32, Erich N. Pekarek <(spam-protected)> wrote:
>> 		• ad c) Was laut Deiner Information nicht zutrifft, aber sonst ein häufiger Fehler sein kann: Wenn Deine Gegenstelle eine Firewall hat, die nur die Netze 193.238.156.0/22 und 78.41.112.0/22 [richtig wäre seit geraumer Zeit 78.41.112.0/21] zulässt, und Deine IP aus dem Bereich 78.41.118.0/24 oder 78.41.119.0/24 kommt.
> Bitte nicht auf IPs filtern, da können viele andere auch daherkommen, 
Im Gegenteil: Bitte unbedingt filtern!
Dass "viele andere auch daherkommen", mag u.U. das Cert interessieren,
aber sicher nicht den jeweiligen Nodebetreiber.
> bitte bei Bedarf 192.168.0.0/23, da dies das häufigste private Netz ist. 
Dies rein statistisch zu bewerten, halte ich für verfehlt: Nur weil
etwas "häufig" auftritt, schließt es die Möglichkeit nicht aus, dass
auch andere Varianten genutzt werden. Es schließt nur bis zu einem
gewissen Grad die Möglichkeit des häufigeren Zusammentreffens von
Ereignissen aus.
> Sonst sind private IPs in unserem Netz sicher sehr nützlich, wenn man z.B. Tests macht, oder einfach nur mal eine Verbindung ausprobieren will.
Es gibt unterschiedliche Sichtweisen. Sobald aber auch Nichttechniker
das Netz mitbenutzen, sollte man darauf Bedacht nehmen, auch ihre
Interessen zu wahren:

Fiktive Geschichte 1:
Anna nützt zwei verschiedene WLANs: eines mit interner IP-Range
192.168.1.0/24, die DHCP-Server ihres Provider-CPE stammt.
Das CPE hat einen Alias 10.0.0.138/24, der dort auch geroutet wird.
Im Netzwerk von Anna ist ein IP-fähiger Drucker auf der IP 10.0.0.10/24,
der am Switch des Providerrouters hängt über den Alias des
Default-Gateways ist dieser Drucker praktischerweise immer erreichbar.
Annas Freund Clemens experimentiert mit einem Funkfeuer-Tunnel: Dazu ist
ein zweiter WLAN-Router in ihrem Netz, der vom CPE WAN-seitig die IP
192.168.1.103 erhält und der 192.168.1.1 als Gateway benutzt. Das
interne zweite WLAN nutzt den IP-Range 192.168.99.0/24.
Anna ist gerade im Begriff ein wichtiges, datenschutzrechtlich
relevantes Dokument auszudrucken, als ihr sie bemerkt, dass Ihr Ausdruck
einfach nicht "aus ihrem Drucker herauskommt".
Sie stellt fest, dass sie mit dem WLAN ihres Funkfeuer-Tunnel-Routers
verbunden ist. Dieser kündigt die Default-Route 192.168.99.1 an und
sollte keinen Zugriff auf 192.168.1.103 haben. Sie stellt fest, dass in
der Routing-Tabelle ihres Funkfeuer-Routers eine Route 192.168.1.0/24
angekündigt wird, die auch prompt über über das Funkfeuer-Netz routet.

Bernd, der den IP-Range seines internen Netzwerks 10.0.0.10/24 "zur
umfassenden Erreichbarkeit im Funkfeuer-Netz" mittels HNA ankündigt, hat
zufällig einen Netzwerkdrucker, der auch auf 10.0.0.10 erreichbar ist.
Er wundert sich, dass er plötzlich Ausdrucke erhält, die er gar nicht
beauftragt hat.

Häufig genutzte Ranges:

10.0.0.0/8 - wird bei Mobilem Breitband providerseitig vergeben.
10.0.0.0/24 - wird auf Leitungen von A1TA am Modem als Alias benutzt.
192.168.[0-2,66,99,100,254].0/24 wird auf diversen Routern per Default
verwendet.
172.16.0.0/16 wird wird gerne als Alternative für VPNs etc genützt.

Ich vertrete weiterhin die Auffassung, dass das Routing in unserem Mesh
mit öffentlichen IPs grundsätzlich sinngemäß analog den einschlägigen
RFC1918 mit gewissen Ausnahmen in Bezug auf RFC3927 zu entsprechen hat,
wonach "interne IP Ranges" auch innerhalb des Mesh regelmäßig nichts
verloren haben.
Auch die vom Vergabeberechtigten nicht genehmigte Ankündigung anderer
Ranges, wie sie hier zeitweise praktiziert wird sehe ich prinzipiell
skeptisch, da für Außenstehende nicht differenzierbar quasi-lokal "in
ein fremdes Routing" eingriffen wird. Dass dieses Routing an den Grenzen
des Funkfeuer-BGP endet und nachhaltige Beeinflussungen daher
ausgeschlossen sind, ändert im Einzelfall daran nichts. (z.B.: wenn, wie
bei Tunneln, das sonst vorgesehene Default-Routing willkürlich und
gegenüber potentiell Betroffenen unangekündigt unterbunden wird.)
Wenn Ausnahmen dazu sollen bestehen, müssen diese in geeigneter Weise
publiziert werden, sodass auch Verwechslungen dieser Art nicht vorkommen
können.
>
> bG
> Matthias
>
LG
Erich



Mehr Informationen über die Mailingliste Discuss