RFC1918-Adressen filtern

[Sven Lanoster]

Moin, moin.

Ich war heute in einer nicht so großen Firma und benutzte einen der
Arbeitsplätze. Der Arbeitsplatz hatte die IP 192.168.1.xxx.

Als ich in einer Doku las, dass ein Server unter 192.168.5.55
erreichbar sein soll, probierte ich ihn anzupingen:

Ping wird ausgeführt für 192.168.5.55 mit 32 Bytes Daten:
Antwort von 84.xx.yy.70: Die Gültigkeitsdauer wurde bei der Übertragung
überschritten.

Nanu, wieso antwortet da denn eine öffentliche IP?

C:\Users\sla>tracert 84.xx.yy.70

Routenverfolgung zu b6.routing.<ISP>.de [84.xx.yy.70] über maximal 30
Abschnitte:

1 <1 ms 1 ms <1 ms 192.168.1.1
2 10 ms 9 ms 9 ms a1.routing.<ISP>.de [aa.xx.yy.bb]
3 1 ms 1 ms 1 ms b4.routing.<ISP>.de [84.xx.yy.2]
4 1 ms 1 ms 1 ms b6.routing.<ISP>.de [84.xx.yy.70]

Ablaufverfolgung beendet.

Also hat mein Ping das LAN verlassen und ist dann noch munter drei
große Router im Internet weit gekommen. Ich dachte, RFC1918-Adressen
werden im Internet gar nicht geroutet. Offenbar irre ich mich. Warum
werden die mehrere HOPs weit geroutet?

Sieht jemand ein Risiko irgendwo, wenn die Adressen nicht an der
Netzwerkgrenze gefiltert werden? Also stört das irgendwen? Oder ist
sogar das LAN gefährdet? Können dadurch Informationen aus dem LAN ins
Internet gelangen, die sonst nicht (so einfach) zu bekommen wären?

MfG,
Sven.
--
Nmap done: 1 IP address (1 host up) scanned in 2.26 seconds

[Bernd Eckenfels]

Sven Lanoster <SvenLa...@gmx.de> wrote:
> große Router im Internet weit gekommen. Ich dachte, RFC1918-Adressen
> werden im Internet gar nicht geroutet. Offenbar irre ich mich. Warum
> werden die mehrere HOPs weit geroutet?

Das kann entweder Absicht sein (weil der ISP mit der Firma zusammenarbeitet)
oder eine Konfiguration die nicht der BCP "Egress(Firmenseite)"- oder
Ingress(ISP Seite)"filtering entspricht. "Nicht gerouted" heisst nicht
"nicht weitergegeben" sondern nur "kommen nicht unbedingt an".

> Sieht jemand ein Risiko irgendwo, wenn die Adressen nicht an der
> Netzwerkgrenze gefiltert werden? Also stört das irgendwen?

Das ist ein Risiko, für die Firma weil eventuell Zugriff auf interne Systeme
besteht oder midnestens aber Informationen nach aussen leaken können. Es ist
auch ein Risiko für das Image des ISP.

> Oder ist
> sogar das LAN gefährdet? Können dadurch Informationen aus dem LAN ins
> Internet gelangen, die sonst nicht (so einfach) zu bekommen wären?

Ist alles möglich, besonders wenn andere Dinge genauso unsauber konfiguriert
sind. Allerdings würde ich aus deinem gekürtzten Tracedump das jetzt nicht
sicher ableiten wollen, wie gesagt, der ISP könnte das ja auch absichtlich
in Absprache mit der Firma tun.

Gruss
Bernd

[Juergen Ilse]

Hallo,

Sven Lanoster <SvenLa...@gmx.de> wrote:
> Ich war heute in einer nicht so groï¿œen Firma und benutzte einen der
> Arbeitsplï¿œtze. Der Arbeitsplatz hatte die IP 192.168.1.xxx.

> Als ich in einer Doku las, dass ein Server unter 192.168.5.55
> erreichbar sein soll, probierte ich ihn anzupingen:

> Ping wird ausgefï¿œhrt fï¿œr 192.168.5.55 mit 32 Bytes Daten:
> Antwort von 84.xx.yy.70: Die Gï¿œltigkeitsdauer wurde bei der ï¿œbertragung
> ï¿œberschritten.
> Nanu, wieso antwortet da denn eine ï¿œffentliche IP?

Weil die Pakete fuer 192.168.5.55 in Richtung irgendwelcher Geraete
mit oeffentlichen IP-Adressen geroutet wird, und dann vermutlich
irgendwelche Router mit den Paketen Ping-Pong spielen. Ist die TTL
abgelaufen, kommt ein "ICMP Time Exceeded" zurueck, dass diese
Meldung produziert (und das Paket wird in das private Netz zurueck-
geschickt, weil der ICMP-Echo-Request hinter der offiziellen IP-Adresse
desInternetrouters genattet wird und bei der Antwort wieder auf die
urspruengliche 192.168.1.x Adresse zurueckuebersetzt wird ...).

> C:\Users\sla>tracert 84.xx.yy.70
>

> Routenverfolgung zu b6.routing.<ISP>.de [84.xx.yy.70] ï¿œber maximal 30

> Abschnitte:
>
> 1 <1 ms 1 ms <1 ms 192.168.1.1
> 2 10 ms 9 ms 9 ms a1.routing.<ISP>.de [aa.xx.yy.bb]
> 3 1 ms 1 ms 1 ms b4.routing.<ISP>.de [84.xx.yy.2]
> 4 1 ms 1 ms 1 ms b6.routing.<ISP>.de [84.xx.yy.70]
>
> Ablaufverfolgung beendet.
>
> Also hat mein Ping das LAN verlassen und ist dann noch munter drei

> groï¿œe Router im Internet weit gekommen. Ich dachte, RFC1918-Adressen

> werden im Internet gar nicht geroutet. Offenbar irre ich mich. Warum
> werden die mehrere HOPs weit geroutet?

Weil die Route erst einmal nicht von der Quell- sondern von der Ziel-
Adresse abhaengt, und ausserdem weil die Pakete genattet werden (es
werden die Quelladressen der ausgehenden Pakete auf die externe Adresse
des Internetrouters umgeschrieben).

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

[Sven Lanoster]

Bernd Eckenfels schrieb:

> Sven Lanoster <SvenLa...@gmx.de> wrote:
> > große Router im Internet weit gekommen. Ich dachte, RFC1918-Adressen
> > werden im Internet gar nicht geroutet. Offenbar irre ich mich. Warum
> > werden die mehrere HOPs weit geroutet?
>
> Das kann entweder Absicht sein (weil der ISP mit der Firma
> zusammenarbeitet) oder eine Konfiguration die nicht der BCP
> "Egress(Firmenseite)"- oder Ingress(ISP Seite)"filtering entspricht.
> "Nicht gerouted" heisst nicht "nicht weitergegeben" sondern nur
> "kommen nicht unbedingt an".

Ah, verstehe. Das ist gut möglich. Der zuständige Netzwerkadmin
versicherte mir jedenfalls grade, dass er in Zukunft auch ohne meine
Hinweise klar kommt. Spricht für Deine Theorie.

MfG,
Sven.
--
> Mein Lieblingsspruch: Es gibt keine 100% Sicherheit :)
Es gibt 100% Sicherheit, aber die Restmenge der immer noch angreifbaren
Szenarien ist typischerweise dabei überabzählbar unendlich.
(Lutz Donnerhacke in de.comp.security.misc)

[Sven Lanoster]

Juergen Ilse schrieb:

> Weil die Route erst einmal nicht von der Quell- sondern von der Ziel-
> Adresse abhaengt, und ausserdem weil die Pakete genattet werden

Ja, war bekannt aber danke.

Hättest du nicht gestutzt, wenn auf einen RFC1918-ping eine öffentliche
IP antwortet?

Der Weg der Antwort zurück durchs NAT ist klar, aber wieso kam das
Paket überhaupt soweit, dass NAT benutzt wird?

Und wo das schon versagt hat, wieso wirft dann nicht gleich der erste
Router beim ISP das Paket weg? Das hat im Internet ja schließlich nix
zu suchen. Also ich fand das merkwürdig.

Der zuständige Admin findet das Verhalten nach Nachfrage meinerseits
normal und damit verlassen wir dann den konkreten Fall.

[Florian Weimer]

* Sven Lanoster:

> Also hat mein Ping das LAN verlassen und ist dann noch munter drei
> große Router im Internet weit gekommen. Ich dachte, RFC1918-Adressen
> werden im Internet gar nicht geroutet. Offenbar irre ich mich. Warum
> werden die mehrere HOPs weit geroutet?

Es kann sein, der ISP eine entsprechende Route über die globale
Tabelle erhalten hat und nicht wegfilterte. Oder die ersten Router
haben keine vollständige Routingtabelle, aus der hervorgeht, daß es
sich nicht um eine gültige Adresse handelt, sondern sie leiten solche
Pakete ungeprüft weiter.

[Bernd Eckenfels]

Sven Lanoster <SvenLa...@gmx.de> wrote:
> Der Weg der Antwort zurï¿œck durchs NAT ist klar, aber wieso kam das
> Paket ï¿œberhaupt soweit, dass NAT benutzt wird?

Da muss kein NAT im Spiel sein, wenn Router 1 das interne Netz und Router 2
kennt, dabei eine interne und eine externe ip hat, und ein 2. router nur mit
externen ips, dann wird dessen antwort eine offizielle IP als absender haben
(und ï¿œber den ersten Router die Antwort wieder zurï¿œcksenden).

Gruss
Bernd

[Juergen Ilse]

Hallo,

Sven Lanoster <SvenLa...@gmx.de> wrote:

> Juergen Ilse schrieb:
>> Weil die Route erst einmal nicht von der Quell- sondern von der Ziel-
>> Adresse abhaengt, und ausserdem weil die Pakete genattet werden
> Ja, war bekannt aber danke.
> Hättest du nicht gestutzt, wenn auf einen RFC1918-ping eine öffentliche
> IP antwortet?

Nein, nicht unbedingt. Eher dann schon, wenn die *Quelladresse* RFC1918
ist und *kein* NAT im Spiel waere (dann wuerde ich mich wundern, ueberhaupt
eine Antwort aus Richtung des ISP zu bwkommwn).

> Der Weg der Antwort zurück durchs NAT ist klar, aber wieso kam das
> Paket überhaupt soweit, dass NAT benutzt wird?

Wieso nicht?

> Und wo das schon versagt hat, wieso wirft dann nicht gleich der erste
> Router beim ISP das Paket weg?

Weil der ISP da in dem Fall keine Filter kongiguriert hat.

> Das hat im Internet ja schließlich nix zu suchen.

Das Paket ist damit ja erst einmal nur im Netz des ISP ...

> Also ich fand das merkwürdig.
> Der zuständige Admin findet das Verhalten nach Nachfrage meinerseits
> normal und damit verlassen wir dann den konkreten Fall.

Du solltest keine RFC1918 Pakete zum Provider senden, also solltest
du zuerst einmal diese ausgehenden Pakete filtern. Der Provider
koennte dann noch Filter gegen IP-SPoofung konfigurieren, bei denen
dann ggfs. die RFC1918-Fukter quasi als Anfallprodukt mitenthalten
sind ...

[Marc Haber]

"Sven Lanoster" <SvenLa...@gmx.de> wrote:
>Bernd Eckenfels schrieb:

>> Das kann entweder Absicht sein (weil der ISP mit der Firma
>> zusammenarbeitet) oder eine Konfiguration die nicht der BCP
>> "Egress(Firmenseite)"- oder Ingress(ISP Seite)"filtering entspricht.
>> "Nicht gerouted" heisst nicht "nicht weitergegeben" sondern nur
>> "kommen nicht unbedingt an".
>
>Ah, verstehe. Das ist gut möglich. Der zuständige Netzwerkadmin
>versicherte mir jedenfalls grade, dass er in Zukunft auch ohne meine
>Hinweise klar kommt. Spricht für Deine Theorie.

Das könnte auch dafür sprechen, dass der zuständige Netzwerkadmin
Superspezialexperte ist und keinesfalls in Betracht zöge, es hier mit
Fehlkonfiguration oder schlechtem Design zu tun zu haben. Dass er Dir
außer "das gehört so" keine verstehbare Erklärung geliefert hat,
spricht für meine Vermutung.

Grüße
Marc, der von derartigen Superspezialexperten schon genug in seiner
Liste stehen hat
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Sven Lanoster]

Marc Haber schrieb:

> "Sven Lanoster" <SvenLa...@gmx.de> wrote:
> > Bernd Eckenfels schrieb:
> >> Das kann entweder Absicht sein (weil der ISP mit der Firma
> >> zusammenarbeitet) oder eine Konfiguration die nicht der BCP
> >> "Egress(Firmenseite)"- oder Ingress(ISP Seite)"filtering
> entspricht. >> "Nicht gerouted" heisst nicht "nicht weitergegeben"
> sondern nur >> "kommen nicht unbedingt an".
> > Ah, verstehe. Das ist gut möglich. Der zuständige Netzwerkadmin
> > versicherte mir jedenfalls grade, dass er in Zukunft auch ohne meine
> > Hinweise klar kommt. Spricht für Deine Theorie.
> Das könnte auch dafür sprechen, dass der zuständige Netzwerkadmin
> Superspezialexperte ist und keinesfalls in Betracht zöge, es hier mit
> Fehlkonfiguration oder schlechtem Design zu tun zu haben. Dass er Dir
> außer "das gehört so" keine verstehbare Erklärung geliefert hat,
> spricht für meine Vermutung.

Auch eine plausible Vermutung.

Eine seiner letzten E-Mails meinten sarkastisch "Ja, klar. Die Firewall
ist aus und die internen Pakete sind an die externe Schnittstelle
gebunden!". Und ich Dummerle dachte, ich hätte genau das gezeigt...

> Marc, der von derartigen Superspezialexperten schon genug in seiner
> Liste stehen hat

Schreib mich dazu. Ich finde immernoch, dass RFC1918 an der
Netzwerkgrenze gefiltert werden sollte. Damit qualifiziere ich mich
offenbar auch zum Superspezialexperten, ohne mich selbst auch nur als
Netzwerker bezeichnen zu wollen.

MfG,
Sven.
--
"Dies soll sicherstellen, dass mit Freunden geteilte Bilder nicht
an Dritte weitergereicht werden. Versucht jemand, den Bildschirm
mit einer Kamera abzufotografieren, springt ein McAfee-
Sicherheitsteufel aus dem Computer und frisst die Speicherkarte."
http://www.heise.de/security/meldung/McAfee-will-Facebook-Fotos-per-App-
schuetzen-1669943.html

[Juergen Ilse]

Hallo,

Sven Lanoster <SvenLa...@gmx.de> wrote:

> Marc Haber schrieb:

>> Marc, der von derartigen Superspezialexperten schon genug in seiner
>> Liste stehen hat
> Schreib mich dazu. Ich finde immernoch, dass RFC1918 an der
> Netzwerkgrenze gefiltert werden sollte.

Als Source-Adresse? Als Destination-Adresse? Oder beides?
Manche Filter lassen sich auf manchen Geraeten auch nicht ohne
deutlichen Performance-Impact realisieren. Und wer schon einmal
Spass damit hatte, dass ICMP-unreachable-Meldungen dank etwas
Unbedachtheit bei der Planung des Netzes (RFC1918-Transfernetze)
mit privaten Source-Adressen unterwegs waren und dann dank solcher
Filter ploetzlich vor disfunktionaler PMTU stand, wird manche
Forderung evt. auch zumindest mit etwas gemischten Gefuehlen
betrachten ...

In einer idealen Welt wuerden die Filter niemals schaden (in einer
idealen Welt haetten wir auch keine RFC1918-Adressen noetig, weil
public unique IP-Adresses fuer alle genuegend da waeren), nur leider
ist diese Welt in dieser Hinsicht nicht ideal ...

[Juergen P. Meier]

Juergen Ilse <jue...@usenet-verwaltung.de>:

> Hallo,
>
> Sven Lanoster <SvenLa...@gmx.de> wrote:
>> Marc Haber schrieb:
>>> Marc, der von derartigen Superspezialexperten schon genug in seiner
>>> Liste stehen hat
>> Schreib mich dazu. Ich finde immernoch, dass RFC1918 an der
>> Netzwerkgrenze gefiltert werden sollte.
>
> Als Source-Adresse? Als Destination-Adresse? Oder beides?

Mittels RPF und blackhole-routing ist beides technisch trivial.

> Manche Filter lassen sich auf manchen Geraeten auch nicht ohne
> deutlichen Performance-Impact realisieren. Und wer schon einmal

Dann hat man das falsche Geraet fuer dieses Geschaeft.

> Spass damit hatte, dass ICMP-unreachable-Meldungen dank etwas
> Unbedachtheit bei der Planung des Netzes (RFC1918-Transfernetze)
> mit privaten Source-Adressen unterwegs waren und dann dank solcher
> Filter ploetzlich vor disfunktionaler PMTU stand, wird manche
> Forderung evt. auch zumindest mit etwas gemischten Gefuehlen
> betrachten ...

Wer RFC 1918 in oeffentlichen Netzen (und Transfernetze fuer
oeffentlichen Datenverkehr *SIND* oeffentliche Netze) einsetzt, den
sollte man mit der PMTUD-Keule so lange verpruegeln, bis er
Tokenring-Tokens sieht.

> In einer idealen Welt wuerden die Filter niemals schaden (in einer
> idealen Welt haetten wir auch keine RFC1918-Adressen noetig, weil
> public unique IP-Adresses fuer alle genuegend da waeren), nur leider
> ist diese Welt in dieser Hinsicht nicht ideal ...

Auch in einer Realen Welt schaden RPF an PA-Kunden-Downstreams/Access
Routern niemandem, der es nicht verdient hat.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

[Juergen Ilse]

Hallo,

Juergen P. Meier <nospa...@jors.net> wrote:
> Juergen Ilse <jue...@usenet-verwaltung.de>:

>> Sven Lanoster <SvenLa...@gmx.de> wrote:
>>> Marc Haber schrieb:
>>>> Marc, der von derartigen Superspezialexperten schon genug in seiner
>>>> Liste stehen hat
>>> Schreib mich dazu. Ich finde immernoch, dass RFC1918 an der
>>> Netzwerkgrenze gefiltert werden sollte.
>> Als Source-Adresse? Als Destination-Adresse? Oder beides?
> Mittels RPF und blackhole-routing ist beides technisch trivial.

RPF ist bei asymmetrischem Routing (der Normalfall, wenn es nicht mehr
nur um das eigene AS geht) nicht mehr anwendbar. blackhole-routing ist
ohne Source-Adressbased Routing wirkungslos was die source-Adressen
betrifft.

> Auch in einer Realen Welt schaden RPF an PA-Kunden-Downstreams/Access
> Routern niemandem, der es nicht verdient hat.

Man hat nicht alles unter Kontrolle, was den Traffic *durch* das eigene
Netz angeht. Und in der realen Welt setzt nicht jeder an allen "Endkunden-
Anschluessen" auch RPF ein, man kann als ueber Transit doch RFC1918-Schrott
hereinbekommen. Und den dann *erst* *im* *eigenen* *Netz* auszufiltern (weil
andere Ihre Hausaufgaben nicht gemacht haben) kann schon einmal an die
Grenzen des zumutbaren gehen ...

[Juergen P. Meier]

Juergen Ilse <jue...@usenet-verwaltung.de>:

> Juergen P. Meier <nospa...@jors.net> wrote:
>> Juergen Ilse <jue...@usenet-verwaltung.de>:
>>> Sven Lanoster <SvenLa...@gmx.de> wrote:
>>>> Marc Haber schrieb:
>>>>> Marc, der von derartigen Superspezialexperten schon genug in seiner
>>>>> Liste stehen hat
>>>> Schreib mich dazu. Ich finde immernoch, dass RFC1918 an der
>>>> Netzwerkgrenze gefiltert werden sollte.
>>> Als Source-Adresse? Als Destination-Adresse? Oder beides?
>> Mittels RPF und blackhole-routing ist beides technisch trivial.
>
> RPF ist bei asymmetrischem Routing (der Normalfall, wenn es nicht mehr
> nur um das eigene AS geht) nicht mehr anwendbar. blackhole-routing ist

Es geht hier immernoch um PA Anschluesse. Wer seine PA asymmetrisch
anbindet, der muss auch fuer geeignete Filtertechnologien sorge
tragen.

> ohne Source-Adressbased Routing wirkungslos was die source-Adressen
> betrifft.

Man filtert dort, wo man CPE fuer PA-Kunden aggregiert. (oder wenn
man das Management der CPEs im Griff hat, am CPE)

Dort reicht ein RPF. Und wenn man keine Default-route hat, und zu den
CPEs hin sauber seine eigenen RFC1918 prefixe rausfiltert, gelangen
auch keine Pakete mit solchen Zieladdressen ins Netz.

>> Auch in einer Realen Welt schaden RPF an PA-Kunden-Downstreams/Access
>> Routern niemandem, der es nicht verdient hat.
>
> Man hat nicht alles unter Kontrolle, was den Traffic *durch* das eigene

Als ISP der PA kunden anbindet, schon. Ansonsten sollte man sterben
und von jemandem aufgekauft werden, der was vom Geschaeft versteht.

> Netz angeht. Und in der realen Welt setzt nicht jeder an allen "Endkunden-
> Anschluessen" auch RPF ein, man kann als ueber Transit doch RFC1918-Schrott

Leider, ja. Weil das Aufwand bedeutet, und Aufwand = Geld.

> hereinbekommen. Und den dann *erst* *im* *eigenen* *Netz* auszufiltern (weil
> andere Ihre Hausaufgaben nicht gemacht haben) kann schon einmal an die
> Grenzen des zumutbaren gehen ...

Das Filtern ganz abzulehnen, weil man nicht 100% filtern kann, ist aber
auch eine reichlich daemliche Argumentation.

Sorry, aber man sollte tun was moeglich wo es moeglich ist - denn nur
so reduziert man solchen Muell signifikant.

[Juergen Ilse]

Hallo,

Juergen P. Meier <nospa...@jors.net> wrote:
> Juergen Ilse <jue...@usenet-verwaltung.de>:

>> Man hat nicht alles unter Kontrolle, was den Traffic *durch* das eigene
> Als ISP der PA kunden anbindet, schon.

Als kleiner Krauter ohne redundante Uplinks und ohne Transitkunden
vielleicht. Als anderer ISP: Nein.

>> Netz angeht. Und in der realen Welt setzt nicht jeder an allen "Endkunden-
>> Anschluessen" auch RPF ein, man kann als ueber Transit doch RFC1918-Schrott
> Leider, ja. Weil das Aufwand bedeutet, und Aufwand = Geld.

Man muss mit der Situation leben, wie sie nun einmal ist. Und in der
realen Welt hat man im Gegensatz zu irgendwelchen idealistischen Vor-
stellungen eben weit weniger des Netzes unter Kontrolle als man sich
vielleicht wuenscht. Ich habe sogar mal (vor Jahren) gesehen, dass
ein BGP-Peer in einem Internet-Exchange versuchte, meinem Broetchen-
geber RFC1918-Prefixe per BGP zu announcen (was dank entsprechender
Filter nicht angenommen wurde), und in diesem Fall hat der Kollege
vom anderen ISP dieses Fehlverhalten nach einem entsprechenden Hin-
weis sogar abgestellt ...

>> hereinbekommen. Und den dann *erst* *im* *eigenen* *Netz* auszufiltern (weil
>> andere Ihre Hausaufgaben nicht gemacht haben) kann schon einmal an die
>> Grenzen des zumutbaren gehen ...
> Das Filtern ganz abzulehnen, weil man nicht 100% filtern kann, ist aber
> auch eine reichlich daemliche Argumentation.

Ich lehne das Filtern (dort wo es praktikabel ist) ja nicht ganz ab.
Ich weise nur darauf hin, dass man (zumindest als jemand mit multi-
homed Anbindung, wie es mit eigenem AS eben ueblich ist) nicht immer
so trivial ist, weil man dann eben manchen Schrott auch ueber Wege
hereinbekommt, wo filtern eben *nicht* praktikabel ist ...

Wo Filtern praktikabel ist, wird es bei meinem Broetchengeber auch
durchgefuehrt, aber das ist eben nicht ueberall der Fall.

[Paul Muster]

On 24.08.2012 08:47, Juergen Ilse wrote:

> Ich habe sogar mal (vor Jahren) gesehen, dass
> ein BGP-Peer in einem Internet-Exchange versuchte, meinem Broetchen-
> geber RFC1918-Prefixe per BGP zu announcen

"accounce connected" oder so ähnlich. Ist doch bequem. ;-)


mfG Paul

[Marc Haber]

"Juergen P. Meier" <nospa...@jors.net> wrote:

>Auch in einer Realen Welt schaden RPF an PA-Kunden-Downstreams/Access
>Routern niemandem, der es nicht verdient hat.

Also jemandem, der gerne zwischen zwei IPv6-ISPs migrieren möchte, und
sich auf die Marketingaussage der IPv6-Fans verlassen hat, dass
Renumbern ohne Sauereien und einfach möglich ist?

Grüße
Marc

P.S.: Sorry für die späte Antwort, aber diese Vorlage war einfach _zu_
steil.

[Marc Haber]

"Oliver Sch@d"
<spam.entfernen.und.bring...@oschad.de> wrote:

>Marc Haber wrote:
>> "Juergen P. Meier" <nospa...@jors.net> wrote:
>>>Auch in einer Realen Welt schaden RPF an PA-Kunden-Downstreams/Access
>>>Routern niemandem, der es nicht verdient hat.
>>
>> Also jemandem, der gerne zwischen zwei IPv6-ISPs migrieren möchte, und
>> sich auf die Marketingaussage der IPv6-Fans verlassen hat, dass
>> Renumbern ohne Sauereien und einfach möglich ist?
>

>Äh - ich hoffe inständig, dass das eigentlich "einfacher" war, was diese
>IPv6-Fans gesagt haben. Ist das Feature nicht eigentlich auch bei IPv4
>implementiert worden? Ja ich weiß, zwischen Implementierung und Standard
>ist ein kleiner semantischer Unterschied.
>
>Ich verstehe allerdings nicht, wie jetzt Filter beim Provider was
>versauen, solange du an deinem Gateway den Traffic mit einer
>entsprechenden Source-Route verschiebst an deine Provider.

Eine Source-Route empfinde ich schon als Sauerei. So richtig einfach
ist das nur, wenn mir alle meine ISPs erlauben, outgoing alle meine
zugeteilten Prefixe zu verwenden. Früher war das einfach, weil alle
daran interessiert waren, dass ich meinen Traffic bei ihnen abkippe
und nicht woanders, aber inzwischen, in der Zeit von Flatrates...

Grüße
Marc

[Marc Haber]

"Oliver Sch@d"
<spam.entfernen.und.bring...@oschad.de> wrote:
>Ich sehe ja ein, dass bei IPv6 sicher nicht alles Gold ist, was glänzt,
>aber der absolute Müll ist es nun auch wieder nicht.

Das hat ja auch niemand behauptet.

>Wie verhalten sich eigentlich UDP-Anwendungen bei Adress-Migration
>zwischen zwei IPv6-Präfixen? Schonmal probiert? Mmh, ich muss mal einen
>Teststand aufbauen.

Ich würde erwarten, dass bei Anwendungen, die einfach ::0 binden,
dieselbe <zensiert> entsteht wie bei IPv4, nämlich dass die Antwort
mit der IP-Adresse rausgeht, die das System für ausgehende Pakete ohne
Kontext verwendet, und dass das nicht notwendigerweise die Adresse
ist, an die die Anfrage gestellt wurde.