Re: [swinog] RFC1918 IP's im Internet-Trace outbound - eine Unsitte - oder liege ich falsch ?
Hello I think this just how the evolution is going on to conserve IPv4 address space. - 1993 RFC 1519 (CIDR) - 1994 RFC 1631 (NAT) - 1996 RFC 1918 (Private Space) - 2000 RFC 3021 (/31 Point-to-Point) - 2012 RFC 6598 (Carrier Grade NAT) I guess the next step is to either force the Carriers to use IPv6 as transport or some sort of Shared Space for all their non public used equipment like router interfaces. As you see all cases you will brake some protocol and yes path mtu discovery is not funny. Quit funny is, that RFC 3021 is still not well deployed even if it works like a charm in production. Regards Erich Am 06.03.15 um 15:13 schrieb René Gallati: Hallo, seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde. Nur ausgehend, bei Deinem inbound trace siehst Du ja keine RFC 1918 IPs, d.h. sie leaken diese IPs auch nicht ins Internet. Aber in ihrem eigenen privaten Netz verwenden sie sie und die siehst Du. Du machst ja exakt das gleiche mit Deinem internen Router und 192.168.208.1/24 ! Von aussen sieht man das nicht, ist man hinter Dir angeschlossen (Hast Du Gäste WLAN?) würde man es sehen. Weshalb also willst Du dass Sunrise etwas nicht macht dass Du selber fröhlich tust? Am Ende bist Du an ihrem privaten Netz angeschlossen und Teile ihrer Infrastruktur verwenden offenbar private IPs. Natürlich sieht es hässlich aus und ja schöner wäre es wenn es korrekte IPs wären. Aber ich denke jeder weiss mittlerweile wie verschwendbar public v4 IPs so im allgemeinen sind; nicht jeder hat noch Berge zur Verwendung im Schrank stehen. Services und Geräte die vom Internet her direkt nicht ansprechbar sein müssen, wie offenbar diese Router hier dürfen meiner Meinung nach sehr wohl RFC 1918 IPs tragen. Wenn möglich aber dann auch so konfigurieren, dass sie nicht auf icmp's/Anfragen reagieren und antworten, kundenseitig her. Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten. Das ist nicht das Internet, das ist ein privates Netz einer privaten Firma welche Dir einen Service darauf anbietet. Sie leaken diese Adressen nicht ins Internet. Das siehst Du im inbound trace. Gruss René ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] RFC1918 IP's im Internet-Trace outbound - eine Unsitte - oder liege ich falsch ?
Hallo On Fri, Mar 06, 2015 at 08:02:43AM +0100, Stephan Wolf wrote: Ist das meine best practice, KEINE RFC1918 IPs im Internet zu verwenden, So steht es im nämlichen RFC. Keine Pakete mit diesen Sourcen rauslassen. Die werden auch (meist) nicht rausgehen, das sind nicht geroutete Netze. Aber genau weil Packete mit Source IP RFC1918 nicht geroutet werden, funktioniert unter anderen Path MTU Discovery und eine schneller Reconnect wenn 'icmp host unreachable' bei DNS round robin services nicht, wenn der ICMP vom Interface mit der falschen IP generiert wird. Das funktioniert höchsten in Richtung zum eigenen Kunden, weil es im lokalen Netz geroutet wird, und auch nur wenn der Kunde hinter seinem NAT nicht dasselbe Netz nutzt und der NAT Router des Kunden RFC1918 nicht droppt. Gruss Benoit Panizzon -- I m p r o W a r e A G- __ Zurlindenstrasse 29 Tel +41 61 826 93 07 CH-4133 PrattelnFax +41 61 826 93 02 Schweiz Web http://www.imp.ch __ ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] RFC1918 IP's im Internet-Trace outbound - eine Unsitte - oder liege ich falsch ?
100% ACK Gruss Günti -Original Message- From: swinog-boun...@lists.swinog.ch [mailto:swinog- boun...@lists.swinog.ch] On Behalf Of René Gallati Sent: Friday, March 06, 2015 3:14 PM To: swinog@lists.swinog.ch Subject: Re: [swinog] RFC1918 IP's im Internet-Trace outbound - eine Unsitte - oder liege ich falsch ? Hallo, seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde. Nur ausgehend, bei Deinem inbound trace siehst Du ja keine RFC 1918 IPs, d.h. sie leaken diese IPs auch nicht ins Internet. Aber in ihrem eigenen privaten Netz verwenden sie sie und die siehst Du. Du machst ja exakt das gleiche mit Deinem internen Router und 192.168.208.1/24 ! Von aussen sieht man das nicht, ist man hinter Dir angeschlossen (Hast Du Gäste WLAN?) würde man es sehen. Weshalb also willst Du dass Sunrise etwas nicht macht dass Du selber fröhlich tust? Am Ende bist Du an ihrem privaten Netz angeschlossen und Teile ihrer Infrastruktur verwenden offenbar private IPs. Natürlich sieht es hässlich aus und ja schöner wäre es wenn es korrekte IPs wären. Aber ich denke jeder weiss mittlerweile wie verschwendbar public v4 IPs so im allgemeinen sind; nicht jeder hat noch Berge zur Verwendung im Schrank stehen. Services und Geräte die vom Internet her direkt nicht ansprechbar sein müssen, wie offenbar diese Router hier dürfen meiner Meinung nach sehr wohl RFC 1918 IPs tragen. Wenn möglich aber dann auch so konfigurieren, dass sie nicht auf icmp's/Anfragen reagieren und antworten, kundenseitig her. Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten. Das ist nicht das Internet, das ist ein privates Netz einer privaten Firma welche Dir einen Service darauf anbietet. Sie leaken diese Adressen nicht ins Internet. Das siehst Du im inbound trace. Gruss René ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog smime.p7s Description: S/MIME Cryptographic Signature ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] RFC1918 IP's im Internet-Trace outbound - eine Unsitte - oder liege ich falsch ?
Hallo, seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde. Nur ausgehend, bei Deinem inbound trace siehst Du ja keine RFC 1918 IPs, d.h. sie leaken diese IPs auch nicht ins Internet. Aber in ihrem eigenen privaten Netz verwenden sie sie und die siehst Du. Du machst ja exakt das gleiche mit Deinem internen Router und 192.168.208.1/24 ! Von aussen sieht man das nicht, ist man hinter Dir angeschlossen (Hast Du Gäste WLAN?) würde man es sehen. Weshalb also willst Du dass Sunrise etwas nicht macht dass Du selber fröhlich tust? Am Ende bist Du an ihrem privaten Netz angeschlossen und Teile ihrer Infrastruktur verwenden offenbar private IPs. Natürlich sieht es hässlich aus und ja schöner wäre es wenn es korrekte IPs wären. Aber ich denke jeder weiss mittlerweile wie verschwendbar public v4 IPs so im allgemeinen sind; nicht jeder hat noch Berge zur Verwendung im Schrank stehen. Services und Geräte die vom Internet her direkt nicht ansprechbar sein müssen, wie offenbar diese Router hier dürfen meiner Meinung nach sehr wohl RFC 1918 IPs tragen. Wenn möglich aber dann auch so konfigurieren, dass sie nicht auf icmp's/Anfragen reagieren und antworten, kundenseitig her. Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten. Das ist nicht das Internet, das ist ein privates Netz einer privaten Firma welche Dir einen Service darauf anbietet. Sie leaken diese Adressen nicht ins Internet. Das siehst Du im inbound trace. Gruss René ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] RFC1918 IP's im Internet-Trace outbound - eine Unsitte - oder liege ich falsch ?
Hi, On Fri, Mar 06, 2015 at 08:02:43AM +0100, Stephan Wolf wrote: Ist das meine best practice, KEINE RFC1918 IPs im Internet zu verwenden, So steht es im nämlichen RFC. Keine Pakete mit diesen Sourcen rauslassen. Gert Doering -- NetMaster -- have you enabled IPv6 on something today...? SpaceNet AGVorstand: Sebastian v. Bomhard Joseph-Dollinger-Bogen 14 Aufsichtsratsvors.: A. Grundner-Culemann D-80807 Muenchen HRB: 136055 (AG Muenchen) Tel: +49 (0)89/32356-444 USt-IdNr.: DE813185279 ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] RFC1918 IP's im Internet-Trace outbound - eine Unsitte - oder liege ich falsch ?
Hallo Stephan, ja, unschön ist das sicherlich - aber verboten ist es meines Wissen nach laut RFC nicht. Technisch spielt es für den Normalkunden auch keine Rolle - die wenigsten Kunden kennen die RFC1918 überhaupt. Ein richtig professioneller Internet-Anschluss (auch für zuhause) wäre ein eigenes AS mit Peering (z.B. zu Sunrise oder UPC CC, ...) Alles Andere ist ein mehr oder weniger guter Kompromiss zwischen Aufwand und Kosten. Wenn jetzt aber jeder private Kunde anfängt sein eigenes AS zu bauen (bzw. die Routerhersteller das aus Standard für die privaten Router einführen würden) reichen die verfügbaren AS Nummern nur für wenige Anschlüsse ;-) Im Übrigen: Mobiltelefone bekommen seit Langem nur eine RFC 1918 Adresse im GSM zugewiesen - was zu so Erweiterungen wie VPN-Passtrough und NAT-Traversal geführt hat. == nicht schön, aber für 99.9% der Kunden schön genug - es ist eben ein Massenmarkt mit Preiskampf und echte IPs kosten am Ende echtes Geld. lG Ralph - Ursprüngliche Mail - Hallo Swinog, seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde. Bisher hatte bis vor rund 1 Jahr die Unsitte nur Cablecom. Nun auch wieder Sunrise. Daher hier mal einfach eine Frage hierzu / Meinungen: Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten. Vielleicht liege ich auch ja falsch, oder sehe es zu kleinkariert - daher hier meine offene Frage, um erstmal vor meiner (Wissens-) Türe zu kehren. Ist das meine best practice, KEINE RFC1918 IPs im Internet zu verwenden, oder liege ich da falsch ? Eigentlich sollen diese nach RFC auch nicht geroutet werden im Internet. Klar kann man das abschalten - aber ich finde das NICHT korrekt diese im Internet zu Routen. Danke für eure Erleuchtung meinerseits z.B. Sunrise seit gestern: Outbound: Routenverfolgung zu adminsrv4.admin.ch [162.23.39.73] über maximal 30 Abschnitte: 1 1 ms 1 ms 1 ms [192.168.208.254] interner Router 2 1 ms 1 ms 2 ms [192.168.178.254] Sunrise Fritzbox / ext IP 62.167.73.175 (und nun gehts los...) 3 13 ms 10 ms 11 ms 10.136.71.241 4 12 ms 11 ms 11 ms 172.16.22.150 5 11 ms 11 ms 12 ms 172.16.18.177 6 11 ms 11 ms 12 ms 194.230.109.141 7 * * * Zeitüberschreitung der Anforderung. 8 * * * Zeitüberschreitung der Anforderung. 9 * * * Zeitüberschreitung der Anforderung. 10 16 ms 15 ms 18 ms 212.161.180.50 11 16 ms 16 ms 16 ms 194.230.36.210 12 20 ms 18 ms 22 ms pos20-bebun3isp-ipe1.inetbb.admin.ch [162.23.16.254] 13 19 ms 19 ms 18 ms gi03-bemon74isp-ipe1.inetbb.admin.ch [162.23.16.245] 14 19 ms 19 ms 18 ms gi101-befll15a-sge-ice1.inetbb.admin.ch [162.23.17.250] 15 * * * Zeitüberschreitung der Anforderung. Inbound: traceroute 62.167.73.175 traceroute to 62.167.73.175 (62.167.73.175), 30 hops max, 60 byte packets (snipp) 10 r1gva3.core.init7.net (77.109.128.66) 8.529 ms 8.689 ms 8.773 ms 11 gw-sunrise.init7.net (82.197.163.10) 3.891 ms 3.828 ms 3.795 ms 12 * * * 13 * * * 14 oer02lsr01.xe-5-0-2.bb.sunrise.net (212.161.180.201) 7.590 ms zur01are02.xe-4-0-0.bb.sunrise.net (212.161.180.206) 8.383 ms 195.141.215.45 (195.141.215.45) 7.451 ms 15 * * * 16 * * * 17 adsl-62-167-73-175.adslplus.ch (62.167.73.175) 17.696 ms !X 20.152 ms !X 19.375 ms !X VG Stephan ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Re: [swinog] RFC1918 IP's im Internet-Trace outbound - eine Unsitte - oder liege ich falsch ?
Hoi Stephan Grundsätzlich ist technisch nichts dagegen einzuwenden. Ich glaube, es gibt kein offizielles RFC/Best Practice die das verbietet oder erlaubt/vorschreibt. Vielleicht sieht es unschön aus, aber man könnte dies ja (in einem MPLS-Core) ggf. disablen, dann siehst du die effektiven Hops gar nicht (stichwort: mpls ttl propagation). gruss -steven Am 06.03.2015 um 08:02 schrieb Stephan Wolf s.w...@wolfsec.ch: Hallo Swinog, seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde. Bisher hatte bis vor rund 1 Jahr die Unsitte nur Cablecom. Nun auch wieder Sunrise. Daher hier mal einfach eine Frage hierzu / Meinungen: Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten. Vielleicht liege ich auch ja falsch, oder sehe es zu kleinkariert - daher hier meine offene Frage, um erstmal vor meiner (Wissens-) Türe zu kehren. Ist das meine best practice, KEINE RFC1918 IPs im Internet zu verwenden, oder liege ich da falsch ? Eigentlich sollen diese nach RFC auch nicht geroutet werden im Internet. Klar kann man das abschalten - aber ich finde das NICHT korrekt diese im Internet zu Routen. Danke für eure Erleuchtung meinerseits z.B. Sunrise seit gestern: Outbound: Routenverfolgung zu adminsrv4.admin.ch http://adminsrv4.admin.ch/ [162.23.39.73] über maximal 30 Abschnitte: 1 1 ms1 ms 1 ms [192.168.208.254] interner Router 2 1 ms 1 ms 2 ms [192.168.178.254] Sunrise Fritzbox / ext IP 62.167.73.175 (und nun gehts los...) 313 ms10 ms11 ms 10.136.71.241 412 ms11 ms11 ms 172.16.22.150 511 ms11 ms12 ms 172.16.18.177 611 ms11 ms12 ms 194.230.109.141 7 *** Zeitüberschreitung der Anforderung. 8 *** Zeitüberschreitung der Anforderung. 9 *** Zeitüberschreitung der Anforderung. 1016 ms15 ms18 ms 212.161.180.50 1116 ms16 ms16 ms 194.230.36.210 1220 ms18 ms22 ms pos20-bebun3isp-ipe1.inetbb.admin.ch http://pos20-bebun3isp-ipe1.inetbb.admin.ch/ [162.23.16.254] 1319 ms19 ms18 ms gi03-bemon74isp-ipe1.inetbb.admin.ch http://gi03-bemon74isp-ipe1.inetbb.admin.ch/ [162.23.16.245] 1419 ms19 ms18 ms gi101-befll15a-sge-ice1.inetbb.admin.ch http://gi101-befll15a-sge-ice1.inetbb.admin.ch/ [162.23.17.250] 15 *** Zeitüberschreitung der Anforderung. Inbound: traceroute 62.167.73.175 traceroute to 62.167.73.175 (62.167.73.175), 30 hops max, 60 byte packets (snipp) 10 r1gva3.core.init7.net http://r1gva3.core.init7.net/ (77.109.128.66) 8.529 ms 8.689 ms 8.773 ms 11 gw-sunrise.init7.net http://gw-sunrise.init7.net/ (82.197.163.10) 3.891 ms 3.828 ms 3.795 ms 12 * * * 13 * * * 14 oer02lsr01.xe-5-0-2.bb.sunrise.net http://oer02lsr01.xe-5-0-2.bb.sunrise.net/ (212.161.180.201) 7.590 ms zur01are02.xe-4-0-0.bb.sunrise.net http://zur01are02.xe-4-0-0.bb.sunrise.net/ (212.161.180.206) 8.383 ms 195.141.215.45 (195.141.215.45) 7.451 ms 15 * * * 16 * * * 17 adsl-62-167-73-175.adslplus.ch http://adsl-62-167-73-175.adslplus.ch/ (62.167.73.175) 17.696 ms !X 20.152 ms !X 19.375 ms !X VG Stephan ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog ___ swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog