Hallo Swinog,
seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde.
Bisher hatte bis vor rund 1 Jahr die Unsitte nur Cablecom. Nun auch wieder Sunrise.
Daher hier mal einfach eine Frage hierzu / Meinungen:
Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten.
Vielleicht liege ich auch ja falsch, oder sehe es zu "kleinkariert" - daher hier meine offene Frage, um erstmal vor meiner (Wissens-) Türe zu kehren.
Ist das meine "best practice", KEINE RFC1918 IPs im Internet zu verwenden, oder liege ich da falsch ? Eigentlich sollen diese nach RFC auch nicht geroutet werden im Internet. Klar kann man das "abschalten" - aber ich finde das NICHT korrekt diese im Internet zu Routen.
Danke für eure Erleuchtung meinerseits
z.B. Sunrise seit gestern:
Outbound: Routenverfolgung zu adminsrv4.admin.ch [162.23.39.73] über maximal 30 Abschnitte:
1 1 ms <1 ms 1 ms [192.168.208.254] >> interner Router 2 1 ms 1 ms 2 ms [192.168.178.254] >> Sunrise Fritzbox / ext IP 62.167.73.175 (und nun gehts los...) 3 13 ms 10 ms 11 ms 10.136.71.241 4 12 ms 11 ms 11 ms 172.16.22.150 5 11 ms 11 ms 12 ms 172.16.18.177 6 11 ms 11 ms 12 ms 194.230.109.141 7 * * * Zeitüberschreitung der Anforderung. 8 * * * Zeitüberschreitung der Anforderung. 9 * * * Zeitüberschreitung der Anforderung. 10 16 ms 15 ms 18 ms 212.161.180.50 11 16 ms 16 ms 16 ms 194.230.36.210 12 20 ms 18 ms 22 ms pos20-bebun3isp-ipe1.inetbb.admin.ch [162.23.16.254] 13 19 ms 19 ms 18 ms gi03-bemon74isp-ipe1.inetbb.admin.ch [162.23.16.245] 14 19 ms 19 ms 18 ms gi101-befll15a-sge-ice1.inetbb.admin.ch [162.23.17.250] 15 * * * Zeitüberschreitung der Anforderung.
Inbound: traceroute 62.167.73.175 traceroute to 62.167.73.175 (62.167.73.175), 30 hops max, 60 byte packets (snipp) 10 r1gva3.core.init7.net (77.109.128.66) 8.529 ms 8.689 ms 8.773 ms 11 gw-sunrise.init7.net (82.197.163.10) 3.891 ms 3.828 ms 3.795 ms 12 * * * 13 * * * 14 oer02lsr01.xe-5-0-2.bb.sunrise.net (212.161.180.201) 7.590 ms zur01are02.xe-4-0-0.bb.sunrise.net (212.161.180.206) 8.383 ms 195.141.215.45 (195.141.215.45) 7.451 ms 15 * * * 16 * * * 17 adsl-62-167-73-175.adslplus.ch (62.167.73.175) 17.696 ms !X 20.152 ms !X 19.375 ms !X
VG Stephan
Hoi Stephan
Grundsätzlich ist technisch nichts dagegen einzuwenden. Ich glaube, es gibt kein offizielles RFC/Best Practice die das verbietet oder erlaubt/vorschreibt.
Vielleicht sieht es unschön aus, aber man könnte dies ja (in einem MPLS-Core) ggf. disablen, dann siehst du die effektiven Hops gar nicht (stichwort: mpls ttl propagation).
gruss
-steven
Am 06.03.2015 um 08:02 schrieb Stephan Wolf s.wolf@wolfsec.ch:
Hallo Swinog,
seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde.
Bisher hatte bis vor rund 1 Jahr die Unsitte nur Cablecom. Nun auch wieder Sunrise.
Daher hier mal einfach eine Frage hierzu / Meinungen:
Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten.
Vielleicht liege ich auch ja falsch, oder sehe es zu "kleinkariert" - daher hier meine offene Frage, um erstmal vor meiner (Wissens-) Türe zu kehren.
Ist das meine "best practice", KEINE RFC1918 IPs im Internet zu verwenden, oder liege ich da falsch ? Eigentlich sollen diese nach RFC auch nicht geroutet werden im Internet. Klar kann man das "abschalten" - aber ich finde das NICHT korrekt diese im Internet zu Routen.
Danke für eure Erleuchtung meinerseits
z.B. Sunrise seit gestern:
Outbound: Routenverfolgung zu adminsrv4.admin.ch http://adminsrv4.admin.ch/ [162.23.39.73] über maximal 30 Abschnitte:
1 1 ms <1 ms 1 ms [192.168.208.254] >> interner Router 2 1 ms 1 ms 2 ms [192.168.178.254] >> Sunrise Fritzbox / ext IP 62.167.73.175 (und nun gehts los...) 3 13 ms 10 ms 11 ms 10.136.71.241 4 12 ms 11 ms 11 ms 172.16.22.150 5 11 ms 11 ms 12 ms 172.16.18.177 6 11 ms 11 ms 12 ms 194.230.109.141 7 * * * Zeitüberschreitung der Anforderung. 8 * * * Zeitüberschreitung der Anforderung. 9 * * * Zeitüberschreitung der Anforderung. 10 16 ms 15 ms 18 ms 212.161.180.50 11 16 ms 16 ms 16 ms 194.230.36.210 12 20 ms 18 ms 22 ms pos20-bebun3isp-ipe1.inetbb.admin.ch http://pos20-bebun3isp-ipe1.inetbb.admin.ch/ [162.23.16.254] 13 19 ms 19 ms 18 ms gi03-bemon74isp-ipe1.inetbb.admin.ch http://gi03-bemon74isp-ipe1.inetbb.admin.ch/ [162.23.16.245] 14 19 ms 19 ms 18 ms gi101-befll15a-sge-ice1.inetbb.admin.ch http://gi101-befll15a-sge-ice1.inetbb.admin.ch/ [162.23.17.250] 15 * * * Zeitüberschreitung der Anforderung.
Inbound: traceroute 62.167.73.175 traceroute to 62.167.73.175 (62.167.73.175), 30 hops max, 60 byte packets (snipp) 10 r1gva3.core.init7.net http://r1gva3.core.init7.net/ (77.109.128.66) 8.529 ms 8.689 ms 8.773 ms 11 gw-sunrise.init7.net http://gw-sunrise.init7.net/ (82.197.163.10) 3.891 ms 3.828 ms 3.795 ms 12 * * * 13 * * * 14 oer02lsr01.xe-5-0-2.bb.sunrise.net http://oer02lsr01.xe-5-0-2.bb.sunrise.net/ (212.161.180.201) 7.590 ms zur01are02.xe-4-0-0.bb.sunrise.net http://zur01are02.xe-4-0-0.bb.sunrise.net/ (212.161.180.206) 8.383 ms 195.141.215.45 (195.141.215.45) 7.451 ms 15 * * * 16 * * * 17 adsl-62-167-73-175.adslplus.ch http://adsl-62-167-73-175.adslplus.ch/ (62.167.73.175) 17.696 ms !X 20.152 ms !X 19.375 ms !X
VG Stephan
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde.
Ich empfinde das als sehr schlecht, nicht weils unschoen aussieht, sondern weils ICMP Signalisierung verunmoeglicht. Ein ISP sollte ja nur Packete annehmen, fuer die er zustaendig ist (ip verify unicast reverse path), was definitiv alle RFC1918 Adressen von aussen ausschliesst. Damit ist unter anderem Path MTU Discovery mit solchen Ziel-Adressen schlicht kaputt.
Cheers, Markus
Hallo Stephan,
ja, unschön ist das sicherlich - aber "verboten" ist es meines Wissen nach laut RFC nicht. Technisch spielt es für den "Normalkunden" auch keine Rolle - die wenigsten Kunden kennen die RFC1918 überhaupt.
Ein "richtig professioneller" Internet-Anschluss (auch für zuhause) wäre ein eigenes AS mit Peering (z.B. zu Sunrise oder UPC CC, ...) Alles Andere ist ein mehr oder weniger guter Kompromiss zwischen Aufwand und Kosten. Wenn jetzt aber jeder private Kunde anfängt sein eigenes AS zu bauen (bzw. die Routerhersteller das aus Standard für die privaten Router einführen würden) reichen die verfügbaren AS Nummern nur für wenige Anschlüsse ;-)
Im Übrigen: Mobiltelefone bekommen seit Langem "nur" eine RFC 1918 Adresse im GSM zugewiesen - was zu so Erweiterungen wie "VPN-Passtrough" und "NAT-Traversal" geführt hat.
==> nicht "schön", aber für 99.9% der Kunden schön genug - es ist eben ein Massenmarkt mit Preiskampf und "echte" IPs kosten am Ende "echtes" Geld.
lG
Ralph
----- Ursprüngliche Mail -----
Hallo Swinog,
seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde.
Bisher hatte bis vor rund 1 Jahr die Unsitte nur Cablecom. Nun auch wieder Sunrise.
Daher hier mal einfach eine Frage hierzu / Meinungen:
Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten.
Vielleicht liege ich auch ja falsch, oder sehe es zu "kleinkariert" - daher hier meine offene Frage, um erstmal vor meiner (Wissens-) Türe zu kehren.
Ist das meine "best practice", KEINE RFC1918 IPs im Internet zu verwenden, oder liege ich da falsch ? Eigentlich sollen diese nach RFC auch nicht geroutet werden im Internet. Klar kann man das "abschalten" - aber ich finde das NICHT korrekt diese im Internet zu Routen.
Danke für eure Erleuchtung meinerseits
z.B. Sunrise seit gestern:
Outbound: Routenverfolgung zu adminsrv4.admin.ch [162.23.39.73] über maximal 30 Abschnitte:
1 1 ms <1 ms 1 ms [192.168.208.254] >> interner Router 2 1 ms 1 ms 2 ms [192.168.178.254] >> Sunrise Fritzbox / ext IP 62.167.73.175 (und nun gehts los...) 3 13 ms 10 ms 11 ms 10.136.71.241 4 12 ms 11 ms 11 ms 172.16.22.150 5 11 ms 11 ms 12 ms 172.16.18.177 6 11 ms 11 ms 12 ms 194.230.109.141 7 * * * Zeitüberschreitung der Anforderung. 8 * * * Zeitüberschreitung der Anforderung. 9 * * * Zeitüberschreitung der Anforderung. 10 16 ms 15 ms 18 ms 212.161.180.50 11 16 ms 16 ms 16 ms 194.230.36.210 12 20 ms 18 ms 22 ms pos20-bebun3isp-ipe1.inetbb.admin.ch [162.23.16.254] 13 19 ms 19 ms 18 ms gi03-bemon74isp-ipe1.inetbb.admin.ch [162.23.16.245] 14 19 ms 19 ms 18 ms gi101-befll15a-sge-ice1.inetbb.admin.ch [162.23.17.250] 15 * * * Zeitüberschreitung der Anforderung.
Inbound: traceroute 62.167.73.175 traceroute to 62.167.73.175 (62.167.73.175), 30 hops max, 60 byte packets (snipp) 10 r1gva3.core.init7.net (77.109.128.66) 8.529 ms 8.689 ms 8.773 ms 11 gw-sunrise.init7.net (82.197.163.10) 3.891 ms 3.828 ms 3.795 ms 12 * * * 13 * * * 14 oer02lsr01.xe-5-0-2.bb.sunrise.net (212.161.180.201) 7.590 ms zur01are02.xe-4-0-0.bb.sunrise.net (212.161.180.206) 8.383 ms 195.141.215.45 (195.141.215.45) 7.451 ms 15 * * * 16 * * * 17 adsl-62-167-73-175.adslplus.ch (62.167.73.175) 17.696 ms !X 20.152 ms !X 19.375 ms !X
VG Stephan
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Hi,
On Fri, Mar 06, 2015 at 02:39:42PM +0100, Ralph Krämer wrote:
Wenn jetzt aber jeder private Kunde anfängt sein eigenes AS zu bauen (bzw. die Routerhersteller das aus Standard für die privaten Router einführen würden) reichen die verfügbaren AS Nummern nur für wenige Anschlüsse ;-)
Also "4 Milliarden AS-Nummern" würden schon eine Weile reichen, aber darum geht's gar nicht. Es geht darum, ob in einem Traceroute RFC1918- Adressen auftauchen sollten/dürfen, und ich schliesse mich der Meinung des ursprünglichen Fragestellers an: nein, das ist eklig, aus verschiedenen Gründen - nicht zuletzt weil es RFC1918 verletzt.
Im Übrigen: Mobiltelefone bekommen seit Langem "nur" eine RFC 1918 Adresse im GSM zugewiesen - was zu so Erweiterungen wie "VPN-Passtrough" und "NAT-Traversal" geführt hat.
Das ist wieder was anderes.
Gert Doering -- NetMaster
Hi,
On Fri, Mar 06, 2015 at 08:02:43AM +0100, Stephan Wolf wrote:
Ist das meine "best practice", KEINE RFC1918 IPs im Internet zu verwenden,
So steht es im nämlichen RFC. "Keine Pakete mit diesen Sourcen rauslassen".
Gert Doering -- NetMaster
Hallo
On Fri, Mar 06, 2015 at 08:02:43AM +0100, Stephan Wolf wrote:
Ist das meine "best practice", KEINE RFC1918 IPs im Internet zu verwenden,
So steht es im nämlichen RFC. "Keine Pakete mit diesen Sourcen rauslassen".
Die werden auch (meist) nicht rausgehen, das sind nicht geroutete Netze.
Aber genau weil Packete mit Source IP RFC1918 nicht geroutet werden, funktioniert unter anderen Path MTU Discovery und eine schneller Reconnect wenn 'icmp host unreachable' bei DNS round robin services nicht, wenn der ICMP vom Interface mit der falschen IP generiert wird.
Das funktioniert höchsten in Richtung zum eigenen Kunden, weil es im lokalen Netz geroutet wird, und auch nur wenn der Kunde hinter seinem NAT nicht dasselbe Netz nutzt und der NAT Router des Kunden RFC1918 nicht droppt.
Gruss
Benoit Panizzon
Hallo,
seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde.
Nur "ausgehend", bei Deinem inbound trace siehst Du ja keine RFC 1918 IPs, d.h. sie leaken diese IPs auch nicht ins Internet. Aber in ihrem eigenen privaten Netz verwenden sie sie und die siehst Du.
Du machst ja exakt das gleiche mit Deinem internen Router und 192.168.208.1/24 ! Von aussen sieht man das nicht, ist man "hinter Dir" angeschlossen (Hast Du Gäste WLAN?) würde man es sehen. Weshalb also willst Du dass Sunrise etwas nicht macht dass Du selber fröhlich tust?
Am Ende bist Du an ihrem privaten Netz angeschlossen und Teile ihrer Infrastruktur verwenden offenbar private IPs. Natürlich sieht es hässlich aus und ja schöner wäre es wenn es "korrekte" IPs wären. Aber ich denke jeder weiss mittlerweile wie verschwendbar public v4 IPs so im allgemeinen sind; nicht jeder hat noch Berge zur Verwendung im Schrank stehen. Services und Geräte die vom Internet her direkt nicht ansprechbar sein müssen, wie offenbar diese Router hier dürfen meiner Meinung nach sehr wohl RFC 1918 IPs tragen. Wenn möglich aber dann auch so konfigurieren, dass sie nicht auf icmp's/Anfragen reagieren und antworten, kundenseitig her.
Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten.
Das ist nicht "das Internet", das ist ein privates Netz einer privaten Firma welche Dir einen Service darauf anbietet. Sie leaken diese Adressen nicht ins Internet. Das siehst Du im inbound trace.
Gruss
René
100% ACK
Gruss Günti
-----Original Message----- From: swinog-bounces@lists.swinog.ch [mailto:swinog- bounces@lists.swinog.ch] On Behalf Of René Gallati Sent: Friday, March 06, 2015 3:14 PM To: swinog@lists.swinog.ch Subject: Re: [swinog] RFC1918 IP's im Internet-Trace outbound - eine Unsitte - oder liege ich falsch ?
Hallo,
seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise
Kunde.
Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde.
Nur "ausgehend", bei Deinem inbound trace siehst Du ja keine RFC 1918 IPs, d.h. sie leaken diese IPs auch nicht ins Internet. Aber in ihrem eigenen privaten Netz verwenden sie sie und die siehst Du.
Du machst ja exakt das gleiche mit Deinem internen Router und 192.168.208.1/24 ! Von aussen sieht man das nicht, ist man "hinter Dir" angeschlossen (Hast Du Gäste WLAN?) würde man es sehen. Weshalb also willst Du dass Sunrise etwas nicht macht dass Du selber fröhlich tust?
Am Ende bist Du an ihrem privaten Netz angeschlossen und Teile ihrer Infrastruktur verwenden offenbar private IPs. Natürlich sieht es hässlich aus und ja schöner wäre es wenn es "korrekte" IPs wären. Aber ich denke jeder weiss mittlerweile wie verschwendbar public v4 IPs so im allgemeinen sind; nicht jeder hat noch Berge zur Verwendung im Schrank stehen. Services und Geräte die vom Internet her direkt nicht ansprechbar sein müssen, wie offenbar diese Router hier dürfen meiner Meinung nach sehr wohl RFC 1918 IPs tragen. Wenn möglich aber dann auch so konfigurieren, dass sie nicht auf icmp's/Anfragen reagieren und antworten, kundenseitig her.
Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu
verwenden.
(ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten.
Das ist nicht "das Internet", das ist ein privates Netz einer privaten Firma welche Dir einen Service darauf anbietet. Sie leaken diese Adressen nicht ins Internet. Das siehst Du im inbound trace.
Gruss
René
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
Hello
I think this just how the evolution is going on to conserve IPv4 address space.
- 1993 RFC 1519 (CIDR) - 1994 RFC 1631 (NAT) - 1996 RFC 1918 (Private Space) - 2000 RFC 3021 (/31 Point-to-Point) - 2012 RFC 6598 (Carrier Grade NAT)
I guess the next step is to either force the Carriers to use IPv6 as transport or some sort of "Shared" Space for all their non public used equipment like router interfaces. As you see all cases you will brake some protocol and yes path mtu discovery is not funny. Quit funny is, that RFC 3021 is still not well deployed even if it works like a charm in production.
Regards Erich
Am 06.03.15 um 15:13 schrieb René Gallati:
Hallo,
seit gestern bin ich mit meinem 2. Internet-Homefeed wieder Sunrise Kunde. Die haben nun RFC 1918 IP's im Trace, was ich als falsch empfinde.
Nur "ausgehend", bei Deinem inbound trace siehst Du ja keine RFC 1918 IPs, d.h. sie leaken diese IPs auch nicht ins Internet. Aber in ihrem eigenen privaten Netz verwenden sie sie und die siehst Du.
Du machst ja exakt das gleiche mit Deinem internen Router und 192.168.208.1/24 ! Von aussen sieht man das nicht, ist man "hinter Dir" angeschlossen (Hast Du Gäste WLAN?) würde man es sehen. Weshalb also willst Du dass Sunrise etwas nicht macht dass Du selber fröhlich tust?
Am Ende bist Du an ihrem privaten Netz angeschlossen und Teile ihrer Infrastruktur verwenden offenbar private IPs. Natürlich sieht es hässlich aus und ja schöner wäre es wenn es "korrekte" IPs wären. Aber ich denke jeder weiss mittlerweile wie verschwendbar public v4 IPs so im allgemeinen sind; nicht jeder hat noch Berge zur Verwendung im Schrank stehen. Services und Geräte die vom Internet her direkt nicht ansprechbar sein müssen, wie offenbar diese Router hier dürfen meiner Meinung nach sehr wohl RFC 1918 IPs tragen. Wenn möglich aber dann auch so konfigurieren, dass sie nicht auf icmp's/Anfragen reagieren und antworten, kundenseitig her.
Ich finde es FALSCH, im Internet auf Routern RFC1918 IP's zu verwenden. (ausser auf Management IP's die NICHT in Traces etc zu sehen sind) Siehe unten.
Das ist nicht "das Internet", das ist ein privates Netz einer privaten Firma welche Dir einen Service darauf anbietet. Sie leaken diese Adressen nicht ins Internet. Das siehst Du im inbound trace.
Gruss
René
swinog mailing list swinog@lists.swinog.ch http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog
-
Benoit Panizzon -
Erich Hohermuth -
Gert Doering -
Markus Wild -
Ralph Krämer -
René Gallati -
Robert.Guentensperger@swisscom.com -
Stephan Wolf -
Steven Glogger