Feste IP

In diesem Forum dreht sich alles um die bei Vodafone Kabel Deutschland bzw. Vodafone West oder im Rahmen der O2-Tarife über Kabel verwendeten AVM-Produkte, insbesondere der WLAN-Router mit integriertem Kabelmodem, der als FRITZ!Box vertrieben wird. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf AVM-Produkte zurückzuführen ist!
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“) oder von O2 über Kabel („[O2]“) bist.
Außerdem gib bitte an, ob es sich bei deiner FRITZ!Box um eine Leihbox von Vodafone („[Leihbox]“) oder eine Kaufbox („[Kaufbox]“) handelt.
Benutzeravatar
vigidr
Fortgeschrittener
Beiträge: 412
Registriert: 06.02.2008, 09:42
Wohnort: Berlin

Re: Feste IP

Beitrag von vigidr »

atamiga hat geschrieben:wie findet die Authentifizierung statt. Mit der MAC vom Modem?
Ja. Darum kann man das Modem nicht einfach tauschen, weil ein neues erst registriert sein muss, naemlich bei der Gegenstelle (CMTS).
Spezi82 hat geschrieben:Ich will euch nicht beunruhigen abwer ich habe auch schon von Fällen gehört wo kabel Deutschland den zugang gesperrt hat weil zu oft eine neue IP gezogen wurde
Die Geruechtekueche brodelt mal wieder, gell? :roll:
VDSL 50 von T-Home.
atamiga
Newbie
Beiträge: 60
Registriert: 14.01.2009, 09:12

Re: Feste IP

Beitrag von atamiga »

es ging ja hier nicht um den ständigen IP-Wechsel. Die Frage war ob die IP exclusiv zugewiesen wird. Ist aber
(zum glück) nicht so. Wenn mich KD abklemmen würde weil ich täglich mein Modem mit dem Rechner ausschalte
würden Sie von meinem RA hören...bzw. lesen
Benutzeravatar
vigidr
Fortgeschrittener
Beiträge: 412
Registriert: 06.02.2008, 09:42
Wohnort: Berlin

Re: Feste IP

Beitrag von vigidr »

atamiga hat geschrieben:Wenn mich KD abklemmen würde weil ich täglich mein Modem mit dem Rechner ausschalte
würden Sie von meinem RA hören...bzw. lesen
Genau genommen wuerden Kabel Deutschlands RA (Plural) von deinem RA (Singular) lesen. Davon abgesehen ist das mit der modemneustartbedingten Kuendigung Unfug.
VDSL 50 von T-Home.
Benutzeravatar
RcRaCk2k
Ehrenmitglied
Beiträge: 2402
Registriert: 20.09.2007, 10:23
Wohnort: Freilassing

Re: Feste IP

Beitrag von RcRaCk2k »

RFZ hat geschrieben:Gute Frage... Wie läuft das eigentlich mit der MAC des Modems und der MAC meines Gerätes welches online geht und die IP vom DHCP erfrägt?
Ich wäre ja davon ausgegangen, dass das Modem die Verbindung zwischen meinem Router und den KD Servern über ein eigenes, darunterliegendes, Protokoll tunnelt. Das würde bedeuten, dass diese Kommunikationsebene, die auch die die MAC Adresse des Modems enthält, für mich als Kunde nicht sichtbar ist.
Es ist viel einfacher als du denkst.

Da das Modem nur als Brücke zum eigentlichem Netz fugiert ist das relativ einfach, wie das Ganze funktionieren >> muss <<.

Das Modem macht während der Initialisierung einen DHCP-Request und erhält eine private IP-Adresse im Bereich 172.xxx.xxx.xxx. Durch diesen DHCP-Request weiß der DHCP-Server, welche IP-Adresse das Modem zugewiesen bekommen hat ... Sprich es existiert eine logische Verbindung zwischen MAC-Adresse des Modems und der IP-Adresse des Modems... Zu dem Ganzen gibt es noch eine logische Verbindung zwischen MAC-Adresse des Modems und dem Anschlussinhaber.

Auf dem Modem läuft nun ein DHCP-Forwarder, welcher die DHCP-Anfragen am LAN-Port entgegen nimmt und an den COAXIAL-Ausgang weiterleitet. In diesem weitergeleitetem Paket wird das Feld GIADDR ausgefüllt, wo ein DHCP-Forwarder seine eigene IP-Adresse hinein schreibt.

Diese IP-Adresse im GIADDR-Header wird für die DHCP-Kommunikation verwendet, denn der DHCP-Server schickt die Antwort direkt an das Modem, welches das Paket dann wieder an den Rechner weiterleitet, von welchem die Anfrage ausgegangen ist.

Zusammenfassung der logischen Verbindung:
Anschluss-Inhaber <-> MAC-Adresse des Modems
MAC-Adresse des Modems <-> IP-Adresse des Modems
IP-Adresse des Modems <-> IP-Adresse des Routers / Rechners hinter dem Modem
RFZ hat geschrieben:Ich sollte mich vielleicht mal in den Standard einlesen, das ist durchaus eine interessante Angelegenheit ;)
Kannst du ganz einfach hier machen:

http://de.wikipedia.org/wiki/Dynamic_Ho ... CP-Paketes
Interessanter Abschnitt: giaddr (4 Byte): Relay-Agent-IP-Adresse)
RFZ hat geschrieben:Generell würde mich interessieren, wie das Netz von KD gegen solche (sicher auch versehentlichen) Manipulationen geschützt ist. Was wäre, wenn ich einfach mit einer von mir festgelegten IP (natürlich im Subnetz meines Netzsegments) online gehe, klappt das? Oder sitzt ein Filter dazwischen, der für meine MAC Adresse nur Pakete durchlässt, die von der IP stammen, die auch in meiner DHCP Lease eingetragen ist?
Kabel-Deutschland verwendet statisches ARP, somit ist es nicht möglich, ARP-Spoofing zu betreiben. Zudem existiert auf dem Modem ein IP-Paket-Filter, welcher es nicht erlaubt, einen eigenen DHCP-Server auf WAN-Seite zu betreiben - sonst könnte man ja die DHCP-Services von KD gefährden. Zudem ist der DHCP-Forwarder so eingestellt, dass du nur von deiner eigenen IP-Adresse aus Daten schicken kannst. Sprich, wenn der DHCP-Forwarder nichts von deinem Lease weiß, dann geht auch die Kommunikation nicht. Was zum Schluss bedeutet, dass wenn man sich eine dynamisch verteilte IP-Adresse statisch eintragen würde, das Modem nach einer Stunde die "Akzeptieren-Regel" entfernen und die IP-Adresse wieder freigeben würde.
RFZ hat geschrieben:Ich weiß nicht, ob der DHCP Server dann berücksichtigt, dass die IP trotzdem noch genutzt wird, oder ob er sie erneut vergibt, was dann zu Problemen für dich und den anderen Kunden führen könnte.
Aufgrund der Filter kommt es zu keinen Problemen. Alleine das statische ARP, sowie das dynamische Routing via BGP / OSPF löst solche Probleme von ganz von alleine.

Hackern dürfte es nicht einfach sein, an die Daten anderer Nutzer heranzukommen. Denn ARP-Spoofing und deren Gleichen funktionieren einfach dank der vielen Filter nicht.

Liebe Grüße,
Michael Rack.
Anschlüsse: 3x Internet&Phone 100 MBits, 2x Internet&Phone 26MBit, 1x Internet&Phone 32 MBits Telefon-Anschluss: sipgate.de, dus.net, easybell.de, personal-voip.de
Router: Linux x64 Router, Interne Verkablung: Patchpannel, CAT 7, Netzwerkdosen, CAT 5e, wirelessLAN

Links:
- Kabel-Deutschland und die Geschwindigkeit des Internet-Zugangs
atamiga
Newbie
Beiträge: 60
Registriert: 14.01.2009, 09:12

Re: Feste IP

Beitrag von atamiga »

RcRaCk2k hat geschrieben:
RFZ hat geschrieben:
Das Modem macht während der Initialisierung einen DHCP-Request und erhält eine private IP-Adresse im Bereich 172.xxx.xxx.xxx. Durch diesen DHCP-Request weiß der DHCP-Server, welche IP-Adresse das Modem zugewiesen bekommen hat ... Sprich es existiert eine logische Verbindung zwischen MAC-Adresse des Modems und der IP-Adresse des Modems... Zu dem Ganzen gibt es noch eine logische Verbindung zwischen MAC-Adresse des Modems und dem Anschlussinhaber.
d.h. ja im Umkehrschluß das jeder Router hinter dem Modem funktionieren würde wenn man dieses fürs Kabelnetz konfigurieren kann da ja das Modem die Authentifizierung durch die Mac Adresse übernimmt. Nur die VOIP funktionen müssten eingerichtet werden. Korrekt? Was mich z.b. an der Fritzbox nervt das ich in der Konfiguration keinen DNS eintagen kann. Ich betreibe hier ein kleines Netz mit eigenem DNS Server den ich gerne von der FB verteilen lassen würde.

Gruss

micha
RFZ
Fortgeschrittener
Beiträge: 232
Registriert: 19.12.2008, 17:27

Re: Feste IP

Beitrag von RFZ »

RcRaCk2k hat geschrieben:
RFZ hat geschrieben:Gute Frage... Wie läuft das eigentlich mit der MAC des Modems und der MAC meines Gerätes welches online geht und die IP vom DHCP erfrägt?
Ich wäre ja davon ausgegangen, dass das Modem die Verbindung zwischen meinem Router und den KD Servern über ein eigenes, darunterliegendes, Protokoll tunnelt. Das würde bedeuten, dass diese Kommunikationsebene, die auch die die MAC Adresse des Modems enthält, für mich als Kunde nicht sichtbar ist.
Es ist viel einfacher als du denkst.

Da das Modem nur als Brücke zum eigentlichem Netz fugiert ist das relativ einfach, wie das Ganze funktionieren >> muss <<.

Das Modem macht während der Initialisierung einen DHCP-Request und erhält eine private IP-Adresse im Bereich 172.xxx.xxx.xxx. Durch diesen DHCP-Request weiß der DHCP-Server, welche IP-Adresse das Modem zugewiesen bekommen hat ... Sprich es existiert eine logische Verbindung zwischen MAC-Adresse des Modems und der IP-Adresse des Modems... Zu dem Ganzen gibt es noch eine logische Verbindung zwischen MAC-Adresse des Modems und dem Anschlussinhaber.

Auf dem Modem läuft nun ein DHCP-Forwarder, welcher die DHCP-Anfragen am LAN-Port entgegen nimmt und an den COAXIAL-Ausgang weiterleitet. In diesem weitergeleitetem Paket wird das Feld GIADDR ausgefüllt, wo ein DHCP-Forwarder seine eigene IP-Adresse hinein schreibt.

Diese IP-Adresse im GIADDR-Header wird für die DHCP-Kommunikation verwendet, denn der DHCP-Server schickt die Antwort direkt an das Modem, welches das Paket dann wieder an den Rechner weiterleitet, von welchem die Anfrage ausgegangen ist.

Zusammenfassung der logischen Verbindung:
Anschluss-Inhaber <-> MAC-Adresse des Modems
MAC-Adresse des Modems <-> IP-Adresse des Modems
IP-Adresse des Modems <-> IP-Adresse des Routers / Rechners hinter dem Modem
RFZ hat geschrieben:Ich sollte mich vielleicht mal in den Standard einlesen, das ist durchaus eine interessante Angelegenheit ;)
Kannst du ganz einfach hier machen:

http://de.wikipedia.org/wiki/Dynamic_Ho ... CP-Paketes
Interessanter Abschnitt: giaddr (4 Byte): Relay-Agent-IP-Adresse)
RFZ hat geschrieben:Generell würde mich interessieren, wie das Netz von KD gegen solche (sicher auch versehentlichen) Manipulationen geschützt ist. Was wäre, wenn ich einfach mit einer von mir festgelegten IP (natürlich im Subnetz meines Netzsegments) online gehe, klappt das? Oder sitzt ein Filter dazwischen, der für meine MAC Adresse nur Pakete durchlässt, die von der IP stammen, die auch in meiner DHCP Lease eingetragen ist?
Kabel-Deutschland verwendet statisches ARP, somit ist es nicht möglich, ARP-Spoofing zu betreiben. Zudem existiert auf dem Modem ein IP-Paket-Filter, welcher es nicht erlaubt, einen eigenen DHCP-Server auf WAN-Seite zu betreiben - sonst könnte man ja die DHCP-Services von KD gefährden. Zudem ist der DHCP-Forwarder so eingestellt, dass du nur von deiner eigenen IP-Adresse aus Daten schicken kannst. Sprich, wenn der DHCP-Forwarder nichts von deinem Lease weiß, dann geht auch die Kommunikation nicht. Was zum Schluss bedeutet, dass wenn man sich eine dynamisch verteilte IP-Adresse statisch eintragen würde, das Modem nach einer Stunde die "Akzeptieren-Regel" entfernen und die IP-Adresse wieder freigeben würde.
RFZ hat geschrieben:Ich weiß nicht, ob der DHCP Server dann berücksichtigt, dass die IP trotzdem noch genutzt wird, oder ob er sie erneut vergibt, was dann zu Problemen für dich und den anderen Kunden führen könnte.
Aufgrund der Filter kommt es zu keinen Problemen. Alleine das statische ARP, sowie das dynamische Routing via BGP / OSPF löst solche Probleme von ganz von alleine.

Hackern dürfte es nicht einfach sein, an die Daten anderer Nutzer heranzukommen. Denn ARP-Spoofing und deren Gleichen funktionieren einfach dank der vielen Filter nicht.

Liebe Grüße,
Michael Rack.
Danke für die Ausführliche Erklärung. Allerdings passt das nicht mit dem zusammen, was ich so am WAN Port "sehe".
RelayAgent ist bei allen DHCP Paketen ein Server von KD, keine private IP des Modems. Konkret ist es bei mir 83.169.169.126. DHCP Offers, ACKs und NAKs kommen alle von diesem Server, und zwar auf IP und MAC Ebene.
Auch kann es nicht sein, dass die Kommunikation zum DHCP Forwarder in meinem Modem gerichtet stattfindet, wenn ich empfange DHCP Nachrichten die ganz offensichtlich für Andere bestimmt sind, nämlich unprovisionierte Modems, porvisionierte Modems, Telefonieclients der Modems und letztendlich die der anderen PCs oder Router. Ich erhalte durch die DHCP Offers deren öffentliche IP und deren MAC Adresse.

Dass KabelDeutschland statisches ARP verwendet, verhindert nicht Angriffe durch ARP Spoofing, denn das Endgerät beim Kunden verwerndet es nicht. So wäre es immernoch möglich die Kommunikation Kunde -> KD abzuhören, nur anders rum geht es dann nicht.
RFZ
Fortgeschrittener
Beiträge: 232
Registriert: 19.12.2008, 17:27

Re: Feste IP

Beitrag von RFZ »

atamiga hat geschrieben:[...] Was mich z.b. an der Fritzbox nervt das ich in der Konfiguration keinen DNS eintagen kann. Ich betreibe hier ein kleines Netz mit eigenem DNS Server den ich gerne von der FB verteilen lassen würde.
Wenn du eh schon einen Server laufen lässt, wieso übernimmt dann nicht einfach der auch den DHCP Dienst?
Dann kannst du da den DHCP Server so einstellen, wie es dir passt. DNS1 auf deine Server IP, DNS2 auf die FritzBox und Gateway auch auf die FritzBox.
atamiga
Newbie
Beiträge: 60
Registriert: 14.01.2009, 09:12

Re: Feste IP

Beitrag von atamiga »

es läuft ja ein DHCP Server als DC. Die DHCP Funktion wollte ich aber komplett von der FB übernehmen lassen. Somit müsste ich die möglichkeit haben
meinen internen DNS einzutragen da der Windows DHCP Server nicht rund um die Uhr läuft und damit keine Adressen vergeben kann z.b an mein
Netboot oder Firmen NB die auf DHCP konfiguriert sind. Die Clients (Desktop PC'c) sind fest zugewiesen. Da Besteht das Problem halt nicht.

RFZ hat geschrieben:
atamiga hat geschrieben:[...] Was mich z.b. an der Fritzbox nervt das ich in der Konfiguration keinen DNS eintagen kann. Ich betreibe hier ein kleines Netz mit eigenem DNS Server den ich gerne von der FB verteilen lassen würde.
Wenn du eh schon einen Server laufen lässt, wieso übernimmt dann nicht einfach der auch den DHCP Dienst?
Dann kannst du da den DHCP Server so einstellen, wie es dir passt. DNS1 auf deine Server IP, DNS2 auf die FritzBox und Gateway auch auf die FritzBox.
RFZ
Fortgeschrittener
Beiträge: 232
Registriert: 19.12.2008, 17:27

Re: Feste IP

Beitrag von RFZ »

atamiga hat geschrieben:[...] da der Windows DHCP Server nicht rund um die Uhr läuft und damit keine Adressen vergeben kann z.b an mein
Netboot oder Firmen NB die auf DHCP konfiguriert sind. Die Clients (Desktop PC'c) sind fest zugewiesen. Da Besteht das Problem halt nicht.
Äm... Lass doch den DC mal aussen vor, du hast einen DNS Server der ja wohl 24/7 läuft, sonst macht er keinen Sinn. Warum kann dieser nicht auch den DHCP Dienst stellen?
Benutzeravatar
RcRaCk2k
Ehrenmitglied
Beiträge: 2402
Registriert: 20.09.2007, 10:23
Wohnort: Freilassing

Re: Feste IP

Beitrag von RcRaCk2k »

RFZ hat geschrieben:Allerdings passt das nicht mit dem zusammen, was ich so am WAN Port "sehe".
RelayAgent ist bei allen DHCP Paketen ein Server von KD, keine private IP des Modems. Konkret ist es bei mir 83.169.169.126. DHCP Offers, ACKs und NAKs kommen alle von diesem Server, und zwar auf IP und MAC Ebene.
Das ist logisch. Leider ist das Modem nicht der einzige Relay-Agent im Netzwerk der Kabel-Deutschland, was die Sache etwas komplezierter macht.
RFZ hat geschrieben:Auch kann es nicht sein, dass die Kommunikation zum DHCP Forwarder in meinem Modem gerichtet stattfindet, wenn ich empfange DHCP Nachrichten die ganz offensichtlich für Andere bestimmt sind, nämlich unprovisionierte Modems, porvisionierte Modems, Telefonieclients der Modems und letztendlich die der anderen PCs oder Router. Ich erhalte durch die DHCP Offers deren öffentliche IP und deren MAC Adresse.
Das lässt sich auch ganz einfach erklären. DHCP-Discovery und DHCP-Offer laufen in erster Instanz als Multicast - sprich Destination-MAC-Address ist FF:FF:FF:FF:FF:FF und die Destination-IP-Address ist 0.0.0.0 - in der Message des DHCP-Requests siehst du natürlicherweise die MAC-Adresse des Requesters. GI-ADDR ist immer der letzte Multicast Relay-Agent bzw. der DHCP-Server selbst, falls er dieses Feld mit seiner eigenen IP-Adresse überschreibt (Verschleierung der DHCP-Informationen um das Netzwerk schlechter analysieren zu können).
RFZ hat geschrieben:Dass KabelDeutschland statisches ARP verwendet, verhindert nicht Angriffe durch ARP Spoofing, denn das Endgerät beim Kunden verwerndet es nicht. So wäre es immernoch möglich die Kommunikation Kunde -> KD abzuhören, nur anders rum geht es dann nicht.
Fast richtig... Nur hat das Modem sowieso einen IP-Filter, welcher jegliche Daten sperrt, die nicht der IP-Adresse des Leases übereinstimmt... Ein ARP-Announce sieht ja so aus, dass du deine FAKE-IP-Adresse announced und dabei deine MAC-Adresse angbist, damit das Paket an dein Interface zugestellt wird. Nur leider kommst du mit diesem Announce garnicht in das Netz von KD, da das Modem dieses Announce verwirft... Von daher macht das statische ARP natürlich nur in Senderichtung zum Kunden Sinn - schon klar...

Liebe Grüße,
Michael.
Anschlüsse: 3x Internet&Phone 100 MBits, 2x Internet&Phone 26MBit, 1x Internet&Phone 32 MBits Telefon-Anschluss: sipgate.de, dus.net, easybell.de, personal-voip.de
Router: Linux x64 Router, Interne Verkablung: Patchpannel, CAT 7, Netzwerkdosen, CAT 5e, wirelessLAN

Links:
- Kabel-Deutschland und die Geschwindigkeit des Internet-Zugangs