Feste IP

[vigidr]

wie findet die Authentifizierung statt. Mit der MAC vom Modem?

Ja. Darum kann man das Modem nicht einfach tauschen, weil ein neues erst registriert sein muss, naemlich bei der Gegenstelle (CMTS).

Ich will euch nicht beunruhigen abwer ich habe auch schon von Fällen gehört wo kabel Deutschland den zugang gesperrt hat weil zu oft eine neue IP gezogen wurde

Die Geruechtekueche brodelt mal wieder, gell?

[atamiga]

es ging ja hier nicht um den ständigen IP-Wechsel. Die Frage war ob die IP exclusiv zugewiesen wird. Ist aber
(zum glück) nicht so. Wenn mich KD abklemmen würde weil ich täglich mein Modem mit dem Rechner ausschalte
würden Sie von meinem RA hören...bzw. lesen

[vigidr]

Wenn mich KD abklemmen würde weil ich täglich mein Modem mit dem Rechner ausschalte
würden Sie von meinem RA hören...bzw. lesen

Genau genommen wuerden Kabel Deutschlands RA (Plural) von deinem RA (Singular) lesen. Davon abgesehen ist das mit der modemneustartbedingten Kuendigung Unfug.

[RcRaCk2k]

Gute Frage... Wie läuft das eigentlich mit der MAC des Modems und der MAC meines Gerätes welches online geht und die IP vom DHCP erfrägt?
Ich wäre ja davon ausgegangen, dass das Modem die Verbindung zwischen meinem Router und den KD Servern über ein eigenes, darunterliegendes, Protokoll tunnelt. Das würde bedeuten, dass diese Kommunikationsebene, die auch die die MAC Adresse des Modems enthält, für mich als Kunde nicht sichtbar ist.

Es ist viel einfacher als du denkst.

Da das Modem nur als Brücke zum eigentlichem Netz fugiert ist das relativ einfach, wie das Ganze funktionieren >> muss <<.

Das Modem macht während der Initialisierung einen DHCP-Request und erhält eine private IP-Adresse im Bereich 172.xxx.xxx.xxx. Durch diesen DHCP-Request weiß der DHCP-Server, welche IP-Adresse das Modem zugewiesen bekommen hat ... Sprich es existiert eine logische Verbindung zwischen MAC-Adresse des Modems und der IP-Adresse des Modems... Zu dem Ganzen gibt es noch eine logische Verbindung zwischen MAC-Adresse des Modems und dem Anschlussinhaber.

Auf dem Modem läuft nun ein DHCP-Forwarder, welcher die DHCP-Anfragen am LAN-Port entgegen nimmt und an den COAXIAL-Ausgang weiterleitet. In diesem weitergeleitetem Paket wird das Feld GIADDR ausgefüllt, wo ein DHCP-Forwarder seine eigene IP-Adresse hinein schreibt.

Diese IP-Adresse im GIADDR-Header wird für die DHCP-Kommunikation verwendet, denn der DHCP-Server schickt die Antwort direkt an das Modem, welches das Paket dann wieder an den Rechner weiterleitet, von welchem die Anfrage ausgegangen ist.

Zusammenfassung der logischen Verbindung:
Anschluss-Inhaber <-> MAC-Adresse des Modems
MAC-Adresse des Modems <-> IP-Adresse des Modems
IP-Adresse des Modems <-> IP-Adresse des Routers / Rechners hinter dem Modem

Ich sollte mich vielleicht mal in den Standard einlesen, das ist durchaus eine interessante Angelegenheit

Kannst du ganz einfach hier machen:

http://de.wikipedia.org/wiki/Dynamic_Ho ... CP-Paketes
Interessanter Abschnitt: giaddr (4 Byte): Relay-Agent-IP-Adresse)

Generell würde mich interessieren, wie das Netz von KD gegen solche (sicher auch versehentlichen) Manipulationen geschützt ist. Was wäre, wenn ich einfach mit einer von mir festgelegten IP (natürlich im Subnetz meines Netzsegments) online gehe, klappt das? Oder sitzt ein Filter dazwischen, der für meine MAC Adresse nur Pakete durchlässt, die von der IP stammen, die auch in meiner DHCP Lease eingetragen ist?

Kabel-Deutschland verwendet statisches ARP, somit ist es nicht möglich, ARP-Spoofing zu betreiben. Zudem existiert auf dem Modem ein IP-Paket-Filter, welcher es nicht erlaubt, einen eigenen DHCP-Server auf WAN-Seite zu betreiben - sonst könnte man ja die DHCP-Services von KD gefährden. Zudem ist der DHCP-Forwarder so eingestellt, dass du nur von deiner eigenen IP-Adresse aus Daten schicken kannst. Sprich, wenn der DHCP-Forwarder nichts von deinem Lease weiß, dann geht auch die Kommunikation nicht. Was zum Schluss bedeutet, dass wenn man sich eine dynamisch verteilte IP-Adresse statisch eintragen würde, das Modem nach einer Stunde die "Akzeptieren-Regel" entfernen und die IP-Adresse wieder freigeben würde.

Ich weiß nicht, ob der DHCP Server dann berücksichtigt, dass die IP trotzdem noch genutzt wird, oder ob er sie erneut vergibt, was dann zu Problemen für dich und den anderen Kunden führen könnte.

Aufgrund der Filter kommt es zu keinen Problemen. Alleine das statische ARP, sowie das dynamische Routing via BGP / OSPF löst solche Probleme von ganz von alleine.

Hackern dürfte es nicht einfach sein, an die Daten anderer Nutzer heranzukommen. Denn ARP-Spoofing und deren Gleichen funktionieren einfach dank der vielen Filter nicht.

Liebe Grüße,
Michael Rack.

[atamiga]

Das Modem macht während der Initialisierung einen DHCP-Request und erhält eine private IP-Adresse im Bereich 172.xxx.xxx.xxx. Durch diesen DHCP-Request weiß der DHCP-Server, welche IP-Adresse das Modem zugewiesen bekommen hat ... Sprich es existiert eine logische Verbindung zwischen MAC-Adresse des Modems und der IP-Adresse des Modems... Zu dem Ganzen gibt es noch eine logische Verbindung zwischen MAC-Adresse des Modems und dem Anschlussinhaber.

d.h. ja im Umkehrschluß das jeder Router hinter dem Modem funktionieren würde wenn man dieses fürs Kabelnetz konfigurieren kann da ja das Modem die Authentifizierung durch die Mac Adresse übernimmt. Nur die VOIP funktionen müssten eingerichtet werden. Korrekt? Was mich z.b. an der Fritzbox nervt das ich in der Konfiguration keinen DNS eintagen kann. Ich betreibe hier ein kleines Netz mit eigenem DNS Server den ich gerne von der FB verteilen lassen würde.

Gruss

micha

[RFZ]

Gute Frage... Wie läuft das eigentlich mit der MAC des Modems und der MAC meines Gerätes welches online geht und die IP vom DHCP erfrägt?
Ich wäre ja davon ausgegangen, dass das Modem die Verbindung zwischen meinem Router und den KD Servern über ein eigenes, darunterliegendes, Protokoll tunnelt. Das würde bedeuten, dass diese Kommunikationsebene, die auch die die MAC Adresse des Modems enthält, für mich als Kunde nicht sichtbar ist.

Es ist viel einfacher als du denkst.

Da das Modem nur als Brücke zum eigentlichem Netz fugiert ist das relativ einfach, wie das Ganze funktionieren >> muss <<.

Das Modem macht während der Initialisierung einen DHCP-Request und erhält eine private IP-Adresse im Bereich 172.xxx.xxx.xxx. Durch diesen DHCP-Request weiß der DHCP-Server, welche IP-Adresse das Modem zugewiesen bekommen hat ... Sprich es existiert eine logische Verbindung zwischen MAC-Adresse des Modems und der IP-Adresse des Modems... Zu dem Ganzen gibt es noch eine logische Verbindung zwischen MAC-Adresse des Modems und dem Anschlussinhaber.

Auf dem Modem läuft nun ein DHCP-Forwarder, welcher die DHCP-Anfragen am LAN-Port entgegen nimmt und an den COAXIAL-Ausgang weiterleitet. In diesem weitergeleitetem Paket wird das Feld GIADDR ausgefüllt, wo ein DHCP-Forwarder seine eigene IP-Adresse hinein schreibt.

Diese IP-Adresse im GIADDR-Header wird für die DHCP-Kommunikation verwendet, denn der DHCP-Server schickt die Antwort direkt an das Modem, welches das Paket dann wieder an den Rechner weiterleitet, von welchem die Anfrage ausgegangen ist.

Zusammenfassung der logischen Verbindung:
Anschluss-Inhaber <-> MAC-Adresse des Modems
MAC-Adresse des Modems <-> IP-Adresse des Modems
IP-Adresse des Modems <-> IP-Adresse des Routers / Rechners hinter dem Modem

Ich sollte mich vielleicht mal in den Standard einlesen, das ist durchaus eine interessante Angelegenheit

Kannst du ganz einfach hier machen:

http://de.wikipedia.org/wiki/Dynamic_Ho ... CP-Paketes
Interessanter Abschnitt: giaddr (4 Byte): Relay-Agent-IP-Adresse)

Generell würde mich interessieren, wie das Netz von KD gegen solche (sicher auch versehentlichen) Manipulationen geschützt ist. Was wäre, wenn ich einfach mit einer von mir festgelegten IP (natürlich im Subnetz meines Netzsegments) online gehe, klappt das? Oder sitzt ein Filter dazwischen, der für meine MAC Adresse nur Pakete durchlässt, die von der IP stammen, die auch in meiner DHCP Lease eingetragen ist?

Kabel-Deutschland verwendet statisches ARP, somit ist es nicht möglich, ARP-Spoofing zu betreiben. Zudem existiert auf dem Modem ein IP-Paket-Filter, welcher es nicht erlaubt, einen eigenen DHCP-Server auf WAN-Seite zu betreiben - sonst könnte man ja die DHCP-Services von KD gefährden. Zudem ist der DHCP-Forwarder so eingestellt, dass du nur von deiner eigenen IP-Adresse aus Daten schicken kannst. Sprich, wenn der DHCP-Forwarder nichts von deinem Lease weiß, dann geht auch die Kommunikation nicht. Was zum Schluss bedeutet, dass wenn man sich eine dynamisch verteilte IP-Adresse statisch eintragen würde, das Modem nach einer Stunde die "Akzeptieren-Regel" entfernen und die IP-Adresse wieder freigeben würde.

Ich weiß nicht, ob der DHCP Server dann berücksichtigt, dass die IP trotzdem noch genutzt wird, oder ob er sie erneut vergibt, was dann zu Problemen für dich und den anderen Kunden führen könnte.

Aufgrund der Filter kommt es zu keinen Problemen. Alleine das statische ARP, sowie das dynamische Routing via BGP / OSPF löst solche Probleme von ganz von alleine.

Hackern dürfte es nicht einfach sein, an die Daten anderer Nutzer heranzukommen. Denn ARP-Spoofing und deren Gleichen funktionieren einfach dank der vielen Filter nicht.

Liebe Grüße,
Michael Rack.

Danke für die Ausführliche Erklärung. Allerdings passt das nicht mit dem zusammen, was ich so am WAN Port "sehe".
RelayAgent ist bei allen DHCP Paketen ein Server von KD, keine private IP des Modems. Konkret ist es bei mir 83.169.169.126. DHCP Offers, ACKs und NAKs kommen alle von diesem Server, und zwar auf IP und MAC Ebene.
Auch kann es nicht sein, dass die Kommunikation zum DHCP Forwarder in meinem Modem gerichtet stattfindet, wenn ich empfange DHCP Nachrichten die ganz offensichtlich für Andere bestimmt sind, nämlich unprovisionierte Modems, porvisionierte Modems, Telefonieclients der Modems und letztendlich die der anderen PCs oder Router. Ich erhalte durch die DHCP Offers deren öffentliche IP und deren MAC Adresse.

Dass KabelDeutschland statisches ARP verwendet, verhindert nicht Angriffe durch ARP Spoofing, denn das Endgerät beim Kunden verwerndet es nicht. So wäre es immernoch möglich die Kommunikation Kunde -> KD abzuhören, nur anders rum geht es dann nicht.

[RFZ]

[...] Was mich z.b. an der Fritzbox nervt das ich in der Konfiguration keinen DNS eintagen kann. Ich betreibe hier ein kleines Netz mit eigenem DNS Server den ich gerne von der FB verteilen lassen würde.

Wenn du eh schon einen Server laufen lässt, wieso übernimmt dann nicht einfach der auch den DHCP Dienst?
Dann kannst du da den DHCP Server so einstellen, wie es dir passt. DNS1 auf deine Server IP, DNS2 auf die FritzBox und Gateway auch auf die FritzBox.

[atamiga]

es läuft ja ein DHCP Server als DC. Die DHCP Funktion wollte ich aber komplett von der FB übernehmen lassen. Somit müsste ich die möglichkeit haben
meinen internen DNS einzutragen da der Windows DHCP Server nicht rund um die Uhr läuft und damit keine Adressen vergeben kann z.b an mein
Netboot oder Firmen NB die auf DHCP konfiguriert sind. Die Clients (Desktop PC'c) sind fest zugewiesen. Da Besteht das Problem halt nicht.

[...] Was mich z.b. an der Fritzbox nervt das ich in der Konfiguration keinen DNS eintagen kann. Ich betreibe hier ein kleines Netz mit eigenem DNS Server den ich gerne von der FB verteilen lassen würde.

Wenn du eh schon einen Server laufen lässt, wieso übernimmt dann nicht einfach der auch den DHCP Dienst?
Dann kannst du da den DHCP Server so einstellen, wie es dir passt. DNS1 auf deine Server IP, DNS2 auf die FritzBox und Gateway auch auf die FritzBox.

[RFZ]

[...] da der Windows DHCP Server nicht rund um die Uhr läuft und damit keine Adressen vergeben kann z.b an mein
Netboot oder Firmen NB die auf DHCP konfiguriert sind. Die Clients (Desktop PC'c) sind fest zugewiesen. Da Besteht das Problem halt nicht.

Äm... Lass doch den DC mal aussen vor, du hast einen DNS Server der ja wohl 24/7 läuft, sonst macht er keinen Sinn. Warum kann dieser nicht auch den DHCP Dienst stellen?

[RcRaCk2k]

Allerdings passt das nicht mit dem zusammen, was ich so am WAN Port "sehe".
RelayAgent ist bei allen DHCP Paketen ein Server von KD, keine private IP des Modems. Konkret ist es bei mir 83.169.169.126. DHCP Offers, ACKs und NAKs kommen alle von diesem Server, und zwar auf IP und MAC Ebene.

Das ist logisch. Leider ist das Modem nicht der einzige Relay-Agent im Netzwerk der Kabel-Deutschland, was die Sache etwas komplezierter macht.

Auch kann es nicht sein, dass die Kommunikation zum DHCP Forwarder in meinem Modem gerichtet stattfindet, wenn ich empfange DHCP Nachrichten die ganz offensichtlich für Andere bestimmt sind, nämlich unprovisionierte Modems, porvisionierte Modems, Telefonieclients der Modems und letztendlich die der anderen PCs oder Router. Ich erhalte durch die DHCP Offers deren öffentliche IP und deren MAC Adresse.

Das lässt sich auch ganz einfach erklären. DHCP-Discovery und DHCP-Offer laufen in erster Instanz als Multicast - sprich Destination-MAC-Address ist FF:FF:FF:FF:FF:FF und die Destination-IP-Address ist 0.0.0.0 - in der Message des DHCP-Requests siehst du natürlicherweise die MAC-Adresse des Requesters. GI-ADDR ist immer der letzte Multicast Relay-Agent bzw. der DHCP-Server selbst, falls er dieses Feld mit seiner eigenen IP-Adresse überschreibt (Verschleierung der DHCP-Informationen um das Netzwerk schlechter analysieren zu können).

Dass KabelDeutschland statisches ARP verwendet, verhindert nicht Angriffe durch ARP Spoofing, denn das Endgerät beim Kunden verwerndet es nicht. So wäre es immernoch möglich die Kommunikation Kunde -> KD abzuhören, nur anders rum geht es dann nicht.

Fast richtig... Nur hat das Modem sowieso einen IP-Filter, welcher jegliche Daten sperrt, die nicht der IP-Adresse des Leases übereinstimmt... Ein ARP-Announce sieht ja so aus, dass du deine FAKE-IP-Adresse announced und dabei deine MAC-Adresse angbist, damit das Paket an dein Interface zugestellt wird. Nur leider kommst du mit diesem Announce garnicht in das Netz von KD, da das Modem dieses Announce verwirft... Von daher macht das statische ARP natürlich nur in Senderichtung zum Kunden Sinn - schon klar...

Liebe Grüße,
Michael.