b_d
© Natural Ignorance (NI)
|
|
GrandAdmiralThrawn
XP Nazi
|
Grüß euch,
Ich wollte fragen ob irgendjemand von euch die Subnetze von HoT kennt? Ich nehme an das werden halt gewisse Teilnetze von Magenta sein?
Ich hab' Mal geschaut und die Netze 100.91.198.228/30 sowie 10.81.214.123/29 gefunden. Paar Reboots später war mir klar, daß das scheinbar ein Haufen Mininetze sind? Gibt's da irgendwo eine Liste oder so? Ginge darum, das als iplist ipset in firewalld einzupflegen. Aber ich will nicht 70000 Reboots hinlegen um alle erdenklichen Subnetze zu ermitteln, das wird ja nichts...
Und bei HoT, Magenta und auch sonstwo im Netz bin ich nicht fündig geworden, weil technische Informationen gibt's natürlich wieder Null. Wenn's hier niemand weiß muß ich halt den Support bemühen.
Danke!
Bearbeitet von GrandAdmiralThrawn am 07.08.2024, 14:34
|
schizo
Produkt der Gesellschaft
|
Die beiden von dir genannten Netze befinden sich im RFC198 Bereich. Wenn du selbst 10/8 nicht in Verwendung hast kannst du diesen und 100.64/10 als ISP IP Range verwenden.
Die tatsächlich verwendeten Netze kenne ich allerdings nicht.
|
Römi
Hausmeister
|
das ist dann aber auch wieder fast ein allow all Bei mir steht T-Mobile Austria. Vielleicht haben die auch keine eigenen ranges.
|
GrandAdmiralThrawn
XP Nazi
|
Das kann gut sein, aber ich weiß es halt nicht. Ah, ich werd' HoT einfach fragen. Und wenn ich eine vernünftige Antwort bekomme, poste ich's hier rein, falls das Mal sonst irgendwen juckt.
|
schizo
Produkt der Gesellschaft
|
das ist dann aber auch wieder fast ein allow all
Bei mir steht T-Mobile Austria. Vielleicht haben die auch keine eigenen ranges. Jein, wenn das ganze Interfacegebunden ist habe ich da keine so großen Bedenken. Viele providerfremde Pakete von den beiden von mir genannten IP Ranges werden am WAN Interface ja hoffentlich nicht reinkommen.
|
GrandAdmiralThrawn
XP Nazi
|
Das habe ich nicht ganz verstanden (vielleicht bin ich einfach z'deppert, was natürlich sehr gut sein kann, kommt ja vor hin und wieder ). Es handelt sich um eine öffentliche WAN Schnittstelle, ja. Aber wenn ich das nicht per Firewall einschränke, dann sind alle offenen Sockets auf der Schnittstelle natürlich entsprechend erreichbar. Da gibt's ja außer der lokalen Firewall keinen weiteren Filter der irgendwas einschränken würde? Wie meinst du das da, daß keine providerfremden Pakete auf der WAN Schnittstelle reinkommen würden?
|
schizo
Produkt der Gesellschaft
|
Soweit ich das verstanden habe magst du den Zugriff aus HoT Netzen auf deine Infrastruktur (ich nehme an, dass du bei Magenta bist) irgendwelche zusätzlichen Rechte geben. 10/8 bzw. 100.64/10 wird öffentlich nicht geroutet, d.h. die Zugriffe sind nur innerhalb der HoT/Magenta Netze möglich. Das Magenta Netz ist afaik auch komplett unabhängig von den DTAG Netzen anderer Länder, insofern wird dadurch auch das Risiko von fremden Zugriffen minimiert. Insofern in weiterer Folge noch eine Authentifizierung bei den jeweiligen Diensten erfolgt hast du somit die Anzahl der möglichen Zugriffe doch erheblich eingeschränkt.
|
GrandAdmiralThrawn
XP Nazi
|
Ah okay, aber nein, wir sitzen nicht im Magenta Netz. Unsere LWL Leitung hängt im ACONet, das ist ein von der A1 betriebenes Universitätsnetzwerk. Nur manche Clients kommen halt von außen per HoT daher. Die meisten davon können unser VPN benutzen, aber leider nicht alle. Daher war die Idee dieses eine Netz auf den Zieldienst freizugeben. Nicht perfekt, aber besser als alles zulassen, so wie es bis vor kurzem noch war. Da hat gut viel Hammering stattgefunden, konnte man an der Aktivität der tarpit gut beobachten.
Ich habe gestern meine Anfrage an HoT geschickt. Na Mal schauen was da zurückkommt. Falls überhaupt etwas zurückkommt. Sonst bleibt's halt gesperrt.
|
GrandAdmiralThrawn
XP Nazi
|
So, Antwort ist da: HoT verweigert die Herausgabe.
|
Viper780
ModeratorEr ist tot, Jim!
|
Wie kann man eine privat IP auf einem fremden WAN Interface haben?
|
GrandAdmiralThrawn
XP Nazi
|
Huh? Es geht darum daß diese HoT IPs auf unser A1/ACONet WAN Interface zugreifen dürfen, also eine Firewallregel für eingehende Verbindungen auf einen bestimmten IPv4 Socket auf einem bestimmten, öffentlichen Server, aus HoT Netzen kommend (die ham eh auch nur IPv4 soweit ich sehe). Wenn Magenta (und damit HoT) Netze hat die nur intern gerouted werden und dann über SNAT Gateways in's Netz rausfahren, dann ist das ja vorstellbar. Das scheint in [ RFC 6598] als "Carrier-grade NAT" Bereich definiert worden zu sein. Kannte ich noch ned. Aber da hätte schizo schon Recht, denke ich. Wenn wir auch im Magenta Netz sitzen würden. Vielleicht bräuchte ich auch nur die Gateway IPs, hm... Ich müßte Mal am Server schauen was da eigentlich für eine Remote IP daherkommt beim Zugriffsversuch.
|
Viper780
ModeratorEr ist tot, Jim!
|
Genau - aber da ihr _nicht_ bei Magenta seid kann ich mir das nicht vorstellen wie da ein Paket direkt am WAN Interface ankommen kann und vorallem wie du dann drauf antworten willst.
Bei CGNAT wird ja beim Verlassen des Netzes eine public IP zugeordnet die du dann siehst
|
schizo
Produkt der Gesellschaft
|
Wie schaut denn die Infrastruktur bei euren WAN Interfaces aus, wie schlagen die HoT IPs bei euch auf? Habt ihr hier einen dedizierten Gateway dafür? Oder schlagen die bei eurer A1 Leitung auf? Falls ersteres, wie sieht das Routing dafür aus, lernt ihr die Routen via BGP oder einem sonstigen Routingprotokoll?
|
__Luki__
bierernste Islandkritik
|
Genau - aber da ihr _nicht_ bei Magenta seid kann ich mir das nicht vorstellen wie da ein Paket direkt am WAN Interface ankommen kann und vorallem wie du dann drauf antworten willst.
Bei CGNAT wird ja beim Verlassen des Netzes eine public IP zugeordnet die du dann siehst +1 Ich verstehe es am selben Punkt nicht, wie du. Sobald man mit seinem HOT Geraet "auszerhalb" der HOT-Infrastruktur unterwegs ist, kommt das Device doch mit einer public ip daher. Dh. beim Zugriff auf deine Firewall, oder auch zB. oc.at kommt das Paket von zB. 213.x.x.x und niemals von einer private IP. Wenn ich mit meiner Hot-Sim auf https://www.wieistmeineip.de/ gehe, werde ich da nie eine Adresse aus 10/8 & 100.64/10 sehen...
|