DSlite umgehen wie?

[beercarrier]

Entschuldigt bitte das ich zu dem Thema was gesagt habe, ich habe dann immer Probleme mit der Rolle als unbezahlter Erklärbär. Da ich aber nunmal nicht widerstehen konnte.

Auf deiner Fritzbox gibt es keine Einstellung zu DMZ, das Beste was du tun kannst ist den Server dort als exposed host einzutragen. Dieser ist aus dem internen LAN dann nicht mehr zu erreichen, sozusagen ähnlich einem Gäste WLAN, ist ja auch egal denn konfigurieren kannst du ihn ja direkt per Tastatur und Monitor, damit trennst du das interne LAN vom Server. Es ist eine Holzhammermethode im Vergleich zu einer Firewall und VLAN was die Fritzbox alles nicht kann, wobei man das auch richtig konfigurieren müsste.

Wünsche euch noch einen angenehmen Samstag und eine tolle Diskussion.

 

[conf_t]

Auf deiner Fritzbox gibt es keine Einstellung zu DMZ

Hat niemand behauptet, gibt nur viele, die glauben Exposed Host wäre DMZ.

das Beste was du tun kannst ist den Server dort als exposed host einzutragen

Nein, nein und nochmals nein. So ist der PC auf jedem Port, der einen Dienst hat aus dem Internet erreichbar. Ob gewollt oder nicht. So ist in dem Fall bei Windowskisten wunderbar RDP und auch SMB aus dem Internet erreichbar. Ein Security Fiasko.

Frei nach dem Motto, wenn schon ein Stein in der Mauer fehlt kann ich sie gleich ganz einreißen?

Du musst nix erklären, einfach selbst bei AVM nachlesen reicht.

 

[Tom_123]

Ich hoffe beercarrier betreibt keine Server

Manchmal wünsche ich mir, dass alle Privatkundenanschlüsse gleich auf DSlite betrieben werden und nicht seitens der Provider umgestellt werden. Dann gibt es dort gleich eine Hürde, bezüglich der Erreichbarkeit von schlecht eingestellten Diensten. Der, der sich mit dem Thema beschäftigt, bekommt es hin, der Andere nicht und ist somit gleich automatisch vor sich selbst "geschützt".

 

[beercarrier]

Du musst nix erklären, einfach selbst bei AVM nachlesen reicht.

Natürlich kannst du eine Portfreigabe einrichten, aber wenn die API oder das Programm dahinter eine Sicherheitslücke hat kannst du den Server übernehmen und kommst von dort auf das ganze Netzwerk. Wäre es da nicht sinnvoller den Server vom restlichen Netzwerk zu trennen und eben so gut wie möglich zu patchen. Besser für das restliche Netzwerk, und der Server hat in der Regel auch eine clientbasierte Firewall, z.B. Windows Defender bei der man nur die Ports freigibt die auch wirklich benötigt werden.

Es ärgert mich das mir Unwissenheit und oder Dummheit unterstellt werden, aus dem Grund bin ich bei solchen Diskussionen in öffentlichen Foren raus. Es kann passieren das man erst zugepostet wird das man Blödsinn erzählt und dann wird noch gewünscht das man den ganzen Konfigurationsaufwand übernehmen soll. Mir ist das zu toxisch: Du hast Recht!!!

 

[conf_t]

Wäre es da nicht sinnvoller den Server vom restlichen Netzwerk zu trennen und eben so gut wie möglich zu patchen

Besser wäre wie schon erwähnt eine billige Heim-DMZ mit zwei FRITZ!Boxen.
FB A mit Netz A steckt direkt am Internet und beheimatet alle Internet Exposed Dienste (ja, Dienste, keine Exposed Hosts). Daran ist dann auch per WAN die FRITZ!Box B angeschlossen dir das sichere LAN beheimatet.
Artikel ist zwar schon über 15 Jahre alt, aber gerade mit IoT (Heizungen und Co) aktueller denn je und funktional https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html

Mit Enterprise HW zwar schöner umzusetzen, geht aber, selbst mit VoIP nie Probleme gehabt.

Ein Exposed Host bei der FRITZ!Box kommt einem Honeypot gleich. Der ist ohne zusätzliche Absicherung als übernommen zu betrachten in dem Monent wo er angeschlossen/eingerichtet wird.

 

[beercarrier]

Wilkommen auf meiner Ingorierliste, wieso ist ein exposed host auf der Fritzbox ein Honigtopf, egal woran du einen Server frei ins Netz stellst ist er anfällig, deswegen gibt es ja Firewalls. Eine DMZ mit zwei Routern ist auch nicht Fritzbox abhängig. Man braucht auch keine Enterprise HW, XCPng, Opensene und das Server BS reichen. Es mangelt an Wissen, ist ja nicht schlimm, aber dann anderen zu unterstellen das sie keine Ahnung haben ist menschlich fragwürdig.

 

[conf_t]

Auch wenn du das nicht mehr lesen solltest. Du liest meine Posts nicht richtig und hängst dich an vermeintliche Argumente auf, die nicht existieren. Ich habe nirgends für meinen Vorschlag für eine FRITZ!Box als Voraussetzung genannt. Sondern als Beispiel genommen, weil schon eine vorhanden ist. Und das Wort Router mir nicht differenziert genug ist (beinhaltet ja Preisklasse 20 bis 2000000€++) Letztlich ist es aber eine übliche Masche, wenn einem die Argumente ausgehen Nebenkriegsschauplätze aufzumachen.

Um beim Thema zu bleiben, du willst also jemanden, dem nicht klar ist, dass er selbst ohne Hilfe des Providers nicht von seinem DSLite runterkommt Open/ pfSense u.ä. vorschlagen? Ich denke man sollte versuchen bei sowas auf dem Level des TEs versuchen zu bleiben. Klar kann man sagen „wer das nicht weiß“ sollte das nicht tun, aber der Hinweis auf Exposed Host ohne die Erwähnung was das für Risiken birgt und wie man die absichert ist in einem Consumer Forum fatal. Das ist wie Bungee Jumping zu erklären, ohne das Seil zu erwähnen. Es gibt leider genug Wirrköpfe, die die genau meinen Exposed Host einzig und allein sei sicher. Gut dass du wenigstens später aufgeklärt hast, dass du nicht dazu gehörst und zusätzlich absicherst.

 

[Bob.Dig]

Bei DS-lite gibt es nur einmal NAT (beim Provider).

Nope, zweimal. Einmal beim Provider und einmal bei Dir (Router).

 

[Web-Schecki]

Nope, zweimal.

Nein, bei DS-lite eben gerade nicht. Einen guten Überblick gibt https://www.elektronik-kompendium.de/sites/net/2010211.htm

Die Adressen der IPv4-Pakete werden im Router zuhause nicht übersetzt, sondern über einen IPv6-Tunnel zum AFTR des Providers geschickt. Dort und nur dort findet dann eine Adressübersetzung (zwischen Adressen verschiedener Adressfamilien) statt. Siehe dazu RFC6333.

Bei DS-lite bekommt man gar keine IPv4-Adresse mehr, daher handelt es sich nicht wirklich um Dual-Stack.
(Formal hat der Router auch bei DS-lite eine private IPv4-Adresse, aber nur, um direkt per IPv4 mit dem AFTR zu kommunizieren. Übersetzt wird da nichts.)

Bekommt man hingegen eine nicht-öffentliche IPv4-Adresse, z.B. aus dem 100.64.0.0/10-Subnetz, und zusätzlich eine öffentliche IPv6-Adresse, dann hat man zwar Dual-Stack, aber trotzdem Carrier-grade NAT. An Heimanschlüssen mit Router findet dann in der Regel nochmal NAT statt. Fälschlicherweise wird das oft als DS-lite bezeichnet - das ist aber technisch vollkommen falsch. Es handelt sich um eine ganz normale Dual-Stack-Implementierung und auf Endkundenseite bekommt man zunächst gar nicht direkt mit, dass CG-NAT benutzt wird.
Diese Variante kommt häufig im Mobilfunkbereich zum Einsatz, weil dort meist kein Router auf Kundenseite zum Einsatz kommt und daher eh nur genau einmal NAT stattfindet.
DS-lite ist bei Anschlüssen mit Router aber die bessere Lösung, gerade weil nur genau einmal NAT bemüht werden muss.

Die Königslösung ist ohnehin natürlich echtes Dual-Stack mit öffentlicher IPv4-Adresse, allerdings haben immer mehr Anbieter zu wenige davon und müssen eben CG-NAT einsetzen.

wieso ist ein exposed host auf der Fritzbox ein Honigtopf, egal woran du einen Server frei ins Netz stellst ist er anfällig, deswegen gibt es ja Firewalls.

Eben, und als "exposed Host" wird die Firewall im Router für diesen Host komplett deaktiviert.
Du hast Recht, eine Trennung von Heimnetz und öffentlichem Server ist sinnvoll, aber die wird ja nicht dadurch gegeben, sondern braucht weitere Geräte (nachgelagerter Router oder nachgelagerte Firewall) oder solche Sachen wie VLANs.
Diesen Teil verstehe ich daher nicht:

Dieser ist aus dem internen LAN dann nicht mehr zu erreichen,

Warum sollte das so sein? Ein exposed Host ist grundsätzlich weiterhin normal aus dem LAN zu erreichen und - was du wahrscheinlich eigentlich sagen wolltest - erreicht auch weiterhin alle Geräte im LAN. Wer soll ihn auch aufhalten? Zwischen ihm und den anderen Geräten ist ggf. nur ein Layer2-Switch.

Man hat sicherheitstechnisch niemals Vorteile durch einen exposed Host im Netzwerk. Wenn man eh eine weitere Firewall zur Trennung einsetzt, dann ist es natürlich unproblematisch, diese als exposed host zu konfigurieren und spart einem viel Aufwand. Sicherheitstechnisch ist es aber nicht besser geworden dadurch.

Du hast aber im ersten Post davon gesprochen, den Server als exposed Host zu konfigurieren - und das ist definitiv richtig problematisch, wenn es sich beim Server nicht explizit um eine Firewall o.Ä. mit entsprechender Konfiguration handelt.

 

[Bob.Dig]

Nein, bei DS-lite eben gerade nicht.

Die Adressen der IPv4-Pakete werden im Router zuhause nicht übersetzt, sondern über einen IPv6-Tunnel zum AFTR des Providers geschickt. Dort und nur dort findet dann eine Adressübersetzung (zwischen Adressen verschiedener Adressfamilien) statt. Siehe dazu RFC6333.

Das ist ja noch widerlicher als ich angenommen hätte, danke für die Aufklärung.

 

[riversource]

Die Adressen der IPv4-Pakete werden im Router zuhause nicht übersetzt, sondern über einen IPv6-Tunnel zum AFTR des Providers geschickt.

Da muss ich jetzt nachhaken, denn den Artikel lese ich anders.

Bei DS-Lite bekommt der Netzzugangsrouter des Kunden keine öffentliche IPv4-Adresse, sondern eine private IPv4-Adresse. Das bedeutet, der Kunde bekommt erst über Carrier Grade NAT eine öffentliche IPv4-Adresse.

Das heißt, der Router hat eine WAN Adresse, wenn auch eine private. Das wiederum heißt, der Router zu Hause macht NAT aus dem Heimnetz (192.168.x.y) aufs CG-NAT Netz (100.64.x.y), und der NAT Router beim Carrier übersetzt dann auf die öffentliche IP. Also am Ende doch 2x NAT.

Andernfalls würde das ja bedeuten, dass der NAT Router beim Carrier mit den 192.168er Adressen konfrontiert würde. Das kann ich mir nicht vorstellen, zumal die Adressen im Heimnetz nicht aus dem CG-NAT Bereich sind.

 

[Bob.Dig]

Es gibt wohl inzwischen beides lt. Wikipedia. Mindestens ursprünglich, wenn nicht sogar heute, ist es aber so, wie @Web-Schecki das beschrieben hat, lt. diverser Sites, die ich mir inzwischen angeguckt habe.

 

[Tom_123]

Hi,

Das heißt, der Router hat eine WAN Adresse, wenn auch eine private.

das trifft nur bei DS-lite über ein CG-NAT zu, wie es diverse Glasfaseranbieter in Deutschland z. B. die Deutsche Glasfaser einsetzen.

Bei Realisierung über ein AFTR-Gateway, welches nur per IPv6 erreichbar ist, hat der Router auf Kundenseite gar keine IPv4 Adresse auf der WAN-Schnittstelle, sondern nur noch noch IPv6. Den IPv4 Traffic packt er dann in IPv6 Pakete und schickt diese dann zum AFTR-Gateway, wo diese wie bei einem CG-NAT Gateway eines Glasfaseranbieters entpackt werden und zum Ziel über IPv4 weitergeleitet werden. Die Antwort wird dann am AFTR-Gateway wieder in IPv6 Pakete verpackt und zum Kundenrouter geschickt.

 

[riversource]

das trifft nur bei DS-lite über ein CG-NAT zu, wie es diverse Glasfaseranbieter in Deutschland z. B. die Deutsche Glasfaser einsetzen.

Deutsche Glasfaser macht kein DS-Lite, sondern echtes DS mit CGNAT, so wie es im Elektronik Kompendium beschrieben ist:

Irrtümlicherweise werden Internet-Zugänge mit globaler IPv6-Adresse und privater IPv4-Adresse als Dual Stack Lite bezeichnet. Dabei handelt es sich auch um ganz gewöhnliches Dual Stack.

Bei Realisierung über ein AFTR-Gateway, welches nur per IPv6 erreichbar ist, hat der Router auf Kundenseite gar keine IPv4 Adresse auf der WAN-Schnittstelle

Das steht aber anders im Artikel.
Also mit AFTR ist es DS-Lite, da sind wir uns einig. Ohne AFTR ist es kein DS-Lite, sondern echtes DS, ggf. mit CGNAT, das ist auch unstrittig.

Die Frage ist: Gibt es trotz AFTR eine WAN IPv4? Ihr sagt nein, der Artikel beim Elektronik Kompendium sagt ja. Ich weiß es nicht, ich hab kein DS-Lite, denn mein Deutsche Glasfaser Anschluss macht richtiges DS mit CGNAT.

 

[Web-Schecki]

Das heißt, der Router hat eine WAN Adresse, wenn auch eine private.

Der Abschnitt ist im Artikel vielleicht etwas missverständlich. Im RFC 6333 ist genauer in Abschnitt 5.7 erklärt, was mit der "privaten" IPv4-Adresse gemeint ist:

Any locally unique IPv4 address could be configured on the IPv4-in-IPv6 tunnel to represent the B4 element. Configuring such an address is often necessary when the B4 element is sourcing IPv4 datagrams directly over the tunnel. In order to avoid conflicts with any other address, IANA has defined a well-known range, 192.0.0.0/29.

192.0.0.0 is the reserved subnet address. 192.0.0.1 is reserved for the AFTR element, and 192.0.0.2 is reserved for the B4 element. If a service provider has a special configuration that prevents the B4 element from using 192.0.0.2, the B4 element MAY use any other addresses within the 192.0.0.0/29 range.

Note: A range of addresses has been reserved for this purpose. The intent is to accommodate nodes implementing multiple B4 elements.

Das B4-Element ist im Endkundenrouter für das Tunneling verantwortlich. Um Adresskonflikte zu vermeiden, falls ein Router mehrere B4-Elemente enthält, hat man ein /29er-Subnetz für die Kommunikation zwischen dem Router und dem AFTR reserviert. Es geht dabei aber nur um die Fälle, in denen ein B4-Element selbst IPv4-Pakete über den Tunnel ins Internet schicken will ("when the B4 element is sourcing IPv4 datagrams directly over the tunnel"). Entscheidend ist zudem der erste Satz: "Any locally unique IPv4 address could be configured on the IPv4-in-IPv6 tunnel to represent the B4 element." - Jede lokal (im Heimnetz!) eindeutige IPv4-Adresse kann theoretisch genutzt werden. Eine FRITZ!Box (hat nur ein B4-Element) könnte also auch einfach 192.168.178.1 nutzen und tut das womöglich auch.
Die 192.0.0.2 ist also nicht wirklich eine WAN-Adresse, sondern eher eine Art Hilfsadresse, um direkt mit dem AFTR über IPv4 zu Konfigurationszwecken kommunizieren zu können, sodass dieser weiß, dass er gerade mit dem B4-Element (und nicht irgendeinem anderen Gerät im Heimnetzwerk) spricht.

Andernfalls würde das ja bedeuten, dass der NAT Router beim Carrier mit den 192.168er Adressen konfrontiert würde

Genau das passiert bei DS-lite. Siehe Abschnitt 6.6 im zitierten RFC 6333:

The NAT binding table of the AFTR element is extended to include the source IPv6 address of the incoming packets. This IPv6 address is used to disambiguate between the overlapping IPv4 address space of the service provider customers.

By doing a reverse lookup in the extended IPv4 NAT binding table, the AFTR knows how to reconstruct the IPv6 encapsulation when the packets come back from the Internet. That way, there is no need to keep a static configuration for each tunnel.

Heißt: In der NAT-Tabelle beim Provider wird bei jedem Eintrag die weltweit eindeutige IPv6-Adresse deines Routers zusätzlich hinterlegt. Damit können mehrere Kunden z.B. das 192.168.178.0/24-er Netz benutzen, wie bei FRITZ!Boxen üblich, und trotzdem ist eine eindeutige Zuordnung möglich. Oder eben die angesprochene Adresse 192.0.0.2, die ja auch bei jedem Kunden existiert.

Dass kein doppeltes NAT zum Einsatz kommen sollte, steht explizit im Abschnitt 4.2.

A DS-Lite CPE SHOULD NOT operate a NAT function between an internal interface and a B4 interface, as the NAT function will be performed by the AFTR in the service provider's network. This will avoid accidentally operating in a double-NAT environment.

Man könnte natürlich auch nochmal im Router NAT einsetzen, wenn man will, aber DS-lite hat gerade den Zweck, dass man sich das spart. NAT findet bereits beim Provider statt und man hat mit DS-lite eine (relativ saubere) Implementierung von CG-NAT, natürlich mit den Nachteilen, die das mit sich bringt, aber ohne die Nachteile von doppeltem NAT.

Falls der Router eine IPv4-Adresse aus dem 100.64.0.0/10er-Netz bekommt, dann handelt es sich wie gesagt nicht um DS-lite, obwohl auch da CG-NAT genutzt wird. Der Router muss aber keine Pakete tunneln und beim Provider steht auch kein AFTR, sondern ein ganz normales IPv4-IPv4-NAT-Gateway.
Der Vorteil dieser Variante ist, dass man kein B4-Element braucht (Handys haben das nicht), der Nachteil ist, dass man doppelt NAT hat, wenn man auf Endkundenseite mehrere Geräte hat.
Im Festnetz, wo in der Regel mehrere Geräte an einem Router hängen, ist DS-lite also auf jeden Fall die bessere CG-NAT-Variante, weil nur einmal NAT zum Einsatz kommt. Warum einige Glasfaseranbieter darauf verzichten, weiß ich nicht.
Es ist zwar verbreitet, aber strenggenommen terminologisch falsch, von DS-lite zu sprechen, sobald CG-NAT zum Einsatz kommt. DS-lite beschreibt laut RFC 6333 eine Tunneling-Technik, die überhaupt kein Dual-Stack benötigt (man ist nur mit IPv6 ins WAN angebunden). CG-NAT geht aber problemlos auch ohne einen solchen Tunnel.

 

[riversource]

@Web-Schecki: Danke, das erklärt es gut. Damit dürfte klar sein, dass die Router bei den Kunden keine WAN Adresse haben.

 

[Sykehouse]

Keine WAN IPv4 Adresse, aber natürlich eine WAN IPv6. So ists zumindest beim DS lite meines Anbieters.

 

[Bob.Dig]

ich hab kein DS-Lite, denn mein Deutsche Glasfaser Anschluss macht richtiges DS mit CGNAT.

Das mag zwar rein technisch richtig sein, aber verwenden würde ich dafür die Begrifflichkeit "richtigen Dual-Stack" trotzdem nicht wollen.

 

[Holzkopf]

Zu DS-Lite gibts auch noch eine erweiterung wo der NAT part wieder ins CPE wander soll.
Die Telekem wollte dies bei ihrem TeraStream Projekt einsetzen.
nennt sich Lightweight 4over6.

 

[Web-Schecki]

Zu DS-Lite gibts auch noch eine erweiterung wo der NAT part wieder ins CPE wander soll.

Cool, kannte ich noch nicht. Aber ja, ein großer Nachteil bei CG-NAT aus Anbietersicht sind sicher die riesigen NAT-Tabellen. Ob ein AFTR seltener überlastet, wenn die wegfallen, oder ob das Problem mit der Überlastung schlicht am begrenzten Netzwerkdurchsatz eines einzelnen AFTR liegt? Ich weiß es nicht.