Bridge Firewall LAN/Wan

Hier dreht sich alles um die aktuell von Vodafone Kabel Deutschland, von Vodafone West bzw. im Rahmen der eazy-Tarife verschickten Kabelrouter der Marken Arris, CommScope, Technicolor, Compal, Sagemcom und Hitron sowie um die SuperWLAN-Produkte von Vodafone. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf diese Produkte zurückzuführen ist!
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“), von eazy („[eazy]“) oder von O2 über Kabel („[O2]“) bist.
Boba Fett
Kabelexperte
Beiträge: 976
Registriert: 07.10.2014, 12:23

Re: Bridge Firewall LAN/Wan

Beitrag von Boba Fett »

Sofern die Aussage von Thyrael nicht zutrifft und du nicht mehrere öffentliche IPs von VF kriegst, sind die Aussagen des Kundendienstes korrekt.

Es hätte so wie du es beschreibst gar nicht funktionieren können. Also war wahrscheinlich dein CBN Router nicht im Bridgemode und dein TP-Link hat nur WLAN gemacht. Damit lief alles durch die Firewall im CBN.
Elmoare
Newbie
Beiträge: 10
Registriert: 08.05.2017, 16:35

Re: Bridge Firewall LAN/Wan

Beitrag von Elmoare »

Hab nachgefragt...es steht nur eine öffentliche IP zur Verfügung.

Allerletzte Frage (rein interessehalber): Wenn nur ein Gerät online gehen kann per Switch...wie kann man sich das vorstellen?

Müsste der Switch dann neu eingeschalten werden damit dann ein anderes online gehen kann? Oder würde das eine Gerät das andere rausschmeissen? Bezieht sich das zuweisen der öffentlichen IP dann sobald das Gerät im WLAN ist oder nur wenn tatsächlich Internet benutzt wird. Viele Geräte fordern im wLan ja nicht ständig Daten aus denn Internet an.
Boba Fett
Kabelexperte
Beiträge: 976
Registriert: 07.10.2014, 12:23

Re: Bridge Firewall LAN/Wan

Beitrag von Boba Fett »

Elmoare hat geschrieben: Allerletzte Frage (rein interessehalber): Wenn nur ein Gerät online gehen kann per Switch...wie kann man sich das vorstellen?

Müsste der Switch dann neu eingeschalten werden damit dann ein anderes online gehen kann? Oder würde das eine Gerät das andere rausschmeissen? Bezieht sich das zuweisen der öffentlichen IP dann sobald das Gerät im WLAN ist oder nur wenn tatsächlich Internet benutzt wird. Viele Geräte fordern im wLan ja nicht ständig Daten aus denn Internet an.
Kann man nicht pauschal vorhersagen. Das Gerät welches als erstes eine Netzwerkverbindung aufbaut und per DHCP eine IP-Adresse anfragt, erhält dann vom VF-DHCP die öffentliche IP und kann ins Internet (es muss dazu nicht unbedingt direkt aufs Internet zugreifen, es muss nur über die Netzwerkverbindung via DHCP eine IP-Adresse anfordern). Jedes weitere Gerät wird einfach keine IP-Adresse im Netzwerk kriegen und kann somit nicht mehr ins Internet.
Sofern alle Geräte direkt mit dem Switch verbunden sind, verlieren alle Geräte die Verbindung wenn der Switch ausgeschaltet wird, und sobald du den Switch wieder einschaltest, geht das Spiel von vorne los. Das Gerät das am schnellsten ist, gewinnt.
Sollten andere Switches oder Netzwerkkomponenten dazwischen sein, wirds kompliziert, dann merken die Geräte nämlich eventuell gar nicht, dass die Netzwerkverbindung weg ist. Dann kann sich ein nachträglich neu angeschlossenes Gerät eventuell die dann doch wieder freie öffentliche IP holen.

Sofern das ein WLAN-Router ist, werden wahrscheinlich eher Geräte "gewinnen", die mit Kabel angeschlossen sind, weil das Kabel-LAN der meisten Router nach dem einschalten schneller "online" kommt, als das WLAN.

Weil das alles eben nicht direkt vorhersagbar ist, ist auch der Grund, warum man sowas einfach nicht macht. Wenn nur ein Modem und kein Router vorhanden ist, dann schließt man das Modem eben mit Kabel auch nur direkt an einziges Gerät an. Will man mehrere Geräte versorgen, verwendet man eben einfach einen Router.
Benutzeravatar
Thyrael
Ehrenmitglied
Beiträge: 9750
Registriert: 03.02.2009, 12:46

Re: Bridge Firewall LAN/Wan

Beitrag von Thyrael »

Elmoare hat geschrieben:Hab nachgefragt...es steht nur eine öffentliche IP zur Verfügung.
An der Hotline? Sehr schön. . .

Schau doch einfach nach was für IP Adressen deine Geräte benutzen, sind die privat ist alles ok, taucht da was öffentliches auf solltest du die Konfiguration überprüfen.
Elmoare
Newbie
Beiträge: 10
Registriert: 08.05.2017, 16:35

Re: Bridge Firewall LAN/Wan

Beitrag von Elmoare »

Thyrael hat geschrieben:
Elmoare hat geschrieben:Hab nachgefragt...es steht nur eine öffentliche IP zur Verfügung.
An der Hotline? Sehr schön. . .

Schau doch einfach nach was für IP Adressen deine Geräte benutzen, sind die privat ist alles ok, taucht da was öffentliches auf solltest du die Konfiguration überprüfen.
Über den Kundendienst ja...

Bringt nix nachzusehen , da ich mittlerweile eine andere Konfiguration habe...wollte nur wissen ob ich damals ohne Firewall unterwegs war oder nicht
Elmoare
Newbie
Beiträge: 10
Registriert: 08.05.2017, 16:35

Re: Bridge Firewall LAN/Wan

Beitrag von Elmoare »

Im Bezug auf die aktuelle Konfiguration (Hiltron als alleiniger WLAN Router):

Das Rätsel mit den unbekannten Geräten im WLAN hat sich auch gelöst (zumindest welche Geräte es sind). Sowohl iPhone als auch iPad haben jeweils eine lokale 192.168.0.x IP und zusätzlich zwei öffentliche IPv6 Adressen. Warum das so ist, konnte der Kundendienst aber auch nicht erklären...es handelt sich laut Router um verbindungen mit Lease-Zeit: statisch und Typ: permanent.
(Würde in meinen Augen aber der vorherigen Aussage des Kundendienstes widersprechen, dass an meinem Anschlussnur eine öffentliche IP vergeben werden kann....aber was solls...ich werds wohl nicht erfahren, da sich VF anscheinend selbst nicht wirklich auskennt)
Boba Fett
Kabelexperte
Beiträge: 976
Registriert: 07.10.2014, 12:23

Re: Bridge Firewall LAN/Wan

Beitrag von Boba Fett »

Elmoare hat geschrieben: Das Rätsel mit den unbekannten Geräten im WLAN hat sich auch gelöst (zumindest welche Geräte es sind). Sowohl iPhone als auch iPad haben jeweils eine lokale 192.168.0.x IP und zusätzlich zwei öffentliche IPv6 Adressen. Warum das so ist, konnte der Kundendienst aber auch nicht erklären...es handelt sich laut Router um verbindungen mit Lease-Zeit: statisch und Typ: permanent.
Mit DualStack (Lite) kriegt dein Router afaik in ganzes IPv6 Subnetz zugewiesen und verteilt dann öffentliche IP-Adressen aus diesem Subnet an deine Clients. Zumindest kann man das so machen. Wie die Defaulteinstellung von den CBN/Hitrons ist, weiß ich allerdings nicht.
reneromann
Insider
Beiträge: 4908
Registriert: 28.06.2015, 13:26

Re: Bridge Firewall LAN/Wan

Beitrag von reneromann »

Boba Fett hat geschrieben:
Elmoare hat geschrieben: Das Rätsel mit den unbekannten Geräten im WLAN hat sich auch gelöst (zumindest welche Geräte es sind). Sowohl iPhone als auch iPad haben jeweils eine lokale 192.168.0.x IP und zusätzlich zwei öffentliche IPv6 Adressen. Warum das so ist, konnte der Kundendienst aber auch nicht erklären...es handelt sich laut Router um verbindungen mit Lease-Zeit: statisch und Typ: permanent.
Mit DualStack (Lite) kriegt dein Router afaik in ganzes IPv6 Subnetz zugewiesen und verteilt dann öffentliche IP-Adressen aus diesem Subnet an deine Clients. Zumindest kann man das so machen. Wie die Defaulteinstellung von den CBN/Hitrons ist, weiß ich allerdings nicht.
Mit DualStack und mit DualStack Lite erhält der Router mehrere IPv6-Subnetze, i.d.R. ein /62 - und der Router gibt dann meist das erste Subnetz an seine Geräte weiter.
IPv6-Adressen werden hingegen nicht -wie bei IPv4 üblich- per DHCP vom Router verteilt, sondern jedes Gerät bildet seine eigene "einzigartige" Hostadresse, die dann zusammen mit dem vom Router bekanntgegebenen Präfix, die gesamte IPv6 bildet.

Und das es zwei öffentliche IPv6-Adressen sind, ist auch völlig normal:
Die erste IPv6 ist eine globale, dauerhaft gültige IPv6 (direkt aus der MAC-Adresse der Netzwerkkarte abgeleitet), die zweite IPv6 ist ebenfalls global, jedoch nur temporär gültig - dabei handelt es sich um die Adresse, die durch die Privacy Extensions gebildet wurde und sich regelmäßig ändert [weil die Serverbetreiber sonst die Geräte hinter dem Router dauerhaft einzeln tracken könnte - und da der Host-Part nur von der MAC der Netzwerkkarte abhängig ist, sogar dann, wenn das Gerät in ein anderes Netzwerk bewegt wird].

Und das gilt auch für die CBN/Hitron-Geräte...
Boba Fett
Kabelexperte
Beiträge: 976
Registriert: 07.10.2014, 12:23

Re: Bridge Firewall LAN/Wan

Beitrag von Boba Fett »

reneromann hat geschrieben: Mit DualStack und mit DualStack Lite erhält der Router mehrere IPv6-Subnetze, i.d.R. ein /62 - und der Router gibt dann meist das erste Subnetz an seine Geräte weiter.
IPv6-Adressen werden hingegen nicht -wie bei IPv4 üblich- per DHCP vom Router verteilt, sondern jedes Gerät bildet seine eigene "einzigartige" Hostadresse, die dann zusammen mit dem vom Router bekanntgegebenen Präfix, die gesamte IPv6 bildet.
Soweit ich weiß, kriegt der Router ein IPv6 Subnet und verteilt die Adressen dieses Subnets im LAN weiter. Letztendlich spielt es aber auch nicht wirklich eine große Rolle, wer genau jetzt die Endgeräteadressen verteilt, ob nun der Router das Subnetz weiter verteilt, oder direkt der VF-Host jedem Endgerät seine Adresse gibt. Entscheidend ist hier, dass jedes Gerät eine öffentlich erreichbare IPv6 kriegt.
reneromann
Insider
Beiträge: 4908
Registriert: 28.06.2015, 13:26

Re: Bridge Firewall LAN/Wan

Beitrag von reneromann »

Boba Fett hat geschrieben:
reneromann hat geschrieben: Mit DualStack und mit DualStack Lite erhält der Router mehrere IPv6-Subnetze, i.d.R. ein /62 - und der Router gibt dann meist das erste Subnetz an seine Geräte weiter.
IPv6-Adressen werden hingegen nicht -wie bei IPv4 üblich- per DHCP vom Router verteilt, sondern jedes Gerät bildet seine eigene "einzigartige" Hostadresse, die dann zusammen mit dem vom Router bekanntgegebenen Präfix, die gesamte IPv6 bildet.
Soweit ich weiß, kriegt der Router ein IPv6 Subnet und verteilt die Adressen dieses Subnets im LAN weiter. Letztendlich spielt es aber auch nicht wirklich eine große Rolle, wer genau jetzt die Endgeräteadressen verteilt, ob nun der Router das Subnetz weiter verteilt, oder direkt der VF-Host jedem Endgerät seine Adresse gibt.
Weder noch - VF verteilt "nur" das Präfix an den Router (egal ob jetzt /56, /62 oder /64), der Router gibt das Präfix in das Heimnetz per IPv6-PD bekannt - und die Endgeräte bestimmen ihre "eigene" IPv6 anhand der MAC-Adresse [--> Host-Teil der IPv6, niederwertige 64 bit] und dem vom Router "gelernten" Präfix [--> Netzwerkteil der IPv6, höherwertige 64 bit] selbst.
Ergo bekommt das Gerät nur die ersten 64 bit vorgesetzt - um den Rest muss es sich ohne Hilfe ganz alleine kümmern... ;-)
Entscheidend ist hier, dass jedes Gerät eine öffentlich erreichbare IPv6 kriegt.
Entscheidend ist, dass jedes Gerät "am Ende" mindestens eine öffentlich erreichbare IPv6 hat.

Und wie ich schon schrieb: I.d.R. hat ein Gerät am Ende 2 öffentliche IPv6-Adressen - eine "quasistatische" IPv6, die sich nicht ändert, weil der Host-Teil der IPv6 direkt aus der MAC abgeleitet wird -und- eine "temporäre" IPv6, damit nicht jeder mittracken kann, welches Gerät genau die Daten abgerufen hat. Für Serverdienste eignet sich natürlich nur die "quasistatische" IPv6, die temporäre IPv6 (also die mit aktivierten Privacy Extensions) hingegen eignet sich "wunderbar", wenn das Gerät nicht bis in alle Ewigkeit bekannt sein soll...
Denn das "eigentliche" (datenschutzrechtliche) Problem bei IPv6: Da der Host-Teil direkt aus der MAC abgeleitet wird, ist der Hostteil einer IPv6 für eine Netzwerkkarte immer identisch - man kann das Gerät also wunderbar auch netzwerkübergreifend tracken, wenn man nur den Hostteil der IPv6 mitloggt - unabhängig vom Präfix. Im Gegenteil - man weiß dann sogar, wo (ungefähr) sich ein Gerät aufhält - und zwar anhand des (wechselnden) Präfixes für die feste Host-Adresse...
Damit sind dann wunderbare Bewegungsprofile möglich, sofern der Nutzer mit einem Gerät herumläuft - und zwar besser als es mit IPv4 jemals möglich war...