Fritzbox routet private Adressen ins Internet

Hallo,

gerade ist mir bei einem Test mit tracert folgendes aufgefallen:

C:\Dokumente und Einstellungen\Hm>tracert 10.0.0.1

Routenverfolgung zu 10.0.0.1 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms fritz.fonwlan.box [192.168.178.1]
2 49 ms 47 ms 47 ms 217.0.117.8
3 217.0.81.38 meldet: Zielhost nicht erreichbar.

Ablaufverfolgung beendet.

Zum Vergrößern anklicken....

Es sei dazu gesagt, dass ich in meinem Heimnetzwerk keine 10.* Geräte habe. Macht man eine Anfrage bei Ripe, so gehören 217.0.117.8 und 217.0.81.38 der Telekom, was mein Provider ist.

Ich dachte private Internetadressen werden nicht ins Internet geroutet. Was findet hier bitteschön statt?

Der DNS Server der Telekom sagt das der den 10.0.0.1er nicht finden kann was ka auch logisch ist.
Scheinbar wurde die Anfrage vom trace bis zu den beiden DNS Server der Telekom weitergeleitet, was ja auch Sinn macht; (wenn das internet Netz die nicht finden kann wird solang weitergesucht bis man an der letzten Instanz seiner Internetverbindung -> in diesem Fall DNS Server vom ISP angelenagt ist)

und mal abgesehen davon routet der beim tracen nich sondern zeigt nur die hops an die die verbindung zurücklegt

sebhoff@seb-netbook:~$ sudo traceroute -I www.powerforen.de
traceroute to www.powerforen.de (212.95.118.230), 30 hops max, 60 byte packets
1 172.18.103.113 (172.18.103.113) 1.300 ms 2.109 ms *
2 ------
3 ------
4 ------
5 ------
6 * vl1038.r02.inx.vie.at.nextlayer.net (81.16.152.53) 28.984 ms 28.497 ms
7 vl21.r05.inx.vie.at.nextlayer.net (81.16.147.195) 32.049 ms 33.218 ms 33.842 ms
8 ae0-998.r06.inx.vie.at.nextlayer.net (81.16.147.1) 35.072 ms 36.220 ms 38.653 ms
9 po1-998.r01.rdh.vie.at.nextlayer.net (81.16.147.10) 39.292 ms 42.975 ms 44.173 ms
10 DECIX-FFM.ewetel.net (80.81.192.247) 58.891 ms 61.165 ms 63.286 ms
11 bbrt.hb-0-10ge-6-1-0.ewe-ip-backbone.de (212.6.114.13) 73.742 ms 75.371 ms 46.399 ms
12 bbrt-2-xe-0-0-0-os-gmh.ewe-ip-backbone.de (80.228.109.234) 52.737 ms 54.362 ms 55.013 ms
13 ge-0-2-0.lara.os.osnanet.de (212.95.97.20) 60.498 ms 55.745 ms 57.413 ms
14 mail.powerforen.de (212.95.118.230) 58.894 ms 55.738 ms 56.160 ms

Zum Vergrößern anklicken....

Da hat sebhoff recht. Es wird lediglich mit tracert gezeigt über welche Stationen du gehst. Nach 1ms bei dir also die Fritzbox. Und da ist auch mit privatem Netzbereich Ende. Anhand des Osi Modells könnt ichs dir jetzt richtig hübsch erklären. In kurzform ist es so das dein internes Netz dein nötiges Ziel nicht kennt. Es sucht sich also den nächsten Ansprechpartner, die Fritz Box. Packete werden ent und wieder verpackt und mit der öffentlichen Adresse auf den Weg geschickt und erreichen ihr Ziel.

Quelle: http://www.computerbase.de/lexikon/IP-Adresse

Das wäre das Bildchen was ich auch gemalt hätte. Sender schickt los ins weite Netz. Da die Zieladresse nicht bekannt ist schickt er die Anfrage an den nächsten Router. Dieser packt das Paket aus bis zur Ip. Verpackt es neu mit der öffentlichen und schickt es ins Netz bis zu Zielrouter. Da kommen deine tracert hops ins Spiel.
Du möchtest computer XY erreichen. Es gibt mehrere gültige Protokolle wie Routing sich berechnet. Gängig ist ein Verfahren wo man sozusagen kosten ausrechnet. Eine 10 Mbit Verbindung bringt 100 Punkte, 100 Mbit bringt 10 Punkte, 1GB bringt 1 Punkt. Also sucht sich dein Paket den Weg der am wenigsten Punkte kostet. Das kann schonmal um die halbe Welt gehen. Immerhin sind 9 Verbindungen über GB Anbindung schneller als 1 über 100MB usw.
Am Ziel angekommen entpackt der dortige Router wieder das Paket, packt es neu mit seiner internen und so geht das ganze dann hin und her.

sebhoff schrieb:

Der DNS Server der Telekom sagt das der den 10.0.0.1er nicht finden kann was ka auch logisch ist.
Scheinbar wurde die Anfrage vom trace bis zu den beiden DNS Server der Telekom weitergeleitet, was ja auch Sinn macht; (wenn das internet Netz die nicht finden kann wird solang weitergesucht bis man an der letzten Instanz seiner Internetverbindung -> in diesem Fall DNS Server vom ISP angelenagt ist)

Zum Vergrößern anklicken....

ein dns server löst namen auf, das hat damit doch nichts zu tun.

grüße, mm

Ja ich weiß tracert zeigt an über welche Stationen ein Paket geht. Aber hier müsste bei der Fritzbox nunmal Schluss sein. Die Fritzbox müsste sagen "Zielhost nicht erreichbar" bzw. das Paket einfach verwerfen.
Ich weiß ja wie Routing funktioniert. Ich habe es es selbst daheim eingerichtet und bei einem Tippfehler der IP-Adressen ist mir aufgefallen, dass das an die Telekom geroutet wird. Zufrieden bin ich also mit der Antwort noch nicht. Wie gesagt nach meinem Verständnis müsste die Fritzbox sagen, dass es keinen Weg zu 10.0.0.1 gibt.

Der DNS Server der Telekom sagt das der den 10.0.0.1er nicht finden kann was ka auch logisch ist.

Zum Vergrößern anklicken....

Falsch das ist nicht der DNS-Server. Ein DNS-Server wandelt Namen in IP-Adressen. Mit 10.0.0.1 habe ich bereits eine IP-Adresse, sodass der DNS nicht gefragt wird.

the ubm schrieb:

Wie gesagt nach meinem Verständnis müsste die Fritzbox sagen, dass es keinen Weg zu 10.0.0.1 gibt.

Zum Vergrößern anklicken....

Der Gedanke liegt an einer eingeschränkten Sichtweise. In Öffentlichen Netzen wird diese IP Range nicht geroutet. Woher soll de Fritzbox wissen, wann Internet beginnt? Im Privaten Bereich zum Vernetzen zweier LANs kann das durchaus gewollt sein. Oder meinst Du das es dort extra Router zum vernetzen gäbe?

Woher soll de Fritzbox wissen, wann Internet beginnt?

Zum Vergrößern anklicken....

Sobald Daten über DSL rausgehen beginnt das Internet, daran kann die Box erkennen, dass das Internet beginnt.

the ubm schrieb:

Sobald Daten über DSL rausgehen beginnt das Internet, daran kann die Box erkennen, dass das Internet beginnt.

Zum Vergrößern anklicken....

Die IEEE Definition unterscheidet nicht zwsichen "zuhause" und im "Internet", sondern nur zwischen privaten und öffentlichen Netzwerk.

Bitte, woran kannst Du mittels einer PPPOE oder PPP bzw. TCP Kopplung erkennen, das ein öffentliches Netz beginnt? Das muss schon in der Box definiert werden - dieses Feature gibt es aber nicht.

Davon ab beginnt das Internet ganz sicher noch nicht mit der PPPOE Übertragung. Das sind erstmal Pakete richtung DSLAM, die nochmal irgendwo aufbereitet werden, bevor eine öffentliche Route beginnt.

10.0.0.0 ist eine IP-Adresse, die für private Netzwerkwerke reserviert wurde. Daran sollte das die Box auch erkennen können.

Nein, woran erkennt die Fritzbox das es in ein öffentliches Netzwerk geht?

the ubm schrieb:

10.0.0.0 ist eine IP-Adresse, die für private Netzwerkwerke reserviert wurde. Daran sollte das die Box auch erkennen können.

Zum Vergrößern anklicken....

und wenn im privatem netz nichts dergleichen gefunden wird, wird solang weitergesucht bis irgendwann endlich mal ein server einen drop oder reject gibt und damit die trace verbindung abbricht.

ein dns server löst namen auf, das hat damit doch nichts zu tun.

Zum Vergrößern anklicken....

Das is mir schon klar, aber dennoch ist er in der Routing Liste ein nicht zu vernachlässigender Faktor

sebhoff schrieb:

Das is mir schon klar, aber dennoch ist er in der Routing Liste ein nicht zu vernachlässigender Faktor

Zum Vergrößern anklicken....

DNS ist ein wichtiges gut, keine Frage. Für das Routing spielt der absolut keine Rolle.

Und warum "droppt" die Fritzbox nicht? Ich bin weiterhin der Meinung, dass dies die Fritzbox erledigen sollte.

Kalle-Klump schrieb:

Davon ab beginnt das Internet ganz sicher noch nicht mit der PPPOE Übertragung. Das sind erstmal Pakete richtung DSLAM, die nochmal irgendwo aufbereitet werden, bevor eine öffentliche Route beginnt.

Zum Vergrößern anklicken....

genauer gesagt sind es frames. der dslam ist für traceroute und ping deshalb auch transparent. der erste ip hop, den du siehst, ist der BRAS, auf dem deine PPP verbindung auch terminiert. von da kann dann ins, oder in richtung internet geroutet werden.

the ubm schrieb:

Und warum "droppt" die Fritzbox nicht? Ich bin weiterhin der Meinung, dass dies die Fritzbox erledigen sollte.

Zum Vergrößern anklicken....

laß dir doch mal die routen deiner fritzbox anzeigen (falls das geht). da wirst du eine standard-route sehen. die privaten netze (bzw pakete mit einer solchen privaten zieladdresse), die nicht direkt in der routingtabelle zu finden sind, müßten durch zugriffslisten verworfen werden - was deine kleine kiste wahrscheinlich nicht kann, oder es ist nicht konfiguriert.

grüße, mm

Nachdem die Fritzbox ein Standardverbrauchergerät ist, ist klar, dass alles was über die DSL Verbindung rausgeht ins Internet geht.

Ich kann mir die Routen der Fritzbox nicht anzeigen lassen. Ich kann nur selbst welche einrichten und da habe ich 2 Stück eingerichtet. Diese haben jedoch mit dem 10.* Bereich nichts zu tun.

the ubm schrieb:

Ich dachte private Internetadressen werden nicht ins Internet geroutet. Was findet hier bitteschön statt?

Zum Vergrößern anklicken....

Ich denke, allein schon die Aussage ist falsch. Es werden keine privaten Adressen ins das Internet geroutet sondern private Adressen werden IM Internet nicht geroutet. Genau deswegen hat die erste öffentliche Adresse die Paket verworfen und als unzustellbar markiert.

Mal zum nachlesen: http://de.wikipedia.org/wiki/Private_IP-Adresse Meines Erachtens verhält sich die Fritzbox immer noch konform und ist weder fehglkonfiguriert noch fehlt da irgendeine Einstellung.

Wie sollte man das auch umsetzen? Works as designed.
Die Fritz!Box hat nur statische Routen in der Routing-Table (Default-Route Richtung Provider) und locally connected routes (lokale Interfaces).
Das Ding ist eben auch nur ein Router. Man KÖNNTE die privaten Adressen als NULL Route auf der FB zu definieren. Das wäre aber auch schwachsinnig, da man ja auch mehrere private Subnetze auf dem kleinen Router definieren könnte. Dann wäre die Kommunikation einzelner internal Netze auch nicht mehr möglich.

Man müsste die Internet Routing Table auf die FB bringen um die RFC1918 an der FB auszuschließen. Das geht aber nicht (zu wenig Speicher, kein BGP Support ..... bla)

Also - das passt schon so. Das filtern der privaten Netze passiert beim Provider - beim ersten BGP Router. Da kann man einen Prefix Filter auf den BGP Neighbor (P-Router) legen!