[wlanfhain] Private oder öffentl. IPs bei Re: [wlanfhain] Re: IP-Vergabe

Jens Nachtigall nachtigall
Mi Okt 13 15:27:52 CEST 2004



> Jens Nachtigall wrote:
> > > Ich habe dabei kein gutes Gef?hl. Viele Leute konfigurieren ihre
> > > Paketfilter so, da? sie keine Pakete aus den reservierten
> > > IP-Ranges durchlassen, weil von da eigentlich nichts kommen darf.
> > > Und wenn doch was kommt, ist es vermutlich ein Spoofing-Versuch.
> >
> > In diesem Fall w?ssten diese Leute, dass 104.0.0.0/8 das
> > Berlin-Netz ist und k?nnen diese eine Regel ?ndern. Das ist
> > nat?rlich ein Nachteil (f?r die Leute, die so ihre Firewall
> > konfiguriert haben),
>
> Ich denke dabei auch an fertig konfigurierte Paketfilter von Redhat,
> Suse oder so ... eine zusätzliche Fehlerquelle.

Verstehe. IMHO müsste diese Firewall aber auch angepasst werden, wenn 
wir einen privaten Bereich nutzen, da aus privat dann öffentlich würde, 
sprich ein 10.0.0.1 wäre nicht dein vertrauter Mitbewohner, sondern 
jemand unbekanntes. Der OLSR-Port (imho 698) wäre wahrscheinlich bei 
den vorkonfigurierten firewalls auch geschlossen, so dass so oder so 
hand angelegt werden müsste.

>
> > > Ich denke, wir sollten (und k?nnen) mit den drei privaten Ranges
> > > nach RfC1918 auskommen.
> >
> > ?K?nnen? tun wir nat?rlich schon -- ?wollen? ist die Frage. Wenn
> > wir einen privaten Bereich nehmen, dann w?rde alles komplexer und
> > aufw?ndiger (mehr Arbeit, weniger Mitmachende):
>
> Ich kann das noch nicht erkennen.
>
> >  - m?ssen einige wegen Doppelvergabe (h?ufig bei 192.168.x.x) ihr
> > Hausnetz umstellen;
>
> Wenn wir den IP-Range verändern, dann müssen *alle* umstellen, oder?
> ;-)
>
> > wenn wir 104/8 nehmen, dann kann auch vom Haus ins Berlin-Netz
> > genattet werden.
>
> Wie? NAT'en kann man doch immer. Ich NAT'e jetzt auch: intern
> 192.168.10.0/8 und extern 172.16.0.0/12.
>

Nochmal zusammenfassend, damit wir uns nicht in Neben-Grabenkämpfen 
verlieren:


104/8 (öffentlicher nicht-genutzer IP-Raum) fürs BerlinNetz bedeutet:
Wer eine richtige (ungeNATtete) IP haben will, muss umstellen. Wem dies 
zuviel Aufwand ist, kann auch einfach natten.

10/8 (privater IP-Raum) fürs BerlinNetz bedeutet:
Wenn dein Hausnetz bislang eine IP aus 10/8 nutzt, dann kannst du nicht 
einfach natten, weil intern (haus) wie extern (berlin) 10/8 benutzt 
würde. Du wirst also zum umstellen gezwungen, und hast nicht mehr die 
Wahl wie bei 104/8.

Das ist ein kleiner Unterschied. Ich bevorzuge die 104/8-Lösung.
Als erstes wäre jedoch zu entscheiden, ob wir überhaupt geogr. IPs 
verteilen wollen. Ich meine ja (aus geschilderten Gründen). Der 2. 
Schritt wäre dann zu gucken, ob private (10/8) oder öffentl. IPs 
(104/8)

> BTW: Ich will überhaupt nicht alle meine Rechner im Berliner Netz
> erreichbar haben. Z.B. mein Desktop hat Zeitweise eine viel zu
> experimentelle Konfig um ihn sicher in ein öffentliches Netz stellen
> zu können (komische offene Dienste, NFS exporte, ...).

Dann kannst du ja natten (deine Entscheidung). Ich würde lieber eine 
Firewall vorziehen (meine Entscheidung). 

> >  - bei einer geographischen IP-Vergabe (zB 10.0.0.0/8 statt 104/8)
> > m?ssten alle ihr Hausnetz umstellen, d.h. im Klartext das eine
> > geographische Vergabe nicht m?glich w?re.
>
> Den Satz verstehe ich echt nicht.

siehe oben. 

>
> >  - das Finden von Fehler wird schwieriger. Bei 104/8 wissen alle,
> > dass es das Berlin-Netz (drau?en) ist, und das private IPs drinnen
> > sind.
>
> Bei 172.16.0.0/12 für das OLSR-Netz wissen alle, daß 172.16.0.0/12
> das Berliner Netz ist (draußen) und das die anderen beiden Ranges
> nach RFC1918 drinnen sind.

Dann bitte ich um einen konkreten Vorschlag, wie du die IP-Vergabe 
geographisch organisieren willst. Warum geographisch, hier nochmal:

Wir benutzen jetzt OLSR. Wir halten uns aber die Möglichkeit offen, in 
Zukunft BGP nutzen zu können -- das geht nur, wenn wir jetzt die 
IP-Adressen geographisch vergeben. Das macht das ganze imho nicht 
komplizierter (sag mir deine PLZ, und ich sag dir deine IP (dein 
web-interface) bzw. ich sag dir, aus welchem Bereich du schöpfen 
darfst). siehe mein Vorschlag.


> > Es wird immer vorkommen, dass jemand versehentlich a) keinen NAT
> > hinkriegt, b) ein privates Netz announced das schon vergeben ist
> > etc.
>
> a) und b) können bei deiner Lösung auch vorkommen. Fehlkonfiguration
> und schusselige Leute (die ausversehen bereits vergebene IPs nehmen)
> können bei jeder beliebigen Lösung zu Problemen führen. Wirklich bei
> *jeder*.

Fehler a) hat keine negativen Auswirkungen aufs Netz. Sprich bei 104/8 
kann es nicht passieren, dass ich für mich 10.0.0.1 (OLSR) reserviert 
habe (weil ich mir ja 104.0.0.1 reserviere), und jemand anderes das für 
sein Heimnetz nimmt, dass er mal eben freigibt. Sprich diese Person 
mich »abschießen« kann.
Fehler b) kann nur passieren, wenn Cornelius' Web-Interface ausversehen 
2x die gleiche IP vergibt. Sprich bei 104/8 kann es nicht sein, dass 
mir Cornelius Web-Interface eine 10.0.0.1 gibt (weil es mir ja eine 
104.0.0.1 gibt), die jemand anderes aber auch Hausintern benutzt und 
freigibt, und mich so abschießt.

Keine große Sache, aber eine kleine Verbesserung imho.



Kommst du am 20.10.? -- ich glaube nicht, dass wir auf der Mailingliste 
eine Übereinkunft schaffen. 


Jens








Mehr Informationen über die Mailingliste Berlin