Hallo, eben ein zweites Notebook eingerichtet, das zum Testen am gleichen Router hängt. Nun zeigt mir z.B. myip.is bei beiden Geräten die gleiche IP-Adresse an, was eigentlich nicht sein kann, denn die IP-Adresse eines Gerätes im Internet ist m.W. so einmalig wie eine eMail-Adresse. Habe ich da mal was falsch verstanden? Grüße von Gustav
>Habe ich da mal was falsch verstanden? Bei IPv4 ist eine Krücke notwendig, weil es nicht genügend global eindeutige Adressen gibt: https://de.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung
Gustav K. schrieb: > denn die IP-Adresse eines > Gerätes im Internet ist m.W. so einmalig wie eine eMail-Adresse. Im Internet schon, aber nicht im SubNet deines Routers, da hast du eine andere Adresse bzw. unterschiedliche für ver- schiedene Rechner.
Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten.
:
Bearbeitet durch User
Baum Fäller schrieb: > Im Internet schon, aber nicht im SubNet deines Routers, da > hast du eine andere Adresse bzw. unterschiedliche für ver- > schiedene Rechner. Und das will man so haben. In Uni-Netzten, wo man wirklich mit der Ethernet Buchse im offenen Internetnet hängt, geisterte früher jede Menge Malware umher. Und dank zahlreicher Windows Lücken (und FCKGW-Key) war das nicht ernsthaft zu bekämpfen.
A. K. schrieb: > Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese > IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten. Lassen sich so Straftaten überhaupt zurückverfolgen? Letzenendes habe ich dann doch nur noch die MAC-Adresse als Unterscheidungsmerkmal. Aber wer sieht die alles in so einem Falle? Und selbst wenn der Provider die hat, weiß er ja nicht wen diese gehört?
Micky schrieb: > Letzenendes habe ich dann doch nur noch die MAC-Adresse als > Unterscheidungsmerkmal. Aber wer sieht die alles in so einem Falle? Und > selbst wenn der Provider die hat, weiß er ja nicht wen diese gehört? Das was du auf "was-ist-meine-ip.de" oder so siehst ist ja die Ansicht mit der dich ein x-beliebiger Server aus dem www sieht. Dein Provider weiß ganz genau was du machst und wer du bist. Schließlich muss er dir ja auch die Daten auf dem Rückweg wieder richtig hin routen. Eine etwaige Strafverfolgungsbehörde würde sich bei deinem Provider dann deine Daten auflösen lassen.
Micky schrieb: > Aber wer sieht die alles in so einem Falle? Keiner, die bleibt immer im eigenen Netz, der Router tauscht die bei allen Paketen die rausgehen aus.
Micky schrieb: > Lassen sich so Straftaten überhaupt zurückverfolgen? Im Prinzip schon, nur muss das CG-NAT System dazu viel mehr Daten protokollieren als es bei DSL mit allenfalls täglich wechselnden IPs nötig ist. Die Provider selbst dürften daher aus Ressourcengründen kein grosses Interesse an einer flächendeckenden Protokollierung haben. > Letzenendes habe ich dann doch nur noch die MAC-Adresse als > Unterscheidungsmerkmal. Aber wer sieht die alles in so einem Falle? Und > selbst wenn der Provider die hat, weiß er ja nicht wen diese gehört? Die MAC-Adresse des Kabelmodems dient zur Identifikation des Kunden im Providernetz. Bei Installation eines Kabelmodems wird diese Adresse beim Providersystem eingetragen.
:
Bearbeitet durch User
123 schrieb: > Schließlich muss er dir > ja auch die Daten auf dem Rückweg wieder richtig hin routen. Diese Information ist allerdings zunächst so transient wie das RAM deines PCs und wenn eine Verbindung nicht mehr besteht, ist die Information nicht mehr erforderlich. > Eine > etwaige Strafverfolgungsbehörde würde sich bei deinem Provider dann > deine Daten auflösen lassen. Dafür muss das aber persistent protokolliert werden, und das kostet dem Provider aufgrund des nicht trivialen Datenaufkommens deutlich Geld, wenn flächendeckend für Monate statt gezielt für Tage. Eine Abfrage durch eine Behörde muss zudem zeitlich sehr präzise sein. Je nach Arbeitsweise des CG-NAT könnte es auch nötig sein, die Zieladresse der Verbindungen mit aufzunehmen. Damit wäre das dann eine ziemlich tief greifende Verhaltensprotokollierung. Rechtlich wäre das verdachtsunabhängig wohl problematisch.
:
Bearbeitet durch User
Jim M. schrieb: >> Im Internet schon, aber nicht im SubNet deines Routers, da >> hast du eine andere Adresse bzw. unterschiedliche für ver- >> schiedene Rechner. > > Und das will man so haben. Nö. Will man natürlich nicht. NAT ist eine Krücke, die einen ständig behindert. z.B. bei P2P-Verbindungen. Jim M. schrieb: > In Uni-Netzten, wo man wirklich mit der Ethernet Buchse im offenen > Internetnet hängt, geisterte früher jede Menge Malware umher. Und dank > zahlreicher Windows Lücken (und FCKGW-Key) war das nicht ernsthaft zu > bekämpfen. Paketfilter kennste?
Micky schrieb: > Lassen sich so Straftaten überhaupt zurückverfolgen? In dem Umfang, in dem Zieladressen auch über IPv6 zugänglich sind, wird ein Kabelanschluss das auch nutzen. Vorausgesetzt, dein lokales Netz arbeitet mit beidem, IPv4 und IPv6. Der IPv6 Präfix ist bei den Kablern ziemlich festgenagelt, anders als bei DSL wechselt der nicht mit jeder Neuanmeldung. Das hat zur Folge, das man bei einem Kabelanschluss nicht nur im Provider identifizierbar ist, sondern bei IPv6 auch im Ziel eines Internet-Zugriffs einen gewissen Wiedererkennungswert besitzt. Zwar wechselt der Teil hinter dem Präfix alle naselang, wenn mit "privacy extension" betrieben, aber das schützt eher Firmen als Haushalte, in einem Single-Haushalt bringt das nichts. M.a.W: Was man im Kabel bei IPv4 dank CGNAT an Anonymität gewinnt, das verliert man bei IPv6. Das IPv4 CGNAT hat auch zur Folge, das ein einziger Schmutzfink mit der gleichen IPv4 manche Schutzsysteme anspringen lässt, die dann gleich alle Nutzer dieser IPv4 ärgern. Dann kriegt man schon mal bei einer normalen Google-Suche ein Bilderrätsel präsentiert, oder ein CDN wie Cloudflare legt sich quer.
:
Bearbeitet durch User
A. K. schrieb: > 123 schrieb: >> Eine >> etwaige Strafverfolgungsbehörde würde sich bei deinem Provider dann >> deine Daten auflösen lassen. > > Dafür muss das aber persistent protokolliert werden, und das kostet dem > Provider aufgrund des nicht trivialen Datenaufkommens deutlich Geld, > wenn flächendeckend für Monate statt gezielt für Tage. Ja, da muss man protokollieren. Dazu gibt es Datenbanken. Ja, die muss man pflegen. Ja das kostet Geld. Man spart aber auch viel Geld, wenn man sich keinen so grossen IP Adressenraum reservieren lassen muss. Letztendlich eine monetäre Abwegung, das kann man rechnen. > Eine Abfrage > durch eine Behörde muss zudem zeitlich sehr präzise sein. Ja, das ist dann deren Problem. Als bei Cisco 2012 Tür und Tor offen stand und ein nicht all zu alter Schwede von Kambodia aus bei Cisco reinmarschiert ist, konnte man 2 Jahre später auf die Millisekunde genau sagen wann er drin war. Dank NTP laufen solche Uhren ziehmlich synchron. > Je nach Arbeitsweise des CG-NAT könnte es auch nötig sein, die > Zieladresse der Verbindungen mit aufzunehmen. Damit wäre das dann eine > ziemlich tief greifende Verhaltensprotokollierung. Rechtlich wäre das > verdachtsunabhängig wohl problematisch. Der relevante Begriff ist "Vorratsdatenspeicherung". Dazu gibt es viel zu lesen.
Erst mal vielen Dank an alle für die vielen Antworten. Baum Fäller schrieb: > Im Internet schon, aber nicht im SubNet deines Routers, da > hast du eine andere Adresse bzw. unterschiedliche für ver- > schiedene Rechner. Habe mal versucht mich bisschen einzulesen, vieles ist leider Bahnhof geblieben. Es ist aber tatsächlich so, dass die beiden Notebooks hinter dem Router eine völlig andere IP-Adresse haben und für mein Verständnis besonders wichtig: Die beiden IP-Adressen sind nicht identisch. Da der Router offensichtlich in den zu sendenden Paketen die IP-Adressen austauscht, meldet mir myip.is eine andere IP-Adresse, aber dennoch bei beiden Geräten die gleiche IP-Adresse. Hier hänge ich nach wie vor mit meinem Verständnis fest. Wenn ich mit beiden Notebooks die gleiche Seite ansurfe, wie kann die Seite die beiden Geräte unterscheiden? Und in die andere Richtung: Wie kann der Router die unterschiedlichen Antworten wieder den beiden Notebooks zuordnen?
:
Bearbeitet durch User
Gustav K. schrieb: > Wenn ich mit beiden Notebooks die gleiche Seite ansurfe, wie kann die > Seite die beiden Geräte unterscheiden? Und in die andere Richtung: Wie > kann der Router die unterschiedlichen Antworten wieder den beiden > Notebooks zuordnen? Das NAT der üblichen Internet-Zugänge funktioniert in beide Richtungen, kann aber nur auswärts angestossen werden. Die rückwärtige Richtung wird dann automatisch eingetragen und bleibt für die Dauer der Verbindung offen.
1 | Ein Webzugriff |
2 | 192.168.178.100:1234 => www.mikrocontroller.net:80 |
3 | wird im Router zu |
4 | 11.22.33.44:5678 => www.mikrocontroller.net:80 |
5 | und geht so raus, der Router merkt sich aber diese Umsetzung. |
6 | |
7 | Die Antwort |
8 | www.mikrocontroller.net:80 => 11.22.33.44:5678 |
9 | wird deshalb im Router in |
10 | www.mikrocontroller.net:80 => 192.168.178.100:1234 |
11 | umgesetzt und erreicht deinen PC. |
Mit 192.168.178.100 = dein PC und 11.22.33.44 = deine offizielle IPv4 Adresse
1 | Bei deinem zweiten PC ist das beispielsweise |
2 | 192.168.178.101:4321 => www.mikrocontroller.net:80 |
3 | wird im Router zu |
4 | 11.22.33.44:8765 => www.mikrocontroller.net:80 |
5 | und zurück |
6 | www.mikrocontroller.net:80 => 11.22.33.44:8765 |
7 | wird im Router zu |
8 | www.mikrocontroller.net:80 => 192.168.178.101:4321 |
:
Bearbeitet durch User
A. K. schrieb: > Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese > IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten. Wie kommst du zu dieser Theorie?
Lukas schrieb: > Wie kommst du zu dieser Theorie? Wieso Theorie? https://de.wikipedia.org/wiki/Carrier-grade_NAT
Mario M. schrieb: > Wieso Theorie? Da der Anschluss des TO nicht bekannt ist. Und falls Kabel, bedeutet das nicht sofort DS-Lite. Technisch sicher gelegentlich so gemacht.
Lukas schrieb: >> Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese >> IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten. > > Wie kommst du zu dieser Theorie? Die Kabler setzen Dual Stack lite an Stelle von Dual Stack nicht etwa deshalb ein, weil sie zu blöd wären, sondern weil sie zu wenig IPv4-Adressen haben. Platzhirsche wie die Telekom, die schon länger auf Internet machen, hatten sich rechtzeitig grosse IPv4-Bereiche zuordnen lassen. Die Kabler waren zu spät dran und konnten das nicht mehr. Deshalb müssen die Kabler mit IPv4-Adressen haushalten und etliche Kunden über CGNAT unter einer einzigen, dem CGNAT-System zugeordneten IPv4-Adresse laufen lassen. Und deshalb gibts im Business-Zugang nur eine einzige statische IPv4-Adresse, weitere kosten extra. Lukas schrieb: > Technisch sicher gelegentlich so gemacht. Alte Kabelzugänge haben mitunter noch reines IPv4 mit eigener Adresse. Bei neuen gibts das m.W. nur noch für Business-Anschlüsse. Wie knapp die Adressen sind: Wir haben in der Firma einen schon älteren Business-Anschluss mit 50Mb und 5 statischen IPv4 Adressen. Alle paar Monate belabern die uns, doch bitte ein paar € zu sparen und auf 150Mb zu wechseln. Nur sind dann 4 der 5 Adressen weg, und die sind uns für diesen Anschluss wichtiger. Diese 4 Adressen würden zusätzlich 40€ im Monat kosten.
:
Bearbeitet durch User
A. K. schrieb: > 192.168.178.100:1234 Erstmal vielen Dank für deine Erklärungen. Aus welchem Hut hast die Zahlen nach dem Doppelpunkt gezaubert? M.W. besteht eine IP-Adresse nach IPv4 nur aus 32 Bit.
Die Zahl hinter dem : ist die TCP Portnummer. Die spielt bei NAT eine recht wesentliche Rolle.
:
Bearbeitet durch User
Die Zahlen hinter dem Doppelpunkt ist der PORT. Eine UDP/TCP-Verbindung ist definiert durch ein Tupel aus Absenderadresse, Absenderport, Zieladresse und Zielport. Das muss immer eindeutig sein. D.h. das NAT im Router ändert ggfs. auch den Absenderport. Die Firewall muss ja sowieso eine entsprechende Umsetzungstabelle intern/extern verwalten, da kann auch gleich die Absenderport mit geändert werden (falls dieser schon für eine andere ausgehende Verbindung zum gleichen Ziel verwendet wurde).
:
Bearbeitet durch User
A. K. schrieb: > Die Zahl hinter dem : ist die TCP Portnummer. Die spielt bei NAT > eine recht wesentliche Rolle. Ok, dann geschieht die Unterscheidung offensichtlich über die Portnummern. Werde mich noch etwas einlesen müssen.
:
Bearbeitet durch User
Naja, letztendlich ist ja nur relevant das mehrere interne IP-Adressen auf eine externe IP-Adresse umgesetzt werden und dabei durch Änderung des Absenderports "doppelte" Verbindungen nicht auftreten können (NAT von vielen internen auf wenige (oder eine) externe Adressen nennt man auch overload NAT bzw. auch PAT, die Hersteller nehmen es mit den Bezeichnungen oft nicht so genau). Der Rechner im internen Netz nimmt normalerweise eine "zufällige" Absenderportnummer >= 1024 (normalerweise aufsteigend die nächste freie wimre). Wenn nun zwei Rechner im internen Netz eine Verbindung zur gleichen externen Adresse auf dem selben Port (80 für HTTP oder 443 für HTTPS) aufbauen, kann der Router den Absenderport so übernehmen und muss nur die Absenderadresse ändern. Der einzige Sonderfall ist, wenn beide Rechner zufällig den gleichen Absenderport verwendet haben, dann muss der Router diesen auch ändern. Aber wie gesagt, normalerweise gibt es eine Tabelle in etwa wie interne ip, interner port, externe ip, externer port, ziel ip, ziel port anhand derer der Router die eingehenden Pakete wieder zurück zuordnen kann.
Gustav K. schrieb: > Ok, dann geschieht die Unterscheidung offensichtlich über die > Portnummern. Werde mich noch etwas einlesen müssen. Wenn du damit durch bist, dann kannst du dem nächsten Level erklimmen, indem du nachvollziehst, woran in einer solchen NAT-Welt das archaische FTP Protokoll eigentlich scheitern müsste. Und der übernächste Level ist dann, wieso es trotzdem geht. ;-)
A. K. schrieb: > Wenn du damit durch bist, dann kannst du dem nächsten Level erklimmen, > indem du nachvollziehst, woran in einer solchen NAT-Welt das archaische > FTP Protokoll eigentlich scheitern müsste. Und der übernächste Level ist > dann, wieso es trotzdem geht. ;-) Und warum FTPS ein "pain in the ass" ist :-)
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.