Forum: PC Hard- und Software Verständnisfrage zur IP-Adresse


von Gustav K. (hauwech)


Lesenswert?

Hallo,

eben ein zweites Notebook eingerichtet, das zum Testen am gleichen 
Router hängt. Nun zeigt mir z.B. myip.is bei beiden Geräten die gleiche 
IP-Adresse an, was eigentlich nicht sein kann, denn die IP-Adresse eines 
Gerätes im Internet ist m.W. so einmalig wie eine eMail-Adresse.

Habe ich da mal was falsch verstanden?

Grüße von Gustav

von MaWin (Gast)


Lesenswert?

>Habe ich da mal was falsch verstanden?

Bei IPv4 ist eine Krücke notwendig, weil es nicht genügend global 
eindeutige Adressen gibt:
https://de.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung

von Baum Fäller (Gast)


Lesenswert?

Gustav K. schrieb:
> denn die IP-Adresse eines
> Gerätes im Internet ist m.W. so einmalig wie eine eMail-Adresse.

Im Internet schon, aber nicht im SubNet deines Routers, da
hast du eine andere Adresse bzw. unterschiedliche für ver-
schiedene Rechner.

von (prx) A. K. (prx)


Lesenswert?

Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese 
IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten.

: Bearbeitet durch User
von Jim M. (turboj)


Lesenswert?

Baum Fäller schrieb:
> Im Internet schon, aber nicht im SubNet deines Routers, da
> hast du eine andere Adresse bzw. unterschiedliche für ver-
> schiedene Rechner.

Und das will man so haben.

In Uni-Netzten, wo man wirklich mit der Ethernet Buchse im offenen 
Internetnet hängt, geisterte früher jede Menge Malware umher. Und dank 
zahlreicher Windows Lücken (und FCKGW-Key) war das nicht ernsthaft zu 
bekämpfen.

von Micky (Gast)


Lesenswert?

A. K. schrieb:
> Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese
> IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten.

Lassen sich so Straftaten überhaupt zurückverfolgen?

Letzenendes habe ich dann doch nur noch die MAC-Adresse als 
Unterscheidungsmerkmal. Aber wer sieht die alles in so einem Falle? Und 
selbst wenn der Provider die hat, weiß er ja nicht wen diese gehört?

von 123 (Gast)


Lesenswert?

Micky schrieb:
> Letzenendes habe ich dann doch nur noch die MAC-Adresse als
> Unterscheidungsmerkmal. Aber wer sieht die alles in so einem Falle? Und
> selbst wenn der Provider die hat, weiß er ja nicht wen diese gehört?

Das was du auf "was-ist-meine-ip.de" oder so siehst ist ja die Ansicht 
mit der dich ein x-beliebiger Server aus dem www sieht. Dein Provider 
weiß ganz genau was du machst und wer du bist. Schließlich muss er dir 
ja auch die Daten auf dem Rückweg wieder richtig hin routen. Eine 
etwaige Strafverfolgungsbehörde würde sich bei deinem Provider dann 
deine Daten auflösen lassen.

von Horst (Gast)


Lesenswert?

Micky schrieb:
> Aber wer sieht die alles in so einem Falle?

Keiner, die bleibt immer im eigenen Netz, der Router tauscht die bei 
allen Paketen die rausgehen aus.

von (prx) A. K. (prx)


Lesenswert?

Micky schrieb:
> Lassen sich so Straftaten überhaupt zurückverfolgen?

Im Prinzip schon, nur muss das CG-NAT System dazu viel mehr Daten 
protokollieren als es bei DSL mit allenfalls täglich wechselnden IPs 
nötig ist. Die Provider selbst dürften daher aus Ressourcengründen kein 
grosses Interesse an einer flächendeckenden Protokollierung haben.

> Letzenendes habe ich dann doch nur noch die MAC-Adresse als
> Unterscheidungsmerkmal. Aber wer sieht die alles in so einem Falle? Und
> selbst wenn der Provider die hat, weiß er ja nicht wen diese gehört?

Die MAC-Adresse des Kabelmodems dient zur Identifikation des Kunden im 
Providernetz. Bei Installation eines Kabelmodems wird diese Adresse beim 
Providersystem eingetragen.

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

123 schrieb:
> Schließlich muss er dir
> ja auch die Daten auf dem Rückweg wieder richtig hin routen.

Diese Information ist allerdings zunächst so transient wie das RAM 
deines PCs und wenn eine Verbindung nicht mehr besteht, ist die 
Information nicht mehr erforderlich.

> Eine
> etwaige Strafverfolgungsbehörde würde sich bei deinem Provider dann
> deine Daten auflösen lassen.

Dafür muss das aber persistent protokolliert werden, und das kostet dem 
Provider aufgrund des nicht trivialen Datenaufkommens deutlich Geld, 
wenn flächendeckend für Monate statt gezielt für Tage. Eine Abfrage 
durch eine Behörde muss zudem zeitlich sehr präzise sein.

Je nach Arbeitsweise des CG-NAT könnte es auch nötig sein, die 
Zieladresse der Verbindungen mit aufzunehmen. Damit wäre das dann eine 
ziemlich tief greifende Verhaltensprotokollierung. Rechtlich wäre das 
verdachtsunabhängig wohl problematisch.

: Bearbeitet durch User
von MaWin (Gast)


Lesenswert?

Jim M. schrieb:
>> Im Internet schon, aber nicht im SubNet deines Routers, da
>> hast du eine andere Adresse bzw. unterschiedliche für ver-
>> schiedene Rechner.
>
> Und das will man so haben.

Nö. Will man natürlich nicht. NAT ist eine Krücke, die einen ständig 
behindert.
z.B. bei P2P-Verbindungen.

Jim M. schrieb:
> In Uni-Netzten, wo man wirklich mit der Ethernet Buchse im offenen
> Internetnet hängt, geisterte früher jede Menge Malware umher. Und dank
> zahlreicher Windows Lücken (und FCKGW-Key) war das nicht ernsthaft zu
> bekämpfen.

Paketfilter kennste?

von Erwin D. (Gast)


Lesenswert?

MaWin schrieb:
> Paketfilter kennste?

Die UNIs kannten ihn offensichtlich nicht ;-)

von (prx) A. K. (prx)


Lesenswert?

Micky schrieb:
> Lassen sich so Straftaten überhaupt zurückverfolgen?

In dem Umfang, in dem Zieladressen auch über IPv6 zugänglich sind, wird 
ein Kabelanschluss das auch nutzen. Vorausgesetzt, dein lokales Netz 
arbeitet mit beidem, IPv4 und IPv6. Der IPv6 Präfix ist bei den Kablern 
ziemlich festgenagelt, anders als bei DSL wechselt der nicht mit jeder 
Neuanmeldung.

Das hat zur Folge, das man bei einem Kabelanschluss nicht nur im 
Provider identifizierbar ist, sondern bei IPv6 auch im Ziel eines 
Internet-Zugriffs einen gewissen Wiedererkennungswert besitzt. Zwar 
wechselt der Teil hinter dem Präfix alle naselang, wenn mit "privacy 
extension" betrieben, aber das schützt eher Firmen als Haushalte, in 
einem Single-Haushalt bringt das nichts.

M.a.W: Was man im Kabel bei IPv4 dank CGNAT an Anonymität gewinnt, das 
verliert man bei IPv6.

Das IPv4 CGNAT hat auch zur Folge, das ein einziger Schmutzfink mit der 
gleichen IPv4 manche Schutzsysteme anspringen lässt, die dann gleich 
alle Nutzer dieser IPv4 ärgern. Dann kriegt man schon mal bei einer 
normalen Google-Suche ein Bilderrätsel präsentiert, oder ein CDN wie 
Cloudflare legt sich quer.

: Bearbeitet durch User
von Sebastian L. (sebastian_l72)


Lesenswert?

A. K. schrieb:
> 123 schrieb:
>> Eine
>> etwaige Strafverfolgungsbehörde würde sich bei deinem Provider dann
>> deine Daten auflösen lassen.
>
> Dafür muss das aber persistent protokolliert werden, und das kostet dem
> Provider aufgrund des nicht trivialen Datenaufkommens deutlich Geld,
> wenn flächendeckend für Monate statt gezielt für Tage.
Ja, da muss man protokollieren. Dazu gibt es Datenbanken.
Ja, die muss man pflegen.
Ja das kostet Geld.
Man spart aber auch viel Geld, wenn man sich keinen so grossen IP 
Adressenraum reservieren lassen muss.
Letztendlich eine monetäre Abwegung, das kann man rechnen.

> Eine Abfrage
> durch eine Behörde muss zudem zeitlich sehr präzise sein.
Ja, das ist dann deren Problem.
Als bei Cisco 2012 Tür und Tor offen stand und ein nicht all zu alter 
Schwede von Kambodia aus bei Cisco reinmarschiert ist, konnte man 2 
Jahre später auf die Millisekunde genau sagen wann er drin war.
Dank NTP laufen solche Uhren ziehmlich synchron.

> Je nach Arbeitsweise des CG-NAT könnte es auch nötig sein, die
> Zieladresse der Verbindungen mit aufzunehmen. Damit wäre das dann eine
> ziemlich tief greifende Verhaltensprotokollierung. Rechtlich wäre das
> verdachtsunabhängig wohl problematisch.

Der relevante Begriff ist "Vorratsdatenspeicherung". Dazu gibt es viel 
zu lesen.

von Gustav K. (hauwech)


Lesenswert?

Erst mal vielen Dank an alle für die vielen Antworten.

Baum Fäller schrieb:
> Im Internet schon, aber nicht im SubNet deines Routers, da
> hast du eine andere Adresse bzw. unterschiedliche für ver-
> schiedene Rechner.

Habe mal versucht mich bisschen einzulesen, vieles ist leider Bahnhof 
geblieben. Es ist aber tatsächlich so, dass die beiden Notebooks hinter 
dem Router eine völlig andere IP-Adresse haben und für mein Verständnis 
besonders wichtig: Die beiden IP-Adressen sind nicht identisch.

Da der Router offensichtlich in den zu sendenden Paketen die IP-Adressen 
austauscht, meldet mir myip.is eine andere IP-Adresse, aber dennoch bei 
beiden Geräten die gleiche IP-Adresse. Hier hänge ich nach wie vor mit 
meinem Verständnis fest.

Wenn ich mit beiden Notebooks die gleiche Seite ansurfe, wie kann die 
Seite die beiden Geräte unterscheiden? Und in die andere Richtung: Wie 
kann der Router die unterschiedlichen Antworten wieder den beiden 
Notebooks zuordnen?

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

Gustav K. schrieb:
> Wenn ich mit beiden Notebooks die gleiche Seite ansurfe, wie kann die
> Seite die beiden Geräte unterscheiden? Und in die andere Richtung: Wie
> kann der Router die unterschiedlichen Antworten wieder den beiden
> Notebooks zuordnen?

Das NAT der üblichen Internet-Zugänge funktioniert in beide Richtungen, 
kann aber nur auswärts angestossen werden. Die rückwärtige Richtung wird 
dann automatisch eingetragen und bleibt für die Dauer der Verbindung 
offen.
1
Ein Webzugriff
2
   192.168.178.100:1234 => www.mikrocontroller.net:80
3
wird im Router zu
4
   11.22.33.44:5678     => www.mikrocontroller.net:80
5
und geht so raus, der Router merkt sich aber diese Umsetzung.
6
7
Die Antwort
8
   www.mikrocontroller.net:80 => 11.22.33.44:5678
9
wird deshalb im Router in
10
   www.mikrocontroller.net:80 => 192.168.178.100:1234
11
umgesetzt und erreicht deinen PC.
Mit 192.168.178.100 = dein PC
und 11.22.33.44 = deine offizielle IPv4 Adresse
1
Bei deinem zweiten PC ist das beispielsweise
2
   192.168.178.101:4321 => www.mikrocontroller.net:80
3
wird im Router zu
4
   11.22.33.44:8765     => www.mikrocontroller.net:80
5
und zurück
6
   www.mikrocontroller.net:80 => 11.22.33.44:8765
7
wird im Router zu
8
   www.mikrocontroller.net:80 => 192.168.178.101:4321

: Bearbeitet durch User
von Lukas (Gast)


Lesenswert?

A. K. schrieb:
> Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese
> IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten.

Wie kommst du zu dieser Theorie?

von Mario M. (thelonging)


Lesenswert?

Lukas schrieb:
> Wie kommst du zu dieser Theorie?

Wieso Theorie?

https://de.wikipedia.org/wiki/Carrier-grade_NAT

von Lukas (Gast)


Lesenswert?

Mario M. schrieb:
> Wieso Theorie?

Da der Anschluss des TO nicht bekannt ist.
Und falls Kabel, bedeutet das nicht sofort DS-Lite.


Technisch sicher gelegentlich so gemacht.

von (prx) A. K. (prx)


Lesenswert?

Lukas schrieb:
>> Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese
>> IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten.
>
> Wie kommst du zu dieser Theorie?

Die Kabler setzen Dual Stack lite an Stelle von Dual Stack nicht etwa 
deshalb ein, weil sie zu blöd wären, sondern weil sie zu wenig 
IPv4-Adressen haben. Platzhirsche wie die Telekom, die schon länger auf 
Internet machen, hatten sich rechtzeitig grosse IPv4-Bereiche zuordnen 
lassen. Die Kabler waren zu spät dran und konnten das nicht mehr.

Deshalb müssen die Kabler mit IPv4-Adressen haushalten und etliche 
Kunden über CGNAT unter einer einzigen, dem CGNAT-System zugeordneten 
IPv4-Adresse laufen lassen. Und deshalb gibts im Business-Zugang nur 
eine einzige statische IPv4-Adresse, weitere kosten extra.

Lukas schrieb:
> Technisch sicher gelegentlich so gemacht.

Alte Kabelzugänge haben mitunter noch reines IPv4 mit eigener Adresse. 
Bei neuen gibts das m.W. nur noch für Business-Anschlüsse.

Wie knapp die Adressen sind: Wir haben in der Firma einen schon älteren 
Business-Anschluss mit 50Mb und 5 statischen IPv4 Adressen. Alle paar 
Monate belabern die uns, doch bitte ein paar € zu sparen und auf 150Mb 
zu wechseln. Nur sind dann 4 der 5 Adressen weg, und die sind uns für 
diesen Anschluss wichtiger. Diese 4 Adressen würden zusätzlich 40€ im 
Monat kosten.

: Bearbeitet durch User
von Gustav K. (hauwech)


Lesenswert?

A. K. schrieb:
> 192.168.178.100:1234

Erstmal vielen Dank für deine Erklärungen.

Aus welchem Hut hast die Zahlen nach dem Doppelpunkt gezaubert?
M.W. besteht eine IP-Adresse nach IPv4 nur aus 32 Bit.

von (prx) A. K. (prx)


Lesenswert?

Die Zahl hinter dem : ist die TCP Portnummer. Die spielt bei NAT eine 
recht wesentliche Rolle.

: Bearbeitet durch User
von Markus M. (adrock)


Lesenswert?

Die Zahlen hinter dem Doppelpunkt ist der PORT.

Eine UDP/TCP-Verbindung ist definiert durch ein Tupel aus 
Absenderadresse, Absenderport, Zieladresse und Zielport. Das muss immer 
eindeutig sein.

D.h. das NAT im Router ändert ggfs. auch den Absenderport. Die Firewall 
muss ja sowieso eine entsprechende Umsetzungstabelle intern/extern 
verwalten, da kann auch gleich die Absenderport mit geändert werden 
(falls dieser schon für eine andere ausgehende Verbindung zum gleichen 
Ziel verwendet wurde).

: Bearbeitet durch User
von Gustav K. (hauwech)


Lesenswert?

A. K. schrieb:
> Die Zahl hinter dem : ist die TCP Portnummer. Die spielt bei NAT
> eine recht wesentliche Rolle.

Ok, dann geschieht die Unterscheidung offensichtlich über die 
Portnummern. Werde mich noch etwas einlesen müssen.

: Bearbeitet durch User
von Markus M. (adrock)


Lesenswert?

Naja, letztendlich ist ja nur relevant das mehrere interne IP-Adressen 
auf eine externe IP-Adresse umgesetzt werden und dabei durch Änderung 
des Absenderports "doppelte" Verbindungen nicht auftreten können (NAT 
von vielen internen auf wenige (oder eine) externe Adressen nennt man 
auch overload NAT bzw. auch PAT, die Hersteller nehmen es mit den 
Bezeichnungen oft nicht so genau).

Der Rechner im internen Netz nimmt normalerweise eine "zufällige" 
Absenderportnummer >= 1024 (normalerweise aufsteigend die nächste freie 
wimre). Wenn nun zwei Rechner im internen Netz eine Verbindung zur 
gleichen externen Adresse auf dem selben Port (80 für HTTP oder 443 für 
HTTPS) aufbauen, kann der Router den Absenderport so übernehmen und muss 
nur die Absenderadresse ändern. Der einzige Sonderfall ist, wenn beide 
Rechner zufällig den gleichen Absenderport verwendet haben, dann muss 
der Router diesen auch ändern.

Aber wie gesagt, normalerweise gibt es eine Tabelle in etwa wie

interne ip, interner port, externe ip, externer port, ziel ip, ziel port

anhand derer der Router die eingehenden Pakete wieder zurück zuordnen 
kann.

von (prx) A. K. (prx)


Lesenswert?

Gustav K. schrieb:
> Ok, dann geschieht die Unterscheidung offensichtlich über die
> Portnummern. Werde mich noch etwas einlesen müssen.

Wenn du damit durch bist, dann kannst du dem nächsten Level erklimmen, 
indem du nachvollziehst, woran in einer solchen NAT-Welt das archaische 
FTP Protokoll eigentlich scheitern müsste. Und der übernächste Level ist 
dann, wieso es trotzdem geht. ;-)

von Markus M. (adrock)


Lesenswert?

A. K. schrieb:

> Wenn du damit durch bist, dann kannst du dem nächsten Level erklimmen,
> indem du nachvollziehst, woran in einer solchen NAT-Welt das archaische
> FTP Protokoll eigentlich scheitern müsste. Und der übernächste Level ist
> dann, wieso es trotzdem geht. ;-)

Und warum FTPS ein "pain in the ass" ist :-)

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.