mikrocontroller.net

Forum: PC Hard- und Software Verständnisfrage zur IP-Adresse


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Gustav K. (hauwech)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

eben ein zweites Notebook eingerichtet, das zum Testen am gleichen 
Router hängt. Nun zeigt mir z.B. myip.is bei beiden Geräten die gleiche 
IP-Adresse an, was eigentlich nicht sein kann, denn die IP-Adresse eines 
Gerätes im Internet ist m.W. so einmalig wie eine eMail-Adresse.

Habe ich da mal was falsch verstanden?

Grüße von Gustav

Autor: MaWin (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
>Habe ich da mal was falsch verstanden?

Bei IPv4 ist eine Krücke notwendig, weil es nicht genügend global 
eindeutige Adressen gibt:
https://de.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung

Autor: Baum Fäller (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Gustav K. schrieb:
> denn die IP-Adresse eines
> Gerätes im Internet ist m.W. so einmalig wie eine eMail-Adresse.

Im Internet schon, aber nicht im SubNet deines Routers, da
hast du eine andere Adresse bzw. unterschiedliche für ver-
schiedene Rechner.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese 
IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten.

: Bearbeitet durch User
Autor: Jim M. (turboj)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Baum Fäller schrieb:
> Im Internet schon, aber nicht im SubNet deines Routers, da
> hast du eine andere Adresse bzw. unterschiedliche für ver-
> schiedene Rechner.

Und das will man so haben.

In Uni-Netzten, wo man wirklich mit der Ethernet Buchse im offenen 
Internetnet hängt, geisterte früher jede Menge Malware umher. Und dank 
zahlreicher Windows Lücken (und FCKGW-Key) war das nicht ernsthaft zu 
bekämpfen.

Autor: Micky (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese
> IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten.

Lassen sich so Straftaten überhaupt zurückverfolgen?

Letzenendes habe ich dann doch nur noch die MAC-Adresse als 
Unterscheidungsmerkmal. Aber wer sieht die alles in so einem Falle? Und 
selbst wenn der Provider die hat, weiß er ja nicht wen diese gehört?

Autor: 123 (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Micky schrieb:
> Letzenendes habe ich dann doch nur noch die MAC-Adresse als
> Unterscheidungsmerkmal. Aber wer sieht die alles in so einem Falle? Und
> selbst wenn der Provider die hat, weiß er ja nicht wen diese gehört?

Das was du auf "was-ist-meine-ip.de" oder so siehst ist ja die Ansicht 
mit der dich ein x-beliebiger Server aus dem www sieht. Dein Provider 
weiß ganz genau was du machst und wer du bist. Schließlich muss er dir 
ja auch die Daten auf dem Rückweg wieder richtig hin routen. Eine 
etwaige Strafverfolgungsbehörde würde sich bei deinem Provider dann 
deine Daten auflösen lassen.

Autor: Horst (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Micky schrieb:
> Aber wer sieht die alles in so einem Falle?

Keiner, die bleibt immer im eigenen Netz, der Router tauscht die bei 
allen Paketen die rausgehen aus.

Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Micky schrieb:
> Lassen sich so Straftaten überhaupt zurückverfolgen?

Im Prinzip schon, nur muss das CG-NAT System dazu viel mehr Daten 
protokollieren als es bei DSL mit allenfalls täglich wechselnden IPs 
nötig ist. Die Provider selbst dürften daher aus Ressourcengründen kein 
grosses Interesse an einer flächendeckenden Protokollierung haben.

> Letzenendes habe ich dann doch nur noch die MAC-Adresse als
> Unterscheidungsmerkmal. Aber wer sieht die alles in so einem Falle? Und
> selbst wenn der Provider die hat, weiß er ja nicht wen diese gehört?

Die MAC-Adresse des Kabelmodems dient zur Identifikation des Kunden im 
Providernetz. Bei Installation eines Kabelmodems wird diese Adresse beim 
Providersystem eingetragen.

: Bearbeitet durch User
Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
123 schrieb:
> Schließlich muss er dir
> ja auch die Daten auf dem Rückweg wieder richtig hin routen.

Diese Information ist allerdings zunächst so transient wie das RAM 
deines PCs und wenn eine Verbindung nicht mehr besteht, ist die 
Information nicht mehr erforderlich.

> Eine
> etwaige Strafverfolgungsbehörde würde sich bei deinem Provider dann
> deine Daten auflösen lassen.

Dafür muss das aber persistent protokolliert werden, und das kostet dem 
Provider aufgrund des nicht trivialen Datenaufkommens deutlich Geld, 
wenn flächendeckend für Monate statt gezielt für Tage. Eine Abfrage 
durch eine Behörde muss zudem zeitlich sehr präzise sein.

Je nach Arbeitsweise des CG-NAT könnte es auch nötig sein, die 
Zieladresse der Verbindungen mit aufzunehmen. Damit wäre das dann eine 
ziemlich tief greifende Verhaltensprotokollierung. Rechtlich wäre das 
verdachtsunabhängig wohl problematisch.

: Bearbeitet durch User
Autor: MaWin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jim M. schrieb:
>> Im Internet schon, aber nicht im SubNet deines Routers, da
>> hast du eine andere Adresse bzw. unterschiedliche für ver-
>> schiedene Rechner.
>
> Und das will man so haben.

Nö. Will man natürlich nicht. NAT ist eine Krücke, die einen ständig 
behindert.
z.B. bei P2P-Verbindungen.

Jim M. schrieb:
> In Uni-Netzten, wo man wirklich mit der Ethernet Buchse im offenen
> Internetnet hängt, geisterte früher jede Menge Malware umher. Und dank
> zahlreicher Windows Lücken (und FCKGW-Key) war das nicht ernsthaft zu
> bekämpfen.

Paketfilter kennste?

Autor: Erwin D. (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
MaWin schrieb:
> Paketfilter kennste?

Die UNIs kannten ihn offensichtlich nicht ;-)

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Micky schrieb:
> Lassen sich so Straftaten überhaupt zurückverfolgen?

In dem Umfang, in dem Zieladressen auch über IPv6 zugänglich sind, wird 
ein Kabelanschluss das auch nutzen. Vorausgesetzt, dein lokales Netz 
arbeitet mit beidem, IPv4 und IPv6. Der IPv6 Präfix ist bei den Kablern 
ziemlich festgenagelt, anders als bei DSL wechselt der nicht mit jeder 
Neuanmeldung.

Das hat zur Folge, das man bei einem Kabelanschluss nicht nur im 
Provider identifizierbar ist, sondern bei IPv6 auch im Ziel eines 
Internet-Zugriffs einen gewissen Wiedererkennungswert besitzt. Zwar 
wechselt der Teil hinter dem Präfix alle naselang, wenn mit "privacy 
extension" betrieben, aber das schützt eher Firmen als Haushalte, in 
einem Single-Haushalt bringt das nichts.

M.a.W: Was man im Kabel bei IPv4 dank CGNAT an Anonymität gewinnt, das 
verliert man bei IPv6.

Das IPv4 CGNAT hat auch zur Folge, das ein einziger Schmutzfink mit der 
gleichen IPv4 manche Schutzsysteme anspringen lässt, die dann gleich 
alle Nutzer dieser IPv4 ärgern. Dann kriegt man schon mal bei einer 
normalen Google-Suche ein Bilderrätsel präsentiert, oder ein CDN wie 
Cloudflare legt sich quer.

: Bearbeitet durch User
Autor: Sebastian L. (sebastian_l72)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
A. K. schrieb:
> 123 schrieb:
>> Eine
>> etwaige Strafverfolgungsbehörde würde sich bei deinem Provider dann
>> deine Daten auflösen lassen.
>
> Dafür muss das aber persistent protokolliert werden, und das kostet dem
> Provider aufgrund des nicht trivialen Datenaufkommens deutlich Geld,
> wenn flächendeckend für Monate statt gezielt für Tage.
Ja, da muss man protokollieren. Dazu gibt es Datenbanken.
Ja, die muss man pflegen.
Ja das kostet Geld.
Man spart aber auch viel Geld, wenn man sich keinen so grossen IP 
Adressenraum reservieren lassen muss.
Letztendlich eine monetäre Abwegung, das kann man rechnen.

> Eine Abfrage
> durch eine Behörde muss zudem zeitlich sehr präzise sein.
Ja, das ist dann deren Problem.
Als bei Cisco 2012 Tür und Tor offen stand und ein nicht all zu alter 
Schwede von Kambodia aus bei Cisco reinmarschiert ist, konnte man 2 
Jahre später auf die Millisekunde genau sagen wann er drin war.
Dank NTP laufen solche Uhren ziehmlich synchron.

> Je nach Arbeitsweise des CG-NAT könnte es auch nötig sein, die
> Zieladresse der Verbindungen mit aufzunehmen. Damit wäre das dann eine
> ziemlich tief greifende Verhaltensprotokollierung. Rechtlich wäre das
> verdachtsunabhängig wohl problematisch.

Der relevante Begriff ist "Vorratsdatenspeicherung". Dazu gibt es viel 
zu lesen.

Autor: Gustav K. (hauwech)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Erst mal vielen Dank an alle für die vielen Antworten.

Baum Fäller schrieb:
> Im Internet schon, aber nicht im SubNet deines Routers, da
> hast du eine andere Adresse bzw. unterschiedliche für ver-
> schiedene Rechner.

Habe mal versucht mich bisschen einzulesen, vieles ist leider Bahnhof 
geblieben. Es ist aber tatsächlich so, dass die beiden Notebooks hinter 
dem Router eine völlig andere IP-Adresse haben und für mein Verständnis 
besonders wichtig: Die beiden IP-Adressen sind nicht identisch.

Da der Router offensichtlich in den zu sendenden Paketen die IP-Adressen 
austauscht, meldet mir myip.is eine andere IP-Adresse, aber dennoch bei 
beiden Geräten die gleiche IP-Adresse. Hier hänge ich nach wie vor mit 
meinem Verständnis fest.

Wenn ich mit beiden Notebooks die gleiche Seite ansurfe, wie kann die 
Seite die beiden Geräte unterscheiden? Und in die andere Richtung: Wie 
kann der Router die unterschiedlichen Antworten wieder den beiden 
Notebooks zuordnen?

: Bearbeitet durch User
Autor: A. K. (prx)
Datum:

Bewertung
3 lesenswert
nicht lesenswert
Gustav K. schrieb:
> Wenn ich mit beiden Notebooks die gleiche Seite ansurfe, wie kann die
> Seite die beiden Geräte unterscheiden? Und in die andere Richtung: Wie
> kann der Router die unterschiedlichen Antworten wieder den beiden
> Notebooks zuordnen?

Das NAT der üblichen Internet-Zugänge funktioniert in beide Richtungen, 
kann aber nur auswärts angestossen werden. Die rückwärtige Richtung wird 
dann automatisch eingetragen und bleibt für die Dauer der Verbindung 
offen.
Ein Webzugriff
   192.168.178.100:1234 => www.mikrocontroller.net:80
wird im Router zu
   11.22.33.44:5678     => www.mikrocontroller.net:80
und geht so raus, der Router merkt sich aber diese Umsetzung.

Die Antwort
   www.mikrocontroller.net:80 => 11.22.33.44:5678
wird deshalb im Router in
   www.mikrocontroller.net:80 => 192.168.178.100:1234
umgesetzt und erreicht deinen PC.
Mit 192.168.178.100 = dein PC
und 11.22.33.44 = deine offizielle IPv4 Adresse
Bei deinem zweiten PC ist das beispielsweise
   192.168.178.101:4321 => www.mikrocontroller.net:80
wird im Router zu
   11.22.33.44:8765     => www.mikrocontroller.net:80
und zurück
   www.mikrocontroller.net:80 => 11.22.33.44:8765
wird im Router zu
   www.mikrocontroller.net:80 => 192.168.178.101:4321

: Bearbeitet durch User
Autor: Lukas (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese
> IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten.

Wie kommst du zu dieser Theorie?

Autor: Mario M. (thelonging)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Lukas schrieb:
> Wie kommst du zu dieser Theorie?

Wieso Theorie?

https://de.wikipedia.org/wiki/Carrier-grade_NAT

Autor: Lukas (Gast)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Mario M. schrieb:
> Wieso Theorie?

Da der Anschluss des TO nicht bekannt ist.
Und falls Kabel, bedeutet das nicht sofort DS-Lite.


Technisch sicher gelegentlich so gemacht.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Lukas schrieb:
>> Und wenn du per TV-Kabel ins Netz gehst, dann teilst du diese
>> IPv4-Adresse wahrscheinlich auch mit vielen anderen Leuten.
>
> Wie kommst du zu dieser Theorie?

Die Kabler setzen Dual Stack lite an Stelle von Dual Stack nicht etwa 
deshalb ein, weil sie zu blöd wären, sondern weil sie zu wenig 
IPv4-Adressen haben. Platzhirsche wie die Telekom, die schon länger auf 
Internet machen, hatten sich rechtzeitig grosse IPv4-Bereiche zuordnen 
lassen. Die Kabler waren zu spät dran und konnten das nicht mehr.

Deshalb müssen die Kabler mit IPv4-Adressen haushalten und etliche 
Kunden über CGNAT unter einer einzigen, dem CGNAT-System zugeordneten 
IPv4-Adresse laufen lassen. Und deshalb gibts im Business-Zugang nur 
eine einzige statische IPv4-Adresse, weitere kosten extra.

Lukas schrieb:
> Technisch sicher gelegentlich so gemacht.

Alte Kabelzugänge haben mitunter noch reines IPv4 mit eigener Adresse. 
Bei neuen gibts das m.W. nur noch für Business-Anschlüsse.

Wie knapp die Adressen sind: Wir haben in der Firma einen schon älteren 
Business-Anschluss mit 50Mb und 5 statischen IPv4 Adressen. Alle paar 
Monate belabern die uns, doch bitte ein paar € zu sparen und auf 150Mb 
zu wechseln. Nur sind dann 4 der 5 Adressen weg, und die sind uns für 
diesen Anschluss wichtiger. Diese 4 Adressen würden zusätzlich 40€ im 
Monat kosten.

: Bearbeitet durch User
Autor: Gustav K. (hauwech)
Datum:

Bewertung
-4 lesenswert
nicht lesenswert
A. K. schrieb:
> 192.168.178.100:1234

Erstmal vielen Dank für deine Erklärungen.

Aus welchem Hut hast die Zahlen nach dem Doppelpunkt gezaubert?
M.W. besteht eine IP-Adresse nach IPv4 nur aus 32 Bit.

Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Die Zahl hinter dem : ist die TCP Portnummer. Die spielt bei NAT eine 
recht wesentliche Rolle.

: Bearbeitet durch User
Autor: Markus M. (adrock)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die Zahlen hinter dem Doppelpunkt ist der PORT.

Eine UDP/TCP-Verbindung ist definiert durch ein Tupel aus 
Absenderadresse, Absenderport, Zieladresse und Zielport. Das muss immer 
eindeutig sein.

D.h. das NAT im Router ändert ggfs. auch den Absenderport. Die Firewall 
muss ja sowieso eine entsprechende Umsetzungstabelle intern/extern 
verwalten, da kann auch gleich die Absenderport mit geändert werden 
(falls dieser schon für eine andere ausgehende Verbindung zum gleichen 
Ziel verwendet wurde).

: Bearbeitet durch User
Autor: Gustav K. (hauwech)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
A. K. schrieb:
> Die Zahl hinter dem : ist die TCP Portnummer. Die spielt bei NAT
> eine recht wesentliche Rolle.

Ok, dann geschieht die Unterscheidung offensichtlich über die 
Portnummern. Werde mich noch etwas einlesen müssen.

: Bearbeitet durch User
Autor: Markus M. (adrock)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Naja, letztendlich ist ja nur relevant das mehrere interne IP-Adressen 
auf eine externe IP-Adresse umgesetzt werden und dabei durch Änderung 
des Absenderports "doppelte" Verbindungen nicht auftreten können (NAT 
von vielen internen auf wenige (oder eine) externe Adressen nennt man 
auch overload NAT bzw. auch PAT, die Hersteller nehmen es mit den 
Bezeichnungen oft nicht so genau).

Der Rechner im internen Netz nimmt normalerweise eine "zufällige" 
Absenderportnummer >= 1024 (normalerweise aufsteigend die nächste freie 
wimre). Wenn nun zwei Rechner im internen Netz eine Verbindung zur 
gleichen externen Adresse auf dem selben Port (80 für HTTP oder 443 für 
HTTPS) aufbauen, kann der Router den Absenderport so übernehmen und muss 
nur die Absenderadresse ändern. Der einzige Sonderfall ist, wenn beide 
Rechner zufällig den gleichen Absenderport verwendet haben, dann muss 
der Router diesen auch ändern.

Aber wie gesagt, normalerweise gibt es eine Tabelle in etwa wie

interne ip, interner port, externe ip, externer port, ziel ip, ziel port

anhand derer der Router die eingehenden Pakete wieder zurück zuordnen 
kann.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Gustav K. schrieb:
> Ok, dann geschieht die Unterscheidung offensichtlich über die
> Portnummern. Werde mich noch etwas einlesen müssen.

Wenn du damit durch bist, dann kannst du dem nächsten Level erklimmen, 
indem du nachvollziehst, woran in einer solchen NAT-Welt das archaische 
FTP Protokoll eigentlich scheitern müsste. Und der übernächste Level ist 
dann, wieso es trotzdem geht. ;-)

Autor: Markus M. (adrock)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:

> Wenn du damit durch bist, dann kannst du dem nächsten Level erklimmen,
> indem du nachvollziehst, woran in einer solchen NAT-Welt das archaische
> FTP Protokoll eigentlich scheitern müsste. Und der übernächste Level ist
> dann, wieso es trotzdem geht. ;-)

Und warum FTPS ein "pain in the ass" ist :-)

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.