pingen naar 10.8.0.1 - Netwerken

woensdag 6 maart 2013 20:43

Acties:

They see me trollin'

Topicstarter

Oké

Ik was een tijdje geleden bezig met het instellen van een OpenVPN verbinding, standaard staat daar de host van op 10.8.0.1 voor het getunnelde netwerk. Na wat aan rommelen probeerde ik eens te pingen, en dat lukte.
Ik sloot de vpn verbinding weer, maar toen ik een tijdje later naar mijn ping scherm keek was hij nog steeds aan het pingen...

Ik was zeer verbaasd, nog steeds trouwens. 10.x.x.x range is een privé range en komt niet in mijn eigen netwerk voor. Ook mijn router en mijn modem konden naar het ip pingen. Na een traceroute zag ik dat er geen nieuwe hosts meer kwamen na een euro.net router:

traceroute to 10.8.0.1 (10.8.0.1), 200 hops max, 38 byte packets
1 router (192.168.2.1) 1.233 ms 2.396 ms 0.963 ms
2 modem (192.168.1.1) 2.279 ms 2.163 ms 1.957 ms
3 modem extern (xx.xx.xx.x) 24.120 ms 25.775 ms 24.186 ms
4 V3175.har1e-Ehv-Strij.nl.euro.net (194.134.20.100) 24.484 ms 24.569 ms 26.678 ms
5 194.134.20.98 (194.134.20.98) 24.739 ms 25.393 ms 25.886 ms
6 PC1.cr1-asd6.nl.euro.net (194.134.161.229) 26.773 ms 25.728 ms 27.753 ms
7 * * *
8 * * *
9 * * *
10 * * *
(and so on)

Mijn vraag is eigenlijk: hoezo kan ik naar dit adres toe pingen? andere privé ranges buiten mijn thuis netwerk zijn namelijk niet pingbaar. Iemand een verklaring?

Als je er op googelt kom je namelijk alleen vpn geneuzel tegen

woensdag 6 maart 2013 20:58

Acties:

webfreakz.nl

el-nul-zet-é-er

Tot hoever gaat die ping? Zelfs tot buiten het "euro.net" netwerk? Dat denk ik niet, want je hoort als beheerder van een AS (Autonomous System) RFC1918 addresses te blokkeren.

Misschien dat 10.0.0.0/8 binnen euro.net te routeren is, bij de meeste providers is dat niet zo, en hoort IMHO ook niet, maar als zij dat hebben, dan tja, dan kan jij inderdaad pings krijgen

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

woensdag 6 maart 2013 21:06

Acties:

wootah

They see me trollin'

Topicstarter

De traceroute gaat niet buiten het euro.net netwerk. Ik heb tot 200 hops getest

Mja, ik vond het dus vrij bizar dat ik pings terug kreeg. Ze zijn ook gewoon allemaal valide, geen "unreachable" pakketjes of iets. Ik heb het zelfs met wireshark bekeken...

Gewoon bizar...

woensdag 6 maart 2013 21:08

Acties:

webfreakz.nl

el-nul-zet-é-er

Zie deze lijst voor adressen die een service provider eigenlijk moet blokkeren: Wikipedia: Reserved IP addresses

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

woensdag 6 maart 2013 21:21

Acties:

wootah

They see me trollin'

Topicstarter

Misschien moet ik maar eens naar euronet mailen, ff vragen hoe t zit daar

Ik had al naar online (mijn ISP) gebeld maar die begrepen er niet veel van

[ Voor 34% gewijzigd door wootah op 06-03-2013 21:23 ]

woensdag 6 maart 2013 22:22

Acties:

CyBeR

💩

Veel isps gebruiken rfc1918 voor interne routing. Niets speciaals.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 7 maart 2013 03:04

Acties:

Kompaan

CyBeR schreef op woensdag 06 maart 2013 @ 22:22:
Veel isps gebruiken rfc1918 voor interne routing. Niets speciaals.

Ik zou als ISP toch echt inkomende pakketjes op klant poorten met als bestemming "RFC1918 adres" droppen...

donderdag 7 maart 2013 10:20

Acties:

CyBeR

💩

Kompaan schreef op donderdag 07 maart 2013 @ 03:04:
[...]

Ik zou als ISP toch echt inkomende pakketjes op klant poorten met als bestemming "RFC1918 adres" droppen...

Waarom? Is alleen maar extra werk.

[ Voor 5% gewijzigd door CyBeR op 07-03-2013 10:21 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 7 maart 2013 23:37

Acties:

kokkel

CyBeR schreef op donderdag 07 maart 2013 @ 10:20:
[...]

Waarom? Is alleen maar extra werk.

Vind ik persoonlijk een beetje een rare opmerking, tuurlijk kost het wat tijd om dit te realiseren dit is niet bijster ingewikkeld. Tevens zal dit soort communicatie onodige bandbreedte gebruiken en kan een beveiligings issue bevatten uiteindelijk zal dit veel geld gaan kosten. Verder is het ook afhankelijk wat het beleid van de ISP is over zaken als deze, wellicht dat deze dit risico en verlies acceptabel vind.

donderdag 7 maart 2013 23:56

Acties:

CyBeR

💩

kokkel schreef op donderdag 07 maart 2013 @ 23:37:
[...]

Vind ik persoonlijk een beetje een rare opmerking, tuurlijk kost het wat tijd om dit te realiseren dit is niet bijster ingewikkeld. Tevens zal dit soort communicatie onodige bandbreedte gebruiken en kan een beveiligings issue bevatten uiteindelijk zal dit veel geld gaan kosten. Verder is het ook afhankelijk wat het beleid van de ISP is over zaken als deze, wellicht dat deze dit risico en verlies acceptabel vind.

Het is extra werk, het kan later in de weg zitten, het is geen beveiligingsrisico (publieke ip's kun je immers ook bereiken), het kost geen cent, kost nauwelijks bandbreedte (immers er zit alleen een router achter dat ip) en het veroorzaakt verder niemand enige hindernis.

Ik ken geen een ISP die direct op klantpoorten filtert op rfc1918*. Veel ISPs verhinderen dergelijke ip's zelfs niet het netwerk af te gaan als source adres.

*) Ik probeer niet te zeggen dat ze er niet zijn, voor iemand komt met 'mijn isp doet dat!'

[ Voor 5% gewijzigd door CyBeR op 07-03-2013 23:57 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 8 maart 2013 21:10

Acties:

webfreakz.nl

el-nul-zet-é-er

CyBeR schreef op donderdag 07 maart 2013 @ 23:56:
[...]Ik ken geen een ISP die direct op klantpoorten filtert op rfc1918*. Veel ISPs verhinderen dergelijke ip's zelfs niet het netwerk af te gaan als source adres.

Goed, misschien filtereren ze geen klantpoorten, maar wel degelijk hun eigen routing tables.

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

vrijdag 8 maart 2013 23:38

Acties:

CyBeR

💩

Alleen voor export naar andere isps.

All my posts are provided as-is. They come with NO WARRANTY at all.