#1  (Permalink
Alt 23.06.2019, 16:07
Benutzerbild von Lebedev
Lebedev Lebedev ist offline
Senior Mitglied
 
Registriert seit: 28.10.2014
Beiträge: 1.723
Frage CG-NAT (Carrier-Grade NAT)

Hallo zusammen,

ich möchte mal eine Diskussion über ein paar Gedanken anstoßen, und zwar geht es um das Thema Carrier Grade NAT, was ja nicht so oft beleuchtet wird.

Die Telekom verwendet dafür IP Adressen aus dem 10.0.0.0/8 Netz (RFC 1918)
Vodafone verwendet dafür IP Adressen aus dem 100.64.0.0/10 Netz (RFC 6598)
O2 weiß ich nicht genau, müsste mal jemand nachschauen. Ich glaube auch 10.0.0.0/8.
Kabelanbieter weiß ich leider auch nicht.

Aufgrund des IPv4 Adressmangels gibt es CG-NAT, sodass sich mehrere Kunden eine öffentliche IP Adresse teilen. Meine Überlegung war nun, wieviele Kunden das eigentlich sind, deswegen mal ein kleines Gedankenspiel.

Ich kann hier nur die Telekom (Mobilfunk) nehmen, da ich zu den anderen Providern keine Infos habe. Mir ist aufgefallen, dass ich als Telekom Mobilfunkkunde, immer eine IP Adresse auf dem folgenden Netz bekomme: 80.187.0.0/16. Es spielt dabei keine Rolle ob Vertrag/Prepaid oder Privat-/Geschäftskunde. Habs alles getestet. Wo ich mich in Deutschland aufhalte macht auch keinen Unterschied. Lediglich durch den Wechsel der APN habe ich eine andere IP Adresse bekommen. Mit der Standard APN internet.telekom welche die meisten nutzen (da vom Handy voreingestellt) ist es stets eine Adresse aus dem zuvor genannten /16 Netz.

https://de.wikipedia.org/wiki/Deutscher_Mobilfunkmarkt

2017 hatte die Telekom 42,5 Mio. Mobilfunk Nutzer. Ich denke davon nutzen wohl mindestens 80% die standard APN, was immernoch 34 Mio. sind. Ein /16 Netz hat 65536 IP Adressen. Das würde rechnerisch bedeuten, dass sich ca. 519 Kunden eine öffentliche IP Adresse teilen. Der erste Gedanke: kann das wirklich sein? Ich hätte eher so auf 30 getippt.

Diese 519 Kunden müssen sich dann die Source-Ports 1024-65535 für ausgehenden Traffic teilen, also insgesammt 64511. Zu bedenken ist auch, dass jeder Port, zumindest bei TCP eine "Recovery Time" hat, in der er nicht benutzt werden darf, nachdem eine Session beendet wurde (sind wenige Sekunden). Wer mal geguckt hat wieviele parallele Sessions ein Browser startet wenn man zum Beispiel bild.de auftruft (und dabei keinen Adblocker benutzt), kippt aus den Latschen. Mein zweiter Gedanke: reicht das noch? Ja, es ist eine Mischkalkulation da nicht alle Kunden ihr Handy gleichzeitig benutzen. Aber bei bestimmten Events (z.B. Fußball WM oder Silvester) wird es bestimmt eng...

Mein dritter Gedanke: wie ist das mit den Strafverfolgungsbehörden? IP Adressen werden überall geloggt, aber kaum ein Webseiten- bzw. Webdienstbetreiber loggt die Source Ports der Verbindungen?! Ohne die Source Ports ist aber keine eindeutige Zuordnung zu einem Endkunden möglich.

Was sind eure Gedanken dazu?
__________________
Internet: Telekom MagentaZuhause L
MSAN: Alcatel-Lucent 7330 ISAM FTTN (ANSI) - Broadcom 177.161 Linecard - jetzt am BNG! (Juniper MX960)
Router: FRITZ!Box WLAN 3370 - HWSubRevision 5 - FritzOS 6.54
Handy: Samsung Galaxy S7 - Telekom MagentaMobil XS Friends
Mit Zitat antworten
  #2  (Permalink
Alt 23.06.2019, 17:27
talk talk ist offline
Mitglied
 
Registriert seit: 28.12.1999
Beiträge: 336
Standard AW: CG-NAT (Carrier-Grade NAT)

Hallo zusammen,

Zitat:
Zitat von Lebedev Beitrag anzeigen
ich möchte mal eine Diskussion über ein paar Gedanken anstoßen, und zwar geht es um das Thema Carrier Grade NAT, was ja nicht so oft beleuchtet wird.
Interessantes Thema, das auch andernorts kaum diskutiert wird...

Zitat:
Zitat von Lebedev Beitrag anzeigen
Ich kann hier nur die Telekom (Mobilfunk) nehmen, da ich zu den anderen Providern keine Infos habe. Mir ist aufgefallen, dass ich als Telekom Mobilfunkkunde, immer eine IP Adresse auf dem folgenden Netz bekomme: 80.187.0.0/16. Es spielt dabei keine Rolle ob Vertrag/Prepaid oder Privat-/Geschäftskunde.
Wenn ich selbst schon mobil über die Telekom im Internet war, habe ich meiner Erinnerung nach auch immer IP-Adressen aus diesem Netz bekommen.

Die Telekom-Mobilfunksparte hat aber von RIPE deutlich umfangreichere IP-Kapazitäten zugeteilt bekommen, siehe dazu die RIPE-Alloclist:

Code:
de.detemobil
    Telekom Deutschland GmbH

    19950428	193.254.128.0/19	ALLOCATED PA
    19950713	193.254.160.0/20	ALLOCATED PA
    20020528	80.187.0.0/16		ALLOCATED PA
    20050629	88.128.0.0/16		ALLOCATED PA
    20100118	109.237.176.0/20	ALLOCATED PA
    20100928	2.160.0.0/12		ALLOCATED PA
    20100928	46.78.0.0/15		ALLOCATED PA
    20110504	31.212.0.0/15		ALLOCATED PA
    20110504	31.224.0.0/11		ALLOCATED PA
    20120124	37.50.0.0/15		ALLOCATED PA
    20120124	37.80.0.0/12		ALLOCATED PA
    20071101	2a01:598::/29
[Daneben wäre es auch denkbar, daß IP-Bereiche zwischen Telekom-Festnetz und Telekom-Mobilfunk "getauscht" werden.]

Serverseitig habe ich auch schon Nutzer aus den Bereichen 2.160.0.0/12, 46.78.0.0/15 und 31.212.0.0/15 gesehen. Welche Tarife, Endgeräte bzw. Konfigurationen diese Nutzer hatten, ist mir aber nicht bekannt.

Stöbert man in der RIPE-Datenbank genauer in diesen Adressblöcken, findet man z.B. folgende Infos:

Code:
inetnum:         2.160.0.0 - 2.171.255.255
netname:         IPHCUSTOMERS-DE

inetnum:         46.78.0.0 - 46.78.127.255
netname:         LTECUSTOMERS-DE

inetnum:         46.78.128.0 - 46.78.255.255
netname:         M2MCUSTOMERS-DE

inetnum:         31.212.0.0 - 31.212.255.255
netname:         TDMOBILE-1
Ob diese Angaben so aktuell sind und inwieweit diese Blöcke konkret genutzt werden, läßt sich von außen schwer beurteilen.

- "IPHCUSTOMERS" könnten Kunden mit "... via Funk / Hybrid"-Produkten oder dergleichen sein.

- "LTECUSTOMERS" klingt selbsterklärend - würde aber die Frage stellen, ob LTE-Nutzer tatsächlich andere IP-Bereiche haben, als z.B. UMTS-Nutzer...?

- "M2MCUSTOMERS-DE" könnten M2M-Anwendungen sein, aber ich meine auch schon Anfragen von "normalen" Nutzern in diesem Block gesehen zu haben.

- "TDMOBILE-1" kann theoretisch alles Mögliche bedeuten...

Zitat:
Zitat von Lebedev Beitrag anzeigen
2017 hatte die Telekom 42,5 Mio. Mobilfunk Nutzer. Ich denke davon nutzen wohl mindestens 80% die standard APN, was immernoch 34 Mio. sind. Ein /16 Netz hat 65536 IP Adressen. Das würde rechnerisch bedeuten, dass sich ca. 519 Kunden eine öffentliche IP Adresse teilen. Der erste Gedanke: kann das wirklich sein? Ich hätte eher so auf 30 getippt.
Bei den 42,5 Mio. SIM-Karten(?) muß man die ganzen Wenignutzer und auch die diversen "Schubladenkarten" abziehen. Außerdem hat nicht jeder Nutzer ein Smartphone bzw. das mobile Internet aktiviert.

Wenn wir (vgl. oben) noch weitere IP-Blöcke dazunehmen, dann sieht die Rechnung ohnehin anders aus.

Zitat:
Zitat von Lebedev Beitrag anzeigen
Mein dritter Gedanke: wie ist das mit den Strafverfolgungsbehörden? IP Adressen werden überall geloggt, aber kaum ein Webseiten- bzw. Webdienstbetreiber loggt die Source Ports der Verbindungen?! Ohne die Source Ports ist aber keine eindeutige Zuordnung zu einem Endkunden möglich.
Interessanter Gedanke. Die Apache-Logs, die ich schon gesehen habe, zeichnen nur die IP-Adresse auf, keine Ports. Gibt es überhaupt eine Möglichkeit, diese zu erfassen?

cu talk

Geändert von talk (23.06.2019 um 17:35 Uhr)
Mit Zitat antworten
  #3  (Permalink
Alt 23.06.2019, 17:53
wellmann wellmann ist offline
Senior Mitglied
 
Registriert seit: 23.02.2000
Beiträge: 4.788
Standard AW: CG-NAT (Carrier-Grade NAT)

Zitat:
Zitat von talk Beitrag anzeigen
Interessanter Gedanke. Die Apache-Logs, die ich schon gesehen habe, zeichnen nur die IP-Adresse auf, keine Ports. Gibt es überhaupt eine Möglichkeit, diese zu erfassen?
Ja.
http://draft.scyphus.co.jp/articles/20110815.html


Zitat:
Zitat von Lebedev Beitrag anzeigen
Mein dritter Gedanke: wie ist das mit den Strafverfolgungsbehörden? IP Adressen werden überall geloggt, aber kaum ein Webseiten- bzw. Webdienstbetreiber loggt die Source Ports der Verbindungen?! Ohne die Source Ports ist aber keine eindeutige Zuordnung zu einem Endkunden möglich.
Ja, das ist dann so. So wie die Verbindungen über VPN/Proxy/Ausland/freies WLAN oder nach Löschung der ISP-Logs (Behörden zu langsam) nicht zuortbar sind. Gibt/gab auch Anbieter, die gar nicht speichern/speicherten. Vodafone-DSL gehörte lange dazu.

Wie genau die Zahlen zu "kaum ein Webseiten- bzw. Webdienstbetreiber" aussehen, weiß ich nicht. Die üblichen Peer2Peer-Abmahner loggen aber Ports.
Mit Zitat antworten
  #4  (Permalink
Alt 23.06.2019, 18:52
Benutzerbild von Lebedev
Lebedev Lebedev ist offline
Senior Mitglied
 
Registriert seit: 28.10.2014
Beiträge: 1.723
Standard AW: CG-NAT (Carrier-Grade NAT)

Zitat:
Zitat von talk Beitrag anzeigen
Wenn ich selbst schon mobil über die Telekom im Internet war, habe ich meiner Erinnerung nach auch immer IP-Adressen aus diesem Netz bekommen.

Die Telekom-Mobilfunksparte hat aber von RIPE deutlich umfangreichere IP-Kapazitäten zugeteilt bekommen, siehe dazu die RIPE-Alloclist:

Code:
de.detemobil
    Telekom Deutschland GmbH

    19950428	193.254.128.0/19	ALLOCATED PA
    19950713	193.254.160.0/20	ALLOCATED PA
    20020528	80.187.0.0/16		ALLOCATED PA
    20050629	88.128.0.0/16		ALLOCATED PA
    20100118	109.237.176.0/20	ALLOCATED PA
    20100928	2.160.0.0/12		ALLOCATED PA
    20100928	46.78.0.0/15		ALLOCATED PA
    20110504	31.212.0.0/15		ALLOCATED PA
    20110504	31.224.0.0/11		ALLOCATED PA
    20120124	37.50.0.0/15		ALLOCATED PA
    20120124	37.80.0.0/12		ALLOCATED PA
    20071101	2a01:598::/29
[Daneben wäre es auch denkbar, daß IP-Bereiche zwischen Telekom-Festnetz und Telekom-Mobilfunk "getauscht" werden.]

Jau, die hatte ich hier auch schonmal rausgekramt, bzw. per Reverse Lookup aus der Ripe DB rausgezogen. Werden heute aber eh alle von AS3320 announced, also kann es gut sein, dass die Telekom die zweckentfremdet hat.



Zitat:
Zitat von talk Beitrag anzeigen
Serverseitig habe ich auch schon Nutzer aus den Bereichen 2.160.0.0/12, 46.78.0.0/15 und 31.212.0.0/15 gesehen. Welche Tarife, Endgeräte bzw. Konfigurationen diese Nutzer hatten, ist mir aber nicht bekannt.

Stöbert man in der RIPE-Datenbank genauer in diesen Adressblöcken, findet man z.B. folgende Infos:

Code:
inetnum:         2.160.0.0 - 2.171.255.255
netname:         IPHCUSTOMERS-DE

inetnum:         46.78.0.0 - 46.78.127.255
netname:         LTECUSTOMERS-DE

inetnum:         46.78.128.0 - 46.78.255.255
netname:         M2MCUSTOMERS-DE

inetnum:         31.212.0.0 - 31.212.255.255
netname:         TDMOBILE-1
Ob diese Angaben so aktuell sind und inwieweit diese Blöcke konkret genutzt werden, läßt sich von außen schwer beurteilen.

- "IPHCUSTOMERS" könnten Kunden mit "... via Funk / Hybrid"-Produkten oder dergleichen sein.

- "LTECUSTOMERS" klingt selbsterklärend - würde aber die Frage stellen, ob LTE-Nutzer tatsächlich andere IP-Bereiche haben, als z.B. UMTS-Nutzer...?

- "M2MCUSTOMERS-DE" könnten M2M-Anwendungen sein, aber ich meine auch schon Anfragen von "normalen" Nutzern in diesem Block gesehen zu haben.

- "TDMOBILE-1" kann theoretisch alles Mögliche bedeuten...

Die Liste der Telekom APNs gibt Aufschluss:

https://www.telekom.de/hilfe/mobilfu...amChecked=true


IPHCUSTOMERS: IPH klingt wie IP Home. Hört sich stark nach den "...via Funk" Tarifen an, da gibt es afaik eine eigene öffentliche IP.

LTECUSTOMERS: die APN internet.t-mobile war wohl mal nicht LTE fähig (siehe obrigen Telekom Link). Scheint also so, dass es mit Einführung/Testphase von LTE eine eigene APN gab. Diese User haben dann wohl eine IP aus diesem Netz bekommen.

M2MCUSTOMERS-DE ist, wie Du schon sagst, selbsterklärend. Vielleicht wurde dieser Netzblock erst vor nicht allzu langer Zeit diesem Zweck umgewidmet und wurde früher von normalen Kunden benutzt.

TDMOBILE-1: Wenn man die APN internet.t-d1.de benutzt, bekommt man eine IP aus 37.80.0.0/12. Ist also nicht das gleiche Netz, aber der Name ist auffallend gleich:

inetnum: 37.80.0.0 - 37.87.255.255
netname: TDMOBILE-2

Bemerkenswert ist hier, dass es kein CG-NAT gibt, und man tatsächlich eine eigene öffentliche IP hat. Vielleicht hat TDMOBILE-1 einen ähnlichen Zweck.


Zitat:
Zitat von talk Beitrag anzeigen
Bei den 42,5 Mio. SIM-Karten(?) muß man die ganzen Wenignutzer und auch die diversen "Schubladenkarten" abziehen. Außerdem hat nicht jeder Nutzer ein Smartphone bzw. das mobile Internet aktiviert.

Wenn wir (vgl. oben) noch weitere IP-Blöcke dazunehmen, dann sieht die Rechnung ohnehin anders aus.
Selbst wenn es nur die Hälfte wären, und man noch einen zweiten /16 Netzblock dazu nimmt, wären es immernoch 130 User die sich eine Adresse teilen... finde ich immernoch ziemlich viel. Obwohl... soviel ist es auch nicht. Ich merke grade dass ich Unternehmen mit mehr Usern kenne, die auch nur über eine öffentliche IP surfen.
__________________
Internet: Telekom MagentaZuhause L
MSAN: Alcatel-Lucent 7330 ISAM FTTN (ANSI) - Broadcom 177.161 Linecard - jetzt am BNG! (Juniper MX960)
Router: FRITZ!Box WLAN 3370 - HWSubRevision 5 - FritzOS 6.54
Handy: Samsung Galaxy S7 - Telekom MagentaMobil XS Friends
Mit Zitat antworten
  #5  (Permalink
Alt 27.06.2019, 09:24
Benutzerbild von schlueti
schlueti schlueti ist offline
Mitglied
 
Registriert seit: 11.06.2009
Ort: Rüthen
Alter: 29
Beiträge: 189
Provider: Zwei
Bandbreite: 3 X VDSL100 Bonding
schlueti eine Nachricht über ICQ schicken
Standard AW: CG-NAT (Carrier-Grade NAT)

Nicht zu vergessen: Es gibt mittlerweile auch viele Geräte, welche IPv6 fähig sind. Da wird dann auch viel Traffic zu den üblichen Verdächtigen drüber geschoben.
Für meinen Arbeitgeber betreibe ich ein öffentliches WLAN in der Innenstadt, welches recht großzügig ausgelegt ist, da in dem Einzugsbereich auch recht Publikumsintensive Veranstaltungen stattfinden. Ich hatte hier zuerst alles fein über eine IP rausgehauen, bin dort aber recht fix an die Grenzen gelangt. Google drückt einem dann regelmäßig das Captcha aufs Auge, einige Dienste schienen den Zugriff tatsächlich zu sperren.

Nun habe ich mir ein Weihnachtsbaum- NAT gebastelt, was jedem Nutzer durch Zufall eine eigene IP aus einem /24 Netz zuweist. Die Nutzer sind dabei im Bereich 10.0.0.0/8 unterwegs.
Momentan stelle ich das Netz jedoch zus#tzlich um auf Dual-Stack(Lite)
__________________
"For once you have tasted flight you will walk the earth with your eyes turned skywards, for there you have been and there you will long to return." (Leonardo da Vinci)
Mit Zitat antworten
 
Anzeige
Antwort

Stichworte
carrier-grade nat, cg-nat, nat


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
NAT-Router der die Anzahl der NAT-Clients verbirgt? Ehemalige Benutzer Sonstiges 2 19.02.2005 10:02
Ich habe grade zufällig in mein Profil geguckt, und da ist mir was aufgefallen.. Ehemalige Benutzer Small Talk 22 04.07.2001 17:57
Grade T-DSL bekommen, gar nicht bestellt DieHardMan ADSL und ADSL2+ 16 23.06.2001 13:38
AOL grade down? (22.03.2001) [EM]Darth Vader Sonstige Anbieter 5 06.04.2001 11:44
Wieso grade am Dienstag? joringel Small Talk 19 23.03.2001 18:46


Alle Zeitangaben in WEZ +2. Es ist jetzt 17:45 Uhr.


Basiert auf vBulletin®
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.