Ja, bei der DG geht das.
Unifi sucht Tester für DS-Lite i. V. m. PPPoE
-
-
Ob es am Ende Verzögerung durch überlasteten oder unglücklich konfigurierten AFTR bei DS-Lite oder "reinen" NAT44-Service bei Dual-Stack mit privater IPv4 gibt ist vermutlich egal.
Wir haben hier im Forum schon beides gesehen. Das liegt dann weniger an der Technologie, die zum Einsatz kommt, als an der Bereitschaft des Providers, ausreichend Kapazitäten zur Verfügung zu stellen. Wobei man ggf. Störungen ausnehmen muss, wir hatten auch Fälle, da war es zwei Tage schlecht und dann wieder gut. Da ist vermutlich einfach was kaputt gegangen und musste repariert werden.
Was mich mal interessiert: Können sich CG-NAT-Kunden untereinander (bem selben Anbieter) per privater IPv4 erreichen; hat das mal jemand ausprobiert?
Genau, bei der DG geht das. Deshalb empfehle ich auch immer, trotz providerseitigem NAT die eigene Firewall nicht zu vernachlässigen und keine Harakiri Verkabelungen zu machen, wo LAN und WAN vermischt werden (z.B., um Status-Informationen eines Modems auszulesen). Die "Nachbarn" können einem nämlich trotzdem auf den Rechner schauen.
-
Ich würde gerne mal eine Grundfrage zu diesem Thread stellen:
Ist es nicht ziemlich sinnfrei seitens eines ISP, DS-Lite ausgerechnet via PPPoE anzubieten?
Meine Überlegung dabei:
- PPPoE bietet nur für IPv4 mit Hilfe des in PPP verfügbaren IPCP (RFC1332) eine zu DHCPv4 analoge Methode der IPv4-Adresszusweisung nebst DNS-Serveradressen (RFC1877). Bei DS-Lite müssen dem Kunden jedoch keine IPv4-Werte zugewiesen werden. Außerdem wird IPv4 bei DS-Lite nicht direkt in PPP übertragen, sondern in IPv6 enkapsuliert (das seinerseits allerdings wieder in PPP enkapsuliert wird). Bezüglich IPv4 ist PPPoE bei DS-Lite also völlig sinnfrei.
- Bezüglich IPv6 im Kontext DS-Lite bietet PPPoE mittels IPv6CP (RFC5072) nur die sehr dürftige Möglichkeit der kollisionsfreien Aushandlung einer linklokalen IPv6-Adresse am WAN-Port des Routers. Globale IPv6-WAN-Adresse (SLAAC/DHCPv6), DNS-Serveradressen (SLAAC/DHCPv6) und PD-LAN-Präfix (DHCPv6) müssen also zusätzlich über eine der in den Klammern genannten Verfahren zugewiesen werden. Die Verwendung von DHCPv6 wäre hier naheliegend, da dies die einzige Methode zur dynamischen Zuweisung des PD-LAN-Präfix ist.
In der Folge ergibt DS-Lite für mich nur in Verbindung mit IPoE einen Sinn.
Daher die Preisfrage:
Ist die aus meiner Sicht unsinnige Kombination DS-Lite/PPPoE dadurch zu begründen, dass der ISP halt aus seiner Historie heraus nur eine PPPoE-Einwahlstruktur zur Verfügung hat und eine Umstellung auf IPoE sehr aufwendig wäre? Oder übersehe ich andere gewichtige Aspekte, die für DS-Lite/PPPoE sprechen?
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Ist die aus meiner Sicht unsinnige Kombination DS-Lite/PPPoE dadurch zu begründen, dass der ISP halt aus seiner Historie heraus nur eine PPPoE-Einwahlstruktur zur Verfügung hat und eine Umstellung auf IPoE sehr aufwendig wäre?
Im Falle der DTAG würde ich das bejahen. Im Falle der kleineren Stadtwerke oder auch Deutsche Giganetz als deutlich größerer Anbieter komme ich da auch ins Grübeln.
Oder ist die Frage der Dial-In Architektur eine ganz andere gewesen: Wir machen es so wie die Telekom, da kann nichts Falsches daran sein. Also eine Art Lemming-Effekt (https://www.thehindu.com/opinion/op-ed/…cle22545146.ece) oder technischer Psittazismus?
-
DGN liefert Internet eigentlich nicht selbst sondern verkauft White Label Produkt von Purtel. Ob das es erklärt weiß ich auch nicht.
-
Never change a running system vielleicht? Aber ja, falls es stimmt, dass Purtel erst seit 2015 Internetdienste anbietet, ist das tatsächlich ziemlich seltsam.
Ich vermute, als ISP fühlen sich historisch Viele besser damit, dass der Kunde Zugangsdaten eingeben muss. Arbeite ich mit DHCP müsste ich im strengsten Fall ja dafür sorgen, dass der Kunde mir seine MAC-Adresse mitteilt und bin dann dafür verantwortlich, dass diese auch korrekt im System hinterlegt wird. Da ist es doch schöner, dem Kunden standardmäßig Tippfehler unterstellen zu können.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Ich vermute, als ISP fühlen sich historisch Viele besser damit, dass der Kunde Zugangsdaten eingeben muss.
Ja, Authentifizierung ist tatsächlich ein gewichtiges Argument, das für PPP bzw. PPPoE spricht.
Allerdings erinnere ich mich an die letzte "Innovation" seitens der Telekom bezüglich meines vormaligen VDSL-Anschlusses, in deren Folge keine Authentifizierung mehr erforderlich war. Es scheint also andere, auf der Infrastruktur beruhende Mechanismen zu geben, die hinreichend gut sicherstellen, dass der Internetzugang nur durch den berechtigten/zahlenden Anschlussinhaber genutzt werden kann.
-
Würde ich nicht sagen, eigentlich ist das voll die Schwachstelle. Ich kann jetzt das Telefonkabel meines Nachbarn ausgraben und dank Easy Login Schindluder damit treiben. Kommt wohl nur in der Realität zu selten vor, so dass man das Risiko in Kauf nimmt.
-
Würde ich nicht sagen, eigentlich ist das voll die Schwachstelle. Ich kann jetzt das Telefonkabel meines Nachbarn ausgraben und dank Easy Login Schindluder damit treiben. Kommt wohl nur in der Realität zu selten vor, so dass man das Risiko in Kauf nimmt.
Nun ja, vielleicht noch auf analoge Kupferleitungen. Spätestens bei digitalem Kupfer gingen keine 2 Anschlüsse an einer Leitung mehr, zumindest im Telekomnetz. Und wenn du dem Nachbarn sein Internet klaust, gibt es sicher Haue.
Na und bei Glasfaser... PON nur mit registrierter Modem-ID und bei AON nur ein Medienwandler am Gf-Ende. .
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Würde ich nicht sagen, eigentlich ist das voll die Schwachstelle. Ich kann jetzt das Telefonkabel meines Nachbarn ausgraben
Bei DOCSIS gab es doch mal die Problematik mit den Root-Zertifikaten in den Fritzboxen - da hätte man sich theoretisch gültige Zertifikate für fremde BK-Anschlüsse generieren können.
Bei GPON könnte man mit einem modifizierten ONT auch "fremde" Zeitslots mitschneiden - der Upstream ist nämlich unverschlüsselt.
-
Ich kann jetzt das Telefonkabel meines Nachbarn ausgraben und dank Easy Login Schindluder damit treiben. Kommt wohl nur in der Realität zu selten vor, so dass man das Risiko in Kauf nimmt.
Ist halt eine Straftat...
-
Bei GPON könnte man mit einem modifizierten ONT auch "fremde" Zeitslots mitschneiden - der Upstream ist nämlich unverschlüsselt.
Mmmh, solche Signale muessen zweimal ueber den Splitter, eher unwahrscheinlich, dass das Link Budget dafuer ausreicht...
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Um nun vollständig vom Threads abzugleiten: Um das Lichtsignal teilweise auszuleiten genügt eine Biegung der Glasfaser. Das ist ein non-invasiver Eingriff in die Faser. Es gibt da ganz nette (Spionage-)Vorrichtungen mit hochempfindlichem Empfänger. Lediglich durch höhere Dämpfungswerte ist so eine Vorrichtung zu erkennen.
-
Ok, mal back to topic. Macht denn jemand von Euch bei dem Test mit? Ich wollte mir eigentlich ein Cloud Gateway von einem Kollegen leihen, der hat sein zweites Test-Modell aber leider verkauft.
-
Ich kann nicht, habe hier nur öffentliche IP4-ADRESSE anliegen, sowohl bei GF wie vDSL, oder CGNAT/IPv6 bei Mobilfunk.
Aber DNS:Netz hat erzählt, dass sie demnächst auch IPv6 liefer wollen. Ich habe Angst.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Bei GPON könnte man mit einem modifizierten ONT auch "fremde" Zeitslots mitschneiden - der Upstream ist nämlich unverschlüsselt
Und weil der Schlüssel vom ONT erzeugt und dann ungesichert zum OLT gesendet wird, kann man dann auch gleich den Downstream entschlüsseln. Das Sicherheitskonzept von GPON beruht völlig auf der Annahme, dass der Nutzer den Upstream durch die Direktionalität der Splitter nicht mitlesen kann.
Wobei es auch unter dieser Annahme eine "Lücke" gibt: Die Seriennummer taucht beim Verbindungsaufbau unverschlüsselt im Downstream auf. Also könnte man theoretisch die ONTs der Nachbarn klonen, wenn der Anbieter nur auf die Seriennummer setzt. Aber das taugt halt auch nicht zum Mithören (zwei aktive ONTs mit der gleichen Seriennummer dürften für Durcheinander sorgen, falls der OLT die Situation nicht sowieso erkennt).
Es ist letztendlich 20 Jahre alte Technik, bei der man sich darauf beschränkt hat, ungefähr das Sicherheitsniveau der alten Telefonleitung nachzubilden.
-
Ja, Authentifizierung ist tatsächlich ein gewichtiges Argument, das für PPP bzw. PPPoE spricht.
Allerdings erinnere ich mich an die letzte "Innovation" seitens der Telekom bezüglich meines vormaligen VDSL-Anschlusses, in deren Folge keine Authentifizierung mehr erforderlich war. Es scheint also andere, auf der Infrastruktur beruhende Mechanismen zu geben, die hinreichend gut sicherstellen, dass der Internetzugang nur durch den berechtigten/zahlenden Anschlussinhaber genutzt werden kann.
Den BNGs ist das egal, wie sie den User authentifizieren, und auch, über welches Zugangsverfahren (IPoE/PPPoE) der User rein läuft. In beiden Fällen kommt RADIUS und die LineID als Zutrittsberechtigung zum Einsatz.
PPPoE wird meistens bei größeren WLP Providern dazu genutzt, durch verschiedene Realme, die Endkunden zu den korrekten Vorleistungsbeziehern zu routen. Daher vielleicht der PPPoE Unterbau bei Purtel. -
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Wo ist PPPoE denn Gefrickel und fehlerträchtig ? In der Realität hab ich das eher andersherum erlebt.
-
Also wenn ich mir die Problemchen so ansehe, scheint PPPoE doch oft die sicherere Nummer zu sein und somit der Zopf, den man nicht abschneiden möchte.
