Erfahrungen mit OpenInfra und Internetnord

Zitat von frank_m

Ich habe gerade noch mal ein bisschen recherchiert, und dieser Fall ist geradezu ein Paradebeispiel dafür, warum die IP Geolokalisierung in heutigen Zeiten einfach nur noch Unsinn ist.

Die Internetnord GmbH scheint zu einer schwedischen Firma zu gehören ("Internet bolaget Sverige AB"). Die haben Niederlassungen in Deutschland, Schweden und Norwegen. Aber: Sie trennen die Aktivitäten vorbildlich und kündigen auch jedes ihrer IPv4 Subnetze im jeweiligen Land sauber an:

https://db-ip.com/as207821

Da ist auch euer berühmtes 2.59.28.0/24 Netz, schön sauber in Deutschland verortet. Soweit, so gut.

Wenn man dann ein bisschen weiter forscht, stellt man fest, dass die Internetnord GmbH für Transit Dienstleistungen offenbar auf die Dienste einer Firma namens "Core-Backbone GmbH" zurückgreifen. Die sind Transit-Dienstleister im großen Stil und verbinden etliche kleine, regionale Internetanbieter mit der großen weiten Welt. Dafür verfügen sie nicht nur über Niederlassungen in mehreren europäischen Ländern, sondern auch über etliche IP-Subnetze, die sie ihren Kunden zur Verfügung stellen.

Das 2.59er Netz, über das ihr klagt, gehört ursprünglich zur Core Backbone GmbH. Sie haben in dem Bereich einen deutlich größeren Block, nämlich 2.59.28.0/22, also alle Adressen von 2.59.28.0 bis 2.59.31.255. Die höheren Subnetze (2.59.29.0 bis 2.59.31.255) werden aktuell offenbar nicht von Kunden genutzt. Das Problem: Das übergeordnete /22 Netz ist für die Schweizer Tochter der Core Backbone GmbH, der "Core-Backbone Schweiz GmbH, registriert.

https://bgp.he.net/net/2.59.28.0/24#_netinfo

Und schwupps verorten euch einige Lokalisierungsdienste in der Schweiz. Obwohl - wie auch im Link von HE deutlich zu sehen ist - die Aufteilung des Netzes deutlich und richtig kommuniziert wird. Aber die Lokalisierungsienste sind zu faul oder haben Bugs in ihre Software oder was auch immer - sie ignorieren die Aufteilung und melden die Information des übergeordneten Netzes.

Wie ich oben schon schrieb: Dieses Vorgehen ist in der Form komplett überholt. Bin gespannt, wie lange es noch dauert, bis DAZN und Konsorten das endlich mal merken.

Ihr dürft diesen Beitrag gern mal an die Inhalteanbieter senden, die sich querstellen, damit sich deren Support selber von der Unsinnigkeit ihres Vorgehens überzeugen kann.

Ach, übrigens: auch die 185er Adressen gehören ursprünglich der Core Backbone GmbH, sind allerdings der deutschen Niederlassung zugeordnet. Auch da ist es also jederzeit denkbar, dass die plötzlich mal woanders liegen, wenn die Core Backbone GmbH z.B. aus steuerlichen Gründen auf die Idee kommt, die Adressen in ein anderes Land zu verschieben.

Alles anzeigen

Es wäre wohl sinnvoller, hier auf die Core Backbone zuzugehen, da deren Maintainer-Object wohl das Falsche ist (das less Specific ist von deren Schweizer Abteilung).

Der IP-Space wurde in der RIPE DB auch erst seit dem 02.11.2022 von der OI/CBB dokumentiert, sodass man hier den Diensteanbietern evtl. noch keinen Vorwurf machen könnte.

Zitat von chrisw

Danke für die Recherche! Ich versuch Mal deinem Rat zu folgen.

Auch interessant dass grad mal je ein /24er Subnetz einem Ort mit 10000 Einwohnern zugeordnet ist...

Warum IN nicht auf IPv6 setzt um dem Geschachere zu entgehen verstehe ich ehrlich gesagt nicht. Dass die IPv4 Blöcke aufgebraucht sind, war ja schon vor 10 Jahren klar. Hat jemand ne Idee,was technisch dagegen spricht?

Zwischenstand:

Joyn hat meine IP gewhitelisted, Disney+ rührt sich nicht.

Joyn hat aber ein paar hilfreiche Infos mitgegeben:

Also habe ich mal versucht direkt bei maxmind eine Location Änderung zu erwirken. Das Web-Fomular sagt mir aber, nö!

Hab jetzt eine E-Mail geschrieben. Mal sehen was dabei passiert.

Die Mail von Joyn ist eine Frechheit. Die haben ein Vertragsverhältnis mit den "spezialisierten Unternehmen", aber die Internetanbieter sollen die IPs freischalten? Sie sperren die Kunden unrechtmäßig vom Zugang zu ihren Leistungen aus, das haben sie noch nicht verstanden, aber die Internetanbieter sollen aufwendig herausfinden, wer da IP Adressen falsch zuordnet und sie "freischalten lassen"? Was für eine verquere Wahrnehmung der Realität.

Kannst du ihm noch antworten? Dann schreib ihm zurück: Wenn da kein Umdenken stattfindet, dann ist bald Ende mit Joyn. Die IP Knappheit wird nämlich dazu führen, dass sie nach und nah ihre gesamte Kundschaft aussperren. Offenbar wollen sie es auf die harte Tour lernen.

Zitat von chrisw

Auch interessant dass grad mal je ein /24er Subnetz einem Ort mit 10000 Einwohnern zugeordnet ist...

Warum IN nicht auf IPv6 setzt um dem Geschachere zu entgehen verstehe ich ehrlich gesagt nicht. Dass die IPv4 Blöcke aufgebraucht sind, war ja schon vor 10 Jahren klar. Hat jemand ne Idee,was technisch dagegen spricht?

Weißt du, ob alle diese 10000 Einwohner Anschlüsse von IN besitzen ?

Was technisch gegen v6 spricht ? Eigentlich gar nichts, sofern CPEs RFC-konform arbeiten. Was leider in der näheren Vergangenheit oft nicht der Fall war. Fritzboxen haben bis zu einer bestimmten FW-Version z.B. gleichzeitig versucht, via SLAAC und DHCPv6 eine Adresse zu beziehen. Das mögen BNGs, die streng nach RFC entweder das eine, oder andere Verfahren erwarten, einfach nicht. Und das ist nur ein Beispiel von vielen Fallstricken, die bis heute der Erfolgsgeschichte von IPv6 im Weg stehen.

Zitat von kingpin42

Fritzboxen haben bis zu einer bestimmten FW-Version z.B. gleichzeitig versucht, via SLAAC und DHCPv6 eine Adresse zu beziehen. Das mögen BNGs, die streng nach RFC entweder das eine, oder andere Verfahren erwarten, einfach nicht.

In welcher RFC steht, dass nur das eine oder das andere erlaubt ist? Windows und Linux machen das ja auch nicht und holen sich über beides eine Adresse, vor allem, wenn die RAs nicht im Sekundentakt kommen.

Zitat von frank_m

Die Mail von Joyn ist eine Frechheit. Die haben ein Vertragsverhältnis mit den "spezialisierten Unternehmen", aber die Internetanbieter sollen die IPs freischalten? Sie sperren die Kunden unrechtmäßig vom Zugang zu ihren Leistungen aus, das haben sie noch nicht verstanden, aber die Internetanbieter sollen aufwendig herausfinden, wer da IP Adressen falsch zuordnet und sie "freischalten lassen"? Was für eine verquere Wahrnehmung der Realität.

Kannst du ihm noch antworten? Dann schreib ihm zurück: Wenn da kein Umdenken stattfindet, dann ist bald Ende mit Joyn. Die IP Knappheit wird nämlich dazu führen, dass sie nach und nah ihre gesamte Kundschaft aussperren. Offenbar wollen sie es auf die harte Tour lernen.

Also das mit "eine Frechheit" finde ich etwas sehr übertrieben.
Joyn hat doch alles für seinen Kunden gemacht, sprich IP freigeschaltet. Dass Geo IP-Datenbanken immer hinterherhinken, ist halt so.
Anderseits sind die Streaming-Dienste extrem gegängelt durch die Produktionsfirmen. Da sind die Vertragsstrafen in Millionenhöhe, wenn sie Filme in "falsche" Länder verbreiten. Also unrechtmäßig sind solche Sperrungen ganz bestimmt nicht. Steht bestimmt in den AGB´s. Somit sind ihnen ein paar unzufriedene Kunden egal.
Bei den meisten klappt es ja, bis auf die paar Exoten bei kleinen ISP. Und da fragt man sich, ob diese kleinen ISP vielleicht ihre Hausaufgaben hinsichtlich IP-Adressverwaltung nicht optimal machen. Von Firmen wie Telekom, Vodafone, etc. hört man so etwas extrem selten.

Und ich finde gerade die Hintergrundinformationen in der Mail von Joyn für den Kunden extrem hilfreich, weil die meisten gar nicht wissen, wie solche Abläufe/Fehler zustande kommen.

Zitat von Phino

Von Firmen wie Telekom, Vodafone, etc. hört man so etwas extrem selten.

Oh, dann schau dich mal im Telekom Hilft Forum um, wie viele da exakt das gleiche Problem haben.

Es mag ja sein, dass die Anbieter von den Rechteinhabern gegängelt werden. Die Frage ist, inwieweit sich das mit EU Recht vereinen lässt. Wie dem auch sei: Durch den Trend zu CGNAT ist das Verfahren einfach obsolet. Wenn sie auf die Position ihrer Kunden angewiesen sind, dann müssen sie ein Verfahren entwickeln, die zuverlässig herauszufinden. Mittels Geo-IP wird es nicht funktionieren, denn genau dieses Verfahren kann dann ja auch dazu führen, dass Inhalte im falschen Land wiedergegeben werden können. Damit bringen sich die Anbieter nur selbst in Bedrängnis.

Zitat von frank_m

In welcher RFC steht, dass nur das eine oder das andere erlaubt ist? Windows und Linux machen das ja auch nicht und holen sich über beides eine Adresse, vor allem, wenn die RAs nicht im Sekundentakt kommen.

Linux macht bei mir in der default Config (NetworkManager), nur SLAAC, und holt sich DNS Infos via RFC6106 auch im RA. Windows weiß ich es nicht.

Ich müsste den RFC raus suchen, jedenfalls ist beides gleichzeitig, also das gleichzeitige Senden von Router Solicitations und DHCPv6 Solicitations, sofern es sich beim Router und DHCPv6-Server um dieselbe Entität handelt (was bei einem BNG der Fall ist), problematisch.

Zitat von frank_m

Oh, dann schau dich mal im Telekom Hilft Forum um, wie viele da exakt das gleiche Problem haben.

Es mag ja sein, dass die Anbieter von den Rechteinhabern gegängelt werden. Die Frage ist, inwieweit sich das mit EU Recht vereinen lässt. Wie dem auch sei: Durch den Trend zu CGNAT ist das Verfahren einfach obsolet. Wenn sie auf die Position ihrer Kunden angewiesen sind, dann müssen sie ein Verfahren entwickeln, die zuverlässig herauszufinden. Mittels Geo-IP wird es nicht funktionieren, denn genau dieses Verfahren kann dann ja auch dazu führen, dass Inhalte im falschen Land wiedergegeben werden können. Damit bringen sich die Anbieter nur selbst in Bedrängnis.

Das Problem taucht ja, je nach Anbieter, nicht auf, wenn die IP innerhalb der EU sind. So wie hier beschrieben ist die IP noch in afrikanischen Raum hinterlegt und dies ist dann vollkommen rechtens den Nutzer zu sperren.
Und eins sei gesagt. Man muss das Streaming ja nicht nutzen, man kann ja auch ins Kino gehen.
Ich habe gerade nachgeschaut, bei WOW und Disney+ wird sogar explizit darauf hingewiesen, dass sie mit Geo IP arbeiten. Und alles in der Welt der Technik ist fehlerbehaftet, wenn der Mensch (Verwaltung) eine Rolle spielt.

Zitat von Phino

Und alles in der Welt der Technik ist fehlerbehaftet, wenn der Mensch (Verwaltung) eine Rolle spielt.

Was einen aber nicht davon befreit, seinen vertraglichen Pflichten nachzukommen. Sowohl gegenüber den Endkunden, als auch gegenüber den Rechteinhabern. Wenn das Verfahren fehlerbehaftet ist: Nun ja.

Zitat von kingpin42

Windows weiß ich es nicht.

Hier mal ein Beispiel aus Windows:

Ethernet-Adapter Ethernet0:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
   Physische Adresse . . . . . . . . : 00-0C-29-6E-A6-D1
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2a00:6020:1111:1111:1111:ca55:1014:71c3(Bevorzugt)
   IPv6-Adresse. . . . . . . . . . . : 2a00:6020:1111:1111:1111:34d9:39c1:26ef(Bevorzugt)
   Lease erhalten. . . . . . . . . . : Sonntag, 11. Dezember 2022 12:57:42
   Lease läuft ab. . . . . . . . . . : Sonntag, 11. Dezember 2022 14:57:42
   Temporäre IPv6-Adresse. . . . . . : 2a00:6020:1111:1111:1111:cfbe:dea0:9e09(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::1111:34d9:39c1:26ef%11(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.175.114(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Sonntag, 11. Dezember 2022 12:57:42
   Lease läuft ab. . . . . . . . . . : Montag, 12. Dezember 2022 12:57:42
   Standardgateway . . . . . . . . . : fe80::2e91:abff:fe60:2d1e%11
                                       192.168.175.1
   DHCP-Server . . . . . . . . . . . : 192.168.175.1
   DHCPv6-IAID . . . . . . . . . . . : 100666409
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-2A-3E-58-39-00-0C-29-6E-A6-D1
   DNS-Server  . . . . . . . . . . . : fe80::dea6:32ff:fe23:6bb%11
                                       192.168.175.9
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Es gibt 3 IPv6 Adressen, eine temporäre und zwei reguläre, und sowohl zu IPv6 als auch zu IPv4 gibt es Lease Informationen.

Zitat von kingpin42

Fritzboxen haben bis zu einer bestimmten FW-Version z.B. gleichzeitig versucht, via SLAAC und DHCPv6 eine Adresse zu beziehen.

Also die FB/AVM unterstützen seit 2011 IPv6. Da gab es, glaube ich, eigentlich noch keinen großen Provider, der auch nur über IPv6 nachgedacht hat. Daher hatten sie erst einmal beides eingebaut.

Als es dann konkreter wurde, haben sie laut IPv6_Technical_Note_de.pdf aus 2019 dieses umgestellt, dies müsse so mit Firmware 6.80, spätestens 7.10 gewesen sein. Wer dies noch nicht auf seiner FB hat, hat andere Probleme, IPS-eigene FB werden bestimmt richtig eingestellt sein.

Zitat von frank_m

Was einen aber nicht davon befreit, seinen vertraglichen Pflichten nachzukommen. Sowohl gegenüber den Endkunden, als auch gegenüber den Rechteinhabern. Wenn das Verfahren fehlerbehaftet ist: Nun ja.

Das Verfahren ist nicht fehlerbehaftet, sondern nur die, die es mit Daten füttern.

Zitat von alfalfa

Wo siehst du die Provider in der Pflicht? Sollen die wirklich jeden Geolokalisierungsdienst ausfindig machen, um deren Datensammelalgorithmen zu debuggen? Ich habe sowas schonmal entwickelt, aber mich hat noch kein Provider deswegen kontaktiert, weder ein kleiner noch ein großer. Wie sollten sie auch?

Gerade hier sehe ich viele Nachlässigkeiten bei den Providern. Beispiel mein Provider DNS:NET. Ich habe regelmäßig IP-Adressen, die in der Ripe Daten der Firma Airdata AG* zuzuordnen sind. Hinsichtlich Streaming unproblematisch, da die Firma ja auch in Deutschland ihren Sitz seit 2004 hat. Aber es zeigt, wie nachlässig in der Ripe-Datenbank eingetragen wird. Wie soll da den Geo IP funktionieren?

*Ich kenne AirData schon seit 2004, wir waren Erst-Kontakt und haben über dessen Funkversorgung unsere Filialen angebunden, wo es noch kein gutes DSL gab.

Zitat von alfalfa

Die Antwort rettet ein wenig, dass jemand wirklich auf das Problem eingegangen ist und die Zusammenhänge kurz erläutert hat. Vom Anbieter-Kunde Verhältnis her ist die Antwort trotzdem eine Frechheit. Die Geolokalisierung ist nicht das Problem des Kunden. Wie der Streaminganbieter seine Regionenbeschränkungen umsetzt, ist allein seine Sache. Fehler dabei gehen ganz klar zu Lasten des Streaminganbieters. Der Kunde muss keine falsche Sperre dulden. Ich sehe da nicht einmal eine Mitwirkungspflicht.

Haha, dazu musst du mal die AGB von Joyn lesen. Von 16 §§ der AGB gibt es nur einen sehr, sehr kurzen § 11. Verfügbarkeit, Leistungstörungen der die Rechte der User ein wenig stärkt, sonst alles nur was die User zu tun oder zu lassen haben. Jedenfalls ist man diesem Anbieter ausgeliefert und ich glaube bei den Anderen wird es nicht viel besser sein.

So gesehen, ist der Kundendienst ist es ja schon fast über ihren Schatten gesprungen.

Es geht ja nicht per seh um die Lokalisierung durch Whois / Ripe-Datenbank. Aber sofern sich in diesen Datenbanken keine Änderung ergibt, gibt es ja für MaxMind & Co. wenig Grund ihre Informationen zu aktualisieren. Wobei dort auch andere Informationsquellen genutzt werden. So werden IP-Adressen von Käufen bei Amazon abgeglichen hinsichtlich Bestelladressen. In der Masse schon recht gute Möglichkeit.
So gesehen sind schon die ISP gefordert ihre Eintragungen aktuell zu halten, insbesondere das es ja Teil der Verträge mit dem Ripe und den 4 NIC ist.
Ich brauchte im beruflichen Umfeld genau diese Informationen und daher weiß ich seit ca. 10 Jahren um die Genauigkeit. Es ist halt so, dass nach eigenen Statistiken bei selber entwickelten Software zu Lokalisierungen bei über 99 % liegt. Dabei wurde unter anderen MaxMind genutzt. Und dabei ging es nicht um Länder, sondern Regionen.
Daher werden auch die Streaming-Dienste kein mehr an Anstrengungen unternehmen, um auf höhere Trefferzahlen zu kommen.

Ich hatte mich vor einiger Zeit ja schon zu der Thematik geäußert, dem möchte ich noch hinzufügen, dass wir hier an der meiner Meinung nach fehlerträchtigen Lokalisierung über IPv4-Adressen nichts ändern können.

Einzig allein kann man den Streaminganbieter darauf hinweisen, das seine Annahme (!) des Standortes falsch ist und er doch lieber in den Stammdatensatz hereinschauen möchte, andernfalls macht der Kunde von seinem außerordentlichen Kündigungsrecht gebraucht, da der Streaminganbieter die bezahlte Leistung verweigert.

Auch hier können die Verbraucherzentralen sensibilisiert werden und sich für den Kunden und gegen Schätzverfahren einsetzen. Ich bin zwar kein Freund der Brechstange, wenn es jedoch nicht anders geht...

Zitat von Phino

Also die FB/AVM unterstützen seit 2011 IPv6. Da gab es, glaube ich, eigentlich noch keinen großen Provider, der auch nur über IPv6 nachgedacht hat. Daher hatten sie erst einmal beides eingebaut.

Als es dann konkreter wurde, haben sie laut IPv6_Technical_Note_de.pdf aus 2019 dieses umgestellt, dies müsse so mit Firmware 6.80, spätestens 7.10 gewesen sein. Wer dies noch nicht auf seiner FB hat, hat andere Probleme, IPS-eigene FB werden bestimmt richtig eingestellt sein.

Genau dieses Vorgehen von AVM verwirrte den BNG, das ist auch sehr gut hier beschrieben:

DHCPv6/SLAAC Interaction Problems on Address and DNS Configuration

The IPv6 Neighbor Discovery (ND) Protocol includes an ICMPv6 Router Advertisement (RA) message. The RA message contains three flags, indicating the…

datatracker.ietf.org

Zitat

Code

[...]
3.  Behavior Ambiguity Analysis

   The ambiguity of the flags definition means that when interpreting
   the same messages, different hosts might behave differently.  The
   ambiguity space is analyzed as the following aspects.

   1) Dependency between DHCPv6 and RA

      In standards, behavior of DHCPv6 and Neighbor Discovery protocols
      is specified respectively.  But it is not clear that whether there
      should be any dependency between them.  More specifically, it is
      unclear whether RA (with M=1) is required to trigger DHCPv6; in
      other words, It is unclear whether hosts should initiate DHCPv6 by
      themselves if there are no RAs at all.
[...]

Alles anzeigen

Es existiert faktisch keine gegenseitige Abhängigkeit von SLAAC und DHCPv6.