Mange Wi-Fi-routere er fyldt med huller

rmariboe (5) skrev:

De viser blot, at hvis man giver folk adgang til at logge på WiFi på en af de nævnte routere (som på StarBucks osv), kan de potentielt få root-adgang på selve routeren

Hvem siger man skal være på lokalnettet for at kompromittere routeren? Routeren er også forbundet til Internettet, så et angreb kan potentielt komme via Internettet.

Nogle svagheder i routere kan udnyttes hvis en browser på lokalnettet tilgår eksterne websites. Vha. passende scripts, links, forms, ol. kan et website få browseren til at kommunikere med routeren.

RMJ (7) skrev:

Man skulle tro af automatisk opdatering snart var en mulighed.

Risikoen for at routeren holder op med at virke ved opdateringen er for stor til at gøre det uden brugerens kendskab. Desuden laver den typiske WiFi-router stateful NAT. Denne tilstand vil gå tabt ved en genstart, og opdatering af routerens firmware kræver en genstart. Sidstnævnte problem kunne dog undgås ved at opdateringen først sker næste gang routeren tændes. Men risikoen for at routeren ikke starter op igen er ikke så nem at gøre noget ved.

Kian (8) skrev:

Istedet efterlades brugeren med, i de fleste tilfælde, et link på gui til en søgefunktion på producentens hjemmeside.

Det lyder ikke særligt gennemtænkt. Hvis routeren har internetadgang burde den også give mulighed for at downloade og installere den rigtige firmware ved et enkelt klik på en webside.

Yvossen (15) skrev:

Det ville ikke hjælpe f.eks. min onkel meget, hans router ligger bag et skab.

Man kunne nok finde en løsning hvor routeren kan gøre opmærksom på behovet via en netforbindelse. Men hvis man gerne vil undgå at routeren gør opmærksom på det ved at hijacke en forbindelse, så bliver man nok nødt til at konfigurere noget på routeren for at angive, hvordan man vil have besked. Den kunne f.eks. sættes op til at sende en email.

HerrMansen (16) skrev:

Lad os nu sige at f.eks. D-Link's update server bliver inficeret og begynder at spytte malware firmware ud til alle, så har du først problemer.

Det løses ved at sætte digital signatur på firmwaren. Selvfølgelig skal den hemmelige nøgle ikke ligge på update serveren. For ekstra sikkerhed kan der bruges SSL som betyder at der er en anden hemmelig nøgle involveret, som så ligger på serveren.

Thoroughbreed (17) skrev:

Ville aldrig have en udbyder der tvinger en router på mig.

Du vil altid skulle kommunikere gennem routere som er under internetudbyderens kontrol. At en enkelt af de routere står hos dig og ikke hos udbyderen betyder blot at du kommer til at bruge en smule strøm på den router, og at du har lidt flere muligheder for at fejlfinde på den i forhold til en router, der står hos udbyderen.

Det du skal tage afstand fra er altså ikke at udbyderen tvinger dig til at bruge en router, for når nu Internettet er opbygget af routere, så er en internetforbindelse ikke ret meget værd uden routere.

Problemet med de routere som udbyderne stiller til rådighed er at de som oftest gør andet end blot at route. De tre ting du skal tage afstand fra at udbyderen gør er:
- Pakkefiltre
- Adresseoversættelse
- Stateful inspection
Hver af de tre ting skaber problemer. Og en typisk NAT løsning betyder at routeren gør alle tre ting.

Men hvorvidt routeren laver NAT eller ej er ikke afgjort af om routeren står hos dig selv eller hos udbyderen.

Tidligere kunne man vist godt få et /29 prefix til sit lokalnet bagved routeren, således at routeren ikke havde behov for at lave NAT, og man kunne have fem enheder online.

Men sådan en opsætning blev ualmindelig før routere i private hjem blev almindelige. I dag er det meget mere almindeligt at have en enkelt IP adresse til routeren og NAT.

Dermed har der været en periode hvor det var almindeligt at der var NAT på routere hjemme og ikke hos udbyderen. Men den periode er ved at være slut. Det begynder at blive almindeligt at der også sker NAT på routere hos udbyderne. Jeg har set det på mobil internetadgang gennem TDC.

Jeg har hørt om at det også foregår på kablede forbindelser hos nogle udbydere, men jeg ved ikke med sikkerhed om den slags foregår i Danmark endnu.

Den dag du bliver udsat for at der foregår NAT på en router som udbyderen har stående ville du nok ønske at den NAT router stod hjemme hos dig selv, så du ikke skulle deles med andre kunder.

Det lag af NAT hos udbyderen overflødiggør egentlig NAT hjemme hos kunderne. Men de fleste vil nok blive ved med at bruge NAT hjemme fordi det er de vant til. Og så kommer man til at skulle leve med problemerne med to lag af NAT.

SlettetBruger (20) skrev:

Der foregår næppe noget routing.

Der er som regel en router mellem AP og modem, så hvis du ser et stykke hardware med AP og modem i samme enhed, så kan du være næsten sikker på at den enhed også kan fungere som router. Om den så altid er sat op til at fungere som router er en anden sag. På nogle enheder kan man vælge mellem bridging og routing.

Thoroughbreed (32) skrev:

Det var opgivet ved lege af sommerhuset.

Slå lige op hvad forskellen er på "lege" og "leje", og så lad os høre lidt mere om de lege ;-)

kasperd (51) skrev:

Du vil altid skulle kommunikere gennem routere som er under internetudbyderens kontrol. At en enkelt af de routere står hos dig og ikke hos udbyderen betyder blot at du kommer til at bruge en smule strøm på den router, og at du har lidt flere muligheder for at fejlfinde på den i forhold til en router, der står hos udbyderen.

Jeg tror at du misforstår mig lidt her.

Det jeg ikke vil have, er en router som f.eks TDC HomeBox. Jeg fik en påduttet da vi boede i lejlighed, og ikke kunne få fibernet.

Dens firmware/GUI var så ringe, at det næsten var umuligt at konfigurere den som JEG ville have

Det er måske et spørgsmål om smag, men da jeg altid har kørt med Cisco/Linksys, så bliver man hurtig vandt til at kunne ændre ting på en bestemt måde. Den TDC-boks jeg fik var næsten umulig at lave bestemte port-forwardings og routings på, uden at skulle bøvle helt vild. Noget andet er, at hvis jeg havde det mindste bøvl med mit internet, og ringede til kundeservice fik jeg følgende standardsvar:

Jeg kan se at du har ændret ved boksens indstillinger. Jeg nulstiller lige det hele, og så kan du prøve forfra.

kasperd (51) skrev:

Slå lige op hvad forskellen er på "lege" og "leje", og så lad os høre lidt mere om de lege ;-)

Nogle gange går det lidt hurtigt, og telefonens auto-correct skriver noget vås ;-)

- velkommen tilbage!

Thoroughbreed (52) skrev:

Dens firmware/GUI var så ringe, at det næsten var umuligt at konfigurere den som JEG ville have

Men hvis den router helt blev fjernet, så ville du i stedet kommunikere med en TDC router lidt længere inde i netværket. Og den router får du endnu sværere ved at konfigurere, faktisk vil TDC gøre alt hvad de kan for at du ikke kan konfigurere noget på den router, fordi den også håndterer mange andre kunders trafik.

Thoroughbreed (52) skrev:

Den TDC-boks jeg fik var næsten umulig at lave bestemte port-forwardings

Men hvorfor er du overhovedet interesseret i at lave port forwarding? Det har garanteret været fordi den boks lavede NAT at du havde brug for det. Havde boksen ikke lavet NAT havde du ikke haft brug for port forwarding.

En mere passende udmelding ville være at hvis der skal foregå nogen form for NAT, så skal det ske på udstyr du selv har valgt. Og så kan du lade udbyderen sætte alle de routere op, som de finder nødvendigt, så længe de ikke laver NAT på dem.

#53

Jeg har behov for port-forwarding, da FTP port 21 skal gå til min ene NAS, HTTP port 80 samt 8000 skal gå til den anden NAS osv .. Det var umuligt med min TDC-boks, samt UPnP var deaktiveret.

Det gør det lidt svært hvis man vil andet, end blot gå på facebook og spille et eller andet hjernedødt spil :)

- men jeg kan konkludere at du ikke har prøvet sådan en TDC-boks :)

Thoroughbreed (54) skrev:

Jeg har behov for port-forwarding, da FTP port 21 skal gå til min ene NAS, HTTP port 80 samt 8000 skal gå til den anden NAS osv

Hvis ikke der var NAT involveret kunne man bare tilgå begge NAS enheder direkte uden at gøre det hele mere kompliceret ved at bruge port forwarding.

Hvis TDC gav dig en forbindelse uden NAT, men med for få IP adresser til alle dine enheder kunne du selv sætte din egen router op på den IP adresse og lave NAT, som du selv vil have det.

Thoroughbreed (54) skrev:

Det gør det lidt svært hvis man vil andet, end blot gå på facebook og spille et eller andet hjernedødt spil :)

Ja, det er vist det der er pointen med NAT. Der er nok som virker til at man kan overbevise de mindre teknisk kyndige om at alt er i skønneste orden.

Thoroughbreed (54) skrev:

men jeg kan konkludere at du ikke har prøvet sådan en TDC-boks :)

En af mine venner havde sådan en. Han endte med at skifte til Bolignet Aarhus for at få en internetforbindelse, der virkede.

Jeg argumenterer bestemt ikke for at lige netop den boks er en god løsning. Jeg siger at alle problemerne drejer sig om NAT. Giver udbyderen dig en router uden pakkefiltre, adresseoversættelse og stateful inspection, så gør det ikke noget at du ikke kan konfigurere den, for det har du alligevel ikke brug for.

Godt nok er der også problemer, som ikke har noget med NAT at gøre, f.eks. at boksens indbyggede DNS server er defekt. Men den kan man bare lade være med at bruge.

Lige for at forstå det ret, NAT står så vidt jeg ved for "Netw. Adr. Translation" - er det i princippet ikke også det samme som DNS? Altså, en form for routing til den rigtige enhed?

Er - tydeligvis - ikke engang halvt så klog som dig, men jeg har dog mere forstand på consumer router konfiguration end størstedelen af befolkningen.

For at være ærlig, 20-25% af det du siger, er volapyk for mig, men resten giver dog god mening! Tror jeg vil prøve at læse lidt om NAT og routing i aften når konen ser Kanal 4/TLC :-)

Thoroughbreed (56) skrev:

Lige for at forstå det ret, NAT står så vidt jeg ved for "Netw. Adr. Translation" - er det i princippet ikke også det samme som DNS? Altså, en form for routing til den rigtige enhed?

NAT oversætter fra en adresse til en anden ja, ville nok ikke kalde det det samme som DNS :)
Fx fra 8.8.8.8 til 192.168.1.8

freesoft (57) skrev:

NAT oversætter fra en adresse til en anden ja, ville nok ikke kalde det det samme som DNS :)
Fx fra 8.8.8.8 til 192.168.1.8

Nu var DNS også mere ment som et eksempel. at www.minsi.de går til 123.123.123.123 hvor at, som du skriver, en NAT går fra 8.8.8.8 til 192.168.1.8

NAT styrer normalt trafikken mellem to uafhængige netværk.
DNS fortæller dig jo bare hvilken IP-adresse du skal bruge, hvis du vil kommunikere med et domæne.

Thoroughbreed (56) skrev:

Lige for at forstå det ret, NAT står så vidt jeg ved for "Netw. Adr. Translation"

Det er korrekt.

Thoroughbreed (56) skrev:

- er det i princippet ikke også det samme som DNS? Altså, en form for routing til den rigtige enhed?

Nej. Routing, DNS og NAT er tre vidt forskellige ting.

En router er en enhed med et antal netværksinterfaces. Den modtager pakker på de interfaces og kigger på de første bits af IP adressen for at finde ud af hvilket netværksinterface den skal sendes videre på. Hvor mange bits den skal kigge på varierer. Nogle gange kan routeren vide hvad vej pakken skal efter at have kigget på de første to bits, andre gange kan det være den skal kigge på samtlige bits for at finde ud af, hvad vej pakken skal.

Den tæller også en tæller ned i pakken for at de ikke kan ende i en uendelig løkke.

Har man de to features på plads har man en funktionel router. Vil man rent faktisk følge standarden kræves der dog lidt flere features.

Routerne er de enheder der faktisk transporterer pakkerne hen over netværket.

DNS er noget ganske andet. Det er et hierarkisk system hvor man kan slå data op. Det bruges primært til at slå et domænenavn op og få oplyst den tilhørende IP adresse.

DNS er kun involveret ved det ene opslag klienten har brug for at udføre for at starte kommunikationen. Når det er gennemført kan kommunikationen fortsætte vilkårligt længe uden at involvere DNS igen.

NAT er en feature som kan indbygges i en router. NAT er karakteriseret ved at routeren ændrer på felter som var tiltænkt at skulle være uændret hele vejen fra afsender til modtager.

Det drejer sig primært om at ændre på afsender og/eller modtager adresse og portnumre.

Hvis der bruges NAT, så bruges det gennem hele kommunikationen. Fra første til sidste pakke i kommunikationen skal NAT enheden lave samme erstatning af adresser på hver enkelt pakke.

Når du sender en pakke fra dit lokalnet til Internettet kan NAT enheden ændre afsenderadressen således at alle pakker sendes med samme afsenderadresse uanset hvilken enhed de kom fra. Hvis de havde samme afsenderport er NAT enheden nødt til at lave afsenderporten om, så den kan se hvilken enhed svarene der kommer tilbage fra nettet skal sendes til.

Når NAT er involveret er det ikke længere nok at kigge på destinations IP for at finde ud af hvor en pakke skal hen. Det afhænger både af konfiguration af port forwardings og igangværende kommunikation (som NAT enheden skal huske på).

Det betyder at med NAT vil der være situationer hvor enheden ikke er i stand til at sende pakken derhen hvor du gerne vil have den hen, fordi destinationsadressen ganske enkelt ikke er nok.

Jeg gætter på at under halvdelen af internetbrugerne nogensinde har set en router, som ikke lavede NAT. Det er lidt vanskeligt at forstå hvordan nettet fungerer, hvis man antager at alle routere laver NAT.

Jeg gætter på du aldrig har haft en router hjemme uden NAT.

Hvis man virkeligt vil forstå hvordan det hele fungerer skal man først lade som om NAT ikke eksisterer og forstå hvordan det var tænkt at nettet skulle fungere. Når man har forstået det kan man gå i gang med at sætte sig ind i NAT og prøve at forstå hvordan NAT kunne bringes ind i billedet uden at nettet totalt brød sammen.

Aha!

Altså, NAT er det der gør, hvis jeg fra min desktop, bærbar og mobil (via WiFi) uploader et billede på peecee.dk - og ser på "afsenderen" - de ligger alle under samme IP

Uden NAT (som jeg forøvrigt kan slå fra) - så ville det være tre forskellige afsendere? Correct?

..

Noget andet, som du HELT klart kan forklare, Vossen og jeg har begge fiber fra SE, og en "fast" IP (er ikke sikker på Voss)

Min bror og to kammerater har også SE Fiber, men deres ip er noget 1xx.xxx.xxx.xxx, hvor Vossen og min er 8x.xxx.xxx.xxx - jeg kan f.eks. ikke få en ordentlig traceroute til de tre, og den kommer snildt op på 15+, hvor den til Voss kun er en 4-6 hop.

Er det pga NAT? De kan f.eks. ikke hoste en server/NAS/Computerspil, da man ikke kan forbinde til deres - tilsyneladende - eksterne ip (ifølge sider som f.eks. myip.dk)

Alle der ikke har købt fast IP hos SE er bag SE's NAT så vidt jeg har forstået. Dem der ikke har købt fast IP kan ikke hoste noget på deres forbindelse.

Hvis du ikke har NAT slået til hos dig, så er der kun en enhed der kan være på nettet ad gangen fordi du ikke har flere IP'er fra SE.

Thoroughbreed (61) skrev:

Altså, NAT er det der gør, hvis jeg fra min desktop, bærbar og mobil (via WiFi) uploader et billede på peecee.dk - og ser på "afsenderen" - de ligger alle under samme IP

Nemlig.

Thoroughbreed (61) skrev:

Uden NAT (som jeg forøvrigt kan slå fra) - så ville det være tre forskellige afsendere?

Ja. Men det er ikke sikkert du kan få så mange IP adresser.

Thoroughbreed (61) skrev:

Er det pga NAT?

Jeg skal bruge lidt mere info for at besvare det spørgsmål. Jeg kan se at SE har en del forskellige allokeringer

ftp://ftp.ripe.net/pub/stats/ripencc/membership/alloclist.txt skrev:

Syd Energi Bredbaand A/S

20060331 89.184.128.0/19 ALLOCATED PA
20070830 78.157.96.0/19 ALLOCATED PA
20080429 212.37.128.0/19 ALLOCATED PA
20080911 94.138.64.0/19 ALLOCATED PA
20090223 95.154.0.0/18 ALLOCATED PA
20100812 46.32.32.0/19 ALLOCATED PA
20110315 31.185.64.0/19 ALLOCATED PA
20111003 178.132.224.0/20 ALLOCATED PA
20120221 37.128.208.0/20 ALLOCATED PA
20120905 5.206.192.0/21 ALLOCATED PA
20100216 2a00:1b70::/32

Hvis der bruges NAT kan IP adresserne bagved være taget fra en af følgende fire allokeringer

10.0.0.0/8
100.64.0.0/10
172.16.0.0/12
192.168.0.0/16

Jeg ved ikke om 1xx betyder 100, 172, 178 eller 192.

Thoroughbreed (61) skrev:

da man ikke kan forbinde til deres - tilsyneladende - eksterne ip (ifølge sider som f.eks. myip.dk)

Hvis man vil finde ud af om der bruges NAT skal man kigge efter IP adressen på ydersiden af deres egen router. Websiden de kigger på vil kun se IP adressen på ydersiden af den yderste NAT, og hvis man sammenligner den med IP adressen tildelt computerens netkort kan man se om der er NAT, men ikke hvor mange niveauer af NAT.

Hvis man har sat en server op på IP adressen bagved udbyderens NAT vil den ikke kunne tilgås fra computere ude på nettet. Men den vil stadigvæk godt kunne tilgås fra andre kunder hos samme udbyder, hvis udbyderens netværk er sat rigtigt op og man ellers kender den rigtige IP.

Måden at finde den rigtige IP ville være at finde en kunde hos SE som hoster en webside der i stil med myip.dk kan fortælle hvad klientens IP adresse er.

Yvossen (62) skrev:

Alle der ikke har købt fast IP hos SE er bag SE's NAT så vidt jeg har forstået. Dem der ikke har købt fast IP kan ikke hoste noget på deres forbindelse.

Det har jeg hørt tidligere. Måske er det dig, der har nævnt det engang sidste år.

#62
Jamen .. Jeg har ikke købt fast IP hos SE, men har to linier ud af huset (to indgange i mit fibermodem udleveret udstyr)

Jeg har IP'en 89.184.138.251, samt en af de førnævnte der starter med 1xx (bruger den ikke pga ingen ekstern adgang)

Har derimod 40/40 på begge adresser (dvs ~80/80)

tl;dr

Jeg har ikke betalt for fast IP, men har det alligevel.

Oooookay ...

Min IP er, ifølge myip.dk, 82.145.209.62

Følger jeg den IP jeg nævnte i forrige besked, kommer jeg "hjem" til mig - men taster jeg denne IP, får jeg "destination host unreachable" - på HTTP/HTTPS i hvert fald.

Næste gang, skal jeg nok lade være med at besøge siden via Opera Mini ... Hov ...

Thoroughbreed (64) skrev:

Jeg har ikke betalt for fast IP, men har det alligevel.

det kan jo sagtens være at der kun skifter en gang hver år eller hver anden år....det gjore den, den gang jeg havde fullrate...

#64 Og hvor ser du, at du har den ip?

#67

På samtlige "dette er din IP"-sider, samt min router der fortæller mig at det er min WAN-adresse.

Hvis du tilgår den på port 80 får du forbindelse til min NAS.

- derfor ved jeg at det er min IP

Thoroughbreed (64) skrev:

Jeg har ikke købt fast IP hos SE, men har to linier ud af huset

To linjer ud af huset og to IP adresser er to vidt forskellige ting. Er det sådan at du har to fibre ud af huset sådan at du bliver ved med at være online, hvis nogen graver den ene over?

Thoroughbreed (64) skrev:

en af de førnævnte der starter med 1xx

Hvis nu du fortæller os hele den første octet ved vi hvilken type adresse vi snakker om.

Thoroughbreed (64) skrev:

Jeg har ikke betalt for fast IP, men har det alligevel.

Jeg har oplevet at en dynamisk IP forblev uændret i 7-8 år.

Men lad mig lige gøre opmærksom på at vi snakker tre forskellige muligheder for, hvad man har af IP:
- Statisk IP adresse
- Dynamisk IP adresse
- Delt IP adresse
For de fleste brugere gør det ikke nogen stor forskel om man har statisk eller dynamisk IP adresse. Men en IP adresse som er delt med mange andre brugere medfører flere begrænsninger.

Thoroughbreed (68) skrev:

På samtlige "dette er din IP"-sider, samt min router der fortæller mig at det er min WAN-adresse.

Hvilken IP snakker vi om her?

Den IP jeg bruger, er 89.184.138.251 - hvilket er det både min router, og sider som f.eks. myip.dk fortæller mig. Det er samtidigt den der har færrest hop på en traceroute.

Den anden 1xx (tester lige senere i dag. Skal lige have computer med ud til teknikskabet) er vist en delt IP, da den som nævnt, har 15+ hop, og ikke kan hoste en server.

Når jeg kommer hjem senere i dag prøver jeg lige at lave en traceroute fra de to IP adresser jeg har til rådighed, skal jeg gøre det til en bestemt adresse?

Thoroughbreed (70) skrev:

Den anden 1xx (tester lige senere i dag. Skal lige have computer med ud til teknikskabet) er vist en delt IP, da den som nævnt, har 15+ hop, og ikke kan hoste en server.

Skal det forstås på den måde at du vil sætte den ene computer direkte på fiberboksen udenom routeren, du ellers bruger til alle dine andre enheder?

Det vil være relevant at kigge efter både hvad IP adresse myip.dk siger den computer har og hvad IP adresse computeren selv siger er tildelt til netkortet.

Thoroughbreed (70) skrev:

Når jeg kommer hjem senere i dag prøver jeg lige at lave en traceroute fra de to IP adresser jeg har til rådighed, skal jeg gøre det til en bestemt adresse?

Fra hver af de to IP adresser kan du prøve at lave traceroute til fire adresser. De fire adresser, som er interessante at lave traceroute til er dine tre egne og en enkelt ekstern. Med dine tre egne mener jeg 89.184.138.251 plus de to IP adresser på den næste computer du tilslutter (som beskrevet ovenfor). Den eksterne IP kunne f.eks. være 78.47.169.56.

#71

Jeg har dog kun to adresser. Den "rigtige" og den jeg ikke bruger. Og ja, sætter computeren direkte til, da jeg ikke vil ændre hvilken IP min router har/bruger.

89.184.138.251 = Min primære IP, bruger den til dagligt. Connectable udefra
37.128.215.212 = Min sekundære IP, fra port 2 på mit fibermodem. Ikke connectable (Fået adressen fra sider som f.eks myip.dk)
172.25.96.2 = Min sekundære IP (Fået fra den adresse min computer bliver tildelt)

------------------------------

Traceroute er startet... (Fra min primære IP til netiter.net)

traceroute to 78.47.169.56 (78.47.169.56), 64 hops max, 72 byte packets
1 89.184.138.194 (89.184.138.194) 1.549 ms 1.320 ms 1.322 ms
2 89.184.134.22 (89.184.134.22) 4.310 ms 3.546 ms 3.423 ms
3 89.184.134.5 (89.184.134.5) 3.466 ms 3.455 ms 3.427 ms
4 89.184.134.213 (89.184.134.213) 3.485 ms 3.615 ms 3.481 ms
5 130.185.142.18 (130.185.142.18) 2.854 ms 2.819 ms 2.925 ms
6 130.185.142.17 (130.185.142.17) 3.810 ms 3.718 ms 3.667 ms
7 93.176.94.135 (93.176.94.135) 6.477 ms 6.494 ms 6.453 ms
8 decix-gw.hetzner.de (80.81.192.164) 21.465 ms 21.374 ms 21.237 ms
9 core1.hetzner.de (213.239.245.6) 21.504 ms 21.685 ms 21.667 ms
10 core22.hetzner.de (213.239.245.14) 25.968 ms 25.572 ms 25.691 ms
11 juniper3.rz12.hetzner.de (213.239.245.142) 26.444 ms 25.963 ms 25.955 ms
12 hos-tr4.ms-ex3k1.rz16.hetzner.de (213.239.226.242) 28.529 ms 27.137 ms 28.012 ms
13 vq7.netiter.net (78.47.169.56) 26.335 ms 26.118 ms 26.131 ms

------------------------------

Traceroute er startet... (Fra min primære IP til min sekundære ip, jf. myip.dk)

traceroute to 37.128.215.212 (37.128.215.212), 64 hops max, 72 byte packets
1 89.184.138.194 (89.184.138.194) 1.966 ms 1.460 ms 1.367 ms
2 * * *
3 * * *
4 * * *
5 37.128.215.66 (37.128.215.66) 5.748 ms 3.537 ms 2.867 ms
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *

-----------------------------
Traceroute er startet... (Fra min primære IP til min sekundære ip, jf. netværktøj i OSX)

traceroute to 172.25.96.2 (172.25.96.2), 64 hops max, 72 byte packets
1 89.184.138.194 (89.184.138.194) 1.483 ms 1.288 ms 1.399 ms
2 89.184.134.22 (89.184.134.22) 3.566 ms 3.443 ms 3.437 ms
3 89.184.134.5 (89.184.134.5) 3.526 ms 3.633 ms 3.405 ms
4 89.184.134.213 (89.184.134.213) 3.572 ms 3.433 ms 3.619 ms
5 130.185.142.18 (130.185.142.18) 2.902 ms 2.749 ms 2.757 ms
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *

-----------------------------

Traceroute er startet... (Fra min sekundære IP til min primære)

traceroute to 89.184.138.251 (89.184.138.251), 64 hops max, 72 byte packets
1 172.25.96.2 (172.25.96.2) 2.273 ms 1.879 ms 1.902 ms
2 37.128.215.216 (37.128.215.216) 3.366 ms 2.908 ms 2.800 ms
3 37.128.215.220 (37.128.215.220) 3.776 ms 3.220 ms 2.964 ms
4 37.128.215.213 (37.128.215.213) 3.048 ms 3.332 ms 2.807 ms
5 * * *
6 * * *
7 37.128.215.66 (37.128.215.66) 3.403 ms 3.201 ms 3.418 ms
8 89.184.128.90 (89.184.128.90) 4.407 ms 5.118 ms 4.264 ms
9 89.184.134.212 (89.184.134.212) 4.389 ms 7.304 ms 4.757 ms
10 te1-4.ton-cor-01.bbsyd.net (89.184.134.4) 7.050 ms 4.294 ms 4.142 ms
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *

-----------------------------

Traceroute er startet... (Fra min sekundære IP til netiter.net)

traceroute to 78.47.169.56 (78.47.169.56), 64 hops max, 72 byte packets
1 172.25.96.2 (172.25.96.2) 1.870 ms 1.869 ms 1.944 ms
2 37.128.215.216 (37.128.215.216) 3.233 ms 2.802 ms 2.755 ms
3 37.128.215.220 (37.128.215.220) 3.329 ms 3.423 ms 2.752 ms
4 37.128.215.213 (37.128.215.213) 3.322 ms 3.177 ms 2.850 ms
5 * * *
6 * * *
7 37.128.215.66 (37.128.215.66) 3.531 ms 2.971 ms 2.939 ms
8 130.185.142.17 (130.185.142.17) 3.996 ms 4.124 ms 3.883 ms
9 93.176.94.173 (93.176.94.173) 7.175 ms 6.655 ms 6.342 ms
10 decix-gw.hetzner.de (80.81.192.164) 25.784 ms 22.594 ms 22.254 ms
11 * core1.hetzner.de (213.239.245.6) 22.341 ms *
12 core22.hetzner.de (213.239.245.14) 26.789 ms * 26.148 ms
13 juniper3.rz12.hetzner.de (213.239.245.142) 26.439 ms 26.162 ms 25.998 ms
14 hos-tr4.ms-ex3k1.rz16.hetzner.de (213.239.226.242) 28.649 ms 28.268 ms 28.075 ms
15 vq7.netiter.net (78.47.169.56) 28.391 ms 26.601 ms 27.101 ms

PHP-Ekspert Thoroughbreed (73) skrev:

37.128.215.212 = Min sekundære IP, fra port 2 på mit fibermodem. Ikke connectable (Fået adressen fra sider som f.eks myip.dk)
172.25.96.2 = Min sekundære IP (Fået fra den adresse min computer bliver tildelt)

Kan du også køre en traceroute fra 172.25.96.2 til 37.128.215.212?

Traceroute er startet...

traceroute to 37.128.215.212 (37.128.215.212), 64 hops max, 72 byte packets
1 172.25.96.2 (172.25.96.2) 1.870 ms 1.869 ms 1.944 ms
2 37.128.215.216 (37.128.215.216) 3.233 ms 2.802 ms 2.755 ms
3 37.128.215.220 (37.128.215.220) 3.329 ms 3.423 ms 2.752 ms
4 37.128.215.213 (37.128.215.213) 3.322 ms 3.177 ms 2.850 ms
5 * * *
6 * * *

Og sådan fortsætter den bare.

- det sjove er, at hvis man prøver at lave et map lookup, er den ene i Vojens, og den anden i Tønder.

#76
Din 37.128.215.212/172.25.96.2 er bag NAT fra SEs side. Så dens adgang til nettet kan sagtens være i Vojens.

Primær IP: [DIG] --> [EKSTERN IP] --> [INTERNET]
Sekundær IP: [DIG] --> [LOKAL IP] --> [SE] --> [EKSTERN IP] --> [INTERNET]

#77

I know ^_^ men synes det er lidt spøjst at den er i Vojens.

Bruger den aldrig, ville ellers have 2x 40/40 hvis jeg gjorde det.

#79
Jeg ville sætte loadbalancing op. :P

#80

Det hjælper ikke på, at den ene IP ikke er connectable udefra

Men det ændre på at hvis du henter mere end et sted af gangen, så kan du hente hurtigere. :)

#82

True ... Er ikke så klog på det shit, så nøjes bare med 40/40 (55/65) .. Kan altid opgradere jo

PHP-Ekspert Thoroughbreed (73) skrev:

Traceroute er startet... (Fra min primære IP til min sekundære ip, jf. myip.dk)

traceroute to 37.128.215.212 (37.128.215.212), 64 hops max, 72 byte packets
1 89.184.138.194 (89.184.138.194) 1.966 ms 1.460 ms 1.367 ms
2 * * *
3 * * *
4 * * *
5 37.128.215.66 (37.128.215.66) 5.748 ms 3.537 ms 2.867 ms
6 * * *
7 * * *
8 * * *
9 * * *

Det der ser ret mærkeligt ud. Men dog ikke noget jeg ville bekymre mig om.

PHP-Ekspert Thoroughbreed (73) skrev:

Traceroute er startet... (Fra min primære IP til min sekundære ip, jf. netværktøj i OSX)

traceroute to 172.25.96.2 (172.25.96.2), 64 hops max, 72 byte packets
1 89.184.138.194 (89.184.138.194) 1.483 ms 1.288 ms 1.399 ms
2 89.184.134.22 (89.184.134.22) 3.566 ms 3.443 ms 3.437 ms
3 89.184.134.5 (89.184.134.5) 3.526 ms 3.633 ms 3.405 ms
4 89.184.134.213 (89.184.134.213) 3.572 ms 3.433 ms 3.619 ms
5 130.185.142.18 (130.185.142.18) 2.902 ms 2.749 ms 2.757 ms
6 * * *
7 * * *
8 * * *
9 * * *

Følger samme rute som til en ekstern IP og stopper så pludseligt. Sandsynligvis ruter de også intern trafik gennem carrier grade NAT, hvis det er mellem en computer med offentlig IP og en med intern IP. Ikke særligt smart gjort.

Hvis du vil være sikker på om det er det de har gjort, så prøv at forbinde fra computeren med intern IP til den eksterne IP på din router og kig så på log fra enten router eller NAS om de ser 37.128.215.212 eller 172.25.96.2.

PHP-Ekspert Thoroughbreed (73) skrev:

Traceroute er startet... (Fra min sekundære IP til min primære)

traceroute to 89.184.138.251 (89.184.138.251), 64 hops max, 72 byte packets
1 172.25.96.2 (172.25.96.2) 2.273 ms 1.879 ms 1.902 ms
2 37.128.215.216 (37.128.215.216) 3.366 ms 2.908 ms 2.800 ms
3 37.128.215.220 (37.128.215.220) 3.776 ms 3.220 ms 2.964 ms
4 37.128.215.213 (37.128.215.213) 3.048 ms 3.332 ms 2.807 ms
5 * * *
6 * * *
7 37.128.215.66 (37.128.215.66) 3.403 ms 3.201 ms 3.418 ms
8 89.184.128.90 (89.184.128.90) 4.407 ms 5.118 ms 4.264 ms
9 89.184.134.212 (89.184.134.212) 4.389 ms 7.304 ms 4.757 ms
10 te1-4.ton-cor-01.bbsyd.net (89.184.134.4) 7.050 ms 4.294 ms 4.142 ms
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *

Fejler samme sted, når jeg gør det. Men hvis jeg i stedet for en normal traceroute bruger TCP pakker, så virker det

# traceroute -n -T -p 80 89.184.138.251
traceroute to 89.184.138.251 (89.184.138.251), 30 hops max, 60 byte packets
1  10.9.255.254  6.761 ms  11.661 ms  11.680 ms
2  212.10.10.1  11.744 ms  11.785 ms  11.897 ms
3  77.233.230.133  14.088 ms  14.481 ms  14.437 ms
4  93.176.93.11  14.393 ms 93.176.93.9  14.340 ms 93.176.93.11  14.818 ms
5  130.185.142.22  15.432 ms  15.095 ms  14.957 ms
6  89.184.134.210  14.801 ms  15.465 ms  12.727 ms
7  89.184.134.8  12.630 ms  12.589 ms  16.208 ms
8  89.184.134.6  16.175 ms  14.660 ms  13.934 ms
9  89.184.134.4  13.916 ms  15.020 ms  14.763 ms
10  89.184.138.251  15.473 ms  15.190 ms  14.563 ms

Så det må være fordi din router ikke kan finde ud af at svare på ICMP pakker (eller også er du kommet til at slå det fra).

PHP-Ekspert Thoroughbreed (81) skrev:

Det hjælper ikke på, at den ene IP ikke er connectable udefra

En mulighed du kunne afprøve er at sætte en anden router op på intern IP og lade denne anden router køre en IPv6 over UDP tunnel til enten SixXS eller gogo6. Så lad den anden router annoncere sig selv på lokalnettet som IPv6 router og på denne router slår du IPv4 fra på LAN siden.

På den måde får du 40Mbit/s til IPv4 trafik plus 40Mbit/s til IPv6 trafik. Bonus point, hvis du finder nogle servere med mptcp support og får det til at virke, så du kan trække 80Mbit/s over en enkelt TCP forbindelse.

IT-ekspert Yvossen (82) skrev:

Men det ændre på at hvis du henter mere end et sted af gangen, så kan du hente hurtigere.

Hvilken load balancing løsning havde du i tankerne? Router med to WAN interfaces og NAT til forskellige adresser per forbindelse? Eller kender du en anden måde at gøre det på?

Jeg kan ellers normalt godt traceroute fra en anden ip til min primære?

Og forstår ikke helt hvad du mener med

kasperd skrev:

Hvis du vil være sikker på om det er det de har gjort, så prøv at forbinde fra computeren med intern IP til den eksterne IP på din router og kig så på log fra enten router eller NAS om de ser 37.128.215.212 eller 172.25.96.2.

Altså, hvis jeg sætter computeren (eller hvilken som helst anden enhed) i port to på mit fibermodem, så viser enheden (computer, reserve router) 172.25.96.2.

Hvis jeg så besøger myip.dk eller andre lignende sider, så viser de 37.128.215.212

- ligesom at en computer siger 192.168.1.100 selvom den eksterne f.eks. er 87.128.200.67

... Så vidt jeg har fattet det i hvert fald, så er 37.128.215.212 min "endelige" IP, og den er delt med f.eks. 50 andre kunder fra SE.

Hvorimod den anden (89.alt.det.der) er min, og kun min. Derfor kan andre forbinde til mig.

#84
2x WAN interfaces.

PHP-Ekspert Thoroughbreed (85) skrev:

forstår ikke

Jeg refererede til

PHP-Ekspert Thoroughbreed (54) skrev:

Jeg har behov for port-forwarding, da FTP port 21 skal gå til min ene NAS, HTTP port 80 samt 8000 skal gå til den anden NAS osv ..

Både NAS og router burde kunne fortælle dig hvilke IP adresser der kommer forbindelser fra. Hvis forbindelser fra den anden computer routes direkte til din router vil du se 172.25.96.2, routes de gennem CGN vil du i stedet se 37.128.215.212.

IT-ekspert Yvossen (86) skrev:

2x WAN interfaces.

Jeg har ikke haft lejlighed til at eksperimentere med sådanne routere, så jeg kan ikke fortælle om de ville være brugbare i det konkrete setup.

#87
Jeg har rig mulighed for 2 WAN interfaces i min router, men jeg har desværre ikke 2 forbindelser.

#87

Problemet er bare, at hvis jeg vil tilslutte fra f.eks. din computer, til min NAS, server eller et spil fra STEAM - så kan du ikke få forbindelse, end ikke se mig, selvom du prøver både 37.xx.xx.xx eller 172.xx.xx.xx

Kender flere med SE Fiber der har problemet, og SEs løsning er: få fast IP

PHP-Ekspert Thoroughbreed (89) skrev:

Problemet er bare, at hvis jeg vil tilslutte fra f.eks. din computer, til min NAS, server eller et spil fra STEAM - så kan du ikke få forbindelse, end ikke se mig, selvom du prøver både 37.xx.xx.xx eller 172.xx.xx.xx

Jeg snakker om forbindelser den anden vej. Prøv at oprette en forbindelse fra Mac til NAS og kig i loggen på NAS hvilken IP adresse forbindelsen kom fra.

PHP-Ekspert Thoroughbreed (89) skrev:

SEs løsning er: få fast IP

Mærkelig formulering. For mig lyder det som om de antyder at kunderne har haft en dynamisk IP. Reelt har de slet ingen IP haft.