Toch een ipv4 subnet mogelijk

jcmraats · 30 december 2021 om 23:48

Via de website extraip.com is het mogelijk een ipv4 subnet te bestellen. Dit wordt dan geleverd via een GRE tunnel.
Vraag:
Wie heeft dit werkend achter een FritzBox 7590 en hoe?

anon0224 · 31 december 2021 om 10:31

Zal ws niet met alleen de FB mogelijk zijn, ding ondersteunt alleen de gefaciliteerde (provider subnet)addressen die je dan van buitenaf komend, kunt doorverwijzen naar binnenin liggende apparaten.

Wellicht dat je via een (eigen) achterliggende (virtuele)routers kan tunnelen om die (getunnelde) IP adressen in je eigen netwerk beschikbaar te krijgen. Ik kan hierbij bedenken dat je dan moet voorkomen dat je FB die addressen zelf gaat servicen … helaas blijkt dat niet mogelijk omdat de Fritz simpelweg alles wat die zelf niet kent, dwz het eigen 192.168.x.x/24 netwerk, toch naarbuiten smijt. Zie mijn constatering, hieronder.

Dit brengt mij wel op een andere, voor mij onverwachte, bemerking dat mijn hig-htech maar low-werkende FB7590 mijn interne IP adressen 10.0.0.0/24 en 192.168.0.0/16 keurig naarbuiten - dwz Cambrium - routeert… curieus…
Ik zou verwachten dat de FB dat sws NIET moet (en zelfs mag) doen want daarmee worden mijn intern gebruikte IP-adressen dus niet afgestopt en aan/in de buitenwereld bekend.
De Fritzbox gedraagt zich dus kennelijk niet als (uitgaande) Firewall door alleen publieke addressen te routeren.
Ik vraag mij af welke zot - en met welk doel - bedacht heeft dat de FritzBox intern gebruikte IP netwerken naar buiten gaat/wil routeren en die ook gaat broadcasten…

cj0 · 1 januari 2022 om 09:14

Hoe kan ik bij mijn eigen Fritz!Box nazien of 10.0.0.0/24, 192.168.0.0/16 en 172.16.0.0/12 naar buiten/Cambrium wordt gerouteerd?

anon0224 · 1 januari 2022 om 11:40

TLDR; traceroute x.x.x.x (bv traceroute 10.1.2.3) waarvan ik dan zie dat die - wmb ongewenst - voorbij mijn FB in Cambrium komt.

Wanneer je een tracreoute doet vanuit een eigen private ip, zal je zien dat die niet verder komt dan de Fritzbox.:

$ traceroute 192.168.0.1
traceroute to 192.168.0.1 (192.168.0.1), 30 hops max, 60 byte packets
 1  Fritz.xxx.xxx.nl (192.168.0.1)   0.423 ms  0.451 ms  0.489 ms
 2  Fritz.xxx.xxx.nl (192.168.0.1)   2999.739 ms !H  2999.757 ms !H  2999.775 ms !H
$ traceroute 10.0.2.1
traceroute to 10.0.2.1 (10.0.2.1), 30 hops max, 60 byte packets
 1  Fritz.xxx.xxx.nl (192.168.0.1)  0.413 ms  0.436 ms  0.473 ms
 2  abc.abcde.cmbr.connected.by.freedominter.net (1.2.3.4)  4.262 ms  4.257 ms  4.247 ms^C

De eerste - in het eigen netwerk-segment - wordt keurig (nu) geblokt, de tweede traceroute naar een ander private-IP netwerk gaat dwars door de Fritz heen en komt ergens in/bij Cambrium (BRAS router?) terecht waar dat private-ip verkeer ws/hopelijk zal worden afgestopt.
NB: om de kans te verkleinen dat mijn interne classC frutselnetwerk naar buiten gaat, heb ik inmiddels mijn interne netwerk op de Fritz 192.168.0.1/24 maar vergroot naar /16. Helaas kan 10x & 172.16x nog wel steeds passeren. Jammer dat AVM.DE dat niet afstopt.
FYI: met WireShark van FritzBox packet trace op de PPPoE internetaansluiting, is te zien wat er op de eigen cambrium aansluiting gebeurd.

Hieronder een relaas… uit/van mijn oude fb7490 doos…

In het verleden was dit probleem er ook al bij xs4all en had ik , toen dat nog kon, met telnet fritz.box en edit via nvi /var/flash/ar7.cfg , een outbound “reject ip any 10.0.0.0 255.0.0.0”, regel toegevoegd die mijn interne 10/8 rommel dan afstopt. Ik was dat (set/forget) glad vergeten toen ik overstapte naar Freedom en d8 er goed te doen om bijbehorend - als goede start - een nieuwe FB7590 aan te schaffen.
Ik kan mij van destijds, de doorgevoerde discussies herinneren met concullega’s die het niet erg vonden dat een router geen outbound firewall’ing doet… totdat ze werden getroffen door een interne gestarte “Ransom” activiteit. Zelf ben ik meer dat ik al mijn verkeer in beheer wil hebben (en dat daar ook houden).

Dit verklaart nu voor mij - deels - ook waarom ik op mijn Cambrium glasvezel aansluiting, private IP broadcast verkeer - vooral Google & Alexa’s IoT - van andere users op dezelfde BRAS zie. Als begin van 2022 hier maar het voornemen toegeveogd om openWRT er in te gaan kwakken zodat ik wel die netwerkcontrole heb.

cj0 · 3 januari 2022 om 08:28

Mijn workaround is om een serie IPv4-routes naar een intern IP-adres te sturen dat niet de Fritz!Box is:

Home Network > Network > Additional Settings > [ IPv4 Routes ].

jcmraats · 3 januari 2022 om 09:41

Kan je een voorbeeld geven wat je invult. Bij mij geeft de FRitzBox aan dat de route niet kan/mag

cj0 · 3 januari 2022 om 09:47

bijvoorbeeld
192.168.1.1 = Fritz!Box
192.168.1.254 = ander apparaat dat niet naar de Fritz!Box routeert

dan vul ik in:
10.0.0.0, 255.0.0.0, 192.168.1.254 (network, subnet, gateway)
in zo nog 15 regels meer…

Met name 192.168.x.x is een drama (lees: 14 regels nodig).
Onder andere 192.168.179 moet uitgezonderd worden omdat daar in mijn geval het WiFi gastennetwerk loopt. Die range lijkt vast ingesteld voor elke Fritz!Box.

jcmraats · 3 januari 2022 om 09:51

Maar ik heb het over een subnet wat “buiten” is. bv 37.xxx.yyy.zzz/29.

cj0 · 3 januari 2022 om 10:05

Sorry, ik heb jouw vraag gebruikt om een ander Fritz!Box gebrek op te lossen. Mijn antwoord heeft niets meer de vraag over een ipv4 subnet van doen.