CGNAT: Erreichbarkeit anderer Kunden IPs

    Hi,

    mein ISP setzt CGNAT ein. Spaßeshalber habe ich nun einen (vermutlich) kleineren Teil des CGNAT Adressbereichs versucht per ICMP zu erreichen. Einige Hosts haben geantwortet, woraufhin ich einige wenige Portscans durchgeführt habe. Erreichbar war dort alles Mögliche.

    Natürlich ist es so, dass es mit Hinblick auf Port Forwardings erstmal nicht tragischer ist, als ein Port Forwarding auf eine öffentliche IP, aber überrascht hat es mich trotzdem, weil ich erwartet hatte, dass ich keine anderen Kunden IPs erreiche. Auch, dass sich der Provider da nicht selbst schützt, wundert mich. Immerhin kann man die Netze im CGNAT Bereich für alle möglichen Aktivitäten nutzen und bleibt unterm Radar, da außerhalb des Internet.

    Ich selbst erhalte eine IP aus einem /16 Netz und kann auch IPs in weiteren Netzen erreichen. Das Netz ist also nicht nur recht groß, sondern die Netze sind auch noch untereinander geroutet.

    Wie ist eure Meinung dazu? Wie löst euer Provider das im CGNAT Bereich?

    Gruß


    EDIT:

    Ich habe mehrere Jahre bei einem Provider für Partneranbindungen an einen großen Konzern gearbeitet und kann mit Sicherheit sagen, dass sowas nicht Best Practice war. Vielleicht hat sich das aber inzwischen geändert oder bei ISPs ist sowas üblich.

    Edited once, last by b_s101 (October 21, 2025 at 2:43 PM).

    Was möchtest Du dazu jetzt hören?

    Wenn es dich stört, dann an den Provider wenden. Deine Scannerei ist zum einen nicht so ganz legal und zum anderen nicht aussagefähig, da Du ja gar nicht weißt was da am anderen Ende so dran hängt und wie es konfiguriert ist.

    Ich kann von meinem Anschluss aus auch andere Kunden Anschlüsse erreichen (ohne CGNAT) und wenn ich die Beiträge in diversen Foren so lese, dann wundert es mich auch nicht, dass da überall Ports auf sind ... Portweiterleitungen 4twin ...

    Quote from b_s101

    Immerhin kann man die Netze im CGNAT Bereich für alle möglichen Aktivitäten nutzen und bleibt unterm Radar, da außerhalb des Internet.

    Nur weil du dich im IntraWeb deines Provides Tummelst beflisst du doch nicht unter dem Radar ?
    Wenn Kunde Y sagt 10.64.1.1 war doof und hat mir böse Hacker sahen angetan, dann schubs weis dein Provider DU das warst.

    Quote from b_s101

    dass ich keine anderen Kunden IPs erreiche.

    Warum nicht.. mit der Öffentliche IP währe 1zu1 das gleiche, klar die Büchsen sind nur "Provider intern" zu erreichen und nicht von der ganzen bösen Welt. Aber das Zeugs soll nur NAT machen und die guten Öffentlichen IP zu sparen.. nicht um jemanden zu schützen. Sprich da ist das NAT drauf (und natürlich das Tracking) und fertig. Warum da noch ACL oder Krude Routing reinhauen die noch mehr Rechen Power benötigen ?

    Der Rest sind dann die Kunden die keine Ahnung haben, Portweiterleitung einrichten, feststellen das die von Extern nicht gehen
    und nicht wieder löschen oder so smart sind die zu nutzen weil OMA zwei Straßen weiter auch bei gleichen Provider ist..

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login