1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Bundesnetzagentur: "Wir können…

Kann ich Router kaskadieren?

  1. Thema

Neues Thema Ansicht wechseln


  1. Kann ich Router kaskadieren?

    Autor: Parodontose 01.10.14 - 11:48

    Also hinter die Box von Netzbetreiber meinen eigenen Router/VPN Gateway hängen und dann einfach das Ding da untertunneln? Ich bin nicht ganz fachfremd, aber auch kein Experte.

  2. Re: Kann ich Router kaskadieren?

    Autor: Lemo 01.10.14 - 11:51

    Parodontose schrieb:
    --------------------------------------------------------------------------------
    > Also hinter die Box von Netzbetreiber meinen eigenen Router/VPN Gateway
    > hängen und dann einfach das Ding da untertunneln? Ich bin nicht ganz
    > fachfremd, aber auch kein Experte.

    Wenn du die Verbindungsdaten des Providers hast und auch ansonsten die Synceinstellungen korrekt einstellst - was bei manchen Anbietern schon eine Herausforderung sein kann - dann ja. Hast halt dann ein Netz im Netz, Router kannst du immer kaskadieren.

    Router trennen / verbinden Netze. Ein Switch verteilt lediglich Pakete, aber ein Router kann Netze verbinden oder trennen. Solang deine NAT Einstellungen am Ende passen wirst du keine Probleme haben.

    Ob allerdings der Provider irgendwann mal nen Sync anfordert den du nicht beantworten kannst und daraufhin die Internetverbindung erst mal abbricht kann ich nicht sagen.

  3. Re: Kann ich Router kaskadieren?

    Autor: smirg0l 01.10.14 - 12:13

    Parodontose schrieb:
    --------------------------------------------------------------------------------
    > Also hinter die Box von Netzbetreiber meinen eigenen Router/VPN Gateway
    > hängen und dann einfach das Ding da untertunneln? Ich bin nicht ganz
    > fachfremd, aber auch kein Experte.

    Kannst Du. Im Einzefall kommt es auf die Box und den Anschluss an.

    Im Grunde setzt Du die Box als Gateway für den Router und den Router als Gateway für das interne Netz.
    Ggfls. im Router noch die MAC-Adresse auf die eines PC spoofen - mittels der Original-MAC des Routers weiß man u.U. mit einem Lookup, dass das ein Router ist und kein PC.

    Dann evtl. noch im Router ein VPN einrichten und den ganzen Traffic quasi an der Box vorbei ins Netz tunneln.
    Somit kann die Box mit dem Traffic nicht wirklich was anfangen und man hat auch direkt was gegen diese tolle Vorratsdatenspeicherung getan.

    Auch zu empfehlen ist es, den DNS im Router statisch z.B. mit einem Open-DNS Eintrag auzutauschen, so dass nicht der DNS des Providers genutzt wird.

  4. Re: Kann ich Router kaskadieren?

    Autor: lisgoem8 01.10.14 - 13:27

    Parodontose schrieb:
    --------------------------------------------------------------------------------
    > Also hinter die Box von Netzbetreiber meinen eigenen Router/VPN Gateway
    > hängen und dann einfach das Ding da untertunneln? Ich bin nicht ganz
    > fachfremd, aber auch kein Experte.


    Ja. (Fast) Ohne Probleme. Du musst nur einen Router haben, der auch einen WAN-Port hat. bzw einen LAN zum WAN Port umstellen lässt. Dann einfach DCHP-Client auf den einstellen. Und Fertig.

    Achte nur darauf das beide Geräte nicht im selben 192.168.-Netz sind. Sonnst klappts vielleicht doch nicht bzw. du kannst nicht mehr auf den Fremdrouter zugreifen um Bspw. eine Portfreigabe einzurichten.

    Und zu VPN....
    Falls du einen OpenWrt Router wählst, achte darauf das der genug Flash (mind 32 MB würde ich meinen) hat, sonnst kannst kein OpenVPN installieren. Leider benötigt das sehr viel Flash.

    Meine 16 MB reichen Bspw. leider nicht. Ich hab mir aber ein Startscript geschrieben das sich einfach die Daten in den Arbeitsspeichern nachlädt. Das wäre aber für die meisten zu kompliziert.


    Hier ist wieder schade, das der Raspberry PI keinen zweiten LAN Port hat. Dieses Gerät wäre Top ideal für diesen Anwendungszweck. Und könnte sich den Energie sogar aus dem FremdRouter USB holen ;-)

  5. Re: Kann ich Router kaskadieren?

    Autor: Avalanche 01.10.14 - 13:55

    Vieles funktioniert, aber vermutlich nicht alles. IPSec macht abhängig vom vorgeschalteten Router evtl. Probleme.

    Auch bei IPv6 könnte ich mir das problematisch vorstellen (z.B. wenn der vorgeschaltete Router keine Präfixe an den nachgeschalteten Router delegiert.

    Gibt aber bestimmt noch mehr.

  6. Re: Kann ich Router kaskadieren?

    Autor: tingelchen 01.10.14 - 15:27

    IPsec funktioniert mit NAT generell nicht sonderlich gut. Wenn das dann 2x hast, wird IPsec wohl gar nicht mehr laufen. Aber ausprobiert hab ich es bis jetzt nicht :)

  7. Re: Kann ich Router kaskadieren?

    Autor: nille02 01.10.14 - 15:35

    Sollte kein Problem sein. Aber du musst aufpassen, einige Router verhindern das weiterleiten von Ports. Bei den Speedports kannst du die VoIP/SIP Ports nicht an ein anderes Gerät durchleiten.

  8. Re: Kann ich Router kaskadieren?

    Autor: tingelchen 01.10.14 - 15:49

    Gehen tut es. Du hast dann halt nur 2x NAT. Bei einem handelsüblichen Router ohne Modem. Die einfachen Dinge wie Zugriff auf Web Seiten oder eMail werden auch laufen. Bei anderen Diensten ist der reibungslose Betrieb jedoch nicht mehr zu gewährleisten. 1x NAT ist Netzwerk technisch schon ein Problem.

    Idealer ist es jedoch den Router vom Provider nicht durch einen zweiten handelsüblichen Router vom internen Netz ab zu kapseln, sondern ihn lediglich in eine DMZ zu verschieben. Der einfachste Weg führt hier über eine Firewall die man vor sein eigenes Netz stellt. Mit eigenem DNS und DHCP Server. Nicht vergessen die DHCP Ports vom Zwangsrouter zu blocken.

    Wenn man eine andere IP Range nutzen möchte wie im Zwangsrouter eingestellt ist, wird das Routing nicht ganz so einfach.

    Es bleibt jedoch das Problem das man den Macken des Zwangsrouters stets ausgeliefert ist. Wenn dort irgendwas geblockt wird, kann man dies nicht ohne weiteres umgehen. Auch eine einfache VPN Verbindung reicht nicht aus. Sie muss verschlüsselt sein. Ansonsten wird der Tunnel ein Opfer von Deep Package Inspection.

    Wenn du dich aber eh schon mit der Materie aus einander setzt, dann würde ich eher zu sehen ob du deinen Zwangsrouter nicht einfach hackst ;) Es gilt, kein Gerät bietet Sicherheit wenn physischer Zugriff möglich ist.

  9. Re: Kann ich Router kaskadieren?

    Autor: jaykay2342 01.10.14 - 16:02

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Es bleibt jedoch das Problem das man den Macken des Zwangsrouters stets
    > ausgeliefert ist. Wenn dort irgendwas geblockt wird, kann man dies nicht
    > ohne weiteres umgehen. Auch eine einfache VPN Verbindung reicht nicht aus.
    > Sie muss verschlüsselt sein. Ansonsten wird der Tunnel ein Opfer von Deep
    > Package Inspection.
    >

    Bei den Bandbreiten die heute angeboten werden braucht man für DPI schon ein wenig Power das wäre dem Provider zu teuer die stellen dir ja das billigste vom billigen als Zwangsrouter hin.

  10. Re: Kann ich Router kaskadieren?

    Autor: tingelchen 01.10.14 - 16:24

    Soviel Rechenleistung benötigt man dafür nicht. Wenn der Tunnel nicht verschlüsselt ist, reicht es aus die einzelnen Pakete soweit zusammen zu führen bis man im Datensegment eine vollständige IP Header auslesen kann. Eine IPv4 Header ist maximal 60Byte groß. Ein Datenpaket in der Regel um die 4KB. Die meiste Zeit benötigt man für das Auslesen des Tunnel Protokolls ;)

    Selbst die billigsten Router haben genug Rechenleistung. Es leidet nur etwas der Paketdurchsatz darunter. In Zeiten von Big Frame Packages und vollgestopften Paketen mit Maximalgröße bei Downloads wird man das jedoch nicht wirklich spüren. Problematisch wird es daher erst dann, wenn man ganz viele kleine Pakete abschickt und damit den Router an seine Grenzen bringt.

    Daher ist es wichtig das der Tunnel verschlüsselt ist, weil das Datensegment dann nur verschlüsselte Informationen und damit auch einen verschlüsselten IP Header besitzt. Um hier dran zu kommen, müsste man die Verschlüsselung knacken.

    Aber auch hier gibt es gute Ansatzpunkte für die Provider. Wenn sie es denn wollen. Immerhin sitzt der Zwangsrouter beim Aufbau der Verbindung zwischen mir und meinem Tunnel Server. Eine ideale Position für einen Man-in-the-middle Angriff. Alternativ ist es natürlich auch möglich das die öffentlichen Server von VPN Diensten von der Firewall einfach geblockt werden.

  11. Re: Kann ich Router kaskadieren?

    Autor: Thiesi 01.10.14 - 16:36

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    [...]
    > Wenn du dich aber eh schon mit der Materie aus einander setzt, dann würde
    > ich eher zu sehen ob du deinen Zwangsrouter nicht einfach hackst ;) Es
    > gilt, kein Gerät bietet Sicherheit wenn physischer Zugriff möglich ist.

    Leider gilt ebenfalls: Kein Gerät, das man von seinem Provider gestellt bekommen hat, darf man auch nur schief angucken, ohne dass sofort Millionenbträge durch den Provider aufgerufen werden. Will sagen: Wer einen Provider-Router hackt, riskiert eine Vetragsstrafe, die meistens in keinem Verhältnis zum "angerichteten Schaden" steht. Aber vermutlich geht's da eher um Abschreckung.

    Bye, K&K,
    T-Zee

  12. Re: Kann ich Router kaskadieren?

    Autor: Snoozel 01.10.14 - 16:40

    > Also hinter die Box von Netzbetreiber meinen eigenen Router/VPN Gateway
    > hängen und dann einfach das Ding da untertunneln? Ich bin nicht ganz
    > fachfremd, aber auch kein Experte.

    Je nach dem was du willst und was der Provider vor sieht.
    Wenn er keinen Port als DMZ konfiguriert bzw. du kein Gerät dort als DMZ definieren kannst ist z.B. nichts mit Portweiterleitung.
    Und NAT hinter NAT funktioniert sch...lecht.

  13. Re: Kann ich Router kaskadieren?

    Autor: jaykay2342 01.10.14 - 17:04

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Soviel Rechenleistung benötigt man dafür nicht. Wenn der Tunnel nicht
    > verschlüsselt ist, reicht es aus die einzelnen Pakete soweit zusammen zu
    > führen bis man im Datensegment eine vollständige IP Header auslesen kann.
    > Eine IPv4 Header ist maximal 60Byte groß. Ein Datenpaket in der Regel um
    > die 4KB. Die meiste Zeit benötigt man für das Auslesen des Tunnel
    > Protokolls ;)
    >
    > Selbst die billigsten Router haben genug Rechenleistung. Es leidet nur
    > etwas der Paketdurchsatz darunter. In Zeiten von Big Frame Packages und
    > vollgestopften Paketen mit Maximalgröße bei Downloads wird man das jedoch
    > nicht wirklich spüren. Problematisch wird es daher erst dann, wenn man ganz
    > viele kleine Pakete abschickt und damit den Router an seine Grenzen
    > bringt.
    >
    > Daher ist es wichtig das der Tunnel verschlüsselt ist, weil das
    > Datensegment dann nur verschlüsselte Informationen und damit auch einen
    > verschlüsselten IP Header besitzt. Um hier dran zu kommen, müsste man die
    > Verschlüsselung knacken.
    >
    > Aber auch hier gibt es gute Ansatzpunkte für die Provider. Wenn sie es denn
    > wollen. Immerhin sitzt der Zwangsrouter beim Aufbau der Verbindung zwischen
    > mir und meinem Tunnel Server. Eine ideale Position für einen
    > Man-in-the-middle Angriff. Alternativ ist es natürlich auch möglich das die
    > öffentlichen Server von VPN Diensten von der Firewall einfach geblockt
    > werden.


    Kommt ganz darauf an was du im inneren Paket suchst. Wenn du da nur wieder auf den IP und TCP header guckst dann brauchst du nicht viel. wenn du aber wirklich auf die payload gucken will brauch man schon Leistung.

    Die crypto von einem anständigen vpn knacken die sicher nicht. Natürlich könnten IPs von VPN Anbietern geblockt sein. Das könnten die aber auch auf Netzebene machen. Bei einem Provider der so etwas macht sollte man kein Kunde sein.

  14. Re: Kann ich Router kaskadieren?

    Autor: crazypsycho 01.10.14 - 18:52

    > Leider gilt ebenfalls: Kein Gerät, das man von seinem Provider gestellt
    > bekommen hat, darf man auch nur schief angucken, ohne dass sofort
    > Millionenbträge durch den Provider aufgerufen werden.

    Dadurch das man das Gerät hackt, ändert man ja nichts am Gerät selbst. Man ließt nur die Zugangsdaten aus.
    Dadurch entsteht dem Provider kein Schaden.
    Und hacken muss man den Router auch nicht unbedingt. Oft werden die Login-Daten unverschlüsselt übertragen. Das heißt ich kann einen Hub dazwischenschalten und die Daten mitsniffen.

  15. Re: Kann ich Router kaskadieren?

    Autor: Thiesi 01.10.14 - 19:17

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > Dadurch das man das Gerät hackt, ändert man ja nichts am Gerät selbst. Man
    > ließt nur die Zugangsdaten aus.
    > Dadurch entsteht dem Provider kein Schaden.
    [...]

    Na wenn du meinst ...

  16. Re: Kann ich Router kaskadieren?

    Autor: tKahner 02.10.14 - 00:25

    @crazypsycho:
    Ich sehe das Problem nicht in einem möglichen Schaden für den Provider.

    Wäre ich ein Zwangsrouter-Provider würde ich die Zugangsdaten als meine Geistiges Eigentum betrachten, das natürlich unter Urheberschutz fällt. Beide Werte, also Zugangsdaten und Passwort, habe ich mir ja ausgedacht und dienen selbstverständlich einer sicheren und ordnungsgemäßen Vertragserfüllung.

    Ein Ausspähen urheberrechtlich geschützter Daten durch Dazwischenschalten einer geeigneten Hardware wäre eine nicht-typische Anwendung und ist mit sehr hoher Wahrscheinlichkeit verboten. Denn das Argument der Provider ist ja, dass deren Hoheit am Endgerät aufhört und Du Dich mit Deinem Hub oder was auch immer dazwischen schaltest.

    Daher gilt §202c
    Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
    1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen
    , oder
    2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
    herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.


    Dies schließt sowohl das Ausspähen als auch die Installation eines Hubs ein.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ion2s GmbH, Darmstadt
  2. OMIRA GmbH, Ravensburg
  3. Berliner Verkehrsbetriebe (BVG), Berlin
  4. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Sonos Arc: Die Dolby-Atmos-Soundbar hat ein Anschluss-Dilemma
    Sonos Arc
    Die Dolby-Atmos-Soundbar hat ein Anschluss-Dilemma

    Die neue Arc-Soundbar von Sonos unterstützt Dolby Atmos, aber ein ungeschicktes Anschlusskonzept kann die möglichen Vorteile zunichtemachen.

  2. GAIA-X: Europas Konzerne wollen schnell die europäische Cloud
    GAIA-X
    Europas Konzerne wollen schnell die europäische Cloud

    Einzelheiten zur technischen Architektur von GAIA-X werden am Donnerstag vorgestellt. Doch wie der Zugriff auf europäische Server durch die USA verhindert werden soll, ist unklar.

  3. Double Extortion: Ransomware-Gruppen schließen sich zusammen
    Double Extortion
    Ransomware-Gruppen schließen sich zusammen

    Ransomware-Kriminelle veröffentlichen zunehmend auch erbeutete Daten zahlungsunwilliger Opfer. Dabei arbeiten offenbar mehrere Gruppen zusammen.


  1. 15:00

  2. 14:38

  3. 13:35

  4. 13:06

  5. 12:49

  6. 12:26

  7. 12:03

  8. 11:45