Netzinternes Routingproblem o2-CGN/public -> o2-public-IP

Hallo @FrankDHL und @ThomasA_FFM,

das freut mich wirklich sehr zu lesen 😃 Dann hat ja alles wirklich schnell geklappt.

Vielen Dank noch einmal für eure Hinweise und die wirklich hilfreichen Screenshots zu diesem Fehler, und Danke auch an @Joe Doe 💙

Viele Grüße

Giulia

Beitrag von Woifal in bestehendes Thema verschoben:

Gruß
Antje

Liebes O2-Team,

…Und es geht schon wieder los (bzw. ist mir erst jetzt aufgefallen) 🥲

Routing sowohl innerhalb der folgenden netpublic-Blöcke als auch netpublic-Block-übergreifend nicht möglich

46.114.128.0

46.114.130.0

46.114.132.0 

46.114.134.0

(Dunkelziffer evtl. noch höher?) 

Also z.B. zwischen 46.114.130.30 <-> 46.114.130.53

Oder z.B. zwischen 46.114.130.53 <-> 46.114.132.32

baut sich keine Verbindung auf.

Von IP-Adressen aus dem regulären o2-NAT-Pool oder von anderen Anbietern wie der DTAG sind die o.g. netpublic-IPs jedoch problemlos erreichbar.

z.B. 176.3.34.56 (o2 NAT) <-> 46.114.130.53 (o2 netpublic) funktioniert

93.207.68.200 (DTAG) <-> 46.114.132.32 (o2 netpublic) funktioniert

Hallo ​@ThomasA_FFM,

spannender Sache, das. Ich kann da ad hoc erstmal nichts zu sagen und habe das mal weiter gegeben an Leute, die sich damit auskennen und dazu auch eine Aussage treffen können.

Ich denke, in ein paar Tagen *auf holz klopf* sollte ich dazu dann auch eine Antwort haben :-)

Gruß,

Lars

Hallo allerseits,

es waren dann doch ein paar Tage mehr, irgendwie kamen dann auch noch Feiertage, wir schreiben ein neues Jahr, man kennt das ja.

Letztendlich können auch wir hier keine Lösung in dem Sinne liefern sondern das ganze auch nur einmal kurz beleuchten:

"Die öffentliche IP dient dazu, von außerhalb des o2-Netzes ("aus dem Internet") erreicht zu werden.
Auch innerhalb des o2 Netzes greifen Sicherheitsmechanismen, was dazu führt, dass die Verbindung innerhalb des Netzes zwischen individuellen Endgeräten nicht gewährleistet werden kann, unabhängig davon, ob eine öffentliche IP aktiviert ist.
Ein Ansatz wäre unter Umständen die Nutzung eines VPN Dienstes auf dem Gerät, was auf die öffentliche IP des anderen Gerätes zugreifen möchte (denn dadurch erfolgt die Verbindung technisch gesehen "aus dem Internet")."

Tut mir leid, eine Lösung oder Änderung werden wir da leider nicht herbei führen können… :-/

Gruß,
Lars

 ​@o2_Lars  Danke für die Nachricht.

Und wieder einmal ein absolut fragwürdiges Statement, eurer "Fachabteilung”. Dass sich die “Fachabteilung” auch unter Berücksichtigung des “früheren Statements“ offensichtlich widerspricht,  liegt auf der Hand – denn das Problem tritt ja nur in bestimmten Adressbereichen des netpublic-APs auf. In anderen funktioniert die Verbindung ja bis heute seit Jahren. Von zuverlässiger netzinterner Clientisolation kann also nicht gesprochen werden.

Ich werde nun in den nächsten Tagen sämtliche themennahe Institutionen, Vereinigungen und Verlage mit diesem Statement und den Hintergründen versorgen – zudem auch Mitarbeiter unterschiedlicher Ebenen im Technikbereich von Telefonica, die ich auf LinkedIn und Xing finde. Damit dieser Schildbürgerstreich, der möglicherweise auch gegen Netzneutralitätagrundsätze verstößt, nicht unbekannt bleibt.

Sorry, aber was soll das bringen?

Der Public-IP-Dienst ist eben so wie er ist. Man kann doch nicht erwarten das ein Anbieter den Dienst nach den eigenen Wünchen ausrichtet, wenn es aus techn. oder kostenmäßigen Gründen nicht ohne weiteres geht.
Klar, man könnte auch ein Projekt draus machen. 50€ Einrichtungsgebühr und 5€/Monat pro SIM und dafür die Technik als Public-IP-Plus ausbauen. Aber ob sich das lohnt?

Die öffentliche IP ist mit 5G SA sowieso tot. Wer sattelt denn noch einen toten Gaul? 😁

kann doch nicht erwarten das ein Anbieter den Dienst nach den eigenen Wünchen ausrichtet, wenn es aus techn. oder kostenmäßigen Gründen nicht ohne weiteres geht.

​@Klaus_VoIP Doch – in genau diesem Fall kann man das erwarten – da es hier nicht um ein freiwilliges 08/15-Tarifoptionsgimmick von O2 geht, das aus Kulanz angeboten wird, sondern vielmehr um einen regulatorisch verankerten Anspruch, dem man – wie die Fachabteilung hier nun hilfreicherweise selbst dokumentiert hat – nicht sauber nachkommt.

Vereinbarungen und Geschäftspraktiken - Art. 3 Abs. 1 und 2  Art. 3 Abs. 1 und Abs. 2 Verordnung (EU) 2015/2120 (1) 

 

Endnutzer haben das Recht, über ihren Internetzugangsdienst, unabhängig vom Standort des Endnutzers oder des Anbieters und unabhängig von Standort, Ursprung oder Bestimmungsort der Informationen, Inhalte, Anwendungen oder Dienste, Informationen und Inhalte abzurufen und zu verbreiten, Anwendungen und Dienste zu nutzen und bereitzustellen und Endgeräte ihrer Wahl zu nutzen.                                                                                                                               

• Unabhängig vom Anbieter = Auch als O2-Kunde
• Unabhängig vom Bestimmungsort = (Auch als O2-Kunde->)Auch in das O2-Netz
• Dienste bereitzustellen = VPN-Standortverbindung zwischen zwei Fritzboxen zu betreiben
• Endgeräte ihrer Wahl zu nutzen = Die SIM-Karten in Fritzboxen zu schieben

 

Konnektivitätsprobleme durch die fehlende Bereitstellung öffentlicher IPv4-Adressen 

 

Die Bundesnetzagentur hat sich während des Berichtszeitraums - wie bereits im vorhergehenden Berichtszeitraum (vgl. Jahresbericht Netzneutralität 2017/2018, Rn. 28) mit der Bereitstellung privater und öffentlicher IPv4-Adressen und dem Einsatz von Network Address Translation (NAT) durch die Internetzugangsanbieter befasst. 

 

Es lagen Endnutzerbeschwerden über Konnektivitätsprobleme vor. Endnutzer konnten bestimmte Dienste und Anwendungen nicht nutzen. Probleme traten bei Smart Home- sowie bestimmten Gaming-Anwendungen und beim Betrieb von eigenen Servern auf. 

 

Grund hierfür war, dass im Rahmen der entsprechenden Internetzugangsdienste aufgrund der Knappheit von öffentlichen IPv4-Adressen private IPv4-Adressen in Verbindung mit Network Address Translation (NAT) genutzt wurden. 

 

Der Verkehr wird bei Verwendung von NAT und privaten IPv4-Adressen nach Erreichen der öffentlichen IPv4-Adresse auf „dahinterliegende“ private IPv4-Adressen „umgesetzt“ mit der Folge, dass die „hinter“ der öffentlichen IPv4-Adresse liegenden Nutzer oder Endgeräte bei „eingehenden“ Verbindungen nicht direkt erreicht werden können. Bei „ausgehenden“ Internetverbindungen hat dies keine Auswirkungen auf die Nutzung der Dienste.

Bei „eingehenden“ Internetverbindungen kann es jedoch zu Störungen kommen, da der einzelne Endnutzer, der „hinter“ der öffentlichen IPv4-Adresse liegt, nicht eindeutig identifiziert werden kann. Daraufhin hat die Bundesnetzagentur die Allgemeinen Geschäftsbedingungen verschiedener Netzbetreiber ausgewertet und verschiede Internetzugangsanbieter angehört. Auch Unternehmen aus der Spiele- sowie Smart-Home-Branche wurden angehört.  

 

[…] 

 

Die Bundesnetzagentur beabsichtigt ein differenziertes Vorgehen, um eine ausreichende Konnektivität zu ermöglichen und gleichzeitig die Knappheitssituation bei IPv4-Adressen zu berücksichtigen sowie den Übergang auf den IPv6-Standard nicht zu behindern:  

Internetzugangsanbieter mit einem ausreichenden Vorrat an öffentlichen IPv4-Adressen sind verpflichtet, diese ihren Kunden auf Nachfrage zur Verfügung zu stellen. Es muss aber keine statische IPv4-Adresse vergeben werden. Die Vergabe einer dynamischen IPv4-Adresse ist ausreichend.

 

Zusammengefasst

Wie schon vor längerer Zeit hier gepostet: Die Bereitstellung von – im Einklang mit dem Gebot der Netzneutralität (s.o.) unabhängig vom Ursprung der datensendenden bzw. datenempfangenden Gegenstelle (also nicht nur Mitbewerber -> O2, sondern auch O2 -> O2) funktionierenden, öffentlich erreichbaren dynamische IP-Adressen ist kein Freundschaftsdienst von Telefonica, sondern eine Anforderung der Bundesnetzagentur bzw. EU-VO.

Eine Verpflichtung zur Vergabe öffentlicher IPv4-Adressen entfällt für solche Unternehmen, wenn IPv4 als technischer Standard veraltet ist – d.h. von der IETF als „historisch“ eingestuft wird.

1)  Die Bundesnetzagentur geht hier offensichtlich davon aus, dass – sobald Anbieter auf IPv6 umstellen, die Kunden dann endlich auch ohne NAT-Problematiken und selbstverständlich auf Verlangen der Kunden ohne künstliche Blockierung eingehender Verbindungen seitens des Anbieters durch netzinterne Firewalls öffentlich erreichbar sind.

2) Die Bundesnetzagentur geht hier offensichtlich davon aus, dass das Problem der „ öffentlichen Unerreichbarkeit“ lediglich am GC-NAT liegt – und nixht an Sicherheitsmechanismen (wie einer Client Isolation / Firewall) die eingehende Datenströme scheinbar trotz anders lautendem Wunsch des Kunden widerrechtlich blockieren.

Die momentan von Telefonica praktizierte Zuweisung von lediglich pseudo-öffentlichen IPv6-Adressen mit Blockierung eingehender Verbindungen durch Telefonica-Firewalls ohne der Möglichkeit, dies auf Verlangen zu deaktivieren, ist also nicht im Sinne der Bundesnetzagentur und auch nicht im Einklang mit dem Grundsatz der Netzneutralität.

Und Datenverkehre von O2-Kunden zu Zielen zu blockieren, die sich zufällig in einem ebenfalls bei einem O2-Kunden gehosteten Ziel befinden…Kunden von Mitbewerbern hingegen aber Zugriff auf genau dieses Ziel zu gewähren, widerspricht doch ganz offensichtlich der Netzneutralität.

Dass es nicht an diesen angeblichen Firewall- bzw. Sicherheitsmechanismen scheitert, zeigt ja die Historie der vergangenen Beiträge.

Die Fachabteilung scheint es offenbar immer und immer wieder nicht zu schaffen, neu in den Public-Pool aufgenommene Adressbereiche mit den korrekten Routen zu konfigurieren. Das Statement mit den angeblichen Sicherheitsmechanismen durften wir ein paar Seiten zurück bereits schonmal hören – und dann ging es plötzlich doch wieder.

Die Diskussion läuft doch schon mehrere Jahre und angeblich haben sich Betroffene bereits an die BNetzA gewendet. Warum merken wir da keine Auswirkungen wenn das alles so eindeutig ist?

​@Klaus_VoIP  Das ist eine berechtigte Frage!