Private IP-Adressen und VPN

Es ist jahrelang gut gegangen und dann konnte ich einmal aus dem ICE nicht mehr über VPN auf die Firma zugreifen. Was ist passiert ?

Private Adressen

Wenn wir IPv6 im Netzwerk außen vor lassen, dann ist IPv4 immer noch das dominante Protokoll in Firmen. Meine erste IPV4-Installation war im Zeitraum 1988 in der Ausbildung mit Novell Netware und Trumpet-WinSock. Und schon damals musste ich mir ein "Subnetz" ausdenken welches idealerweise einmalig in der Welt war oder zumindest einmalig innerhalb der Firma. Ein Konflikt mit einem anderen Netzwerk, mit dem ich irgendwann einmal Daten austauschen will, wäre ansonsten nur mit aktiver Umsetzung (NAT/Proxy/Gateway) möglich. Damals war es aber gar nicht einfach zu ermitteln, wo in der Firma andere Personen schon mit TCP/IP erste Schritte gegangen sind. Ich war Student bei der Nixdorf Computer AG, die in dem Rahmen von Siemens gekauft wurde und in der ganzen Welt gab es neben dem Großrechner viele kleine "lokale Netzwerke".

Sehr schnell wurde aber klar, dass man keine IP-Adressen nutzt, die im Internet schon anderweitig offiziell verwendet werden. Da kamen die "privaten Adressen" gerade recht.

VPN-Konflikt

Wer nun aber mal schnell sein komplettes internes Netzwerk über private IP-Adressen abdeckt, verhindert zwar eine direkte Verbindung per Routing, aber kommt mit dem Einsatz von VPNs eventuell in Probleme. Auch wenn Sie eine Verbindung zwischen Firmen (Merger&Acuisitions) herstellen, die beide die gleichen privaten Subnetze verwenden, ist eine Verbindungsproblem vorprogrammiert.

Während nun Firmenübernahmen nicht so oft passieren und dann gut geplant werden können, sind VPNs deutlich anspruchsvoller. Hier haben Sie als Administrator keine Kontrolle über das Netzwerk, in dem der Client arbeitet. In Deutschland gibt es zwei große Router-Gruppen, die im privaten Bereich eingesetzt werden und ebenfalls private IP-Adressen vergeben:

  • 192.168.2.x  Telekom "Speedport"
    Die von der Telekom oft bereitgestellten Router verschiedener Hersteller nutzen meist die IP-Adressen 192.168.2.0/24 für die interne Verwendung
  • AVM Fritz!Box
    Wer stattdessen einen "Premium-Router" eines ISPs verwendet, kennt eher IP-Adressen aus dem Bereich 192.168.178.0/24

Natürlich gibt es noch andere Router, Hersteller und Umgebungen und sogar die IP-Range dieser Router können Sie als versierter Benutzer anpassen. Aber im Prinzip kann man sagen:

Die Nutzung von 192.168.2.0/24 und 192.168.178.0/24 in Firmennetzwerken ist eine ganz dumme Idee

Denn ein Client, der zuhause in diesem Netzwerk ist, wird alle Systeme im gleichen Subnetz über das lokale Netzwerk direkt ansprechen und nicht durch einen VPN-Tunnel leiten. Der VPN-Tunnel wird nur genutzt, wenn die Ziel-Adresse in einem anderen Subnetz ist und daher das TCP/IP-Routing die Paket über die VPN-Schnittstelle leiten. Es mag besondere VPNs geben, die auch lokalen Verkehr abfangen aber die meisten Produkte machen dies nicht. Das ist auch sinnvoll, wenn der Anwender im Homeoffice trotz VPN z.B. weiter seinen lokalen Netzwerkdrucker ansprechen will.

Natürlich gibt es das Risiko, dass eine Malware auf einem PC im gleichen Netzwerk so auch einen Firmen-PC trotz aktiviertem VPN erreicht. Das Thema ist insbesondere in offenen WLANs natürlich ein Thema, was durch entsprechende Firewall-Einstellungen (Netzwerk = Öffentlich) auf dem Client berücksichtigt werden muss.

Aber auch die anderen Adressen sind nicht unkritisch. Es gibt verschiedene Hotels oder auch die deutsche Bahn, die andere Bereiche an die Clients verteilt. Bei größeren Installationen, z.B. Messen oder ICE-Zügen sind das auch durchaus größere Subnetze. Hier ein Beispiel der DB:


Quelle: https://www.bahn.de/service/zug/wlan-im-zug

Eine Zeitlang habe ich auch gesehen, das Mobilfunkprovider gerne IP-Adressen aus 10.0.0.0/8 genutzt haben. Das sollte langsam aber auch angekommen sein, dass hier vielleicht Adressen aus den CGNET-Bereich 100.64.0.0/10 besser angebracht sind.

Es bleibt aber ein Restrisiko, dass genau die IP-Adressen der Server, die ihre Anwender über ein VPN erreichen muss, das gleiche Subnetz nutzen wie das lokale Netzwerk, in dem ihr VPN-Anwender gerade aktiv ist.

Nach meiner Einschätzung gibt es keinen "sicheren" IP-Adressbereich, indem sie einen Konflikt ausschließen können. Sicher können Sie nur sein, wenn die Server, die ihre Anwender erreichen müssen, weltweit eindeutige IP-Adressen haben, z.B. "öffentliche Adressen". Das bedeutet ja nicht, dass diese auch aus dem anonymen Internet erreichbar sein müssen. Aber welche Firma hat schon so viele öffentliche IP-Adressen, dass jeder Server entsprechend versorgt werden kann?

Mit IPv6 entspannt sich diese Problematik, da hier dann jeder Endpunkt quasi eine "Public-IP"-Adresse bekommen kann. Siehe auch IPv6 im Netzwerk ff.

Subnetzliste

Welche IP-Adressen sind denn dann problemlos für den Einsatz in Firmen, wenn ich zugleich auch ein VPN nutzen möchte? Eine pauschale Antwort gibt es nicht, denn der Adressraum von 0.0.0.0 bis 255.255.255.255 ist in viele Subnetze aufgeteilt, von denen nur ein Teil als "Public IP-Adressen" von Firmen im Internet genutzt werden aber der Rest nicht komplett "Privat" ist. Einige Bereiche sind für besondere Aufgaben geblockt. Hier meine Übersicht.

Subnetz

 

Adressen

Eignung

0.0.0.0

Host

0.0.0.0 ist der eigene Host. Sie wird oft genutzt, wenn eine Netzwerkkarte noch keine IP-Adresse zugewiesen hat und kann damit auch nicht kommunizieren. Bei Routingtabellen ist das Ziel 0.0.0.0 der Default-Route-Eintrag.

Nein

0.0.0.1
0.255.255.255

Local

Diese besondere Netzwerk gibt es eigentlich nicht und ist so etwas wie ein "local only" Netzwerk. Sie können durchaus lokal verwendet werden aber es ist sehr ungewöhnlich. 0.0.0.0 wird oft genutzt, wenn eine Netzwerkkarte noch keine IP-Adresse zugewiesen hat und kann damit auch nicht kommunizieren.

Eventuell

1.0.0.0
9.255.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

10.0.0.0
10.255.255.255

Privat

Das ist das erste "Private Netzwerk. Sie können es als Class-A Netz mit 16.777.216 Adressen nutzen aber auch über Subnetting aufteilen. Viele Firmen nutzen diese Adressen, weil Sie z.B. das erste Oktett für den Standort oder Land verwenden können und das zweite Subnetz dann für das VLAN.

Die große Anzahl an Adressen macht dieses Netzwerk neben dem 100.64.0.0/10er Netzwerk natürlich auch für Access-Provider interessant. So nutzen die "Freifunker" diese Netzwerke für ihre WLAN-Zugriffspunkte.

Achtung: Ein Teil der Adressen werden gerne durch öffentlichen WLAN-AccesPoints genutzt und sind damit "verbrannt" für den Einsatz in Firmen, die per VPN erreichbar sein wollen.

Ja

11.0.0.0
100.63.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

100.64.0.0
100.127.255.255

CGNAT

Das Netzwerk 100.64.0.0/10 wird nicht im Internet geroutet aber ist für Carrier vorgesehen. Es enthält  4.194.304 Adressen für Carrier für Carrier Grade NAT (CGNAT). Für eigene Zwecke sollten Sie es nicht nutzen, wenn Sie nicht "Zugangsprovider" mit Kontrolle über das Netzwerk bis zum letzten Endpunkt sind.

Nein

100.128.0.0
126.255.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

127.0.0.0.0
127.255.255.255

Reserviert

Loopback u.a.

Nein

128.0.0.0
168.255.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

169.254.0.0
169.254.255.255

Privat

Dieses Netzwerk wird für "Autokonfiguration" genutzt, d.h. jeder Client, der keine IP-Adresse von einem DHCP-Server bekommt, kann sich zufällig eine Adresse hier aussuchen und wenn diese frei ist, diese auch nutzen um andere Systeme im gleichen Subnetz zu erreichen. Quasi als "AdHoc"-Netzwerk

Nein

170.0.0.0
171.255.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

172.16.0.0
172.31.255.255

Privat

Dies ist das zweite "Private Subnetz", welches 16 Netze mit jeweils 65.536 Adressen bereithält. Auch hier ist natürlich eine Aufteilung über Subnetting erlaubt.

Achtung: Ein Teil der Adressen werden gerne von öffentlichen WLAN-AccesPoints genutzt und sind damit "verbrannt" für den Einsatz in Firmen, die per VPN erreichbar sein wollen

Ja

173.0.0.0
191.255.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

192.0.0.0
192.0.0.255

Reserviert

Dieses Subnetz ist laut RFC5736 reserviert und wird aktuell noch nichts genutzt.

Nein

192.0.1.0
192.0.1.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

192.0.2.0
192.0.2.255

Test

"TEST-NET-1", Reservierter Block für Dokumentationen. Oft in Kombination mit den DNS-Domains "example.com" oder "example.net". Wird nicht im Internet geroutet aber können ohne Abstimmung mit der IANA genutzt werden.

Nein

192.0.3.0
192.88.98.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

192.88.99.0
192.88.99.255

6to4

Der Block 192.88.99.0/24  ist für "6to4-Relay Anycast Adressen" reserviert und kann daher nicht für eigene Dinge genutzt werden

Nein

192.88.100.0
192.167.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

192.168.0.0
192.168.255.255

Privat

Das dritte "private" Netzwerk besteht aus 256 Subnetzen a 256 Adressen. Sie können es intern nutzen aber denken Sie daran, dass viele Homeoffice-Router ebenfalls hier unterwegs sind.

Achtung: Ein Teil der Adressen werden gerne im HomeOffice genutzt und sind damit "verbrannt" für den Einsatz in Firmen, die per VPN erreichbar sein wollen.

  • 192.168.2.0-255  Speedport Homeoffice
  • 192.168.178.0-255 AVM Fritz!Box Default

Ja

192.169.0.0
198.17.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

198.18.0.0
198.19.255.255

Benchmark

Die wenigsten Admins dürften den Netzblock 198.18.0.0/15 bislang gesehen oder genutzt haben. Wer wurde für Performancemessungen (Benchmarks) reserviert um Konflikte mit Testgeräten zu vermeiden. Pakete mit diesen Adressen werden meist auf Routern im Internet geblockt.

Nein

198.20.0.0
198.51.99.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

198.51.100.0
198.51.100.255

Test

"TEST-NET-2", Reservierter Block für Dokumentationen. Oft in Kombination mit den DNS-Domains "example.com" oder "example.net". Wird nicht im Internet geroutet aber können ohne Abstimmung mit der IANA genutzt werden.

Nein

198.51.101.0
202.255.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

203.0.113.0
203.0.113.255

Test

"TEST-NET-3", Reservierter Block für Dokumentationen. Oft in Kombination mit den DNS-Domains "example.com" oder "example.net". Wird nicht im Internet geroutet aber können ohne Abstimmung mit der IANA genutzt werden.

Nein

203.0.114.0
223.255.255.255

Public

Diese Adressen werden im Internet geroutet und sind unterschiedlichen Firmen zugeordnet.

Nein

224.0.0.0
239.255.255.255

Multicast

Wer früh schon mit dem Exchange 2000 Conference Server oder Livemeeting zu tun hatte, kennt vielleicht diese Adressen aus dem Block 224.0.0.0/4. Sie werden für Multicast-Aussendungen genutzt, d.h. dass ein Server ein Paket an viele Client nur einmal senden muss. Das ist bei Medienübertragungen oder auch bei Softwareverteilung interessant aber erfordert weitere Protokolle, z.B. IGMP. Früher hat man auch "Class-D" zu diese Block gesagt.

Nein

240.0.0.0
255.255.255.254

Reserviert

Dieser früher als "Class-E" bekannter Netzblock ist immer noch reserviert für "Future Use"

Nein

255.255.255.255/p>

Broadcast

Die letzte Adresse in der Tabelle ist die Broadcast-Adresse. Theoretisch sollte ein Paket an diese Adresse an alle anderen Systeme gehen. Praktisch funktioniert dies im gleichen Subnetz und vielleicht noch in der Firma aber beim ersten Internet-Router ist in der Regel Schluss.

Nein

IPv6

Die ganzen Probleme werden natürlich einfacher, wenn IPv6 zum Einsatz kommt. Zwar gibt es auch hier "private Adressen"  (beginnen mit FC00/FD00), aber die sollten Sie meiden, denn es gibt ja massenhaft routbare Adressen. Aber selbst mit "zufälligen" privaten IPv6-Adressen ist es wenig wahrscheinlich, dass Sie eine Überlappung erleben, denn die Zugangsprovider und Homeoffice-Router werden mit öffentlichen IPv6-Adressen des Providers betrieben.

Sobald ein Provider ihnen aber eine IPv6-Adresse konfiguriert und ihr PC diese nutzt, sollten Sie beim Thema VPN noch einmal genau hinschauen. Nicht jedes Tunnel-VPN behandelt IPv4 und IPv6 gleich

Zusammenfassung

Die Liste der Subnetze und der Sonderfälle ist also deutlich länger als "Internet MINUS Private IP"-Adressen. Es gibt Firmen (und Universitäten), die genug öffentlichen IPv4-Adressen haben, um jedem Client eine eigene Adresse zu spendieren. Das ist aber nicht der Regelfall und die Nutzung von privaten Adressen erzwingt eine "Umsetzung" per Proxy, NAT oder Gateway. Die meisten Leser werden mit mir übereinstimmen, dass dies zumindest sicherer erscheint. Aber wir haben damit das Problem, das eben diese privaten Adressen mehrfach verwendet werden. Aber es gibt keine Alternative in der IPv4-Welt und wir werde mit dem "Restrisiko" leben, dass gewisse Netzwerkstandorte zwar noch ein VPN aufbauen können aber die dahinter über private Adressen erreichbare Server dann doch nicht erreichbar sind. Für den 1st-Level Support sind das natürlich knifflige Fragestellungen, die nicht sofort auffallen.

Dennoch sollten Sie als Administrator zumindest die häufig im Homeoffice oder WAN-Zugängen genutzten Bereiche nicht im internen Netzwerk verwenden. Dazu zähle ich vor allem die Bereiche der Speedport-Router (192.168.2.x) und Fritz!Box-Router (192.168.178.x).

Alternativ können Sie natürlich IPv6 nutzen, da hier eine Dublette quasi unwahrscheinlich ist oder sie verzichten ganz auf VPNs und greifen auch von Unterwegs z.B. über HTTPS auf im Internet veröffentlichte Services zu. Sobald Dienste in der Cloud genutzt werden, ist ein Tunnel-VPN wenig sinnvoll und beim Split-VPN oder ohne VPN greift der Client auch direkt auf die Server in der Cloud zu.

Weitere Links