Frage an Nutzer mit CGNAT

PowerMac

Hallo zusammen,

Aus aktuellem Anlass wäre ich froh um Erfahrungsberichte betreffend den Betrieb mit CGNAT. Habt ihr durch CGNAT an Anschlüssen von Swisscom oder auch anderen ISPs jemals irgendwelche Einschränkungen von Services, insbesondere FTP oder SIP, festgestellt? Ich meine hier wohlgemerkt nicht den Betrieb eigener Server mittels Portforwarding, was ja mit CGNAT eh nicht möglich ist, sondern rein nur den Zugriff mittels FTP-/SIP-/anderen Clients auf Services im Internet.

Danke für eure Inputs,

PowerMac

JoelV

Hallo @SvenT

Kannst du dem User einen Erfahrungsbericht bezüglich dem Betrieb von CGNAT liefern?

Gruess

IvanH

Herby

@JoelV: Super User..... 😉

kaetho

@PowerMac

ich habe bis jetzt nichts Negatives festgestellt deswegen.

Die letzten 2 Jahre "Spamschleuder Swisscom" haben da tiefere und für mich merkbare Spuren hinterlassen...

Thomas

Anonymous1

Spamschleuder?

PowerMac

@kaetho schrieb:

[...] ich habe bis jetzt nichts Negatives festgestellt deswegen.

Ganz herzlichen Dank @kaetho für die bisher einzige Aussage in diesem Thread die einen Bezug zu meiner Frage hat. Ein wahrer Super User, der Thomas.

Meine Anfrage hat den konkreten Hintergrund, dass es einen regionalen Kabelnetzbetreiber in der Ostschweiz gibt, der die Kunden auf seinem billigsten Angebot auf CGNAT in einer Many-to-Many-NAT-Konfiguration laufen lässt. Das führt dazu, dass die ausgehenden Pakete kunterbunt mal von der IP xx.yy.zz.77 oder xx.yy.zz.78 oder xx.yy.zz.79 etc. kommen. In Verbindung mit SIP oder ganz besonders mit FTP führt das zu extrem schwer lokalisierbaren Problemen. Würde mich darum interessieren, ob noch andere Provider den glorreichen Einfall hatten, ihre CGNAT-Kunden mit rotierenden öffentlichen IPs zu versorgen. Wahrscheinlich ja nicht, oder zumindest machen die scheinbar irgendetwas schlauer als der erwähnte lokale Anbieter.

kaetho

@Anonym

"Spamschleuder Swisscom" ist technisch wahrscheinlich nicht der korrekte Ausdruck, "suboptimale Spambehandlung" klingt nicht ganz so destruktiv. Das Problem bleibt aber bestehen.

Soundcloud lässt keine Neuregistrationen mit einer bluewinadresse zu und hat offenbar auch kein Interesse daran, das wieder zu ändern. Der Registrationsprozess wird abgebrochen mit der Meldung "Diese E-mail-Domain steht auf der schwarzen Liste".

Thomas

edit: es wird auch empfohlen, man soll eine andere IP-Adresse versuchen... @PowerMac vielleicht doch eine Einschränkung wegen CGNAT?

Anonymous1

Das sind ja zwei völlig unabhängige Themen. Ich denke, dass wir das Themen SPAM für unsere Nutzer im Griff haben. Da wurde sehr viel gemacht und die SPAM - Zahlen sind inzwischen auf extrem tiefen Niveau.

Wenn unsere bluewin.ch bei Soundcloud auf der schwarzen Liste steht, so ist das natürlich nicht schön. D.h. ja, dass über solche Konten SPAM verschickt wurde. Auch das erkennen wir in der Regel und Sperren die Konten bzw. die Anschlüsse. Ich werde mal das Team bitten, Soundcloud zu kontaktieren.

SvenT

Hi, @PowerMac @JoelV, CGNAT ist zwar nicht ganz meine Baustelle, aber ich versuche mal was dazu beizutragen 🙂

FTP sollt mit PASV durch jedes NAT funktionieren, bei SIP wird es schon komplizierter, da haengts vom ensprechenden conntrack modul auf unserer Seite ab. Jedes NAT-relevante Protokoll (also Verbindungen, bei denen der Server einen channel zum Client zurück aufbauen will) müssen wir entsprechend konfigurieren. Ich denke das wird für die gängigsten Protokolle gemacht, aber wie gesagt, da steck ich nicht so drin.

Im Mobile bereich sieht es angeblich besser aus und die CGNAT-config ist recht umfangreich.

Es gibt wohl auch die Möglichkeit, dich von CGNAT excluden zu lassen. Den genauen Prozess dafür kenn ich leider nicht, ich nehme an via Hotline und etwas Geduld.

lg sven

Tux0ne

Hast du @kaetho wirklich ein CGNAT auf deinem WAN oder wir das mit dem LTE Bonding über den Booster verwechselt?

Das ist ähnlich, im Detail aber nicht das Gleiche.

kaetho

@Tux0ne kein LTE-Bonding (das hatte ich mal, aber seit über 1 Jahr nicht mehr), und Check über http://www.dnstools.ch/wie-ist-meine-ip.html wird der Zusatz "dynamic.cgnat..." angezeigt.

Thomas

PowerMac

Super, danke @SvenT für den Beitrag.

Wie vorhin geschrieben gehts hier nicht um ein Problem mit Swisscom-Anschlüssen, ich habe selber kein CGNAT und mir sind auch keine durch CGNAT verursachte Probleme im SC-Netz bekannt. Es geht hier um einen Fremdanbieter, namentlich Rii-Seez-Net.

Die von mir erlebte Situation war (IPs teilweise erfunden):

Ein FTP-Client (192.168.1.99) hängt am Heimrouter (192.168.1.1 im LAN, 100.64.88.99 am WAN). Der CGNAT-Router des Providers verwendet die drei externen IPs 185.37.75.[64,65,66]. Dh. bei jeder neu aufzubauenden TCP-Verbindung wird eine dieser drei externen IPs verwendet. Man sieht dies unter anderem, indem man mehrmals auf z.B. whatismyip.com geht und dort nicht jedesmal dieselbe IP angezeigt wird.

Nun gehts los:

Der FTP-Client eröffnet eine TCP-Verbindung auf den FTP-Server 209.51.188.20 (ftp.gnu.org, nur ein Beispiel).
Der Heimrouter NATet die 192.168.1.99 auf seine WAN-IP 100.64.88.99 und leitet die Verbindung weiter.
Der CGNAT-Router des Providers NATet die 100.64.88.99 auf eine seiner mehreren externen IPs, z.B. 185.37.75.64. Damit ist der FTP Control Channel aufgebaut.
Nun wird ein Up-/Download gestartet. Der Client gibt eine PASV-Anfrage aus, der Server schickt dem Client die Info, dass er die TCP-Verbindung für den Data Channel auf 209.51.188.20, Port 12345 eröffnen soll.
Der Client tut genau dies und eröffnet eine TCP-Verbindungsanfrage, der Heimrouter NATet diese wieder auf 100.64.88.99.
Der CGNAT-Router des Providers NATet diesmal auf eine seiner anderen externen IPs, z.B. 185.37.75.65.
Da die FTP-Data-Verbindung nicht von derselben Quell-IP daherkommt wie der Control Channel, wird der TCP-Request vom Server oder ggf. bereits von einer vorgeschalteten Firewall verworfen.

Meines Erachtens ist die Verwendung mehrerer potentiell unterschiedlicher Client-IPs für den Control und den Data Channel bei FTP schon rein protokolltechnisch nicht vorgesehen/zulässig. Der Support des betroffenen Providers hat sich die Sache zwar näher angeschaut, war dann aber irgendwann der Meinung dass mit den getesteten FTP-Servern etwas nicht stimme (und man doch auf ein 14 CHF teureres Abo wechseln solle, bei dem man kein CGNAT mehr hat).

Daher meine Frage hier, ob man bei irgendeinem anderen Provider schon mal ähnliches erlebt hat.

Eine Folgefrage wäre noch, ob euch ein Provider bekannt ist, der seine CGNAT-Verbindungen auf mehrere öffentliche IPs verteilt.

SvenT

@PowerMac ich kann mir leider auch nicht erklären, warum dein provider das so konfiguriert hat - es gibt technisch keinen (mir bekannten) grund dafür! Ich kann mir vorstellen dass sie einfach gerne ihr teureres abo verkaufen wollen...

Mit einer einzigen IPv4 Adresse kann man als Provider zwischen 8.000-12.000 (z.b. cisco IOS) und (theoretisch) 65k gleichzeitige connections abwickeln, problematisch wird dabei irgendwann die wachsende conntrack-table, der router muss jede verbindung in einer liste im RAM vorhalten und auch noch einigermassen performant drauf zugreifen koennen. Dass das aber trotzdem ganz gut skaliert sieht man daran, dass früher ganze Länder (z.B. Qatar bis 2007) CGNAT auf eine einzige IP gemacht haben, für damals knapp 600k user. Ich nehme mal an dein Provider hat weniger user als Qatar 🙂

Wenn du technisch etwas versiert bist könntest du eine kleine cloud-VM im Internet mieten (3-4 chf) und deinen relevanten traffic via ssh tunneln. So wärst du komplett unabhaengig von allem was dein Provider dir zu verbauen versucht. Wenn man den traffic dann noch als http "verpackt" kommt man mit dem gleichen Trick auch durch die meisten Proxies durch 🙂

lg sven

PowerMac

Hi @SvenT. Sehr interessante Hintergrundinfos, danke. Dass man sogar kleine Länder mit einer einzigen IP versorgen kann/konnte, war mir neu.

Übrigens ist Rii-Seez-Net nicht mein Provider (und wird es wohl auch nicht werden) sondern der eines Freundes.

PS: Danke auch für den Tipp mit dem ssh-Tunnel, aber der Freund hat sein Problem jetzt dadurch _gelöstumgangen, dass er die Files jetzt halt per sftp auf Port 22 auf den Webserver seines Hosters hochlädt.

Tux0ne

@PowerMac

Ich glaube das haben sie Round Robin im Grundsatz falsch verstanden 🙂 Aber gemäss Name sind sie ja noch am wachsen.

Hat dein Freund kein IPv6. Dann wäre dies auch kein Thema.

PowerMac

Was das Round Robin angeht bin ich zum selben Schluss gelangt wie du @Tux0ne. Sehe keinen rationalen Grund für diesen Lösungsansatz. Insbesondere nach den Kontakten mit deren Supportabteilung bin ich sicher, dass da keine böse Absicht dahintersteckt, sondern es einfach an Grundlagenverständnis fehlt. Weiss grad nicht was ich schlimmer finden soll.

Auf dem Arris-Kabelrouter hab ich nirgends eine Option für IPv6 gesehen. Die Zugangsdaten für letzteren lauten übrigens "admin" und "password", falls das jemand mal braucht. Und nein, das Web-GUI des Routers kann kein HTTPS, und ja, es ist normal dass man nach jedem Klick zehn Sekunden warten muss. Welcome to the past.

Aber eben: war, ist und wird nicht mein Provider. Und vielleicht wechselt auch der Freund irgendwann mal seinen ISP.