Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Traceroute via t-mobile thuis

03-10-2021, 17:54 door amityonline, 4 reacties
Laatst bijgewerkt: 03-10-2021, 17:59
Goede middag,

Als ik een traceroute doe naar security.nl vanaf mijn t-mobile thuisverbinding verloopt het verkeer als volgt:

hop 1: mijn router ip
hop 2: de gateway van mijn provider 62.166.x.x
hop 3: een 10.10.12.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 4: een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 5: nog een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 6: dan loopt het via verschillende hops van xs4all en komt het aan bij security.nl


Als ik dit doe met mijn vpn-dienst:
hop 1: Het private ip-adres van mijn vpn gateway: 10.64.0.*
hop 2: publieke gateway van mijn vpn-dienst
hop 3: xs4all ip-adressen daarna security.nl

In beide traceroutes ga ik naar exact hetzelfde ip-adres. Mijn vpn-endpoint is in amsterdam.

Hoe kan het dat ik bij normaal internetverkeer, zonder VPN via 3 10.10.*.* ip-adressen het internet op ga
en met mijn VPN niet?

Ik mag namelijk verwachten dat mijn VPN-verkeer via dezelfde infrastructuur van mijn provider naar buiten gaat en dus
ook eerst hopt over de 10.10.*.* reeks
Reacties (4)
03-10-2021, 18:43 door Anoniem
Door amityonline: Goede middag,

Als ik een traceroute doe naar security.nl vanaf mijn t-mobile thuisverbinding verloopt het verkeer als volgt:

hop 1: mijn router ip
hop 2: de gateway van mijn provider 62.166.x.x
hop 3: een 10.10.12.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 4: een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 5: nog een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 6: dan loopt het via verschillende hops van xs4all en komt het aan bij security.nl


Als ik dit doe met mijn vpn-dienst:
hop 1: Het private ip-adres van mijn vpn gateway: 10.64.0.*
hop 2: publieke gateway van mijn vpn-dienst
hop 3: xs4all ip-adressen daarna security.nl

In beide traceroutes ga ik naar exact hetzelfde ip-adres. Mijn vpn-endpoint is in amsterdam.

Hoe kan het dat ik bij normaal internetverkeer, zonder VPN via 3 10.10.*.* ip-adressen het internet op ga
en met mijn VPN niet?

Ik mag namelijk verwachten dat mijn VPN-verkeer via dezelfde infrastructuur van mijn provider naar buiten gaat en dus
ook eerst hopt over de 10.10.*.* reeks

Works as designed . Een VPN is een tunnel waarin je verkeer vervoerd wordt - verkeer binnen die tunnel ziet de onderliggende infrastructuur niet (en wordt ook niet gezien _door_ de onderliggende netwerken) .

Bij een tunnel zie je met traceroute alleen het begin en het eindpunt, precies alsof het een point-to-point verbinding is .

technisch werkt een traceroute door verkeer te sturen met een lage TTL (maar oplopende) in de header (time to live) .
Elke router hop verlaagt de TTL met 1 . Op moment dat de TTL 0 bereikt, stuurt die router een ICMP pakket (type TTL exceeded in transit) terug .

Jouw traceroute met lage TTL zit ingepakt in de tunnel (met veel hogere ttl) . De routers onderweg zien alleen de VPN verpakking met veel hogere TTL . Op moment dat het VPN uitgepakt wordt, wordt de TTL verlaagd, ziet het VPN endpoint de TTL, en dat is je eerste hop .

Overigens is basis netwerktechnologie (hoe werkt traceroute, hoe werkt vpn) prima op te zoeken .
03-10-2021, 18:52 door Anoniem
Als je denkt dat dit iets bijzonders is moet je je eerst eens verdiepen in wat een VPN is, en hoe dit werkt.
03-10-2021, 19:17 door Anoniem
@anoniem 18:43: Bedankt voor de reactie nu begrijp ik het omdat ik kijk vanuit IN de tunnel. Thx voor je antwoord.

@anoniem: 18:52. Lieve narcist.... je bent zoooo slim :-)
03-10-2021, 21:44 door amityonline
@18:43 door Anoniem: Bedankt voor de duidelijke uitleg. Ik heb basiskennis van VPN en traceroute maar ik had me even niet bedacht dat ik in het vpn-scenario met mijn traceroute alleen antwoorden krijg van het endpoint zodra mijn vpn-packet is uitgepakt. Inderdaad logisch dat de TTL in de tunnel niet omlaag gaat bij tussenliggende hops, maar alleen aan de buitenkant.

@18:52: Je kan natuurlijk ook een constructieve bijdrage levereren ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.