URL: https://www.overclockers.at/netzwerktechnik/internet_connection_sharing_technisch_und_rechtlic_65811/page_1 - zur Vollversion wechseln!
Weil immer wieder Fragen zu diesem Thema auftauchen, macht es Sinn, dieses Thema mal in einer FAQ zu behandeln.
Die Problematik ist die folgende: verbindet man sich mit einem consumer-provider, egal ob dies jetzt über Kabeltv, DSL oder Dial-In passiert, sorgt dieser im Regelfall nur für das Routing einer einzelnen öffentlichen IP-Adresse an das eigene Endgerät.
D.h. es kann nur ein Rechner ans Netz angeschlossen werden, wenn auch ein datenaustausch mitdemselben geplant ist. Außer es wird spezielle Hard- und Software verwendet!
Die Hardwareseite schaut immer gleich aus:
Internet ------- Modem bzw. Router ------- Rechner1 ------ hub/switch ---- Rechner2-x
die Rechner2-x nutzen also Rechner1 um Daten mit dem Internet auszutauschen. Damit dies funktioniert, obwohl die Rechner keine öffentliche IP zugewiesen haben, gibt es diverse Möglichkeiten:
Proxies
Hier läuft auf Rechner1 ein Programm, welches Verbindungen vom Netzwerk entgegennimmt, Anfragen an das Netz stellt und die Antworten zurückschickt. Allerdings geschieht dies auf Anwendungsebene, d.h. die Internetanwendung (z.B. browser) muss die Verwendung eines Proxies unterstützen. Vor allem bei Spielen ist das nicht selbstverständlich.
ICS nur über Proxies abzuwickeln ist für den Enthusiasten der viele Protokolle verwendet nicht gerade angenehm, drum werde ich auch nicht näher darauf eingehen.
Network Adress Translation (NAT, IP-Masquerading)
Mittels NAT werden die Nachteile des Proxies eliminiert, indem das weiterleiten ins internet auf netzwerkebene passiert, d.h. transparent für die Internetanwendungen sind. Hier empfängt Rechner1 netzwerkpakete, erkennt dass diese fürs internet bestimmt sind, merkt sich die Verbindungsdaten um nachher die Antwort wieder richtig zuzuordnen, Ändert die Absenderadresse auf sich selbst und Schickt das Paket weiter.
Zum Verständnis hilft vielleicht der China-Taiwan-Konflikt: Über Produkte, die made in Taiwan sind, klebt der chinesische Zoll gerne "Made in China" Pickerln -- die Herkunft ist für den Empfänger "maskiert" worden.
Problematisch wird die Sache, wenn die Verbindung vom Internet ausgeht - dann weiß Rechner1 nicht, welchem LAN-Rechner diese zuzuordnen ist. (z.B. wenn man (Game-)Server oder Filesharing-Dienste betreiben will). Hier helfen manuell eingerichtete Port-Forwardings, die eindeutig festlegen, wo bestimmte Verbindungen hinzulenken sind.
Konfiguration
Die Linux- und Windows-Welt bringen mit iptables bzw. ICS bereits alles mit, was für IP-Masquerading benötigt wird! Die Dokumentation des Betriebssystems hilft hier am besten.
http://www.microsoft.com/windowsxp/...working/ics.asp
http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/
Rechtliche Aspekte
Weit verbreitet ist das Gerücht, dass Provider es verbieten, den Internetzugang durch mehrere Rechner zu nutzen. Jedoch wird vergessen, dass ja von den im Lan hängenden Rechnern nicht die Dienstleistung genutzt wird, diese wird vom Rechner verwendet, auf den die öffentliche IP geroutet wird (das Routing der ip IST die Dienstleistung), welcher vom Lan mittels TCP/IP dazu veranlasst wird, Daten mit dem Internet auszutauschen.
Durch diese ungenaue Formulierungen in den AGB's befinden wir uns in einer Grauzone.
Nicht erlaubt ist es, mehrere Rechner direkt über einen Hub oder Switch an Modem/Router des Providers anzuschließen. (ausser bei Produkten wie Chello+, wo dieses Feature auch entsprechend kostet)
Es ist mir auch kein Fall bekannt, bei dem ein NAT-Setup den Provider gestört hat - anders verhält es sich beim Serverbetrieb, wo vor allem Chello sehr strikt vorgeht.
Erkennung
Bei Überwachung des Datenverkehrs kann bei unvorsichtiger Konfiguration sehr wohl erkannt werden, dass hier ein Masquerading-Setup aktiv ist.
Beispiele:
- Passive FTP schickt die source-ip auf Anwendungsebene mittels des Port-Kommandos. Es bedarf eines speziellen Filters am NAT-Gateway, damit passive ftp funktioniert und unentdeckt bleibt.
- Mailserver auf Rechner1: trägt in der Standardkonfiguartion die interne IP in den Mailheader ein
- Filesharing-Programme
- Spiele
Grundsätzlich nutzen diese Hinweise aber mehr einem Cracker, der es auf Sicherheitslücken im NAT-System abgesehen hat. Denn die Nutzung von NAT setzt nicht mehrere Rechner voraus, auch eine Nutzung auf einem Rechner (ein Beispiel wäre vmware) ist möglich.
Mhmm.
Eine folgende verbindung über ICS die sich NAT zunutze macht, sollte dann eigentlich "abhörsicher" sein bzw nicht den AGBs zuwiderstehen.
Ich trau diesem Modell aber nicht ganz, weils zu einfach klingtCode:I.net -- Modem -- PC 1 -- Hub/Switch -- PC 2 -- PC 3
ist genau dieselbe config wie oben aufgezeichnet.
Abhörsicher ist sie schon, aber eben nicht 100%ig unsichtbar (was aber egal ist).
läßt sich zum teil schon an den port nummern feststellen - ausgehende verbindungen haben für gewöhnlich (wenn von der software nicht anders vom os verlangt) von 1024 aufsteigende lokale port-nummern. windows nt/2k/... verwendet überhaupt nur den bereich 1024-5000 und fängt dann wieder an von vorne an. (es gibt eine registry key mit dem man das ändern kann) - also tendenziell relativ niedrige portnummern.
IP-Masquarading (linux 2.0.x & 2.2.x) verwendet dagegen defaultmäßig ports 61000-65096 für ausgehende verbindungen. NAT unter 2.4.x hat das nicht mehr. weiß jemand wie das bei windows-ICS ist?
endlich mal ne w00te beschreibung danke dere
danke für die kurze faq, sehr aufschlussreich!
und was is wenn ichs so vorhabe?!
internet --> modem --> router/switch --> PC1 bzw PC2
der router bekommt die mac adresse von da nic und alles passt od?!?
mal was zum rechtlichen..
wir ( provider ) nehmen connection sharing zur kenntniss, deswegen wird keiner gekündigt, aber... es gibt keinen support...
stimmt wenn ich sag ich geh über an router rein, wird gesagt das wird nicht supportet, derweil will ich nur wissen ob der zuständige knotenpunkt für mich wieder amal ausgfallen is.Zitat von Netsaintmal was zum rechtlichen..
wir ( provider ) nehmen connection sharing zur kenntniss, deswegen wird keiner gekündigt, aber... es gibt keinen support...
wir als isp support , supporten auch keine router und inet sharing auch nicht , wir koennten aba leuten den inet anshcluss kuendigen wenn ma wollen...
email genuegt
Zitat von DAOwir als isp support , supporten auch keine router und inet sharing auch nicht , wir koennten aba leuten den inet anshcluss kuendigen wenn ma wollen...
email genuegt
sry wenn ich da jetzt so dumm frag... aber warum wird vom isp kein sharing supportet? ich zahl ja für die physische verbindung...
sollte ich jetzt theoretisch 3 anschlüsse haben für meine 3 rechner im netzwerk damit alles supportet wird? is doch nimma realistisch. mittlerweile gibt es soviele router..das muss doch supportet werden.. hmm
sry, wirkli dumme frage, nur i will ned verstehen 
du zahlst laut agb für einen einzelplatzzugang.
damit is NICHT inkludiert das irgendwelchen eierbären dem support 4 stunden in den ohren liegen weils zu blöd sind ein netzwerk aufzubauen.
schau mal im networking wieviel leute keine ahnung haben.
is ne reine kosten nutzen rechnung
kann man pc 2-x nicht gleich an den router hängen???
MFG
-ICH-
ja kannst du
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025