Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Traceroute via t-mobile thuis
Goede middag,
Als ik een traceroute doe naar security.nl vanaf mijn t-mobile thuisverbinding verloopt het verkeer als volgt:
hop 1: mijn router ip
hop 2: de gateway van mijn provider 62.166.x.x
hop 3: een 10.10.12.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 4: een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 5: nog een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 6: dan loopt het via verschillende hops van xs4all en komt het aan bij security.nl
Als ik dit doe met mijn vpn-dienst:
hop 1: Het private ip-adres van mijn vpn gateway: 10.64.0.*
hop 2: publieke gateway van mijn vpn-dienst
hop 3: xs4all ip-adressen daarna security.nl
In beide traceroutes ga ik naar exact hetzelfde ip-adres. Mijn vpn-endpoint is in amsterdam.
Hoe kan het dat ik bij normaal internetverkeer, zonder VPN via 3 10.10.*.* ip-adressen het internet op ga
en met mijn VPN niet?
Ik mag namelijk verwachten dat mijn VPN-verkeer via dezelfde infrastructuur van mijn provider naar buiten gaat en dus
ook eerst hopt over de 10.10.*.* reeks
Als ik een traceroute doe naar security.nl vanaf mijn t-mobile thuisverbinding verloopt het verkeer als volgt:
hop 1: mijn router ip
hop 2: de gateway van mijn provider 62.166.x.x
hop 3: een 10.10.12.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 4: een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 5: nog een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 6: dan loopt het via verschillende hops van xs4all en komt het aan bij security.nl
Als ik dit doe met mijn vpn-dienst:
hop 1: Het private ip-adres van mijn vpn gateway: 10.64.0.*
hop 2: publieke gateway van mijn vpn-dienst
hop 3: xs4all ip-adressen daarna security.nl
In beide traceroutes ga ik naar exact hetzelfde ip-adres. Mijn vpn-endpoint is in amsterdam.
Hoe kan het dat ik bij normaal internetverkeer, zonder VPN via 3 10.10.*.* ip-adressen het internet op ga
en met mijn VPN niet?
Ik mag namelijk verwachten dat mijn VPN-verkeer via dezelfde infrastructuur van mijn provider naar buiten gaat en dus
ook eerst hopt over de 10.10.*.* reeks
Reacties (4)
Door amityonline: Goede middag,
Als ik een traceroute doe naar security.nl vanaf mijn t-mobile thuisverbinding verloopt het verkeer als volgt:
hop 1: mijn router ip
hop 2: de gateway van mijn provider 62.166.x.x
hop 3: een 10.10.12.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 4: een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 5: nog een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 6: dan loopt het via verschillende hops van xs4all en komt het aan bij security.nl
Als ik dit doe met mijn vpn-dienst:
hop 1: Het private ip-adres van mijn vpn gateway: 10.64.0.*
hop 2: publieke gateway van mijn vpn-dienst
hop 3: xs4all ip-adressen daarna security.nl
In beide traceroutes ga ik naar exact hetzelfde ip-adres. Mijn vpn-endpoint is in amsterdam.
Hoe kan het dat ik bij normaal internetverkeer, zonder VPN via 3 10.10.*.* ip-adressen het internet op ga
en met mijn VPN niet?
Ik mag namelijk verwachten dat mijn VPN-verkeer via dezelfde infrastructuur van mijn provider naar buiten gaat en dus
ook eerst hopt over de 10.10.*.* reeks
Als ik een traceroute doe naar security.nl vanaf mijn t-mobile thuisverbinding verloopt het verkeer als volgt:
hop 1: mijn router ip
hop 2: de gateway van mijn provider 62.166.x.x
hop 3: een 10.10.12.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 4: een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 5: nog een 10.10.80.* ip die ik niet kan pingen (private ip met icmp filtering: Communication prohibited by filter)
hop 6: dan loopt het via verschillende hops van xs4all en komt het aan bij security.nl
Als ik dit doe met mijn vpn-dienst:
hop 1: Het private ip-adres van mijn vpn gateway: 10.64.0.*
hop 2: publieke gateway van mijn vpn-dienst
hop 3: xs4all ip-adressen daarna security.nl
In beide traceroutes ga ik naar exact hetzelfde ip-adres. Mijn vpn-endpoint is in amsterdam.
Hoe kan het dat ik bij normaal internetverkeer, zonder VPN via 3 10.10.*.* ip-adressen het internet op ga
en met mijn VPN niet?
Ik mag namelijk verwachten dat mijn VPN-verkeer via dezelfde infrastructuur van mijn provider naar buiten gaat en dus
ook eerst hopt over de 10.10.*.* reeks
Works as designed . Een VPN is een tunnel waarin je verkeer vervoerd wordt - verkeer binnen die tunnel ziet de onderliggende infrastructuur niet (en wordt ook niet gezien _door_ de onderliggende netwerken) .
Bij een tunnel zie je met traceroute alleen het begin en het eindpunt, precies alsof het een point-to-point verbinding is .
technisch werkt een traceroute door verkeer te sturen met een lage TTL (maar oplopende) in de header (time to live) .
Elke router hop verlaagt de TTL met 1 . Op moment dat de TTL 0 bereikt, stuurt die router een ICMP pakket (type TTL exceeded in transit) terug .
Jouw traceroute met lage TTL zit ingepakt in de tunnel (met veel hogere ttl) . De routers onderweg zien alleen de VPN verpakking met veel hogere TTL . Op moment dat het VPN uitgepakt wordt, wordt de TTL verlaagd, ziet het VPN endpoint de TTL, en dat is je eerste hop .
Overigens is basis netwerktechnologie (hoe werkt traceroute, hoe werkt vpn) prima op te zoeken .
Als je denkt dat dit iets bijzonders is moet je je eerst eens verdiepen in wat een VPN is, en hoe dit werkt.
@anoniem 18:43: Bedankt voor de reactie nu begrijp ik het omdat ik kijk vanuit IN de tunnel. Thx voor je antwoord.
@anoniem: 18:52. Lieve narcist.... je bent zoooo slim :-)
@anoniem: 18:52. Lieve narcist.... je bent zoooo slim :-)
03-10-2021, 21:44 door
amityonline
@18:43 door Anoniem: Bedankt voor de duidelijke uitleg. Ik heb basiskennis van VPN en traceroute maar ik had me even niet bedacht dat ik in het vpn-scenario met mijn traceroute alleen antwoorden krijg van het endpoint zodra mijn vpn-packet is uitgepakt. Inderdaad logisch dat de TTL in de tunnel niet omlaag gaat bij tussenliggende hops, maar alleen aan de buitenkant.
@18:52: Je kan natuurlijk ook een constructieve bijdrage levereren ;-)
@18:52: Je kan natuurlijk ook een constructieve bijdrage levereren ;-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
