Door Anoniem (TS): Ik heb gisteren nog eens gezocht. En heb gevonden dat een DNS registratie meerdere IPv4 en IPv6 adressen kan bevatten. Op de A en AAAA records. Ik weet niet goed hoe dat werkt, maar het zou dus mogelijk zijn om fritz.box zowel een 45.76.93.104 als een 192.168.178.1 adres te geven. Die horen dan allebei bij fritz.box op een of andere manier. Vroeger resolvede fritz.box al naar 192.168.178.1 voor de registratie door de NFT boer.
Ik vind het erg verwarrend wat je schrijft. Wat bijvoorbeeld is, in deze context, een "NFT boer"?
Netwerk-lesje: uitleg IPv4-adressen
Even kijken of ik dit allemaal nog weet :-)
IPv4 adressen die met
192.168.beginnen zijn
privé-adressen (zie
https://en.wikipedia.org/wiki/Private_network#Private_IPv4_addresses).
Dergelijke adressen mag
iedereen vrij gebruiken, maar routers "in" internet horen netwerkpakketjes met zo'n
ontvanger-adres
niet door te sturen (met zo'n adres als
afzender zou dat ook niet moeten, maar daar durf ik helemaal mijn hand niet voor in het vuur te steken).
LAN (thuis) versus WAN (internet)
LAN staat voor Local Area Network, en de letter W uit Wan voor Wide.
Het "probleem" van "private range" adressen is dat ze niet uniek zijn (dus niet,
wereldwijd, aan hooguit één netwerkinterface van één apparaat zijn gekoppeld), zie de volgende voorbeeldsituatie (met bovenin jouw huis en onderin het mijne):
smartphone .—. PC
|°| [#]
'—' [###]
192.168.178.24 \ / 192.168.178.21
\ /
\ /
192.168.178.1 | "fritz.box"
| LAN & WiFi
•
[Fritz!Box]
•
internetzijde | WAN
voorbeeld: 2.3.4.5 | (uniek IP-adres)
| jouw huis
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
| Internet (unieke
| IP-adressen)
[security.nl]-----+
82.94.191.110 | 45.76.93.104
| en 2001:19f0:...
+---- [fritz.box]
|
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
| mijn huis
voorbeeld: 9.8.7.6 | (uniek IP-adres)
internetzijde | WAN
•
[Fritz!Box]
•
| LAN & WiFi
192.168.178.1 | "fritz.box"
/ \
/ \
192.168.178.24 / \ 192.168.178.21
.—. [#]
|°| [###]
smartphone '—' PC
In dit voorbeeld zijn, in elk van onze huizen, zowel een smartphone als een PC verbonden met een Fritz!Box router. Daarbij zouden
jouw PC en jouw smartphone (toevallig) dezelfde IP-adressen kunnen hebben als respectievelijk
mijn PC en mijn smartphone.
Als dat zo is, en wij beiden op
security.nl "zitten" vanaf onze PC, en
security.nl zou retour-netwerkpakketjes naar
192.168.178.21 sturen, bij wie van ons zouden die dan uit moeten komen?
Nb. wat het WAN- (internetzijde-) adres (of adressen, bij zowel IPv4 als IPv6) van jouw router is, kun je o.a. zien in
https://whatismyipaddress.com/.
NAT (meestal PNAT)
Dat onze PC's en smartphones
toch met bijvoorbeeld
security.nl kunnen communiceren,
ondanks hun privé IP-adressen, komt doordat zowel jouw als mijn Fritz!Box niet alleen netwerkpakketjes
routeert, maar tevens
Network Address Translation (NAT) toepast.
De essentie daarbij is dat
elk privé IP-adres (door de NAT-router) wordt vervangen door een
niet-privé IP-adres.
TCP/IP envelop
De "envelop" (of zo je wilt, adreslabel op het "post"-pakket) van voor https gebruikte netwerkpakketjes ziet er, vereenvoudigd, uit als volgt:
ontvangeradres: [4 bytes]
ontvangerpoortnummer: [2 bytes]
afzenderadres: [4 bytes]
afzenderpoortnummer: [2 bytes]
Merk op dat zowel aan de ontvangerzijde als aan de afzenderzijde sprake is van een adres en een poortnummer. Zo'n adres kun je vergelijken met het woonadres van een studentenpand met één voordeur, terwijl de poortnummers vergelijkbaar zijn met de kamernummers van individuele studentenkamers (andere vergelijking: IP-adres staat gelijk aan postcode, en poortnummer aan huisnummer).
Nb. dit geldt dus voor zowel de client als voor de server!
Voor elke TCP verbinding zijn er dus 4 parameters: 2 adressen en 2 poortnummers. Die poortnummers maken het mogelijk dat je, bijvoorbeeld, op jouw PC twee browservensters open hebt staan naar twee verschillende pagina's op security.nl. Het enige verschil tussen pakketjes behorende bij die twee "verbindingen" (het zijn geen echte verbindingen, omdat er individuele pakketjes worden uitgewisseld) is -naast de data- dat er op jouw PC twee verschillende poortnummers voor worden gebruikt.
Pakketjes van jouw PC naar security.nl
Uitgaande van één "verbinding": als jouw PC een https pakketje naar security.nl stuurt, ziet de envelop daarvan er bijvoorbeeld uit als volgt:
ontvangeradres: 82.94.191.110
ontvangerpoortnummer: 443
afzenderadres: 192.168.178.21
afzenderpoortnummer: 3456
Jouw Fritz!Box wijzigt dat "onderweg" in:
ontvangeradres: 82.94.191.110
ontvangerpoortnummer: 443
afzenderadres: 2.3.4.5
afzenderpoortnummer: 54321
Merk op dat jouw Fritz!Box niet alleen het
afzenderadres heeft veranderd, maar
ook het
afzenderpoortnummer (54321 is een willekeurig voorbeeld). Feitelijk gaat het hier om PNAT (P van Poort).
Jouw Fritz!Box
onthoudt vervolgens (enige tijd) dat, mocht hij een (retour) netwerkpakketje vanaf internet ontvangen
bestemd voor poort 54321, dit dus
naar jouw PC doorgestuurd moet worden.
Retourpakketjes van security.nl naar jouw PC
De envelop van zo'n retourpakketje vanaf security.nl kan er uitzien als volgt (de ontvanger- en afzender-gegevens zijn door de server van plaats verwisseld t.o.v. de laatstgenoemde envelop):
ontvangeradres: 2.3.4.5
ontvangerpoortnummer: 54321
afzenderadres: 82.94.191.110
afzenderpoortnummer: 443
Voordat jouw Fritz!Box dat retourpakketje doorstuurt naar jouw PC, verandert deze dat "
on the fly" in:
ontvangeradres: 192.168.178.21
ontvangerpoortnummer: 3456
afzenderadres: 82.94.191.110
afzenderpoortnummer: 443
Dat is precies de retourenvelop die jouw PC verwacht. D.w.z. zonder dat deze weet dat er onderweg in de envelop geknoeid is, en op welke wijze - effectieve, doch legitieme, spoofing dus.
Reden voor PNAT
De reden voor PNAT is dat als jij, zowel op jouw PC en op jouw smartphone een "verbinding" hebt met security.nl, beiden
toevallig voor
dezelfde (min of meer "random" gekozen) afzenderpoort zouden kunnen kiezen. In dat geval zou de Fritz!Box niet weten naar welke van de twee hij retourpakketjes moet sturen; daarom zijn de meeste NAT-routers feitelijk PNAT-routers, en wordt, in naar internet gestuurde pakketjes,
altijd het afzenderpoortnummer vervangen (en wordt in retourpakketjes het ontvangerpoortnummer "teruggezet").
IPv6 versus IPv4
Bij het IPv6- protocol zijn de IP-adressen veel langer. In principe is daar geen (P)NAT voor nodig, maar omdat je meestal niet wilt dat het hele internet verbinding kan maken met bijvoorbeeld (bewust of onbewust) "gedeelde netwerkschijven" op jouw PC, zijn er vergelijkbare firewall-mechanismes in jouw Fritz!Box om dat te voorkómen (gebruikelijk is dat alleen van binnen naar buiten, van LAN naar WAN dus, opgezette "verbindingen" worden toegestaan door jouw Fritz!Box).
Belangrijk om te weten is dat, aan één netwerkinterface,
zowel een IPv4
als een IPv6 adres gekoppeld kan zijn (sterker, er kunnen meerdere IPv4 en/of meerdere IPv6 adressen aan gekoppeld zijn).
De uitleg voor IPv6-adressen is (voor zover ik weet, ik heb nooit veel "zin" gehad in IPv6), mits je niet in details treedt, redelijk vergelijkbaar met IPv4-adressen.
Door Anoniem (TS):
De browser zal dan geen waarschuwing geven bij mixed content vanaf beide IP adressen. Of zie ik dit verkeerd?
Ik zie geen enkele reden waarom de browser met
meer dan één IP-adres verbinding zou maken, zoals ik hierboven hopelijk voldoende heb toegelicht.
Als je de beheerinterface
aan de WAN- (internet-) zijde hebt uitgezet in de Fritz!Box, wat ik dringend aanraad, dan
kan jouw browser (ongeacht of je thuis bent) daar niet eens een verbinding mee maken.
Door Anoniem (TS): Het URI scheme, host name en port moeten hetzelfde zijn voor same origin access. Bij HTTP op het fritz.box domein is de poort hetzelfde als bij 192.168.178.1. Dat is mijn vraag.
Wát is jouw vraag?
Door Anoniem (TS): Ik weet dat er een HTTPS certificaat in de Fritz!box zit, maar deze heb ik niet gebruikt. Ik stel een nieuw modem in. Ga dan twijfelen. Reset het hele modem en stel het nog een keer in en dan moet het goed zijn en kijk ik er jaren niet meer naar. Updates gaan immers via XS4All/KPN en AVM :-)
Het lijkt mij verstandig om dat af en toe te checken (alhoewel ik dit bij anderen, waar ik "over de vloer kom" en ooit met ICT heb geholpen, onvoldoende vaak doe; zelf heb ik automatische updates uit staan maar krijg een e-mail als die er is).
Laat maar weten als er nu nog openstaande vragen zijn.