Kabel Modem - DOCSIS - Proxy ARP

[ReBorn1983]

Hi,

ich hab mal ne theoretisch simple Frage.

Wie funktioniert ARP bei einem Cable Modem?

Sobald ich in meiner Firewall Proy ARP nach draußen aktiviere geht gar nichts mehr und ich frage mich wie das Kabel Modem mit ARP requests umgeht....

WAN --> Cable Modem (Bridge Mode) --> Firewall --> Internes Netz

Vielleicht arbeitet ja jemand bei nem Kabel Provider und kennt sich damit aus

THX

ReBorn

[jeronimonino]

ARP - Address Resolution Protocol funktioniert "nur" im Ethernet. Die Verbindung zwischen deinem Provider deines Kabelanschlusses und dir ist kein Ethernet. Wie ein Kabelmodem die Verbindung aufbaut kannst du hier nachlesen --> Kabelmodem

Das solltest du dir auch einmal durchlesen : Address Resolution Protocol

Es ist also völlig Sinnfrei auf deiner Firewall den ARP-Proxy zu aktivieren. Da ersten das Kabelmodem damit nichts anfangen kann und zweitens würdest du keine vernüftige Antwort vom Arp-Request erhalten da dieser nur den Port ausgeben würde an dem das Kabelmodem angeschlossen ist. Aber wie wir nun wissen kann das Kabelmodem damit eh nichts anfangen.

[ReBorn1983]

na ja.... entweder denk ich falsch oder die Infos können nicht ganz stimmen.

So wie ich es verstehe ist das Kabelnetz in dem sich anschlussbereiche befinden ist eine riesige Broadcast Domäne. Daher bekomme ich auf meiner Firewall wenn ich einen tcpdump mache auch bis zu 100 ARP requests in der Minute.

Da ja das Kabelmodem nix mit ner MAC anfangen kann, müsste es ja auch egal sein ob ich Proxy ARP aktiviere da ja sowieso zum Kabelmodem alles von der einen MAC des FW Ports kommt???

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

22:18:59.538459 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.193.45 tell 95.88.193.254, length 46

22:18:59.618992 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.194.147 tell 95.88.194.254, length 46

22:18:59.622518 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.157.160 tell 95.88.157.254, length 46

22:18:59.638414 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.196.104 tell 95.88.196.254, length 46

22:18:59.668183 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.192.83 tell 95.88.192.254, length 46

22:18:59.697405 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.194.92 tell 95.88.194.254, length 46

22:18:59.942589 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.193.120 tell 95.88.193.254, length 46

22:19:00.287428 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.197.11 tell 95.88.197.254, length 46

22:19:00.328986 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.194.182 tell 95.88.194.254, length 46

22:19:00.396762 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.195.250 tell 95.88.195.254, length 46

22:19:00.447449 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.193.252 tell 95.88.193.254, length 46

22:19:00.477683 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.90.110.126 tell 95.90.110.254, length 46

22:19:00.671932 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.194.147 tell 95.88.194.254, length 46

22:19:00.687374 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.192.251 tell 95.88.192.254, length 46

22:19:00.707441 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.193.82 tell 95.88.193.254, length 46

22:19:00.797314 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.90.110.70 tell 95.90.110.254, length 46

22:19:00.969021 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.194.26 tell 95.88.194.254, length 46

22:19:00.981497 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.194.182 tell 95.88.194.254, length 46

22:19:01.042613 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.197.221 tell 95.88.197.254, length 46

22:19:01.127891 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.197.227 tell 95.88.197.254, length 46

22:19:01.207530 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.194.10 tell 95.88.194.254, length 46

22:19:01.237637 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 95.88.158.125 tell 95.88.158.254, length 46

Bearbeitet 23. März 2015 von ReBorn1983

[jeronimonino]

Du kannst keine arp-Reques über die Kabelverbindung bekommen da dies kein Ethernet ist. Was du da bekommst kann ich dir auch nicht sagen. Vielleicht stimmt etwas in deinem Netzwerk nicht das dies verursacht.

Ein arp-Proxy wird übrigens dazu verwendet um zwei gleich Netze über einen Router zu verbinden. Also zum Beispiel Netz A = 192.168.1.0 und Netz B = 192.168.1.0. Nun will ein PC aus Netz a die IP eines PC aus Netz und schickt einen arp Broadcast los und der Proxy gibt den arp Requisiten so weiter das der PC aus Netz b an dem Port angeschlossen ist an dem netz b angeschlossen ist.

Ergo ist die Funktion arp-Proxy in deinem Fall ohne sinnvolle Nutzung Möglichkeit. Und.

[ReBorn1983]

Wenn meine einzige Quelle auf die ich vertrauen würde Wikipedia wäre, wäre ich schon längst verloren.

Die requests kommen von aussen... das ist normales Kabel verhalten. z.B.: Should we be seeing so many ARP requests - Cable users | DSLReports Forums

[GoaSkin]

Wie bereits geschrieben wurde: ARP funktioniert nur bei Ethernet.

Und ja: Das Kabelnetz ist eine riesige Broadcast-Domäne. Es kommt aber nicht in jeder Art von Broadcast-Domäne das ARP-Protokoll zum Einsatz. Je nach dem, welches Medium genutzt wird, um darüber das TCP/IP-Protokoll zu fahren, gibt es hier völlig eigene Protokolle, die regeln, welche IP-Adresse welchem Gerät zugeordnet wird. Auch in VPN-Netzen gibt es kein ARP und mit IPv6 ist das dann sowieso gestorben.

In einigen Medien gibt es auch so etwas wie Hardware-Adressen überhaupt nicht, wass dann mehr oder weniger heisst, dass alles gebroadcastet wird und nur von den Geräten weiter verarbeitet, für die das Paket dann eine Relevanz hat. DOCSIS kennt MAC-Adressen, aber kein ARP.

[orioon]

In VPN Netzen gibt es nur kein ARP weil dies durch die Router in der Regel unterbunden wird.

Falls man das konfigurieren kann, dann wohl meist deutlich umständlicher als normale IP Helper.

Technisch gesehen gibt es keinen Grund wieso das nicht funktionieren würde.

Bitte eine Quelle Angeben wieso ARP nur bei Ethernet funktionieren soll.

Und bitte ein Gute.

The Unprotected DOCSIS Environment

A DOCSIS Media Access Control (MAC) domain is similar in nature to an Ethernet segment. If left unprotected, users in the segment are vulnerable to many types of Layer 2 and Layer 3 addressing based Denial of service attacks. In addition, it is possible for users to suffer a degraded level of service due to the malconfiguration of addressing on other user's equipment. Examples of this could include:

Configuring duplicate IP addresses on different nodes.

Configuring duplicate MAC addresses on different nodes.

The unauthorized use of static IP addresses rather than Dynamic Host Configuration Protocol (DHCP) assigned IP addresses.

The unauthorized use of different network numbers within a segment.

Incorrectly configuring end nodes to answer ARP requests on behalf of a portion of the segment IP subnet.

Cable Source-Verify and IP Address Security - Cisco

Die Unterschiede scheinen bei DOCSIS zu Ethernet in mehreren Bereichen nicht gravierend zu sein.

[GoaSkin]

In VPN Netzen gibt es nur kein ARP weil dies durch die Router in der Regel unterbunden wird.

Falls man das konfigurieren kann, dann wohl meist deutlich umständlicher als normale IP Helper.

Technisch gesehen gibt es keinen Grund wieso das nicht funktionieren würde.

Bitte eine Quelle Angeben wieso ARP nur bei Ethernet funktionieren soll.

Und bitte ein Gute.

Dann am besten die RFC, in der das Protokoll ursprünglich definiert wurde: RFC 826 - Ethernet Address Resolution Protocol: Or Converting Network Protocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware . Da lautet schon das zweite Wort "Ethernet".

ARP ist von seinem Konzept her als Hilfsprotokoll gemacht worden, um TCP/IP in Ethernet-Netzwerken zu realisieren. Auch in physikalisch andersartigen Netzwerksegmenten braucht man Protokolle, die einem beteiligten System verraten, wie sie ihren Layer 2 Header aufbauen müssen, um ein IP-Paket zum Ziel zu bringen. Aber da gibt es passend zum jeweiligen Medium ein entsprechend eigenes Alternativ Protokoll. Die Sicherungsschichten arbeiten sehr unterschiedlich.

Die Notwendigkeit, IP-Adressen MAC-Adressen zuzordnen und die Netzwerkkarten auf das lauschen zu lassen, was für ihre MAC-Adresse bestimmt ist, kommt daher, dass Ethernet dazu konzipiert ist, in den höheren Schichten unterschiedlichste Protokolle zu fahren. DOCSIS ist lediglich eine Basis für TCP/IP.

Über DOCSIS kann man bestimmt ein dickes Buch lesen. Das kann man nicht schnell in ein paar Sätzen erklären und auch ein Wikipedia-Artikel darüber ist viel zu kurz.

[orioon]

Dann am besten die RFC

Nein, eine RFC welche vor Erscheinen von DOCSIS datiert, ist hierzu auf keinen Fall geeignet.

Es kann eine analoge/kompatible RFC für DOCSIS geben, wo ist der Ausschluss?

Kennt jemand eine passende RFC?

Auch in physikalisch andersartigen Netzwerksegmenten braucht man Protokolle, die einem beteiligten System verraten, wie sie ihren Layer 2 Header aufbauen müssen, um ein IP-Paket zum Ziel zu bringen. Aber da gibt es passend zum jeweiligen Medium ein entsprechend eigenes Alternativ Protokoll. Die Sicherungsschichten arbeiten sehr unterschiedlich.

Ist dir bekannt welches bei DOCSIS zum Einsatz kommt? Ich behaupte einfach dreist: Ebenfalls ARP und suche hierzu eine Wiederlegung, gute Quellen sind schwer zu finden

Die Notwendigkeit, IP-Adressen MAC-Adressen zuzordnen ... dass Ethernet dazu konzipiert ist, in den höheren Schichten unterschiedlichste Protokolle zu fahren. DOCSIS ist lediglich eine Basis für TCP/IP.

Wieso sollte das bei DOCSIS anders sein? Sie werden wohl kaum IP Adressen zuweisen um die Notwendigkeit einer Adressübersetzung zu umgehen. Ich suche eine Quelle welche die Adressierung auf Layer 2 bei CABLE Hardware beschreibt und ob dies kompatibel/inkompatibel zu ARP ist.

Über DOCSIS kann man bestimmt ein dickes Buch lesen. Das kann man nicht schnell in ein paar Sätzen erklären und auch ein Wikipedia-Artikel darüber ist viel zu kurz.

Woher stammen deine Informationen?

Verweisungen auf gute Fachliteratur sind herzlich willkommen!

Das Thema DOCSIS kommt ziemlich kurz und selbst für die meisten Fachinformatiker ist es bis Heute eine Black Box.

PS: Relegation wir kommen, wie klein die Welt doch ist

Bearbeitet 12. Mai 2015 von orioon

[GoaSkin]

DOCSIS ist eine sehr komplexe Sache, in die man sich wohl lange einlesen muss, obwohl es kaum Literatur gibt. Wikipedia verweist aber auf das richtige Dokument:

http://www.cablelabs.com/wp-content/uploads/specdocs/CM-SP-MULPIv3.1-I05-150326.pdf

bzw.

CableLabs » Search Specifications Library für den anderen Kram.

Und zur Frage: DOCSIS transportiert ARP und NDP-Pakete, dies aber mit dem Hintergrund, dass ein DOCSIS-Modem über eine LAN-Schnittstelle verfügt und die daran angeschlossenen Geräte nichts davon merken, dass sich dahinter ein riesiges, komplexes Kabelnetz befindet. Für sie ist das so, als ob zwischen Modem und Kabelanbieter-Gegenstelle einfach nur ein Switch hängt.

Für das was dann intern läuft: Stichwort CMTS lesen und erst einmal verstehen! Da werden viele Parameter ausgetauscht, die Verraten, wie ein Ziel erreichbar ist, wovon genutzte DOCSIS-Kanäle und Zeitschlitze noch die Einfachsten sind.

DOCSIS dürfte in der Ausbildung kein Thema sein, weil sich die Kabel-User damit nicht zwangsläufig auskennen müssen. An Orten, wo Kabel Deutschland oder Unity Media ausbilden, mag das auch anders sein.

Alle Dokumente zu DOCSIS sind mehrere 1.000 Seiten lang. Wenn man das gelesen hat, hat man DOCSIS immernoch nicht verstanden.