Private IP-Adresse

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Private IP-Adressen (abgekürzt Private IP) gehören zu bestimmten IP-Adressbereichen, die im Internet nicht geroutet werden. Sie können beliebig innerhalb privater Netze wie etwa LANs verwendet werden.

Bestimmte Adressbereiche wurden für diese private Nutzung aus dem öffentlichen Adressraum ausgespart, damit ohne unnützen administrativen Mehraufwand lokale Netzwerke gepflegt werden können. Als die IP-Adressen des Internet Protokolls v4 knapp wurden und dadurch eine bewusste Einsparung öffentlicher IP-Adressen notwendig wurde, war es umso wichtiger, private IP-Adressen in lokalen Netzwerken zur Verfügung zu haben. (Siehe auch Port Address Translation und Network Address Translation)

Funktionsweise

Viele Rechnernetze benötigen zwar im Inneren volle Konnektivität auf IP-Ebene, jedoch nur einen eingeschränkten Internetzugang. Weist man jedem Rechner, der an ein solches Rechnernetz angeschlossen ist, eine private IP-Adresse zu, so bildet das Rechnernetz ein Intranet, auf das aus dem Internet heraus nicht zugegriffen werden kann, da die Internet-Router die privaten Adressbereiche ignorieren.

Ein Gateway oder Router, der in diesem privaten Netz platziert ist und der außer einer privaten IP-Adresse im privaten Netz auch noch zusätzlich eine öffentliche Adresse im Internet hat, kann für dieses private Netz den Internetzugang herstellen. Dies kann über einen Proxy geschehen oder mittels NAT/PAT/Masquerading.

Da der genutzte private Adressbereich immer nur innerhalb des privaten Netzes sichtbar ist, können seine Adressen auch in anderen privaten Netzen vergeben werden, ohne dass die vom Internet Protocol geforderte Eindeutigkeit jeder IP-Adresse verloren ginge; in jedem privaten Netz gilt in den global ausgesparten Adressbereichen nur die lokale Adressbelegung, falls denn überhaupt eine konfiguriert wurde.

Weil die ausgesparten Adressbereiche nie geroutet werden, wird der direkte Zugriff von außen auf die lokalen Clients im privaten Netz unterbunden. Dies erhöht bei einer schon korrekt konfigurierten Firewall zwar die Sicherheit nicht weiter, doch die Verschleierung der lokalen IP-Adressen nach außen anonymisiert die Internetzugriffe aus dem lokalen Netz heraus in gewissem Maße.[1].

Gibt ein Administrator dagegen einem Rechner im lokalen Netz eine IP-Adresse, die nicht aus den eigens dafür reservierten, privaten Adressbereichen, sondern aus dem öffentlichen Adressbereich stammt, so scheitert aus dem privaten Netz heraus jeder Versuch, auf einen Internet-Rechner zuzugreifen, an den diese Adresse im Internet bereits vergeben wurde. Die Eindeutigkeit der Adresszuordnung ist dann verletzt. Stattdessen wird immer auf den lokalen Rechner mit gleicher Adresse zugegriffen. Von außerhalb des lokalen Netzes kann dagegen ohne Probleme auf den im Internet eingestellten Rechner zugegriffen werden. Eine nichtprivate Adresse in einem privaten Netz zu vergeben, ist also in aller Regel ein Fehler bei dessen Konfiguration.

Adressbereiche

Von der IANA wurden drei private IP-Adressbereiche festgelegt, die 1994 im RFC 1597 dokumentiert wurden. Diese Festlegungen blieben auch 1996 bei der Ablösung des RFC 1597 durch den noch heute gültigen RFC 1918 erhalten. Jeder der drei Bereiche liegt in einer anderen Klasse des historischen Netzklassen-Konzepts.

Mittels Subnetting kann auch nur ein Teil eines privaten Adressbereichs genutzt werden.

Netzadressbereich CIDR-Notation Verkürzte CIDR-Notation Anzahl Adressen Anzahl Netze gemäß Netzklasse (historisch)
10.0.0.0 bis 10.255.255.255 10.0.0.0/8 10/8 224 = 16.777.216 Klasse A: 1 privates Netz mit 16.777.216 Adressen;

10.0.0.0/8

172.16.0.0 bis 172.31.255.255 172.16.0.0/12 172.16/12 220 = 1.048.576 Klasse B: 16 private Netze mit jeweils 65.536 Adressen;

172.16.0.0/16 bis 172.31.0.0/16

192.168.0.0 bis 192.168.255.255 192.168.0.0/16 192.168/16 216 = 65.536 Klasse C: 256 private Netze mit jeweils 256 Adressen;

192.168.0.0/24 bis 192.168.255.0/24

Shared Address

Wegen des Adressmangels und zunehmender Konflikte bei den oben genannten IP-Adressbereichen wurde ein weiterer Bereich zur mehrfachen Verwendung freigegeben. Dieser Bereich 100.64.0.0/10 RFC 6598 ist speziell für Internetdienstanbieter zur Verwendung mit CGNAT vorgesehen.

Link Local

Weiterhin hat der Adressraum 169.254.0.0/16, der gemäß RFC 5735 als Link Local ausgezeichnet ist, eine ähnliche Sonderstellung. Mittels Zeroconf bzw. Automatic Private IP Addressing (APIPA) können Endgeräte automatisch eine IP-Adresse aus diesem Bereich verwenden.

Adresskonflikte bei VPN

Die Benutzung von privaten Adressbereichen führt regelmäßig zu Problemen, wenn etwa Firmen-LANs per VPN miteinander verbunden werden, und beide Standorte dieselben Netze verwenden. Denn nur, wenn die auf beiden Seiten vergebenen Adressen verschieden sind, tritt kein Konflikt auf. Dem kann im Vorfeld entgegengewirkt werden, indem auch bei unverbundenen Netzen die privaten Adressbereiche eines Firmennetzes durchdacht und sinnvoll aufgeteilt werden. Beim Zusammenlegen von Firmennetzen, z. B. nach einer Firmenfusion, ist eine solche Planung im Vorfeld allerdings nicht möglich. Dieses Problem kann gänzlich vermieden werden, indem öffentliche und somit eindeutige IP-Adressen verwendet werden, allerdings auf Kosten des knappen öffentlichen IP-Adressraums.

IPv6

Das IPv6-Pendant heißt Unique Local Addresses. Aufgrund des größeren Adressraums nutzt man dort 40 Bit der Netzadresse als zufällig gewählten Identifikator. Dieser soll die Wahrscheinlichkeit der Einmaligkeit eines privaten Netzes erhöhen, um Adresskonflikte bei Zusammenschluss von privaten Netzen zu vermindern.

Einzelnachweise

  1. RFC 1631, Abschnitt 3.3