# Mehrfachzugang DSL - wie kann das nur funktionieren?

## slick

Ich habe bei einem Bekannten eine faszinierende Variante von DSL Zugang gesehen und habe keine Idee wie das funktionieren kann. Vielleicht kann mir das jemand erklären.

Also gegeben sei ein normales DSL-Modem, dahinter ein normaler Switch und an dem Switch mehrere Rechner (A,B,C) Nun hat jeder Rechner seine eigenen DSL-Zugangsdaten und wählt sich jeweils über den Switch mit dem DSL-Modem ein. Das können alle sogar parallel (also zeitgleich). Das sollte gemäß meiner Logik eigentlich nicht funktionieren, tut es aber. Jemand eine Idee wieso das geht? 

Hier nochmal grob schematisch:

```
[Modem] --> [Switch] --> [Rechner A ... C]
```

----------

## Masterle

Tut mir leider Leid das ich zwar keine Ahnung habe wie das funktioniert aber bei mir funktioniert es zumindest so ähnlich. 

Ich habe hier auch normales Adsl Modem (aber Powerline - da normales DSL nicht möglich ist) und einen 8 Port Switch. Ich kann Problemlos Laptop, Desktop, Laptop vom Bruder usw alles gleichzeitig über selben Daten einloggen bzw können alle für sich Surfen. 

Also sonderfall ist es würd ich mal sagen nicht.^^

Mfg

----------

## Keepoer

Ich glaube technisch ist das machbar, da das Modem ja nur die Daten weiterleitet. Ich hab sowas auch schon gesehen. Was mir nur total sinnfrei erscheint ist der Sinn...

----------

## Salathe

Einfach so gelesen, glaube ich nicht, dass das funktioniert. Dass man sich mit verschiedenen Logins anmelden kann, kann ich mir noch Vorstellen, aber sobald das gleichzeit passiert, müsste das Modem die Leitung irgendwie aufteilen, da das Frequenzbandnur eine bestimmte Grösse hat. Was auch die Frage nach dem Sinn wieder aufbringt, da ja dann keine Performancesteigerung da ist.

Ich kenne mich aber mit Direkt-vom-PC-Einwahl-DSL-Modems nicht so aus. Was ist es denn für ein Modem?

----------

## hoschi

Vielleicht eine eigenwillige Art von QoS, die freilich nicht funktionieren sollte...

----------

## nikaya

Klingt für mich auch unlogisch.Man hat/bezahlt ja nur einen Telefon/DSL-Anschluss (in der Regel) mit den entsprechenden Zugangsdaten.Theoretisch können also nur die originalen Zugangsdaten vom DSL-Anschluss akzeptiert werden.Alle anderen dürften nicht akzeptiert werden.

Nun weiß ich allerdings nicht was für ein Modem das ist und wie dieses die Daten von den Rechnern intern verarbeitet und weitergibt.

Hat der Bekannte keine weiteren Details dazu?

 *Quote:*   

> Nun hat jeder Rechner seine eigenen DSL-Zugangsdaten

 

Woher kommen diese,vom Provider?Oder werden sie willkürlich festgelegt?

----------

## slick

Nein, nein... mit dem ISP paßt das schon alles. Mein Bekannter darf sich gemäß AGB mit nur je einen Rechner je Account einwählen, aber in der Wohngemeinschaft möchten mehrere Teilnehmer ins Netz. Also hat jeder (Rechner) vom ISP eine eigene Anschlusskennung bekommen (gegen minimalem "Mehrbenutzeraufpreis" zusätzlich zu dem einen Anschluss). Das paßt soweit. Was mir allerdings unklar ist wie das technisch gemacht wird. Ein DSL-Modem kann doch nicht mehrere "Verbindungen" parallel offen haben, oder verstehe ich das falsch?

EDIT:  *http://www.netcologne.de/privatkunden/nc_pk_produkt_standard_15192.php wrote:*   

> [...] Optional können Sie bis zu 10 Zusatzaccounts beauftragen. Ideal z.B. für Familien und Wohngemeinschaften.  [...] Sie können sich mit dem NetDSL Zusatzaccount auch parallel einwählen, um Ihren Internetzugang mit mehreren Benutzern zu verwenden. Bitte beachten Sie dabei, dass sich die maximale Bandbreite unter den jeweils aktiven Benutzern aufteilt. [...] 

 

----------

## Salathe

 *Quote:*   

> Ein DSL-Modem kann doch nicht mehrere "Verbindungen" parallel offen haben, oder verstehe ich das falsch?

 

Sollte möglich sein, ist aber warscheinlich nicht Standard, in dem man das Band entsprechend aufteilt. Macht aber nicht viel Sinn, da das sehr undynamisch ist. Wascheinlich wird es mit irgend einem Tagging-Verfahren,VLANS oder so was, wenn's hoch kommt mit IPsec,VPN oder so gemacht.

----------

## slick

 *Salathe wrote:*   

> Wascheinlich wird es mit irgend einem Tagging-Verfahren,VLANS oder so was, wenn's hoch kommt mit IPsec,VPN oder so gemacht.

 

Muß ja was sein was zu pppoe "kompatibel" ist, weil es ja für den einwählenden Rechner keinen Unterschied machen darf. Somit scheiden meines Erachtens VPN o.ä. Lösungen aus, da hier ein extra Client erforderlich wäre. VLANs oder "Tagging" wären vielleicht eine Möglichkeit. Interessant auf jeden Fall.

----------

## sirro

Ein DSL-Modem ist doch im Prinzip nur eine Bridge, die die Signale von Ethernet auf die DSL umsetzt.

Jeder Rechner macht dann einfach PPPoE über das Modem zum Zugangs-Konzentrator (das Modem "spricht" LANE mit dem Zugangsknoten) und hat seine eigene Sitzung. Schlagt mich wenn ich mit meinem Halbwissen total falsch liege.  :Smile: 

Ich wusste schon laenger, dass sowas theoretisch moeglich ist. Aber praktisch ist mir das neu.

 *Salathe wrote:*   

> Wascheinlich wird es mit irgend einem Tagging-Verfahren,VLANS oder so was, wenn's hoch kommt mit IPsec,VPN oder so gemacht.

 

Ich vermute mal, dass das Session-Feld im PPP-Header (der Grund warum eine MTU von 1500-8=1492 benutzt wird) benutzt wird.

----------

## oscarwild

 *sirro wrote:*   

> Jeder Rechner macht dann einfach PPPoE über das Modem zum Zugangs-Konzentrator (das Modem "spricht" LANE mit dem Zugangsknoten) und hat seine eigene Sitzung. Schlagt mich wenn ich falsch liege. 

 

Klingt eigentlich plausibel, aber ich kann mir nicht vorstellen dass jedes Feld-, Wald- und Wiesenmodem zu einer Sessionverwaltung in der Lage ist, nachdem so eine Nutzung doch eher ein Sonderfall ist...

Insgesamt kommt mir die Sache auch vom Sinngehalt etwas obskur vor; Sowas würde eigentlich nur bei einem Volumentarif Sinn machen, bei dem jeder sein Volumen getrennt bezahlt, sonst könnte der Provider ja einfach pauschal einen Mehrbenutzeraufpreis verlangen, und gut. Eine "Schwarznutzung" durch mehrere Nutzer kann der Provider so und so nicht unterbinden (ist wahrscheinlich auch gar nicht durchsetzbar).

----------

## sirro

 *oscarwild wrote:*   

> Klingt eigentlich plausibel, aber ich kann mir nicht vorstellen dass jedes Feld-, Wald- und Wiesenmodem zu einer Sessionverwaltung in der Lage ist, nachdem so eine Nutzung doch eher ein Sonderfall ist...

 

Wenn es so ist wie ich es vermute, dann braucht das Modem ja nichtmal PPPoE-Sessions verwalten zu können. Das erkennt dann nur PPPoE-Pakete, wandelt einfach nur die Signale um und setzt sie auf die Leitung nach draussen. Wobei eine gewisse Intelligenz vielleicht dafür sorgen sollte, dass nur die Sessions nach draussen gehen, die auch nach draussen gehoeren.

Und der Konzentrator muss ja eh Sessions verwalten können.

 *Quote:*   

> Insgesamt kommt mir die Sache auch vom Sinngehalt etwas obskur vor

 

Abgesehen von getrennten Volumentarifen kann ich mir auch nicht viel vorstellen.

Wenn der Provider natuerlich den Mehrbenutzerbetrieb offziell verbietet und man da nicht gegen verstossen will, dann kann man es vielleicht auch noch nutzen. Wobei dieses bloede Verbot bei den meisten Providern eh zugunsten der allgemeinen Router-Nutzung gekippt wurde. Kontrolliert wurde es AFAIK eh nicht.

----------

## think4urs11

So sonderlich unlogisch ist das gar nicht.

Die DSL-Modems sind so betrachtet ja relativ 'dumme' Geräte, alles was die tun ist die Umsetzung DSL-> Ethernet (oder USB), ansonsten reichen sie ja nur Datenpakete ähnlich einer normalen Bridge weiter ohne sich groß um deren Inhalt zu kümmern. Die eigentliche Nutzdatenverbindung besteht ja zwischen Endgerät (in dem Fall PCs) und dem DSLAM in der Vermittlungsstelle.

Was hier nun passiert ist lediglich ein multiplexen mehrerer unterschiedlicher PPPoE-Nutzdatenströme über eine DSL-Strecke. Dem Modem ist das egal, die Aufteilung der parallelen Datenströme erfolgt erst dahinter im Ethernetsegment; das einzige was das Modem können muß ist bis zu 11 MAC zu speichern damit es die einzelnen Sessions zur richtigen Ethernet-MAC schicken kann (wobei das notfalls auch über broadcast ginge).

Oder aber die Modems haben doch ein wenig mehr Intelligenz und machen die Verteilung anhand der IP und/oder PPP-Headerdaten, im Endeffekt läuft es aber auch wieder auf eine Minibridge hinaus.

Der Sinn des Ganzen erschließt sich mir allerdings nicht, evtl. möchte der ISP die Möglichkeit haben seine Nutzer feiner zu 'durchschauen' als nur auf Haushaltsebene. Da man aber sicher trotzdem (technisch, nicht vertraglich gemeint) statt eines PC einen Router nehmen kann ist das irgendwie ... naja seltsam.

Viele Provider hatten/haben zwar in den Verträgen stehen das mehrere User bzw. Router nicht erlaubt sind aber kontrolliert hat das wohl nie jemand (abgesehen davon ist die Kontrolle spätestens bei einer OpenBSD-Kiste als Router nicht mehr möglich da man dort auch noch das letzte bischen an statistischer Wahrscheinlichkeit verschleiern kann - Sequenznummern, Paket/Session-IDs, usw.)

----------

## sirro

 *Think4UrS11 wrote:*   

> Die eigentliche Nutzdatenverbindung besteht ja zwischen Endgerät (in dem Fall PCs) und dem DSLAM in der Vermittlungsstelle.

 

Nicht ganz soweit ich weiss. Die PPPoE-Session ist zwischen Endgerät und Konzentrator, der auch als erster das IP-Routing. der DSLAM ist also im Prinzip eine weitere Brücke (zumindest aus IP-Sicht) und verteilt/konzentriert nur die ATM-Verbindungen.

 *Think4UrS11 wrote:*   

> (abgesehen davon ist die Kontrolle spätestens bei einer OpenBSD-Kiste als Router nicht mehr möglich da man dort auch noch das letzte bischen an statistischer Wahrscheinlichkeit verschleiern kann - Sequenznummern, Paket/Session-IDs, usw.)

 

Dazu müsste der Router aber die Sequenznummern überschreiben, oder? Machen sie doch normalerweise nicht.

Mit grsecurity konnte man die Sequenznummern aber auch schon direkt vom Endgerät (pseudo)-randomisieren.

----------

## think4urs11

 *sirro wrote:*   

>  *Think4UrS11 wrote:*   Die eigentliche Nutzdatenverbindung besteht ja zwischen Endgerät (in dem Fall PCs) und dem DSLAM in der Vermittlungsstelle. 
> 
> Nicht ganz soweit ich weiss. Die PPPoE-Session ist zwischen Endgerät und Konzentrator, der auch als erster das IP-Routing. der DSLAM ist also im Prinzip eine weitere Brücke (zumindest aus IP-Sicht) und verteilt/konzentriert nur die ATM-Verbindungen.

 

hast recht

Es gibt nur eine Verbindung DSL-Modem -> DSLAM durch die aber widerum eine oder mehrere IP-Verbindungen PC->Konzentrator laufen, so ist es denke ich richtiger.

 *sirro wrote:*   

>  *Think4UrS11 wrote:*   (abgesehen davon ist die Kontrolle spätestens bei einer OpenBSD-Kiste als Router nicht mehr möglich da man dort auch noch das letzte bischen an statistischer Wahrscheinlichkeit verschleiern kann - Sequenznummern, Paket/Session-IDs, usw.) 
> 
> Dazu müsste der Router aber die Sequenznummern überschreiben, oder? Machen sie doch normalerweise nicht.

 

OpenBSDs pf kann das neben anderen Nettigkeiten die inzwischen nach und nach auch in Linux (und sogar Windows) nachgeschoben werden.

Bestenfalls könnte der ISP neugierig werden weil er eben nichts gescheites zum 'Usertracking' mehr aus den Headerdaten lesen kann. Aber solange im Vertrag nichts von 'OpenBSD is pfui' steht kein Problem  :Wink: 

----------

## slick

Danke für die Erleuchtung.

 *Quote:*   

> Bestenfalls könnte der ISP neugierig werden weil er eben nichts gescheites zum 'Usertracking' mehr aus den Headerdaten lesen kann. Aber solange im Vertrag nichts von 'OpenBSD is pfui' steht kein Problem 

 

AFAIK gibts da aber noch mehr Methoden z.B wie auch diese eine mit der man selbst Rechner durch ein Onion-Netz wiederfindet. Also ich würde somit behaupten, möglich ists für den ISP zu erkennen wieviele Rechner an dem einen Anschluss hängen, nur der Aufwand wird unverhältnismäßig sein.

----------

## think4urs11

 *slick wrote:*   

> AFAIK gibts da aber noch mehr Methoden z.B wie auch diese eine

 

sysctl -w net.ipv4.tcp_timestamps=0, sowohl auf Workstations wie auf dem Router sollte helfen  :Wink: 

(und nein die Methode funktioniert nicht mit icmp timestamps lt. dem Bericht)

und wie du schon sagst der Aufwand wird hier bereits sehr erheblich.

Ist auch nichts anderes als Verschlüsselung - praktisch alle die im breiten Gebrauch sind lassen sich knacken, nur der Aufwand kann extrem hoch werden. Also erhöhe ich die Hürde für den jeweiligen 'Gegner' eben so lange bis es entweder technisch unmöglich (OTP, $key >= $data) oder so teuer wird (AES256-512) das es keinen Sinn mehr macht es zu versuchen.

Genauso auch hier, wenn ich auf meinem Gateway die Pakete komplett neu schreibe und alle Optionen nivelliere schaut $isp in die Röhre.

----------

## slick

 *Think4UrS11 wrote:*   

> ... Genauso auch hier, wenn ich auf meinem Gateway die Pakete komplett neu schreibe ...

 

Wie soll sowas gehen?

----------

## think4urs11

 *slick wrote:*   

>  *Think4UrS11 wrote:*   ... Genauso auch hier, wenn ich auf meinem Gateway die Pakete komplett neu schreibe ... Wie soll sowas gehen?

 

Mistverständnis  :Wink: 

Gemeint war das Umschreiben/anonymisieren/randomizieren der diversen Headerdaten wie es eben pf anbietet. Dazu natürlich NAT auf die externe IP des GW.

----------

