Standort der Server / IP's?

  • Hallo,


    laut der Webseite von Netcup ist der Serverstandort Nürnberg, also eindeutig DE.


    Ich habe auf meinem Server die GeoIP Mod installiert und für manche Seiten, z.B. ein internes Wiki, alle Zugriffe außerhalb von DE blockiert.


    Das scheint auch soweit zu funktionieren, von ausländischen Freunden habe ich die Bestätigung das Zugriffe aus LU, FR, US, UK und RU nicht mehr möglich sind.


    Witziger Weise werde aber auch die vom eigenen Server laufenden Cronjobs (mittels wget) von der GeoIP Mod blockiert, als ob die Server IP nicht aus DE wäre.


    Heute habe ich dann noch von einem meiner Mitarbeiter, welche selbst über einen vServer bei Netcup mittels VPN öfters arbeitet, die Rückmeldung erhalten das er auch geblockt wird.


    Als wären sämtliche Netcup IP's aus einem anderen Land.


    Wenn es nur die Cronjobs wären, würde ich ja noch an einen Fehler der GeoIP Datenbank glauben, aber mittels VPN über einen Netcup vServer scheint es ja auch nicht mehr zu funktionieren.


    Hat jemand eine Idee wie das sein kann?

    Die Zeit ist wie eine verspielte Katze.

    Sie umschmeichelt einen
    und schlabbert den Tag auf wie eine Schale Milch.

    (Henry Ford)

  • Hay,


    gar nicht zuverlässig.


    Und wenn es Probleme gibt, dann mit ganzen Netzen. Kann ja sein, dass der Dienstleister, der die Standorte zu IP-Adressen "errät", seine Aufgaben nicht richtig löst. In der Regel schaut der in den Registry Eintrag zum Beispiel für Netcup im Ripe. Da steht Karlsruhe. Einfach. Er könnte aber noch Einträge von der Institution haben, von der die IP-Adressen vorher registriert wurden - oder gar nicht. Dann also Ripe und das ist halt irgendwo in Europa. Man kegelt nun über der Landkarte aus, wo denn die Mitte Europas geografisch liegt und da wandern dann alle Adressen hin, die nicht eindeutig geografisch zugeordnet werden. Das kann dann auch mal Tschechei oder die Ukraine sein, manchmal auch Deutschland.


    Die Telekom hat (meines Wissens nach) ganze 3 Class-A Netze. Die sind natürlich alle auf Bonn registriert. Durch Kauf von Kombinationen IP-Adresse & PLZ z.B. von Onlinehändlern oder sozialen Medien, können die das relativ gut zurordnen. Aber immer noch sind große Bereiche komplett weiß - also kann der Telekom-Kunde im tiefsten Bayern oder an der polnischen Grenze plötzlich in Bonn lokalisiert werden. Nicht ungewöhnlich, ich hatte meine Tests da auch schon gemacht.


    Ich habe einen bestimmten Artikel gesucht, aber leider nicht mehr gefunden. Es gibt z.B. in den U.S.A. eine Farm, die geografisch die Mitte der USA bildet. Die haben dort einen Herdenauflauf von IP-Geo-Gläubigen, die vermeintlich ihr Handy dort geortet haben, wo Online-Shops betrügerische Besteller aufsuchen, Inkassobüros und Staatsanwaltschaft ebenso fast täglich mit Durchsuchungsbefehlen aufgrund Straftaten erscheinen. Mittlerweile ist dort ständig ein Streifenwagen postiert, weil es halt auch zu Übergriffen kommt, wenn die Besitzer der Farm sich weigern, das dort geortete und geklaute Handy wieder rauszugeben.


    Den hier habe ich aber gefunden, der stellt das Problem im kleinen Rahmen dar: https://winfuture.de/news,106993.html


    EDIT: GEFUNDEN! https://www.zeit.de/digital/in…minalitaet-maxmind-kansas


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Das ist das Problem mit kostenlosen GeoIP Datenbanken,... Wobei kostenpflichtige auch nicht zwingend besser sind. ?

    Und die größeren Dienste/Datenbanken sind sich nicht mal einig, wo man gerade ist. Wobei das einzig zuverlässige ist, dass man nicht dem realen Standort geschweige denn Land zugeordnet wird. Es stimmt nicht mal der Kontinent.

    "Security is like an onion - the more you dig in the more you want to cry"

  • @CmdrXay, jetzt wo du die Geschichte mit der Farm erwähnst, kann ich mich erinnern darüber auch schon mal gelesen zu haben.


    Das Wiki wird zu 90% von festen IP's angesurft, die habe ich nun mit dem Server selbst für die Cronjobs und der IP des VPN vServers gewhitelistet. Grundsätzlich werde ich dann mit der Ungenauigkeit leben können/müssen. Wobei ich auch überlege ob ich eine kostenpflichtige Datenbank nehme. Auf ein paar Euro kommt es nicht an, falls die besser sein sollten, was ich mal recherschieren muss.


    Vielen Dank für die guten Antworten, die haben mir geholfen!

    Die Zeit ist wie eine verspielte Katze.

    Sie umschmeichelt einen
    und schlabbert den Tag auf wie eine Schale Milch.

    (Henry Ford)

  • Ich habe auf meinem Server die GeoIP Mod installiert und für manche Seiten, z.B. ein internes Wiki, alle Zugriffe außerhalb von DE blockiert.

    hm, Verständnisproblem: wenn internes Wiki (ich unterstelle überschaubare Nutzerzahl), warum blockieren mit partiell disfunkionalem geoIP ? Warum nicht freigeben via VPN ?

    Gruss

  • weil es in meinem Nutzungsszenario unpraktisch/einschränkend wäre ausschließlich über VPN darauf zuzugreifen. Die Daten in dem Wiki sind auch nicht als Sicherheitskritisch einzustufen, aber sollten auch nicht öffentlich sein und nur für Kunden einsehbar sein. Daher ist die aktuelle Lösung mit GeoIP und whitelisting von statischen IP's ausreichend.


    Vermutlich kann ich sogar ganz auf GeoIP verzichten und nutze nur noch whitelisting von statischen IP's, d.h. ich blockiere alle die nicht in der whiteliste stehen, da die Kunden eigentlich immer feste IP's haben. Unterwegs könnte ich mich dann per VPN in eins der Netze verbinden die in der whiteliste stehen.




    Die Zeit ist wie eine verspielte Katze.

    Sie umschmeichelt einen
    und schlabbert den Tag auf wie eine Schale Milch.

    (Henry Ford)

  • weil es in meinem Nutzungsszenario unpraktisch/einschränkend wäre ausschließlich über VPN darauf zuzugreifen. Die Daten in dem Wiki sind auch nicht als Sicherheitskritisch einzustufen, aber sollten auch nicht öffentlich sein und nur für Kunden einsehbar sein. Daher ist die aktuelle Lösung mit GeoIP und whitelisting von statischen IP's ausreichend.


    Vermutlich kann ich sogar ganz auf GeoIP verzichten und nutze nur noch whitelisting von statischen IP's, d.h. ich blockiere alle die nicht in der whiteliste stehen, da die Kunden eigentlich immer feste IP's haben. Unterwegs könnte ich mich dann per VPN in eins der Netze verbinden die in der whiteliste stehen.




    Was spricht gegen ne profane htaccess? Oder nen Login?

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Ich finde GeoIP klasse. So kann ich aus dem Büro entweder als UK, US oder DE User raus. Es hat auch Vorteile, wenn die Netze angeblich verschiedene "Orte" haben.

    Das hat aber mit GeoIP nix zu tun, ... GeoIP ist ja nur ein Modul welches auf Grundlage von zweifelhaften Datenbanken die Lokalisation angibt, ...


    Um den Standort zu verschleiern eignet sich wohl ein VPN im jeweiligen Land um einiges besser.

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Das hat aber mit GeoIP nix zu tun, ... GeoIP ist ja nur ein Modul welches auf Grundlage von zweifelhaften Datenbanken die Lokalisation angibt, ...


    Um den Standort zu verschleiern eignet sich wohl ein VPN im jeweiligen Land um einiges besser.

    Ok, ich habe mich falsch ausgedrückt :) Ich finde es schön, dass die Anbieter oft nur schauen, woher die IP angeblich kommen würde (z.B. Ripe DB).

    Ein paar unserer Class C Netze ist bei einer Unit in USA, ein Teil in UK und 2 oder so direkt bei uns. Dazu dann noch die POPs vom Firmennetz (eigenes Class A, falls man nicht über die ungefilterten Proxys gehen braucht) die weltweit verteilt sind :D
    Wenn wir Standorte verschleiern wollen nehmen wir einfach einen der weltweiten Server.