Kabelmodem (Bridge) und 2 PCs - so einfach wie möglich

[PlumBlutt]

Mir fehlt die Erfahrung mit dem Bridge mode bei Kabel D - bin zuletzt anno 2009-2011 Kabelkunde gewesen. Aber jetzt mit dem Wegfall des Routerzwangs könnte's mal wieder interessant werden.

Sind die hier im Forum (2013) erwähnten Beschränkungen noch aktuell?
- nur 1 LAN-Port aktiv, alle anderen automatisch inaktiv (oder nur kein DHCP ? Damit könnte man den zweiten Port wenigstens zur lokalen Config/Troubleshooting des Kabelrouters nutzen...)
- oder ist eigentlich gemeint: nur eine (1) öffentliche IP-Adresse?

Aktuell hängen meine beiden PCs direkt am DSL-Modem (mit unterschiedlichen dynamischen IPs) und teilen sich die Bandbreite. Mhm... ja. DSL-Modems können das.

Mir geht's drum
- die Internet-Verbindung der einzelnen PCs möglichst unkompliziert und unabhängig voneinander herzustellen und zu beenden (mit ipconfig-Batchskripten kann ich leben, aber nicht glücklich)
- möglichst ohne weitere Hardware anzuschaffen.

Am einfachsten wäre wohl, den zweiten PC per Internet Connection Sharing an den ersten zu hängen. Unabhängig ist das nicht.

Wie ginge das eleganter?

Und mit welcher Hardware muss ich rechnen? V/Kabel D schweigt sich auf der "Geräteinfo"-Seite über den Null-Euro-Router aus.
Laut Foto dürfte es sich bei dem Teil ohne WLAN auch um ein HITRON-Gerät handeln.

Seufz, alles (Um)Lernen ist schwer.

[Samchen]

Dass ist ein Symbolbild. Es kann auch ein cbn oder Sagemcom werden.

[Boba Fett]

Mir fehlt die Erfahrung mit dem Bridge mode bei Kabel D - bin zuletzt anno 2009-2011 Kabelkunde gewesen. Aber jetzt mit dem Wegfall des Routerzwangs könnte's mal wieder interessant werden.

Wenn du den Kabelrouter in den Bridgemode setzen willst, dann hättest du nicht auf den Wegfall des "Routerzwangs" warten müssen, den Bridgemode gibts nämlich schon viel länger (afaik schon, seit KDG überhaupt direkt Router verteilt, statt Router + separatem Modem), und einen eigenen Router hinter der Bridge konnte man dann schon immer betreiben.
Deswegen ist auch das Wort "Routerzwang" eigentlich falsch (zumindest, wenn es einen Bridgemode gibt). Die wesentliche Änderung ist eigentlich der Wegfall des Modemzwangs.

- nur 1 LAN-Port aktiv, alle anderen automatisch inaktiv (oder nur kein DHCP ? Damit könnte man den zweiten Port wenigstens zur lokalen Config/Troubleshooting des Kabelrouters nutzen...)

Ja, eine Bridge/Modem hat nur einen Port. Das ist technisch schon immer so und wird sich auch nicht ändern. Sonst wäre es ja eben kein Modem/Bridge mehr, sondern entweder ein Router oder ein Switch.

- oder ist eigentlich gemeint: nur eine (1) öffentliche IP-Adresse?

Du kriegst bei KDG afaik in den normalen Tarifen nur EINE IP-Adresse. Im Bridgemode kriegst du derzeit noch eine echte IPv4 und kein IPv6. Ohne Bridge kriegst du normalerweise eine echte IPv6 und eine IPv4 durch DSLite.

Aktuell hängen meine beiden PCs direkt am DSL-Modem (mit unterschiedlichen dynamischen IPs) und teilen sich die Bandbreite. Mhm... ja. DSL-Modems können das.

Ich vermute, du kennst den Unterschied zwischen Router und Modem nicht, kann das sein? Ich würde mal schwer drauf tippen, dass deine beiden PCs nicht an einem DSL-Modem hängen, sondern an einem Router (mit integriertem DSL-Modem). Mir sind auch keine normalen Privatkundenverträge bei der T-Com bekannt, wo man mehrere IPv4-Adressen kriegen würde. Und desweiteren hat das nichts mit DSL oder Kabel zu tun, sondern hängt einzig und allein vom Anbieter ab.

Und mit welcher Hardware muss ich rechnen? V/Kabel D schweigt sich auf der "Geräteinfo"-Seite über den Null-Euro-Router aus.
Laut Foto dürfte es sich bei dem Teil ohne WLAN auch um ein HITRON-Gerät handeln.

Aktuell kriegt man afaik entweder einen Hitron oder einen CBN Router. Welchen man kriegt ist eigentlich egal. Bridgemode können die alle, und wenn man den Bridgemode verwendet, ist es eigentlich sogar noch "egalerer" (;)). Als Router funktionieren die Dinger problemlos, wenn man keine Spezialanforderungen hat, VPN im Router oder solche Sachen. Sofern man WLAN will und dementsprechend die WLAN-Option dazubucht, sind die Geräte eigentlich alle nicht gerade für hervorragende WLAN-Leistung bekannt, es funktioniert zwar auch, aber andere WLAN-APs können das besser (höhere Reichweite, stärkeres Signal, viel mehr Clients, höhere Bandbreite, ...).

Seufz, alles (Um)Lernen ist schwer.

Eigentlich ist da gar nichts schwer. Du machst es aktiv nur selber völlig kompliziert.
Du kriegst einen vollwertigen Router (mit oder ohne WLAN, WLAN haben sie immer, ist aber deaktiviert, wenn du die Option nicht dazu buchst). Damit kannst du 2 oder 500 PCs parallel mit Internet versorgen. Die Bandbreite teilen die sich natürlich immer. Es hat aber nicht jeder PC eine eigene öffentliche IP-Adresse, sondern jeder PC kriegt in deinem Heimnetzwerk eine INTERNE IP-Adresse und der Router "übersetzt" die eine öffentliche IP-Adresse auf deine diversen internen Geräte mit ihren jeweiligen internen Adressen. Das nennt sich NAT (Network Adress Translation).
Wenn du den Router in den Bridgemode setzt und damit den Router praktisch zum reinen Modem machst, weil die Routingfunktionalität dann eben abgeschaltet wird, hast du nur deine einzige öffentliche IP-Adresse. Die kannst du dann durchaus direkt an einen PC weitergeben, aber für 2 oder mehr funktioniert das dann nicht mehr.
Willst du hinter deinem Bridged-Router mehrere PCs versorgen, brauchst du dann einen Router. Und zwar einen beliebigen, an der Stelle (alles was hinter dem Modem kommt) hat NICHTS mehr mit deiner Anschlussart zu tun, dort spielt es absolut keine Rolle mehr, ob der Zugang via Kabel, DSL, LTE, Satellit, CB-Funk oder Buschtrommeln umgesetzt ist.
Wenn du keine zwei Geräte (den Kabel-Router im Bridgemode und einen eigenen Router) betreiben willst, kannst du dir jetzt dank Wegfall des "Routerzwangs" auch einen eigenen Router mit integriertem Kabel-Modem kaufen, dann brauchst du den Kabelrouter den du von KDG kriegst, gar nicht mehr. Aktuell gibts da aber afaik nur 2 Fritzboxen die ein Kabelmodem integriert haben. Die Auswahl ist also nicht gerade groß.

Also was ist eigentlich dein Ziel? Was war vorher dein Problem, von dem du denkst, dass es jetzt mit dem Wegfall des Routerzwangs und/oder dem Bridgemode umgangen werden könnte?

Du schreibst im Betreff schon "so einfach wie möglich". Nun, so einfach wie möglich wäre: steck die Box von KDG an deinen Kabelanschluss und dahinter alle deine PCs dran und mach sonst einfach gar nichts. Fertig.

[Abraxxas]

steck die Box von KDG an deinen Kabelanschluss und dahinter alle deine PCs dran und mach sonst einfach gar nichts. Fertig.

Das glaubt dir doch kein Menscht, ist viel zu einfach.

[PlumBlutt]

Danke für die Erklärung... und vergesst das "Router/Bridge"-Sprachgewirr, ich hätte stattdessen "Provider-Blackbox" schreiben sollen.

Die O2-Boxen vergeben mehrere öffentliche IPs wenn man sie als "Bridge" betreibt, sowohl die alte Alice-Box als auch die neuere "Home Box" 6641.

Also was ist eigentlich dein Ziel?

* mehrere dynamische, öffentliche IP(v4)-Adressen, die sich möglicht bei jeder Einwahl ändern. (Geht nicht mit der aktuellen Hardware, wie ihr schreibt.)
* Aufbauen und Trennen der Internet-Verbindung durch die PCs, wie beim guten alten Einwahlnetzwerk

Mir ist klar, dass du Internet hast, sobald du deine Provider-Blackbox als Standard-Gateway konfigurierst.

Der "Bridge-Modus" von Kabel D ist mir neu, oder ich habe ihn wegen Irrelevanz vergessen. Damals habe ich mir über ein VPN eine dynamische IP besorgt.

Macht es vom Standpunkt der Providerblackbox-Sicherheit (nicht der dranhängenden PCs) aus irgendeinen Unterschied, ob die Blackbox als NAT-Router fungiert oder eben nur als "Bridge"? Zugegebenermaßen verwende ich die obige Konfiguration aus Bequemlichkeit und der vagen Illusion(?), damit meine Blackbox leicht sicherer zu machen. Aber ich nehme an, das Ding hat immer eine aus dem Internet erreichbare IP-Adresse (und - mit den passenden Credentials - offene Ports), ob nun Clients dranhängen oder nicht.

Da der VoIP-Teil der Box (und der DHCP-Server) eigentlich nur aus der Provider-DMZ erreichbar sein sollte, würde es sicherheitstechnisch Sinn machen, der Box dazu eine eigene IP-Adresse zu reservieren - aber welcher Provider legt darauf Wert? Eventuell gibt's da Unterschiede zwischen DSL- und DOCSIS-Boxen. Wieviele IP-Adressen hat so eine Box (und wie findet man das raus?)?
Habt ihr mal einen Portscan oder Traceroute aus dem Internet auf eure DOCSIS-Box im Bridge-Modus gemacht?

[reneromann]

Danke für die Erklärung... und vergesst das "Router/Bridge"-Sprachgewirr, ich hätte stattdessen "Provider-Blackbox" schreiben sollen.

Die O2-Boxen vergeben mehrere öffentliche IPs wenn man sie als "Bridge" betreibt, sowohl die alte Alice-Box als auch die neuere "Home Box" 6641.

Du meinst also: Die o2-Box baut KEINE PPPoE-Verbindung auf, sondern du baust zwei (ggfs. gleichzeitige) PPPoE-Verbindungen über die Rechner auf....
Oder erhältst du an deinen Rechnern IPs der Form 192.168.x.x // 10.x.x.x ??

Also was ist eigentlich dein Ziel?

* mehrere dynamische, öffentliche IP(v4)-Adressen, die sich möglicht bei jeder Einwahl ändern. (Geht nicht mit der aktuellen Hardware, wie ihr schreibt.)
* Aufbauen und Trennen der Internet-Verbindung durch die PCs, wie beim guten alten Einwahlnetzwerk

Geht beides nicht.
In Privatkundentarifen hast du GAR KEINEN Anspruch auf eine öffentliche IPv4 mehr - die werden laut AGB alleine per IPv6 und DS-Lite (also IPv4 via CGNAT) bereitgestellt.
Weiterhin: Wenn du überhaupt eine IPv4 erhältst, dann nur GENAU EINE. Nicht mehr!

Und: Die Internetverbindung wird nicht mehr "wie beim guten alten Einwahlnetzwerk" auf- oder abgebaut.
Die Internetverbindung steht, sobald das Endgerät am Kabelanschluss sich mit dem Kabelanschluss verbunden hat - und zwar unabhängig von etwaigen Geräten dahinter. Und du hast auch keine Chance, diese Verbindung von den Geräten dahinter auf- oder abzubauen! Denn die Internetverbindung wird NICHT über irgendwelche Protokolle wie PPPoE durch das Kabelnetz getunnelt, sondern das Kabelnetz kapselt die Ethernet-Pakete DIREKT und dein Endgerät/Modem gibt am WAN-Ausgang (oder LAN1 im Bridge-Modus) genau die Ethernet-Pakete, wie sie aus dem Internet kommen, raus.

Mir ist klar, dass du Internet hast, sobald du deine Provider-Blackbox als Standard-Gateway konfigurierst.

Und genau damit solltest du dich auch anfreunden, wenn du dir einen Kabelanschluss zulegst.
Zumal ich nicht verstehe, wozu du wirklich zwei getrennte öffentliche IP-Adressen benötigst und was nicht mittels NAT und einem Router davor nicht funktionieren sollte.

Der "Bridge-Modus" von Kabel D ist mir neu, oder ich habe ihn wegen Irrelevanz vergessen. Damals habe ich mir über ein VPN eine dynamische IP besorgt.

Macht es vom Standpunkt der Providerblackbox-Sicherheit (nicht der dranhängenden PCs) aus irgendeinen Unterschied, ob die Blackbox als NAT-Router fungiert oder eben nur als "Bridge"? Zugegebenermaßen verwende ich die obige Konfiguration aus Bequemlichkeit und der vagen Illusion(?), damit meine Blackbox leicht sicherer zu machen. Aber ich nehme an, das Ding hat immer eine aus dem Internet erreichbare IP-Adresse (und - mit den passenden Credentials - offene Ports), ob nun Clients dranhängen oder nicht.

Sicherheitstechnisch hat die Box im Bridge-Modus keine eigene öffentliche IP, sie ist jedoch über das Konfigurationsnetzwerk seitens VFKDG separat erreichbar.
Und im NAT-Modus sind erst einmal von außen alle Ports dicht - und da ist auch nichts "mit passenden Credentials" Ports zu öffnen -- Ausnahme halt das Konfig-Netzwerk, welches aber nicht über die öffentliche Internetverbindung geht). Wenn du natürlich die UI frei nach außen gibst, dann kommt auch jeder, der die passenden Credentials hat, auf die UI und kann Ports öffnen, egal ob Clients dranhängen oder nicht...

Da der VoIP-Teil der Box (und der DHCP-Server) eigentlich nur aus der Provider-DMZ erreichbar sein sollte, würde es sicherheitstechnisch Sinn machen, der Box dazu eine eigene IP-Adresse zu reservieren - aber welcher Provider legt darauf Wert? Eventuell gibt's da Unterschiede zwischen DSL- und DOCSIS-Boxen. Wieviele IP-Adressen hat so eine Box (und wie findet man das raus?)?
Habt ihr mal einen Portscan oder Traceroute aus dem Internet auf eure DOCSIS-Box im Bridge-Modus gemacht?

Was ein "traceroute" aus dem Internet zum Ermitteln der IP-Adressen bringen soll, kannst du wahrscheinlich niemandem erklären.
Und auch mit einem Portscan findest du nicht heraus, welche Ports & Interfaces das Gerät wirklich geöffnet hat.

Nur so:
Es sind mindestens 2 getrennte Interfaces - eines für die DOCSIS-Kontrollverbindung [für Provisionierung/Gerätediagnose und VoC-Telefonie] und ein zweites für den Internettraffic.
Ersteres Interface ist aus dem Internet nicht erreichbar und wird auch nicht ins Internet geroutet - was da offen oder geschlossen ist, kann dir also völlig egal sein. Dieses Interface ist im Modem terminiert und geht NICHT an den WAN/LAN-Anschluss raus, da kommst du also vom Rechner (aber auch vom Internet) gar nicht ran.
Zweiteres Interface ist dasjenige, was entweder als WAN-Eingang für den Router-Part dient (der getrennt vom eigentlichen Modem arbeitet - deshalb hat z.B. die Fritz 6490 auch zwei getrennte SoCs - einen für das "blanke" DOCSIS-Modem und einen für den Router-Part) oder halt im Bridge-Modus an LAN1 rausgeht.
Die Provider-Fritzboxen (und nur diese) bauen vom Router-Part über die WAN-Verbindung intern noch eine dritte (VPN-)Verbindung zu VFKDG auf, über die die SIP-Telefonie der Boxen abgewickelt wird - aber auch diese Verbindung ist von außen nicht erreichbar.

[Boba Fett]

* mehrere dynamische, öffentliche IP(v4)-Adressen, die sich möglicht bei jeder Einwahl ändern. (Geht nicht mit der aktuellen Hardware, wie ihr schreibt.)

Bei V kriegst du nur eine IP-Adresse, und wenn das auch noch eine v4 sein soll, muss man schon "tricksen". Die Adresse ändert sich auch nicht bei jeder Einwahl oder nach 24 Stunden. Die Adresse wird wie im eigenen LAN per DHCP vergeben. Wird der Lease rechtzeitig verlängert, bleibt dir deine IP erhalten. Die Leasetime liegt meiner Erfahrung nach bei um die 24h Stunden.
ZU diversen Fritzboxen habe ich hier schon gelesen, dass man seinen DHCP-Release aktiv abgeben kann. Damit kriegt auf Knopfdruck jederzeit eine neue Adresse. Dürfte auch mit OpenWRT-Routern gehen, habe ich aber nicht getestet (weil ich persönlich genau das gegenteil will, nämlich eine IP-Adresse die sich eigentlich nie ändert).

Rein interessehalber die Frage: Wozu braucht man das? Damit man bei diversen Sharehostern die Sperre mit dem Free-Account umgehen kann?

* Aufbauen und Trennen der Internet-Verbindung durch die PCs, wie beim guten alten Einwahlnetzwerk

Soweit ich weiß, kann man die Verbindung nicht softwaretechnisch trennen. Im Webinterface meines Routers im Bridgemode habe ich jedenfalls keine Option dafür gefunden. Weder "geh offline" noch "Neuverbinden".
Macht aber doch irgendwie auch keinen Sinn. Wenn ich mein Netzwerk vom Internet trennen will, kann ich das über den Router machen. Das das Modem dabei online bleibt, stört doch keinen. Wenn ich 2 Wochen im Urlaub bin, steck ich das Ding halt einfach aus.
Viel einfachere Lösung: Häng die Bridge (und vielleicht sogar auch noch deinen Router) an eine Mehrfachsteckdosenleiste mit Schalter. Wenn du offline sein willst, schalte die Steckdosenleiste einfach aus.

Macht es vom Standpunkt der Providerblackbox-Sicherheit (nicht der dranhängenden PCs) aus irgendeinen Unterschied, ob die Blackbox als NAT-Router fungiert oder eben nur als "Bridge"?

Da ein Modem viel weniger Funktionalität hat, als ein Router ist, bietet Modem grundsätzlich immer weniger Angriffsfläche.

Zugegebenermaßen verwende ich die obige Konfiguration aus Bequemlichkeit und der vagen Illusion(?), damit meine Blackbox leicht sicherer zu machen. Aber ich nehme an, das Ding hat immer eine aus dem Internet erreichbare IP-Adresse (und - mit den passenden Credentials - offene Ports), ob nun Clients dranhängen oder nicht.

Ein Modem (oder halt die Bridhe) hat keine (öffentliche) IP-Adresse, auch wenn es verbunden ist. Und es kann auch keine Ports haben, weder offen, noch geschlossen, weil ein Modem nur auf Layer 2 arbeitet. Es funktioniert rein mit seiner MAC-Adresse und die ist nicht öffentlich erreichbar.

Da der VoIP-Teil der Box (und der DHCP-Server) eigentlich nur aus der Provider-DMZ erreichbar sein sollte, würde es sicherheitstechnisch Sinn machen, der Box dazu eine eigene IP-Adresse zu reservieren - aber welcher Provider legt darauf Wert?

Eine eigene IP-Adresse für die Box... von was?
Und bei VF gibts in den Standardtarifen kein VoiP, sondern VoC, daran kannst du selber praktisch so gut wie gar nichts machen. VoiP kriegt man nur mit der Homeboxoption (afaik) oder wenn man einen eigenen Kabelrouter verwendet.

Eventuell gibt's da Unterschiede zwischen DSL- und DOCSIS-Boxen. Wieviele IP-Adressen hat so eine Box (und wie findet man das raus?)?

Es gibt keinen Unterschied, weil IP-Adressen weit oberhalb von DSL oder DOCSIS (Layer1!!) liegen. So eine Box kann mehrere Adressen können, oder halt nicht. Jeder Provider kann einem Kunden nur eine oder mehrer IP-Adressen geben, oder halt nicht. Hat alles nichts mit DOCSIS oder DSL zu tun. Netzwerktechnisch geht das auf jedenfall, ob es auch angeboten wird, ist eine ganz andere Frage.

Habt ihr mal einen Portscan oder Traceroute aus dem Internet auf eure DOCSIS-Box im Bridge-Modus gemacht?

Geht nicht, weil die Bridge keine IP-Adresse hat. Wenn man einen Portscan auf seine öffentliche IP macht, landet man beim Router, nicht bei der Bridge, und was dein Router darauf antwortet oder freigibt, hat nunmal nichts mit dem Modem zu tun.

Du scheinst dir Sicherheitssorgen auf einer (netzwerk)technischen Ebene zu machen, von der du offensichtlich nichtmal die Grundlagen verstanden hast. Das bringt nichts. Und dann solche Sicherheitsbedenken zu haben aber trotzdem noch "möglichst einfach" zu erwarten sehe ich sogar als Widerspruch.

Wenn ein Router/Modem eine Sicherheitslücke hat, kann man idR eh nicht viel dagegen machen, ausser auf ein Softwareupdate zu warten und das einzuspielen. Mit den Providerboxen übernimmt das VF direkt für dich, du musst dich also nicht darum kümmern. Und wann oder ob überhaupt ein Update erscheint, darauf hast du sowieso keinen Einfluss.
Sicherheit ist nie absolut, aber gerade wenn man sich eh nicht auskennt, ist eine Providerblackbox in der Standardkonfiguration sicher genug (und häufig sogar viel sicherer, als wenn jemand ohne Ahnung selbst irgendwas rumstellt).

[PlumBlutt]

Mal grundsätzlich: Natürlich habe ich keine Ahnung von der hinter der Box liegenden Infrastruktur (und jede Menge anderen Dingen), sonst würde ich hier nicht fragen. Danke für die Informationen zur DOCSIS/VoC (nicht VoIP! - sorry, allgemeiner Sprachgebrauch)-Box.

Ja, ich habe Sicherheitsbedenken bezüglich der Box (deren Grundlagen ich nun etwas besser "verstehe").
Ob sie nun bekannte Sicherheitslücken hat oder nicht (wie die Fritzbox mit DNS-Rebinding), die Summe deiner Antworten ergibt, das sie als Bridge weniger IP-Adressen (=Angriffsfläche) hat - gar keine, oder unbekannt viele mehr hoffentlich geschützte, die in die Verantwortung des Providers fallen, mir deswegen aber nicht vollkommen egal sind.

Es ist wie mit dem Politiker, der dachte, das Internet wäre in seiner "Box" im Wohnzimmer. Je mehr Kontrolle ich über die Box und die Entfernung des bösen Internets zu meinen PCs habe, desto lieber ist mir das.

Mein PC ist natürlich unter Umständen viel gefährdeter als die Box, aber das ist mein Territorium. Die Box ist Feindesland, oder zumindest unbekanntes Terrain. Und wenn sie immer online ist, kann sie immer gehackt werden. Deshalb - weg mit dem Internet, wenn es nicht gebraucht wird. Eine dynamische IP hilft gleichzeitig bei der Privatsphäre, wenn auch nur begrenzt. Browser-Fingerprinting kannst du nicht wirklich verhindern.

Fallls mich ein Moderator liest: Bitte ändert den Namen des Threads auf:
Kabelmodem (Bridge) und 2 PCs - mit öffentlicher, dynamischer IP(v4)

In Privatkundentarifen hast du GAR KEINEN Anspruch auf eine öffentliche IPv4 mehr - die werden laut AGB alleine per IPv6 und DS-Lite (also IPv4 via CGNAT) bereitgestellt.

Da kann ich O2 ja für die Großzügigkeit dankbar sein. Laut Wikipedia bekommst du auch per DS-Lite keine öffentliche IPv4-Adresse.

Deshalb...

Hier hat sich jemand (im Juli 2016) von Kabel D eine dynamische IPv4-Verbindung "aufschalten" lassen:

Ich hab mir aber eine IPv4 Verbindung aufschalten lassen, und kann seitdem durch eine kurze Trennung eine neue IP erhalten. Geht blitzschnell in wenigen Sekunden per Script.
Auch ist damit wieder die Erreichbarkeit meines Heimnetzes aus dem Internet wieder möglich, was bei der Standardverbindung von Kabel Vodafone nicht mehr geht. Die benutzen nämlich sonst irgendeine virtuelle IPv6-Bündelung, die das verhindert.

Leider verrät er nichts genaues über dieses "Aufschalten", weiß da jemand mehr? Wie heißt die Option in Kabel D-Speak?

Könnte das der CGNAT sein? Stellt der CGNAT nun eine öffentliche, dynamische IP-Adresse bereit, oder funktioniert er wie ein Proxy-Server?

Bei V kriegst du nur eine IP-Adresse, und wenn das auch noch eine v4 sein soll, muss man schon "tricksen".

Wie trickst du?

ZU diversen Fritzboxen habe ich hier schon gelesen, dass man seinen DHCP-Release aktiv abgeben kann. Damit kriegt auf Knopfdruck jederzeit eine neue Adresse. Dürfte auch mit OpenWRT-Routern gehen.

Und mit einem PC an der Box im Bridge-Modus?

Ich hatte mir vorgestellt:
- am PC per DHCP eine Adresse anfordern
- ipconfig /release
- ipconfig /renew = neue Adresse?

Oder akzeptiert mich der DHCP-Server nicht als Client?

[Abraxxas]

Und mit einem PC an der Box im Bridge-Modus?

Du schreibst erst lang und breit über Sicherheit und kommst dann mit sowas? Das ist die absolut unsicherste Variante.
Und ob nun der Provider Modem/Router eine IP Adresse bekommt oder dein Router hinter der Box im Bridgemode oder ob sich diese Adresse täglich oder monatlich ändert hat mit Sicherheit nicht das geringste zu tun.

[Boba Fett]

Mal grundsätzlich: Natürlich habe ich keine Ahnung von der hinter der Box liegenden Infrastruktur (und jede Menge anderen Dingen), sonst würde ich hier nicht fragen.

Offensichtlich hast du nicht nur keine Ahnung von hinter der Box, sondern auch nicht davon, was davor passiert.
Mit anderen Worten, und dass ist absolut nicht beleidigend gemeint, du hast überhaupt keine Ahnung.

Ob sie nun bekannte Sicherheitslücken hat oder nicht (wie die Fritzbox mit DNS-Rebinding), die Summe deiner Antworten ergibt, das sie als Bridge weniger IP-Adressen (=Angriffsfläche) hat - gar keine, oder unbekannt viele mehr hoffentlich geschützte, die in die Verantwortung des Providers fallen, mir deswegen aber nicht vollkommen egal sind.

Du machst dir sorgen über etwas, das du offensichtlich sowieso nicht verstehst. Damit gibt es sowieso nur noch zwei Möglichkeiten:
1) du glaubst einfach was dir andere Leute sagen, am besten unabghängige, wie hier im Forum
2) Du bringst dir die technischen Grundlagen bei und verstehst damit selbst, was wo wie ein Problem sein könnte. Dazu gibt es haufenweise Anleitungen im Internet und das Forum hier ist kein Grundkurs in Netzwerktechnik. Wenn du irgendwas spezielles nicht verstehst, kannst du hier gerne nach Details fragen, aber hier einen Grundkurs über Netzwerktechnik zu erwarten, wäre doch etwas zu weit gefasst.

Es ist wie mit dem Politiker, der dachte, das Internet wäre in seiner "Box" im Wohnzimmer. Je mehr Kontrolle ich über die Box und die Entfernung des bösen Internets zu meinen PCs habe, desto lieber ist mir das.

Ja, das mit dem Politiker ist sehr gut getroffen. Keine Ahnung haben, aber mal Paranoia schieben. Und wenn man dem Politker dann auch noch Kontrolle gibt, wird es noch schlimmer, weil er dann nach Pseudowissen irgenwas rumstellt, wovon er keine Ahnung hat und dadurch alles nur noch schlimmer macht.

Mein PC ist natürlich unter Umständen viel gefährdeter als die Box, aber das ist mein Territorium. Die Box ist Feindesland, oder zumindest unbekanntes Terrain. Und wenn sie immer online ist, kann sie immer gehackt werden. Deshalb - weg mit dem Internet, wenn es nicht gebraucht wird. Eine dynamische IP hilft gleichzeitig bei der Privatsphäre, wenn auch nur begrenzt. Browser-Fingerprinting kannst du nicht wirklich verhindern.

Moderne Trackingmethoden interessieren sich schon lange nicht mehr für IPs ansich, dafür gibts Cookies bis hin zu Rootkits. Das ist also pure Pranoia auf einem Gebiet, wo du ohnehin nichts ausrichten kannst. Eine wechselnde IP bringt dir da gar nichts. Und wenn du selbst keine Services hostest, bist du für potentielle Angreifer ohnehin uninteressant. NAT hinter einem Router schützt vor den meisten Sachen schon, auch wenn es natürlich kein absoluter Schutz ist. Wenn du dagegen an jedem Rechner eine öffentliche IP hättest (was ich nicht glaube, das du hast), dann setzt du dich nur noch einem viel höherem Risiko aus, denn dann musst du jeden Rechner für sich explizit schützen.
Und sofern nur dein Modem online ist, also alle Rechner abgeschaltet, kann dir sowieso nichts passieren.

Da kann ich O2 ja für die Großzügigkeit dankbar sein. Laut Wikipedia bekommst du auch per DS-Lite keine öffentliche IPv4-Adresse.

Ganz im Gegenteil. Wie dich ein lokales NAT vor diversen Angriffen schützt (auch wenn NAT niemals dafür vorgesehen war), schützt dich natürlich auch CGNAT davor, was du mit DSLite zwangeläufig hast. Es beschränkt dich nur in den Möglichkeiten, die du mit lokalem NAT (also eigenem Router, nicht Modem!) hättest.

Ich hab mir aber eine IPv4 Verbindung aufschalten lassen, und kann seitdem durch eine kurze Trennung eine neue IP erhalten. Geht blitzschnell in wenigen Sekunden per Script.
Auch ist damit wieder die Erreichbarkeit meines Heimnetzes aus dem Internet wieder möglich, was bei der Standardverbindung von Kabel Vodafone nicht mehr geht. Die benutzen nämlich sonst irgendeine virtuelle IPv6-Bündelung, die das verhindert.

Jap, und genau da sind wir wieder beim Thema, du hast absolut keine Ahnung, wie Netzwerk funktioniert. Diese "virtuelle Verbindung" nennt sich DSLite.
Wenn du mit DSLite kein Problem hast, dann steck den VF-Router an und werde einfach glücklich. Dein lokales Netzwerk muss damit ja anscheinend nicht von aussen erreichbar sein. Trotzdem ist das nur NAT, auch wenn das Carrier Grade ist.

Leider verrät er nichts genaues über dieses "Aufschalten", weiß da jemand mehr? Wie heißt die Option in Kabel D-Speak?

Es gibt keine genaue Option. Wie man immer mehr sieht, hast du absolut keine Ahnung von Netzwerken, sorgst dich aber über höchste Sicherheit, was wohl nur auf Esotherik beruht, weil du eben die grundlegenden Techniken absolut nicht verstanden hast. Ich könnte dir hier zig Seiten Erklärung schreiben, was da wie funktioniert udn es würde absolut nichts bringen. Das gleiche kannst du in diversen Tutorials nachlesen und selbst auf Wikipedia. Es bringt einfach nichts, wenn du dich nicht dafür interessierst und nicht verstehen willst.

Wie trickst du?

Aufgrund deiner Argumentation verstehe ich nichtmal, was das für eine Rolle spielt. BRAUCHST du denn wirklich eine echte IPv4ß Und wenn ja, für was?
Kurz gesagt, im nomralen Tarif kriegst du nur eine IPv6 und die Anbindung über IPv4 wir "nur" über DSLite umgesetzt. Solange man nur im Inet surft, E-Mails abruft, etc. ist das überhaupt kein Problem. Das Problem entsteht erst, wenn man eigene Dienste hostet. Eigene Dienste sind z.B. wenn du vom Internet aus auf dein NAS zugreifen willst, Remotedesktop aus dem Internet, OwnCloud, eigene Spielserver hosten etc. Willst/brauchst du das alles nicht, dann sollte dich DSLite nicht im geringsten behindern.
Mir klingt das alles eher so wie "Mein Auto hat nur 60PS und ich brauche nur 60PS, was wäre, wenn mein Auto 500PS hätte"? Es ist völlig irrelevant, weil dein Fiat Panda wird nie 500PS haben und du wirst das auch nie brauchen.

Ich hatte mir vorgestellt:
- am PC per DHCP eine Adresse anfordern
- ipconfig /release
- ipconfig /renew = neue Adresse?

Wenn nur ein PC an der Bridge hängt und damit direkt die eine öffentliche IP hat, dann sollte "ipconfig /renew" genau das tun. Getestet habe ich das aber nicht.

Ich verstehe nachwievor aber nicht, was dein eigentliches Problem oder Bedenken ist und aus dem was du geschrieben hast unterstelle ich pauschal simpel Paranoia. Durchaus vergleichbar mit "ich habe einem Aids-Krankem die Hand geschüttelt, könnte ich mich angesteckt haben?".