RFC 1918 · · Best Current Practice

Private IP-Adressen, erklärt als wärst du neu hier.

Der offizielle Titel lautet "Address Allocation for Private Internets." Worüber der RFC wirklich entscheidet: welche IP-Adressen dir und deinem Heimnetz gehören und welche dem öffentlichen Internet.

Status
✓ Weiterhin gültig
Auch bekannt als
BCP 5
Ersetzt
RFC 1597
Aktualisiert durch
RFC 6761

Kurzfassung

RFC 1918 reserviert drei Blöcke von IPv4-Adressen für den privaten Gebrauch: 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16. Jeder darf sie im eigenen Netz benutzen, ohne jemanden zu fragen. Im Gegenzug weigert sich das öffentliche Internet, sie zu routen. Genau deshalb können Millionen Haushalte gleichzeitig 192.168.178.1 sein, ohne dass es Chaos gibt.

Welches Problem er löst

Anfang der 1990er hatte das Internet ein beängstigendes Rechenproblem: IPv4 hat nur etwa 4,3 Milliarden Adressen, und die wurden schnell verteilt. Gleichzeitig sprachen die meisten Maschinen in Firmennetzen nie mit der Außenwelt. Einem Lagerdrucker eine weltweit eindeutige Internet-Adresse zu geben war, als bekäme jeder Stuhl im Büro seine eigene Postanschrift.

Der Deal von RFC 1918: wenn ein Gerät nicht aus dem Internet erreichbar sein muss, soll es keine öffentliche Adresse verbrauchen. Stattdessen nimmt es eine aus einem gemeinsamen Topf, den jeder wiederverwenden darf.

Der Tausch ist elegant. Du bekommst Millionen Adressen gratis, für immer, ohne Registrierung. Das Internet darf so tun, als gäbe es deine Geräte nicht. Beide Seiten sind zufrieden, und IPv4 lebte grob zwei Jahrzehnte länger, als es das verdient hätte.

Die Analogie mit dem Mehrfamilienhaus

Stell dir das Internet als Stadt vor und dein Heimnetz als Mehrfamilienhaus. Das Haus hat eine Straßenadresse: das ist deine öffentliche IP, die dein Provider deinem Router gibt. Drinnen sind die Wohnungen mit 1, 2, 3 … nummeriert, das sind die privaten IPs von Laptop, Handy und Fernseher.

Jedes Haus in der Stadt darf eine Wohnung 4B haben. Kein Konflikt, denn Post von außen geht immer nur an die Straßenadresse. Der Portier (dein Router, der NAT macht) findet heraus, für welche Wohnung sie ist. RFC 1918 ist einfach die Regel, die sagt, welche Nummern Wohnungsnummern sind, damit niemand sie versehentlich auf ausgehende Umschläge druckt.

Eine Sache trifft die Analogie ganz genau: eine Wohnungsnummer ist für jemanden in einer anderen Stadt nutzlos. Eine private IP bedeutet außerhalb ihres eigenen Netzes nichts. Wenn eine Webseite dich “sieht”, sieht sie die Straßenadresse deines Hauses, nie deine Wohnungsnummer.

Die drei privaten Bereiche

Drei Blöcke, drei Größen. Welchen du triffst, hängt davon ab, wo du bist:

  • 10.0.0.0/816.777.216 Adressen

    Der große Bereich. Ungefähr eine Adresse für jedes Handy in Australien. Du triffst ihn in Firmennetzen, VPNs, Rechenzentren und Kubernetes-Clustern. Von 10.0.0.0 bis 10.255.255.255.

  • 172.16.0.0/121.048.576 Adressen

    Das vergessene mittlere Kind. Docker nutzt ihn klammheimlich für Container-Netze, deshalb kommt Entwicklern 172.17.0.2 bekannt vor. Von 172.16.0.0 bis 172.31.255.255, und ja, nur 172.16 bis 172.31: das ist die /12-Falle in Prüfungen.

  • 192.168.0.0/1665.536 Adressen

    Der berühmte Bereich. Die Werkseinstellung fast jedes Heimrouters der Welt. Wenn du je 192.168.178.1 in den Browser getippt hast, um an die Oberfläche deiner FRITZ!Box zu kommen, hast du RFC 1918 benutzt, ohne es zu wissen. Von 192.168.0.0 bis 192.168.255.255.

Balkenlänge ≈ Anteil an allen privaten Adressen (unter 1% nicht maßstabsgetreu: der berühmte Bereich ist winzig).

Wie das bei dir zu Hause aussieht

Private Adressen drinnen, eine öffentliche draußen. Dein Router übersetzt zwischen beiden Welten. Dieser Trick heißt NAT und steht in RFC 2663, nicht hier.

Privates Terrain · RFC 1918💻 Laptop192.168.178.23📱 Handy192.168.178.42📺 Fernseher192.168.178.77FRITZ!Box (NAT)in: 192.168.178.1out: 203.0.113.7eine öffentliche IPInternetnur öffentliche Adressen
Der Laptop deines Nachbarn kann auch 192.168.178.23 sein. Keiner von euch wird es je bemerken.

Was der RFC wirklich sagt

Das Original ist neun Seiten lang und überraschend lesbar. Hier die Landkarte, falls du vorbeischauen willst:

AbschnittIn einfachen Worten
1–2 · Einleitung & MotivationDie Adressen werden knapp, die meisten Hosts brauchen keine öffentlichen. Hören wir auf, sie zu verschwenden.
3 · Private Address SpaceDas Herzstück: die drei Blöcke, in genau vier Sätzen. Alles andere ist Kommentar.
4 · Pro und ContraEhrliche Warnung: späteres Umnummerieren tut weh, und das Zusammenlegen zweier Firmen, die beide 10.x nutzen, tut noch mehr weh.
5 · BetriebsregelnDie Durchsetzungsklausel: Router dürfen diese Adressen nicht nach außen lassen, DNS darf sie Außenstehenden nicht ausliefern.
6 · SicherheitEin Absatz, sinngemäß: "das ist kein Sicherheitsfeature." Bis heute wird das gern ignoriert (siehe unten).

Ausprobieren: Ist diese IP privat?

Gib eine beliebige IPv4-Adresse ein. Wir sagen dir, ob RFC 1918 sie beansprucht und in welchen Bereich sie fällt.

Warte auf eine Adresse ...

Was Leute falsch verstehen

  • "Privat heißt sicher."

    Nein. RFC 1918 sagt das selbst, in seinem eigenen Sicherheitsabschnitt. Eine private Adresse macht dich von außen nicht adressierbar, das ist aber nicht dasselbe wie geschützt: ein Klick auf eine Phishing-Mail und der Angreifer sitzt in deinem Gebäude, wo jede Wohnungsnummer wunderbar funktioniert. Verborgen zu sein ist ein Nebeneffekt, keine Verteidigung. Deine echte Verteidigung ist die Firewall.

  • "RFC 1918 definiert NAT."

    Tut er nicht, NAT wird kein einziges Mal erwähnt. RFC 1918 reserviert nur den Adressraum; der Übersetzungstrick, der private Geräte ins Internet lässt, kam getrennt (RFC 2663 und RFC 3022). Ein berühmtes Paar, aber zwei verschiedene Dokumente, die zwei verschiedene Probleme lösen.

  • "Alles, was mit 172 anfängt, ist privat."

    Nur 172.16.0.0 bis 172.31.255.255. Die Adresse 172.15.0.1 ist eine normale öffentliche Adresse, und 172.32.0.1 ebenso. Das /12 liegt nicht auf einer glatten Grenze, was es zur zuverlässigsten Falle in Netzwerkprüfungen macht.

  • "Webseiten sehen meine 192.168-Adresse."

    Können sie nicht. Bis deine Anfrage das Haus verlässt, hat NAT deine private Adresse längst durch die öffentliche deines Routers ersetzt. Jede "deine IP ist..."-Seite zeigt das Gebäude, nie die Wohnung.

Wo dir diese Adressen begegnen

RFC 1918 ist wahrscheinlich der meistgenutzte Standard, den du nie gelesen hast. Ein Feldführer:

Du siehstDu schaust vermutlich auf
192.168.178.1Eine FRITZ!Box. AVMs Werkseinstellung, ins deutsche Muskelgedächtnis eingebrannt.
192.168.0.1 / 192.168.1.1Die Admin-Oberfläche fast jedes anderen Heimrouters.
172.17.0.2Ein Docker-Container im Standard-Bridge-Netz.
172.31.x.xEine AWS-Default-VPC. Amazon hat sich das allerletzte /16 des mittleren Bereichs geschnappt.
10.x.x.xEin Firmennetz, ein VPN oder das Pod-Netz eines Kubernetes-Clusters.
169.254.x.xNicht RFC 1918! Ein Gerät, das keine Adresse bekommen hat und improvisiert (RFC 3927).

Fragen, die wirklich gestellt werden

Ist 192.168.x.x immer eine private Adresse?+

Ja. Der gesamte Block von 192.168.0.0 bis 192.168.255.255 ist durch RFC 1918 reserviert. Wenn du ihn siehst, schaust du auf jemandes lokales Netz, nie auf eine Maschine im öffentlichen Internet.

Können private IPs im Internet geroutet werden?+

Nein. Internet-Router müssen Pakete mit RFC-1918-Adressen als Quelle oder Ziel verwerfen. Genau das ist der Deal: freie Wiederverwendung drinnen, Unsichtbarkeit draußen. Um ins Internet zu kommen, tauscht ein NAT-Gateway deine private Adresse gegen eine öffentliche.

Was ist der Unterschied zwischen den drei Bereichen?+

Technisch nur die Größe: 16,7 Millionen, 1 Million und 65.536 Adressen. Funktional sind sie identisch. Es haben sich trotzdem Konventionen gebildet: 10.x für große Firmen- und Cloud-Netze, 172.16 bis 172.31 für Docker und mittelgroße Setups, 192.168 fürs Zuhause.

Ist 127.0.0.1 eine RFC-1918-Adresse?+

Nein. 127.0.0.1 ist Loopback ("genau dieser Rechner") und stammt aus RFC 1122. Sie verlässt dein Gerät überhaupt nie, während RFC-1918-Adressen durch dein lokales Netz reisen. Andere Regel, anderer RFC.

Warum ist meine FRITZ!Box 192.168.178.1?+

Weil AVM den Block 192.168.178.0/24 vor Jahrzehnten als Werkseinstellung gewählt hat, bequem innerhalb des 192.168-Blocks von RFC 1918. Andere Hersteller nahmen 192.168.0.1 oder 192.168.1.1. Alle gleich gültig, alle privat, alle in den Einstellungen änderbar.

Gilt RFC 1918 auch für IPv6?+

Nein, nur für IPv4. IPv6 hat seine eigene Variante privater Adressen, die Unique Local Addresses (der Block fd00::/8), definiert in RFC 4193. Die Idee ist dieselbe, die Mechanik unterscheidet sich.

Wie RFC 1918 zusammenhängt