Glasfaser IPv6 kein VPN usw.

[mit-se.net]

AW: Glasfaser IPv6 kein VPN usw.

Ich bevorzuge auch die Variante Bridge und empfehle diese; !!! in den neuen Gebieten wird bei der Telefonie nur noch SIP angeboten - d.h. entweder FritzBox mit Telefoniefunktion oder VoIP-Wandler wie Cisco SPA112, Grandstream o.ä.

 

[Tomy79]

Habe jetzt nen OpenWRT Router direkt hinter dem Bridge vom Genexis geschaltet IPv6 funktioniert wunderbar Raspberry hat auch seine IPv6 bekommen. Jetzt frag ich mich nur wie bekomme ich den Raspberry über IPv6 in der Firewall nach Aussen frei?

 

[Schimmelreiter]

Netzwerk -> Firewall -> Verkehrsregeln

Dort bei "neue Verkehrsregel" erstmal der Regel einen Namen geben, z.B. "Raspberry: oscam" und die Voreinstellungen für lan und wan vertauschen (Warum die verkehrt herum vorgegeben sind weiß der Teufel).
Quelle ist natürlich wan (Also außerhalb) und Ziel das LAN.

Beim Bearbeiten der Regel muß dann eigentlich nur noch die IPv6 des Raspberry und der oder die zu öffnenden Port(s) angegeben werden.

Achtung:
Privacy Extensions auf dem Raspberry sollten AUS sein oder zumindest muß die stabile IPv6 verwendet werden und nicht die, die ständig neu gewürfelt wird um Pseudo-Privatsphäre vorzutäuschen.

 

[martin_1]

Hallo zusammen,

ich stehe vor einem ähnlichen Problem, wie in diesem Thread beschrieben.

Standort 1:
Glasfaser, DS-Lite, Client

Standort 2:
DSL, Server

Zwischen beiden Standorten besteht (bzw. bestand) ein Fritzbox-VPN. Wie kann ich dieses nun wieder aktivieren? Also wie kann ich Standort 1 und 2 wieder per Fritzbox VPN verbinden, damit Standort1 auf den IPv4-Server zugreifen kann? Geht das mit diesen Portweiterleitungen vom feste-ip-Anbieter? Danke für einen kurzen Tipp!

 

[supraracer]

VPN Tunnel von Standort 1 in Richtiung Standort 2 aufbauen sollte doch gehen wenn der normales DSL mit öffentlicher IPv4 hat.

-supraracer

 

[martin_1]

Ja? Ich habe an Standort 1 keine private IP, sondern nur eine öffentliche (via CGN), daher kann ich das VPN ja nicht aufbauen. Oder habe ich da einen Denkfehler?

 

[prangsta]

er sagte VON Standort1 zu Standort2 !
das sollte funktionieren ohne großes tam tam mit den fritzboxen !
mit ipv6 zu ipv4 ist das kein thema

 

[Schimmelreiter]

Standort 1:
Glasfaser, DS-Lite, Client

Standort 2:
DSL, Server

Zwischen beiden Standorten besteht (bzw. bestand) ein Fritzbox-VPN.

Wenn wir von Deutsche Glasfaser reden, werden die Angaben nicht stimmen.

Deutsche Glasfaser verwendet kein DS-lite, sondern CGN plus 6rd.

Auf den ersten Blick läuft das zwar auf das selbe hinaus, aber genau in diesem Fall eben doch nicht ganz:

• DS-lite
  - natives IPv6
  - IPv4 über eine Tunnelanbindung (Nur private IPv4)
• CGN mit 6rd
  - natives IPv4 (Aber trotzdem nur private IPv4)
  - IPv6 über eine Tunnelanbindung

Schöner wäre zwar CGN + natives IPv6, aber was nicht ist, kann ja noch werden.

Auch wenn egal ob DS-lite oder CGN+6rd beim Benutzer nur eine private IPv4 (dafür aber ein öffentliches IPv6-Präfix) ankommt, macht das bezogen auf das AVM-VPN einen gewaltigen Unterschied:
Da die IPv4-Anbindung beim CGN nativ ist, ist die IPv4-MTU diejenige, welche die Fritz!Box berücksichtigt. Die Witz!Büchsen berücksichtigen nämlich immer nur die MTU der nativen Verbindung, bei DS-lite wäre das die IPv6-Verbindung.

Ein CGN-Standort kann dadurch problemlos ein AVM-VPN zu einem anderen Standort mit öffentlicher IPv4 aufbauen, nur umgekehrt geht es nicht mehr.
Mit DS-lite geht das AVM-VPN derzeit nicht mehr, selbst wenn die andere Seite noch eine öffentliche IPv4 hat, weil durch einen Bug in den Fritz!Boxen das VPN die MTU der IPv6-Verbindung verwenden will, obwohl die für IPv4 geringer ist (Tunnel-Overhead).

Wenn es trotz CGN<->public IPv4 nicht geht, dann ggf. mal die VPN-Konfiguration nicht in den Boxen erzeugen, sondern mit dem Fernzugangs-Konfigurator und in der resultierenden Config für die public IPv4-Seite (Hier also DSL), sicherstellen, daß "always_renew" auf "no" steht, damit die Seite mit der öffentlichen IPv4 nicht versucht, eine Verbindung zur Seite mit CGN herzustellen, denn das kann nicht gehen.

Wenn das nicht reicht, kann man in beiden Configs die ID für die CGN-Seite ändern.
Standardmäßig steht dort ja etwas a la

                remoteid {
                        fqdn = "DynDns-Host für die andere Seite";
                }

Da die CGN-Seite schwerlich einen DynDNS-Host für IPv4 sauber einrichten kann, sie hat ja keine öffentliche, kann man das durch eine - ggf. fiktive - eMail ersetzen:

                remoteid {
                        key_id = "foo.bar@invalid";
                }

Auf der Seite mit öffentlicher IPv4 (Hier DSL) ist es die "remoteid", auf der Seite ohne/mit CGN (Hier Glasfaser) ist es die "localid", die jeweils zu ändern ist.

Wenn auch das noch nicht reicht, kann auf der DSL-Seite noch der "remotehostname" rausgelöscht werden:

remotehostname = "";

Spätestens dann sollte es gehen.

 

[martin_1]

Ach, sorry. Ja, es ist Deutsche Glasfaser. Ich teste das, danke dir!

 

[martin_1]

Du meinst also, dass die Config-Anpassungen auf der Box der DSL-Seite geändert werden, nicht umgekehrt?

 

[Schimmelreiter]

Lesen ...
Wenn da oben "beide" steht, wird auf beiden Seiten was geändert, sonst nur auf einer, die ich dann auch angegeben habe.

Gesendet von meinem SM-N910F mit Tapatalk

 

[Schimmelreiter]

Und?
Funzt es?

Gesendet von meinem SM-N910F mit Tapatalk

 

[martin_1]

Ich kann es leider erst am Freitag testen, dann gebe ich dir aber umgehend Rückmeldung! Danke schon jetzt für deine Unterstützung.

 

[martin_1]

So, ich konnte es nun testen. Vielen Dank zunächst noch mal für deine Hilfe. Leider habe ich es jedoch nichts ans Laufen bekommen. Die Config sieht wie folgt aus:

auf der DSL-Seite

Spoiler

enabled = yes;
                conn_type = conntype_lan;
                name = "dyndns-glasfaser";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
               localid {
                        key_id= "test@test.test";
                }
                remoteid {
                       fqdn = "dyndns-glasfaser";
               }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";

auf der Glasfaser-Seite:

Spoiler

                enabled = yes;
                conn_type = conntype_lan;
                name = "dyndns-dsl";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = " dyndns-dsl";
                localid {
                        fqdn = "dyndns-glasfaser";
                }
                remoteid {
                       key_id= "test@test.test";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                       }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.10.0 255.255.255.0";

Ich konnte festhalten, dass in der Grundeinstellung die grüne Lampe bei der VPN-Verbindung in der Fritzbox mal geleuchtet hat (die Verbindung also schneinbar funktioniert?), aber ich konnte auf keine IP des DSL-Netzwerkes zugreifen (umgekehrt auch nicht, aber das dürfte ja generell nicht gehen, oder? Also von DSL auf Gerät im Glasfaser-Netz?). Wenn ich den "remotehostname" raus nehme, leuchtet die grüne Lampe in den VPN-Einstellungen der Fritzbox nicht mehr.

Hast du vielleicht noch einen Tipp? Vielen Dank!

Hat jemand noch eine Idee zum Thema?

Ich bin nicht sicher: Kann es überhaupt funktionieren, wenn ich keine private IPv4-Adresse habe?

 

[Schimmelreiter]

Hat jemand noch eine Idee zum Thema?
Ich bin nicht sicher: Kann es überhaupt funktionieren, wenn ich keine private IPv4-Adresse habe?

Du hast eine private IPv4 ... aber eben keine öffentliche.

Und ja, das kann funktionieren:
Man kann sich ja auch vom Mobilfunk aus zu einem Fritz!Box-VPN verbinden und auch da (also im Mobilfunk) hat man keine öffentliche IPv4.

Es gibt die besagten Fallstricke:
1. Versuchen bei einer LAN-LAN-Kopplung beide Fritz!Boxen, die Verbindung herzustellen (Es sind also beide Seiten Server und Client gleichzeitig, also "Peers")
Da aber die Seite ohne öffentliche IPv4 eben nicht als Server fungieren kann, muß man die Konfiguration so anpassen, daß nur die Seite ohne eigene öffentliche IPv4 die Verbindung aufbaut.
Die Seite mit CGN muß also reiner Client sein und die andere Seite reiner Server.

2. nutzt AVM die DynDNS-Hosts beider Seiten bzw. die IP-Adressen auf die sie sich auflösen lassen als Authentifizierungsbestandteil und da die CGN-Seite ihre (geteilte) öffentliche IPv4 nicht kennt, kann sie auch keinen DynDNS-Host damit pflegen, also muß der DynDNS als Authentifizierungsbestandteil raus.

Wo es wirklich nicht geht ist bei DS-lite, was aber nicht am DS-lite an sich liegt, sondern an einem Fehler im AVM-VPN:
Es vergißt, den AFTR-Tunnel-Overhead bei der Dimensionierung des VPN-Tunnels mit zu berücksichtigen.