DG Business mit DG Giga per IPv4 für VM Backup Software Verbindung herstellen?

lycra

Zitat von alfalfa

Was Rxyzr und Alfy andeuten, ist die Möglichkeit, die eigentlich nicht öffentlichen IPv4 Adressen, die die DG ihren Anschlüssen zuteilt, für direkte Verbindungen zwischen DG-Anschlüssen zu nutzen. Solche Verbindungen durchlaufen nämlich nicht das CGNAT und so sind diese Adressen für andere DG-Kunden problemlos erreichbar. Man kann das also z.B. für RED (Remote Ethernet Device) Verbindungen zwischen UTMs verwenden.

Sorry das ich den alten Post noch mal raus hole.

Ich bin gerade darauf gestoßen.

Ich möchte gerne von einem DG BUsiness auf einen DG GIga Zugang per ipv4 verbinden.

Natürlich gibt es die Portmapper, 6Tunnel Löäsungen etc, nun habe ich bei dir aber das gelesen.

Ginge das auch anders?

Mir geht es in erster Linie nur darum, dass unsere eingesetzte Software Altarao VM Backup nur per IPv4 eine Off-Site SPeicherlösung anbietet

(https://help.altaro.com/support/soluti…iber-connection)

alfalfa

Die 100.64.0.0/10 IPv4-CGNAT Adressen sind zwischen DG Privatkundenanschlüssen erreichbar. Du kannst also in einem Router an einem DG-Privatkundenanschluss eine IPv4-Portweiterleitung einrichten und von einem anderen DG-Privatkundenanschluss dorthin verbinden, als wäre das eine ganz normale öffentliche IPv4 Adresse. Aus dem Internet ist diese Portweiterleitung nicht erreichbar. Ob sie von DG-Anschlüssen mit öffentlichen Adressen (Business-Anschlüssen) auch erreichbar ist, könntest du ausprobieren.

lycra

OK ich versuche das nächste Woche aus dem Büro mal von dem business Anschluss. Ist halt anderer IP Bereich 156.x.x.x zu 100.x.x.x

Aber vielleicht klappt es ja dennoch.

Oder wissen frank_m oder HubeBube ggf was? Ihr seid ja hier auch immer so aktiv unterwegs.

HubeBube

Versuch macht klug

Ich würde mir da aber nicht so viel Hoffnung machen. Der von @alfalfa erwähnte shared Adressbereich ist nach RFC 6598 speziell für Internetprovider zur mehrfachen Verwendung reserviert und von daher schließt das einen Zugriff auf das 156er Netz aus. Aber wie schon Eingangs erwähnt, probier's einfach aus.

alfalfa

Das kann durchaus funktionieren. Wenn Router vor den Business-Anschlüssen den Weg zu den 100er Adressen im DG-Netz kennen, leiten sie die Pakete einfach dorthin. Dass die Adressen bei anderen Providern auch im Einsatz sind, stört dabei nicht. NAT steht Verbindungen in der Richtung nicht im Weg. Einfach ausprobieren.

frank_m

Ich halte es ebenfalls für unwahrscheinlich, dass es funktioniert. Ich sehe dabei eher das 100er Netz als Problem. Die Geräte mit der öffentlichen IP-Adresse werden nicht wissen, wo sie diese Adressen zu suchen haben.

HubeBube

Wir wissen das die IP-Adressen des 100.64.0.0/10 Netzes "quasi statisch" sind, jedoch durchaus mehrere Kunden zu unterschiedlichen Zeiten die selbe IP-Adresse erhalten können. Da muss man sich natürlich Gedanken machen, wie unerwünschter Zugriff von einer vormals "eigenen" IPv4-Adresse unterbunden wird. TLS gesicherter Verbindungsaufbau mit vorher verteilten Schlüsseln wäre eine Möglichkeit, ähnlich ssh.

lycra

Also in der Firma habe ich nun versucht mit ping und tracert meine IPv4 der DG von zu hause zu erreichen.
Funktioniert nicht, sprich das kann bzw wird so dann wohl leider nicht funktionieren.

frank_m

Ist sichergestellt, dass dein Equipment zu Hause auf Pings von außen reagiert? Dann hast du wohl recht.

lycra

Puh das weiß ich ehrlich gesagt gar nicht.
Muss ich mal googlen, ob ich das bei der UDM Pro einstellen kann, danke für den Hinweis.

frank_m

Häufig ist es einfacher, einen bekannten Serverdienst zu testen, z.B. eine Portfreigabe.

lycra

Hab ich erstellt:

Aber hilft nicht

Wie meinst du das mit den bekannten Serverdiensten?

Am Standort der DG privat oder wo genau?

frank_m

Zitat von lycra

Wie meinst du das mit den bekannten Serverdiensten?

Bei Pings weiß man halt nie, was ankommt oder wo die unterwegs vielleicht verloren gehen. Wenn man einen geeigneten UDP oder TCP Server hat, dann ist der Test halt viel zuverlässiger. Benutzen kann man dann entweder einen geeigneten Client oder sowas wie netcat/socat.

Zitat von lycra

Am Standort der DG privat oder wo genau?

Beim Ziel. Wenn du von der Firma aus den Zugriff bei dir Hause testest, dann eben ein Server bei dir zu Hause.

lycra

Ok dann geht das erst wenn ich zu Hause bin

lycra

frank_m

Was mich wundert, wenn ich tracert bspw ausführe, wird meine öffentlich ipv4 gar nicht angezeigt (156.67.X.X).

Code

Routenverfolgung zu t-online.de [62.138.239.100]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  firewall.firma.int [192.168.1.254]
  2     1 ms    <1 ms    <1 ms  192.168.99.254 (Router)
  3     7 ms     4 ms     5 ms  100.124.251.1
  4     4 ms     7 ms     4 ms  185.22.46.68
  5     7 ms     6 ms     7 ms  185.22.45.9
  6     8 ms     8 ms     8 ms  akamai.prolexic.com [80.81.193.70]
  7     8 ms    12 ms     8 ms  po110.bs-b.sech-fra.netarch.akamai.com [72.52.48.200]
  8     8 ms     9 ms     7 ms  a72-52-1-137.deploy.static.akamaitechnologies.com [72.52.1.137]
  9     8 ms     9 ms    41 ms  ae121.access-a.sech-fra.netarch.akamai.com [72.52.48.205]
 10    10 ms     8 ms     9 ms  a72-52-52-242.deploy.static.akamaitechnologies.com [72.52.52.242]
 11     8 ms     7 ms    10 ms  www.t-online.de [62.138.239.100]

Ablaufverfolgung beendet.

C:\Users\Florian>tracert glasfaserforum.de

Routenverfolgung zu glasfaserforum.de [89.107.187.146]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  firewall.firma.int [192.168.1.254]
  2     1 ms    <1 ms    <1 ms  192.168.99.254 (Router)
  3     5 ms     7 ms     5 ms  100.124.251.1
  4     4 ms     3 ms    10 ms  185.22.46.68
  5     7 ms     7 ms     7 ms  185.22.45.11
  6     8 ms     7 ms     7 ms  decix.bb-c.act.fra.de.oneandone.net [80.81.193.123]
  7     9 ms     9 ms     9 ms  ae-9.bb-b.bs.kae.de.net.ionos.com [212.227.120.168]
  8     9 ms     9 ms     9 ms  ae-1-0.bb-a.tp.kae.de.net.ionos.com [212.227.121.205]
  9     9 ms    11 ms     9 ms  212.227.19.250
 10    11 ms     9 ms     9 ms  rt2ipc3.ka.telemaxx.net [81.26.160.38]
 11    11 ms    11 ms    12 ms  sw4ipc3.ka.telemaxx.net [81.26.160.82]
 12    10 ms     9 ms    11 ms  xb5.serverdomain.org [89.107.187.146]

Ablaufverfolgung beendet.

Alles anzeigen

Das ist bei uns in der FIrma an einem DG Business 300/300 Tarif.

Die 185.22.46.68 ist der DNS Server der DG.

alfalfa

Es ist normal, dass man seine eigene öffentliche IP in einem Traceroute nicht sieht. Deswegen gibt es so viele "Was ist meine IP-Adresse" Webseiten. In deine Richtung antworten alle Router mit ihrer dir zugewandten IP-Adresse (auf dem LAN Interface). In der Richtung hat der Router aber meist eine private Adresse (typisch 192.168.x.y). Die öffentliche Adresse ist auf dem WAN Interface. Die würde man sehen, wenn man von außen Traceroute zu dir laufen lässt.

Dass die Traces bei einem Router mit einer Adresse aus dem 100.64.0.0/10 Netz vorbeikommen, macht Hoffnung, dass die Privatkundenanschlüsse erreichbar sein könnten.

lycra

Zitat von alfalfa

Dass die Traces bei einem Router mit einer Adresse aus dem 100.64.0.0/10 Netz vorbeikommen, macht Hoffnung, dass die Privatkundenanschlüsse erreichbar sein könnten.

100.124.251.1 ist also aus dem 100.64.0.0/10 Netz?

Ok dann probiere ich mal weiter die Tage
Danke schonmal, melde mich wenn ich was neues habe

HubeBube

yep, siehe hier: https://en.m.wikipedia.org/wiki/Reserved_IP_addresses

alfalfa

Zitat von lycra

100.124.251.1 ist also aus dem 100.64.0.0/10 Netz?

Frage wurde schon beantwortet, aber ich gebe mal die technische Erklärung.

100.64.0.0/10 bedeutet binär als IP und Maske folgendes:

100: 64: 0: 0:

01100100 01000000 00000000 00000000

11111111 11000000 00000000 00000000 (10 Einsen)

Die Bits, wo die Maske Null ist, werden für die Host-Adressierung in dem Subnetz verwendet. Also ist auch alles bis

100: 127: 255: 255:

01100100 01111111 11111111 11111111

in dem Netz.

Wenn man gerade zu viele Weihnachtsplätzchen gegessen hat, um das im Kopf zu machen, kann man einen CIDR Rechner verwenden.

lycra

Danke euch beiden. Dann ist es doch eigentlich super, das im tracert die IP angezeigt wird. Sprich die echte öffentliche ipv4 ist dann einfach von der DG dazu geschaltet /vergeben worden.

Hatte leider noch nicht die Zeit weiter zu testen.