VPN-Zugriff bei der Deutschen Glasfaser

  • Hallo zusammen,

    ich verzweifle gerade daran einen VPN-Zugriff auf meinen Glasfaser-Anschluss bei der DG einzurichten.

    Folgendes Setup ist bei mir aktiv:

    • FritzBox von DG hängt am DG-Glasfasermodem und stellt das Internet sowie die Telefonie zur Verfügung
    • FritzBox-Netz intern hängt in einem 192.168.x.x Subnetz
    • an der FritzBox hängt ein LANCOM-Router, der bisher für DSL und VPN-Verbindung zuständig war
    • LANCOM erhält auf FritzBox-Seite eine 192.168.x.x Adresse und stellt dem eigentlichen Firmennetzwerk mit einem 10.x.x.x Subnetz Internet zur Verfügung
    • LANCOM ist auf Empfehlung meines IT-Hauses als Exposed Host bei der FritzBox freigegeben

    Früher hat der LANCOM also alles im Bereich Internet übernommen, jetzt ist er nur noch "Client" der FritzBox. Ich weiß, das eines der Probleme die geteilte IPv4-Adresse bei der DG ist und dass deshalb kein VPN-Zugriff von außen möglich ist.


    Da ich hauptsächlich von zu Hause auf das Firmennetzwerk zugreifen möchte, habe ich eine FritzBox-FritzBox-VPN-Verbindung zu meiner heimischen FritzBox hergestellt. Die Verbindung ist stabil und läuft, ich komme aber nur auf die Firmen-FritzBox und nicht auf das 10er Subnetz dahinter.


    Ich wollte den LANCOM auch schon direkt an das Glasfaser-Modem anschließen und das VPN dann über IPv6 realisieren. Das klappt aber wohl nicht, weil die DG irgendwelche Filter setzt und ich egal mit welcher Einstellung keine Internetverbindung hinbekomme.

    Leider hat bei meinem IT-Anbieter wohl niemand wirklich Ahnung von dieser Problematik mit der nicht vorhandenen IPv4-Adresse, von IPv6 ganz zu schweigen.


    Hat jemand eine Idee wie ich

    • entweder das etablierte VPN so einstellen kann, dass ich von meinem 192.168er Subnetz zu Hause üner das 192.168er Subnetz der FritzBox auf das nachgeschaltete 10er Subnetz komme
    • oder den LANCOM-Router direkt an das DG-Modem anschließen kann (habe vor drei Tagen ein Ticket bei DG erstellt, aber noch keine Antwort erhalten)
    • oder über einen IPv4-Tunnel auf das Firmennetzwerk komme (damit habe ich mich noch nicht ernsthaft beschäftigt)

    Ich selbst bin kein Techie, sondern nur EDV-affinier Endnutzer, der sich ein bisschen mit Netzwerken auskennt (aus grauer Vorzeit beim ZDV an der Uni).

  • Willkommen im Forum!


    Hm, Lancom Router und EDV-affinier Endnutzer schließen sich meiner Meinung nach aus. Es gibt hier im Forum durchaus Lancom Besitzer, die eine funktionierende Lösung im DG Netz haben, das sind jedoch Personen, die sehr technikaffin sind.


    Dir ist das grundsätzlich verschiedene Verhalten von IPv4 und IPv6 bei Freigaben in der FB bekannt?

    Bei IPv4 realisiert Du die Freigabe in der FRITZ!Box und bei IPv6 im Client (Laptop, PC,usw.). Ferner musst Du darauf achten, die Freigabe mit einer statischen IPv6 Adresse zu realisieren.


    Noch dazu benutzt DG CGNAT mit "richtigem DS" (und kein DS Lite), so steht es auch in den AGB. Am problemloseste wird es sein, wenn Du dich mit den Grundlagen von IPv6 beschäftigst, da gibt es hier im Forum unzählige Verweise.

  • Ohne IPv6 funktioniert da nix, denn der Router bekommt von DG keine öffentliche IPv4 - Adresse.

    Hinzu kommt, das die DG mit DHCP arbeitet, und nicht jeder Router mit DHCPv6 klar kommt.

    Und die dritte Herausforderung ist dann noch der VPN - Tunnel.

    Am besten mal bei LANCOM anklopfen, ob die was dazu - bezogen auf DG - sagen können.

  • Hi,


    ich weiß jetzt nicht, ob die "FritzBox-FritzBox-VPN-Verbindung" mit IPv6 als Transport-Protokoll durch das Internet unterstützt wird. Wenn das nur mit IPv4 möglich ist, kann ich mir ihr Zustandekommen nur dadurch erklären, dass die heimische Fritzbox an einem Internet-Anschluss hängt, die noch eine öffentliche IPv4-Adresse am WAN-Port bekommt - dann kann zumindest von der Fritzbox am DG-Anschluss eine Verbindung über CGNAT hinweg (mittels NAT-Traversal) zur heimischen Fritzbox aufgebaut werden, aber nicht umgekehrt.


    Dass nun das 10er-Firmennetz hinter der LANCOM-Box nicht erreicht wird, könnte an zwei Dingen liegen:


    • In der Fritzbox der Firma fehlt eine IPv4-Route zum 10er-Netz hinter dem LANCOM-Router
    • Man muss bei der Einrichtung der "FritzBox-FritzBox-VPN-Verbindung" auch angeben, dass der betreffende 10er-Bereich, der ja nicht direkt an der Firmen-Fritzbox anliegt, ebenfalls durch die IPsec-Verbindung zu tunneln ist - da weiß ich nicht, ob die Fritzbox sowas überhaupt ermöglicht.

    EDIT - zu den letzten beiden Punkten, falls zutreffend noch eine Idee als Workaround: Man könnte den LANCOM-Router als IPv4-NAT-Router konfigurieren, und einzelne IPv4-Adressen im 192.168.x.x-Netz der Firma als "Einwärts"-Dienstadressen zu definieren, die ins 10er-Firmennetz genattet werden zu 10er-Adressen von Diensten, die von außen durch den VPN-Tunnel angesprochen werden sollen.

  • Ich wollte den LANCOM auch schon direkt an das Glasfaser-Modem anschließen und das VPN dann über IPv6 realisieren. Das klappt aber wohl nicht, weil die DG irgendwelche Filter setzt und ich egal mit welcher Einstellung keine Internetverbindung hinbekomme.

    Hast du bei den Versuchen das 60 Minuten Timeout für einen Router-Tausch bedacht? Wenn du einfach hin- und herswitcht, dann wird der Lancom keine Internetverbindung bekommen.


    Ansonsten: Für die IPv4 Probleme siehe den Post von ::1. Das wäre auch mein Verdacht gewesen.


    Wenn du Zugriff von außen willst, ohne den LANCOM direkt an den ONT anzuschließen, dann könntest du mit Prefix Delegation arbeiten. Die Box erteilt dem LANCOM ein IPv6 Prefix, aus dem dieser seine Adressen verteilt. Damit ließe sich dann auch direkt ein VPN zum LANCOM herstellen.


    Aber ich denke, man sollte den LANCOM auch direkt am ONT betreiben können, wenn man die nötigen Zeitabstände beachtet.

  • Prefix Delegation ist hier nicht notwendig. PD bräuchte man, damit der Lancom Router seinerseits IPv6 Adressen in seinem LAN verteilen kann. Das ist aber gar nicht gewünscht. Wenn das VPN mit IPv6 als Transportprotokoll auf dem Lancom hinter der Fritzbox terminieren soll, dann reicht es, wenn der Lancom eine IPv6 Adresse von der Fritzbox bekommt, was in der Voreinstellung ohne PD der Fall sein sollte.


    Ein Kontakt zum Firmen-VPN sollte aber auch vom Lancom Router hinter der Fritzbox über IPv4 aufgebaut werden können. Wichtig dafür ist, dass das VPN "NAT Traversal" (und Keepalives) verwendet. Reines IPSec ist kein TCP oder UDP und verwendet keine Portnummern, anhand derer ein NAT verschiedene VPN-Verbindungen hinter einer öffentlichen IP-Adresse multiplexen könnte. Mit "NAT Traversal" werden die IPSec Pakete in UDP verpackt. Damit verhält sich IPSec für das NAT wie jedes andere UDP Protokoll.

  • Verständnisfragen zur Ausgangssituation:


    Ich vermute mal, dass IPv6 im Firmennetz nicht von Interesse ist - das soll alles weiter laufen wie gehabt mit IPv4-only?


    Wie ist der LANCOM-Router konfiguriert? Exakt wie vorher, als an seinem WAN-Port noch direkt das Internet hing - jetzt nur mit dem Unterschied, dass die WAN-IP eine private Adresse aus dem Fritzbox-LAN ist? Das würde dann ja bedeuten, dass der LANCOM seinerseits ein (ausschließlicher) NAT- bzw. PAT-Router ist, der ausgehend das 10er-Firmennetz auf die eine IP-Adresse am WAN-Port nattet. In Summe wäre das dann ein Triple-NAT zum Internet.

  • Wenn das VPN mit IPv6 als Transportprotokoll auf dem Lancom hinter der Fritzbox terminieren soll, dann reicht es, wenn der Lancom eine IPv6 Adresse von der Fritzbox bekommt, was in der Voreinstellung ohne PD der Fall sein sollte.

    Das ist wahrscheinlich die beste, weil stabilste (kein hinderliches NAT) Lösung:


    Man muss ja auch keine site-to-site-Kopplung vom LANCOM-Router zur heimischen Fritzbox als VPN-Peer via IPv6-Transport herstellen (was seitens der Fritzbox vermutlich ohnehin nicht unterstützt würde). Es würde ja reichen, eine client-to-site VPN-Verbindung von einem VPN-Client auf einem IPv6 sprechenden PC im Heimnetz zur IPv6-Adresse des LANCOM-WAN-Ports aufzubauen.


    Voraussetzungen:

    • Heimnetz mit IPv6
    • DynDNS für die IPv6-Adresse am WAN-Port des LANCOM-Routers (weil sich das /56-LAN-Präfix am privaten DG-Anschluss ja prinzipiell ändern kann)
    • Geeignete VPN-Client-Software mit einem VPN-Protokoll (z.B. IPsec), das Client und LANCOM-Router unterstützen, und das getunneltes IPv4 mit IPv6-Transport ermöglicht.
  • Verständnisfragen zur Ausgangssituation:


    Ich vermute mal, dass IPv6 im Firmennetz nicht von Interesse ist - das soll alles weiter laufen wie gehabt mit IPv4-only?

    Exakt. Die von uns verwendete Software kann wohl kein IPv6.

    Wie ist der LANCOM-Router konfiguriert? Exakt wie vorher, als an seinem WAN-Port noch direkt das Internet hing - jetzt nur mit dem Unterschied, dass die WAN-IP eine private Adresse aus dem Fritzbox-LAN ist? Das würde dann ja bedeuten, dass der LANCOM seinerseits ein (ausschließlicher) NAT- bzw. PAT-Router ist, der ausgehend das 10er-Firmennetz auf die eine IP-Adresse am WAN-Port nattet. In Summe wäre das dann ein Triple-NAT zum Internet.

    Ja, der Lancom bekommt eine private Adresse von der FritzBox (bzw. ist statisch darauf konfiguriert). Und ja, das macht dann Triple-NAT. Wäre ein gangbarer Weg die Fritzbox in das 10er-Netz aufzunehmen und den Lancom dann einfach so daran zu hängen? Damit ist dann "nur noch" das zweifach NAT vorhanden (FB und DG) und die Situation wird einfacher.

  • Wäre ein gangbarer Weg die Fritzbox in das 10er-Netz aufzunehmen und den Lancom dann einfach so daran zu hängen?

    Also wenn der Lancom weiterhin noch eine Funktion haben soll, die die Fritzbox nicht übernehmen kann, dann macht das keinen Sinn. Andernfalls könnte man die Lancom-Box auch gleich ganz weglassen.


    Wenn man also alles so lässt wie es ist, sehe ich zwei Lösungsmöglichkeiten, die oben schon beschrieben sind:


    1. Du benutzt die bestehende Fritz-Fritz-VPN-Kopplung via IPv4 zu deinem Heimnetz - die funktioniert ja, wie du sagst (wobei nur die Firmen-Fritzbox die Verbindung zur Heim-Fritzbox aufbauen kann, nicht umgekehrt - CGNAT ist da wie eine Diode). Damit kommst du dann von zu Hause aus aber nur in das 192.168-Zwischennetz, nicht jedoch in das 10er-Netz der Firma. Du könntest nun in der Lancom-Box z.B. ein 1:1 NAT einrichten (pro 10er-Adresse eines Dienstes im Firmen-Netz, den du erreichen möchtest, eine 192.168-Adresse aus dem Zwischennetz) und die Lancom Firewall einkommend entsprechend aufmachen. Oder du richtest im Lancom für die IPv4-WAN-Adresse aus dem Zwischennetz Portweiterleitungen zu Diensten im 10er-Netz ein, die du erreichen willst, z.B. für den Zugriff auf einen WTS per RDP (3389\udp) - so einen WTS könntest du dann ja als Sprungserver ins Firmen-Netz verwenden.
    2. Du verwendest in deinem Heimnetz an einem Desktop-PC einen geeigneten VPN-Client, der via IPv6 (muss in deinem Heimnetz und am dortigen Internetzugang natürlich vorhanden sein) eine VPN-Verbindung zur IPv6-Adresse des WAN-Ports des Lancom aufbaut. Im VPN-Tunnel muss dann IPv4 gesprochen werden. Damit kommst du direkt im 10er-Firmennetz raus. Du brauchst für den WAN-Port des Lancom noch DynDNS, da dessen IPv6-Adresse aus einem /56-Pool kommt, der sich potentiell ändern kann. Dein VPN-Client muss die Gegenstelle dann über den FQDN ansprechen, nicht direkt über die IPv6-Adresse.

    Einmal editiert, zuletzt von ::1 () aus folgendem Grund: Rechtschreib-Korrektur