Lösungsansatz DG DSLITE/CGNAT

Vielleicht hilft dir dies hier weiter.

Thema

Meta-Beitrag zur Erreichbarkeit via IPv4/IPv6 in Heimnetzen

Da es immer wieder Fragen gibt, wie man sein Heimnetzwerk weiterhin "von außen" erreichen kann, wenn der Anschluss auf CG-NAT oder DS-Lite umgestellt wurde, sammele ich hier meine (und auch gerne andere Beiträge), die ich dafür mal erstellt habe.

Diese decken unterschiedliche Ansätze und Techniken ab und zielen darauf ab, praxisnahe Beispiele zu beschreiben, die natürlich keinen Anspruch auf Vollständigkeit haben.

• Erreichbarkeit durch ein WireGuard-VPN und VPS
  IPv4-Erreichbarkeit via VPS und VPN

…

mbo77

30. Juni 2024 um 10:58

Zitat von neo999

Ich betreibe einen David Server (Unified Messaging System) hinter einem DG Privatanschluss, also DSLITE.

Nein, es ist kein DS-Lite, sondern CGNAT. Das ist ein Unterschied, der gerade in deinem Fall einen Unterschied machen kann.

Zitat von neo999

Alle anderen benötigten Dienste habe ich über Wireguard und 6Tunnel am laufen.

6tunnel ist ein Problem, wenn der Dienst so gar kein IPv6 spricht, aber Wireguard sollte auch in diesem Fall funktionieren. Man muss lediglich die entsprechende Weiterleitung auf der Gegenseite, also z.B. einem VPS, einrichten.

Zitat von neo999

Allerdings telefoniert der David Server ja von einer internen IP nach draußen und will die Pakete über Port 80/81 zurück.

Also entweder hab ich die Funktionsweise des Servers nicht verstanden, oder du hast kein Problem.

Wenn der Server nach draußen telefoniert, hast du auf jeden Fall eine ausgehende Verbindung, auf der die angesprochenen Gegenstellen antworten können. Das ist auch bei CGNAT kein Problem, dafür gibt es Connection Tracking in den Firewalls. Allerdings ist das eher die Arbeitsweise eines Clients, nicht eines Servers.

Ich vermute daher eher, dass der Server als klassischer Server arbeitet und von außen kontaktiert werden möchte. Da wäre dann die Frage: Wenn du andere Dienste bei dir mit 6tunnel nutzt, wo endet denn dieser Tunnel? Zwar kannst du 6tunnel nicht für David nutzen, aber vielleicht die Gegenstelle, um darüber auch David verfügbar zu machen, z.B. mit Wireguard.

Zitat von neo999

Den Wireguard Tunnel baue ich zwischen meinen mobilen Geräten und der UDM Pro auf. Darüber komme ich auch an alle IPV4 Adressen im Heimnetz.

Dann ist es ja kein Problem, darüber auch den David Server anzusprechen. Kannst du alle Clients mit Wireguard Zugang versorgen? Auf der UDM wird es ja kein Problem sein, den Zugang auch auf den David Server zu beschränken, falls die nichts anderes sehen sollen.

neo999
Schau Dir mal einen Cloudflare Tunnel an.
Das könnte helfen.

Wäre sowas eine alternative:

Https://www.esv-kossmann.de/festip

Habe ich zwar selber nicht in Benutzung, aber soll wunderbar funktionieren.
Es gibt jedoch Einschränkungen wie z.b nur 100 Mbits und kostet monatlich.

Krass, 11,90 €/Monat. Ein VPS kostet 1 €/Monat.

Was soll ich sagen ist nicht günstig, aber angebot und Nachfrage. Letztes Jahr war der Preis glaube ich noch bei 10.

Die haben wihl im richtigen Moment eingekauft und verdienen sich dumm und dusselig.

Da ist die NOEZ Lösung günstiger. Die hab ich mal für einen Monat getestet, die funktioniert auch sehr gut. Man braucht natürlich ein passendes Endgerät, das dauerhaft läuft, auf dem der GRE Tunnel terminiert, ein Raspi zum Beispiel.

Und was ist mit einem Server bei DomainFactory, Hetzer etc. Da hast du mit hoher Wahrscheinlichkeit ein sehr stabile anbingung und kannst auch gleich Backup fahren.

So etwas Zuhause zu betreiben finde ich "schwierig".

Sehe ich auch so. Da er für die externe IPv4-Anbindung ohnehin Hilfe braucht, kann man es auch gleich etwas besser aufsetzen.

Moin, ich hab dir mal gerade privat geschrieben.

Zitat von frank_m

Da ist die NOEZ Lösung günstiger. Die hab ich mal für einen Monat getestet, die funktioniert auch sehr gut. Man braucht natürlich ein passendes Endgerät, das dauerhaft läuft, auf dem der GRE Tunnel terminiert, ein Raspi zum Beispiel.

Hehe, NOEZ benutze ich auch. Bin zwar Telekom Kunde, aber so ein eigenes /29 zuhause für manche Dienste ist schon cool Läuft auch extrem stabil und hab nahezu den selben Speed wie ohne den Tunnel. Latenz ist ebenfalls super.

Hab ein VLAN angelegt hinter dem die Clients direkt mittels DHCP ne externe IP zugeteilt bekommen. Eingerichtet ist das ganze auf OPNsense, hier ein Latenztest direkt von der OPNsense:

Speedtest "normal" (direkt per WAN):

Speedtest hinter GRE (Client mit externer IP):

Aus Oberhausen nach Frankfurt zum NOEZ Endpunkt.

Zitat von frank_m

Also entweder hab ich die Funktionsweise des Servers nicht verstanden, oder du hast kein Problem.

Er schreibt zur Zertifikatserneuerung. Also vermutlich LetsEncrypt, und die wollen zur Zertifikatserneuerung den Server über HTTP Port 80 und über den im Zertifikat eingetragenen Namen erreichen.

Zitat von frank_m

Wenn der Server nach draußen telefoniert, hast du auf jeden Fall eine ausgehende Verbindung, auf der die angesprochenen Gegenstellen antworten können. Das ist auch bei CGNAT kein Problem, dafür gibt es Connection Tracking in den Firewalls. Allerdings ist das eher die Arbeitsweise eines Clients, nicht eines Servers.

Der Server "telefoniert" also nach außen z.B. zu LetsEncryt und sagt LetsEncrypt "Du kannst bei mir auf Port 80 verifizieren, dass ich es bin". Dazu nutzt er den lokalen Webserver (oder startet temporär selber einen auf Port 80), über den LetsEncrypt dann per HTTP einen Key zur Verifikation holt und so die Richtigkeit sicherstellt.

Da hilft Connection Tracking nicht wirklich, das ist eher mit FTP zu vergleichen. Die bestehende Verbindung will LE da genau nicht verwenden, es will ja selber verifizieren.

Und wenn er sonst nur per Wireguard zugreift, hilft das an dieser Stelle nicht, denn LetsEncrypt prüft natürlich die Erreichbarkeit des ausgestellten Zertifikats im öffentlichen Internet und nicht im VPN.

Lösung wäre neben einem wie schon beschriebenen Tunnel nur noch, das Zertifikat über DNS verifizieren zu lassen, aber dazu braucht man automatisierten Zugriff auf seinen DNS und eine eigene Domain.

Zitat von rode

Lösung wäre neben einem wie schon beschriebenen Tunnel nur noch, das Zertifikat über DNS verifizieren zu lassen, aber dazu braucht man automatisierten Zugriff auf seinen DNS und eine eigene Domain.

DNS Challenge wäre jetzt auch mein Vorschlag gewesen.

Ok, ja, der Zugriff von Lets Encrypt ist natürlich ein Zugriff von außen.

Da bleibt dann nur die vServer Lösung oder so ein IP Tunnel von Kossmann oder NOEZ.

Zu DNS-Challenge steht auch was in verlinkten Beiträgen im Meta-Beitrag.

Die sauberste Lösung wäre es, wenn tobit ihrem David Webserver die Unterstützung von IPv6 gönnt. So neu und ungetestet ist IPv6 nun auch nicht mehr...

Let's encrypt bevorzugt sogar über das ACME-API IPv6 gegenüber IPv4, daran liegt es also nicht. Lediglich an oller Software.

Ganz abgesehen davon würde ich mich hüten ein Ticket bei DG zu öffnen, es sei denn man möchte unbedingt einen Businesstarif. Weiteres spare ich mir an dieser Stelle.

Zitat von kerneltask

Hehe, NOEZ benutze ich auch. Bin zwar Telekom Kunde, aber so ein eigenes /29 zuhause für manche Dienste ist schon cool Läuft auch extrem stabil und hab nahezu den selben Speed wie ohne den Tunnel. Latenz ist ebenfalls super.

Hab ein VLAN angelegt hinter dem die Clients direkt mittels DHCP ne externe IP zugeteilt bekommen. Eingerichtet ist das ganze auf OPNsense, hier ein Latenztest direkt von der OPNsense:

Speedtest "normal" (direkt per WAN):

Speedtest hinter GRE (Client mit externer IP):

Aus Oberhausen nach Frankfurt zum NOEZ Endpunkt.

Alles anzeigen

Wie kommt man eigentlcih an diese Geschwindigkeiten bei einem 1000/500 Tarif?
Bei meinen DG Glasfaser DG Giga Tarif komme ich auf 940/500 maximal.

Das liegt wurde mir gesagt am Ethernetz des GF TA bzw des GF NT

ist ein AON Anschluss.