Deutsche Glasfaser ipv4 CGNAT unzureichend

    Hallo zusammen,

    ich habe seit Jahren einen Glasfaseranschluss von der Deutschen Glasfaser. Die ersten Jahre war eigentlich alles super.
    Seit einem halben Jahr mehrten sich dann die Probleme mit bestimmten Verbindungen.
    Ich sehe dann ein ICMP Paket Typ3 Code 13 "administrativly filtered". Das habe ich auch schon in anderen Forenbeiträgen gesehen:


    DAs hier ist beispielsweise der Verbindungsaufbau eines VPNs zu meinem Arbeitgeber, den ich für die tägliche arbeit von Homeoffice benötige.
    Ich kann das Problem IMMER beheben, indem ich das Glasfasermodem werksresette (Resetknopf 15sec drücken, 10min warten). Danach sind immer alle Verbindungen erstmal wieder möglich. Bis zum Abend, oder zum nächsten Tag, oder manchmal geht es auch ein paar Tage. Und irgendwie sehe ich nicht ein jeden, oder alle paar Tage da nen werksreset zu machen.

    Ich habe also ein Ticket aufgemacht und das Problem zig mal erklärt, meine Aufzeichnungen bereitgestellt etc. Heute kam nun die Lösung..... NICHT. Man hat mich informiert, dass das Ticket geschlossen wurde, denn ich habe zwar diese Probleme, aber das Limit der Port am CGNAT sind auf 1000 port pro Kunde festgelegt. Wenn das nicht reicht, was es offensichtlich nicht tut, nicht nur bei mir, auch bei anderen Usern nicht, dann hast Du halt PECHT. Das ist so festgelegt, fertig..... ich glaube, ich höre nicht richtig ?!
    Und ich nicht mal ein max power user. Unser Haushalt besteht aus 4 Personen, klar jede Menge Geräte und SmartHome und Zeug... aber da sollte sicher mehr gehen, als hier zugestanden wird.

    Die DG legt also die Anzahl ports fest und der Kunde kann fressen oder sterben.
    Klar, ich kann jetzt beispielsweise surfshark aktivieren und umgehe das scheiß CGNAT der DG damit. Aber... das kann es doch nicht sein, oder ? Hier wird auch online gezockt und bin sehr zufrieden mit der niedrigen Latenz, solange es funktioniert.
    Ich würde mich freuen dazu ein paar Meinungen zu lesen. Ich würde das auch ganz gerne der c't schicken für die Rubrik "Vorsicht Kunde"

    Grüße an die Leidensgenossen
    Dennis

    Wenn das VPN zu deinem Arbeitgeber das eigentliche Problem sein sollte, dann musst Du mit deinem Security oder Netzwerkadmins reden. Seit Jahren nutze ich Dual Stack mit CGNAT von DG, ganz gleich ob mit Cisco AnyConnect oder Palo Alto GlobalConnect, das funktioniert problemlos, sofern oben erwähnte Admins willig zur Problemlösung sind.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Das Glasfasermodem arbeitet auf Schicht 2. Du verortest dein Problem aber auf Schicht 4, nämlich bei den Ports. Da passt also was nicht zusammen. Wenn der Reset des Modems also weiterhilft, dann nur, weil dabei irgendwas auf den höheren Schichten passiert. Da wäre die Frage, ob du nicht direkt die Aktion auf den höheren Schichten auslösen kannst, und was das überhaupt genau ist. Was passiert, wenn du einfach nur den Router neu startest?

    Zitat von dkoopmans77

    denn ich habe zwar diese Probleme, aber das Limit der Port am CGNAT sind auf 1000 port pro Kunde festgelegt.

    Das weißt du woher? Und selbst wenn es so wäre: Warum verhindert das den Verbindungsaufbau? Dein VPN benötigt ja nicht 1000 Ports gleichzeitig. Wenn eine Verbindung abgebaut wird, wird der Port wieder frei für neue Verbindungen. CG-NAT Gateways nutzen da eher kurze Timeouts. Es ist also nicht so, dass sich einfach im Laufe der Zeit eine Anzahl offener Ports ansammeln, die dann zum Problem werden: Wenn die Ports benutzt werden, ist da auch eine Verbindung. Wenn die 1000 (oder wo auch immer das Portlimit liegt) an deinem Anschluss zum Problem wird, dann bedeutet das, dass von deinem Anschluss aus zu viele gleichzeitige Verbindungen aktiv sind. Das kann aber nicht am VPN liegen, sondern muss andere Ursachen haben. Wenn du dann das Modem resettest, kappst du all diese Verbindungen, und es geht wieder. Darüber würde ich mir mal Gedanken mache, wenn ich auf so ein Problem stoße. Macht ihr File-Sharing?

    Zitat von dkoopmans77

    Wenn das nicht reicht, was es offensichtlich nicht tut, nicht nur bei mir, auch bei anderen Usern nicht, dann hast Du halt PECHT. Das ist so festgelegt, fertig..... ich glaube, ich höre nicht richtig ?!

    Also ich bezeichne mich als Power-User. Die Anzahl der gleichzeitig aktiven Geräte in meinem Netz ist fast dreistellig, davon viele Smart-Home Geräte, die permanent Verbindungen ins Internet aufbauen und zumindest teilweise auch dauerhaft halten. Andere Geräten stoßen alle 5 Minuten Synchronisations-Dienste an, das ist jedes Mal ein neuer Verbindungsaufbau. Dazu dient ein V-Server als Munin-Host, der mehrere Nodes in meinem Heimnetz abfragt: Ebenfalls alle 5 Minuten mehrere Verbindungen. Dann noch mehrere Rechner und Notebooks, auf denen gesurft wird, ein NAS, 3 Tablets, 4 Handys, 3 Fernseher, 3 Amazon Prime Sticks, und 2 Streaming Boxen. Ich bin noch NIE auf dieses Limit gestoßen.

    Wie ist NAT-T bei eurem VPN Zugang geregelt? Denn ISAKMP hat nachweislich Probleme, wenn mehrere Clients von der gleichen öffentlichen IP kommen. Es gibt auch Router, die immer nur eine ISAKMP Verbindung gleichzeitig handeln, da sie alle von Quellport 500 kommen und es deshalb Probleme mit der Zuordnung im NAT Router geben kann. Da würde ich auch mal suchen. Die Lösung dafür ist ein gescheites NAT-T Setup, aber das müssen eure Admins machen. Im Zuge steigender Zahlen von NAT Anschlüssen ist es ratsam, sich darauf einzustellen, das ist kein DG-spezifisches Problem (das Vodafone Kabel Forum ist voll davon). Am besten bieten sie auch einen IPv6 Zugang an.

    Und maik6849 hat Recht: IPv6 entlastet IPv4, und man hat pro Gerät alle 65000 Ports.

    2 Mal editiert, zuletzt von frank_m (11. Oktober 2025 um 16:23)

    Ein einfaches Stromlos machen löst das Problem nicht. nur der Werksreset löst das Problem vorrübergehend. Die "Lösung" kommt übrigens auch von der DG, beim meinem ersten Gespräch mit der Hotline. Da hieß es, das löst das Problem 100%ig. Was erstmal stimmt, aber eben nicht nachhaltig, sondern nur vorrübergehend. Das Gerät soll sich dabei seine config ziehen und dann, wie es aussieht, landest Du auf einem anderen NAT device und hast Deine port wieder bei null.

    Die Aussage mit den 1000 ports kommt mit dem Ticketabschluss von der DG. Und es passt ja auch zum Fehlerbild.

    Das VPN meines Arbeitgebers ist nicht grundsätzlich ein Problem. Es geht nur dann nicht, wenn ich an das NAT limit komme. Immer wenn das VPN nicht geht, kann ich auch nicht mein Standartgame "World of tanks" Starten, keine Verbindung ICMP code 3 type 13... Starte ich dann surfshark oder mache ne Verbindung zu einer Netcup VM oder route über mein LTE Backuprouter, kann ich sofort das game starten.

    Zitat von frank_m

    CG-NAT Gateways nutzen da eher kurze Timeouts

    Und das weißt Du woher ? Macht natürlich Sinn, aber das Verhalten deutet eher auf anderes. Vielleicht ist es nur schlampig umgesetzt.
    Vielleicht ist es auch nicht 1000 ports fix, sondern maximale Anzahl (vielleicht 65, sodass der Mitarbeiter da rechnerisch auf 1000port kommt) an Anschlüssen, die pro NAT device bedient werden. Dazu würde auch immer weiter steigende Häufung passen. Die Plattform ist möglicherweise nicht in dem Maße skaliert worden, wie neue Kunden hinzugekommen sind. Spekulation, hilft eh nicht weiter.

    Natürlich habe ich v6 aktiv, aber wie die Kommunikation dann läuft hast Du ja nicht in der Hand. Du willst ja wohl nicht v4 deaktivieren auf den Geräten....

    Zitat von dkoopmans77

    aber wie die Kommunikation dann läuft hast Du ja nicht in der Hand.

    Standardmäßig über IPv6, wenn das Endgerät IPv6 Internetverbindung hat, der Zielserver IPv6 kann dir Anwendung auch und dir IPv6 Verbindung zum Ziel erfolgreich ist.

    Erstaunlich ist nur, dass nur du das Problem hast, wenn es das Limit doch bei allen DG Kunden gibt.

    Ob du Torrent/Filesharing oder ähnliches nutzt hattest du nicht beantwortet.

    Da kamen ja sehr schnell, je nach Konfiguration sehr viele Vernidnungen und damit belegte Ports zusammen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ich will den Teufel ja nicht an die Wand malen, gerade bei vielen ggf. minderjährigen, männlichen Zockern im Haushalt, besteht die Gefahr von irregulären Softwareinstallationen aus dubiosen Quellen, um Beschränkungen zu umgehen. So einen Mitbewohner hatte ich ebenfalls mal im Haushalt...

    Zitat von dkoopmans77

    Ein einfaches Stromlos machen löst das Problem nicht.

    Und ein Router-Neustart?

    Zitat von dkoopmans77

    Das VPN meines Arbeitgebers ist nicht grundsätzlich ein Problem.

    Doch, definitiv. Es ist unzureichend eingerichtet für NAT Szenarien. Kein IPv6 anzubieten und gleichzeitig Clients hinter NAT zu vernachlässigen, ist schon extrem ignorant in heutigen Zeiten.

    Zitat von dkoopmans77

    Es geht nur dann nicht, wenn ich an das NAT limit komme. Immer wenn das VPN nicht geht, kann ich auch nicht mein Standartgame "World of tanks" Starten, keine Verbindung ICMP code 3 type 13

    Wenn das wirklich die Ursache ist, dann hast du echt ein ernsthaftes Problem in deinem Netz. So ein Online-Game baut ja auch nicht hunderte Verbindungen gleichzeitig auf. Daneben muss man bedenken, dass es hierbei um UDP Verbindungen geht, und nicht um das häufiger verwendete TCP. Sieh auf jeden Fall zu, dass du IPv6 zum Laufen bekommst, wenn das wirklich der Fall ist.

    Ich würde auch nicht zwangsläufig davon ausgehen, dass das Problem für VPN und Online Game das gleiche ist. ISAKMP arbeitet mit dem festen Quell-Port 500 und verhält sich damit aus Sicht eines NAT Routers anders, als andere Protokolle, vor allem in Bezug auf die Port-Zuordnung. Da würde ich das Problem eher vermuten, als im Port-Limit.

    Zitat von dkoopmans77

    Und das weißt Du woher ?

    Aus dem Setup von VoIP Gateways zu Drittanbietern im DG Netz. Da muss man Keep-Alive extrem kurz setzen, sonst geht die Port-Zuordnung flöten und ankommende Anrufe kommen nicht durch.

    Zitat von dkoopmans77

    Vielleicht ist es auch nicht 1000 ports fix, sondern maximale Anzahl

    Das ist mit hoher Wahrscheinlichkeit so, dass die 1000 das Maximum sind.

    Zitat von frank_m

    Doch, definitiv. Es ist unzureichend eingerichtet für NAT Szenarien. Kein IPv6 anzubieten und gleichzeitig Clients hinter NAT zu vernachlässigen, ist schon extrem ignorant in heutigen Zeiten.

    Unklar. Warum sollte ein Betreiber eines VPNs extra Klimmzuege machen um die Fehler inkompetenter ISPs auszugleichen? Im Ernst, es ist klar, dass spaetgekommene ISPs mit IPv4 Adressen Tricks anwenden muessen, und das ist auch OK, aber diese Tricks sollten dann auch so umgesetzt werden, dass Kunden davon nichts/kaum etwas verspueren. Und das schint hier nicht der Fall zu sein.

    Einmal editiert, zuletzt von pufferueberlauf (12. Oktober 2025 um 13:19)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von pufferueberlauf

    Unklar. Warum sollte ein Betreiber eines VPNs exta Limmzuege machen um die Fehler inkompetenter ISPs auszugleichen?

    Beschäftige dich bitte mit ISAKMP und der Problematik "Quellport UDP 500". Wie gesagt, Quell-Port, nicht Ziel-Port. Es ist enorm problematisch, mehrere ISAKMP Verbindungen über einen NAT Router zu leiten. Selbst wenn er eine öffentliche IP hätte, aber zwei Endgeräte zu Hause, die beide einen VPN Tunnel zum AG aufbauen wollen (Handy und Notebook), hätte er das Problem. Es betrifft auch praktisch jede Mobilfunkverbindung. Klar, die größere Anzahl an Kunden hinter einem CG-NAT Router erhöht die Wahrscheinlichkeit von Kollisionen, ändert aber nichts an der grundlegenden Problematik. ISAKMP stammt aus einer Zeit, als noch niemand an NAT Router dachte, und wenn man es trotzdem nutzen will und nicht ein moderneres Protokoll einsetzen will, dann muss man eben halt Maßnahmen ergreifen (NAT-T). Unsere Firma ist deshalb von IPSec auf OpenVPN gewechselt, weil es mit wachsender Anzahl Kollegen aus Kabel-Netzen und Mobilfunkverbindungen am Ende nicht mehr darstellbar war.

    Zitat von frank_m

    Selbst wenn er eine öffentliche IP hätte, aber zwei Endgeräte zu Hause, die beide einen VPN Tunnel zum AG aufbauen wollen (Handy und Notebook), hätte er das Problem.

    Nein, das waere IMHO dann ein selbst gewaehltes Problem mit simpler Loesung "mach' es halt nicht gleichzeitig".

    Zitat von frank_m

    Klar, die größere Anzahl an Kunden hinter einem CG-NAT Router erhöht die Wahrscheinlichkeit von Kollisionen, ändert aber nichts an der grundlegenden Problematik.

    Das sehe ich anders, der Unterschied ist IMHO: im ersten Fall hat der Nutzer erstmal die Kontrolle nur ein VPN gleichzeitig zu oeffnen (ich spare den Fall aus, dass zwei VPN Nutzer im selben Heimnetz sitzen, aber selbst dann kann man sich da bei der VPN Nutzung serialisieren). Im zweiten Fall ist es Aufgabe des ISPs vollumfaengliches Internet bereit zustellen.

    Zitat von frank_m

    Unsere Firma ist deshalb von IPSec auf OpenVPN gewechselt, weil es mit wachsender Anzahl Kollegen aus Kabel-Netzen und Mobilfunkverbindungen am Ende nicht mehr darstellbar war.

    Das ist grossartig von Deiner Firma und ein pragmatischer Weg vorwaerts, waere dem OP zu wuenschen. Aber das entbindet IMHO den ISP nicht das Problem zu loesen*... oft vergeben ISPs in solchen Faellen halt dynamische oeffentliche IPv4 auf Nachfrage/Quaengeln.


    *) Das Produkt ist Internetzugang.

    Zitat von maik6849

    Erstaunlich ist nur, dass nur du das Problem hast, wenn es das Limit doch bei allen DG Kunden gibt.

    Hab ja nicht nur ich, ich habe schon andere Beiträge in diesem Form gesehen, wo screenshoot mit genau diesem icmp auf Verbindungsaufbau beantwortet werden. Das ICMP Paket kommt von einer DG IP ADresse, das hat mit meinem Netz nicht das geringste zu tun. Auch tritt es ausschliesslich auf, wenn ich mit DG Glasfaser direkt in Internet route, über jedweden Verbundenen VPN Zugang oder LTE funktioniert alles wie es sollte.

    Zitat von maik6849

    Ob du Torrent/Filesharing oder ähnliches nutzt hattest du nicht beantwortet.

    Das findet hier nicht statt. Mein 16jähriger, der als einziger in Frage käme, nutzt den PC nur zum Spielen, mit mehr kennt er sich nicht aus. Mit MS Family safty kann ich auch alle Programme sehen, die ausgeführt werden. Das würde sofort auffallen.

    Zitat von frank_m

    Und ein Router-Neustart?

    wenn ich meine opnsense neustartet ändert das nichts. Das Problem ist ja ausserhalb, ich bekomme ein ICMP PAkete von einer 94er Adresse.

    Zitat von frank_m

    Wenn das wirklich die Ursache ist, dann hast du echt ein ernsthaftes Problem in deinem Netz.

    Ich habe gar kein Problem in meinem Heimnetz, ich bekomme ja ICMP Pakete (administrativly filtered) von einer 94er Adresse aus dem DG Netz und habe diese ganze Thematik GAR NICHT, wenn ich anders ins Internet route (vpn surfshark, vpn netcup, lte). Das ist ein DG PRoblem, und das CGNAT passt thematisch am besten. Vielleicht ist es nicht das NAT, aber dann ist es was anderes bei der DG und sie wollen es nicht lösen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von dkoopmans77

    Hab ja nicht nur ich, ich habe schon andere Beiträge in diesem Form gesehen, wo screenshoot mit genau diesem icmp auf Verbindungsaufbau beantwortet werden.

    Wo? Bitte verlinke die mal.

    Zitat von dkoopmans77

    Das ICMP Paket kommt von einer DG IP ADresse, das hat mit meinem Netz nicht das geringste zu tun.

    Es muss mit deinem Heimnetz zu tun haben. Warum sonst sollte der Router die Nachricht rausschicken? Selbst wenn du recht hast mit dem Port-Limit von 1000: dann gibt es 1000 offene UDP Verbindungen aus deinem Heimnetz.

    Wie wäre es, wenn du erst mal alles sauber auf IPv6 umstellst und damit die Spieler schon mal aus deinen NAT Tabellen raus holst. Damit sind deren Verbindungsprobleme schon mal Geschichte, und irgendein Port-Limit spielt an deinem Anschluss garantiert keine Rolle mehr. Dann schau, was von den VPN Problemen noch übrig ist.

    Zitat von mbo77

    Ist das nur ein PC, der am Router angeschlossen ist? Geräte im WLAN?

    Am Glasfasermodem hängt ein 6NIC minipc Quotom mit poxmox und opnsenseVM. Diese opnsense ist mein Router. Es laufen noch ein paar andere VM darauf, Homeassistant, adguard home, etc.. Im wlan tummelt sich nur der übliche Kram, Handys, Notebooks, IoT
    Aber das spielt ja keine Rolle, meine Pakete verlassen ja immer mein Netz und werden an einem Punkt im DG immer mal wieder nicht weitergeleitet. Nach einem Werksreset des Glasfasermodem geht das IMMER sofort wieder alles. Bis es irgendwann wieder nicht mehr alles geht. Du kannst mein Heimnetz komplett aus den Überlegungen herausnehmen. An dem gerade geschilderten Umstand, der sich außerhalb meines Einflussbereichs befindet kann ich herzlich wenig ändern, egal was ich bei mir veranstalte. Ich könnte allenfalls allen Devices, die nicht unbedingt ins Internet verbinden müssen das Gateway entfernen, sodass sie nur in ihrem subnetz sprechen können. Aber tut mir Leid, dies wäre eine vom ISP aufgebürdete Einschränkung, die ich nicht in Ordnung finde.

    Zitat von frank_m

    Wo? Bitte verlinke die mal.

    hier z.b.

    Thema

    Routing-Probleme IPv4(!) Deutsche Glasfaser (connection resets)

    Hi,

    ca. 1 1/2 Jahre lief DG bei mir problemlos. Sowie IPv4 / CGNAT als auch IPv6. Speeds waren auch immer top.

    Realisiert ist das alles bei mir über ein Nokia ONT mit einer pfSense FW und ubqiuti / unifi switches/wifi Router.



    Seit ca. 3 Wochen habe ich über Nacht das Problem, daß ausschließlich bei IPv4 Verbindungen connection resets auftreten d.h.

    ein Router im Netz von DG meldet "host unreachable" und damit bricht die Verbindung ab. Schön zu sehen wenn man z.B. auf http://www.bild.de geht und…
    kreppelesser
    6. Februar 2025 um 10:31
    Zitat von mbo77

    Sonst könntest du mal schauen, wie viele Verbindungen hergestellt sind.

    Ich habe das Problem gerade nicht, ich habe 368 Verbindungen (60 udp, 307 tcp) outgoing mit v4 established. Muss ich mir nochmal ansehen, wenn das Problem akut besteht.

    Zitat von frank_m

    Wie wäre es, wenn du erst mal alles sauber auf IPv6 umstellst und damit die Spieler schon mal aus deinen NAT Tabellen raus holst.

    Wie genau stellt Du Dir das vor ? Ich habe v6 seit Jahren aktiv. dhcpv6 auf WAN aktiv mit /56er prefix delegation.
    Auf allen LAN IF ist ebenfalls dhcpv6 mit /64 prefix delegation aktiv, lediglich dns ist mit RA angepasst. Ich finde nichts, was bei v6 nicht sauber sein sollte. Du kannst die games nicht zwingen v6 zu verwenden, wenn die destination eine v4 adresse ist, dann kannst Du mit v6 da auch nichts machen.

    Einmal editiert, zuletzt von dkoopmans77 (13. Oktober 2025 um 10:31)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von dkoopmans77

    Ich habe das Problem gerade nicht, ich habe 368 Verbindungen (60 udp, 307 tcp) outgoing mit v4 established. Muss ich mir nochmal ansehen, wenn das Problem akut besteht.

    Das wäre mein dringender Ansatz. Wenn du in das Problem läufst, schauen, ob du überhaupt in der Nähe von 1000 Verbindungen bist.

    1024 maximal nutzbare Ports bedeutet, dass die DG 64 Kunden auf eine öffentliche IPv4 NATted, das ist imho schon sehr sportlich. All unsere Consultants und auch der Hersteller unserer CGNATs empfehlen maximal 32 Kunden pro IP.

    Zitat von mbo77

    ob du überhaupt in der Nähe von 1000 Verbindungen bist.

    Na ja, was zaehlt ist weniger was Opnsense als aktive Verbindungen zaehlt, sondern was der AFTR der DG da macht... und wenn die sehr lange TimeOuts hat dann mag das relevante Limit erreicht sein, selbst wenn der eigene NAT router noch Luft nach oben andeutet.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Die Frage wäre ja, ob im doppelten NAT Verbindungen hängen bleiben. Ich gehe davon aus, dass die ursprüngliche Applikation die Verbindung sauber schließt. Diese sollte sich ja eigentlich durch den OpnSense und auch vom AFTR ebenfalls geschlossen werden.

    Daher fände ich die Anzahl Verbindungen zum Zeitpunkt des Problems interessant. Denn eigentlich darf sich da nicht viel aufschaukeln, wenn ich mich nicht irre.