VPN / Myfritz Problem mit DG

1. offizieller Beitrag

    Hallo,


    ich habe ganz frisch Deutsche Glasfaser 400 / 200 Mbit im Haus und nutze meine private 7490.

    Habe die Standardeinstellung gewählt und smit eine Internetverbindung hergestellt.


    Was mir jetzt auffällt ist, dass ich keinen VPN (unter IOS) auf dem Handy oder via My.Fritz auf den Router zugreifen kann.

    Kann mir hier jemand helfen, wie beide Dienste wieder funktionieren?


    Bin ein relativer Neuling und reiche gerne mehr Daten nach falls benötigt.

    Würde mich sehr über Hilfe freuen.

    Vielen Dank im Voraus

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    • Offizieller Beitrag

    Mit statisch oder nicht statisch hat das nichts zu tun. Die Deutsche Glasfaser vergibt IPv6 Adressen und IPv4 Adressen, aber während die IPv6 Adressen weltweit erreichbar sind, sind die IPv4 Adressen aus einem Adressbereich, der für "Carrier Grade NAT (CGNAT)" vorgesehen ist. Das liegt daran, dass der IPv4 Adressvorrat weltweit erschöpft ist und ISPs nur noch Restkontingente nach strengen Regeln und in kleinen Mengen bekommen. Die CGNAT-Adressen fangen mit 100... an und werden wie die meistens im Heimnetz verwendeten 192.168.x.y Adressen nicht im öffentlichen Internet geroutet. Um mit einer solchen Adresse trotzdem eine Verbindung ins Internet aufbauen zu können, muss ein Gerät zwischen dem Computer und dem Internet die Adresse umschreiben. Das nennt man "Network Address Translation (NAT)". Für die Adressen im Heimnetz macht das der Router. Für die 100... Adressen macht das ein großer Router bei der DG. Man kann mit diesen Adressen nur Verbindungen vom Heimnetz ins Internet aufbauen, nicht umgekehrt vom Internet ins Heimnetz.

    Leider bekommt man in den Privatkundentarifen der DG auch gegen Aufpreis (noch) keine "öffentliche" IPv4 Adresse. Eine Anfrage, um Interesse zu bekunden, kann aber nicht schaden.

    Um jetzt doch aus dem Internet auf das Netz zu Hause zugreifen zu können, gibt es mehrere Möglichkeiten. Die direkteste ist, IPv6 zu verwenden. Um auch mit IPv4 von außen zugreifen zu können, wird eine Zwischenstation im Internet benötigt. Diese Zwischenstation können technisch Versierte mit einem gemieteten (virtuellen) Server selbst schaffen, aber es gibt auch Dienstleister, die das fertig anbieten, z.B. feste-ip.net. Dort gibt es auch ausführliche Anleitungen, wie das konfiguriert wird.

    Zitat von alfalfa

    Mit statisch oder nicht statisch hat das nichts zu tun. Die Deutsche Glasfaser vergibt IPv6 Adressen und IPv4 Adressen, aber während die IPv6 Adressen weltweit erreichbar sind, sind die IPv4 Adressen aus einem Adressbereich, der für "Carrier Grade NAT (CGNAT)" vorgesehen ist. Das liegt daran, dass der IPv4 Adressvorrat weltweit erschöpft ist und ISPs nur noch Restkontingente nach strengen Regeln und in kleinen Mengen bekommen. Die CGNAT-Adressen fangen mit 100... an und werden wie die meistens im Heimnetz verwendeten 192.168.x.y Adressen nicht im öffentlichen Internet geroutet. Um mit einer solchen Adresse trotzdem eine Verbindung ins Internet aufbauen zu können, muss ein Gerät zwischen dem Computer und dem Internet die Adresse umschreiben. Das nennt man "Network Address Translation (NAT)". Für die Adressen im Heimnetz macht das der Router. Für die 100... Adressen macht das ein großer Router bei der DG. Man kann mit diesen Adressen nur Verbindungen vom Heimnetz ins Internet aufbauen, nicht umgekehrt vom Internet ins Heimnetz.

    Leider bekommt man in den Privatkundentarifen der DG auch gegen Aufpreis (noch) keine "öffentliche" IPv4 Adresse. Eine Anfrage, um Interesse zu bekunden, kann aber nicht schaden.

    Um jetzt doch aus dem Internet auf das Netz zu Hause zugreifen zu können, gibt es mehrere Möglichkeiten. Die direkteste ist, IPv6 zu verwenden. Um auch mit IPv4 von außen zugreifen zu können, wird eine Zwischenstation im Internet benötigt. Diese Zwischenstation können technisch Versierte mit einem gemieteten (virtuellen) Server selbst schaffen, aber es gibt auch Dienstleister, die das fertig anbieten, z.B. feste-ip.net. Dort gibt es auch ausführliche Anleitungen, wie das konfiguriert wird.


    Also ich habe eine 100.er IP und IPV6 - des weiteren habe ich schon länger einen kostenlosen dyn dns server mit angelegt *ddns.net.

    Wie schaffe ich es jetzt, dass my.fritz wieder geht und ich über IOS den VPN Client nutzen kann?

    Darüber hinaus habe ich auch gemerkt, dass ich meine Klimaanlage auch nicht mehr aus dem Funknetz bedienen kann.

    Finde ich alles einen krassen Rückschritt. Klar die Bandbreite ist fetter, aber mich dafür so kastrieren zu müssen. Finde ich nicht gut.

    Feste ipv4 gibts noch bei edv-kossmann, aber dafür 10€/monatl. zu zahlen finde ich schon happig.


    Wie bekomme ich jetzt den Fernzugriff so hin, dass alles wie Früher klappt?

    Danke für eure Hilfe.

    Jetzt bin ich erstmal frustriert :(

    Hallo midas ,

    ich war anfangs auch etwas enttäuscht, über den Anschluss der Deutschen Glasfaser nicht mehr - wie zuvor bei Unitymedia (mit IPv4) - ohne weiteres auf mein Netz zugreifen zu können. Wie @alfalfa bereits schrieb, leistet feste-ip.net hier jedoch gute Dienste.

    Für den Anfang habe ich mir auf einem vorhanden Raspberry Pi eine "Easy2Connect FIP-Box" eingerichtet (siehe easy2connect.info gehört zu feste-ip.net). Mittels dieser kann ich nun u.a. aus dem (IPv4) Mobilnetz über OpenVPN auf den Raspberry und alle anderen Dienste (bspw. die der FritzBox) im Netz zugreifen. feste-IP.net berechnet hierfür 19,80€ / Jahr (bzw. 4 Credits/Tag), was ich in Ordnung finde.

    Sollte für den Anfang der Zugriff auf die FritzBox ausreichen, so genügt vielleicht auch ein Portmapper (http://www.feste-ip.net/dslite-ipv6-po…-informationen/) - offen bliebe dabei aber das Problem mit der Klimaanlage.

    IPv4-Adressen bietet feste-ip.net für 30€ / Jahr an, jedoch wird eine solche das Problem, aus einem v4-Netz in ein v6-Netz zu kommen, nicht lösen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Hallo Sebastiango, ich bin neu hier und haben deinen Beitrag gelesen. An dieser Stelle bin ich jetzt auch und komme nicht weiter. Ich habe mir die Easy2Connect Box gekauft und nun auch eingerichtet bekommen. Mein Smartphone zeigt mir eine VPN Verbindung. Leider sehe ich das nicht an meiner Fritzbox geschweige denn kann ich auf meine IPv4 Kameras im lokalen Netzwerk zugreifen. Kannst du mir helfen dies korrekt einzurichten?

    Zitat von Martin

    Hallo Sebastiango, ich bin neu hier und haben deinen Beitrag gelesen. An dieser Stelle bin ich jetzt auch und komme nicht weiter. Ich habe mir die Easy2Connect Box gekauft und nun auch eingerichtet bekommen. Mein Smartphone zeigt mir eine VPN Verbindung. Leider sehe ich das nicht an meiner Fritzbox geschweige denn kann ich auf meine IPv4 Kameras im lokalen Netzwerk zugreifen. Kannst du mir helfen dies korrekt einzurichten?

    Momentan nutze ich die FIP-Box nicht, ich kann aber noch einmal eine einrichten. Als Client sollte auf der FritzBox auch nur der Raspberry zu sehen sein, mehr nicht, denn die VPN-Verbindung wird ja zwischen dem Smartphone und der FIP-Box hergestellt und diese leitet nur alles an das interne Netz weiter. Kannst du vom Smartphone aus denn bspw. das Webinterface der Fritzbox aufrufen?

    Hi,

    ich habe das gleiche Problem.

    Seit heute läuft mein Internet über DG.

    Ich nutze weiterhin meine Fritz!Box 7490.

    Hier hatte ich bis dato einen VPN Tunnel eingerichtet um von untwegs auf meine Geräte (Synoloy NAS, Enigma2 Receiver, LAN Kamera) zugreife zu können.

    Eine VPN Verbindung kann ich nun nicht mehr herstellen.

    Meine Synology Dienste kann ich zwar über den DDNS Dienst "myDS" von Synology nutzen, bleiben aber immer noch meine Enigma2 Receiver und LAN Kameras außen vor.

    Um das zu realisieren bräuchte ich so eine FIP-Box?
    Egal ob Eigenbau oder von Feste-IP.net...

    Der DDNS Service auf Feste-IP.net leist sich allerdings genau so als wäre es das richtige für mich.

    Dort wird auch DS-Lite / IPv6 only erwähnt...

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ich nochmal...

    Also ich habe mich jetzt noch weiter belesen, VIdeos geschaut und etwas ausprobiert.

    Ein Dienst von Feste-IP.net kommt für mich aus verschiedenen Gründen nicht in frage.

    Daher habe ich mir bei IONOS einen vServer gebucht für 1€/Monat.

    Dort habe ich 6Tunnel installiert.

    Dann habe ich nach Anleitung von apfelcast folgenden Befehl eingegeben:

    6tunnel 5001 2a00:IPv6:Meines:NAS:Servers 5001

    (Das sollte eine https Verbidung auf die Web Oberfläche meines Synology NAS aufauen)

    6tunnel 1194 2a00:IPv6:Meines:NAS:Servers 1194

    (1194 ist der Pot von OpenVPN der auf meiner Synology läuft)

    Leider kann ich weder die Weboberfläche aufrufen (Browser Zeitüberschreitung) noch eine VPN Verbindung zu OpenVPN aufbauen.

    Fehlermeldung OpenVPN
    Code
    Tue Dec 08 00:12:08 2020 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Dec 08 00:12:08 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]82.XX.XX.11:1194
Tue Dec 08 00:12:08 2020 UDP link local (bound): [AF_INET][undef]:1194
Tue Dec 08 00:12:08 2020 UDP link remote: [AF_INET]82.XX.XX.11:1194
Tue Dec 08 00:13:09 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Dec 08 00:13:09 2020 TLS Error: TLS handshake failed

    Wo ist mein Fehler?

    Wenn deine v6 alles richtig freigeschaltet worden sind sollte das ohne Probleme gehen. Bei OpenVPN musst du aber auch alles auf TCP haben, da UDP von 6tunnel nicht unterstützt wird.

    Danke für deinen Tipp.

    Ich hatte alles auf UDP stehen. Habe mal auf TCP umgestellt.


    Die neue Konfig eingespielt, aber OpenVPN (Win10 PC mit IPv4 und IPv6 Adresse über iPhone HotSpot) verbindet sich nicht mit dem Server.

    EBenso ein iPhone mit IPv4 und IPv6 Adresse.

    Log Win10 Client
    Code
    Tue Dec 08 07:48:00 2020 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
Tue Dec 08 07:48:00 2020 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
Tue Dec 08 07:48:00 2020 OpenVPN 2.5.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 28 2020
Tue Dec 08 07:48:00 2020 Windows version 10.0 (Windows 10 or greater) 64bit
Tue Dec 08 07:48:00 2020 library versions: OpenSSL 1.1.1h  22 Sep 2020, LZO 2.10
Tue Dec 08 07:48:02 2020 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Dec 08 07:48:02 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]82.XX.XX.11:1194
Tue Dec 08 07:48:02 2020 Attempting to establish TCP connection with [AF_INET]82.XX.XX.11:1194 [nonblock]

    Liegt es irgendwie an meiner Verschlüsselung?
    Oder was hat die AES Warnung am Anfang zu bedeuten?

    IPv6 Port Scanner sagt dass die Ports 1194 und 5001 auf der IPv6 von meiner Synology offen sind.

    Log iPhone Client

    2 Mal editiert, zuletzt von aleks-83 (8. Dezember 2020 um 08:03)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Liegt jetzt nicht an Glasfaser, denke dass es dann an CGNAT bzw. IPv6 liegt. Naja haben die FritzVPN nie benutzt. Du kannst dir doch ganz easy einen VPN Server über einen RasPi aufsetzen?

    Ich habe einen OpenVPN Server auf meiner Synology.

    Dass der IPSec VPN der Fritte nciht geht, ist mir bewusst.

    Deshalb versuche ich es über OpenVPN.

    Steht alles im Post #10 :P

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Also von einem Gerät welches eine IPv6 Adresse hat, kann ich durch Eingabe von [2a00:IPv6:DES:SYNOLOGY]:5001 auf das Gerät zugreifen.

    Lediglich das 4to6 Tunneling scheint nicht zu funzen.