Hallo,
hat jemand Erfahrung mit DynDNS? Seit dem Wechsel funktioniert er nicht. Auf dem Router habe ich eine IPv4 Adresse per DHCP erhalten. Mein Anbieter ist Strato.
Gruß
Marc
Hallo,
hat jemand Erfahrung mit DynDNS? Seit dem Wechsel funktioniert er nicht. Auf dem Router habe ich eine IPv4 Adresse per DHCP erhalten. Mein Anbieter ist Strato.
Gruß
Marc
Die IPv4 Adresse an einem Deutsche Glasfaser Privatkundenanschluss ist aus einem Bereich, der für CGNAT reserviert ist (100.64.0.0/10, d.h. 100.64.0.0–100.127.255.255). Diese Adressen sind genausowenig aus dem Internet erreichbar wie die bekannteren Adressbereiche 192.168.0.0-192.168.255.255 und 10.0.0.0-10.255.255.255 und noch einige mehr (https://de.wikipedia.org/wiki/IPv4#Beso…etzwerkadressen).
Dynamic DNS funktioniert im Prinzip an einem DG Anschluss, ist aber fast nutzlos. Der Router würde eine Adresse mit dem Domainnamen verknüpfen, die im Fall von IPv4 nicht von außen erreichbar ist und im Fall von IPv6 nahezu statisch ist.
Ankommende Verbindungen sind ohne weiteres nur per IPv6 möglich. Wenn es darum geht, lokale Dienste per IPv4 aus dem Internet erreichbar zu machen, wird ein externer Dienstleister benötigt, der Verbindungen auf einer öffentlich erreichbaren IPv4 Adresse annimmt und zum DG-Anschluss umleitet, z.B. feste-ip.net oder www.edv-kossmann.de/festeip.
Prima, Danke für den Hinweis. Die Preise sind aber happig.
Kommt drauf an, was man braucht. Die Lösung von Kossmann EDV ist zwar relativ teuer, aber auch sehr einfach zu konfigurieren, weil man sich überhaupt nicht mit IPv6 beschäftigen muss. Kossmann EDV ist Kooperationspartner der DG und kann die IPv4 Adressen hinter dem CGNAT ansprechen. Bei feste-ip.net kann man schon für knapp 5€/Jahr 12 Ports erreichbar machen, die man sich allerdings IPv4-seitig nicht aussuchen kann. Es gibt da aber auch abgestuft universellere und teurere Lösungen. Und der Zugriff per IPv6 geht ja einfach so und kostet überhaupt nichts extra.
Ich selbste habe eine Weile den dedizierten Portmapper von feste-ip.net genutzt. Der Service funktionierte wie beschrieben und nennenswerte Probleme sind nicht aufgetreten.
Für viele Privatanwender sollten die Einschränkungen eines Portmappers akzeptabel sein. Ich selbst verwende zwischenzeitlich eine elegantere Lösung. Doch auch diese ist mit Kosten in höhe von 2 bis 3 Euro pro Monat verbunden.
Ich würde auch behaupten, dass man zu 70-80% solche Services aus rein beruflicher Sicht benötigt. Diese Kosten lassen sich dann evtl. als Betriebskosten anrechnen. Daher finde ich die Preise bei edv-kossmann sogar noch angemessen. Just my 2 cents.
Hallo Lars,
würdest du mir denn verraten, was du gemacht hast? Ich habe u.a. VPN Zugänge, welche von Kossmann nicht unterstützt werden. Das, was ich bisher gemacht habe, kann ich nicht mit denen umsetzen.
Hallo FroeMa,
natürlich erkläre ich mein Setup gerne. Es ist allerdings deutlich kompliziertes als die Einrichtung eines simplen Portmappers.
An meinem Glasfaser-Anschluss verwende ich anstelle eines normalen "Heimrouters" eine Sophos UTM Firewall. Sophos stellt diese Privatpersonen kostenfrei als Software- Appliance (bis max. 50 internen IP-Adressen) zur Verfügung.
In der Cloud - in meinem Fall bei netcup.de - betreibe ich auf einem virtuellen Server eine zweite Sophos UTM Firewall. Dafür ist bereits der kleinste vServer (VSP) von netcup.de ausreichend. Dessen Kosten betragen zurzeit 2,69 € pro Monat (zu Ostern wird es einige Sonderangebote geben).
Bislang unterscheidet sich dieses Setup hinsichtlich der externen Erreichbarkeit nicht nennenswert von einem normalen "Heimrouter". Der Trick kommt jetzt:
Die Sophos UTM Firewalls verfügen über ein proprietäres VPN-Protokoll namens RED (Remote Ethernet Device). Mit diesem Protokoll wird eine direkte Kabelverbindung emuliert. Die Firewall an meinem Glasfaser-Anschluss baut eine RED-Verbindung zur Firewall in der Cloud auf. Dies funktioniert auch dann problemlos, wenn sich die Firewall am Glasfaser-Anschluss hinter einem NAT-Router befindet.
Alle externen Zugriffe auf mein Heimnetz (bspw. via VPN oder HTTPS) terminieren an der Firewall in der Cloud und werden über den RED-Tunnel zur Sophos an meinem Glasfaser-Anschluss geleitet.
Für mich bietet dieses Setup eine Menge Vorteile:
Im Sophos Forum findet man einige Threads und Anleitung, welches sich mit einem solchen Setup ausführlich auseinandersetzen. Falls sich tatsächlich jemand für eine solche Lösung interessiert, stehe ich gerne für Rückfragen zur Verfügung.
*** In meinem Fall war die Sophos UTM Firewall bereits lange vor dem Glasfaser-Anschluss vorhanden. Daher habe ich die einmaligen Kosten für die erforderliche Hardware-Plattform leider außer Acht gelassen. Diese sind in etwa mit den Kosten für das Topmodell von AVM vergleichbar.
Ok. Danke für den ausführlichen Bericht. Das überfordert mich dann doch etwas
Ich weiß nicht, um welche VPNs es geht, deswegen allgemein: Für die Fritzbox-VPN-Funktion gibt es keine Lösung, mit der das VPN an DG Privatkundenanschlüssen von außen erreichbar gemacht werden kann, wenn die Fritzbox auch der primäre Router ist. Die Fritzbox kann unter bestimmten Bedingungen ein VPN ausgehend aufbauen, wenn die andere Seite eine öffentliche IPv4 Adresse hat. Andere Router sind da teilweise flexibler und bieten robustere VPN Protokolle an. Wenn das VPN nicht unbedingt auf dem Router terminieren muss, bietet sich vielleicht ZeroTier an.
Und nicht vergessen, der Deutschen Glasfaser den Bedarf mitzuteilen. Bei den meisten größeren Providern ist es auch in Privatkundentarifen möglich, bei Bedarf und ggf. gegen einen kleinen Aufpreis eine öffentliche IPv4 Adresse für den Anschluss zu bekommen. Das wird auch für nicht-geschäftliche Zwecke gebraucht und alle Alternativen sind deutlich umständlicher und mit erheblichen Einschränkungen verbunden, gerade wenn man sich technisch nicht so gut auskennt.
Hallo FroeMa,
hast du dir mal die FIP-Box von feste-ip.net angesehen? Diese Lösung basiert auf dem gleichen Prinzip, wie das von mir gewählte Setup.
Die Box ist bereits fertig konfiguriert erhältlich, sodass man für die Inbetriebnahme und Einrichtung kein IT-Experte sein muss.
Bei der easy2connect Version hinterlegen Sie die lokalen Ziele direkt per Browser in Ihrem Account. Sie bekommen danach sofort die Adressen angezeigt unter denen Ihre Geräte extern erreichbar sind. Um den Rest kümmert sich das easy2connect System. Dabei ist es egal, ob sie einen DSL / LTE / Bürgernetz / IPv4 oder IPv6 Anschluss haben. Ein Einwahl-VPN für die sichere Verbindung zu Ihrem Heimnetz ist ebenfalls enthalten. Es sind keine Anpassungen am Router notwendig.
Die laufenden Kosten betragen 19,80€ pro Jahr. Die FIP-Box easy2connect gibt als komplett fertiges System (119,-) oder als SD-Karte (29,-) für die Nutzung eigener Technik.
Alle Informationen zum Easy2Connect System incl. Erklärungsvideo gibt es ab sofort auch unter: http://www.easy2connect.info/.
@alfalfa
Ich habe NEW jetzt mal angeschrieben. Mal sehen, wie sie reagieren werden. Immerhin habe ich hier im Ort mit gekämpft, dass Glasfaser gelegt wurde.
Ich habe mir die Box angeschaut. Testen kann man das mal. Ich benötige allerdings halt für eine Anwendung unbedingt VPN IPSec. Zudem habe ich mir gerade von GL.iNet ein VPN-Gateway geholt. Das unterstützt WireGuard.
Trotz aller zusagen erkennen meine Systeme kein IPv6. Wie kann ich das in Ermangelung einer Fritz!Box denn sonst noch ermitteln.
Ich habe mal ein MacBookPro einfach an den NT angeschlossen. Auch da erhalte ich nur die IPv4 Adresse.
Gruß
Marc
Hallo FroeMa,
hast Du dir bereits diesen Thema bzw. dieses Posting von alfalfa angesehen?
6rd ist eine Übergangslösung, um IPv6 Zugänge über eine IPv4 Infrastruktur zu tunneln. Technisch ist 6rd ein 6to4-Tunnel. Der Unterschied besteht lediglich in der Nutzung von providereigenen IPv6-Präfixen und Relays.
6rd wird von einigen (wenigen) Providern eingesetzt, um den Kunden öffentlich erreichbare IPv6-Bereiche zu bieten. Ein prominenter ISP, der diese Technik einsetzt ist die Deutsche Glasfaser (DG).
6rd wird extrem oft mit einem DS-Lite-Anschluss verwechselt. Das beste Beispiel sind zahlreiche Forenbeiträge bezüglich der DG, wenn es um die Nutzung des eigenen IPV6-Bereichs mit eigenen Routern geht, welche keine FritzBox sind. Das Problem ist die relativ geringe Verbreitung der Technik. Viele Router kommen mit 6rd nicht klar, erst recht nicht mit der automatischen Konfiguration. Die nötigen Daten für 6rd werden mittels der DHCP-Option 212 geliefert.
Quelle: https://wiki.est-it.de/wiki:6rd
Falls Du es nicht weißt, solltest Du beim DG-Support nachfragen, wie IPv6 an deinem Anschluss realisiert wird. Danach kannst du prüfen, ob dein VPN-Gateway kompatibel ist.
Im Fall meiner Glasfaser-Anschlüsse setzt Deutsche Glasfaser 6rd ein. Meine Sophos UTM Firewalls sind damit nicht (ordnungsgemäß) kompatibel. Daher kann ich entweder auf IPv6 verzichten (was durch mein oben beschriebenes Setup problemlos möglich ist) oder eine Fritz!Box vor die Firewall schalten.
Hallo Alfy,
zunächst mal Danke für die Antworten. Ich habe leider keine Fritz!Box, bzw. nutze die alte FB für meinen Telefonanschluss.
Ich habe von Ubiquiti das UniFi USG 4G im Einsatz. Ich kenne mich aber nicht damit genug aus, um da etwas auszulesen.
Ich habe jetzt erst mal die NEW (das ist mein IPS) angeschrieben. Mal sehen, wie die Antwort sein wird. Notfalls schlage ich da persönlich auf. Erkelenz ist nicht weit von hier.
Falls jemand noch eine Idee hat, wie ich das zB. mit einem raspberry erkennen kann. Der möge es mir verraten.
Viele Grüß und frohe Ostern
Marc
natürlich erkläre ich mein Setup gerne. Es ist allerdings deutlich kompliziertes als die Einrichtung eines simplen Portmappers.
An meinem Glasfaser-Anschluss verwende ich anstelle eines normalen "Heimrouters" eine Sophos UTM Firewall. Sophos stellt diese Privatpersonen kostenfrei als Software- Appliance (bis max. 50 internen IP-Adressen) zur Verfügung.
Hallo Alfy,
ich habe deine Lösung gesehen wie du deinen DG Anschluss von Außen erreichbar gemacht hast - sehr schön umgesetzt.
Auch wir haben mittlerweile unseren DG Anschluss geschaltet bekommen, jedoch haben wir parallel dazu noch einen vDSL Anschluss im Betrieb (als Backup) wo auch noch SIP Rufnummern drüber laufen. Die Kündigung ist jedoch geplant.
Der Aufbau mit der virtuellen RED ist tatsählich auch ein gangbarer Weg für uns, ich würde dir gerne aber mal unser Szenario erklären.
eine mittelständische Firma mit 2 Standorten (lediglich 5km voneinander getrennt).
Standort A: DG 400Mbit/s + vDSL 50 (DynIP)
Standort B: DG 400Mbit/s + vDSL 100 (DynIP)
Nun ist es so, dass die Standorte (vorher zwei getrennte Firmen) miteinander fusioniert werden, an Standort B die IT minimiert wird, und die jeweiligen Benutzer über ein Site to Site VPN Arbeiten sollen. Die grundlegende IT Infrastruktur wird an Standort A verfügbar sein. Daher Standort B = Remote Standort, und Standort A = Haupt Standort.
Wir wollen den vDSL Anschluss an Standort B gerne einsparen zukünftig. Da Standort A wichtig ist, kann der vDSL Anschluss hier jedoch als Failover erhalten bleiben. Soweit der Gedanke.
Verfügbar nach Extern am Standort A: Exchange OWA, Sophos XG
Sowie eine SSL Site to Site zu Standort B.
Soweit so gut, nun zur ersten Frage.
Du hast geschrieben, dass Sophos eine direkte Kabelverbindung emuliert. Funktioniert dies auch zwischen zwei XG Appliances innerhalb des DG Netzes? Wir haben an beiden Standorten eine Sophos XG hinter dem Glasfaser Anschluss, ich konnte es leider noch nicht ausprobieren, aber beudetet das, dass sich eine S2S verbindung zwischen den beiden Standorten (und DG Anschlüssen) realisieren lässt, ohne Portmapper?
Der vDSL Anschluss an Standort A (welcher als Backup fungieren soll) kann dann für die Port-Forwards dienen. Ggf. wäre dieser auch kündbar und man könnte die Lösung mit der virtuellen RED bei netcup in Betracht ziehen.
Grundsätzlich benötigt eine Site-to-Site Verbindung zwischen zwei Deutsche Glasfaser-Standorten keinen Portmapper, da beide Anschlüsse über öffentlich erreichbare IPv6-Adressen verfügen. Ein Portmapper bzw. ein Server, der Verbindungen über ein VPN zuführt, wird nur benötigt, wenn ein Zugriff von außen per IPv4 ermöglicht werden soll, was z.B. für Heimarbeiter nötig sein kann.
Man kann ja in der Theorie alles ohne Probleme über das Internet 100.68.X.X netz der DG betreiben.
In aller Kürze: Ich habe an meinen DG-Standorten jeweils eine Sophos UTM. Die UTMs bauen im CGN Netz einen RED-Tunnel zu einander auf. Die von DG zugewiesenen IPv4 CGN Adressen sind glücklicherweise statisch.
Entweder kann man zwischen den beiden UTMs ein Transfer-Netzwerk und Routing implementieren oder man stellt den RED-Tunnel an einem Interface der UTM bereit, sodass eine L2 Kopplung möglich ist.
Mit der Sophos XG habe ich leider zu wenig praktische Erfahrung. Daher kann ich nur zum Googlen und Ausprobieren raten.
Was Rxyzr und Alfy andeuten, ist die Möglichkeit, die eigentlich nicht öffentlichen IPv4 Adressen, die die DG ihren Anschlüssen zuteilt, für direkte Verbindungen zwischen DG-Anschlüssen zu nutzen. Solche Verbindungen durchlaufen nämlich nicht das CGNAT und so sind diese Adressen für andere DG-Kunden problemlos erreichbar. Man kann das also z.B. für RED (Remote Ethernet Device) Verbindungen zwischen UTMs verwenden.
Eigentlich ist eine solche Speziallösung aber wie geschrieben nicht nötig. Da beide Standorte über öffentlich zugängliche IPv6 Adressen verfügen, kann man auch beliebige andere VPNs verwenden, die IPv6 als Transportprotokoll verwenden. Wireguard wäre z.B. so ein VPN. Ein externer Server ist nur nötig, wenn man auch von außerhalb des DG-Netzes per IPv4 Zugriff haben möchte.
Danke erstmal für eure Tipps!
Bin zwar nicht komplet Planlos, aber dann auch nicht allzu Tief in der Materie drin.
Der RED TunnelN wird sich dann vermutlich (über die CGN IPv4 der beiden DG Anschlüsse) problemlos einrichten lassen zwischen beiden Standorten.
Nun gibt es noch die Überlegung bei beiden Standorten die vDSL Leitung zu kündigen, und einen der beiden Standorte dann per Netcup Sophos Appliance erreichbar zu machen.
Voller Tatendrang habe ich bei Netcup dann das 2,95€ Paket gebucht und die Sophos XG installiert um dann festzustellen, dass die XG direkt in den Failsafe Mode fällt, da nur 1 Netzwerkadapter zur Verfügung steht bei Netcup. Hat die UTM diese Limitierung nicht?