[Frage] LISP als DSLite Ausweg?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
K

karl001

Neuer User
Mitglied seit
3 Okt 2005
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Hallo Zusammen,

als DSLite geschädiger muss ich leider mit IPv6 und seinen aktuellen Auswirkungen leben, das nervigste sind für mich 2 Punkte:

- fehlende Erreichbarkeit per IPv4
- IPSec sowie PPTP/GRE laufen über das UM Gateway nicht

Aktuell versuche ich nähere Informationen über LISP zu erhalten und zu klären ob das im Zusammenspiel mit einer DualStack Shell Abhilfe bei meinem Erreichbarkeitsproblem bringen kann.

Leider scheitert es schon daran wirklich taugliche Informationen bzw. Praxis Beispiele zu bekommen, zumindest finde ich nichts brauchbares.

Warum LISP? Gelinde gesagt weil es das einzige ist was die Fritzbox direkt unterstützt, ich möchte keine weiteren Stromfresser im Dauerbetrieb haben und VPN Funktionalitäten der Fritzbox scheiden wohl aus, eine LAN to LAN Kopplung war mir auf eine IPv4 Fritzbox jedenfalls nicht möglich.

Hat hier jemand ggf. Erfahrungen mit LISP? Für Tips wäre ich echt dankbar...

Karl
 
Ich bin da bisher auch noch nicht so richtig fündig geworden, vor allem benötigt man eben einen eigenen PxTR irgendwo im Internet und der muß - nach meinem Verständnis - dann auch noch "freie" öffentliche IP-Adressen haben, denn der "Nicht-LISP"-Teil des Internets muß ja mit diesem Proxy kommunizieren und wenn das nicht über IPv4 erfolgt, sondern über IPv6, dann braucht es LISP eigentlich nur noch für's Roaming.

Meine Server haben leider nur mehrere einzelne Adressen und keine Subnetze ... wenn ich es richtig verstehe, braucht man für den Router-Mode von LispMob aber mind. ein /30-Subnetz als EID.

Ich habe mich auch schon seit geraumer Zeit gewundert, daß sich eigentlich kein Schwein für LISP interessiert - man vol der Pressemitteilung abgesehen. Dabei wäre das sicherlich ein interessantes Gebiet.

Am Ende dürfte das aber mehr auf eine Art VPN auf LISP-Basis hinauslaufen, wo der PxTR die Funktion des Gateways übernimmt, hinauslaufen. Ob die LISP-Implementierung in der FRITZ!Box dann auch wieder einen "eigenen" EID-Space bereitstellt (also das IPv6-Netz zwischen eigenem Router (auf dem Server) und der FRITZ!Box nur "RLOC space" ist) und damit die am Router (das meint jetzt immer den LISP-Router, nicht die Box) eingehenden Pakete dann praktisch an der Box am lisp0-Interface mit der externen Adresse des Routers auftauchen, würde mich auch mal brennend interessieren. Leider habe ich zur tatsächlichen Verwendung der LISP-Funktionen der Box (und sei es dreist in Verbindung mit einem Cisco-Router, die ja wohl eine eigene LISP-Option im IOS haben können) auch noch keine Dokumentation gefunden.

Was LISP aber auch nicht kann ... es kann keine öffentlichen IPv4-Adressen aus dem Hut zaubern. Wenn Du also nicht woanders eine IPv4-Adresse hast, die quasi als Stellvertreter für Deinen UM-Anschluß fungieren kann, dann bringt Dir das - nach meinem begrenzten Verständnis - auch nichts. Da man dann (wenn man ohnehin einen eigenen "Fixpunkt" im Internet braucht) auch gleich - trotz CGN - eine IPSec-Verbindung (über IPv4) zu diesem Gateway unterhalten kann, braucht man in diesem Fall auch nicht unbedingt LISP. Wenn Du die LAN-LAN-Kopplung nicht hinbekommen hast, ist das DS-Lite nur begrenzt Schuld daran. Was allerdings m.W. nicht problemlos klappt, ist die VPN-Einrichtung in diesem Falle mit dem GUI-Editor der FRITZ!Box, da muß man schon etwas mehr Arbeit investieren.
 
PeterPawn schrieb:
Meine Server haben leider nur mehrere einzelne Adressen und keine Subnetze ... wenn ich es richtig verstehe, braucht man für den Router-Mode von LispMob aber mind. ein /30-Subnetz als EID.
Zum Vergrößern anklicken....

Au backe, das habe ich noch gar nicht gelesen... Bedeutet also auch für mich mit Single IP's sowohl für IPv4 und v6 auf einer Shell ebenfalls Sense...


PeterPawn schrieb:
Ich habe mich auch schon seit geraumer Zeit gewundert, daß sich eigentlich kein Schwein für LISP interessiert - man vol der Pressemitteilung abgesehen. Dabei wäre das sicherlich ein interessantes Gebiet.
Zum Vergrößern anklicken....

Indeed, aber momentan scheint Cisco der einzige zu sein der das etwas mehr pusht, ich bin ehrlich gesagt überrascht das AVM das bereits in ihre Firmwares aufgenommen hat, scheint momentan recht stiefmütterlich behandelt zu werden.


PeterPawn schrieb:
Am Ende dürfte das aber mehr auf eine Art VPN auf LISP-Basis hinauslaufen, wo der PxTR die Funktion des Gateways übernimmt, hinauslaufen. Ob die LISP-Implementierung in der FRITZ!Box dann auch wieder einen "eigenen" EID-Space bereitstellt (also das IPv6-Netz zwischen eigenem Router (auf dem Server) und der FRITZ!Box nur "RLOC space" ist) und damit die am Router (das meint jetzt immer den LISP-Router, nicht die Box) eingehenden Pakete dann praktisch an der Box am lisp0-Interface mit der externen Adresse des Routers auftauchen, würde mich auch mal brennend interessieren. Leider habe ich zur tatsächlichen Verwendung der LISP-Funktionen der Box (und sei es dreist in Verbindung mit einem Cisco-Router, die ja wohl eine eigene LISP-Option im IOS haben können) auch noch keine Dokumentation gefunden.
Zum Vergrößern anklicken....

Ich habe gestern mal eine Allocation beantragt, mal sehen was dabei raus kommt, sofern ich etwas raus bekomme berichte ich gerne... :)


PeterPawn schrieb:
Was LISP aber auch nicht kann ... es kann keine öffentlichen IPv4-Adressen aus dem Hut zaubern. Wenn Du also nicht woanders eine IPv4-Adresse hast, die quasi als Stellvertreter für Deinen UM-Anschluß fungieren kann, dann bringt Dir das - nach meinem begrenzten Verständnis - auch nichts. Da man dann (wenn man ohnehin einen eigenen "Fixpunkt" im Internet braucht) auch gleich - trotz CGN - eine IPSec-Verbindung (über IPv4) zu diesem Gateway unterhalten kann, braucht man in diesem Fall auch nicht unbedingt LISP. Wenn Du die LAN-LAN-Kopplung nicht hinbekommen hast, ist das DS-Lite nur begrenzt Schuld daran. Was allerdings m.W. nicht problemlos klappt, ist die VPN-Einrichtung in diesem Falle mit dem GUI-Editor der FRITZ!Box, da muß man schon etwas mehr Arbeit investieren.
Zum Vergrößern anklicken....

Tja, leider waren meine bisherigen Versuche von wenig Erfolg gekrönt, sofern du hier ein funktionierendes Beispiel für z.B. OpenSwan hast wäre ich da mehr wie dankbar. Ich befürchte aber das nützt nichts weil das DSLite Gateway von Unitymedia dicken Streit mit VPN Protokollen zu haben scheint, meine Versuche eine LAN Kopplung mit 2 Fritzboxen, wobei eine natives IPv4 hat sind jedenfalls gescheitert, trotzt Config Editor. Den Fehlermeldungen und Recherchen zu urteilen liegts wohl auch hier an DSLite, ich komme einfach nicht mit allem raus...

Momentan habe ich die Krücke OpenVPN mit einem OpenWRT Router laufen, bin jedoch sehr unglücklich über die Performance.

Karl
 
Ob Du am Ende mit der IPSec-Performance so viel glücklicher sein wirst, weiß ich zwar nicht, aber zur LAN-LAN-Kopplung zweier FRITZ!Boxen, wenn die eine nur an einem DS-Lite-Anschluß hängt, habe ich schon genug geschrieben. Wenn Du mit "Initiator", "Responder", "IPSec" und meinem Nickname (im richtigen Feld) eine Suche startest, solltest Du das auch finden können. Es macht wenig Sinn, das noch einmal zu schreiben. Die LAN-LAN-Kopplung ist - wenn wenigstens eine der beiden FRITZ!Boxen eine Public-IPv4-Adresse hat - jedenfalls problemlos machbar - da muß man nur verhindern, daß die Box mit der IPv4-Adresse ihrerseits versucht, eine IPSec-Verbindung zu starten (die ohnehin nicht klappt) und es dann zu Kollisionen kommt.

Ein openSwan- oder strongSwan-Beispiel habe ich auch nicht, ich benutzte raconn. Es gibt aber auch genug Beispiele, wo es - bei Berücksichtigung der Bemerkungen, die auch für das AVM-VPN gelten - mit strongSwan und einer FRITZ!Box funktioniert, auch da ist die Suche kein Fehler. Das war alles beides meines Wissens schon dieses Jahr wieder Thema hier.
 
Moins

PeterPawn schrieb:
Ich habe mich auch schon seit geraumer Zeit gewundert, daß sich eigentlich kein Schwein für LISP interessiert - man vol der Pressemitteilung abgesehen. Dabei wäre das sicherlich ein interessantes Gebiet.
Zum Vergrößern anklicken....
Interessiert schon, nur hab ich keine Lust ein Semester dafür zu investieren. :silly:
Wenn es einfach, zuverlässig und auch über DS-Lite funktionieren würde, warum hört man dann nichts davon?
VPN funktioniert m.E. auch nicht immer so toll, manche Smartfons (mein BADA-OS Samsung z.B.) sind sogar komplett inkompatibel zu Fritz!Box VPN.
Eine einfache Proxylösung (tinyproxy) erfüllt mich eher mit Freude, allerdings nur über Allow abgesichert. Aber er liefert sowohl IPv4 und IPv6 aus (bei nativen IPv6).
...zum Glück muss ich mich nicht mit DS-Lite und irgendwelche Tunnel rumschlagen. Ja sogar komplett deaktivieren lässt sich IPv6, im Zweifelsfall.
Denn über einen Proxy auf der Box ist auch SLAAC aktiv. Was nicht so toll sein soll.
Testwebseite
ipv4-6_tinyproxy_01.jpg
 
Slaac macht das Endgerät, nicht der Router. Willst du Slaac nicht benutzen (warum eigentlich?), musst du statische Adressen nutzen.
 
Widerspruch: Schalte ich den Fritz!Box Proxy (tinyproxy) aus, ergibt sich folgendes Bild...
ipv4-6_no_tinyproxy_02.jpg
...diesmal wird fehlendes ICMP moniert.
 
Moin

Das mit dem SLAAC hat mir keine Ruhe gelassen.
...bis ich die für mich passende Einstellung gefunden habe...
fb_zugang_ipv6_01.jpg<--führt dann zu-->tinyproxy_all_green_01.jpg
 
Hmm, habe alles so eingestellt, wie auf Deinem Screenshot dargestellt, dennoch bekomme ich auf der Testseite ein "ICMP filtered" angezeigt. Gibt es da sonst noch irgendwelche Einstellschrauben, oder ist dieses "filtered" egal?
 
Ehrlich: Ich hab keine Ahnung was SLAAC und dieses ICMP in Bezug auf Sicherheit bedeutet, noch kann ich dir erklären was das überhaupt genau ist.
...wollte nur alles Grün haben. Über Erklärungen (SLAAC, ICMP) wär ich auch sehr glücklich.
:rolleyes:

Member leseratte deutete an...
leseratte schrieb:
Slaac macht das Endgerät, nicht der Router.
Zum Vergrößern anklicken....
...ICMP auch Endgeräteabhängig?

Dann müsste das "filtered" dessen Firewall erzeugen.
...fahr mal zum Testen die Firewall deines Klienten runter.
 
Zuletzt bearbeitet:
Nee, auch mit deaktivierter Windows-Firewall (Win7-32bit) "ICMP filtered".
 
Dann muss es an meinen Proxy liegen.
Anders kann ich mir das auch nicht erklären.
Ohne Proxy hab ich 18/20: ICMP not tested
Die Fritz!Box filtert dann wohl ICMP.
 
@koyaanisqatsi,
es wäre äußerst außerordentlich nett, würdest ein verständliches Mini-how-to erstellen, wie du das " ...wollte nur alles Grün haben" mit tinyproxy (extern) & Co. bewerkstelligt hast.

So jemand sonst weiß, wie man von "ICMP Filtered" zu "ICMP Reachable" kommt, bitte immer raus damit! :)

http://ipv6-test.com/

:)
 
Abend

Klaro verrat ich dass...

1. Die Binary für die Fritz!Box besorgen und auf USB-Speicher kopieren
2. Mit telnet/ssh PuTTY auf die Fritz!Box
3. Eine Konfig für tinyproxy erstellen, Inhalt...
tinyproxy.conf (rote Stellen anpassen)
Code: 
DisableViaHeader yes
[COLOR=red] ViaProxyName "tinyproxy.spdns.org"[/COLOR]
XTinyproxy no
User root
Group root
[COLOR=red] Port 8468[/COLOR]
Timeout 600

#ErrorFile 400 "/var/media/NEW_LINK/error/e400.html"
#ErrorFile 401 "/var/media/NEW_LINK/error/e401.html"
#ErrorFile 403 "/var/media/NEW_LINK/error/e403.html"
#ErrorFile 404 "/var/media/NEW_LINK/error/e404.html"
#ErrorFile 500 "/var/media/NEW_LINK/error/e500.html"
#DefaultErrorFile "/var/media/NEW_LINK/error/etp.html"
#StatFile "/var/media/NEW_LINK/html/test.html"
StatHost "tiyny_stats"

Syslog On
#LogFile "/var/media/NEW_LINK/mips/tinyproxy.log"
# Set the logging level. Allowed settings are:
#       Critical        (least verbose)
#       Error
#       Warning
#       Notice
#       Connect         (to log connections without Info's noise)
#       Info            (most verbose)
# The LogLevel logs from the set level and above. For example, if the LogLevel
# was set to Warning, than all log messages from Warning to Critical would be
# output, but Notice and below would be suppressed.
#
LogLevel Info
[COLOR=red] PidFile "/var/media/NEW_LINK/mips/tinyproxy.pid"[/COLOR]

MaxClients 100
MinSpareServers 30
MaxSpareServers 200
StartServers 50
MaxRequestsPerChild 100000

#Allow localhost

#upstream localhost:8088
#no upstream "localhost"

[COLOR=red]Filter "/var/media/NEW_LINK/mips/tinyproxy.filter"[/COLOR]
FilterURLs On
FilterExtended On
FilterCaseSensitive Off
FilterDefaultDeny No

#Anonymous "Host"
#Anonymous "Authorization"
#Anonymous "Cookie"
#Anonymous "User-Agent"
#Anonymous "Accept"
#Anonymous "Accept-Charset"
#Anonymous "Accept-Encoding"
#Anonymous "Accept-Language"
#Anonymous "Cache-Control"
#Anonymous "Connection"
#Anonymous "Content-Length"
#Anonymous "Content-Type"
#Anonymous "Expect"
#Anonymous "HTTP-Host"
#Anonymous "HTTP_CACHE_INFO"
#Anonymous "If-Match"
#Anonymous "If-Modified-Since"
#Anonymous "If-None-Match"
#Anonymous "If-Range"
#Anonymous "If-Unmodified-Since"
#Anonymous "Pragma"
#Anonymous "Range"
#Anonymous "TE"
#Anonymous "Upgrade"
#Anonymous "DNT"
#Anonymous "X-Forwarded-For"
#Anonymous "Client_Ip"
#Anonymous "Via"

#AddHeader "Cache-Control" "max-age=0"
#AddHeader "HTTP-Host" "google.com"
#AddHeader "Host" "google.com"
#AddHeader "From" "[email protected]"
#AddHeader "Connection" "keep-alive"
#AddHeader "User-Agent" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
#AddHeader "User-Agent" "Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20140429 Firefox/24.0 Iceweasel/24.5.0"
#AddHeader "User-Agent" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36"
#AddHeader "User-Agent" "Mozilla/5.0 (Windows NT 5.1; rv:33.0) Gecko/20100101 Firefox/33.0"
#AddHeader "Referer" "https://www.google.com/"
AddHeader "DNT" "1"
#AddHeader "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"
#AddHeader "Accept-Language" "de-DE;en;q=0.5"
#AddHeader "Accept-Encoding" "gzip,deflate"
#AddHeader "Via" "Googlebot/2.1"
#Addheader "Proxy-agent" "Googlebot/2.1"
#AddHeader "X-Forwarded-For" "127.0.0.1"
#AddHeader "XProxy_Connection" "127.0.0.1"
#AddHeader "Forwarded-For" "127.0.0.1"
#AddHeader "Proxy_Connection" "127.0.0.1"
#AddHeader "Client_Ip" "123.123.123.123"

#ReversePath "/test/"    "http://localhost/html/"
#ReverseOnly Yes
#ReverseMagic Yes
#ReverseBaseURL "http://localhost/html/"
#EOF
Nicht an eine IP binden! Nur so kann er IPv4 & 6 holen/ausliefern.
4. Den Proxy starten, beispielsweise so: ./tinyproxy -c tinyproxy.conf
5. Diesen Proxy nun benutzen, im Webbrowser eintragen: Proxy: fritz.box Port: 8468
...fertig, testen.

Achso, tinyproxy.filter, entweder: touch tinyproxy.filter (leer)
Oder mit beispielhaften Inhalt...
tinyproxy.filter
Code: 
adnxs.[a-z]{2,4}
addthis.[a-z]{2,4}
adsv7.[a-z]{2,4}
adserver.[a-z]{2,4}
infostatsvc.[a-z]{2,4}
tanzuki.[a-z]{2,4}
brandreachsys.[a-z]{2,4}
chartbeat.[a-z]{2,4}
contentabc.[a-z]{2,4}
datingadzone.[a-z]{2,4}
doubleclick.[a-z]{2,4}
exoclick.[a-z]{2,4}
geotrust.[a-z]{2,4}
#apis.google.[a-z]{2,4}
#googleapis.[a-z]{2,4}
googleadservices.[a-z]{2,4}
google-analytics.[a-z]{2,4}
googlesyndication.[a-z]{2,4}
ggpht.[a-z]{2,4}
gravatar.[a-z]{2,4}
gstatic.[a-z]{2,4}
safebrowsing-cache.google.[a-z]{2,4}
thawte.[a-z]{2,4}
traffichaus.[a-z]{2,4}
twinplan.[a-z]{2,4}
ytimg.[a-z]{2,4}
[a-z]{1,99}.microsoft.[a-z]{2,4}
[a-z,0-9]{1,99}.msftncsi.[a-z]{2,4}
guideelevate.[a-z]{2,4}
facebook.[a-z]{2,4}
younow.[a-z]{2,4}
[a-z,0-9]{1,99}.xiti.[a-z]{2,4}
...da gehen nämlich reguläre Ausdrücke. :doktor:
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 611 (Mitglieder: 7, Gäste: 604)

Neueste Beiträge

Statistik des Forums

Themen
244,840
Beiträge
2,219,268
Mitglieder
371,543
Neuestes Mitglied
Brainbanger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück