Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
ich habe eine Frage:
Habe einen inexio / quix DSL / VDSL Anschluss.
Leider kann ich keine VPN Verbindung von extern mit meiner FritzBox aufbauen weil der Anbieter mit einem Subnetz oder ähnlichem arbeitet.
Welche Möglichkeiten habe ich denn um die VPN Verbindung trotzdem aufbauen zu können?
mit zusätzlichen Informationen über die Art der Einschränkung könnte man vielleicht etwas dazu sagen. Was mit "einem Subnetz oder ähnlichem" gemeint ist erschliesst sich mir spontan nicht. DS-Lite?
Soweit es bekannt ist, verwendet der Provider da kein DS-Lite, aber sehr wohl ein CGN auf IPv4-Basis ... die Kunden erhalten IPv4-Adressen aus 100.64/10 (nach RFC 6598) - ob sich da etwas geändert hat, wird man in diesem Thread vermutlich auch eher nicht herausfinden.
Offenbar ist es für den TE nicht wirklich wichtig und wenn ich das oben so lese (mich befällt natürlich dieselbe "Verwirrung", was da in #1 gemeint sein mag), sind die dabei denkbaren Lösungen (solange der Provider keinen PCP-Server unterhält) wohl ohnehin eher nichts ... da das Thema VPN und IPv4-CGN beim Provider auch bereits mehrfach behandelt wurde, braucht es diesen Thread vermutlich insgesamt nicht.
Etwas anderes wäre es vielleicht noch gewesen, wenn da auf die Frage nach der denkbaren Gegenstelle ein Peer mit einer öffentlichen IPv4-Adresse angegeben worden wäre, dann gäbe es ja eine praktikable Lösung ... aber auch das Thema hat langsam einen schalen Beigeschmack und es gibt mehr als einen Thread, wo diese Situation Thema war/ist.
Solange es beim TE nicht um konkrete Nachfragen geht, weil die anderen Lösungen bei ihm alle nicht funktionieren, sollte man m.E. diesen Thread still und leise sterben lassen - es ist ein wenig "digitale Umweltverschmutzung" und führt nur zur Verschlechterung von Suchergebnissen.
ich habe eine Frage:
Habe einen inexio / quix DSL / VDSL Anschluss.
Leider kann ich keine VPN Verbindung von extern mit meiner FritzBox aufbauen weil der Anbieter mit einem Subnetz oder ähnlichem arbeitet.
Welche Möglichkeiten habe ich denn um die VPN Verbindung trotzdem aufbauen zu können?
Auch wenn der Thread schon ein paar Tage älter ist, ist er doch noch nicht so steinalt, dass ich nicht mehr darauf antworten will, zumal das evtl. wohl etliche Personen betrifft, mutmaßlich alle QUIX-Kunden.
Nachdem meine VPN-Verbindung seit der kürzlich erfolgten Umstellung von Telekom zu QUIX bei mir nicht mehr geklappt hat, habe ich mit der QUIX-Hotline gesprochen. Es meldete sich schließlich recht zeitnah telefonisch ein Techniker zurück. Die IP4, die man bekommt, sei "keine echte öffentliche" IP im Bereich IP4, da die IPs knapp seien. Er sprach was von einem "NAT" oä; ich muss da allerdings technisch/inhaltlich passen und kann das daher nicht erläutern. Für einen Aufpreis von 1,95 mtl. hab ich nun eine "echte" öffentliche IP4 bekommen. Jetzt funktioniert meine VPN-Verbindung wieder einwandfrei, das war mir die 1,95 mtl. wert. Immer noch deutlich billiger als im Geschäftskundenbereich von Inexio, dort bekommt man allerdings sogar eine feste IP.
Soweit es bekannt ist, verwendet der Provider […] ein CGN auf IPv4-Basis ... die Kunden erhalten IPv4-Adressen aus 100.64/10 (nach RFC 6598) - ob sich da etwas geändert hat, wird man in diesem Thread vermutlich auch eher nicht herausfinden.
[…] sollte man m.E. diesen Thread still und leise sterben lassen - es ist ein wenig "digitale Umweltverschmutzung" und führt nur zur Verschlechterung von Suchergebnissen.
Um genau das zu verhindern gebe ich hier meine Forschungsergebnisse weiter:
Es ist in der Tat so, daß man eine Adresse aus dem Bereich
Code:
100.64.0.0-100.127.255.255
bekommt. Bei meinen eigenen Versuchen – ohne das zu wissen – hat das Fritzbox-Ipsec-VPN einmalig funktioniert und begann dann „rumzuspinnen“ (Verbindung wird aufgebaut, aber es geht nichts durch). Ohne daß ich das jetzt testen könnte:
Code:
use_nat_t = yes;
auf beiden Seiten in Verbindung mit
Code:
always_renew = yes;
auf Inexio-Seite und
Code:
always_renew = no;
auf der anderen könnte des Rätsels Lösung sein, jedoch nur dann, wenn wenigstens die Gegenseite NICHT providerseitig
Code:
RFC 6598
oder
Code:
RFC 1918
nutzt.
Man braucht dabei auf jeden Fall ein „Standbein im richtigen Internet“, also dynamisches DNS beiderseits oder an der Gegenstelle eine feste IP und dynamisches DNS für die Inexio-Seite.
Nur mal so aus reiner Neugierde ... wo ist jetzt genau der Zusammenhang zwischen VPN und "dynamischem DNS"?
Das mag zwar für irgendwelche "Automatismen" dann bequemer sein, wenn man DynDNS einrichtet ... auf der Inexio-Seite einer VPN-Verbindung ist das aber so nützlich wie ein Kropf. Ein Anschluß mit einer Adresse aus 100.64/10 kann keine eingehenden Verbindungen entgegennehmen und deshalb sollte die entsprechende Gegenstelle (die tatsächlich "erreichbar" sein muß über ihre öffentliche IPv4-Adresse) es auch gar nicht erst versuchen, eine solche Verbindung aufzubauen. Aber das Thema mit der expliziten Zuweisung von "initiator" und "responder" ist inzwischen so oft durchgekaut worden, daß es wohl kaum einer erneuten Diskussion bedarf und bei einer FRITZ!Box ohne konfigurierten DynDNS- oder MyFRITZ!-Account muß man tatsächlich von Hand das VPN konfigurieren, weil es ansonsten keine ID für Phase 1 bei einer LAN2LAN-Verbindung in der Konfiguration gibt.
Wenn Du nicht vollkommen neue Erkenntnisse gewonnen haben solltest (worauf basieren die genau, wenn es so wäre?), dann spielt zu diesem Zeitpunkt auch die Einstellung "always_renew" noch keine Rolle, denn es gilt erst einmal überhaupt eine SA einzurichten und dann kann man sich ggf. darum kümmern, ob man die "immer erneuert". Das "use_nat_t = yes;" dürfte in so ziemlich jeder VPN-Konfiguration bei AVM stehen, es sei denn, der Benutzer hat das explizit anders eingestellt. Die Erkennung eines NAT-Gateway "im Weg" einer solchen VPN-Verbindung funktioniert eigentlich auch recht gut ... manchmal bietet es sich halt an, auch ohne explizite Notwendigkeit auf NAT-T zu setzen, weil dann anstelle von UDP-500 und ESP nur UDP-4500 "freigegeben" werden muß in irgendwelchen Firewalls. Aber das kann man auf der FRITZ!Box-Seite m.W. ohnehin nicht "erzwingen" ... beim Shrewsoft-Client ginge das z.B. mit einer entsprechenden Einstellung (force NAT-T).
