[Frage] Fritz-VPN und Ipv6

[pcgamer]

Hallo,

ich stelle die Frage für einen Kollegen bzw. für an dessen Anschluss.. Er ist bei Inexio und hat eine aus Ipv6 generierte v4 bereitgestellt bekommen. Zu Anfang, funktionierte Fritz-VPN ja nur mit IPv4 laut AVM..Nach etwas Recherche, soll es auch mit v6 funktionieren. Trotz Anleitung, kann er noch immer keine Verbindung aufbauen. Es geht speziell, um Geräte diese zu steuern.

 

[KunterBunter]

Nach etwas Recherche, soll es auch mit v6 funktionieren.

Es geht nur, wenn der Inexio-Anschluss der Initiator beim VPN ist. AVM hat das schon mal falsch herum erklärt.

 

[Olaf Ligor]

Wenn Inexio statt CGN jetzt DS-lite eingeführt hat, tunneln die IPv4 über IPv6. Da geht bei AVM weiterhin das LAN-zu-LAN-VPN - wie KunterBunter schrieb - wenn die andere Seite eine öffentliche IPv4 hat, der DS-lite-Anschluss der Initiator ist und eine Firmware 7.00+ hat. Das war auch schon so bei CGN gewesen.
Ein mobiler MyFritz-VPN-Zugriff ist dagegen nicht möglich. Die veraltete IPsec/IKEv1-VPN-Implementierung von AVM arbeitet nur mit (öffentlichen) IPv4-Adressen. Was allerdings funktioniert, ist der HTTPS-Zugriff per IPv6 auf das WebInterface der Fritzbox und von nachgelagerten Geräten im lokalen IPv6-Netz. Das hängt dann von der Verfügbarkeit von IPv6 beim Mobil-Provider ab und u.U. von der korrekten APN-Einstellung.

 

[pcgamer]

@Olaf Ligor klingt interessant.. Jetzt zeigt ja die Fritzbox, wenn der MyFritz-Zugang eingerichtet wird, die VPN-Daten an um diese im Smartphone eintragen zu können. Sollte das reichen, um z.B eine Ip-cam aus dem heimischen Netzwerk zu erreichen ?
Er bekommt vom Mobilfunkanbieter eine v6 zugeteilt und das Handy arbeitet auch damit.
@KunterBunter was heißt das ?

 

[Olaf Ligor]

Nein, MyFritz und das VPN arbeiten nur mit öffentlichen IPv4-Adressen der Box, die man bei Inexio nicht bekommt!
Brauchbar ist allein die MyFritz-IPv6-Adresse für beispielsweise den HTTPS-Zugriff oder andere IPv6-fähige Geräte im (W)LAN.

 

[Limer]

Wenn Inexio statt CGN jetzt DS-lite eingeführt hat ....

DS-Lite ist CGN, oder genauer eins von zwei(?) konkreten verfahren die mit CGN benutzt werden. Das andere ist NAT444 was aber Nichteinmal eine eine eigene Wikipedia Seite hat (weder EN noch DE).
Sowohl bei DS-Lite als auch bei NAT444 bekommt der Router des Endkunden keine eigene öffentliche IPv4 Adresse.
Der unterschied ist das NAT444 zwischen dem CGN und dem Endkunden ein IPv4 Netz mit nicht-öffentlichem IPv4 Adressraum (100.64.0.0/10) benutzt (und kein IPv6 benötigt(?)) während DS-Lite da nur IPv6 benutzt worüber die IPv4 Pakete zum CGN "getunnelt" werden.

----- Zum Thema -----
Wie @Olaf Ligor schreibt funktioniert das FritzBox VPN nur mit IPv4.
Das heißt:

1. der VPN Server (FritzBox=FB) zum dem sich die Clients verbinden (andere FBs oder dein SmartPhone) muss eine öffentliche IPv4 Adresse haben, darf also nicht hinter einem CGN (DS-Lite/NAT444) sein.
2. Der Client muss irgendwie IPv4 Pakete zum Server schicken können (was aber praktisch immer geht).

Ich weiß nicht was du @pcgamer mit "er hat eine aus Ipv6 generierte v4 bereitgestellt bekommen" meinst aber eine kleine Suche deutet darauf hin das es DS-Lite und damit ein CGN ist.
Wenn er keine Möglichkeit hat von Inexio eine "echte" IPv4 Adresse zu bekommen kann er sich einen FB VPN Server an dem Anschluss also abschminken. Es sollte allerdings möglich sein eine zu bekommen ("Aufgrund von rechtlichen Vorgaben der Europäischen Union sind Betreiber allerdings dazu verpflichtet ... kostenfrei öffentliche ... IP-Adressen zuzuweisen.").

Bzgl. dem von @Olaf Ligor erwähntem direkten zugriff über IPv6 auf Geräte hinter der FB - habe ich noch nicht gemacht, geht aber im Prinzip so:

1. Voraussetzung - alle Beteiligten Geräte müssen selber IPv6 sprechen können und eine funktionierende IPv6 Verbindung ins Internet haben.
2. Das Gerät auf das hinter der FB zugegriffen werden soll muss seine IPv6 Addresse irgendwie den mobilen Clienten zukommen lassen (DnyDNS, oder irgendwas anderes).
3. In der FB müssen entsprechend die richtigen IPv6 Ports für das Gerät freigegeben werden.
4. Man muss dem Gerät genug vertrauen das man den Port öffentlich zugänglich macht und damit jeder im Internet auf ihn zugreifen kann.

(habe ich was grobes vergessen?)

 

[KunterBunter]

@KunterBunter was heißt das ?

Das heißt, dass eine Verbindung von der anderen Seite aus nicht initiiert (=angefangen) werden kann. Steht ja jetzt schon 5-mal da.

 

[Olaf Ligor]

direkten zugriff über IPv6 auf Geräte hinter der FB - habe ich noch nicht gemacht

Das hatte ich schon am Laufen, d.h. wenn das von der DS-Lite zu haltende (LAN2LAN-)VPN mal nicht ging, konnte ich jederzeit auf die Mesh-Master-Box und deren Repeater per HTTPS zugreifen. Der dritte Weg war ein durchlaufender 5Watt-PC mit Teamviewer/AnyDesk-Zugriff.

Zur Richtung der VPN-Initiierung muss man noch anmerken, dass der wiederholte, versuchte Start von der "falschen" Box aus die Verbindungsaufnahme auf unbestimmte Zeit blockieren kann. Daher genügt das aktivierte "VPN-Verbindung dauerhaft halten" meist nicht allein und man sollte das Halten mit einer Dummy-IP-Telefon-Anmeldung unterstützen.

 

[pcgamer]

ich bedanke mich schonmal!

er würde eine ipv4, gegen ein entsprechendes Entgeld bekommen.. Da dies aber den schon ohnehin, hohen monatlichen Preis um einiges steigen lässt, ist dies für ihn keine Option.. Kennt ihr, eventuell Alternativen ? Es geht lediglich, um einen sicheren Zugang ins Heimnetz aus dem Mobilfunknetz um Ip-cams zu kontrollieren. Da diese leider sehr gesprächig sind, habe ich dem Kollegen die Kameras aus dem Netz geholt, so dass diese nur intern funktionieren

 

[Limer]

er würde eine ipv4, gegen ein entsprechendes Entgeld bekommen.. Da dies aber den schon ohnehin, hohen monatlichen Preis um einiges steigen lässt, ist dies für ihn keine Option.. Kennt ihr, eventuell Alternativen ? Es geht lediglich, um einen sicheren Zugang ins Heimnetz aus dem Mobilfunknetz um Ip-cams zu kontrollieren. Da diese leider sehr gesprächig sind, habe ich dem Kollegen die Kameras aus dem Netz geholt, so dass diese nur intern funktionieren

Wo wohnt er? Wie gesagt - nach einer EU Richtlinie müsste man kostenlos eine dynamische IPv4 Adresse bekommen können.
Alternativ würde ich einen beliebigen OpenWRT kompatiblen Router[1] nehmen und entweder mit OpenVPN oder Wireguard ein VPN aufbauen (weiß nicht wie es da jeweils mit SmartPhone Apps/Support aussieht).
*ThumbsUp* für IP-Cams nur über VPN erreichbar machen (Ich hoffe sie dürfen auch nicht selbst ins Netz - nur bis zur FB).

Oder ein Raspberry Pi oder so (da sollte auch ein alter RPi 1 reichen) ...


[1] ich nutze alte O2 6431 Boxen - kosten nur ~1-10€ auf eBay / eBKAz, verbrauchen nur ~3-6W (je nach Nutzung aber ohne Telefonie) aber sind nicht sonderlich kräftig (keine Ahnung was der Durchsatz bei VPNs ist).

 

[bugmenotbugmenot]

"Aufgrund von rechtlichen Vorgaben der Europäischen Union sind Betreiber allerdings dazu verpflichtet ... kostenfrei öffentliche ... IP-Adressen zuzuweisen."

Die Quelle schreibt weiter: "Dabei hat es sich um eine IPv4-Adresse zu handeln." Aber sie sagt nicht, welche Vorgabe das sein soll.

Hat jemand eine Idee, welche Richtlinie der österreichische Regulierer da falsch interpretiert haben könnte? Gibt die EU auch vor, dass jede Zoohandlung einen Dodo anbieten muss?

Edit:

Ich habe es schon selbst gefunden. RTR (der österreichische Regulierer) ist der Meinung, dass aus folgendem Absatz das Recht auf "eine kostenlose öffentliche dynamische IP-Adresse" (RTR Netzneutralitätsbericht 2017) erwächst:
"Endnutzer haben das Recht, über ihren Internetzugangsdienst, unabhängig vom Standort des Endnutzers oder des Anbieters und unabhängig von Standort, Ursprung oder Bestimmungsort der Informationen, Inhalte, Anwendungen oder Dienste, Informationen und Inhalte abzurufen und zu verbreiten, Anwendungen und Dienste zu nutzen und bereit zustellen und Endgeräte ihrer Wahl zu nutzen." (VERORDNUNG (EU) 2015/2120 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 25. November 2015)

Das ist natürlich Quatsch. Eine IPv6 Zuweisung erfüllt diese Vorgabe. RFC 6540 macht IPv6-Unterstützung schon seit 8 Jahren zur "best practice". Wenn ein über dieses Protokoll bereitgestellter Dienst von einem Internetteilnehmer nicht genutzt werden kann, dann ist das die Schuld des Teilnehmers ohne IPv6 Support.