[Frage] Fritz-VPN und Ipv6

Toggle sidebar Toggle sidebar
Upgrade 3CX to v18 and get it hosted free!
P

pcgamer

Neuer User
Mitglied seit
9 Apr 2012
Beiträge
169
Punkte für Reaktionen
7
Punkte
18
Hallo,

ich stelle die Frage für einen Kollegen bzw. für an dessen Anschluss.. Er ist bei Inexio und hat eine aus Ipv6 generierte v4 bereitgestellt bekommen. Zu Anfang, funktionierte Fritz-VPN ja nur mit IPv4 laut AVM..Nach etwas Recherche, soll es auch mit v6 funktionieren. Trotz Anleitung, kann er noch immer keine Verbindung aufbauen. Es geht speziell, um Geräte diese zu steuern.
 
Wenn Inexio statt CGN jetzt DS-lite eingeführt hat, tunneln die IPv4 über IPv6. Da geht bei AVM weiterhin das LAN-zu-LAN-VPN - wie KunterBunter schrieb - wenn die andere Seite eine öffentliche IPv4 hat, der DS-lite-Anschluss der Initiator ist und eine Firmware 7.00+ hat. Das war auch schon so bei CGN gewesen.
Ein mobiler MyFritz-VPN-Zugriff ist dagegen nicht möglich. Die veraltete IPsec/IKEv1-VPN-Implementierung von AVM arbeitet nur mit (öffentlichen) IPv4-Adressen. Was allerdings funktioniert, ist der HTTPS-Zugriff per IPv6 auf das WebInterface der Fritzbox und von nachgelagerten Geräten im lokalen IPv6-Netz. Das hängt dann von der Verfügbarkeit von IPv6 beim Mobil-Provider ab und u.U. von der korrekten APN-Einstellung.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: pcgamer
@Olaf Ligor klingt interessant.. Jetzt zeigt ja die Fritzbox, wenn der MyFritz-Zugang eingerichtet wird, die VPN-Daten an um diese im Smartphone eintragen zu können. Sollte das reichen, um z.B eine Ip-cam aus dem heimischen Netzwerk zu erreichen ?
Er bekommt vom Mobilfunkanbieter eine v6 zugeteilt und das Handy arbeitet auch damit.
@KunterBunter was heißt das ?
 
Nein, MyFritz und das VPN arbeiten nur mit öffentlichen IPv4-Adressen der Box, die man bei Inexio nicht bekommt!
Brauchbar ist allein die MyFritz-IPv6-Adresse für beispielsweise den HTTPS-Zugriff oder andere IPv6-fähige Geräte im (W)LAN.
 
  • Like
Reaktionen: pcgamer
Olaf Ligor schrieb:
Wenn Inexio statt CGN jetzt DS-lite eingeführt hat ....
Zum Vergrößern anklicken....
DS-Lite ist CGN, oder genauer eins von zwei(?) konkreten verfahren die mit CGN benutzt werden. Das andere ist NAT444 was aber Nichteinmal eine eine eigene Wikipedia Seite hat (weder EN noch DE).
Sowohl bei DS-Lite als auch bei NAT444 bekommt der Router des Endkunden keine eigene öffentliche IPv4 Adresse.
Der unterschied ist das NAT444 zwischen dem CGN und dem Endkunden ein IPv4 Netz mit nicht-öffentlichem IPv4 Adressraum (100.64.0.0/10) benutzt (und kein IPv6 benötigt(?)) während DS-Lite da nur IPv6 benutzt worüber die IPv4 Pakete zum CGN "getunnelt" werden.

----- Zum Thema -----
Wie @Olaf Ligor schreibt funktioniert das FritzBox VPN nur mit IPv4.
Das heißt:
  1. der VPN Server (FritzBox=FB) zum dem sich die Clients verbinden (andere FBs oder dein SmartPhone) muss eine öffentliche IPv4 Adresse haben, darf also nicht hinter einem CGN (DS-Lite/NAT444) sein.
  2. Der Client muss irgendwie IPv4 Pakete zum Server schicken können (was aber praktisch immer geht).

Ich weiß nicht was du @pcgamer mit "er hat eine aus Ipv6 generierte v4 bereitgestellt bekommen" meinst aber eine kleine Suche deutet darauf hin das es DS-Lite und damit ein CGN ist.
Wenn er keine Möglichkeit hat von Inexio eine "echte" IPv4 Adresse zu bekommen kann er sich einen FB VPN Server an dem Anschluss also abschminken. Es sollte allerdings möglich sein eine zu bekommen ("Aufgrund von rechtlichen Vorgaben der Europäischen Union sind Betreiber allerdings dazu verpflichtet ... kostenfrei öffentliche ... IP-Adressen zuzuweisen.").

Bzgl. dem von @Olaf Ligor erwähntem direkten zugriff über IPv6 auf Geräte hinter der FB - habe ich noch nicht gemacht, geht aber im Prinzip so:
  1. Voraussetzung - alle Beteiligten Geräte müssen selber IPv6 sprechen können und eine funktionierende IPv6 Verbindung ins Internet haben.
  2. Das Gerät auf das hinter der FB zugegriffen werden soll muss seine IPv6 Addresse irgendwie den mobilen Clienten zukommen lassen (DnyDNS, oder irgendwas anderes).
  3. In der FB müssen entsprechend die richtigen IPv6 Ports für das Gerät freigegeben werden.
  4. Man muss dem Gerät genug vertrauen das man den Port öffentlich zugänglich macht und damit jeder im Internet auf ihn zugreifen kann.
(habe ich was grobes vergessen?)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: pcgamer
Limer schrieb:
direkten zugriff über IPv6 auf Geräte hinter der FB - habe ich noch nicht gemacht
Zum Vergrößern anklicken....
Das hatte ich schon am Laufen, d.h. wenn das von der DS-Lite zu haltende (LAN2LAN-)VPN mal nicht ging, konnte ich jederzeit auf die Mesh-Master-Box und deren Repeater per HTTPS zugreifen. Der dritte Weg war ein durchlaufender 5Watt-PC mit Teamviewer/AnyDesk-Zugriff.

Zur Richtung der VPN-Initiierung muss man noch anmerken, dass der wiederholte, versuchte Start von der "falschen" Box aus die Verbindungsaufnahme auf unbestimmte Zeit blockieren kann. Daher genügt das aktivierte "VPN-Verbindung dauerhaft halten" meist nicht allein und man sollte das Halten mit einer Dummy-IP-Telefon-Anmeldung unterstützen.
 
  • Like
Reaktionen: pcgamer
ich bedanke mich schonmal!

er würde eine ipv4, gegen ein entsprechendes Entgeld bekommen.. Da dies aber den schon ohnehin, hohen monatlichen Preis um einiges steigen lässt, ist dies für ihn keine Option.. Kennt ihr, eventuell Alternativen ? Es geht lediglich, um einen sicheren Zugang ins Heimnetz aus dem Mobilfunknetz um Ip-cams zu kontrollieren. Da diese leider sehr gesprächig sind, habe ich dem Kollegen die Kameras aus dem Netz geholt, so dass diese nur intern funktionieren
 
pcgamer schrieb:
er würde eine ipv4, gegen ein entsprechendes Entgeld bekommen.. Da dies aber den schon ohnehin, hohen monatlichen Preis um einiges steigen lässt, ist dies für ihn keine Option.. Kennt ihr, eventuell Alternativen ? Es geht lediglich, um einen sicheren Zugang ins Heimnetz aus dem Mobilfunknetz um Ip-cams zu kontrollieren. Da diese leider sehr gesprächig sind, habe ich dem Kollegen die Kameras aus dem Netz geholt, so dass diese nur intern funktionieren
Zum Vergrößern anklicken....
Wo wohnt er? Wie gesagt - nach einer EU Richtlinie müsste man kostenlos eine dynamische IPv4 Adresse bekommen können.
Alternativ würde ich einen beliebigen OpenWRT kompatiblen Router[1] nehmen und entweder mit OpenVPN oder Wireguard ein VPN aufbauen (weiß nicht wie es da jeweils mit SmartPhone Apps/Support aussieht).
*ThumbsUp* für IP-Cams nur über VPN erreichbar machen (Ich hoffe sie dürfen auch nicht selbst ins Netz - nur bis zur FB).

Oder ein Raspberry Pi oder so (da sollte auch ein alter RPi 1 reichen) ...


[1] ich nutze alte O2 6431 Boxen - kosten nur ~1-10€ auf eBay / eBKAz, verbrauchen nur ~3-6W (je nach Nutzung aber ohne Telefonie) aber sind nicht sonderlich kräftig (keine Ahnung was der Durchsatz bei VPNs ist).
 
Zuletzt bearbeitet:
Limer schrieb:
"Aufgrund von rechtlichen Vorgaben der Europäischen Union sind Betreiber allerdings dazu verpflichtet ... kostenfrei öffentliche ... IP-Adressen zuzuweisen."
Zum Vergrößern anklicken....

Die Quelle schreibt weiter: "Dabei hat es sich um eine IPv4-Adresse zu handeln." Aber sie sagt nicht, welche Vorgabe das sein soll.

Hat jemand eine Idee, welche Richtlinie der österreichische Regulierer da falsch interpretiert haben könnte? Gibt die EU auch vor, dass jede Zoohandlung einen Dodo anbieten muss?

Edit:

Ich habe es schon selbst gefunden. RTR (der österreichische Regulierer) ist der Meinung, dass aus folgendem Absatz das Recht auf "eine kostenlose öffentliche dynamische IP-Adresse" (RTR Netzneutralitätsbericht 2017) erwächst:
"Endnutzer haben das Recht, über ihren Internetzugangsdienst, unabhängig vom Standort des Endnutzers oder des Anbieters und unabhängig von Standort, Ursprung oder Bestimmungsort der Informationen, Inhalte, Anwendungen oder Dienste, Informationen und Inhalte abzurufen und zu verbreiten, Anwendungen und Dienste zu nutzen und bereit zustellen und Endgeräte ihrer Wahl zu nutzen." (VERORDNUNG (EU) 2015/2120 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 25. November 2015)

Das ist natürlich Quatsch. Eine IPv6 Zuweisung erfüllt diese Vorgabe. RFC 6540 macht IPv6-Unterstützung schon seit 8 Jahren zur "best practice". Wenn ein über dieses Protokoll bereitgestellter Dienst von einem Internetteilnehmer nicht genutzt werden kann, dann ist das die Schuld des Teilnehmers ohne IPv6 Support.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
Um antworten zu können musst du eingeloggt sein.
Kostenlos!
Jetzt holen

Neueste Beiträge

Kategorien

Wissenswertes

Zurzeit aktive Besucher

Gesamt: 415 (Mitglieder: 40, Gäste: 375)

Statistik des Forums

Themen
247,327
Beiträge
2,266,616
Mitglieder
375,913
Neuestes Mitglied
Hellmood

3CX jetzt einen Monat kostenlos testen

Die Verbindung, Zusammenarbeit und Kommunikation mit Ihrem Team und Ihren Kunden war noch nie so einfach. Nutzen Sie unsere kostenlose 30-Tage-Testversion und entdecken Sie die richtige Lösung für Ihr Unternehmen.

3CX start your free trial guy
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten