Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?
-
https://www.teltarif.de/o2-ipv6-mobilfunknetz/news/84147.html
Ich denke, bei Vodafone wird es mittlerweile ähnlich aussehen.
-
Also etwa so:
-
@pete0815
Ist zwar für AVM / FritzBoxen, das 'Problem' ist aber das gleiche:
-
@thomas-braun said in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
@pete0815
Ist zwar für AVM / FritzBoxen, das 'Problem' ist aber das gleiche:
Danke. Ich bin mir nicht sicher und sehe meine Umsetzung immer noch etwas anders.
Das Problem besteht doch zwischen IPv6 Netzwerken und diversen Routern oder VPN-Servern.
Ich betreibe aber einen VPN Server am IPv4 Netzwerk mit vorgeschaltetem DynDns-Server. Komme ich nun aus einem IPv6 Netzwerk wie derzeit über O2 mit einem Open-VPN-Client oder auch Windows PC aus dem IPv6 Vodafone/Unitymedia Netz nutze ich in der Konfiguration des VPN-Clients die IPv4 Adresse des DynDNS-Servers und dieser routet durch den offen Port der FritzBox bis zum VPN-Server (Ich nutze nicht die VPN-Server Funktion der FritzBox).
Die Verbindung der IPv4 und IPv6 Welt passiert also irgendwo beim Provider und so wie dies derzeit funktioniert (VPN-Server in der IPv4 Welt und der Client in der IPv6-Welt) möchte ich nichts ändern.Die Idee ist nur einen Rasperry Pi als VPN-Client zu nutzen und dieser Client routet dauerhaft (24/7) zwischen den Netzwerken über die VPN Verbindung.
Ein VPN Client soll also zusätzlich zu einem Netzwerkrouter werden.Wie ich den RPI(VPN-Client) dazu bringe auch als Router zu fungieren bin ich mir nicht im Klaren. Sehe aber den Unterschied zur aktuellen Nutzung nicht so groß, oder übersehe ich da etwas?
-
Hallo,
normalerweise kannst du bei Vodafone anrufen und sagen das Sie bitte IPv4 freischalten sollen. Dies machen die eigentlich ohne Probleme und ist innerhalb von paar Minuten bzw. höchstens paar Stunden später freigeschaltet. So war das bei mir zumindest immer.
-
@ciddi89 sagte in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
Hallo,
normalerweise kannst du bei Vodafone anrufen und sagen das Sie bitte IPv4 freischalten sollen. Dies machen die eigentlich ohne Probleme und ist innerhalb von paar Minuten bzw. höchstens paar Stunden später freigeschaltet. So war das bei mir zumindest immer.
Das hängt wohl vom Tarif ab habe ich gelesen, aber so habe ich es letztlich auch gemacht, da bei einem 1 Gbit Anschluss immer eine IPV4 Adresse (spätestens auf Anfrage) zugewiesen wird. Dauerte keine 10 Minuten bei mir.
Alternativ brauchst Du einen externen Server, der die Anfragen Deines VPN Tunnels den Du zu diesem Server per IPV4 aufbauen kannst umleitet auf einen weiteren Tunnel von diesem Server zu Deinem Rechner basierend auf IPV6. Die kann man für ein paar Euro im Netz mieten.
Problem aktuell sind zunehmend weniger die Mobiltelefone, sondern eher die WLANs, die oft noch mit IPV4 arbeiten.Ih empfehle Wireguard zu nutzen, das ist erheblich unkomplizierter einzurichten und schneller als piVPN, mit dem ich mich auch zunächst rumgeärgert hatte
-
@joergh Achso ja bei mir ging das bis jetzt bei jedem Anschluss und auch nach dem Umzug immer ohne Probleme.
Ich dahin gegen empfehle piVPN mit Wireguard. (man kann ja wählen zwischen openVPN und Wireguard) Überhaupt nicht kompliziert und innerhalb von 2 Minuten eingerichtet! Und auch unterwegs wenn man Verbunden ist sehr schnell.
-
@ciddi89 Da hast Du wohl Glück gehabt. Es gibt auch zahlreiche Berichte im Netz, bei denen die IPV4 verweigert wurde oder nur gegen Aufpreis möglich war.
Ja, da hast Du Recht, habe mich ungenau ausgedrückt, meinte nicht das "normale" VPN, sondern eben Wireguard zu nutzen, kann man auswählen.
-
@ciddi89 @JoergH
Danke und eine Umstellung habe ich noch nicht angefragt. Aber ich verstehe die Aufgabenstellung bzw. den Lösungansatz anders.
Die Verbindung zwischen der IPv4 Welt und der IPv6 Welt liefert irgendwo der Provider und das passiert zwischen VPN-Client (IPv6) und DynDNS-Server (IPv4). Warum sollte ich hieran etwas ändern wenn es doch bisher funktioniert?
Hierbei ist Wireguard oder OpenVPN doch außen vor.
-
@pete0815
Möglicherweise kannst du das ganze Problem mit tailscale erschlagen.
Nutze das neuerdings nach jahrelanger Erfahrung mit verschiedenen VPN Verbindungsarten und bin echt begeistert. -
@pete0815 sagte in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
@ciddi89 @JoergH
Danke und eine Umstellung habe ich noch nicht angefragt. Aber ich verstehe die Aufgabenstellung bzw. den Lösungansatz anders.
Die Verbindung zwischen der IPv4 Welt und der IPv6 Welt liefert irgendwo der Provider und das passiert zwischen VPN-Client (IPv6) und DynDNS-Server (IPv4). Warum sollte ich hieran etwas ändern wenn es doch bisher funktioniert?
Hierbei ist Wireguard oder OpenVPN doch außen vor und teste ich gerne was mir besser gefällt.
DynDNS aktualisiert Dir zwar die IPV6 Adresse (und auch IPV4 wenn vorhanden), kann aber keinen Übergang schaffen zwischen IPV6 und IPV4. Wenn Du also in einem WLAN hängst welches nicht IPV6 tauglich ist, dann bekommst Du keine IPV6 Adresse zugewiesen und kannst Dich folglich nicht mit Deinem VPN auf IPV6 Basis verbinden, sondern brauchst eine IPV4 Adresse auf der Seite Deines Rechners. Das kann man nur umgehen, indem man einen Server dazwischen schaltet, der zu Deinem Remote Access eben eine IPV4 Verbindung aufbauen kann und dann eine weitere IPV6 zu Deinem Rechner daheim und somit die Tunnel verbinden kann.
Oder Du holst Dir vom Provider für Deinen Rechner Zuhause auch noch eine IPV4 Adresse, wenn das geht. -
Danke und Sorry es klemmt noch beim Verständnis:
@joergh said in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
DynDNS aktualisiert Dir zwar die IPV6 Adresse (und auch IPV4 wenn vorhanden), kann aber keinen Übergang schaffen zwischen IPV6 und IPV4. Wenn Du also in einem WLAN hängst welches nicht IPV6 tauglich ist, dann bekommst Du keine IPV6 Adresse zugewiesen und kannst Dich folglich nicht mit Deinem VPN auf IPV6 Basis verbinden, sondern brauchst eine IPV4 Adresse auf der Seite Deines Rechners.
Ist mein VPN denn auf IPv6 Basis? Nach meinem Verständnis nein. Der VPN-Server steht in einer IPv4 Umgebung mit IPv4 Anbindung an das Internet bis zum DynDns-Server.
Der VPN-Client steht im Fall eines Smartphones in einem IPv6 Netz und im Fall des Windows PCs, in einem IPv4 LAN mit einer IPv6 Internetanbindung.
@joergh said in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:Das kann man nur umgehen, indem man einen Server dazwischen schaltet, der zu Deinem Remote Access eben eine IPV4 Verbindung aufbauen kann und dann eine weitere IPV6 zu Deinem Rechner daheim und somit die Tunnel verbinden kann.
So verstehe ich derzeit eine Leistung irgendwo eines Servers im Internet. Der VPN-Client kommt mit IPv6 und fragt eine Verbindung zu IPv4 (DynDNs Adresse) an. Verstehe ich so als wenn genau hier ein Server dies umwandelt und die Verbindung der IPv6 zu IPv4 bidirektional herstellt.
Also so verstehe ich es derzeit:
VPN-Client IPv6 <------> IPv6 zu IPv4 Server im Internet <-----> DynDNS-Server (IPv4)<------> VPN-Server (IPv4)
-
@pete0815
Das macht tailscale wohl. Die agieren als Relayer.
-
@thomas-braun said in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
@pete0815
Das macht tailscale wohl. Die agieren als Relayer.
Danke. Gerade erste Infos gelesen und klingt sehr Nutzerfreundlich.
Leider in der Personal Version nur 1 Subnet Router inkludiert. Mal schauen ob ich trotzdem mit den 20 Nutzern/Geräten hinkomme beide Netzwerke haben IOT Devices wo ich ggf. im Notfall ranmöchte wird also gratis knapp. Aber erst mal testen bevor man ins bezahlmodel einsteigt. -
@pete0815 sagte in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
Danke und Sorry es klemmt noch beim Verständnis:
@joergh said in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
DynDNS aktualisiert Dir zwar die IPV6 Adresse (und auch IPV4 wenn vorhanden), kann aber keinen Übergang schaffen zwischen IPV6 und IPV4. Wenn Du also in einem WLAN hängst welches nicht IPV6 tauglich ist, dann bekommst Du keine IPV6 Adresse zugewiesen und kannst Dich folglich nicht mit Deinem VPN auf IPV6 Basis verbinden, sondern brauchst eine IPV4 Adresse auf der Seite Deines Rechners.
Ist mein VPN denn auf IPv6 Basis? Nach meinem Verständnis nein. Der VPN-Server steht in einer IPv4 Umgebung mit IPv4 Anbindung an das Internet bis zum DynDns-Server.
Wenn Du nur eine IPV6 Adresse hast nach außen, dann kann Dein VPN nicht auf IPV4 Basis funktionieren. Du befindest Dich in einem Subnetz Deines Providers was IPV4 angeht. Es gibt nämlich nicht genug IPV4 Adressen, weshalb Du eine DS-Lite Verbindung bekommst, die da bedeutet, dass Du eine "echte" IPV6 Adresse erhältst und eine von Vodafone zugewiesene Adresse im IPV4 Format. Schickst Du Anfragen an das Netz, dann schaut Vodafone wo es herkommt und vermittelt. Bei einem VPN jedoch funktioniert das nicht, da ja alles in einem Tunnel transportiert wird. Vodafone kann also nichts umleiten, sondern die Tunnelverbindung wird direkt aufgebaut. Da Du aber keine "echte" V4 Adresse hast, über die Du direkt im Netz ansprechbar wärst, funktioniert das nicht. DynDNS hat damit eigentlich nichts zu tun. Das bedeutet nur, dass du per VPN Client überhaupt in der Lage bist Dich mit einem bestimmten Rechner bequem zu verbinden, denn die Adresse ändert sich durch Reconnects die der Provider mehr oder weniger regelmäßig durchführt immer wieder. Es gibt sozusagen bei vielen Providern keine "static IP", weshalb Du eben dem DynDNS Dienst sagst nach dem reconnect wie Deine aktuelle IP gerade ist und Du dann im VPN den Alias nutzen kannst und nicht jedesmal die IP rausfinden musst um sie dort einzutragen. Dennoch findet die Verbindung nicht "über" den DynDNS statt, sondern direkt zwischen den IPs des Servers und des Clienten.
@joergh said in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
Das kann man nur umgehen, indem man einen Server dazwischen schaltet, der zu Deinem Remote Access eben eine IPV4 Verbindung aufbauen kann und dann eine weitere IPV6 zu Deinem Rechner daheim und somit die Tunnel verbinden kann.
Dieser Rechner muss eben eine "echte" IPV4 Adresse haben, dann hat man das Problem nicht.
So verstehe ich derzeit eine Leistung irgendwo eines Servers im Internet. Der VPN-Client kommt mit IPv6 und fragt eine Verbindung zu IPv4 (DynDNs Adresse) an. Verstehe ich so als wenn genau hier ein Server dies umwandelt und die Verbindung der IPv6 zu IPv4 bidirektional herstellt.
Also so verstehe ich es derzeit:
VPN-Client IPv6 <------> IPv6 zu IPv4 Server im Internet <-----> DynDNS-Server (IPv4)<------> VPN-Server (IPv4)
Wenn Du eine IPV6 Adresse unterwegs hast, dann kannst Du Dich problemlos mit Deinem Server, der auch eine IPV6 Adresse hat, verbinden.
Wenn Du eine IPV4 Adresse unterwegs hast, dann kannst Du Dich problemlos mit einem IPV4 Server verbinden (muss aber eine "echte" IPV4 Adresse sein und kein DS-Lite! - hast Du derzeit nicht)
Wenn Du eine IPV6 Adresse unterwegs hast, dann kannst Du Dich nicht mit einem IPV4 Server verbinden (trifft aber bei Dir nicht zu, denn Du hast ja IPV6)
Wenn Du eine IPV4 Adresse unterwegs hast (und keine IPV6 - bei vielen WLAN Hotspots noch so), dann kannst Du Dich nicht mit einem IPV6 Server verbinden (dafür braucht man eine "echte" IPV4 Adresse.Letzteres ist der Problemfall. Tailscale kann das, weiss aber auch dann von wem welcher Tunnel wohin aufgebaut wird. Wenn Dir das egal ist, dann kann man das machen. Empfehlen würde ich bei Vodafone eine echte IPV4 Adresse anzufragen.
Ich hoffe es ist klar geworden.
-
Vielen Dank für Deine ausführliche Erläuterung. Ich glaube es bekräftigt meine Vermutung, dass Du etwas missverstanden hast bei meiner Konfiguration.
Ich habe Zugriff auf ein Netzwerk, dass per Standard-DSL (1und1) eine Verbindung nach draußen aufbaut. Hiervor hängt ein DynDNS Server der die wechselnde IP durch 24h Trennung aufhebt. In diesem Netzwerk gibt es einen VPN-Server auf einem Synology NAS. Dieses gesamte Netzwerkonstrukt funktioniert nach meinem Verständnis auf Basis IPv4.
Jetzt kommt das zweite Netzwerk über Vodafone Kabelanbindung ins Spiel, wo ich auch gerne einen Remotezugriff hätte. Hier dann die IPv6 Thematik/Problematik wo dies alleine nicht soo einfach ist.
Derzeit verbinde ich mich aber schon per VPN Client aus diesem Netzwerk 2 (IPv6) oder aus dem mobilen Netzwerk(IPv6) per Smartphone zu Netzwerk 1 (IPv4).D.H. für mein Verständnis eine Verbindung von IPv6 per VPN-Client zum VPN-Server in einer IPv4-Welt funktioniert problemlos. Hierdurch meine Fragestellung, ob ich nicht um einen externen Zugriff auf Netzwerk 2 zu schaffen, "einfach" eine Dauerverbindung von Netzwerk 2 zu Netzwerk 1 einrichte und ich den temporären Zugriff wie bisher einfach ermögliche indem ich auf den jetzigen VPN-Server im Netzwerk 1 zugreife. Durch die Dauerverbindung von 2 und 1 habe ich dann auch automatisch eine temporäre Verbindung zu Netzwerk 2.
Tailscale würde vom Prinzip als kostenflichtige Lösung funktionieren. Ich nutze den externen Zugriff auf das Netzwerk aber nur im Notfall und ob es dann wirklich eine kostenpflichtige Lösung sein muß? Ergänzend finde ich es nicht unbedingt so prickelnd einer Firma per 24/7 Dauerverbindung Zugriff auf die Netzwerke zu ermöglichen. Irgendwie hebt das wieder kleine Teile einer VPN-Verbindung auf.
Derzeit probiere ich einfach mal mit einem Raspberry Pi im Netzwerk mit Vodafone (IPv6) Anbindung und einem VPN-Client wie sich eine Verbindung zum IPv4 Netzwerk / VPN-Server in der Praxis zeigt. Kämpfe aber noch mit der Linux Konfiguration
Teste auch erstmal per OpenVPN. Wireguard wäre mir lieber wegen der performance aber dies ist leider nicht so einfach auf dem Synology NAS als VPN-Server per Klick aktiviert. -
@pete0815 sagte in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
Derzeit verbinde ich mich aber schon per VPN Client aus diesem Netzwerk 2 (IPv6) oder aus dem mobilen Netzwerk(IPv6) per Smartphone zu Netzwerk 1 (IPv4).
Möglicherweise hast Du nicht nur eine IPV4 Adresse, jedenfalls ist es technisch nicht möglich, da IPV4 und IPV6 nicht kompatibel sind. Aber Du musst mir das auch nicht glauben, vielleicht glaubst Du das?
https://www.computerwoche.de/a/ipv6-macht-vpns-probleme,3210854
D.H. für mein Verständnis eine Verbindung von IPv6 per VPN-Client zum VPN-Server in einer IPv4-Welt funktioniert problemlos
Technisch unmöglich ohne weitere Hilfe.
-
Was ich glaube ist relativ flexibel. Ich möchte es nur grob verstehen wenn ich die aktuell funktionierende Variante eines Endgerätes als VPN-Client mit einer Verbindung zum VPN-Server betrachte und mit einer Lösung wie dem Site to Site VPN Routing vergleiche.
Hierbei sehe ich die IPv4/IPv6 Betrachtung als nicht im Vordergrund, da sie bereits funktionsfähig ist und es auf die Konfiguration des VPN-Clients und Servers jetzt ankommt wie er die Netzwerke dahinter routet.
Dies ist der klare Unterschied zu einer Lösung, wenn ich einen VPN-Server hinter der IPv6/DS-Lite Anbindung neu betreiben wöllte, was nicht funktionieren wird und ihr mir mehrfach gut verdeutlicht habt.
Ich vermute aus der jetzigen DynDNS Konfiguration, dass diese nur über eine IPv4 Adresse funktioniert, da IPv6 nicht konfiguriert ist. Der DSL-Router besitzt auch eine externe IPv6 Adresse. Die Teilnehmer im LAN dahinter nicht. Ich kann jetzt grob versuchen, das zu verstehen, ist aber wenig zielführend da ich schon eine große Aufgabe mit der Routingfunktion der Site-to-Site Konfiguartion habe dies irgendwie zu verdröseln.
Anderseits stelle ich mir dir Frage ob das überhaupt Aussicht auf Erfolg hat. Der VPN-Client wäre in meinem Fall ein RPI. Ich finde Kommentare im Netz wo eine Konfiguration als VPN-Client nicht gerade als performant beschrieben wird (120kb/sec) für den Netzwerkdurchsatz.
Die VPN-Client Verbindung des RPI zum Synology-NAS-VPN-Server funktioniert inzwischen als Client-Server Verbindung ohne Netzwerkrouting dahinter. Vielleicht macht es Sinn ob ich es schaffe auf dem RPI mal einen Netzwerkbenchmark laufen zu lassen und so zu sehen ob dieser Ansatz überhaupt Sinn macht ihn weiter zu verfolgen.Edit: Hab die Verbindung nun mal getestet. Ist nicht die Welt aber für einen externen Notzugriff um mal hier und dort etwas neu zu starten finde ich 2MBit noch gerade ok:
pi@raspberrypi:~ $ iperf3 -c 192.168.7.100 500m -t30 -i5 Connecting to host 192.168.7.100, port 5201 [ 5] local 10.8.0.6 port 38090 connected to 192.168.7.100 port 5201 [ ID] Interval Transfer Bitrate Retr Cwnd [ 5] 0.00-5.00 sec 1.49 MBytes 2.50 Mbits/sec 0 98.7 KBytes [ 5] 5.00-10.00 sec 1.25 MBytes 2.09 Mbits/sec 21 84.8 KBytes [ 5] 10.00-15.00 sec 1.11 MBytes 1.87 Mbits/sec 7 78.5 KBytes [ 5] 15.00-20.00 sec 1.38 MBytes 2.31 Mbits/sec 2 89.9 KBytes [ 5] 20.00-25.00 sec 1.30 MBytes 2.18 Mbits/sec 1 93.7 KBytes [ 5] 25.00-30.00 sec 1.30 MBytes 2.18 Mbits/sec 1 91.1 KBytes - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bitrate Retr [ 5] 0.00-30.00 sec 7.82 MBytes 2.19 Mbits/sec 32 sender [ 5] 0.00-30.35 sec 7.56 MBytes 2.09 Mbits/sec receiver iperf Done. -
Nur falls nochmal jemand darüber stolpert und etwas herausliest, wie technisch unmöglich etc.
Die SiteToSite Verbindung läuft nun einwandfrei und das transparent für alle Teilnehmer in den Netzen zueinander. Das ganze realisiert über Wireguard auf einem RPI2 und einem Synology NAS.
Es gibt etliche Anleitungen dazu im Netz. Die Hürden liegen aber im Detail d.h. die reine VPN-Tunnelverbindung per Wireguard ist recht einfach zum einrichten. Komplexer wird es aber die Routingtabellen etc. zu durchblicken und individuell zu konfigurieren. Mit Basiswissen einer IP-Konfiguration im privaten Netzwerk stößt man dort sehr schnell an Grenzen und mir wurde dankenswerter Weise geholfen.
-
@A Former User said in Vodafone Kabel (Ex Unitymedia) Connect Box für PiVPN?:
Hi
möchte nun doch eine Möglichkeit haben um mich mal per VPN ins Heimnetz per zB Smartphone einloggen und zB an Teilnehmer wie die Netzwerkkameras ran zu kommen etc etc.
Dazu möchte ich auf dem RPI PiVpn installieren und einen Port in der Connect Box (Kabel Router von Vodafone) zum VPNServer weiterleiten.Hierbei stoße ich nun auf Einstellungshürden wo ich bisher keine Berührungspunkte hatte (IPv6 DS-Lite etc etc). An einem "Standard" DSL Anschluß und einer FritzBox verlief die Installation RuckZuck aber hier ....
Könnt ihr mir sagen wie ich die Einstellungen für ein Port-Forwarding hinterlege oder gibt es hier blockierende Dinge die eine Nutzung unmöglich machen?
Ich möchte auch die gleiche Lösung erreichen. Hast du eine Lösung für dein Problem gefunden.
