Neuer Telefonanschluss mit DS-Lite-Tunnel KEIN VPN Zugriff

Jogi · 17 März 2021, 19:01:44

Hallo,
ich bin mit meinem Telefonanschluss Anfang der Woche von der Telekom zu Netcologne gewechselt und habe dabei zwei Überraschungen erlebt:
1. Sehr positiv war die unkomplizierte Umstellung. Die Fritzbox hat morgens gemeckert, ich habe dann die neuen Zugangsdaten eingegeben und konnte sofort weiterarbeiten.
2. Unerwartet und negativ ist mir heute aufgefallen, dass mein VPN-Tunnel (Zugriff von außen auf FHEM, Kameras, ...) nicht mehr funktioniert.
Natürlich habe ich recherchiert, gegoogelt und auch die Suchfunktion in FHEM genutzt.
Ursache ist scheinbar der zur Verfügung gestellte DS-Lite-Tunnel der IPV6 liefert anstatt IPV4.
Es gibt tausende Treffer dazu, aber ich sehe den Wald vor lauter Bäumen nicht. Ob überhaupt und wie ich das Lösen kann. Daher wäre ein Schubser super. Gerne auch mit einem Verweis auf einen Beitrag. Ich lese mich gerne ein, möchte dazu aber ungerne tausend Artikel lesen müssen. Und ich denke, der ein oder andere hier hatte dasselbe Problem.

Rahmenbedingungen:
Ich nutze die Fritzbox als Modem und habe einen bezahlten DNS-Account bei selfhost.de.
Ich würde gerne auf FHEM, die Alarmanlage und diverse Kameras von extern zugreifen.

Vielen Dank vorab,
Jogi

JudgeDredd · 17 März 2021, 19:36:17

Hallo Jogi,

Zitat von: Jogi am 17 März 2021, 19:01:442. Unerwartet und negativ ist mir heute aufgefallen ...

Warum unerwartet ? Wird das bei Netcologne nicht kommuniziert ?

Zitat von: Jogi am 17 März 2021, 19:01:44Daher wäre ein Schubser super.

Eines vorab ... ich selbst habe keinen IPv6 Link und nutze auch keinen consumer router aka FritzBox etc ...
Zur konkreten Konfiguration kann ich also nichts beitragen.

Lösungsmöglichkeiten:

Beim ISP eine öffentliche IPv4 beantragen (ausserhalb von RFC 1918) oder echten DualStack
einen IPv4 Root-Server mieten und dort eine v4v6 Bridge bauen
einen Account bei einem v4v6 Gateway kaufen (z.B. https://www.feste-ip.net/)

Abgesehen von den obigen Möglichkeiten einen öffentliche IPv4 zu erhalten, kannst Du natürlich auch jetzt schon einen VPN Tunnel
zu Deiner FritzBox aufbauen. Allerdings muss Dein Device welches den Tunnel aufbaut ebenfalls IPv6 fähig sein.

Gruß,
JudgeDredd

Wernieman · 17 März 2021, 20:49:24

Immer mehr Anschlüsse sind eigentlich IPv6 only. IPv4 wird über ein Proxy zur Verfügung gestellt. natürlich dann nicht extern erreichbar.

Wie JudgeDredd schreibt, kannst Du versuchen, Dir ein IPV4 Dienstleister zu suchen, um über einen Tunnel "Echtes" ipV4 zu bekommen.
Oder Du weichst eben auf ipV6 aus. Leider ... sind z.B. viele Handynetze eigentlich weder ipV6 (haben kein ipV6) noch ipV4 (Ist Privates Netz mit Proxy).

Da "viele Wege nah Rom" führen, jeder mit seinen Vor/Nachteilen, und man genau Deine Anforderungen nicht kennt, kann man Dir schlecht einen Tipp geben ...

JudgeDredd · 17 März 2021, 20:58:51

Zitat von: Wernieman am 17 März 2021, 20:49:24
Immer mehr Anschlüsse sind eigentlich IPv6 only. IPv4 wird über ein Proxy zur Verfügung gestellt.

Ist natürlich kein Proxy sondern CGN (Carrier-grade NAT), aber das wird Jogi wahrscheinlich ziemlich egal sein.

andy19850 · 17 März 2021, 21:32:29

Mit feste-ip.net habe ich gute Erfahrungen für einen VPN Tunnel gemacht. Ist recht kostengünstig und funktionierte immer.
Habe zum Glück jetzt aber wieder ipv4 bei vodafone

chopsor · 17 März 2021, 22:01:22

Hallo,

Ich habe seit über 2 Jahren eine virtuelle Firewall applience bei Hetzner Cloud auf einem VPS laufen (Sophos UTM mit der Home Lizenz) (pfsense
etc. tuts auch aber da ich beruflich mit Sophos arbeite bot sich das an...) welcher als VPN Server fungiert (Opvenvpn) und Zeitgleich den Reverse Proxy (WAF) bereitstellt für Fhem, Kameras, Synology (audio,photo, video etc) zudem hab ich so gleich einen smart host für Emails welcher die Mails Filtert / und auch Puffert, sollte die Synology zu hause aus irgend einem Grund nicht arbeiten.
2,85€ kostet das bei Hetzner, bei meinem ISP kostet eine Public dynamic Ip 2,95€/monat und eine Fixe IpV4 28€/monat.

Sprich günstiger und noch ein paar Features obendrauf.

(Die Variante von andy19850 ist wahrscheinlich am einfachsten umzusetzen).

FHEM-User22 · 18 März 2021, 07:34:29

Moin,
ich habe das gleiche Problem.

Zitat von: andy19850 am 17 März 2021, 21:32:29
Mit feste-ip.net habe ich gute Erfahrungen für einen VPN Tunnel gemacht. Ist recht kostengünstig und funktionierte immer.
Habe zum Glück jetzt aber wieder ipv4 bei vodafone

Wäre das:

https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/

oder das:

https://www.feste-ip.net/https-proxy/

dafür das richtige? Hat jemand eventuell einen Link, wo dies für "Laien" etwas ausfühlicher beschrieben ist?

Dankeschön

Wernieman · 18 März 2021, 08:48:19

Es kommtdarauf an, was Du den willst. Ein https-Proxy kann nur http und Konsorten Tunneln. Das andere dagegen das Komplette Netzwerk ....

Gisbert · 18 März 2021, 09:25:08

Zitat von: andy19850 am 17 März 2021, 21:32:29
Mit feste-ip.net habe ich gute Erfahrungen für einen VPN Tunnel gemacht. Ist recht kostengünstig und funktionierte immer.
Habe zum Glück jetzt aber wieder ipv4 bei vodafone

Dito, kann ich nur bestätigen.

Zitat von: FHEM-User22 am 18 März 2021, 07:34:29
Moin,
ich habe das gleiche Problem.

Wäre das:

https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/

oder das:

https://www.feste-ip.net/https-proxy/

dafür das richtige? Hat jemand eventuell einen Link, wo dies für "Laien" etwas ausfühlicher beschrieben ist?

Dankeschön

Ich hatte den Portmapper damals genutzt.
Ich habe mir auch ein how-to geschrieben, da die Anleitung bei feste-ip.net nicht so eineindeutig ist, als dass man dann keine Fragen mehr hätte.
Mein how-to liegt allerdings mittlerweile 4 Jahre zurück, es könnte sich also auf deren Homepage etwas geändert haben.

Viele Grüße Gisbert

JudgeDredd · 18 März 2021, 09:29:19

Zitat von: FHEM-User22 am 18 März 2021, 07:34:29Wäre das:
https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/
oder das:
https://www.feste-ip.net/https-proxy/
dafür das richtige?

Für den in diesem Thread beschriebenen Umstand wird der Portmapper benötigt.
Wie ich das auf die schnelle überflogen habe, ist der "https-proxy" eigentlich ein Reverseproxy, der zusätzlich noch ein Zertifikat hostet.
Wenn man schon eine eigene Domain hat und bereits jetzt schon über dessen DNS die Weiterleitung an z.B. eine URL (CNAME) oder eine IP (A-RECORD) macht,
kann man auf das Paket "https-proxy" verzichten.
Hat man dies noch nicht, kann man darüber nachdenken, ob man das "on-top" dazubucht.

ansonsten gilt:

Zitat von: Wernieman am 18 März 2021, 08:48:19Es kommtdarauf an, was Du den willst. ...

Gruß,
JudgeDredd

Jogi · 18 März 2021, 17:45:37

Hallo zusammen und vielen Dank für Eure Beiträge.
Etwas viel Fachchinesisch für mich, aber das Problem hat sich bei mir auch erledigt.
Ein Anruf beim Provider hat genügt und die haben den Anschluss innerhalb von Minuten auf IPv4 umgestellt und jetzt läuft wieder alles.
Hätte ich nicht gedacht aber ich bin natürlich froh darüber.

Gruß,
Jogi

UweH · 19 März 2021, 19:40:54

Für andere, die dieses oder ein ähnliches Problem bei 1&1 haben (z.B. Archer VR2800v funktioniert nicht)...anrufen und den Anschluss auf Dual Stack umstellen lassen. Innerhalb von einer Stunde war das Problem erledigt.

Gruß
Uwe