Unitymedia DOCSIS 3.0 IPv4 / IPv6 Durcheinander

[Andreas1969]

Wieso wird nicht genau so viel an AVM rumgemeckert, weil deren Schrottboxen kein v6-VPN können?

Da gebe ich dir natürlich Recht.
In Bezug auf V6 VPN sind die Boxen Schrott.
Aber auch genau so sind die AFTR'S bei UM Schrott, sonst würd's ja auch über V4 gegen. :winken:

 

[Conan179]

IPv6-VPN-Verbindungen werden von der FRITZ!Box nicht unterstützt, da darüber keine IPv4-Daten übertragen werden können. Zudem könnten solche IPv6-Verbindungen nur hergestellt werden, wenn beide Teilnehmer über eine IPv6-Internetanbindung verfügen, was z.B. in den meisten Mobilfunknetzen und WLAN-Hotspots nicht der Fall ist.

https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/1306_Sind-VPN-Verbindungen-zu-einer-FRITZ-Box-am-DS-Lite-Internetzugang-moeglich/

 

[Andreas1969]

IPv6-VPN-Verbindungen werden von der FRITZ!Box nicht unterstützt, da darüber keine IPv4-Daten übertragen werden können. Zudem könnten solche IPv6-Verbindungen nur hergestellt werden, wenn beide Teilnehmer über eine IPv6-Internetanbindung verfügen, was z.B. in den meisten Mobilfunknetzen und WLAN-Hotspots nicht der Fall ist.

https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/1306_Sind-VPN-Verbindungen-zu-einer-FRITZ-Box-am-DS-Lite-Internetzugang-moeglich/

Die Aussage von AVM ist Schwachsinn :winken:

 

[Conan179]

kannst du das gegenteil bellegen?

 

[un1que]

Ich mein, UM hat nicht Unrecht wenn sie sagen, dass sie jetzt "schon" das neue Protokoll unterstützen, nur viele andere es nicht tun.

Sorry, aber da muss ich dir einfach mal widersprechen. Ja, die anderen sind auch nicht besser, wenn sie generell kein IPv6 anbieten, aber an der Stelle sind UM's Worte doch eh nur Heuchelei. UM ist nicht fortschrittlicher als andere, sie tun nur das nötigste und der einzige Grund dafür ist - die IPv4 Adressknappheit. Hätte UM noch genügend IPv4 Adressen, dann hätten sie die Einführung des DS bzw. DS-lite genau so hinausgezögert, wie alle anderen es jetzt tun (weil sie es sich eben leisten können) und wäre bestimmt einer der letzten Anbieter, der es überhaupt eingeführt hätte.
Im Moment bieten sie ja kein echtes DS an, sodass nicht mal die eigenen IPv4-only User auf die bereitgestellten Dienste der DS-lite User zugreifen können, was mMn genau so schlimm ist, wie die komplette Ignoranz der IPv6 Geschichte.

 

[Conan179]

nicht offiziell scheinbar, es gibt anschlüsse von unitymedia in bawü die haben echtes DS.

 

[un1que]

@Conan: ja, das weiß ich, ist aber eine reine Ausnahme und stammt noch aus KabelBW Zeiten - da hat UM überhaupt nichts damit zu tun.

 

[Conan179]

ach stimmt, kabel bw zeiten... tschuldigung.

 

[addicted]

Ich mein, UM hat nicht Unrecht wenn sie sagen, dass sie jetzt "schon" das neue Protokoll unterstützen, nur viele andere es nicht tun.

Sorry, aber da muss ich dir einfach mal widersprechen.

Es hätte auch CGNAT ohne v6 geben können, wie z.B. in einigen Mobilfunknetzen.

Ich gebe Dir recht, dass UM das nicht konsequent durchzieht, und man deshalb deren Aussage durchaus als Heuchelei bewerten kann. Aber eher, weil sie die v4-only Kunden nicht auch konsequent auf DSLite umgestellt haben.

kannst du das gegenteil bellegen?

Man kann völlig problemlos v4 in v6 tunneln. Hab ich schon gemacht, geht genauso wie v6 in v4 zu packen, halt nur andersherum.

 

[Andreas1969]

Aber eher, weil sie die v4-only Kunden nicht auch konsequent auf DSLite umgestellt haben.

Oder zumindest auf echten Dual Stack

 

[un1que]

Ich gebe Dir recht, dass UM das nicht konsequent durchzieht, und man deshalb deren Aussage durchaus als Heuchelei bewerten kann. Aber eher, weil sie die v4-only Kunden nicht auch konsequent auf DSLite umgestellt haben.

Ich wette, dass das auch nicht im Interesse von UM sein kann. Denn das wäre ein deutlicher Zuwachs an Auslastung für die AFTR-Gateways. Das würde halt mehr Geld kosten, als wenn man die meisten Kunden auf IPv4-only belässt und nur den Wechslern die Adressen wegnimmt, um diese für Business-Verträge zu sichern.

Btw. wo ich das geschrieben habe, merkte ich wieder, dass UM nur eine noch positivere Wirkung für sich erzielen könnte, wenn sie am Anfang allen IPv4-Kunden die Adressen weggenommen und diese dann allen interessierten gegen ein paar € mtl. zur Verfügung gestellt hätten.
Denn was haben die Leute mit den alten IPv4-only Tarifen für Geschwindigkeiten? -Wohl meistens unter 100 Mbit (also so um die 20-60). Und all die neuen Nutzer mit DS-lite? -In den meisten Fällen 120Mbit und viele 200/400er. Im Moment also mehr Power-User mit DS-lite und "Normalos" mit IPv4 unterwegs, was man also nahezu drehen könnte. So könnte man die AFTR-Gateways Auslastung ein bisschen reduzieren (=Geld einsparen) und gleichzeitig mehr Nutzerzufriedenheit erreichen.

 

[Andreas1969]

Denn was haben die Leute mit den alten IPv4-only Tarifen für Geschwindigkeiten? -Wohl meistens unter 100 Mbit (also so um die 20-60). Und all die neuen Nutzer mit DS-lite? -In den meisten Fällen 120Mbit und viele 200/400er. Im Moment also mehr Power-User mit DS-lite und "Normalos" mit IPv4 unterwegs, was man also nahezu drehen könnte. So könnte man die AFTR-Gateways Auslastung ein bisschen reduzieren (=Geld einsparen) und gleichzeitig mehr Nutzerzufriedenheit erreichen.

Das sind ja mal weise Worte.
Stimme Dir da zu 100% zu. :zwinker:

 

[addicted]

Aber eher, weil sie die v4-only Kunden nicht auch konsequent auf DSLite umgestellt haben.

Oder zumindest auf echten Dual Stack

Es ist leichter, alle auf einer Variante zu haben. Und DSLite ist ausserdem leichter als DualStack, weil auf der Docsis-Leitung nur v6 fließt.

 

[un1que]

Aber eher, weil sie die v4-only Kunden nicht auch konsequent auf DSLite umgestellt haben.

Oder zumindest auf echten Dual Stack

Es ist leichter, alle auf einer Variante zu haben. Und DSLite ist ausserdem leichter als DualStack, weil auf der Docsis-Leitung nur v6 fließt.

Business läuft doch aber trotzdem IPv4-only :zwinker: :glück:
Der Rest: siehe oben. Mehr IPv4 Anschlüsse = weniger Kosten für AFTR, da spielt es wohl keine Rolle, ob es dann einfacher ist nur v6 auf der DOCSIS-Leitung zu haben.

 

[addicted]

Hast Du denn mal überprüfbare Zahlen, was so ein AFTR wirklich kostet?
Mir fehlt da grade ein bisschen die Vorstellungskraft, dass ein Unternehmen wie UM wesentlich mehr als ein paar tausend Euro pro Stück investieren müsste...

 

[un1que]

Nein, ich habe keine Zahlen, nur Pi mal Daumen überschlagen :smile:

Trotzdem sollte es eine Menge ausmachen (auch wenn's nur ein paar k pro Stück kostet), wenn man um die 2 Mio. Kunden mit IPv4 Adressen (oder wie viele besitzt UM?) auf DS-lite umstellt - das kannst du nicht abstreiten. Die AFTR-Gateways sind wohl mit 1Gbit angebunden (also in etwa die gleiche Größenordnung, wie ein Segment) und da kannst du im Schnitt 500-1000 Kunden einplanen - also 2-4k neue AFTR-Gateways. Na viel Spaß mit nur ein paar Tausend € / Stück.

 

[Andreas1969]

Ehrlich gesagt wäre es mir jetzt Latte, ob die Fritzboxen VPN über V6 unterstützen oder ob die AFTR´s V4 VPN durchlassen, bzw. unterstützen.
Da beides nicht geht, bin ich momentan mit UM absolut unzufrieden.

Folgende Situation bei mir:

Standort A: DSLITE
Standort B: IPV4 only
Standort C: DSLITE

Wenn die Fritzboxen V6 VPN unterstützen würden, wäre das kein Problem, da ich an Standort B Dual Stack über den HE Tunnel (6in4) realisiert habe.
Alle 3 Standorte haben also V6.
Leider spielt AVM da nicht mit. :wand:

Wenn die Fritzboxen V4 VPN über die AFTR´s unterstützen würden, wäre das auch kein Problem.
Standort B mit V4 wäre dann bei mir der Master.
VPN zwischen A und B einrichten und VPN zwischen C und B einrichten und die Welt wäre in Ordnung.
Alle 3 Anschlüsse wären dann über die V4 Adresse von Anschluss B erreichbar.
Leider spielt da UM nicht mit, da die Pakete übers AFTR fragmentiert werden, bzw. AVM hat da einen Bug in den Fritten.

Fazit: Anschluß A und C kündigen und zu einem anderen Anbieter wechseln.
Da hier der Rosa Riese momentan ausbaut (Ausbau soll bis Frühjahr 2018 abgeschlossen sein), werde ich vermutlich UM komplett den Rücken kehren und
mit allen 3 Anschlüssen dorthin wechseln. :mussweg:

 

[addicted]

Trotzdem sollte es eine Menge ausmachen (auch wenn's nur ein paar k pro Stück kostet), wenn man um die 2 Mio. Kunden mit IPv4 Adressen (oder wie viele besitzt UM?) auf DS-lite umstellt - das kannst du nicht abstreiten. Die AFTR-Gateways sind wohl mit 1Gbit angebunden (also in etwa die gleiche Größenordnung, wie ein Segment) und da kannst du im Schnitt 500-1000 Kunden einplanen - also 2-4k neue AFTR-Gateways. Na viel Spaß mit nur ein paar Tausend € / Stück.

Das würde ich aber nicht so rechnen - bei den Segmenten ja, da gibt es aber geografische Gründe für die Anzahl an Kunden pro Segment.
Ausserdem ist es ökonomisch und technisch sinnvoll, ein Gerät, welches als Hauptaufgabe das Weiterleiten von Traffic hat, auch genau für diesen Bereich besonders auszustatten. Daher würde ich annehmen, dass die Boxen mindestens 10GBit/s haben (ggf. sogar zwei mal, einmal für "WAN" und einmal für "LAN").
Nehmen wir einfach mal an, so eine Kiste kostet 5k€.

Ich würde statt der Anzahl von Kunden pro Segment eher den gesamten Traffic von UM als Maßstab nehmen. Laut PeeringDB hat AS20825 200-300 GBit/s Traffic. Der Wert ist aber sicherlich veraltet, am Besten verdoppeln wir den oberen, dann hätten wir 600GBit/s. Ausserdem fehlt dabei KBW, also nehmen wir vielleicht 1TBit/s.

Will ich das mit 10GBit/s Maschinen machen, brauche ich mindestens 100 Stück, das sind dann 500k€.

Ich habe da noch kein Polster drin, aber das braucht man vielleicht auch nicht, denn:
Viele Dienste, die hohen Traffic mitbringen, gibt es auch per IPv6: Youtube und Netflix mal als Beispiel. D.h. solcher Traffic, obwohl er momentan v4 Traffic ist, liefe dann garnicht über den AFTR. Und in Zukunft wird immer mehr Traffic von v4 in Richtung v6 wandern, so dass es gut sein könnte, dass auch bei insgesamt steigendem Traffic eine geringe Menge AFTRs weiter ausreichend sind.

Aber zur Sicherheit verdoppeln wir einfach die Menge. Dann gibt UM 1M€ für 200 AFTRs aus.
Laut https://www5.unitymedia.de/unternehmen/investor-relations/financial_overview/key_financials/ hat UM im Finanzjahr 2016 2277 Millionen Euro eingenommen.

Auf eine Million mehr oder weniger kommt es dabei wohl nicht an

 

[SpaceRat]

kannst du das gegenteil bellegen?

Wurde zwar schon beantwortet, aber zur Bekräftigung noch mal von mir: Ja, kann ich.

Das AVM-VPN macht IPSec.
Man braucht sich also einfach nur strongSwan anzugucken, um diese Aussage von AVM zu widerlegen:

strongSwan
the OpenSource IPsec-based VPN Solution
...
- Fully tested support of IPv6 IPsec tunnel and transport connections

An der Stelle des "and" wäre "and/or" übrigens korrekter:
Mit strongSwan (und auch anderen IPSec-basierten VPN-Lösungen) läßt sich Dual-Stack sowohl für die Tunnel- als auch für die Transportverbindung realisieren.

Unter Berücksichtigung der Tatsache, daß eine einzelne Transportverbindung ja nur einen Stack nutzen kann, ergeben sich folgende sechs Möglichkeiten:

• IPv4 als Transport-Verbindung, IPv4 im Tunnel
• IPv4 als Transport-Verbindung, IPv6 im Tunnel
• IPv4 als Transport-Verbindung, Dual-Stack im Tunnel
• IPv6 als Transport-Verbindung, IPv4 im Tunnel
• IPv6 als Transport-Verbindung, IPv6 im Tunnel
• IPv6 als Transport-Verbindung, Dual-Stack im Tunnel

Für die Nutzer von Low-End-Geräten wie den Witz!Boxen wäre es wahrscheinlich für's Erste völlig ausreichend, wenn das AVM-VPN davon einfach nur wie bisher

• IPv4 als Transport-Verbindung, IPv4 im Tunnel

und zusätzlich noch

• IPv6 als Transport-Verbindung, IPv4 im Tunnel

beherrschen würde.

Und jetzt kommt der Witz:
Das geht sogar, nämlich indem man die Büchse freetzt. Dabei kann man das AVM-VPN entfernen und racoon oder strongSwan reinfummeln.

Der Haken:
Ausgerechnet die Kabel-Witz!Boxen kann man nicht freetzen. Die gehören einem nämlich selbst dann nicht, wenn man sich einbildet, sie für viel Geld gekauft zu haben.
Deshalb haben wir ja auch im Kabelnetz immer noch keine echte Router-Freiheit, solange das einzig verfügbare Gerät die Witz!Box 6xx0 ist.

Nur mit einem reinen Kabel-Modem - ein hypothetischer "Draytek Vigor 130 cable" z.B. oder das nicht wirklich verfügbare Hitron - kann man entweder eine wirklich eigene Fritz!Box - z.B. 7580 - oder auch gleich einen richtigen Router betreiben.

Bei der schrittweisen Ausmusterung meiner Witz!Box als Router habe ich übrigens die bestehenden VPNs auf meiner Seite durch strongSwan ersetzt, d.h. mein LEDE/OpenWrt-Router baut mittels strongSwan Verbindungen zu verbliebenen Witz!Boxen (Der Witz!Box 7390 meines Vaters und der Witz!Box 6360 eines Freundes) auf.

AVM hat echt Glück, daß meistens nach dem Freetzen eh eher OpenVPN genutzt wird, sonst hätte vermutlich längst ein findiger Programmierer strongSwan so mittels Freetz in eine Witz!Box integriert, daß es sogar die AVM-eigene Config benutzt. Es wäre wirklich problemlos möglich, über ein popliges Shell-Script die AVM-VPN-Config auszulesen und in eine ipsec.conf für strongSwan/racoon umzuwandeln, ich glaube, das würde sogar ich hinkriegen.

 

[Andreas1969]

Viele Dienste, die hohen Traffic mitbringen, gibt es auch per IPv6: Youtube und Netflix mal als Beispiel.

Eine Sache hast Du bei dieser Rechnung vergessen.
Ein Großteil der heutigen Endgeräte, über die Netflix, Amazon Prime, Maxdome usw. geschaut wird, können garkein IPV6, somit fließt der gesamte Traffic über's AFTR, obwohl der Kunde eigentlich einen hochmodernen innovativen IPV6 bzw. DSLITE Anschluss hat. :winken:

 

[Andreas1969]

Für die Nutzer von Low-End-Geräten wie den Witz!Boxen wäre es wahrscheinlich für's Erste völlig ausreichend, wenn das AVM-VPN davon einfach nur wie bisher
IPv4 als Transport-Verbindung, IPv4 im Tunnel
und zusätzlich noch
IPv6 als Transport-Verbindung, IPv4 im Tunnel
beherrschen würde.

Jo, das wäre für's Erste völlig ausreichend.
Nur AVM macht da einen auf Stur, da sie meinen, dass kaum jemand IPV6 hat/nutzt. Daher wäre es aus Ihrer Sicht nicht nötig. :wand:

 

[Andreas1969]

Der Haken:
Ausgerechnet die Kabel-Witz!Boxen kann man nicht freetzen. Die gehören einem nämlich selbst dann nicht, wenn man sich einbildet, sie für viel Geld gekauft zu haben.
Deshalb haben wir ja auch im Kabelnetz immer noch keine echte Router-Freiheit, solange das einzig verfügbare Gerät die Witz!Box 6xx0 ist.

Nur mit einem reinen Kabel-Modem - ein hypothetischer "Draytek Vigor 130 cable" z.B. oder das nicht wirklich verfügbare Hitron - kann man entweder eine wirklich eigene Fritz!Box - z.B. 7580 - oder auch gleich einen richtigen Router betreiben.

Da ist schon das nächste Problem.
An Anschluss B betreibe ich ja eine 7580 am Bridge Port der 6490, die lässt sich freetzen.
Nur an Anschluss A und C geht das nicht, da die Bridge an DSLITE Anschlüssen nicht funktioniert. Und Modems gibt es auch keine auf dem Markt.
Somit kann ich da keine gefreezte eigene 7580 dranhängen.
Da beißt sich die Katze wieder selbst in den Schwanz.

 

[SpaceRat]

Nur AVM macht da einen auf Stur, da sie meinen, dass kaum jemand IPV6 hat/nutzt. Daher wäre es aus Ihrer Sicht nicht nötig. :wand:

Ja, wie ich schon sagte, hat AVM da einfach nur Glück, daß sie niemand an der Nase vorführt.

Es ist jetzt nicht so hammerschwer, eine AVM-VPN-Config in diese(n) Abschnitt(e) einer ipsec.conf zu überführen:

conn %default leftallowany=yes leftsubnet=192.168.x.0/24 authby=secret leftfirewall=yes ikelifetime=3600s keylife=3600s closeaction=restart
conn Cologne type=tunnel keyexchange=ikev1 ike=aes256-sha-modp1024 esp=aes256-sha1-modp1024 left=%any4 leftid=@mydyndns right=%his.myfritz.net [email protected] rightsubnet=192.168.y.0/24 auto=route

plus eine Zeile in den ipsec.secrets:

@mydyndns @his.myfritz.net : PSK "tH3pR3Sh4r3dK3y"

Das war's schon.

Naja, eine Änderung in der AVM-VPN-Config ist drin, nämlich die Deaktivierung des "aggressive mode":

 mode = phase1_mode_aggressive;

in der AVM-VPN-Config ersetzen durch

 mode = phase1_mode_idp;

Alternativ ginge auch ein Eintrag in der strongswan.conf, nämlich

i_dont_care_about_security_and_use_aggressive_mode_psk=yes

aber wie man dem Parameternamen schon entnehmen kann, ist die Änderung auf AVM-Seite sinnvoller.

Der Witz:
Ein so konfigurierter strongSwan könnte auch von einem DS-lite-Anschluß aus zu einem AVM-VPN auf IPv4 verbinden, denn mit strongSwan wird die richtige MTU verwendet.
Das hat AVM ja auch lange nicht hinbekommen.

Aber AVM ist da in bester Gesellschaft:
Ich erinnere nur mal an Microsofts Verletzung der eigenen Standards, indem sie auf der XBox unbedingt einen Teredo-Tunnel aufbauen wollen, selbst wenn natives IPv6 zur Verfügung steht.

Und eine Peinlichkeit vor dem Herrn ist, daß selbst Windows 10 noch kein RDNSS (RFC 8106) beherrscht, das können ja selbst Enigma2-Boxen.
Mit dem Creators Update soll es zwar reingekommen sein (https://insinuator.net/2017/05/one-step-closer-rdnss-rfc-8106-support-in-windows-10-creators-update/), aber ich kann das nicht bestätigen, es funktioniert nicht.
Für RDNSS-Support in Windows muß ich auch unter Windows 10 immer noch rdnssd-win32 benutzen ...

 

[SpaceRat]

An Anschluss B betreibe ich ja eine 7580 am Bridge Port der 6490, die lässt sich freetzen.
Nur an Anschluss A und C geht das nicht, da die Bridge an DSLITE Anschlüssen nicht funktioniert. Und Modems gibt es auch keine auf dem Markt.
Somit kann ich da keine gefreezte eigene 7580 dranhängen.
Da beißt sich die Katze wieder selbst in den [zensiert].

Ja, wobei sich das Problem notfalls auch anders lösen ließe ...

Häng einfach an allen drei Anschlüssen einen Raspberry Pi an die Witz!Box, dann kann die tun, wozu AVM nicht in der Lage ist.
Drei Pi, weil man sich so auch auf der 7580 das Freetzen spart und ein vollwertiges Linux ist und bleibt einfacher zu administrieren als eine gefreetzte Witz!Box.

Hab ich Dir aber glaube ich schon mehrmals vorgeschlagen ...

 

[Andreas1969]

Der Witz:
Ein so konfigurierter strongSwan könnte auch von einem DS-lite-Anschluß aus zu einem AVM-VPN auf IPv4 verbinden, denn mit strongSwan wird die richtige MTU verwendet.
Das hat AVM ja auch lange nicht hinbekommen.

Jetzt mal ein ganz blöder Gedanke.
Ich meine mich zu erinnern, dass es für die VPN MTU einen separaten Eintrag in der Config gibt.
Bei DSLITE Anschlüssen ist da aber nicht der korrekte Wert eingetragen.
Wenn ich da jetzt per FB Editor die korrekte MTU eintrage, müsste doch das V4 VPN auch über's AFTR funktionieren :kratz:
Oder habe ich da jetzt einen Knoten im Kopf :kratz: