Unitymedia VPN zu Telekomanschluss mit DualStack

[tomas]

Hallo!

Hat hier schon jemand folgende Konfiguration zum Laufen bekommen:
1. Anschluss bei UM mit DS-Lite und FritzBox 6320 inkl. MyFritz-Adresse
2. Anschluss bei Telekom mit DualStack und FritzBox 3390 inkl. DynDNS-Adresse

Ich würde gerne die in der FritzBox integrierte VPN Funktion nutzen. Ich habe dabei laut Anleitung die Konfigurationsdateien erstellt und in die FritzBoxen geladen.
Dabei habe ich für die FritzBox mit dem UM-Anschluss bei der DynDNS Adresse eben die MyFritz-Adresse eingetragen. Und bei der FritzBox mit Telekomanschluss eben die DynDNS.org Adresse.

Leider klappt das ganze nicht. In beiden FritzBoxen steht jeweils "Verbindung wird aufgebaut". Die Log-Anzeige in der FritzBox gibt leider dazu auch keine Meldungen hab was nicht stimmt.

Prinzipiell müsste es doch gehen oder? Schließlich kann ich von meinem Laptop aus auch eine VPN Verbindung (mit dem Windows-Tool) zu dem Telekomanschluss aufbauen.

Eben fand ich im Log der FritzBox(Telekomanschluss) folgende Meldungen:
31.10.13 18:14:38 VPN-Verbindung zu irgendwas.myfritz.net wurde getrennt. Ursache: 3 IKE server
31.10.13 18:14:38 VPN-Verbindung zu irgendwas.myfritz.net wurde erfolgreich hergestellt.

 

[hajodele]

Das VPN der Fritzbox funktioniert nur mit IPv4 - also vergiss es

 

[SpaceRat]

Prinzipiell müßte es funktionieren, allerdings kann der Aufbau der VPN-Verbindung dabei nur in einer Richtung klappen, nämlich von der Unitymedia-Fritte zur Telekom-Fritte.

Wie hajodele richtig schrieb, arbeitet das AVM-VPN mit IPv4-only (Carrier und Payload), deshalb kann die Telekom-Fritte die UM-Fritte nicht erreichen, da hinter der MyFritz!-Adresse nur eine IPv6 steckt.
Umgekehrt hingegen kann es durchaus klappen, da die UM-Fritte ausgehend ja durchaus über IPv4-Konnektivität verfügt und den hinter der DynDNS-Adresse stehenden IPv4-Host erreichen kann.

Da gibt es aber eine Menge "aber" in der ganzen Sache:
- IPv4-Pakete zwischen der UM-Fritte und der Telekom-Fritte gehen durch einen Tunnel.
- Die öffentliche IPv4 der UM-Fritte liegt am anderen Ende des AFTR-Tunnels und ändert sich alle paar Minuten. Zwischen der UM-Fritte und ihrer öffentlichen IPv4 (Die von anderen Kunden mitbenutzt wird) liegt also noch eine NAT (Network Address Translation), hier dem CGN (Carrier Grade NAT).
- Die beiden Boxen authentifizieren sich auch über ihre Adressen, wobei die UM-Fritte de facto keine hat (s.o.)

Die Einwahl mit dem Windows-Tool (Ich gehe mal davon aus, daß Du das Tool "AVM Fernzugang" meinst) klappt deshalb, weil die Konfiguration für diese anders aussieht:
- Die Authentifizierung erfolgt über Login/Password, wie Du beim Anlagen der Konfiguration vielleicht bemerkt hast (Statt einer DynDNS-Adresse hast Du eine eMail-Adresse angeben müssen, die als Login dient)

Es gibt nun jede Menge Ansätze, um an eine funktionierende Konfiguration zu kommen:
1a. Anlegen eines VPN-Zugangs für ein Smartphone. Das sollte die mit den geringsten Ansprüchen an die Verbindung sein, denn ein Smartphone hängt genauso hinter einem CGN (Carrier Grade NAT) wie die UM-Fritte auch.
oder
1b. Anlegen eines VPN-Zugangs für einen einzelnen PC, also zur Nutzung mit AVM Fernzugang. Wie Du ja selbst festgestellt hast, gelingt mit diesem die Einwahl in das VPN.
2. Erweitern dieser Konfiguration für die Verbindung zweier Netzwerke (Die in 1a und 1b genannten Konfigurationen beinhalten auf der Client-Seite nur eine einzige IP, bei der Kopplung Box2Box hingegen werden beide Heimnetze komplett gekoppelt).

Um jetzt aber nicht zuviel Euphorie aufkommen zu lassen:
Ich habe das schon einmal probiert, nämlich zwischen einem Telekom-Anschluß und einem M-Net-Anschluß (Der ebenfalls DS-lite nutzt, genauso wie UM). Optisch hat das auch geklappt, beide Fritz!Boxen haben auf der Übersicht stolz vermeldet, daß eine VPN-Verbindung zu <andere Seite> besteht. Allerdings war es nicht möglich, irgendwelche Daten durch diese Verbindung zu befördern.

Die Rest-Chance ist also, daß ich auch nicht alles weiß und beide Boxen Fremdboxen waren, die ich per Fernwartung konfigurieren mußte, was doch nervend lange dauert, wobei ich vielleicht irgendwann den Faden verloren habe.

Ich würde mich - im Namen der Betroffenen - echt freuen, wenn hier mal jemand eine funktionierende Konfiguration einstellen könnte.
Letztendlich ist es aber erfolgversprechender, mit OpenVPN zu arbeiten, das kann nämlich IPv6, sowohl als Trägernetz als auch für die Payload.
Auf der Telekom-Seite würde es dafür völlig reichen, die Fritte zu freetzen, das in Freetz enthaltene OpenVPN ist immer aktuell. Auf der UM-Seite müßte man eine gefreezte Fritz!Box, einen Open- bzw. DD-WRT-Router, ein geeignetes NAS (Synology) oder ein anderes Gerät mit OpenVPN (Raspberry Pi, ein Enigma2-Receiver, ...) ankoppeln.

 

[tomas]

Danke euch Beiden für die ausführlichen Infos!

Wird es denn wohl in absehbarer Zeit von AVM implementiert werden, dass die VPN Funktion auch mit IPv6 funktioniert?
Ich werden dann wohl noch warten bis mein Bruder auch seine Synology-Diskstation hat und das dann darüber machen. Wobei ich mich gerade frage ob die in der neuen DSM Version eingsetzte OpenVPN Version auch schon so aktuell ist das diese IPv6 unterstützt. Bei der alten Version weiß ich noch das es nicht ging.
Ansonsten muss ich das neuere OpenVPN Paket manuell installieren.

Eine Frage noch bzgl. deiner Idee mit dem OpenWRT-Router. Bei meinem Bruder steht schon ein TP Link Router (den habe ich wegen des bekannten WLAN-Problems der 6320), dieser ist direkt an die FritzBox angeschlossen. Wenn ich das über den Router laufen lassen würde, muss ich dann noch die entsprechenden Ports in der FritzBox freischalten oder geht das ohne?

 

[SpaceRat]

Wird es denn wohl in absehbarer Zeit von AVM implementiert werden, dass die VPN Funktion auch mit IPv6 funktioniert?

Das weiß wohl nur AVM.
Kritisch für AVM dürfte sein, daß die VPN-Funktionalität auf Interoperabilität mit professionellen Lösungen auch von Drittanbietern ausgelegt ist. Da wirft man ungerne etwas über den Haufen ...

Ich werden dann wohl noch warten bis mein Bruder auch seine Synology-Diskstation hat und das dann darüber machen.

Wenn ich Deine Signatur richtig interpretiere, dann bist Du derjenige, der den UM-Anschluß mit der nicht-freetzbaren Fritz!Box 6320, dafür aber eine Synology NAS, hat, während Dein Bruder hingegen einen Telekom-Anschluß mit Fritz!Box 3390 hat.
Somit hättest Du alles was Du brauchst auch schon jetzt.

Wobei ich mich gerade frage ob die in der neuen DSM Version eingsetzte OpenVPN Version auch schon so aktuell ist das diese IPv6 unterstützt.

Ab Werk: Nein, wäre ja zu einfach.
Mit etwas Glück findest Du hier ein funktionsfähiges Paket. Die 213+ hat eine PPC-CPU, also PowerPC.

Eine Frage noch bzgl. deiner Idee mit dem OpenWRT-Router. Bei meinem Bruder steht schon ein TP Link Router (den habe ich wegen des bekannten WLAN-Problems der 6320), dieser ist direkt an die FritzBox angeschlossen. Wenn ich das über den Router laufen lassen würde, muss ich dann noch die entsprechenden Ports in der FritzBox freischalten oder geht das ohne?

Wenn das OpenWRT den TP-Link-Müll IPv6-tauglich macht, würde das gehen. Und ja, Du müsstest den von OpenVPN benutzten Port (TCP+UDP) freigeben.

 

[tomas]

Danke für deine ausführlichen Antworten! :smt023

Du lagst aber nur halb richtig Die Verbindung zu dem Telekomanschluß wollte ich ins Büro von meinem Schwager legen (ab und zu muss ich mich via Remote draufschalten).
(Ich muss zugeben das ich das selber ein wenig durcheinander geschrieben habe )

Das mit der DS213+ habe ich gerade auch gelesen, dass es problematisch werden könnte.
Mein Bruder hat auch ein UM Anschluss und der TP Link funktioniert mit OpenWRT erstaunlich gut! Deswegen spiele ich nun mit dem Gedanken, nach deinen Erläuterungen, mir auch den TP Link zu holen (zusätzlicher Vorteil das ich nicht mehr dieses schlechte WLAN der 6320 ertragen muss) und OpenVPN dadurch laufen zu lassen. Portfreigaben sind ja da das kleinste Problem.

Evtl. werde ich dann auch mal OpenVPN von meinem UM Anschluss zu dem Telekomanschluß probieren.
Und wenn ich es nicht vergessen, werde ich hier einen Statusbericht abgeben, ob und wenn ja wie es geklappt hat (kann aber noch etwas dauern).

Also nochmals, vielen Dank für deine Erläuterungen!

 

[SpaceRat]

Was hältst Du eigentlich vom TeamViewer als Alternative?

 

[tomas]

auf die Idee kam ich auch schon.
Wir wollten nur in naher Zukunft evtl. auch mal ein paar Sicherungen vom Büro auf eine DS(SFTP) machen und deswegen wollte ich dafür ein VPN haben