Unitymedia Überlegungen zu Endgeräten und IPv6 mit VPN

[gured]

Hallo,

wir müssen bald einen Unitymedia-Anschluss beantragen.

Welcher Router wird von Unitymedia aktuell ausgeliefert? Das Technicolor und die AVM 6490? Welches der beiden Geräte ist in Bezug auf die Stabilität (Netzausfälle, Probleme ...) zu empfehlen?
Womit bekommt jedes Gerät dahinter eine öffentliche IPv6 Adresse?

Bei welchem Endgerät kann hinter diesem eine Fritzbox 7390 angeschlossen werden, um fremde Voip-Anbieter zu ermöglichen? Der fremde Voip-Anbieter ist IPv6-fähig.

Auf den Anschluss muss von Extern eine VPN-Einwahl möglich sein, um auf das interne IPv4 Netz zugreifen zu können. Ist hier das Fritz-VPN empfehlenswert oder OpenVPN? Diese Einwahl wird von einem IPv4 Anschluss erfolgen müssen. Als Lösung des Problems dachte ich an einen Portmapper von feste-ip.net. Ist das so möglich?

 

[Sandra]

Hallo gured, :winken:

unsere aktuellen Geräte im Privatkundenbereich sind das TC 7200, das Ubee EVW 3226, die Horizon Box als und die Fritzbox 6490, sofern die Telefon Komfort-Option gebucht.

Im Business- Bereich wird aktuell (noch) die Fritzbox 6360 und das Cisco 3925 ausgeliefert.

Wenn Du auf eine reine IPv4 Adresse derzeit noch nicht verzichten kannst bzw. willst und Hardware benötigst, die Portweiterleitungen, Bridge Modus, VPN etc. unterstützen, kann ich Dir nur zu einem unserer Business- Tarife raten. Dort und nur dort hast du die Möglichkeit, all dies noch zu bekommen.

Viele Grüße
Sandra

 

[GoaSkin]

Nur die Fritzbox hat scheinbar eine einigermaßen ausgereifte IPv6-Firewall integriert, durch die es möglich ist, zu definieren, welche Ports auf der IPv6-Adresse eines Geräts von außen geöffnet sind und welche nicht. OpenVPN funktioniert mit IPv6, das Fritz VPN kann das noch nicht. Ich nutze OpenVPN mit IPv6 mit Hilfe von zwei RaspberryPI, die hinter den Fritzboxen hängen und beide IPv6 haben. Über IPv6 tunnele ich dann private IPv4-Netze.

Beim TC 7200 und dem Ubee-Gerät gibt es AFAIK nur die Möglichkeit, das ganze Heimnetz komplett zu öffnen oder komplett zu sperren, aber nichts Selektives. Soll zwar einen Workaround geben, der aber nicht im Sinne des Erfinders ist.

Die Horizon-Box kann kein IPv6 und ist darum für IPv4 konfiguriert. Ist aber wohl eher als Studenten-WG-Lösung dedacht. Wer baut schon seinen Rechner neben dem Fernseher auf und stellt dazu noch die Telefone daneben, nur weil man nur ein Gerät für Alles hat?

 

[Sandra]

Die Horizon-Box kann kein IPv6 und ist darum für IPv4 konfiguriert. Ist aber wohl eher als Studenten-WG-Lösung dedacht. Wer baut schon seinen Rechner neben dem Fernseher auf und stellt dazu noch die Telefone daneben, nur weil man nur ein Gerät für Alles hat?

Viele Familien zum Beispiel, die auch gerne alles in einem Raum (meistens Wohnzimmer) haben und sich zusätzliche Geräte und Stromqellen sparen möchten. Aber keine Sorge..genau aus den von Dir genannten Gründen gibt es ja bewusst auch die Variante mit dem zusätzlichen Gateway. Dann läuft über den Horizon HD Recorder nur der TV- Service.

Viele Grüße
Sandra

 

[GoaSkin]

Aber keine Sorge..genau aus den von Dir genannten Gründen gibt es ja bewusst auch die Variante mit dem zusätzlichen Gateway. Dann läuft über den Horizon HD Recorder nur der TV- Service.

Ich weiss. Hatte das ja auch so gehandhabt, bevor ich die Komfort-Option dazu gebucht hatte (damals Horizon+FB6320). Leider wissen nur manche Hotline-Mitarbeiter über diese Möglichkeit bescheid. Einen Unitymedia-Shop zu finden, bei dem man das direkt so bestellen kann, war nicht möglich. Die waren alle auf dem Standpunkt, man könne (damals) kein 3Play 150 mit zusätzlichem Router buchen.

 

[gured]

Nach euren Beiträgen scheint wohl dann doch dieses vorgehen hier zu funtkionieren:
2Play 6/120 Mbit/s mit AVM 6490.
Aufbau wäre dann also:
Internet > 6490 > Vorhandene 7390 (für Voip über anderen Anbieter)
...................> VPN Server auf IPv6
...................> alle weiteren Computer direkt an die 6490, eventuell auch mit IPv6

Computer > "VPN Client>IPv4>Sixxs-Tunnel>IPv6" und Problem gelöst. Wahrscheinlich kann man dann der einfachheitshalber, dass in den "" einfach mit einen RaspberryPi als VPN-Gateway konfigurieren.

Ist das so korrekt?

 

[GoaSkin]

Im Prinzip korrekt. Der nachgeschalteten DSL-Fritzbox kannst du allerdings auch OpenVPN beibringen, in dem du die Freetz-Firmware installierst. So kannst du den RaspberryPI ggf. sparen. Auf der Kabelbox musst du dann den OpenVPN-Port auf der IPv6-Adresse freigeben, die die DSL-Fritzbox bekommt.

Um den Client IPv6-fähig zu machen, würde ich erst einmal einen Freenet6-Tunnel ausprobieren. Der funktioniert anonym und ohne Anmeldung. Falls zu langsam, würde ich es mit Hurricane Electric versuchen. SiXXs ist nicht nur sehr bürokratisch, sondern auch bekannt dafür, User sehr häufig ohne Äußerung einer Begründung zu sperren und daraufhin sämtliche Mails einfach zu ignorieren.

 

[gured]

Um den Client IPv6-fähig zu machen, würde ich erst einmal einen Freenet6-Tunnel ausprobieren. Der funktioniert anonym und ohne Anmeldung. Falls zu langsam, würde ich es mit Hurricane Electric versuchen. SiXXs ist nicht nur sehr bürokratisch, sondern auch bekannt dafür, User sehr häufig ohne Äußerung einer Begründung zu sperren und daraufhin sämtliche Mails einfach zu ignorieren.

SiXXs ist wirklich doof. Bei Hurricane Electric muss der IPv4 Anschluss über ICMP erreichbar sein, was nicht möglich ist, da es deaktiviert ist. Freenet6 funktioniert aktuell nicht. Und nun? Gibt es irgendwo ein einfaches Tutorial um das mit OpenVPN und einem eigenen vServer hinzubekommen?

 

[GoaSkin]

Probieren, ob es 6to4 tut oder die IPv4-Adresse doch pingbar machen. Es lässt sich ja nicht jedes Gerät totpingen.

Client-Konfig:

client
dev tun
proto tcp6
remote per.ipv6.erreichbarer.server.com
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3

Server-Konfig:

<i>
</i>port 1194
proto tcp6-server
dev tun
ca ./easy-rsa/2.0/keys/ca.crt
cert ./easy-rsa/2.0/keys/server.crt
dh ./easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0"
client-config-dir ccd
route 192.168.3.0 255.255.255.0
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

In diesem Falle wird auf der Server-Seite das Netz 192.168.2.0/24, auf der Client-Seite 192.168.3.0/24 genutzt. Das VPN-Netzwerksegment zwischen den Tunnel-Devices nutzt IPs aus dem Bereich 10.8. Zertifikate sind mit den beiligenden Tools generiert.

 

[gured]

danke, ich werde mir die config demnächst mal genauer ansehen.
das Problem mit dem dem 4to6 hab ich nun mit einem Portmapper ähnlich feste-ip.net über 6tunnel auf einem vServer gelöst. Der vServer kostet zwar mehr, ich bin aber in der Infrastruktur unabhängiger und kann da noch anderes drauf machen. kostet nun jetzt auch nicht die Welt ...

 

[GoaSkin]

Wenn du einen vServer hast, solltest du eventuell hier den OpenVPN-Server installieren und Alles, was das VPN nutzen soll eine Client-Verbindung dorthin aufbauen lassen. Ggf. auch dort IPv6 nutzen (die meisten vServer Anbieter haben ja Dualstack).

 

[gured]

noch mal eine Frage: Unterstützt die 6490 von Unitymedia auch statisches IPv4-Routing für das interne Netzwerk?

 

[Leseratte10]

Zu der 6490 kann ich nix sagen, aber bei der 6360 geht das, also wird das höchstwahrscheinlich auch in der 6490 funktionieren.

 

[GoaSkin]

noch mal eine Frage: Unterstützt die 6490 von Unitymedia auch statisches IPv4-Routing für das interne Netzwerk?

Ja... tut sie. Man kann über die Web-Oberfläche IP-Bereiche definieren, die über eine angegebene IP-Adresse im LAN geschickt werden. In meinem Fall habe ich definiert: 192.168.2.0/24 wird über die IP 192.168.3.23 geschickt, was einem RaspberryPI entspricht, der OpenVPN Client mit 192.168.2.0 auf der anderen Seite spielt.

Die Clients im LAN haben erst einmal nur ihre Default-Route. Sobald aber auf eine 192.168.2er IP erreicht werden soll, schickt die FB allerdings eine RIP-Nachricht raus, woraufhin sich die Clients eine temporäre Route für 192.168.2.0/24 setzen. D.h. alle Folgepakete neben dann keinen Umweg mehr über die Fritzbox, sondern wandern direkt zum RaspberryPI. Eine Ping-Antwort sieht dann so aus:

<i>
</i>$ ping 192.168.2.23
PING 192.168.2.23 (192.168.2.23) 56(84) bytes of data.
From 192.168.3.1: icmp_seq=1 Redirect Host(New nexthop: 192.168.3.23)
From 192.168.3.1 icmp_seq=1 Redirect Host64 bytes from 192.168.2.23: icmp_seq=1 ttl=63 time=32.5 ms
64 bytes from 192.168.2.23: icmp_seq=2 ttl=63 time=20.4 ms
64 bytes from 192.168.2.23: icmp_seq=3 ttl=63 time=23.5 ms