Unitymedia DSLite & VPN

[terminal6]

Eine Sache, die mich als DSlite Kunde auch mächtig nervt ist die VPN-Problematik. Konnte da noch keine Lösung finden, die sich in Eigenregie und ohne Zusatzkosten realisieren liese.
Und zum Thema Saftladen: Auch bei mir wieder erst nach Kündigung Gesprächsbereitschaft und Angebote...

Ich hab dann damals aber selbst soz. in letzter Minute eine Lösung für mein VPN-Problem gefunden und bin daher geblieben!

Johnnyboy, wie sah/sieht denn deine Lösung aus?

 

[addicted]

johnnyboy war seit einem halben Jahr nicht mehr in diesem Forum angemeldet.

Beschreib einfach mal Dein Problem, sicher kann jemand anderes helfen.

 

[terminal6]

Danke für die Info!

Das Problem ist das den Betroffenen sicher bekannte: DSLite unterstützt keine IPv4 VPN-Lösungen wie z.B. die von AVM. Ich habe hinter meinem TC7200 aktuell eine FritzBox 7360SL aus DSL-Zeiten hängen, die mir damals treue Dienste als VPN-Server geleistet hat. Über myFritz DDNS komme ich auch weiterhin auf die Weboberfläche und kann dort und in der MyFritz App auch z.B. auf den NAS-Bereich zugreifen, aber eben nicht auf andere Geräte im Netzwerk, wie z.B. meine Hausautomation Homematic. Die will ich aus Datenschutz und Kosten nicht in eine Cloudlösung legen, daher suche ich nach Möglichkeiten, wieder eine VPN-Verbindung zu realisieren. Da es mir auch um den Zugriff per Handy (3G/2G, HotSpots) geht und diese oft noch über v4 laufen, wäre auch ein reiner IPv6-VPN keine Lösung.
Selbst ein Umstieg auf eine eigene oder gemietete FritzBox 6490 Kabel würde das Problem somit nicht lösen, richtig?

Hat das jemand anderes für sich irgendwie gelöst?

 

[Andreas1969]

Selbst ein Umstieg auf eine eigene oder gemietete FritzBox 6490 Kabel würde das Problem somit nicht lösen, richtig?

Nein, das löst das Problem nicht.

aber eben nicht auf andere Geräte im Netzwerk, wie z.B. meine Hausautomation Homematic.

Das geht nur über IPV4, habe auch die HomeMatic.

Hat das jemand anderes für sich irgendwie gelöst?

Ja, habe meinen Abschluss von DSLITE auf IPV4 only umstellen lassen, hat aber viel Nerven gekostet.

 

[Conan179]

Stimmt, eine Eigene Fritzbox ändert daran nichts.
ICh nutzte meinen root server mit mit 2 "6tunnel" und kann so von jeder iiv4 auf mein ds-lite anschluss zugreifen.

Zusaätzlich nutzte ich 3 Pis die unter einander openvpn netzte (zuhause und 2 mal bei der arbeit) auf ipv6 aufgebaut haben, kostenlos gibt es leider keine lösung -.-

 

[Andreas1969]

kostenlos gibt es leider keine lösung -.-

Doch, UM dazu bewegen, den Anschluss auf IPV4 umzustellen :winken:

 

[Conan179]

Kostenlos ist das aber nicht, kostet nerven und bedarf seeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeehr viel Glück

 

[aabbc1]

jetzt machen die das ja sowieso nicht mehr.

 

[Andreas1969]

jetzt machen die das ja sowieso nicht mehr.

So war´s bei mir:

Ihre Kundennummer: xxxxxxxx Serviceadresse: yyyyyyyyyyyy
Sehr geehrter Herr zzzzzzzzz,
vielen Dank für Ihre E-Mail vom 26.02.2015.
Ihre Anfrage bezüglich des Wechsels der Internet-Protokoll-Variante an Ihrem Anschluss haben wir gern geprüft und können folgende Rückmeldung geben:
Gern bestätigen wir Ihnen, dass wir die gewünschte Änderung umgehend ausgeführt haben. Die Zuordnung ist nun wie folgt:
- Kundennummer xxxxxxxxxx – AVM FRITZ!Box 6490 IPv4 only
Wir hoffen mit diesem Angebot eine für beide Seiten akzeptable Lösung gefunden zu haben.

Ich war jedenfalls mit dem Angebot zufrieden. Bis dahin hat es damals aber viel Nerven gekostet. Musste dafür bis zur Geschäftsführung hoch.
Dem Ganzen gingen auch etliche Schreiben meinerseits vorweg.

 

[aabbc1]

das war aber noch vor zwei Jahren.

 

[Andreas1969]

das war aber noch vor zwei Jahren.

Jau, aber da ging es eigentlich auch schon nicht mehr. :winken:
Zur Info: Der Vertrag wurde am 03.02.2015 abgeschlossen, nachdem ich das Übel gleich am 1. Tag erkannt hatte, folgte dann ein 3 Wochen langer täglicher Schriftverkehr mit UM.

 

[terminal6]

Vielen Dank für die Anregungen. Ich lese heraus, dass es schlecht aussieht :wein: .

Denn UM jetzt noch umzustimmen, glaube ich auch nicht dran (hatte es auch direkt 11/2015 bemerkt, damals aber werde die Energie noch die Zeit, das zu diskutieren). Und root server und 3 Pis liegt dann doch etwas über meinem technischen Level befürchte ich... :zwinker: Wobei mit "ohne Kosten" in erster Linie laufende Kosten (VPN-Abo, Cloud-Abo, UM Business Tarif) gemeint sind. Einer sinnvollen Investition in eine weitere IT-Komponente im Heimnetz bin ich aufgeschlossen, wenn es sich im sagen wir mal noch im zweistelligen Bereich bewegen würde.
Conan179, würde für einen "einfachen" VPN Zugriff (ich brauche keine dauerhafte Vernetzung wie du schreibst mit Zuhause und Geschäft) ein Pi mit so einem "6tunnel" ausreichen und was ist das genau? Oder bedeutet root server, dass mindestens eine Komponente im IPv4 Internet liegen und ansprechbar sein muss (sprich echter Webserver mit statischer IP etc.)? Wobei ich einen Webserver vielleicht sogar auch zur Verfügung hätte... (gehört nicht mir, aber nem Kumpel)

Aber vielleicht muss ich mich doch mal näher mit Cloudlösungen a la cloudmatic für meine CCU2 beschäftigen. Homematic IP würde ja einiges frei Haus liefern, ist aber 1. nicht kompatibel mit normalen Homematic Komponenten und 2. soweit ich das sehe doch recht beschränkt in den (nativen) Möglichkeiten.

Tut sich bei diesem Port Control Protocol (PCP) eigentlich irgendwas oder ist das von AVM nur so eine Art Ausrede, warum sie nicht mehr bei der Lösung der VPN-Probleme machen?

 

[Conan179]

eins vorweg, der root server ist nicht nur für die 6tunnel da, seine hauptaufgabe ist es backups zu vewalten und Meine Netzwerke zu überwachen, die 6tunnel sind nur beiwerk.

Du brauchts eine feste oder dynamsiche Ipv4. DAs geht nicht mit pis, nur mit einem Root server oder oder sogar nur ein vserver aber die kosten sind recht hoch um nur auf zuhause zuzugreifen.

mit einem web server evtl. kommt drauf an, wie er zugriff drauf hat, wen er per ssh verbinden kann, stehen die möglichkeite gut, wen nicht, dann nicht.

Unitymedia sagt das die PCP nicht unterstüzten und auc hcniht intresse dran haben es einzubauen.

 

[Andreas1969]

Vielen Dank für die Anregungen. Ich lese heraus, dass es schlecht aussieht :wein: .

Denn UM jetzt noch umzustimmen, glaube ich auch nicht dran (hatte es auch direkt 11/2015 bemerkt, damals aber werde die Energie noch die Zeit, das zu diskutieren). Und root server und 3 Pis liegt dann doch etwas über meinem technischen Level befürchte ich... :zwinker: Wobei mit "ohne Kosten" in erster Linie laufende Kosten (VPN-Abo, Cloud-Abo, UM Business Tarif) gemeint sind. Einer sinnvollen Investition in eine weitere IT-Komponente im Heimnetz bin ich aufgeschlossen, wenn es sich im sagen wir mal noch im zweistelligen Bereich bewegen würde.
Conan179, würde für einen "einfachen" VPN Zugriff (ich brauche keine dauerhafte Vernetzung wie du schreibst mit Zuhause und Geschäft) ein Pi mit so einem "6tunnel" ausreichen und was ist das genau? Oder bedeutet root server, dass mindestens eine Komponente im IPv4 Internet liegen und ansprechbar sein muss (sprich echter Webserver mit statischer IP etc.)? Wobei ich einen Webserver vielleicht sogar auch zur Verfügung hätte... (gehört nicht mir, aber nem Kumpel)

Aber vielleicht muss ich mich doch mal näher mit Cloudlösungen a la cloudmatic für meine CCU2 beschäftigen. Homematic IP würde ja einiges frei Haus liefern, ist aber 1. nicht kompatibel mit normalen Homematic Komponenten und 2. soweit ich das sehe doch recht beschränkt in den (nativen) Möglichkeiten.

Tut sich bei diesem Port Control Protocol (PCP) eigentlich irgendwas oder ist das von AVM nur so eine Art Ausrede, warum sie nicht mehr bei der Lösung der VPN-Probleme machen?

An AVM liegt es nicht, die haben es voll in die FW integriert.
Wie Conan schon sagt, UM hat keinen Bock darauf, es zu implementieren, der Kunde interessiert ja nicht. :wand:

 

[terminal6]

Danke euch beiden für die Infos. Ja, kundenfreundlich ist anders. Aber solange man aus v4 noch Geld schlagen kann...

 

[johnnyboy]

...

Ich hab dann damals aber selbst soz. in letzter Minute eine Lösung für mein VPN-Problem gefunden und bin daher geblieben!

Johnnyboy, wie sah/sieht denn deine Lösung aus?

Sorry, da kann ich dir glaube ich auch nicht weiterhelfen!
VPN ist auch nicht immer gleich VPN, soll heißen, ich wollte nur, dass mein (open)VPN-Tunnel vom PC nach außen zu einem Gateway anständig läuft. Da hatte ich das Problem, dass dieser zwar zustande kam, bei Downloads aber die Geschwindigkeit massiv einbrach. Das Geheimnis lag dann darin, den MTU-Wert in openVPN auf 1460 einzustellen (genau gesagt, heißt die Direktive in der Config-Datei link-mtu 1432 (warum da jetzt 1432 stehen muss, kann ich auf die Schnelle auch nicht genau erklären)).
Dazu hat mein Anbieter noch zwei Befehle (rcvbuf ..., sndbuf ...) drin, die zusätzlich schnelle Verbindungen unterstützen.
Seitdem läufts bei mir sehr gut!

 

[addicted]

warum da jetzt 1432 stehen muss, kann ich auf die Schnelle auch nicht genau erklären

Ich aber: Es kommen 28 Byte Overhead hinzu.

 

[johnnyboy]

Ja genau, das wars!
Ich wusste nur noch, dass es da irgendwie einen "Header" oder so gibt, der da abgezogen wurde.
Es gibt aber auch noch eine alternative Direktive (die mir aber auch gerade nicht einfällt), in dem Fall schreibt man dann 1460 und openVPN zieht den Overhead automatisch ab.

 

[addicted]

Die andere Option heisst "tun-mtu".

Am Besten wäre, die VPN-Gegenstelle würde IPv6 unterstützen, dann muss man die MTU auch nicht runtersetzen.

 

[MartinDJR]

Und root server und 3 Pis liegt dann doch etwas über meinem technischen Level befürchte ich...
Oder bedeutet root server, dass mindestens eine Komponente im IPv4 Internet liegen und ansprechbar sein muss (sprich echter Webserver mit statischer IP etc.)?

Genau das bedeutet es: Ein Server (außerhalb deines Netzwerkes) muss echten IPv4-Zugriff haben.

Immer wieder wird in diesem Zusammenhang die Firma "feste-ip" genannt, die genau das als Service anbietet: Die betreiben einen Server im Internet und leiten dann eingehende Verbindungen an einen IPv6-Server (sprich: einen DS-Lite-Anschluss) weiter.

Wenn ich es richtig verstehe, kann man dort auch die benötigte Hardware (Raspberry Pi) mieten oder auch kaufen. Leider ist die Preisliste nicht so ganz durchsichtig, aber sofern ich sie richtig verstanden habe, belaufen sich die Kosten dort auf einmalig ca. 120-200 Euro (für den Kauf eines Raspberrys und kostenpflichtigen Support) und ca. 50 Euro pro Jahr.

Ob der Dienst was taugt, kann ich leider nicht sagen, da ich so etwas nicht brauche und entsprechend nicht verwende.

Tut sich bei diesem Port Control Protocol (PCP) eigentlich irgendwas oder ist das von AVM nur so eine Art Ausrede, warum sie nicht mehr bei der Lösung der VPN-Probleme machen?

Die Frage ist, wer was bei der Lösung der VPN-Probleme machen könnte:

AVM könnte das eigene VPN IPv6-tauglich machen. Das tun die aber nicht mit der Begründung, dass nur so wenige Internet-Anschlüsse IPv6 können. Da Stand heute meines Wissens alle neuen privaten Kabelnetz-Anschlüsse in Deutschland DS-Lite bekommen, ist diese Aussage aber Unsinn. Von daher: Ja, es ist eine Ausrede!

Aber selbst wenn das VPN IPv6-tauglich wäre, hättest du ein Problem: Der Rechner und der Internet-Anschluss, von dem aus du auf dein Heimnetzwerk zugreifen willst, müssen ebenfalls IPv6-tauglich sein (z.B. ein anderer DS-Lite-Anschluss). In Deutschland sind nur etwa 30% der privaten Internet-Anschlüsse IPv6-tauglich. Bei gewerblichen Anschlüssen ist es laut bestimmten Statistiken sogar nur eine einstellige Prozentzahl.

UM könnte PCP einführen - was aber wohl wenig nutzen würde: Wenn zwei Kunden, die sich eine IP-Adresse teilen, beide versuchen, das VPN mit PCP einzuschalten, zieht der zweite den Kürzeren. Wenn dein Nachbar das VPN an seiner Box einschaltet, kannst du deines nicht mehr aktivieren.

Wie Conan schon sagt, UM hat keinen Bock darauf, es zu implementieren, der Kunde interessiert ja nicht.

Aus dem oben erwähnten Grund würde ich als Provider auch nicht auf die Idee kommen, PCP einführen zu wollen: Deine Nachbarin, die von Technik keine Ahnung hat, schaltet den VPN-Server versehentlich an, was zur Folge hat, dass du deinen VPN-Server nicht mehr eingeschaltet bekommst...

Das würde nur zu massivem Ärger mit den Kunden führen.

 

[Andreas1969]

Bei PCP sind die Ports doch flexibel :kratz:
Das läuft nach meinem Verständnis ähnlich, wie bei "feste-ip", nur dass es direkt über IP4 läuft.
Und die Ports werden zwischen Fritzbox und PCP Server automatisch ausgehandelt und auch an den AVM eigenen DYNDNS Dienst übermittelt.
Im Prinzip merkst Du das garnicht, daß da andere Ports verwendet werden.

 

[addicted]

Bei PCP weist doch der Portforwarder dem Client den Port zu. Da kommen sich zwei Clients dann nicht ins Gehege.
Das Problem ist eher, dass die Fritzboxen doch IPsec machen, was auch noch andere IP-Protokolle/Funktionen benötigt als TCP- oder UDP-NAT-Forwarding.

Oder nicht?

 

[Andreas1969]

Oder nicht?

Ja, doch.
Keine Ahnung, ob AVM das berücksichtigt hat, wir können es ja nicht testen, da UM das ja nicht unterstützt. :wand:

 

[addicted]

Mehr in dem Sinne, dass man IPsec durch ein PCP-Gateway vermutlich gar nicht machen kann. Unabhängig von AVMs PCP-Implementierung.

 

[Gizeh775]

Ändert aber nichts an der Problematik, dass dann auf dieser IP nur EINER zum Beispiel Port 1194 bekommen kann und ebenso wird mir keiner versprechen, dass dann wenn ich Port 12240 für diesen Zweck bekomme, dieser auch noch am nächsten Tag für mich da ist. Also egal wie man es dreht, PCP ist keine Lösung für die Problematik.

Vor allem wie viele Ports soll man dann sich so über PCP geben können? 1? 5? 10? und das NAT läuft ja nebenher auch noch....
Ohne zu wissen wie viele Leute sich eine IP "teilen" bei DS-Lite kann man das schwer beurteilen denke ich.

Wenn ich dann jeden Tag oder keine Ahnung wie oft den Port in meiner OpenVPN Config ändern muss, macht mich das auch nicht wirklich glücklicher.