Unitymedia Aktueller Stand rund um VPN/IPv4

[chris2018]

Hallo zusammen,

an meinem Anschluss gibt es aktuell nur wackliges VDSL25, weshalb ich überlege, zu unitymedia zu wechseln. Für mich stellen sich aber ein paar Fragen rund um das Thema VPN / Portforwarding, wo ich mir nach etwas googeln nicht ganz sicher bin, was der aktuelle Stand ist.

a) Ist es aktuell möglich, eine eigene IPv4 Adresse zu bekommen? Oder gibt es weiterhin nur DS-Lite? (NRW)

Ich brauche eine VPN Verbindung zwischen zwei Standorten. Der "Remote"-Standort hat eine IPv4 Adresse und Fritzbox (Telekom VDSL). Bisher nutze ich das Fritzbox-VPN (LAN-LAN Kopplung).
b) Funktioniert eine VPN Verbindung zwischen zwei Standorten über die Fritzboxen? (hier steht ja, aber ich habe auch oft Gegenteiliges gelesen: https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/1306_Sind-VPN-Verbindungen-zu-einer-FRITZ-Box-am-DS-Lite-Internetzugang-moeglich/)
c) Funktionieren andere Protokolle, wie OpenVPN? Die "Einwahlrichtung" wäre prinzipiell egal, d.h. der Remote-Standort könnte auch einen OpenVPN-Server anbieten.
d) Welche Optionen gibt es noch, um eine VPN Verbindung auf die Beine zu stellen?

c) Sind freigegebene Ports von außen erreichbar?

d) Kann man die Connect Box auch als reines Modem betreiben? Oder muss man defakto eine Kabel-Fritzbox kaufen?

Vielen Dank!!

 

[Torsten1973]

Also deine Aufzählung, insbesondere die Nummerierung, ist doch verwirrend. Aber ich versuchs mal:
a) Im Privatkundensegment erhälst du nach wie vor ausschließlich einen IPv6-Anschluss mit DS lite-Tunnel. So wie es gerade aussieht, bekommst du eine IPv4 nur noch über einen Business-Vertrag bei UM.
b) Nein, die Fritzboxen können kein VPN über IPv6, die unterstützen nach wie vor nur das IPv4-Protokoll sicher.
c) Dazu kann ich persönlich nix sagen, das wissen andere hier deutlich besser.
d) Wenn es um eingehende Verbindungen geht, wäre da z.B. ein Tunnelbroker wie www.feste-ip.net ne Möglichkeit.

c) Per IPv6 (am Zugriffsort) ja.

d) Nö. Der Bridge-Mode wird zwar immer mal wieder beschworen, aber es geht nicht. Du kannst aber problemlos ein Modem und eine DSL-Fritzbox nutzen, damit hast du dann auch wenig Probleme mit dem DS lite-Tunnel.

 

[chris2018]

Oh sorry, die Liste ist wirklich durcheinander geraten. Danke für die schnelle Antwort.

Zum Modem: Wenn ich das richtig sehe, hat man bei UM ja nur die Wahl zwischen der Connect-Box oder der FB (Komfort-Option). Sprich ein reines Modem würde man sich privat einfach kaufen? Was würde man da bspw. nehmen?

>Du kannst aber problemlos ein Modem und eine DSL-Fritzbox nutzen, damit hast du dann auch wenig Probleme mit dem DS lite-Tunnel.

Inwiefern weniger Probleme mit dem DS-Lite-Tunnel?

Danke nochmal!

EDIT: Mit ausgehenden VPN Verbindungen hat man bei einem DS-Lite-Anschluss aber keine Probleme oder? (Usecase: Man macht Homeoffice und muss sich ins Firmen-VPN einwählen)

 

[Conan179]

@Torsten1973 deine infos stimmen so nicht mehr ganz, seid neusten kann ein UM user ds (kein lite) per telefon oder chat beantragen, dann hat man eine echte ipv4 und ipv6.

 

[Torsten1973]

Conan179, du bist nicht mehr aktuell. Wurde heute vom Serviceteam in der Community bestätigt, das eine Umstellung auf DS nativ NUR NOCH bei vorhandener Störung und zu deren Lösung vorgenommen wird. https://community.unitymedia.de/categories/internet/question/upload-booster-heisst-jetzt-power-upload?page=4#new_feedback

 

[Torsten1973]

Oh sorry, die Liste ist wirklich durcheinander geraten. Danke für die schnelle Antwort.

Zum Modem: Wenn ich das richtig sehe, hat man bei UM ja nur die Wahl zwischen der Connect-Box oder der FB (Komfort-Option). Sprich ein reines Modem würde man sich privat einfach kaufen? Was würde man da bspw. nehmen?

>Du kannst aber problemlos ein Modem und eine DSL-Fritzbox nutzen, damit hast du dann auch wenig Probleme mit dem DS lite-Tunnel.

Inwiefern weniger Probleme mit dem DS-Lite-Tunnel?

Danke nochmal!

EDIT: Mit ausgehenden VPN Verbindungen hat man bei einem DS-Lite-Anschluss aber keine Probleme oder? (Usecase: Man macht Homeoffice und muss sich ins Firmen-VPN einwählen)

Du könntest dir z.B. das TC4400 bestellen, das gibt es ja mittlerweile auch auf dem deutschen Markt. Erhältlich ist das hier: https://shop.wernerelectronic.de/antennen-und-kabelfernsehtechnik/catv-modems/tc-4400-kabel-modem-docsis-3-1.html
Damit bist du dann auf jeden Fall auch schonmal für Docsis 3.1 gerüstet.

In den aktuellen DSL-Fritzboxen, die auch für die UM-Geschwindigkeiten ausgelegt sind, kannst du direkt einstellen, das die IPv4-Verbindung per DS lite hergestellt werden soll. Das macht die Fritzbox dann automatisch.

Und ja, ausgehende VPN-Verbindungen funktionieren idR auch über DS lite. Das Problem sind eingehende Verbindungen, die gehen per IPv4 nur über einen Portmapper oder per IPv6.

 

[Conan179]

@Torsten1973 Entschuldigung! das wuste ich nicht!

 

[Torsten1973]

NP, Conan179
Ich gehör ja auch noch zu den Glücklichen, die umgestellt wurden, obwohl ich noch einen Altvertrag mit IPv4 only hatte

Aber wieder back to topic

 

[chris2018]

Danke dir die schnellen Antworten!

Inwiefern hat das Modem einen relevanten Vorteil gegenüber einer Kabel Fritzbox? Der Preis ist ja ungefähr gleich und dann hätte man nur ein Gerät.

Wenn ausgehende vpn Verbindungen kein Problem sind, müsste ja folgendes funktionieren.
Remote Standort hat eine v4 Adresse und stellt einen openvpn Server bereit. Am UM Standort gibt es einen openvpn Client (z.b. NAS), welches sich am Remote Standort einwählt. Danach müsste über den Tunnel die Kommunikation ja in beide Richtungen gehen. Dafür braucht es dann auch keinen port mapper oder?

 

[Conan179]

Remote Standort hat eine v4 Adresse und stellt einen openvpn Server bereit. Am UM Standort gibt es einen openvpn Client (z.b. NAS), welches sich am Remote Standort einwählt. Danach müsste über den Tunnel die Kommunikation ja in beide Richtungen gehen. Dafür braucht es dann auch keinen port mapper oder?

genau so hab ich das gemacht! hatte 3 netzte per 3 pis verbunden, als ich für einen anderen zweck einen root server gemietet habe, hab ich dort den openvpn erver hin innstalliert und die pis sich dort hin verbinden lassen.

 

[Torsten1973]

Danke dir die schnellen Antworten!

Inwiefern hat das Modem einen relevanten Vorteil gegenüber einer Kabel Fritzbox? Der Preis ist ja ungefähr gleich und dann hätte man nur ein Gerät.

Das hat den Vorteil, das du nicht durch den Puma6-Bug ausgebremst werden kannst, wenn du eine aktuelle DSL-Fritzbox nutzt. Das TC4400 hat nämlich keinen Intel-Chipsatz verbaut.

 

[addicted]

Ich würde die Möglichkeit, bei UM Dual Stack zu bekommen, nicht ausschließen.
Du hast einen klaren Use-Case, der mit dem AFTR oft nicht klappt. Wenn Du diese Punkte bereits bei der Bestellung ansprichst, kannst Du Dir auch direkt bestätigen lassen, dass Du dann Dual Stack haben kannst.

Insgesamt ist aber zu empfehlen, eine VPN-Technologie zu verwenden, die auch IPv6 benutzen kann. Dass AVM dies noch immer nicht anbietet passt zur typischerweise nicht vorhandenen Weitsicht des Unternehmens.
Wenn Du eh mit dem Gedanken spielst, OpenVPN zu verwenden, aktuelisiere bitte das Telekom-Ende der Verbindung direkt auf v6-Support.

 

[chris2018]

Ich habe es gerade am Remote-Standort mal kurz ausprobiert - IPv6 Häkchen gesetzt in der Fritzbox und nach einem Reconnect hat er Anschluss nun eine IPv4 und IPv6 Adresse. Scheint echtes Dual-Stack zu sein, denn die VPN-Einwahl von IPv4 nach IPv4 funktioniert weiterhin.

Ok, also für die "Standort-Verbindung": Beide auf IPv6 und OpenVPN, da AVM noch nicht so weit ist. Der UM-Standort würde sich dann am Telekom-Standort einwählen - ab dem Zeitpunkt funktionieren Netzwerkzugriffe ja in beide RIchtungen, oder? Schade eigentlich, dass die FB das mit IPv6 noch nicht können... ist ja schon praktisch, wenn der Router den Verbindugnsaufbau beim VPN gleich mit übernimmt...

Wenn später mal der Use-Case kommt, dass ich von unterwegs auf mein Heimnetz (UM) zugreifen möchte, sprich ein eingehendes VPN brauche, z.B. auch von Mobilnetzen aus. Wenn ich dann hier einen OpenVPN Server aufsetze und den Feste-IP-Portmapper nutze, würde das funktionieren, aber mein Traffic läuft einmal bei dem Feste-IP-Anbieter vorbei - soweit korrekt?. Alternativ könnte ich den Traffic auch über den Remote-Standort routen - da hab ich ja noch eine v4 Adresse und wenn die LANs gekoppelt sind, kann das auch mein Einstiegspunkt sein.

Ich werde bei UM trotzdem mal nachfragen, ob sie mir echtes DS anbieten und zusichern können.

 

[Conan179]

avm schiebt es auf das ipsec verfahren, das die fritten kein vpn über ipv6 können.
https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/1306_Sind-VPN-Verbindungen-zu-einer-FRITZ-Box-am-DS-Lite-Internetzugang-moeglich/
ja, wen die verbindung steht geht es in beide richtungen.

 

[sch4kal]

avm schiebt es auf das ipsec verfahren, das die fritten kein vpn über ipv6 können.
https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/1306_Sind-VPN-Verbindungen-zu-einer-FRITZ-Box-am-DS-Lite-Internetzugang-moeglich/
ja, wen die verbindung steht geht es in beide richtungen.

Was für ne dämliche Ausrede, da wird doch auch ein strongswan IPSec Daemon eingesetzt, der kann mit Sicherheit IPv6.
Aber wie addicted schon schrieb, das passt zur "Duck-und Weg" Einstellung von AVM. Es existieren ja bis heute noch Sicherheitslücken in diversen Boxen (s. PeterPawns Github), die AVM schon lange bekannt sind.

An den TE: VPN über Fritzbox ist nicht gerade schnell und zuverlässig, auch wenn du IPv4-IPv4 koppelst, dafür sind die eingesetzten embedded CPUs einfach nicht stark genug (auch der x86 Atom der 6490 nicht). Hab es hier momentan (noch) im Einsatz (allerdings Vodafone, nicht UM), Gegenstelle ist ein Telekom VDSL Business Anschluss, beide haben ne statische IPv4. Wöchentliche Verbindungsabbrüche und Timeouts sind normal, dazu bekomme ich nicht meinen vollen Upload durch, hänge bei 10-15 MB/s fest. Außerdem unterstützt die 6490 - aus welchen Gründen auch immer - keinen aggressive mode und nur 3DES als Cipher :wand:

 

[y0r]

2 LinkSys Router mit OpenWRT und gut ist. Die schieben auch genug bei IPSec. Wenn man Richtung SOHO guggt, Finger weg von den 800er oder mehr Ciscos, die vielleicht in der Bucht günstig zu haben sind. Ansich klasse Router und für VPN bzw. niedrigere Bandbreiten exzellent! Aber selbst mit Routern der 3000er Serie kommt man längst nicht an 400MBit WAN Durchsatz. Schon alles versucht. Deshalb die Sonicwall. Da der Upload auf der Gegestelle nicht ganz so viel liefert habe ich es noch nicht probiert aber laut Specs schiebt sie bei IPSec AES256 noch 625MBit im VPN. (https://www.digi-link.com.hk/datasheet/firewall/sonicwall/nsa_2400_3500_4500_5000.pdf)
Da die Kiste schon EoL ist, kriegt man sie vielleicht in der Bucht für günstig. Für daheim reicht es locker.

 

[Vermillion]

Hallo zusammen,

an meinem Anschluss gibt es aktuell nur wackliges VDSL25, weshalb ich überlege, zu unitymedia zu wechseln. Für mich stellen sich aber ein paar Fragen rund um das Thema VPN / Portforwarding, wo ich mir nach etwas googeln nicht ganz sicher bin, was der aktuelle Stand ist.

a) Ist es aktuell möglich, eine eigene IPv4 Adresse zu bekommen? Oder gibt es weiterhin nur DS-Lite? (NRW)

Ich brauche eine VPN Verbindung zwischen zwei Standorten. Der "Remote"-Standort hat eine IPv4 Adresse und Fritzbox (Telekom VDSL). Bisher nutze ich das Fritzbox-VPN (LAN-LAN Kopplung).
b) Funktioniert eine VPN Verbindung zwischen zwei Standorten über die Fritzboxen? (hier steht ja, aber ich habe auch oft Gegenteiliges gelesen: https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/publication/show/1306_Sind-VPN-Verbindungen-zu-einer-FRITZ-Box-am-DS-Lite-Internetzugang-moeglich/)
c) Funktionieren andere Protokolle, wie OpenVPN? Die "Einwahlrichtung" wäre prinzipiell egal, d.h. der Remote-Standort könnte auch einen OpenVPN-Server anbieten.
d) Welche Optionen gibt es noch, um eine VPN Verbindung auf die Beine zu stellen?

c) Sind freigegebene Ports von außen erreichbar?

d) Kann man die Connect Box auch als reines Modem betreiben? Oder muss man defakto eine Kabel-Fritzbox kaufen?

Vielen Dank!!

Hallo Chris,

du kannst mir gerne mal schreiben und ich seh' nach was ich hier für dich machen kann
Kannst gerne hier die anderen fragen, z.B. Menano/Andreas1969/etc. pp., mein Angebot ist definitiv seriös :zwinker:

 

[chris2018]

Danke für die Antworten!

Mein aktuelles Zwischenfazit wäre dann:
* Ich brauche das Modem dazu, dann kann ich die Fritzbox 7490 dahinter behalten
* Am Remote-Standort mache ich mit meinem Synology NAS einen OpenVPN Server auf
* Am UM-Standort wählt sich mein zweites Synology-NAS ins OpenVPN ein. Dann können die beiden NAS-Systeme schon mal miteinander sprechen (Synchronisation) -> das war das Hauptziel

Damit sind meine jetzigen KO-Kriterien erstmal abgehakt. Ein bisschen weiter in die Zukunft gedacht, könnte noch interessant werden:
* Wenn ich die Netzwerke komplett koppeln möchte, brauchts dann vllt. mal noch einen anderen Router (DDWRT o.Ä.) oder ich muss schauen, ob ich das auf den NAS Systemen mit passenden Routen geregelt bekomme
* Wenn ich am UM Standort mal ein VPN anbieten möchte (eingehende Richtung), könnte ich das auch mit einem OpenVPN Server machen --> Sollte gehen, da OpenVPN mit IPv6 umgehen kann - korrekt?
* Wenn ich am UM Standort mal Dienste nach außen freigeben möchte (ohne VPN), brauche ich einen externen Port-Mapper-DIenst.

Dann werde ich jetzt mal beim Vertrieb nachfragen, wie es mit einem echten DualStack Anschluss aussieht bei kurzfristigem Vertragsabschluss.

 

[tobsen]

Wenn ich die Netzwerke komplett koppeln möchte, brauchts dann vllt. mal noch einen anderen Router (DDWRT o.Ä.) oder ich muss schauen, ob ich das auf den NAS Systemen mit passenden Routen geregelt bekomme

Das wird nicht gehen. Die Synology stellt nur für sich einen Client bereit, da ist es nicht möglich den gesamten Traffic aus einem Netzwerk drüber zu routen. Am einfachsten ist es dann einfach entsprechende Router-HW zu benutzen.

Wenn ich am UM Standort mal ein VPN anbieten möchte (eingehende Richtung), könnte ich das auch mit einem OpenVPN Server machen --> Sollte gehen, da OpenVPN mit IPv6 umgehen kann - korrekt?

Genau. Eine Einwahl über ipv6 ist am UM-Anschluss möglich. Dort müsstest du dann nur ggf den Port zur Einwahl in der Firewall freigeben. Am besten einen Port wählen wie 25, 80, 110, 443, 465, 587, etc etc. Das sind alles Standard-Ports. Hat den Vorteil, dass so auch eine Einwahl aus einem Hotel-Hotspot möglich sind, da dort meistens alle Ports geblockt werden, bis auf eine Handvoll und da Email und HTTP/s immer funktioniert, kannste die für die Einwahl super benutzen. Klappt natürlich nur, wenn du die Ports lokal nicht schon mit anderen Dienste belegt hast.

Wenn ich am UM Standort mal Dienste nach außen freigeben möchte (ohne VPN), brauche ich einen externen Port-Mapper-DIenst.

Das kommt ganz drauf an. Wenn du einen reinen IPv6 Dienst nach außen freigeben willst und dein Remote auch IPv6 hat, dann brauchst du dafür keinen Portmapper.
Wenn du von IPv4 auf deinen IPv6 Dienst zugreifen willst, dann brauchst du einen Tunnel-Broker. Den kannste dir aber mit 6tunnel und einem vServer eben schnell selber bauen.
Wenn du von IPv4 über IPv6 auf einen IPv4-Dienst zugreifen willst, sprich du hast eine feste IPv6 am UM Standort, dein Dienst den du freigeben willst unterstützt aber nur IPv4, dann brauchst du an der stelle zwei Tunnel-Broker. Einen der dir von IPv4 auf IPv6 tunnelt und einen in deinem LAN, der dir dann von IPv6 zurück auf IPv4 übersetzt.