Unitymedia Frage zu Umstellung auf Cable Max 1000 + VPN

[s710]

Also obwohl ich nicht IT-fremd bin, bekomm ich den technischen Hintergrund mit dem VPN immer nicht so auf die Kette. Sachverhalt: UM Kunde seit knapp 10 Jahren, Nutzung des UM-Routers/Modems (erst Cisco Modem, dann TC7200) vor einer selbstgebauten pfsense Firewall. Auf der pfsense läuft ein IPSec-VPN, mit dem ich übers Handy & Laptop in mein Netzwerk komme.
Als mein erstes Cisco Modem abgeraucht ist, und ich nen TC7200 bekam, ging das VPN nicht mehr. Hing wohl mit DSLite (?) zusammen, bzw. damit, dass ich keine eigene öffentliche IPv4 Adresse mehr habe, richtig? Also hab ich UM relativ lange genervt, bis die irgendwie wieder auf IPv4 umgestellt haben, und dann ging trotz TC7200 das VPN wieder.

Stand heute: Seit 1 Woche habe ich Vodafone's Cable Max 1000 mit deren Arris Router, und das VPN ist wieder tot. Wie ich das bisher lesen konnte, gibt es für UM-Bestandskunden noch keinen Bridge-Modus, welcher das Problem vermutlich beheben würde.

Ist das VPN irgendwie auch mit DSLite zum funktionieren zu bringen? Außerdem steht in meinem Kundencenter folgendes:

Welche Optionen hätte ich jetzt? Wie bekomm ich das VPN wieder zum laufen?

 

[h00bi]

Wenn da steht Anschlustyp ist IPv4 dann hast du weder DS noch DS-Lite - oder besser gesagt dann solltest du weder DS noch DS-Lite haben.

Ich würde eher vermuten du kommst von extern per ipv6 an und da du nur IPv4 zuhause hast ist der VPN Server eben nicht erreichbar weil IPv6 fehlt.
ODER
du musst den IPv4 Port für dein VPN auch von der Vodafone Station an den pfsense weiterleiten.

Richtig erkannt hast du dass der bridge Mode das zweite "Problem" beseitigen würde. Der geht aber aktuell noch nicht im ehemaligen UM Netz.

 

[s710]

Ah, jetzt wo du's sagst, klingelt es da dunkel im Hinterkopf. Denke ich hatte auf dem TC7200 auch entsprechendes Port-Forwarding einrichten müssen. Das muss ich dann wohl noch nachholen. Danke für den Tip! Werde ich heute abend ausprobieren.

 

[cpuesser]

Verlasst euch niemals auf das was im Kundencenter steht, bei mir steht da ich würde Unityhardware nutzen …
Am besten nachgucken was das Modem für ein Configfile gezogen hat. Dann weiß man auch was man wirklich hat.

 

[meeven]

@cpuesser
Da hast du recht!
Bei mir steht im Kundencenter "Kundengerät" obwohl ich eine VF Station habe

 

[s710]

Ok danke für den Hinweis, tatsächlich lags am Port-Forwarding. Da hätte ich selbst drauf kommen können

Jetzt funktionierts wieder! Und habe auch tatsächlich ne ordentliche IPv4 Adresse

 

[Caerandir]

Hallo @s710, ich versuche gerade auch, mir einen VPN-Tunnel einzurichten. Hast Du eine Anleitung? Ich komme leider mit PPTP und L2TP irgendwie nicht zum Erfolg, was aber vermutlich daran liegt, dass ich auf der VF station nur TCP und UDP forwardings machen kann, nicht ESP oder GRE. Wäre für einen Tipp sehr dankbar!

 

[meeven]

Ich kann dir nur empfehlen auf openVPN umzusteigen, damit läufts.
Außerdem gelten die von dir genannten Protokolle als unsicher und sollten sowieso nicht mehr verwendet werden

 

[addicted]

Die genannten Protokolle kann man in ziemlich vielen Konfigurationen nutzen, L2TP z.b. mit IPsec. Eine pauschale Aussage über deren Sicherheit würde ich da lieber nicht machen, @meeven.

 

[s710]

Ich kann dir nur empfehlen auf openVPN umzusteigen, damit läufts.
Außerdem gelten die von dir genannten Protokolle als unsicher und sollten sowieso nicht mehr verwendet werden

Ich weiß nicht, wie es unter Android aussieht, aber auf dem iPhone und auf dem Mac hätte man den Vorteil, dass man IPSec einfach nativ unterstützt und konfigurieren kann, ohne Zusatzsoftware. Tunnelblick für OpenVPN nutze ich auch fürs VPN in die Firma, das ist aber komplett gammelig.

Hallo @s710, ich versuche gerade auch, mir einen VPN-Tunnel einzurichten. Hast Du eine Anleitung? Ich komme leider mit PPTP und L2TP irgendwie nicht zum Erfolg, was aber vermutlich daran liegt, dass ich auf der VF station nur TCP und UDP forwardings machen kann, nicht ESP oder GRE. Wäre für einen Tipp sehr dankbar!

Ich habe wie gesagt ein IPSec VPN auf einer pfsense, wenn das für dich ne Option ist, kann ich mal schauen ob ich den Guide von damals wieder finde. War etwas fummelei, und ich musste 1-2 Guides durchprobieren bis es lief, aber seit dem (ca. 5 Jahre) läufts wie ne 1.

 

[__QT__]

IPsec, OpenVPN etc ist doch alles altes Legacyzeug von gestern, was ewig alte Probleme und Kompatibilitätsabhängigkeiten mit sich schleppt. En vogue ist doch aktuell Wireguard VPN. Simpel, ohne Zertifikatsgedöns und mit einfacher Konfiguration. Dazu wird es in den Linuxkernel kommen und damit viel viel schneller sein als alles bisherige

https://www.heise.de/select/ct/2019/5/1551091519824850

Habe vor kurzem mein OpenVPN zu Wireguard gewechselt und dabei den Speedtest des "road warrior" deutlich verbessert:

OpenVPN: ca. 5mbit/sec
Wireguard: ca. 42mbit/sec

Der "Server" steckte dabei hinter einer 500/50 CableMax Anbindung und der Roadwarrior war ein 50mbit LTE Smartphone. Wie man sieht kann Wireguard fast den ganzen CableMax Upload ausreizen

 

[s710]

IPsec, OpenVPN etc ist doch alles altes Legacyzeug von gestern, was ewig alte Probleme und Kompatibilitätsabhängigkeiten mit sich schleppt. En vogue ist doch aktuell Wireguard VPN. Simpel, ohne Zertifikatsgedöns und mit einfacher Konfiguration. Dazu wird es in den Linuxkernel kommen und damit viel viel schneller sein als alles bisherige

https://www.heise.de/select/ct/2019/5/1551091519824850

Habe vor kurzem mein OpenVPN zu Wireguard gewechselt und dabei den Speedtest des "road warrior" deutlich verbessert:

OpenVPN: ca. 5mbit/sec
Wireguard: ca. 42mbit/sec

Der "Server" steckte dabei hinter einer 500/50 CableMax Anbindung und der Roadwarrior war ein 50mbit LTE Smartphone. Wie man sieht kann Wireguard fast den ganzen CableMax Upload ausreizen

Da gebe ich dir recht, Wireguard wird deutlich besser und moderner sein. Kommt bei mir allerdings erst ins Haus, wenn es die Work-in-progress Phase verlassen hat, eine stabile Version ohne Breaking Changes auf der Roadmap hat, und ausreichend ge(-pen-)testet wurde und sich bewährt hat.
UND, sobald Wireguard auf FreeBSD unterstütz wird (was aus den zuvor genannten Aspekten aktuell noch nicht der Fall ist).

 

[__QT__]

Ja, kann verstehen, dass Du aus genannten Gründen darauf verzichten magst. Ich habe ja auch parallel die OpenVPN Konfiguration in der OPNsense noch laufen und kann adhoc remote entscheiden, welchen Dienst ich nun nutze. Ich sag mal so, für Enigma2 Streaming ist wireguard definitiv das bessere Produkt und da ist die Sicherheit auch total egal.

Mache ich natürlich Banking oder andere sicherheitskritische Dinge, so kann ich mich per OpenVPN verbinden.

In der 20er OPNsense ist das Wireguard gottseidank schon als (alpha markiertes) Plugin integriert, so dass es einfach war, alles einzurichten

 

[Caerandir]

Ich habe wie gesagt ein IPSec VPN auf einer pfsense, wenn das für dich ne Option ist, kann ich mal schauen ob ich den Guide von damals wieder finde. War etwas fummelei, und ich musste 1-2 Guides durchprobieren bis es lief, aber seit dem (ca. 5 Jahre) läufts wie ne 1.

Das wäre supernett! Ich würde tatsächlich erstmal bei den etablierten Protokollen bleiben.

OpenVPN hat definitiv den Nachteil, dass es auf vielen Plattformen nicht nativ unterstützt wird. Wireguard ist definitiv die Zukunft, aber ebenfalls noch nicht nativ überall da - ich bin mir sicher, das ändert sich, aber aktuell muss man noch Geduld haben. L2TP kann durchaus sicher sein, es ist halt nur ein komplexes Protokoll, bei dem man viel falsch konfigurieren kann und dann die Sicherheit tatsächlich leidet. PPTP ist nur ein Notnagel, den ich ergriffen hatte, weil ich L2TP nicht zum Laufen kriegte - als vorläufiger Workaround OK, denn die Angriffsszenarien sind doch eher theoretischer Natur.