DS-Lite und VPN

ghostadmin

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
25.179
Renomée
184
Standort
Dahoam Studios
Es gibt ja diverse Anbieter, vor allem bei Glasfaser, die keine IPv4 Adressen anbieten sondern nur DS-Lite was durch ein CGN (Carrier Grade NAT) realisiert wird. Dabei wird erst das interne LAN vom Kunden zum privaten Netzwerk vom Anbieter geleitet und schließlich nach IPv4 ins Internet übersetzt.

In Folge dessen funktioniert normales Port Forwarding am Router nicht weil man sich die IPv4 Adresse mit anderen teilt.

Da gibts ja z.B. den Anbieter feste-ip, wenn man eigene Dienste im Internet verfügbar machen möchte. Was ist aber wenn man vom Glasfaseranschluss eine VPN Verbindung in ein IPv4 Netzwerk aufbauen möchte? Laut feste-ip geht deren Portmapper nur wenn das Zielgerät bzw. die Anwendung IPv6 beherrscht. Deren Box hilft nur IPv4 only Geräte im LAN nach aussen freizugeben. Und deren VPN Dienst baut afaik nur einen Tunnel vom Gerät zu feste-ip auf, was dann öffentlich über eine bestimmte Adresse erreichbar ist und das hat mit klassischen VPN ja eigentlich nicht viel zu tun.

Bei VPN soll OpenVPN die einzige Lösung sein die überhaupt IPv6 beherrscht und andere VPN Lösungen gehen dann nichtmal als Client bei einem DS-Lite Anschluss?

Ausgehende PPTP oder IPSEC VPN Verbindungen vom DS-Lite Anschluss sollen auch nicht gehen weil GRE vom CGN weggefiltert wird.

Glasfaser wird ja häufig mit dem Argument Heimarbeitsplatz vertrieben aber wenn man sich dann nicht mal ins Firmennetz einwählen kann?

Habe ja auch gelesen das z.B. 1&1, Telekom etc. Dual Stack unterstützt aber bei meiner Fritzbox von 1&1 war IPv6 nicht aktiv, irgendwie auch super ...
 
Zuletzt bearbeitet:
DS-Lite stellt in meinen Augen keinen vollwertigen Internetzugang dar, und das würde ich nicht akzeptieren. Bei vielen Business-Tarifen bekommt man jedoch weiterhin normale IPv4-Zugänge (z.B. bei Unitymedia), kostet dann aber oft mehr.

Die aktuellen Fritten können alle Dual Stack oder IPv6-Tunnel wie SixXS - wenn 1&1 da eine kaputte Firmware drauf macht, dann sollte man denen mal ordentlich ins Gewissen reden.

Was das Forwarding von Ports über IPv6 angeht, müsste man sich eigentlich auch irgendwas selber basteln können, entsprechende vorhandene Server/Router vorausgesetzt.
 
Es war in der Fritzbox nur ausgeschaltet, kann man ja selbst ändern im Gegensatz zu DS-Lite. Aber wieso ist das nicht default an?

Das man vom DS-Lite Zugang aus kein VPN in die Firma mehr nutzen kann ist schon hart.

Habe zwar gelesen das es auch weitere VPN Server mit IPv6 gibt z.B. L2TP/IPSec oder SSTP von MS aber das wird ja wohl kaum jemand aktiviert haben in der Firma. Und IPv6 hat man ja unterwegs auch nicht immer zur Hand.
 
Das man vom DS-Lite Zugang aus kein VPN in die Firma mehr nutzen kann ist schon hart.
Vom DS-Lite-Zugang aus sich irgendwo anders einwählen funktioniert, wenn es dort eine statische IP-Adresse oder eine dynamische echte IPv4-Adresse mit DynDNS gibt. Was ggf. nicht funktioniert, ist ein Site-to-Site-VPN, allerdings gibt es auch beim Site-to-Site-VPN einen Initiator und eine Seite, die die Verbindung annimmt, d.h. wenn der Initiator auf Seiten des DS-Lite-Zugangs eingerichtet wird, geht auch das.
 
Mit Fritz Fernzugang soll das gehen wenn das VPN an einem ipv4 Standort ist, aber bei einer Digitalisierungsbox/Bintec Router über ipsec klappte die Einwahl nicht von einem DS-Lite Anschluss (Kabel Deutschland). Zum einen nicht, weil vermutlich GRE geblockt wird und zum anderen weil dessen ipsec nicht ipv6-fähig ist.

Und Portmapper im Internet hilft eben auch nur wenn der Dienst ipv6-fähig ist, was bei den meisten VPN Lösungen nicht der Fall ist.

Von Synology gibts einen sog. Relay Service der das ganze dann für den User übersetzt damit man von aussen ins DS-Lite Netz kommt.

Hier von feste-ip:
die Adressen sind imho statisch (Anmerkung: ipv6 bei Deutsche Glasfaser), da der verwendete Genexisrouter nicht mit dnamischen Präfixen umgehen kann. Sie sollten als bis zum Routertausch gleichbleiben. Wenn das Zielgerät IPv6 tauglich ist und die jweilige Anwendung auch über IPv6 erreichbar ist reicht ein Portmapper aus.
Der Openvpn Server einer Synology DS z.b. ist nicht per IPv6 erreichbar obwohl die DS IPv6 tauglich ist.

OPENVPN ist deswegen erwähnt, weil es die einzige Technologie ist die unter IPv6 verfügbar ist.
IPSEC oder PPTP VPNs funktionieren nicht.

Kunden die ausgehend IPSEC Verbindungen zu z.b. Firmennetzen aufbauen möchten scheitern meist am CGN von Deutsche Glasfaser da dieses die GRE Pakete verwirft und das IPSEC VPN ausgehend so nicht zustande kommt. In diesem Fall kann unser FIP-VPN mit statischer IPv4 abhilfe schaffen.

Wenn es darum geht IPv4 Only Geräte hinter einem DG-W Anschluss erreichbar zu machen ist die FIP-Box easy2connect die einfachste Lösung. Mit der Basicvariante geht es auch aber die erfordert Änderungen im Router und ein wenig Handarbeit. Die Easy2connect wird komplett im Webbrowser administriert. http://www.feste-ip.net/fip-box/easy2connect/
 
Zuletzt bearbeitet:
Zurück
Oben Unten