• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Viele hassen ihn, manche schwören auf ihn, wir aber möchten unbedingt sehen, welche Bilder Ihr vor Eurem geistigen Auge bzw. vor der Linse Eures iPhone oder iPad sehen könnt, wenn Ihr dieses Wort hört oder lest. Macht mit und beteiligt Euch an unserem Frühjahrsputz ---> Klick

Port Forwarding Fritzbox

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.477
Hi,

seit ca. einer Woche geht ein VPN auf einen VPN-Server hinter einer Fritzbox mit Portforwarding nicht mehr.
Änderungen? Keine. Neustarts? Auch nicht. Einfach von einem Augenblick auf den nächsten.

Der VPN Server (IPsec L2TP) sitzt hinter einer Fritzbox an einem Kabelanschluss. Virtuelle Maschine an einem Proxmox mit Bridge für die VM.
Kommunikation vom Internetprovider bzgl. irgendwelcher Änderungen gab es nicht (Pyur). Beim Blick auf die Portforwarding-"Freigabe" der Fritzbox waren mit der IP des VPN-Servers zwei Einträge (mit unterschiedlichen MAC) vorhanden. Als ich mit dem Verdacht, da könnte was durcheinandergeraten sein (keine Ahnung, wo die zweite MAC herkam, die VM hat das in den Netzwerkeinstellungen fix hinterlegt) aufräumte- ergab sich keine Verbesserung. Aus dem LAN lässt sich immer noch die VPN-Verbindung (über eine DynDNS-Adresse, die die Fritzbox wohl lokal "ummapt") herstellen, aber keineswegs mehr von außerhalb.

Wenn man sich so das Verhalten der FB anguckt, rede ich schon seit Jahren von, total kaputt. Das ganze Konzept. Funktioniert nur zufällig für die Hansels die zuhause nichts zulässiges tun. Z.B. aktualisieren sich die Einträge in der Übersicht und weisen dann IP-Adressen auf, die aber Clients außerhalb zugewiesen werden.

Gut, ich vermute trotzdem eine Änderung beim Provider.

Hat da jemand einen Rat?
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.036
Mit dieser "detaillierten" Fehlerbeschreibung? Nein.

Kannst du "geht nicht mehr" detaillieren? Z.B. was nicht mehr geht (VPN Verbindung wird nicht aufgebaut, Verbindung wird aufgebaut aber FWD tut's nicht, Fehlercodes, logs...). Du hast ja als Fehlerquellen mindestens die FB, deinen VPN-Server und die VM. Aus deiner Beschreibung ist nicht mal ersichtlich, wo's schief geht.
 

Insulaner

Apfel der Erkenntnis
Registriert
06.01.12
Beiträge
723
"Wenn man sich so das Verhalten der FB anguckt, rede ich schon seit Jahren von, total kaputt. Das ganze Konzept. Funktioniert nur zufällig für die Hansels die zuhause nichts zulässiges tun. Z.B. aktualisieren sich die Einträge in der Übersicht und weisen dann IP-Adressen auf, die aber Clients außerhalb zugewiesen werden."
Aha?!?

"Gut, ich vermute trotzdem eine Änderung beim Provider.
Hat da jemand einen Rat?!"
Ok!?
 

James Atlick

Meraner
Registriert
05.05.09
Beiträge
231
Gehe auf die Statusseite der FritzBox. Steht dort in der Übersicht DS-Lite-Tunnel bei IPv4?

Ansonsten gibt es noch andere Tests.
Wie ist deine angezeigte WAN IPv4?
100.64 bis 100.127? Sorry, dann ist es CG-NAT.

Terminal öffnen und eingeben:
traceroute deineIPv4WAN

Braucht es ein Hop? Dann ist es eine echte IPv4
Zwei Hops? CG-NAT
 
Zuletzt bearbeitet:

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.477
Gehe auf die Statusseite der FritzBox. Steht dort in der Übersicht DS-Lite-Tunnel bei IPv4?
nein
Ansonsten gibt es noch andere Tests.
Wie ist deine angezeigte WAN IPv4?
100.64 bis 100.127? Sorry, dann ist es CG-NAT.
ey, wann ist das denn passiert? Ich bin mir recht sicher, dass ich seit Anbeginn aller Zeiten eine normale IPv4-Adresse hatte.
Danke Dir, da muss ich mal weiterschauen.
Terminal öffnen und eingeben:
traceroute deineIPv4WAN

Braucht es ein Hop? Dann ist es eine echte IPv4
Zwei Hops? CG-NAT
 

hosja

Mutterapfel
Registriert
23.03.07
Beiträge
5.252
IPv4 ist teuer. Check deinen Vertrag ob man nicht drauf bestehen kann eine echt V4 zu bekommen.
 

PeterRS

Jamba
Registriert
05.01.14
Beiträge
54
Eine echte IP4 bekam ich bei meinem Kabel Anbieter (unity media/jetzt vodafon) erst mit der Speed Option garantiert.
 
  • Like
Reaktionen: hosja

hosja

Mutterapfel
Registriert
23.03.07
Beiträge
5.252
mit Altvertrag kann man bei der Hotline manchmal was erreichen
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.477
man kann ja auch ein Firmen-VPN auf Fritzbox-Seite konfigurieren, also die FB baut die Verbindung auf. Allerdings kann das ja nur so sicher sein wie der Server im Internet, der das terminiert. Ich bin ein wenig skeptisch, denn eins-fix-drei hat man auch sein LAN für böse Menschen geöffnet (indem der Server attackiert wird, bei dem aller verschlüsselter Traffic zusammenläuft). Wie kann man das sicher hinbekommen? Gibt es dafür Blaupausen?
 

voyager

Moderator
AT Moderation
Registriert
31.05.06
Beiträge
1.007
Hast du ne IPv6 auch? je nach VPN, und was du brauchst gehts auch über die. Sonst ja, "lite" IPv4 ist n Krampf. schauen dass du die upgegradet bekommst. In Deutschland hast du ja leider kein Recht auf eine echte IPv4)darf da auch ne echte v6 sein) (im Gegensatz dazu bei uns Nachbarn im Süden).
 

James Atlick

Meraner
Registriert
05.05.09
Beiträge
231
ey, wann ist das denn passiert? Ich bin mir recht sicher, dass ich seit Anbeginn aller Zeiten eine normale IPv4-Adresse hatte.
Tja, die schalten auch gerne mal User um. Dann können sie eine echte IPv4 jemandem verkaufen. Müssen alle IPv4 sparen.

Alternativ einfach IPv6 nutzen. Macht aber nur mit einem fixen Präfix Spass.
man kann ja auch ein Firmen-VPN auf Fritzbox-Seite konfigurieren, also die FB baut die Verbindung auf.
Verbindung zu was genau?
Sorry, verstehe dein Netzwerk nicht. Kannst du es aufzeichen? Oder genauer beschreiben wo was ist und was sich wohin verbinden soll?

Allerdings kann das ja nur so sicher sein wie der Server im Internet, der das terminiert.
VPN ist entgegen der weitläufigen Meinung auch keine Sicherheitstechnologie, sondern eine Tunneltechnologie.

Wie kann man das sicher hinbekommen? Gibt es dafür Blaupausen?
Was willst du denn überhaupt hinbekommen?
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.477
Tja, die schalten auch gerne mal User um. Dann können sie eine echte IPv4 jemandem verkaufen. Müssen alle IPv4 sparen.

Alternativ einfach IPv6 nutzen. Macht aber nur mit einem fixen Präfix Spass.

Verbindung zu was genau?
Sorry, verstehe dein Netzwerk nicht. Kannst du es aufzeichen? Oder genauer beschreiben wo was ist und was sich wohin verbinden soll?


VPN ist entgegen der weitläufigen Meinung auch keine Sicherheitstechnologie, sondern eine Tunneltechnologie.


Was willst du denn überhaupt hinbekommen?

berechtigte Fragen:
ich würde gerne L2 ins LAN getunnelt haben.
Eine fixe public IPv4/IPv6 auf einem dedicated Server ist verfügbar.
 

James Atlick

Meraner
Registriert
05.05.09
Beiträge
231
ich würde gerne L2 ins LAN getunnelt haben.
Ich frage jetzt mal nicht warum. Ich akzeptieren einfach den Wunsch, sämtlichen(?) traffic von dir Zuhause über einen dedicated Server zu tunnel?
Verstehe ich dies so richtig?

Und das machst du per IPsec auf deinem Mac oder auf deinem Modem?

Und die das Ziel, also der dedicated Host mit IPv4 und IPv6 ist hinter einer Fritzbox und die Fritzbox mach Portweiterleitung auf diesen Host?

Ich verstehe noch immer das Setup nicht. Die Zielseite ist ein dedicated Server mit fixer IPv4 und 6? Und dieser Server ist hinter einer Fritzbox? Also hat eher die Fritzbox eine fixe IPv4?

Naja, wie auch immer, zum testen kommt mir in den Sinn:
Mach mal einen neuen Port rein. Das mit den zwei MAC Adressen ist schon sehr seltsam.
Wie soll die Box überhaupt wissen, wohin sie natten soll, wenn da zwei Ziele drin sind.

Danach würde ich mal testweise einen NGXIN Docker oder VM starten und mal schauen ob du von ausserhalb auf die default Seite des webservers kommst.
 
Zuletzt bearbeitet:

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.036
Mir fehlt immer noch die Antwort auf meine Frage, was eigentlich nicht funktioniert.

Hier werden reihenweise neue Baustellen aufgemacht - aber das hilft ja alles nichts. Wenn dein ISP von IPv6 full stack auf DS-Lite umgestellt hat, reicht das alleine aus, dass dein VPN-Server, der ja scheinbar hinter der FB liegt nicht mehr erreichbar ist. Kannst du dann z.B. mittels FritzConnect und VPN auf die FB umziehen umgehen,

Das ist aber alles nur wildes 'rumgerate: @Wuchtbrumme, liefer' mal eine anständige Fehlerbeschreibung!
 

hosja

Mutterapfel
Registriert
23.03.07
Beiträge
5.252
Durch DS Lite kommt glaube gar nicht von aussehen drauf. Weil das NAT über zufällige verschiedene Router läuft.