Alten Providervertrag umgestellt, nun VPN Probleme [DS Light]

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • anudanan schrieb:

      Dann liegt das aber eher daran, dass unitymedia VPN über IPc4 nicht zuläßt.
      Mit einer "richtigen" IPv4-Adresse von Unitymedia funktioniert es ja... nur mit dem UM-DS-Light nicht.

      Man bekommt da übrigens als IPv4-Adresse keine RFC-1918-Adresse (10., 172.16., 192.168.), sondern eine, die wie eine richtige geroutet IPv4-Adresse aussieht... Diese hat man aber wohl nicht alleine, sondern die wird per NAT geteilt.
    • RickX schrieb:

      Man bekommt da übrigens als IPv4-Adresse keine RFC-1918-Adresse (10., 172.16., 192.168.), sondern eine, die wie eine richtige geroutet IPv4-Adresse aussieht... Diese hat man aber wohl nicht alleine, sondern die wird per NAT geteilt.
      Das klingt ja gruselig. Was treiben die denn da?
      Dennoch komisch, dass das NAT dann nicht funktioniert.
    • Das ganze nennt sich wohl Carrier Grade NAT.

      Hier wird das etwas erklärt: Elektronik-Kompendium: Dual Stack Lite

      Da wird aber auch nur erwähnt, dass es Probleme mit VPNs gibt, aber nicht genauer beschrieben, was genau der Knackpunkt ist.
      Ist aber auch egal... Wer als Unitymedia-Kunde in ein Firmen-VPN möchte, muss den DS-Lite loswerden.
      Das geht entweder über Verhandlungen am Telefon oder schlimmstenfalls durch Buchung eines B2B-Services. Der kommt nämlich immer noch mit einer IPv4-Adresse.
    • Danke, werde ich mal durchlesen. Der TE hatte aber vodafone. Machen die das auch so wie unitymedia? Im Mobilfunknetz machen die das meiner Info nach anders mit normalen privaten Bereichen.
    • Dass im Mobilfunknetz anders funktioniert, steht auch in dem verlinkten Artikel.
      Dort wird kein Provider genannt, sondern nur allgemein von "Kabelnetzbetreibern" gesprochen.
      Daher kann es gut sein, dass es bei Vodafone/KDG genauso funktioniert wie bei Unitymedia.

      @Knifte, das ist eins der offenen Projekte bei uns... Wenn man konsequent auf IPv6 umstellt, sollte das funktionieren.
      Unsere externen Partner haben aber für ihre VPNs auch nur v4-Adressen. Die wären auch dann immer noch ein Problem.
    • Wenn Du von VF keine IPv4 Adresse bekommst, dann bleibt Dir nur die "Feste IP".
      Kostet zwar extra, funktioniert aber.
      feste-ip.net wäre ein Anbieter.
      Nicht jeder Käse kommt aus Holland, mancher kommt aus Bayern... :8)
      „Der Vorteil der Klugheit besteht darin, dass man sich dumm stellen kann. Das Gegenteil ist schon schwieriger.“ K.T.
      „Der Neid ist die aufrichtigste Form der Anerkennung.“ W.B.

      UNVEU!
    • Habe den Link wegen carrier grade nat mal gelesen.

      Dort steht eigentlich auch nur drin, dass dort ein NAT stattfindet und der Kundenrouter eine Adresse aus dem privaten Bereich bekommt, wie ich es auch schon x-mal gesehen habe und wo normalerweise IPSEC mit Nat traversal problemlos funktioniert, es sein denn, der Provider filtert bestimmte Dienste raus, die nicht gehen sollen.

      Irgendwie komsich, dass das bei unitymedia nicht geht, aber wenn so ist, muss man wohl damit leben, auch wenn es nicht einzusehen ist
    • Also bei einem Bekannten funktioniert es mit UM als ISP.
      Nicht jeder Käse kommt aus Holland, mancher kommt aus Bayern... :8)
      „Der Vorteil der Klugheit besteht darin, dass man sich dumm stellen kann. Das Gegenteil ist schon schwieriger.“ K.T.
      „Der Neid ist die aufrichtigste Form der Anerkennung.“ W.B.

      UNVEU!
    • Das ist ja ein Lichtblick und rückt mein Provider Weltbild wieder gerade ;)
    • Hallo @Phelbes, bei mir funktioniert es ja auch mit Unitymedia - weil ich eine IPv4-Adresse habe.
      Ich kenne aber keinen, bei dem es mit DS-Lite funktioniert.

      @anudanan, das Carrier Grade NAT bedeutet, dass der Kundenanschluss eine interne Adresse (RFC 1918) bekommt, diese dann aber nach außen per NAT auf eine groutete IPv4-Adresse gemappt wird. Das ist aber kein eins-zu-eins-Mapping zum Kunden. Außerdem ist das Problem, dass man kein Port-Forwarding einstellen kann, weil das NAT ja erst beim Provider gemacht wird und nicht auf dem Kunden-Router.

      In dem verlinkten Artikel ist ein Link auf die Beschreibung von Carrier Grade Nat. Dort steht:


      Elektronik Kompendium schrieb:


      Carrier Grade NAT aus Sicht des Endkunden
      Leider hat CG-NAT Nachteile für den Kunden. Die erhalten keine öffentliche IPv4-Adresse und müssen mit den Problemen eines kastrierten Internet-Zugangs leben. Manche Internet-Dienste sind über kaskadierte NAT-Verbindungen nur eingeschränkt funktionsfähig.
      Der Kunde selber kann an seinem Anschluss auch keine Dienste anbieten, weil er wegen NAT beim Provider dort kein Port-Forwarding einstellen kann. Wenn der Kunden einen seiner Rechner "von außen" erreichbar machen möchte, dann kann er das nur über eine IPv6-Adresse tun, sofern ihm sein Internet-Provider einen globalen IPv6-Präfix zugeteilt hat.
      Und die IPv6-Verbindungen funktionieren auch nur dann, wenn die Endgeräte und der Internet-Zugang auf der jeweils anderen Seite über eine IPv6-Connectivity verfügt.
    • Ja, das ist alles klar. Es geht mir darum, dass man hinter einer solchen IPv4 Adresse bei ds Light, die natürlich nochmal durch ein NAT läuft, durchaus IPSec machen kann. Man kann das aktiv zu einer ändern IPv4, die im Internet erreichbar ist, aufbauen (z.b. Eine Zentrale einer Firma oder einem echten IPv4 Anschluss). Umgekehrt geht natürlich nicht, weil man den nat Router ja nicht zuhaue hat. Wenn der Tunnel aber steht, sind die beiden Netze durch ipsec verbunden. Dafür wurde für ipsec mal das NAT traversal erfunden. Das geht definitiv, habe ich schon x-mal gemacht.
    • Wenn ich das bei AVM richtig gelesen haben, sollte das so machbar sein wie @anudanan schreibt. Allerdings steht dort auch, dass der Internetanbieter das Port Control Protocols (PCP) dafür unterstützen muss.

      Hauptsache der TE ist hartnäckig geblieben, ist wieder umgestellt worden und sein Problem ist gelöst.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Torbin ()

    • Habe gerade auch mal auf der avm Seite gelesen. Das steht genau das, was ich auch oben beschrieben habe. Dss PCP Protokoll braucht man dafür aber nicht. Man bräuchte es, wenn die FB am ds light Anschluss die IPSec Verbindung annehmen soll, was ja eigentlich nicht geht. Über PCP würde die FB am ds light Anschluss dem nat Router beim Provider praktisch eine Abbildung beibringen, damit eingehender IPSec Aufbau Traffic zu ihr gelangt. Ich vermute aber, dass das wenigsten Provider machen. Rausgehend an einem ds light geht aber ohne PCP zu einem offiziellen IPv4 Anschluss.

      Aber der TE hat ja jetzt erstmal keinen Stress mehr

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von anudanan ()

    • Die rege Diskussion is mal klasse. Klar erstmal habe ich keinen Stress mehr , was aber nicht heisst das es so bleibt. Wenn wieder eine Umstellung kommt , was immer passieren kann, werde ich das testen. Erstmal Danke an alle.
      Gruß Rogni

      Wer Rechtschreibfehler findet darf Sie gerne behalten :P
    • RickX schrieb:

      Hallo @Phelbes, bei mir funktioniert es ja auch mit Unitymedia - weil ich eine IPv4-Adresse habe.
      Ich kenne aber keinen, bei dem es mit DS-Lite funktioniert.
      Es funktioniert mit IPv6 nur mit "Fester-IP".
      Siehe meinen obigen Beitrag.
      Nicht jeder Käse kommt aus Holland, mancher kommt aus Bayern... :8)
      „Der Vorteil der Klugheit besteht darin, dass man sich dumm stellen kann. Das Gegenteil ist schon schwieriger.“ K.T.
      „Der Neid ist die aufrichtigste Form der Anerkennung.“ W.B.

      UNVEU!

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Phelbes ()

    • Diesen feste-ip Provider kann man nutzen, wenn IPSec hinter einem ds light Anschluss passiv angenommen werden muss. Ein aktiver IPSec tunnelaufbau von einem ds light in Richtung einer anderen offiziellen IPv4 Adresse geht ohne diese Umwege, es sei denn, der Provider verbietet einen IPSec Verbindungsaufbau mit IKE
    • mit ipv6 funzt alles auch ohne feste-ip aber eben nur von ipv6 aus

      von ipv4 auf braucht man zwingend einen portmapper (wie feste-ip)

      verbindungen zu ip4 brauchen zusätzlich noch einen tunnel

      ich hab hier auf board auch irgend wann mal ne anleitung geschrieben wie das alles funzt, einfach mal die boardsuche benutzen.

      vpn funzt über portmapper übrigens nur noch via tcp
      Gruß wsxws