ComputerBase Menü
Aktuelles

CGNAT bei Pyur umgehen...

Euphoria

Euphoria

Admiral
Registriert
Apr. 2007
Beiträge
9.080
Hallo zusammen,

ich bin vor paar Monaten in einen Neubau gezogen, leider liegt hier nur Glasfaser von Telecolumbus/Pyur an und man ist gezwungen diesen Anbieter zu nehmen. Nachdem ich den Anschluss dran hatte, habe ich festgestellt "Mist die nutzen ja CGNAT" und IPv6 kriegt meine FritzBox auch nicht. Also Support kontaktiert, wurde praktisch im Regen gelassen, bei IPv6 verweisen die mich auf AVM und CGNAT ist angeblich bei Glasfaser Standard, den man nicht umgehen kann...
Somit kriege ich meine NAS nicht ans Netz angebunden, so dass ich diese von außen erreichen kann...

Nun habe ich mich die letzten zwei Wochen mit dem Thema beschäftigt wie ich nun das Teil doch erreichbar kriege und habe und habe mir einen Cloud Server bei Hetzner gemietet um das umzusetzen.

Zuerst hatte ich probiert das Ganze mit pfSense über einen Wireguard Tunnel zu meiner Fritz!Box umzusetzen, das hat nur bedingt funktioniert. VPN Verbindung war zwar da, aber selbst von der pfSense konnte ich den Port der NAS nicht erreichen.

Als zweites habe ich jetzt versucht das System von Feste-IP bzw. Easy2Connect nachzubauen, denn 150€ für ein Gerät was normal 25€ kostet sehe ich nicht ein und so kann man auch was dazu lernen.
Also einen MikroTik hAP Mini besorgt und einen Cloud Hosted Routers von Mikrotik auf dem Cloud Server installiert. Hier habe ich einen OpenVPN Tunnel in Verbindung mit einem EoIP Tunnel aufgebaut und kriege die NAS sogar vom CHR bei Hetzner erreicht, allerdings kann ich die NAS aus dem Internet über die feste IP des Servers wieder nicht erreichen, obwohl ich NAT eingerichtet habe und verschiedene Kombinationen aus Firewall Regeln probiert habe.

Hat schon jemand so ein Konstrukt gebaut und kann mir paar Tipps geben wie ich die NAS erreichbar bekomme? :)
Mir wäre es auch recht, wenn grundsätzlich jeglicher Traffic der an der öffentlichen IP ankommt einfach an die NAS geleitet wird, danach kann man immer noch die Firewall zunageln.

Wenn noch weitere Infos benötigt werden einfach anfordern, ich komme da mit meinem Wissen einfach nicht weiter.

PS: Am Ende ist mir egal welches System wo läuft, solange ich das Ziel erreiche. Also wenn das "einfacher" mit pfSense oder nackigem Linux geht, bin ich offen für.

So müsste es nach meinem Verständnis funktionieren.
1690380829379.png
 

Anhänge

  • Telnet_vom_CHR.png
    Telnet_vom_CHR.png
    48,7 KB · Aufrufe: 142
  • DSTNAT_CHR.png
    DSTNAT_CHR.png
    47,8 KB · Aufrufe: 143
Zuletzt bearbeitet:
Euphoria schrieb:
Zuerst hatte ich probiert das Ganze mit pfSense über einen Wireguard Tunnel zu meiner Fritz!Box umzusetzen, das hat nur bedingt funktioniert. VPN Verbindung war zwar da, aber selbst von der pfSense konnte ich den Port der NAS nicht erreichen.
Zum Vergrößern anklicken....
dann stimmte was an deiner config nicht. zeig dchmal bitte..
 
@madmax2010
pfSense und die Wireguard Verbindung habe ich mittlerweile abgerissen, da ich ja alles auf Mikrotik Basis aufgebaut habe.
Könnte ich frühestens am Wochenende wieder aufbauen, da ich davor nicht dazu komme. Hat letztes Mal halben Tag gedauert, bis soweit alles stand.
 
Euphoria schrieb:
Also Support kontaktiert, wurde praktisch im Regen gelassen, bei IPv6 verweisen die mich auf AVM und CGNAT ist angeblich bei Glasfaser Standard, den man nicht umgehen kann...
Zum Vergrößern anklicken....
Wieso verweisen sie bei IPv6 auf AVM? Die Fritzboxen können IPv6 und gehören da nach dem c't Test sogar zum besten, was man heute bekommen kann. Wenn die also IPv6 bieten, dann sollte es auch mit Fritzboxen funktionieren.

Grundsätzlich hab ich so ein Konstrukt am laufen, wie du es beschreibst, also ich kann über die öffentliche IP meines VPS auf Geräte in meinem Heimnetz zugreifen. Aber ich hab es halt längst nicht so kompliziert gemacht, sondern einfach einen Wireguard Tunnel von einem Raspi zum VPS und dann Portfreigaben und fertig. OpenVPN hab ich dafür auch lange benutzt, bevor ich auf Wireguard umgestiegen bin, das funktioniert genau so.
 
  • Gefällt mir
Reaktionen: Engaged
Weil die der Meinung sind auf deren Seite ist alles tuti und die verweisen auf AVM, weil ich eigene Fritz!Box nutze. Also klassisches Ping Pong und Rausreden.

An sich spielt es ja keine Rolle, ich habe keine Lust auf diese sinnlosen Diskussionen mit dem Provider. Ich habe ja jetzt an sich alles was ich in der Theorie brauche um das Thema zu lösen.

Was nutzt du auf deinem VPS als Lösung einfach Linux mit Wireguard? Ich denke die Tunneltechnologie sollte am Ende keine Rolle spielen, ich kann am Ende genauso Wireguard auf dem MikroTik hAP Mini oder auf der Fritz!Box einrichten, wenn es zum Ziel führt.
 
Ist denn IPv6 als Nativ in den FritzBox Einstellungen eingestellt?
 
  • Gefällt mir
Reaktionen: Engaged
Ja das hatte ich probiert, führt zu keinem Ergebnis. Ich habe da verschiedenste Einstellungen durchgespielt, die Box kriegt keine IPv6 Adresse bzw. Internet IPv6 bleibt "nicht verbunden", egal welche Konstellation ich da setze.

Aber wie gesagt das sollte an sich in dem Falle auch nicht zwingend notwendig sein.
 
Zuletzt bearbeitet:
...also ich habe auch 1621+ NAS und die kann DDNS IPv6, wo ist dein Problem?
PFSense oder Opensense können IPv6 und auch NPTv6 oder auch NAT66.
Schau mal ob du deine Fritze in den Bridge Modus setzen kannst dann kann deine PFSense auch drekt IPv6 beziehen, wenn der Provider dir zusätzliche Adresse gibt.
Ergänzung ()

Wenn der Provider keine IPv6 vergibt dann wäre das zu Hart.....
Ergänzung ()

Apropos, du solltest mit Quickconnect doch auf deine NAS kommen, die Geschwindigkeit wäre aber mau.
 
Zuletzt bearbeitet:
Ja und das scheint nicht unüblich zu sein. Nur habe ich durch den Zwang halt keine andere Option. Hier liegt sonst NICHTS an, ich kriege nicht einmal DSL 16000 ran.
Statt Probleme zu lösen versteckt man sich halt hinter der Ausrede "hast eine fremde Fritz!Box"

Aber wie gesagt, ich brauche IPv6 ja nicht zwingend, wenn ich sowieso einen Server mit einer öffentlichen IPv4 habe.
 

Anhänge

  • 1690375358570.png
    1690375358570.png
    9,5 KB · Aufrufe: 98
Zuletzt bearbeitet:
Wie gesagt ich habe das Spielchen jetzt paar Wochen mitgespielt, ich habe da keinen Bock drauf, die Diskussionen führen zu nichts. Solange die exklusiv hier Internet anliegen haben, habe ich keine andere Wahl als es zu schlucken. Dann sagen die halt dann kündige doch, bringt mir halt am Ende trotzdem nichts. Ist halt wie die Szene bei South Park mit dem Kabelnetzbetreiber. Entweder ich nehme das was die mir vorsetzen, oder habe gar nichts.
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.


Können wir mal vom IPv6 Thema bitte weg? Das ist ja nicht zwingend notwendig für eine Lösung, daher kann man das erstmal ignorieren.
 
  • Gefällt mir
Reaktionen: Engaged
habe mal kurz Google nachgeschlagen....
angeblich kann man CGNat über VPN umgehen.... wäre ev. auch für mich wichtig da in Kürze ich auch in den "Glasfaser Genuss" kommen werde....
 
Ichtiander schrieb:
angeblich kann man CGNat über VPN umgehen
Zum Vergrößern anklicken....
Genau das machen wir ja.

Ich nutze tatsächlich einfach Linux auf dem VPS und baue einen Tunnel mit einem Raspi auf. Das könnte man auch mit der Fritzbox als Gegenstelle, wenn man die Besonderheiten der Fritzbox beachtet, besonders in Bezug aufs Transfernetz:
https://avm.de/service/vpn/wireguard-vpn-zwischen-fritzbox-und-anderem-router-einrichten/

Sowohl der VPS als auch der Raspi routen vollwertig, es ist kein NAT in der Pipe. Das macht die Fritzbox ja auch so, da der VPN Client ja eh im Netz der Box ist. Dann noch die entsprechenden iptables Regeln, und das ganze fliegt.
 
  • Gefällt mir
Reaktionen: Euphoria
@riversource
Danke so ungefähr hatte ich es beim 1. Versuch mit pfSense gemacht, aber wie gesagt da hatte es nicht funktioniert. Was die Ursache ist kann ich jetzt im Nachgang nur mutmaßen.

Wie erreichst du in dem Falle explizit deine NAS? Ist diese dann einfach über die öffentliche IP mit entsprechendem Port erreichbar?
 
Ichtiander schrieb:
ok, und wer freut sich über deinen Traffik für wieviel geld?
Zum Vergrößern anklicken....
Niemand, das ist das Schöne. Ich hab einen kleinen VPS gemietet, und darüber läuft alles. Den Tunnel mach ich selber.

Euphoria schrieb:
Danke so ungefähr hatte ich es beim 1. Versuch mit pfSense gemacht, aber wie gesagt da hatte es nicht funktioniert. Was die Ursache ist kann ich jetzt im Nachgang nur mutmaßen.
Zum Vergrößern anklicken....
Ich vermute, da war irgendwo NAT aktiv, oder die Besonderheiten der Fritzbox wurden nicht beachtet (Transfernetz).

Euphoria schrieb:
Wie erreichst du in dem Falle explizit deine NAS? Ist diese dann einfach über die öffentliche IP mit entsprechendem Port erreichbar?
Zum Vergrößern anklicken....
Ja. Ich hab zwei iptables Regeln dafür, hier mal am Beispiel Port 8080. Andere Ports oder UDP Verbindungen gehen dann genauso:
iptables -A FORWARD -i eth0 -p tcp --dport 8080 -d <Private NAS IP> -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d <Public VPS IP> -p tcp --dport 8080 -j DNAT --to-destination <Private NAS IP>:8080
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Euphoria
pr
riversource schrieb:
Ja, nur erheblich preiswerter und unter eigener Kontrolle.
Zum Vergrößern anklicken....
preiswerter als:
  • VPN Einwahl mit Deaktivierungsoption pro Client
  • geringe Laufzeitkosten von 23,17 Euro pro Jahr
Verrätst du auch den Anbieter?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
PYUR Wechsel der öffentlichen IP
2
Antworten
21
Aufrufe
2.189
chrigu
chrigu
K
Verständnisfrage - "guter" NAT Typ bei CGNAT/DSLite
2
Antworten
20
Aufrufe
2.638
h00bi
h00bi
J
Zugriff auf Zyxel 542
2
Antworten
38
Aufrufe
734
User007
User007
Anonymous User
opnsense wireguard ip routing
Antworten
17
Aufrufe
846
Anonymous User
Anonymous User
S
Synology + Ubiquity SSL Probleme
Antworten
3
Aufrufe
364
syhm
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz