FritzBox 5590 + Firmware 7.30 = keine öffentliche IPv6 Adresse? Erst mit Firmware 7.50?

[Maxminator]

Hallo,
gerade einen sehr ausführlichen Telefongespräch mit einem sehr gut informierten Technikmitarbeiter von deutsche Glasfaser geführt.
Im alles über die Probleme eines Dual-Stake-Lite Anschlusses dargelegt und, und, und.
Seine Aussagen waren folgende:

• Vodafone und Telekom haben um den Faktor 1000 mehr IPv4 Adressen zur Verfügung als Deutsche Glasfaser: Umstellung von DS-Lite auf DS nicht möglich!
• Meine Glasfaser FritzBox 5590 hat noch Firmware 7.30 und keine 7.50 und somit ist nicht nur keine IPv4 (die habe ich sowieso nicht bei einem DS-Lite Anschluss) sondern auch keine IPv6 öffentlich sichtbar! Es wird also alles besser für mich wenn meine FritzBox 5590 diesen 7.50 Update bekommt. Dann bin ich vollwertig mit einer IPv6 auch für VPNs erreichbar!

Das wäre doch genial, oder? Dann kann ich endlich vollwertig auf meine Synology DS920+ aus dem WWW über VPN erreichen?

Was sagen die Experten dazu?
Gerade was im Netz gefunden:

EINFACHES VPN MIT WIREGUARD​

Neu ist die Unterstützung des VPN-Verfahrens WireGuard. Dadurch kannst du auch von unterwegs und an öffentlichen WLAN-Hotspots sicher surfen und auf dein Heimnetzwerk zugreifen. Mit dem neuen Wireguard-Assistent, der in der FritzBox integriert ist, kannst du für Smartphones, Notebooks oder PCs schnell verschlüsselte Verbindungen mit der WireGuard-App per QR-Code oder Software aufbauen. Auch das bisherige VPN-Verfahren IPSec wurde von den AVM-Entwicklern aktualisiert und unterstützt jetzt sowohl IPv4- und IPv6-Verbindungen.

 

[NerdmitHerz]

VPN via fritzbox geht derzeit gerade nur mit einer ipv4 Adresse, welche man jedoch bei Glasfaser nicht mehr bekommt.

Mit Fritz! OS 7.50 bekommt man die Funktion für vpn und via wireguard und dies kann auch mit ipv6 genutzt werden jedoch kann dir keiner sagen wann deine 5590 7.50 bekommen wird.

Derzeit haben es nur 3 Fritzboxen 7590,7530 und 6690

 

[Maxminator]

" vpn und via wireguard und dies kann auch mit ipv6 genutzt werden"
Was genau bedeutet diese Aussage? Kannst du es bitte ausführen? danke

 

[Simanova]

VPN über IPSEC benötigt Port UDP 500 und UDP 4500 für die Einwahl. Beides muss vom Provider weitergeleitet werden. Bei DS-Lite Anschlüssen hängen mehrere Kunden auf einem virtuellen Anschluss, sodass Portweiterleitungen unmöglich sind. (Ähnliche Situation bei Starlink Anschlüssen)

Die Lösung ist die Nutzung von VPN Diensten die via HTTPS in Phase 1 kommunizieren z.b ikev2.
Das ganze läuft unter dem Stichwort NAT Problematik (Network Address Translation)

Anmerkung: Die ganze Thematik hat relativ wenig mit IPv6 zu tun. Ist nur ein dummer technischer Zufall, dass der DS-Lite Anschluss IPv6 bevorzugt nutzt. IPv4 und IPv6 sind gleichwertig in der Funktionalität wenn es dein Provider so konfiguriert hat.

 

[NerdmitHerz]

Erstmalig in der firmware 7.50 bietet AVM an wireguard zu nutzen. Wireguard kann sowohl der ipv4 als auch per ipv6 Adresse genutzt werden..

Was bedeutet, dass es auch bei Glasfaser Fritzboxen möglich sein wird via vpn auf die heimische fritzbox inkl Geräte zu zu zugreifen.

Kannst hier nachlesen:

https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-computer-einrichten/

 

[Maxminator]

Voraussetzungen / Einschränkungen​

• Die FRITZ!Box muss vom Internetanbieter entweder eine IPv6-Adresse oder eine öffentliche IPv4-Adresse erhalten.

Deutsche Glasfaser verweist auf AVM und AVM auf Internetanbieter? Hä?

 

[Pilatesjünger]

Deine Fritzbox mit 7.3 hat eine öffentliche IPV6. Nur kann die Software damit nichts anfangen.
Du könntest dir aber einen eigenen Wireguardserver installieren. siehe Internet.

 

[metallica2006]

Hi,

Wireguardserver hinter der Fritz Box müsste laufen.

 

[Maxminator]

Deine Fritzbox mit 7.3 hat eine öffentliche IPV6. Nur kann die Software damit nichts anfangen.
Du könntest dir aber einen eigenen Wireguardserver installieren. siehe Internet.

wo genau installieren? Z.B. auch auf meiner DS920+?
Ich dachte es muss auf einer Fritzbox laufen

Welche öffentliche IPv6 Adresse genau muss ich dafür nutzen und wie genau diese "kapseln" oder einfach direkt diese IPv6 nutzen?
Der bei Deutsche Glasfaser sagte doch, dass AVM diese IPv6 irgendwie zurückhält

 

[dvor]

Der bei Deutsche Glasfaser sagte doch, dass AVM diese IPv6 irgendwie zurückhält

Unsinn.

Der VPN Server in der 5590 kann mit jener nichts anfangen. Das ist das Problem. Nicht mehr und nicht weniger.

 

[Maxminator]

Bedeutet was genau?
Und ein VPN Server auf meiner DS920+ im LAN kann kann ich installieren und der ganze LAN wird aus dem WAN/WWW erreichbar sein oder wie?

Ergänzung (19. Januar 2023)

Hier leidet auch einer:
https://www.synology-forum.de/threa...box-heimnetzverbindung-ueber-synology.113250/

 

[gaym0r]

Die Lösung ist die Nutzung von VPN Diensten die via HTTPS in Phase 1 kommunizieren z.b ikev2.

IKEv2 kommuniziert über HTTPS? Das wäre mir neu. Keine Ahnung was du eigentlich sagen willst. IKE ist Teil von IPsec, aber du schlägst es als Alternative vor...

 

[Maxminator]

Ich glaube das ist die Lösung:
https://idomix.de/wireguard-vpn-server-auf-synology-diskstation

 

[norKoeri]

Bevor wir hier in die Grundlagen „verteilter Systeme“ eintauchen, würde ich es gerne anders herum machen: In Deinem Ausgangspost schreibst Du:

[Kann ich dann] endlich vollwertig […] meine Synology DS920+ aus dem [Internet] erreichen?

Das kannst Du schon mit Deinem jetzigen FRITZ!OS. Meine Rückfrage ist, was Du mit „vollwertig“ meinst oder ob Du noch mehr oder anderes haben möchtest, denn Du schriebst danach:

[Kann ich] ein VPN Server auf meiner DS920+ […] installieren und [so mein ganzes Heimnetz erreichen]?

Oder anders gefragt: Möchtest Du von unterwegs auf Deine Synology DS920+ zugreifen?

 

[Maxminator]

Klar, genau. Mein Vater und ich von Unterwegs sollen DS erreichen können. Damit ich mit meinem Anschluss Upload von 500MBit auch auf Cloudlösung verzichten kann...

Das Problem ist eher: was mache ich wenn ich nur IPv6 Adressen habe? Stichwort: Double Stack - Lite Anschluss bei Deutsche Glasfaser...

Welche IPv6 Adresse muss ich genau bei der Wireguard eintragen? Die Statische von DiskStation selbst oder, die von der FritzBox 5590?

 

[Pilatesjünger]

wenn du unterwegs kein ipv6 hast, kommst du nicht drauf.

 

[norKoeri]

Damit […] auf Cloudlösung verzichten kann.

OK. Dann brauchst Du erstmal gar kein VPN. Also gedanklich. Du willst erstmal nur Deine DiskStation (NAS) erreichen. Das ist die Aufgabenstellung. Für die suchen wir jetzt nach Lösungen. Fangen wir Vorne an: Um ein Gerät in Deinem Heimnetz zu erreichen, brauchst Du eine IP-Adresse. In Deinem Fall ist eine IPv6 zu bevorzugen. Du hast jetzt mehrere Alternativen, nur mal Drei:

• Alternative A
  Du erreichst die FRITZ!Box (und spannst von dort ein VPN auf).
  Dazu müsstest Du die aktuelle FRITZ!Labor installieren, weil FRITZ!OS sein VPN noch nicht über IPv6 erreichbar hat. Das fehlt bisher für die FRITZ!Box 5590 Fiber. Also abwarten.
• Alternative B
  Du erreichst ein anderes Gerät in Deinem Heimnetz zum Beispiel die DiskStation selbst.
  Dazu nimmst Du den Dynamic-DNS-Client in der DiskStation. Leider kann Synology mit öffentlichen Dynamic-DNS-Anbieter bisher kein IPv6. jedenfalls ist das mein Wissensstand. Aber der Synology eigene Dienst erlaubt IPv6.
• Alternative C
  Du holst Dir einen Internet-Router, der bereits heute VPN über IPv6 bietet; zum Beispiel eine FRITZ!Box 4060.

Lass uns mit Alternative B weitermachen, weil Du das heute ohne weitere Hardware machen kannst. Dazu sind einzelne Schritte notwendig:

1. die DiskStation muss eine IPv6 erhalten; weißt Du wie das geht?
2. die DiskStation kann über den Synologys eigenen Dynamic-DNS-Dienst eine Domain aktualisieren; weißt Du, wie das geht?
3. Du musst Dich für einen Dienst (Web, sFTP, VPN, …) auf der DiskStation entscheiden; weißt Du welchen Dienst Du bevorzugen würdest?
4. Dein Internet-Router = FRITZ!Box 5590 Fiber muss den TCP-Port für diesen Dienst freigeben … (letzter Abschnitt: Statische Freigabe)

 

[bender_]

Dann kann ich endlich vollwertig auf meine Synology DS920+ aus dem WWW über VPN erreichen?

Wieso verwendest Du nicht einfach QuickConnect: https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_quickconnect?version=6
Da stellen sich deine ganzen Fragen erst gar nicht.

 

[Maxminator]

Ich kann dir folgendes zu Quick Connect von SYNOLOGY berichten:
Wahrscheinlich besitzt du so wie ich Dual Stake Lite Internet Anschluss somit funktioniert deine Quick Connect-Verbindung nur in einem BackUp-Modus: es kann keine performante VPN aufbauen und somit läuft es nur in dem Relay-Modus: also wie bei mir mit ca. 1,5MB/s und mit horror-Latenzen!
Und diese Horror-Latenzen siehst du bei der Mausbewegung

Ergänzung (19. Januar 2023)

Du holst Dir einen Internet-Router, der bereits heute VPN über IPv6 bietet; zum Beispiel eine FRITZ!Box 4060.

genau den habe ich schon in meinem Netz als Mesh Repeater über LAN-Kabel

Ergänzung (19. Januar 2023)

@norKoeri: danke für dein sehr inhaltvollen Post! Sollte es klappen - trage ich dich auf den Händen!

1. die DiskStation muss eine IPv6 erhalten; weißt Du wie das geht?
2. die hat schon eine, oder gar 2? (mache später ein Screenshot)
3. die DiskStation kann über den Synologys eigenen Dynamic-DNS-Dienst eine Domain aktualisieren; weißt Du, wie das geht?
4. Ja, schon erstellt -->"normal" leuchtet grün (mache später ein Screenshot)
5. Du musst Dich für einen Dienst (Web, sFTP, VPN, …) auf der DiskStation entscheiden; weißt Du welchen Dienst Du bevorzugen würdest?
6. VPN natürlich
7. Dein Internet-Router = FRITZ!Box 5590 Fiber muss den TCP-Port für diesen Dienst freigeben … (letzter Abschnitt: Statische Freigabe)
8. Genau das weiß ich nicht, wie man einen Port für genau IPv6 Adresse freigibt, vor Allem nicht für welche IPv6? Die von DiskStation oder, die von der FritzBox?

 

[norKoeri]

wie man einen Port für genau IPv6 Adresse freigibt, vor Allem nicht für welche IPv6? Die von DiskStation oder, die von der FritzBox?

Du musst die DiskStation nehmen. Erklärt diese Anleitung in Abschnitt 2 ganz nett … welcher Punkt klemmt genau, wird Deine DiskStation nicht im Drop-Down-Menü aufgeführt?

VPN natürlich

Sicher? Ich hätte direkt den Web-Server genommen, den Du brauchst ja sonst nix aus Deinem Heimnetz außer der DiskStation.