Probleme bei VPN Einwahl

[SaxnPaule]

Hallo Community,

ich nutze einen Kabel-Internetvertrag bei Pyur mit einem Compal Router im Bridge Mode. Dahinter ein Asus RT-AX88U auf welchem ein VPN Server läuft (OpenVPN).

Diesen nutze ich um mich von unterwegs in mein Heimnetz einzuwählen. Das klappte die letzten zwei Jahre auch problemlos. Alle paar Monate gibts eine neue IP. Die habe ich dann in meinem VPN Client angepasst und gut wars.

Nun war es letzten Freitag wieder soweit und ich habe eine neue IP bekommen. Allerdings klappt seitdem die Einwahl nicht mehr.
Habe testweise auch einen WireGuard Server gestartet. Auch dort das gleiche Problem.

Es gibt keinerlei Einträge im Router Log, so dass ich davon ausgehe, dass es bereits an der Verbindung scheitert und gar nicht erst zum Austausch der Credentials kommt.

Was auffällig ist, die öffentliche IP, die mir im Router angezeigt wird, entspricht nicht mehr der IP, die ich sehe wenn ich auf "wieistmeineip.de" gehe. Bis letzte Woche waren diese immer identisch.

Kann es sein, dass ich auf DS-Lite oder sowas umgestellt wurde?

Die Dame am Service Telefon war gnadenlos überfordert und faselte was von WLAN und Routerneustart. Konnte sie zum Glück dazu bewegen es an die Technik weiterzuleiten. Dass ich von dort eine Antwort bekomme bezweifle ich aber. Auf die Antwort für mein Anliegen aus Januar 2023 warte ich bis heute.

Habt ihr noch eine Idee, was ich prüfen kann um die Ursache weiter einzugrenzen? Evtl. sogar einen Lösungsansatz?

 

[Nilson]

Kann es sein, dass ich auf DS-Lite oder sowas umgestellt wurde?

Möglich. Wenn die WAN-IPv4 des Routers abweicht von der IPv4, die dir wieistmeineip.de anzeigt, dann kommst du nicht mehr direkt drauf. DS-Lite oder CG-NAT.
Mal versucht den Zugriff über IPv6 einzurichten?
Der Compal Router ist vom Provider? Bekommt der vom Provider seine Updates? Mal geprüft ob der noch im Bridge-Modus ist?
Mal mit tracert die Verbindung verfolgt? Taucht da ggf. der Compal Router auf? Wenn er als reines Modem agiert, sollte er dort nicht auftauchen.

 

[Bohnenhans]

Hmm ja wenn die IP im Router nicht mehr die öffentliche ist dann fehlen halt einfach die Weiterleitungen der öffentlichen Ports an die des Routers.

Denke Du hast das Problem schon gefunden.

 

[SaxnPaule]

Der Compal Router ist vom Provider?

Ja

Bekommt der vom Provider seine Updates?

Ja

Mal geprüft ob der noch im Bridge-Modus ist?

Ja, ist er. Sonst hätte ich auch eine private IP WAN seitig im Asus.

Mal mit tracert die Verbindung verfolgt? Taucht da ggf. der Compal Router auf? Wenn er als reines Modem agiert, sollte er dort nicht auftauchen.

Wie meinst du das? ein tracert in Richtung Google sieht so aus:

 

[Nilson]

Die 172.17.X.X sind private IPs. Damit bist du da noch im Netz des Providers unterwegs.
Das mit dem klären und/oder versuchen ob du Zugriff über IPv6 einrichten kannst.

 

[chrigu]

Beim Provider dualstack erfragen. So kannst du openvpn weiter nutzen mit IPv4.

 

[Nilson]

Die Hops mit den 172.17.X.X. Adressen deutet für mich eher auf CG-NAT als auf DS-Lite hin. Dual-Stack hilft ihm da nicht bzw. könnte er jetzt schon haben.
@SaxnPaule was wird dir hier angezeigt:
https://ipv6-test.com/ (Adressen ggf. schwärzen)

 

[Bob.Dig]

Was auffällig ist, die öffentliche IP, die mir im Router angezeigt wird, entspricht nicht mehr der IP, die ich sehe

Welche IP wird dir denn dort angezeigt?

 

[SaxnPaule]

@SaxnPaule was wird dir hier angezeigt:

Welche IP wird dir denn dort angezeigt?

Im Router: 100.123.1*.**
WieIstMeinIp: 77.64.2*.**

 

[Bob.Dig]

Im Router: 100.123.1*.**

Also CG-NAT. Das hat Pyur schon früher genutzt. DS-Lite findet man eher beim VDSL.

 

[Nilson]

Da kann dir nur der Provider helfen, ohne IPv6 hast du kein direkten Weg zu dir.
Oder du mietet dir einen vServer und baust "von innen nach außen" ein VPN auf. Dann kannst du über den Server ins Heimnetz.

 

[SaxnPaule]

Ich habe IPv6 jetzt mal im Router aktiviert:

Aber HILFE!!! Jetzt bekomme ich Werbung. Da wird dann wohl mein PiHole umgangen. Anderes Thema.

 

[Nilson]

Ja, IPv6 macht das Thema nicht einfacher
Aber jetzt könntest du immerhin versuchen über IPv6 die VPN-Verbindung auf zu bauen.

 

[Raijin]

Was auffällig ist, die öffentliche IP, die mir im Router angezeigt wird, entspricht nicht mehr der IP, die ich sehe wenn ich auf "wieistmeineip.de" gehe. Bis letzte Woche waren diese immer identisch.

Kann es sein, dass ich auf DS-Lite oder sowas umgestellt wurde?

Im Router: 100.123.1*.**
WieIstMeinIp: 77.64.2*.**

100.64.0.0/10 ist der für CGN reservierte Bereich. Diese IP-Adressen werden im www genausowenig geroutet wie die privaten Bereiche wie 192.168.0.0/16, 172.16.0.0/12 und 10.0.0.0/8. Daher existieren sie nur im "lokalen" Netzwerk deines Providers für dessen Kunden. Bei wieistmeine.ip siehst du daher nur die IP des großen Gateways beim Provider.

 

[SaxnPaule]

Sehr cool. Mit Wireguard konnte ich jetzt eine VPN Verbindung herstellen. Problem solved!

Jetzt muss ich nur die Werbung wieder wegbekommen. Ist ja nicht auszuhalten.

 

[Raijin]

Ich würde dennoch mal beim Provider nachhaken. Einfach so kommentarlos den Anschluss umstellen, gehört sich nicht. VPN-Verbindungen nach Hause sind heutzutage nichts besonderes mehr und deswegen ist es gar nicht so unwahrscheinlich, dass ein Kunde durch die Umstellung beeinträchtigt wird. Schließlich hat nicht jeder so eine Community im Rücken wie du @SaxnPaule und kann sich selbst helfen bzw. helfen lassen

 

[SaxnPaule]

Ja, Anfrage läuft. Aber ich erwarte mir da nicht wirklich eine Antwort. Hat mich ja auch zwei Wochen Zeit und Nerven gekostet bis ich meinen Router endlich im Bridge Mode hatte.

Edit: Auch lustig. Ich bekomme polnische Werbung aufgrund meines sehr östlichen Wohnortes^^ Das hatte ich bisher noch nie

 

[Raijin]

Dann solltest du deinen Nickname vielleicht in SaxnPole ändern
(Disclaimer: Ein nicht diskriminierend gemeinter Wortwitz)

Wie ist dein pihole denn eingebunden? Lokal nur über IPv4 oder auch IPv6? Ich gehe davon aus, dass dein PC gerade per IPv6 DNS macht und dies an den Router und nicht an pihole schickt, weshalb der DNS-Query anschließend vom Router zum Provider-DNS geht, mit Werbung.

 

[Bob.Dig]

Einfach so kommentarlos den Anschluss umstellen, gehört sich nicht.

Mich wundert eher, dass es bei Pyur überhaupt je anders gewesen sein soll.

 

[SaxnPaule]

Dann solltest du deinen Nickname vielleicht in SaxnPole ändern

Bis Polen sinds noch 3km. Passt also nicht ganz

Wie ist dein pihole denn eingebunden? Lokal nur über IPv4 oder auch IPv6?

Pihole selbst ist für v4 und v6 konfiguriert.

Allerdings werden die v6 Requests scheinbar nicht an den passenden Docker Container durchgereicht. Das scheint mit Docker v3 auch nicht so ganz trivial zu sein.

Die Frage ist auch, welche v6 IP ich im Router eintragen muss. Die vom Docker Host?

Ich gehe davon aus, dass dein PC gerade per IPv6 DNS macht und dies an den Router und nicht an pihole schickt

Richtig, daher muss ich es im Router auf den pihole umbiegen. DHCP wird vom Router gemacht.
Aber auch da kann ich leider nur einen v4 DNS eintragen für die pseudostatische Zuweisung.
Beispiel:

Für die automatische, allgemeine Zuweisung sollte der Screenshot oben drüber greifen.

Mich wundert eher, dass es bei Pyur überhaupt je anders gewesen sein soll.

Kommt scheinbar darauf an, wessen Netz Pyur übernommen hat (Primacom, Tele-Columbus, ...). Funktionierte jedenfalls 2 Jahre problemlos.