ComputerBase Menü
Aktuelles

VPN trotz CGNAT(Starlink) am Asus Router

V

vocaris

Lt. Junior Grade
Registriert
Mai 2020
Beiträge
316
Hallo,
ich nutzt zu Hause Starlink und habe aufgrund CGNAT somit keine öffentliche IP und kann somit nicht auf mein Netzwerk zugreifen. Den Starlink Router benutze ich nur als Modem. Mein Router ist ein Asus Router, der auch die Möglichkeit hat eine VPN Verbindung als Client oder als Server herzustellen.
Ich hatte das Thema schon mal vor einiger Zeit. Ich habe dann am Ende einen Pi mit Tailscale erstellt und damit dann den Zugriff realisiert. Nun wählt sich der PI nicht mehr ein und ich komme somit nicht mehr auf mein Netzwerk. Ich kann den PI auch nicht mittels SSH Zugang administrieren, da ich ja nicht auf das Gerät komme. (bin 3 Monate im Ausland)
Ich habe noch eine Synology im Netzwerk und wollte dan Tailscale auf diesem via Quickconnect Verbindung erstellen. Aber per QC ist das Erstellen eine Tailscale Verbindung nicht möglich. QC dient nur für den Webzugriff und um auf Bilder oder Daten zuzugreifen.
Somit nochmal die Frage. Kann ich am Asus Router irgend etwas einstellen, dass man doch von außen irgendwie zugreifen kann. Im Notfall auch nur für ein Gerät. Sei es das NAS oder der Raspberry Pi.
Wäre prima, wenn da was gehen würde.
 
Hast du DSLite oder nur eine v4 mit CGNAT?

Wenn ersteres kannst du es per ipv6 machen, brauchst halt auch ipv6 an dem Gerät, an welchem du im Ausland gerade sitzt.
 
Hallo.
Starlink verwendet standardmäßig IPv4 mit CGNAT (Carrier Grade NAT) und bietet zusätzlich einen echten IPv6-Präfix für alle Anschlüsse. Ein klassisches DSLite (Dual Stack Lite) – wie bei deutschen Kabelanbietern üblich – gibt es bei Starlink nicht.
IPv6 wird mir bei Olé nicht gegeben.
1000049800.jpg
 
vocaris schrieb:
Starlink verwendet standardmäßig IPv4 mit CGNAT (Carrier Grade NAT) und bietet zusätzlich einen echten IPv6-Präfix für alle Anschlüsse. Ein klassisches DSLite (Dual Stack Lite) – wie bei deutschen Kabelanbietern üblich – gibt es bei Starlink nicht.
Zum Vergrößern anklicken....
Das widerspricht sich aus meiner Sicht DSLite IST CG v4 plus echtes v6...

Und der Screenshot ist von dem Netz, in dem du dich aktuell befindest? Dann hast du kein v6, dann wird es nun schwer zu connecten. Am einfachsten wäre es einen Server zu mieten der natives v4 kann und zwisdhen dich und dein Netzwerk zu stellen.
 
Das mit dem Server.. Kann ich das erstellen/einstellen auch wenn ich nicht zu Hause bin? Aktuell käme ich nur auf den Asus Router. Könnte der über seine VPN Einstellungen eine Verbindung zu dem Server aufbauen, so dass ich wieder auf die interne Struktur käme? Wenn ja welchen Anbieter kann ich dafür nutzen. Brauche das dem Grunde ja nur für den kurzen Zeitraum, bis ich das Problem am PI gelöst habe oder das NAS mit Tailscale eingerichtet habe.
 
NJay schrieb:
Das widerspricht sich aus meiner Sicht DSLite IST CG v4 plus echtes v6...
Zum Vergrößern anklicken....
Naja, man kann DS-Lite natürlich auch als "IPv4 wird über CGNAT realisiert" zusammenfassen. Aber technisch ist es eben etwas anderes, weil IPv4 über IPv6 getunnelt werden muss, man also zwingend einen IPv6-Zugang braucht. Bei klassischem IPv4 über CGNAT ist das nicht der Fall, da bekommt man vom CGNAT nichts mit - außer, dass die zugeteilte Adresse aus einem privaten Adressbereich stammt.

Von daher sollte schon klar sein, was sie hier meinen.

vocaris schrieb:
Das mit dem Server.. Kann ich das erstellen/einstellen auch wenn ich nicht zu Hause bin?
Zum Vergrößern anklicken....
Ich verstehe glaube ich nicht ganz, was das Problem ist. Du kommst auf den ASUS-Router (wie genau geht das, ohne IPv6? Auch VPN über einen Drittanbieter wie tailscale eingerichtet?), aber nicht auf ein Gerät im Heimnetzwerk?
Wenn du schon auf den ASUS-Router kommst, dann klingt es für mich nicht danach, als würdest du mit einem Server irgendetwas gewinnen. Das wäre eher relevant, wenn du halt eine Art Relay brauchst, um einen IPv6-Zugang zu erhalten. Aber scheinbar hast du das Problem ja schon für den ASUS-Router gelöst (?)
Wenn du per VPN auf deinen Router kommst, dann wäre jetzt eher meine Frage, warum du nicht auch in dein internes Netz kommst. Das ist ja eigentlich der Hauptzweck von VPN im Router...
 
Denke ist genau so wie bei Deutsche Glasfaser.
Du must im Ausland eine ipv6 Adresse haben und Dein VPN muss entsprechend konfiugriert sein.
Die Mobil-Netze haben überall dual Stack, ipv4 und ipv6. Aber das muss in der APN des Smartphones auch entsprechend konfiguriert sein.
Dann kommst Du von Dual Stack immer in Dein Heimnetz. Nur von ipv4 only nicht. Das ist bei allen öffentlichen WLANs der Fall meistens.
Man kann das auch lösen, indem man 2 Heimnetze mit side by side verbindet. Eines davon muss dann dual Stack haben. Das 2. kann via ipv6 erreichbar sein.
Ich halte für solche Zwecke immer Teamviewer vor. Der geht auch, wenn überhaupt keine öffentliche ip vorhanden ist.
 
Asus bietet über seine eigene App die Möglichkeit auf die Oberfläche per App zuzugreifen. Der Router verbindet sich mit Asus Server. So wie ich z. B. auch per Quickconnect auf meine Synology Nas Web Oberfläche komme. Aber auf IP Geräte im LAN komme ich nicht.
 
Web-Schecki schrieb:
Naja, man kann DS-Lite natürlich auch als "IPv4 wird über CGNAT realisiert" zusammenfassen.
Zum Vergrößern anklicken....
Das habe ich nicht behauptet. ;)
Web-Schecki schrieb:
Aber technisch ist es eben etwas anderes, weil IPv4 über IPv6 getunnelt werden muss, man also zwingend einen IPv6-Zugang braucht. Bei klassischem IPv4 über CGNAT ist das nicht der Fall, da bekommt man vom CGNAT nichts mit - außer, dass die zugeteilte Adresse aus einem privaten Adressbereich stammt.
Zum Vergrößern anklicken....
Das ist mir klar, aber OP schrieb oben folgendes:

Starlink verwendet standardmäßig IPv4 mit CGNAT (Carrier Grade NAT) und bietet zusätzlich einen echten IPv6-Präfix für alle Anschlüsse.
Zum Vergrößern anklicken....

D.h. er hat IPv4, aber nur mit CG-NAT UND ein echtes IPv6-Präfix.
 
vocaris schrieb:
Asus bietet über seine eigene App die Möglichkeit auf die Oberfläche per App zuzugreifen. Der Router verbindet sich mit Asus Server.
Zum Vergrößern anklicken....
Verstehe.
Dann kannst du darüber natürlich (falls der Router die entsprechende Funktionalität bietet) ein entsprechendes VPN aufsetzen und hast im Grunde zwei Möglichkeiten, die hier schon genannt wurden: Entweder besorgst du dir an deinem derzeitigen Standort einen nativen IPv6-Zugang (Mobilfunk?), oder du mietest dir irgendwo günstig einen virtuellen Server und konfigurierst das VPN so, dass dieser eine Art "Relay" zwischen deinem derzeitigen IPv4-Zugang im Ausland und dem IPv6-Zugang des ASUS-Routers darstellt.

NJay schrieb:
Das habe ich nicht behauptet. ;)
Zum Vergrößern anklicken....
Dann verstehe ich nicht ganz, was genau du widersprüchlich findest.
Er bekommt Dual-Stack, aber nur mit einer privaten IPv4-Adresse, also mit CGNAT IPv4. Und das ist nunmal nicht DS-lite...
 
Web-Schecki schrieb:
Dann verstehe ich nicht ganz, was genau du widersprüchlich findest.
Er bekommt Dual-Stack, aber nur mit einer privaten IPv4-Adresse, also mit CGNAT IPv4. Und das ist nunmal nicht DS-lite...
Zum Vergrößern anklicken....
Einer von uns steht gerade auf dem Schlauch, vielleicht bin es auch ich :D

Also er sagt er hat eine IPv4 per CG-NAT und eine native v6 (bzw ein Präfix), aber kein DSLite. Was hat er dann? Wie differenzierst du das von DSLite? Nur ob die CG-NAT v4 per interner v4 (z.B. 172.XXX.XXX.XX) range verteilt wird oder per v4 in v6 tunnel?

Denn am Ende sollte es für die Verfügbarkeit des Heimnetzwerkes zum Internet identisch sein.
 
NJay schrieb:
Also er sagt er hat eine IPv4 per CG-NAT und eine native v6 (bzw ein Präfix), aber kein DSLite. Was hat er dann? Wie differenzierst du das von DSLite? Nur ob die CG-NAT v4 per interner v4 (z.B. 172.XXX.XXX.XX) range verteilt wird oder per v4 in v6 tunnel?
Zum Vergrößern anklicken....
Ich wurde nicht angesprochen, aber ja, im Grund könnte man es so zusammenfassen.

DS-Lite sagt nur aus, dass man keine native IPv4-Verbindung zum ISP hat (nur zum ISP, es sagt nichts über die Verbindung zum Internet aus!). Deshalb müssen die IPv4-Pakete in IPv6-Pakete verpackt werden und über die IPv6-Verbindung versendet werden.

Bei CG-NAT hat man eine native IPv4-Verbindung zum ISP. Wenn der ISP die IPv4-Adressen nach RFC 6598 vergibt, werden die Kunden eine IPv4-Adresse aus der Range 100.64.0.0/10 erhalten.

Die beiden Techniken werden gerne miteinander verwechselt/vermischt, weil die Konsequenzen für die Kunden identisch sind: Mehrere Kunden teilen sich eine öffentliche IPv4-Adresse (die vom AFTR-Gateway [DS-Lite] oder CGNAT-Gateway) und die Anschlüsse sind von außen nicht per IPv4 erreichbar.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Web-Schecki
Darkman.X schrieb:
Ich wurde nicht angesprochen, aber ja, im Grund könnte man es so zusammenfassen.
Zum Vergrößern anklicken....
Alles klar danke.
 
h00bi schrieb:
Damit hast du dann auch keine Probleme, wenn du aus einem fremden IPv4 only Netz kommst.
Zum Vergrößern anklicken....
Doch, weil die Verbindung dann nur über deren Relay-Server läuft und sehr langsam ist. Die Lösung wäre ein eigener Wireguard-Server der v4 und v6 kann und somit immer mit maximalgeschwindikgeit vermitteln kann. Oder anstatt Tailscale Nebula mit eigenem Relay-Server.
 
Kann nicht nachvollziehen dass der Tailscale Relay Modus "sehr langsam" sein soll. Für den Upstream von Starlink reichts meiner Meinung nach. Ist ja nicht so, dass da ein dicker Glasfaseranschluss wäre. Und der Relaymodus ist ja nur in Sonderfällen relevant.

Das einzige Manko beim Anbieter Tailscale ist das "users" Limit im Free Tarif, also 3 gleichzeitig aktive Verbindungen. Aber i.d.R. hat man den Router, das Handy und dann vielleicht noch ein Notebook oder ein zweites Handy.

Ich würds ganz einfach davon abhängig machen, ob der vorhandene Router Tailscale kann und dann einfach testen. Wenn man es per single-sign-on einrichtet, dauert es keine 3 Minuten.
 
Zuletzt bearbeitet:
Hallo zusammen und zurück zu meinem Problem.
Jetzt habe ich mir die Arbeit gemacht und von Unterwegs eine kostenfreien VPS mit Ubuntu eingerichtet.
Habe also eine feste IP und auf dem VPS habe ich Wireguard installiert. Habe dann einen Client erstellt und die CFG geladen.
Auf meinen Asus Router komme ich per Asus App drauf. Dort habe ich VPN Fusion mit WG eingerichtet und die CFG eingeladen. Der Ganze verkehr Verkehr des Router geht nur über den VPS.
Auf dem WG Front End des VPS sehe ich, dass eine Verbindung besteht. Habe dann einen weiteren Client auf dem VPS für mein Notebook erstellt. Auch das Notebook hat eine Verbindung zum VPS.
Anfragen an eine IP im heimischen Netzwerk bleiben aber leer.
Auf dem VPS habe ich mich mit Terminal angemeldet und dort einen Ping auf mein Heim IP ausgeführt. Auch hier leider nix.
Nun besteht ggf. das Problem, dass der Router den eingehen Verkehr nicht an die internen Geräte weitergibt.
In der ASUS Router App finde ich aber leider keine Funktion, das zu aktivieren. Auch ist dort der Bereich Firewall nicht vorhanden. Die App kann sehr wahrscheinlich nicht alles.
Wie bekomme ich den Router denn nun dazu, den "Verkehr" nach innen zuzulassen?
Ich verzweifel...
Der Asus Router ist übrigens ein RT-AX88U Pro
 
Das sind die Daten der CFG, die ich im ASUS VPN Fusion eingelesen habe:

[Interface]
PrivateKey = GEÄNDERT
Address = 10.8.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = GEÄNDERT
PresharedKey = GEÄNDERT
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 0
Endpoint = GEÄNDERT:51820
 
Ok das ist das VPN, wie sieht das Routing aus?

Die Kisten müssen doch wissen, wie die Netzwerkpakete durch das VPN, zu den jeweiligen Geräten kommen sollen........

Führe mal eine Routenverfolgung durch, nutze dafür (Windows) tracert, (Linux) traceroute, poste die Ergebnisse in das Forum.

CU
redjack
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

V
  • Gesperrt
Starlink...CGNAT..IPv6 nutzen
Antworten
5
Aufrufe
1.481
Zensai
Zensai
Nultsch
VPN für Starlink und Port Freigabe
Antworten
5
Aufrufe
1.299
Azghul0815
Azghul0815
C
VPN Server Location auf ASUS Router wechseln
Antworten
2
Aufrufe
564
Cienfuegos24
C
A
Asus Router an FritzRepeater anschließen, VPN nutzen
Antworten
12
Aufrufe
1.078
chrigu
chrigu
stifman2k
Einrichtung einer Static IP Route zwischen FritzBox und Asus Router?
2
Antworten
28
Aufrufe
8.683
Tanzmusikus
Tanzmusikus
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz