Lösungen für Externen Zugriff (VPN, Port-Mapper, Tunnel, etc.)

[huy]

Da ich in wenigen Wochen nach 1 1/2 Jahren endlich meinen Glasfaser-Anschluss nutzen kann beschäftige ich mich zur Zeit mit dem Thema "Zugriff von Außen auf das interne Netz".

Bei NetCologne habe ich noch eine IPv4 bekommen und der Zugriff war kein Problem, da ja alle Endgeräte IPv4 unterstützen. Leider gibt es bei der DG keine öffentliche IPv4 mehr, sondern nur noch eine IPv6 bzw. eine ganze Menge davon. Klar, IPv4 wird durch IPv6 abgelöst, aber bis sich das durchgesetzt hat kann es noch eine ganze Weile dauern. Zur Zeit bietet im Mobilnetz z.B. nur T-Mobile IPv6 an.

Wer von euch ist überhaupt betroffen, bzw. wer hat überhaupt den Bedarf, sein Rechner/Kamera/Server/etc. von außen zu erreichen?

Ich selber habe folgende Möglichkeiten recherchiert:

- bei der DG einen Business-Vertrag abschließen und IPv4 bekommen (Nachteil: mindestens 200€/Monat)
- Portmapper-Dienste wie feste-ip.net einsetzen (ab 5€ im Jahr für 12 Ports)
- vServer mieten und eigenen Port-Mapper aufsetzen (ab 3-4€ / Monat)
- vServer mit Reverse-VPN Tunnel aufsetzen (ebenfalls ab 3-4€ / Monat)
- vServer mit Reverse-SSH Tunnel aufsetzen (ebenfalls ab 3-4€ / Monat, Anmerkung: sehr performant aber nicht transparent)

Welche Lösungen habt ihr so dafür gefunden?

[JR__]

Hi Huy.

Ich stehe vor dem gleichen Problem. Derzeit bietet mir NetCologne DualStack, und mein Vodafone-Datenzugang unterstützt nur IPv4. Ich stehe auch vor der Frage: Wie erreiche ich bei Glasfaser mit VPN mein Netz.

Ein Kollege hat mich auf eine Idee gebracht: Derzeit nutze ich AVMs DynDNS von der Fritzbox. DynDNs selber werden wir voraussichtlich unter IPv6 nicht mehr brauchen, was aber bleibt ist die Fritzbox DNS. Die sollte via IPv4 und IPv6 erreichbar sein. Wie ich mir daraus etwas wie einen Portmapper zurecht biegen kann, habe ich mich noch nicht weiter beschäftigt. Bei AVM scheint es dazu Anleitungen zu geben, aber die Seiten sind aktuell im Wartungsmodus...

Gruß
Jürgen

[huy]

Ja, glücklicherweise sind die IPv6 Präfixe der DG quasi statisch und ändern sich nicht (zumindest bisher nicht) laut Aussagen. Mit einem IPv6 Endgerät kannst du dann auf die Dienste zugreifen, wenn die in der Fritzbox die Ports freigeschaltet hast.

Dumm nur, wenn man IPv6 deaktiveren muss, wenn AVM das Problem nicht behoben bekommt:
viewtopic.php?f=6&t=1080&p=2889#p2885

Für mich sehe daher zeitnah nur die Lösung mit vServer und einem Reverse-Tunnel.

Übrigens habe ich bereits jetzt mit NetCologne auch IPv6 deaktiviert, da sonst die OpenVPN Verbindungen warum auch immer ewig dauern.

Ich bin mal gespannt, in 2-3 Wochen werde mal verschiedene Ansätze probieren.

[Lamath]

Sorry ich muss mal dumm nachfragen. Ich brauche doch die IPv4 nur um über VPN von außen auch mein Heimnetz sprich meine Fritzbox zuzugreifen, richtig.

D.h. wenn ich von zu Hause über VPN mich mit meiner Firma verbinden will ist das egal? Oder gibt es dabei dann auch ein Problem?

[huy]

Sorry ich muss mal dumm nachfragen. Ich brauche doch die IPv4 nur um über VPN von außen auch mein Heimnetz sprich meine Fritzbox zuzugreifen, richtig.

D.h. wenn ich von zu Hause über VPN mich mit meiner Firma verbinden will ist das egal? Oder gibt es dabei dann auch ein Problem?

Die Frage ist absolut berechtigt und nicht dumm

Die Sache mit der öffentlichen IPv4 Adresse ist nur relevant für extern eingehenden Verbindungen. Ausgehende VPN Verbindungen sind überhaupt kein Problem. Somit sollten VPN Verbindungen woandershin (Arbeit, Kunde, etc.) kein Problem sein.

[JR__]

Die Frage ist, ob Deine Firma auch über IPv6 erreichbar ist. In meinen Fall ist das gewährleistet..

[huy]

Die Frage ist, ob Deine Firma auch über IPv6 erreichbar ist. In meinen Fall ist das gewährleistet..

Hmm, das wäre dann blöd, wenn es davon abhängig ist, sollte eigentlich nicht sein. Unsere Firma hat definitiv (noch) kein IPv6. Mal schauen, ob es mit Outbound IPv4 Traffic Probleme gibt.

[huy]

Ich habe mir jetzt einen einfachen vServer bei netcup.de für 36€ im Jahr bestellt. Damit kann ich verschiedene Szenarien testen und für mich die beste Option dann umsetzen.

Schade dass die DG keine IPv4 gegen Aufpreis anbietet (Außer natürlich den Business Angeboten ...)

[huy]

For the record:

Da bei uns keine Probleme mit IPv6 mit der Fritzbox zu erwarten sind, kann man einen Port-Mapper Dienst einsetzen wie feste-ip.net. Allerdings müssen die Endgeräte dann IPv6 unterstützen.

Ich selber verwende Reverse SSH Verbindungen über IPv4, damit klappen die meisten Dienste (allerdings nur TCP).

[JR__]

Hi Huy.

Danke für die Info. Was meinst Du mit Endgeräte (die IPv6 unterstützen müssen)? Der Router / das Gateway? Oder die angesprochenen Netzelemente im eigenen "LAN"? Ich plane mein LAN vom Internet zu entkoppeln, und am besten als IPv4 LAN weiter zu betreiben. Siehst Du hier ein Problem? Würde erwarten, dass der Router ebenfalls wie ein Portmapper agiert. Nur für VPN muss ich mir etwas überlegen: Der Raspi wird dann nicht mehr über Router IPv4 und Port 1394 ansprechbar sein. Was macht der Portmapper? Der führt doch simpel gesagt nur eine Datenbank mit IPv4 und der zugeordneten IPv6, oder? Oder gehen die Daten über den Portmapper und bekommen zusätzlich die IPv6 mit an die Datenpakete angehangen? Mit IPv6 gibt es weiter Ports - damit müsste der Router doch richtig auf meinen Raspi weiter mappen. oder?

Gruß
Jürgen