1&1 stellt derzeit DSL-Anschlüsse auf IPV6 mit DS Lite um

Das betrifft jetzt nicht direkt Freifunk, aber vieleicht spart die Info jemandem die eine oder andere Stunde Supportleistung:
Ich betreue mehere DSL-Anschlüsse, die u.a. über 1&1 gebucht sind.
Über diese Anchlüsse laufen IPSec-VPN´s, die mit FritzBoxen realisiert sind. Eine Seite hat dabei eine Feste IP zur Tunneleinwahl, die andere ist ein ganz normaler DSLer mit wechselnder IP. Das funktionierte bis vor kurzem prima.

Seit dem die Anschlüsse jeweils vom Provider auf DS-Lite umgestellt wurden, ist’s Schluss mit FritzBox-VPN. Die Tunnel werden zwar sauber und ohne Fehler verbunden, jedoch können keine Daten übertragen werden.

Wenn also ein FritzBox-VPN plötzlich nicht mehr funktioniert, könnte der Anschluss auf DS Lite umgestellt worden sein.

Eine Problemlösung konnte ich nicht finden. Mit DS Lite kommt das Fritz-VPN wohl einfach nicht klar.

1 „Gefällt mir“

Die werden doch beidseitig beider Fritzboxen konfiguriert? Mag das daran liegen, dass die Stationen gegenseitig eine öffentliche IPv4 benötigen? und sich per DynDNS auf die neue IP umstellen? Anders kann ich ja in solch einem Fall nur als Client auf einen VPN mit öffentlicher (statischer) V4 zugreifen.

Das hast du ja bei DS Lite nicht mehr, sondern wie im Mobilfunk eine aus 10.0.0.0/8
Ich könnte den SSH zuhause auch nicht mehr erreichen, wenn ich keine Public V4 mehr hätte.

zu dynamic IPv4
Die Telekom jedenfalls hat es so, dass die dynamische V4 sich nicht alle Tage ändert, zumindest nicht wenn man es nicht im Router einstellt und den Router nicht neustartet (VoIP Anschlüsse)
So bin ich nun seit ca. 30 Tagen mit der ein und der gleichen IPv4 erreichbar.
Ändern tut sie sich nur durch einen Fehler, resync oder einen Stromausfall, Verlieren der Verbindung des Routers, gewollter Reconnect usw.
Oder nach einem gewissen Turnus den die Telekom evtl festgelegt hat. (der jenseits weit weg von der 24h Zwangstrennung liegt)

Und wenn sie sich mal geändert hat (normal macht man dafür ja dynamisches DNS) … kann ich immernoch einen SSH auf FF-Knoten -> SSH Tunnel als Proxy und schauen welche IP ich hab.

Das war so eingerichtet, das sich die Seite mit der dynamischen IP in die mit der festen IP einwählt. Irritierend mit DS Lite ist, das der Tunnel sich ganz normal aufbaut, aber die Nutzdaten dann geblockt werden.

IPSec braucht auf beiden Seiten von Außen erreichbare Ports 500 4500 und ESP. Mit DS Lite (auch auf einer Seite) funktioniert das nicht mehr. Und Fritz-VPN kommt nur mit IPV4 klar.

DS Lite kam schon unerwartet und ich habe eine Zeit gebraucht, um drauf zu stoßen.
Wenn also plötzlich Dein FritzVPN auch kapod ist, könnte DS Lite schuld sein… :wink:

Wenn eine Seite von einer dynamischen IP aus sich in eine andere Seite auf eine v4 einwählt und der Tunnel steht aber nichts drüber geht hört sich das nach einem MTU Problem an.
Habe gerade mal in die cfg der Fritzbox geschaut die man sich als Sicherung laden kann dort aber spontan nichts gefunden was in die Richtung geht das man die MTU für den Tunnel anpassen kann.
Falls es da was geben sollte kann man die config über das Webinterface sichern, anpassen und hochladen, beim hochladen muss man allerdings etwas tricksen damit die Fritzbox die neue Datei mit einer falschen Prüfsumme läd oder man muss die Prüfsumme für die Datei mit einem “tool” neu berechnen.

[edit]
Laut AVM soll aber ein Anschluss mit einer öffentlichen v4 reichen, der zweite kann dabei ds-lite sein

https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/5_VPN-Verbindung-zwischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Dazu gibt es noch dies von AVM:

https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/687_VPN-Verbindung-zwischen-zwei-FRITZ-Box-Netzwerken-kann-nicht-hergestellt-werden/

Die sollen das endlich mal für IPV6 einbauen. Kann ja nicht so schwer sein.

Ich hoffe, dass das für den Tunneldigger demnächst auch kommt, wenn jetzt das Session-ID-Problem gelöst ist.

1 „Gefällt mir“

solange man dual stack fahren kann ist alles gut. Aber es gibt nunmal auch noch Standorte an denen nicht mal IPv6 verfügbar ist. Dort liegt dann im Regelfall V4 an.
Immerhin hat man ja das natten bei V6 nicht. Ne generelle Frage:
Wie komme ich von Außerhalb auf ein in einem mit V6 fähigen Netzwerk an ein dort online auf eine V6 Gegenstelle?
Der Router scheint es zu blocken und ich finde keine Möglichkeit außer Portfreigabe. Die aber gilt für die V4-Sache.

Bei den Fritten steht das im Menü für die Portfreigabe mit drin. Von Aussen erreicht man das interne Gerät dann über dessen globaler IPV6.

interessant zu wissen, habe aber einen TP Link Archer VR900v. Eine globale V6 hat er ja auch. Wenn man’s mal testen will, nen Versuch wert. Momentan aber kein Bedarf dazu.

Aber im Freifunk-Netz dürften die mit ihrer Clienteigenen IPv6 so öffentlich erreichbar sein, oder? also wie die Router selbst.

Das habe ich selbst noch nicht getestet, aber meines Wissens sind die IPV6 der Clients öffentlich erreichbar.

Das muss man erst freischalten, aus Sicherheitsgründen. Dann geht es aber problemlos.