GL.Inet Router mit dedizierter IP von aussen nicht erreichbar.

[Syntax_Error]

Hallo allerseits,

ich habe hier einen VPN-Router von GL.Inet mit der Bezeichnung GL-AXT1800 hinter einer Fritzbox 7412, der via Wireguard mit einem VPN-Anbieter verbunden ist und eine dedizierte IP-Adresse hat. Funktioniert einwandfrei.

Ich möchte nun den Router von ausserhalb via Mobilfunk erreichen. Laut der englischen Anleitung muss ich zunächst schauen, ob ich eine statische IP von meinem Internetprovider (in dem Fall also der VPN-Anbieter) erhalten habe. Schaue ich in die WAN-Einstellungen von dem Router sehe ich da aber nicht die öffentliche IP sondern nur eine IP 192.168...., wahrscheinlich die von der Verbindung mit der Fritzbox.

Hat jemand eine Idee wie man da vorgehen muss ?

Beste Grüße

 

[xxMuahdibxx]

Na hinter welcher öffentlichen IP sitzt denn der VPN Router... Die von der Fritzbox..

Und im VPN Router wird die auch bestimmt als Gateway eingetragen sein...

Durch VPN erhälst du doch keine andere neue IP.

 

[riversource]

Doch, natürlich erhält die VPN Verbindung eine eigene IP. Aber die ist natürlich nicht in den WAN Einstellungen zu sehen.

Die Frage ist: Welche IP ist es? Das ist vielleicht im Frontend des GL.I Routers zu sehen, auf jeden Fall aber auf der Konsole. Ich wage aber zu bezweifeln, dass es eine öffentliche IP ist, über die man den Router von außen erreichen könnte. Was für ein VPN Tarif ist das denn?

 

[eigs]

Dein Router hat mindestens 2 IP Adressen. Die am Netwerkinterface und die von WireGuard.
Die von WireGuard steht im config file. Allerdings könnte das trotzdem eine private IP Adresse sein, manche VPN Anbieter setzten das nämlich mit einem exposed Host (Weiterleitung aller Ports) um.

 

[xammu]

Dein GL Router muss vom Anbieter eine öffentliche IP bekommen, diese muss der Anbieter auch auf deinen Router weiterleiten und das bezweifele ich.

Der Router wird eine interne private IP bekommen.
irgendwas mit 10./172.16-31./192.168. am Anfang.

Was du prüfen musst ob dein Anbieter es anbietet bestimmte oder alle Ports weiterzuleiten.

Wenn ich auf meine Technik will, dann spreche ich mit meinem VPN Server und der schickt die Anfrage dann per VPN rückwärts zum entsprechendem Gerät. Aber das muss ich dem Server auch sagen was er machen soll.

 

[Syntax_Error]

Also diese feste IP die ich erhalte ist auch in der Wireguard Config-Datei enthalten. Es ist wie gesagt eine feste, eigene IP wo alle Ports offen sind und weitergeleitet werden.

 

[riversource]

Nur weil es eine feste IP ist, heißt das ja nicht, dass es auch eine öffentliche IP ist.

 

[Syntax_Error]

Ein IP-Check unter
myip.is
bestätigt das aber. Ich erhalte immer diese eine, feste öffentliche IP nur für mich alleine.

 

[redjack1000]

Ein IP-Check unter
myip.is
bestätigt das aber.

Ja dann, muss auch gehen, es sein denn

-eine Firewall blockt?
-es ist die falsche IP?

Cu
redjack

 

[riversource]

Der Test ist nutzlos, denn der zeigt dir nur die Exit IP des Routers beim VPN Anbieter an. Auch wenn dein Router eine private IP bekommen hat, würde da immer das gleiche stehen.

Was hindert dich daran, es einfach direkt auf dem Router nachzusehen?

 

[chrigu]

Normal bei mobilen Internet ist cgn/ds-lite, das heisst du sitzt hinter einem providerrouter und hast keine öffentlich zugängliche ipv4.
versuche mal andersrum zu verbinden. Also vom ziel wireguard zu dir.
auch wichtig: dein Netzwerk darf nicht dasselbe subnetz haben wie das andere. Zweimal 192.168.178.x (Netzwerk a und b) geht nicht.
versuch es mit ipv6. Anleitungen gibt es zuhauf und würde Gcn/ds-lite umgehen

 

[riversource]

Normal bei mobilen Internet ist cgn/ds-lite, das heisst du sitzt hinter einem providerrouter und hast keine öffentlich zugängliche ipv4.

Er versucht sich doch gar nicht zum Mobilfunk zu verbinden.

auch wichtig: dein Netzwerk darf nicht dasselbe subnetz haben wie das andere. Zweimal 192.168.178.x (Netzwerk a und b) geht nicht.

Von 2 Fritzboxen war auch nie die Rede.

versuch es mit ipv6. Anleitungen gibt es zuhauf und würde Gcn/ds-lite umgehen

VPN Anbieter mit IPv6 gibt es bislang nicht.

Hast du auch nur ein Wort von dem verstanden, worum es hier geht?

 

[eigs]

Also diese feste IP die ich erhalte ist auch in der Wireguard Config-Datei enthalten.

Steht unter Interface Address oder Peer Endpoint?

Normal bei mobilen Internet ist cgn/ds-lite, das heisst du sitzt hinter einem providerrouter und hast keine öffentlich zugängliche ipv4.
versuche mal andersrum zu verbinden. Also vom ziel wireguard zu dir.

Das mit CG-NAT weiß er bereits, deswegen auch der VPN Tunnel.
Und eine Verbindung in die andere Richtung klappt nicht ohne öffentliche IP Adresse.

 

[Syntax_Error]

Steht unter Interface Address oder Peer Endpoint?

Steht unter Endpoint.
Kann es eventuell sein, dass ich den Wireguard UDP-Port in der Fritzbox öffnen muss ?

Kann ich hier leider nicht auf die Schnelle testen, da die Fritzbox nur als Modem dient und ich da nur per Netzwerkkabel drauf komme um was ändern zu können.....

 

[eigs]

Steht unter Endpoint.

Dann ist die IP Adresse dir nicht direkt zugeteilt sondern das ist die IP Adresse zu dem VPN Server zu dem sich dein Client verbindet und schlussendlich damit ins Internet geht.

Deine IP Adresse steht unter Address. Der VPN Server müsste dann eine Portweiterleitung auf deine interne Adresse machen damit das funktioniert.

 

[Syntax_Error]

Unter: Interface - Address steht die selbe Adresse (IP) wie unter Endpoint.

Ergänzung (26. November 2023)

Sorry....Fehler meinerseits !

Unter Peer - Endpoint steht in der Config-Datei fast die selbe IP. Bis auf die letzte Zahl die gleiche wie unter Interface - Address

Beispiel:
[Interface]
Address = 111.111.111.100/32

[Peer]
AllowedIPs = 0.0.0.0/0
Endpoint = 111.111.111.90:8870
PersistentKeepalive = 25

Die IP unter Interface ist meine öffentliche IP.

 

[riversource]

Kann ich hier leider nicht auf die Schnelle testen, da die Fritzbox nur als Modem dient

Als Modem oder als Router?

Die IP unter Interface ist meine öffentliche IP.

Und die ist dann auch aktiv auf dem Interface? Kannst du darüber pingen? Wir diskutieren seit 3 Stunden, und das Nachsehen dauert 1 Minute. Mir ist ein Rätsel, warum du das nicht einfach machst.

Was ich über den KDDI Service lese, liest sich eher wie ein Business Angebot für professionelle Nutzer. Mit GLI Routern hinter Fritzboxen hat das irgendwie nichts zu tun.

 

[eigs]

Die IP unter Interface ist meine öffentliche IP.

So soll es sein. Dann hast du kein CG-NAT und solltest eigentlich schon direkt mit der IP Adresse erreichbar sein sofern das keine Firewall blockiert.

 

[Syntax_Error]

Das Komische ist bloß, dass ich im GL-Router laut GL.Inet Anleitung eigentlich diese IP sehen müsste.

https://docs.gl-inet.com/router/en/3/tutorials/how_to_check_if_isp_assigns_you_a_public_ip_address/

Dort sehe ich aber nur die Verbindung zur Fritzbox, die als DSL-Modem dient.

 

[eigs]

Das Komische ist bloß, dass ich im GL-Router laut GL.Inet Anleitung eigentlich diese IP sehen müsste.

Das ist für das WAN Interface. Die IP Adresse für WireGuard steht beim WireGuard Client.
https://docs.gl-inet.com/router/en/3/tutorials/wireguard_client/