Nach Umstellung auf 6591 probleme mit externem Zugriff eines bestimmten Anschlusses

[caral]

Guten Tag zusammen,

ich habe seit nun gut 3 Wochen eine neue Fritzbox 6591 (vorher 6490, auch Leihgerät) von Vodafone. Seit der Umstellung auf diese habe ich das Problem dass ich von einem Internetanschluss (meiner Großmutter) keine Verbindung auf meine Geräte herstellen kann (verschiedene Portfreigaben), zwischenzeitlich habe ich auch gegengeprüft und ich kann mich auch nicht von meinem Netzwerk zu ihr verbinden.
Ca. 10 weitere "Anschlüsse" können sich ohne Probleme verbinden.

Bei dem Anschluss meiner Großmutter handelt es sich ebenso um einen Vodafone Kabel Vertrag. Auch hier wurden bereits 2 Router getestet, die alte Connect Box und die Vodafone Station.

Völlig unerheblich auf welches Gerät und über welchen Port ich zugreifen möchte, es wird keine Verbindung hergestellt.
Mit der alten 6490 gab es keine Proleme dieser Art.
Ich habe einen IPv4 Anschluss, sodass mögliche DS-Lite probleme ausgeschlossen sein sollten(?)

Von Vodafone habe ich den Hinweis bekommen dass ein Problem mit der 7.22 Firmware der Fritz bekannt ist und ich solle bis zum 16.09 geduldig sein wenn die 7.26 freigegeben wird.
Da mir das zu lange dauert habe ich in der Zwischenzeit noch folgende Versuche vorgenommen:

-Die Fritzbox in den "Modemmodus" versetzt, einen Router besorgt und eingerichtet, selbes Ergebnis.
-Eine Fritzbox 6660 Cable besogt und provisionieren lassen. Frimware 7.26 & 7.28 getestet. Auch hier, exakt das selbe Ergebnis.

Mit Teamviewer kann ich eine Verbindung zwischen Geräten herstellen.


Hat hier vielleicht jemand eine Idee woran es liegen könnte, ich bin mit meinem Latein am Ende, habe keine Idee was ich noch testen könnte und von Vodafone kann man leider absolut nichts erwarten.

Grüße im Voraus

 

[hildefeuer]

Du betreibst also Side by side VPN mit verschiedenen Clients. Deine Großmutter wird DS-Lite haben. Dann geht kein side by side vpn. Weil Du nicht auf die Router dort kommst, eben wg. DS-Lite dort . Anders herum klappt das. Wenn Deine Großmutter das VPN als Client aufbaut zu Dir funzt es, weil Du ja ipv4 Zugang hast.
Aber man kann das leicht testen und auch aus der Entfernung mit Teamviewer klären. Also Großmutter muss Teamviewer installieren. Das macht man am besten per E-Mail mit Link wo sie nur draufdrücken muss.

 

[caral]

Es geht hier nicht nur um VPN. Egal welche meiner Freigaben (Jellyfin, WireGuard, HTTP Server,..).
Wie gesagt, die Verbindung klappt in keine der beiden Richtungen. und bis zur Umstellung von der 6490 auf die 6591 hat auch alles geklappt.
Die Verbindung von mir zu benötige ich prinzipiell nicht und wurde nur zum testen aufgebaut. Da sie einen sehr alten Vertrag aus KabelBW Zeiten hat hat sie auch noch eine reine IPv4. Also auch das ist nicht das Problem.


Die meisten Kollegen die sich verbinden können sind auch bei Vodafone im Kabelnetz und vermutlich alle mit DS-Lite angeschlossen. Mir geht es hier hauptsächlich um die Verbindung in mein Netz.

Ein guter einwand mit dem Teamviewer, hätte ich mit in die Eröffnung nehmen sollen.
Mit Teamviewer kann ich mich von beiden Seiten verbinden.

 

[Selas]

Nur zur Sicherstellung: gab es eventuell eine Vertragsanpassung mit der Änderung des Leihgeräts? Hat der Ansschluss sicher eine eigene IPv4? Mittlerweile kostet die bei Vodafone einen Aufpreis oder ist den Business-Tarifen vorbehalten.

 

[blackbirdone]

Ipv4 gibs nurnoch mit Business Vertrag und nur gegen Aufpreis IM Business Vertrag. Wenn du keinen hast, hast du leider kein IPV4.

Mit teamviwer geht es natürlich weil du dann ein Relais dazwischen hast.

Verbinde doch mal mit IPV6 Adresse? IPV4 brauchst du ja eigendlich sowieso nicht.

 

[caral]

Ich habe einen Businessvertrag, meine alte statische IP seit Jahren, diese im Rahmen der Umstellung der Fritzbox auf den Modemmodus (nicht ganz korrekt ausgedrückt vermutlich, es gibt die möglichkeit sich die Funktion freischalten zu lassen auf LAN Port 2-4 die Routerfunktion zu deaktivieren) eine neue statische IP zugewiesen bekommen. Jetzt nach der Umstellung auf die eigene Box habe ich eine dynamische IP, aber DuckDNS eingerichtet, hier funktioniert auch alles.

Und wie gesagt, als bestandskunde im ehem. KabelBW Netz gibt es die möglichkeit bei der IPv4 zu bleiben, wenn auch ab und an etwas umständlich.

Es ist ja recht vermutlich kein allgemeines Problem da es nur an einer von 10+ getesteten Verbindungen besteht

 

[Selas]

Ist ja schön, dass du einen Businessvertrag hast, nur wenn deine Großmutter keinen hat und um den Anschluss geht es ja, nützt das alles nichts.
Bitte prüfe doch einfach nach, ob an dem Anschluss deiner Großmutter echtes Dual Stack oder Dual Stack Lite vorliegt. Ob es möglich war/ist im ehemaligen KabelBW-Vertrag die IPv4 zu behalten oder nicht, tut nichts zur Sache. Erstmal muss der Ist-Zustand geklärt werden.

 

[caral]

Okay, ich habe mich schlecht ausgedrückt. Um das nochmal klar zu stellen, es geht darum auf mein Heimnetz zuzugreifen. Die Freigabe auf ihrer Seite habe ich nur zum testen eingerichtet.
Meine Großmutter hat Dual Stack. Ich kann ja auch Problemlos von anderen Netzen auf Ihres zugreifen, über IPv4.
Meines Wissens sollte es ja aber auch keine Probleme geben mit einem DS-Lite Anschluss auf ein IPv4 Anschluss zuzugreifen, richtig?

Ich gehe auch stark davon aus dass die meisten wenn nicht alle der sonstigen Kollegen (die Vodafone Kabel Kunden davon) mit denen ich es getestet habe DS-Lite haben.

 

[Selas]

Jo, war vielleicht etwas missverständlich, bzw. nicht ganz deutlich.

Meines Wissens sollte es ja aber auch keine Probleme geben mit einem DS-Lite Anschluss auf ein IPv4 Anschluss zuzugreifen, richtig?

Doch, das birgt große Schwierigkeiten, da du mit DS Lite eine geteilte IPv4 hast, die nicht nur für deinen Anschluss persönlich ist. Das geht so nicht.
Gelesen und im Kopf verdreht, ist natürlich nur andersherum ein Problem.
@andy_m4 hat da natürlich Recht.

 

[andy_m4]

Doch, das birgt große Schwierigkeiten, da du mit DS Lite eine geteilte IPv4 hast, die nicht nur für deinen Anschluss persönlich ist. Das geht so nicht.

Ähm nein. Umgekehrt ist es so wie Du es sagst. Also von einem öffentlichen IPv4-Endpunkt auf eine durch NAT geteilte IP-Adresse zugreifen. Aber umgekehrt geht natürlich. Sonst könntest Du ja von solchen Anschlüssen auch viele Internetseiten gar nicht erreichen.

Ergänzung (11. September 2021)

ich habe seit nun gut 3 Wochen eine neue Fritzbox 6591 (vorher 6490, auch Leihgerät) von Vodafone. Seit der Umstellung auf diese habe ich das Problem dass ich von einem Internetanschluss (meiner Großmutter) keine Verbindung auf meine Geräte herstellen kann, zwischenzeitlich habe ich auch gegengeprüft und ich kann mich auch nicht von meinem Netzwerk zu ihr verbinden.

Wie verbindest Du Dich denn genau?
Wo liegt der VPN-Endpunkt bei Dir?

 

[caral]

VPN läuft per WireGuard über einen RaspberryPi. Ich verbinde mich per Laptop oder 2 Androiden.
Bin ich z.B. per LTE Verbunden klappt die VPN Verbindung auf Anhieb, genauso kann ich auf meine Webserver zugreifen.
Verbinde ich mich dann mit dem WLAN und versuche die Verbindung wieder herzustellen funktioniert dies nicht.

 

[andy_m4]

Ich verbinde mich per Laptop oder 2 Androiden.
Bin ich z.B. per LTE Verbunden klappt die VPN Verbindung auf Anhieb, genauso kann ich auf meine Webserver zugreifen.
Verbinde ich mich dann mit dem WLAN und versuche die Verbindung wieder herzustellen funktioniert dies nicht.

Ich seh' nicht mehr durch. Sag doch bitte genau von wo nach wo Du Dich verbindest und wo es nicht klappt und ob es ggf. irgendwelche Logs gibt die ein paar mehr Informationen verraten.

 

[caral]

Scheinbar drücke ich mich zu schlecht aus also versuche ich es mal mit einem Bild.

Das Problem besteht in beide Richtungen.

 

[Raijin]

Prüfe bitte mal die lokalen Subnetze der Anschlüsse. Wenn auf beiden Seiten einer VPN-Verbindung dasselbe Subnetz verwendet wird, kann man nicht auf die entfernten Geräte zugreifen, weil es beim Routing einen Konflikt gibt. Im Falle von 2 Fritzboxxen gäbe es zB die 192.168.178.1 zwei Mal und wenn du die anpingst, wirst du IMMER die lokale Fritzbox erreichen, aber NIE die auf der Gegenseite. Gleiches gilt natürlich für alle anderen belegten und unbelegten IP-Adressen des Subnetzes.


Übrigens: Es ist leider immer noch nicht ganz klar ob du nun ausschließlich über eine Standort-Verbindung via VPN zugreifst oder ob du wie in #1 angedeutet etliche Portweiterleitungen eingerichtet hast. Von letzterem ist ganz klar abzuraten, wenn VPN, dann VPN all the way. Im Zweifelsfalle exponierst du nämlich Ports bzw Dienste, die das Netzwerk angreifbar machen. Also nur den/die Port(s) für das VPN weiterleiten, sonst nix.

 

[andy_m4]

Scheinbar drücke ich mich zu schlecht aus also versuche ich es mal mit einem Bild.

Ich meine in Deiner Beschreibung. Wo ist in Deinem Bild zum Beispiel das erwähnte WLAN? Wo steht der erwähnte Laptop oder die erwähnten Androiden?
Was ist mit den Logs die ich nachgefragt hatte?

 

[caral]

[...]

Es besteht kein IP Konflikt. Meine Fritz hat die .178.X, die Vodafone Station die .0.X

bzgl. VPN. Ich benutze die VPN Verbindung ausschließlich für MICH. Heißt am Handy oder Lapop wenn ich unterwegs bin. Für meine Großmutter/ Familie habe ich eine separate Portfreigabe für Jellyfin eingerichtet, da diese nicht auf mein Heimnetzwerk zugreifen müssen sondern dieser eine Dienste alles ist was benötigt wird.
Deshalb VPN für mich und separat eine Portfreigabe für Familie.

Weitere Freigaben habe ich zum TESTEN freigegeben. Und diese funktionieren auch nicht.

Ich meine in Deiner Beschreibung. Wo ist in Deinem Bild zum Beispiel das erwähnte WLAN? Wo steht der erwähnte Laptop oder die erwähnten Androiden?
Was ist mit den Logs die ich nachgefragt hatte?

Ich spreche doch seit Beitrag #1 von dem Anschluss meiner Großmutter, es geht um eben jedes WLAN. Der Laptop bzw die Androiden liegen zu dieser Sekunden neben mir, aber zum Zeitpunkt des testens sind diese natürlich auch bei meiner Großmutter.

Heißt also, ich sitze am Tisch meiner Großmutter, mein Laptop per LTE Verbunden -> Ich kann sowohl eine VPN Verbindung herstellen als auch alle Portfreigaben.
Verbinde ich meinen Laptop (oder jegliches andere Endgerät) dann per WLAN -> keine Verbindung VPN oder Portfreigaben.


Logs habe ich bis dato tatsächlich außen vor gelassen. Ich werde mal schauen ob WireGuard etwas loggt wenn ich mich versuche von meiner Großmutter aus zu verbinden, aber ich vermute da wird ja nichtmal etwas ankommen. Über die Standart Fritzbox Logs ist natürlich nichts zu finden. Wenn mir jemand einen Tipp geben könnte wie ich an die richtigen Logs kommen kann gerne her damit.

Vielen Dank schonmal an alle die sich das nur durchlesen.

 

[andy_m4]

Verbinde ich meinen Laptop (oder jegliches andere Endgerät) dann per WLAN -> keine Verbindung VPN oder Portfreigaben.

Und wo/wie ist das WLAN ans Internet angebunden? Das wird ja wohl kaum Dein heimisches WLAN sein was dann sogar bis zu Deiner Großmutter reicht. Oder vielleicht doch, weil Großmuttern nur 2 Häuser weiter wohnt?
Versuche Dich doch bitte mal präzise auszudrücken. Dann müssen wir nicht so viel raten.

 

[Raijin]

Fritzboxxen bieten im Expertenmodus ein integriertes Fenster für tcpdump. Damit müsste man sämtlichen in Frage kommenden Traffic - sei es ein- oder ausgehend - filtern können.

 

[andy_m4]

Fritzboxxen bieten im Expertenmodus ein integriertes Fenster für tcpdump.

Oftmals sogar direkt erreichbar via http://fritz.box/html/capture.html

 

[caral]

Das wird ja wohl kaum Dein heimisches WLAN sein was dann sogar bis zu Deiner Großmutter reicht.

Zugegeben, das habe ich jetzt einfach mal vorausgesetzt, wieso sollte ich denn auch in meinem eigenen Netzwerk eine Verbindung per VPN zu meinem eignenen Netzwerk aufbauen? Vielleicht hier nochmal der Hinweis dass alles wunderbar funktioniert hat bis zum tausch der Fritzbox, am Internen Aufbau hat sich absolut nichts geändert. Sie wohnt zwar tatsächlich knapp 15 Häuser entfernt, aber ich bin schon mit Ihrem WLAN verbunden.

Oftmals sogar direkt erreichbar via http://fritz.box/html/capture.html

Perfekt, vielen Dank. Auf meiner eigenen Fritzbox kann ich die Seite aufrufen. Ich werde hier mal reinschauen sobald ich die Möglichkeit habe.