Verbindung von Außen herstellen - Vodafone Kabelbox

[wasd123]

Moin!

Ich bin Kunde der Vodafone mit einer Fritzbox 6591.
Künftig würde ich gerne aus der Ferne auf zB einen im Heimnetzwerk befindlichen Raspberry Pi zugreifen wollen.

Meines Wissens nach gibt es hier das Problem bezüglich nicht öffentlicher IPv4 Adressen, die Vodafone an Privatanschlüsse auch nicht mehr rausgibt.
Ich meine dazu habe ich vor Ewigkeiten schon einmal mit damals noch Unitymedia gesprochen und seitdem dürfte ich eine öffentliche IPv4 haben.

Laut Netz lässt sich das im Online-Monitor der Fritzbox prüfen. Bei einer nicht öffentlichen IPv4 müsste der Hinweis "FRITZ!Box verwendet einen DS-Lite-Tunnel" erscheinen, was bei mir nicht der Fall ist.

Dennoch bekomme ich es nicht hin zB einen VPN-Zugang zu schalten. Mein iPhone gibt mir immer beim Verbindungsaufbau die Meldung "Der VPN-Server antwortet nicht" zurück.

Kann hier wer weiterhelfen?

 

[Crumar]

Geh mal auf https://whatsmyip.com/ und schau, ob die mit der Fritzbox übereinstimmt

 

[honky-tonk]

vll beschreibst du mal den weg wie du beide geräte eingerichtet hast...VPN und iPhone. vll findet man da den fehler. so sind aber außer dein up und downstream der FB keine hilfreichen infos vorhanden

 

[H3llF15H]

die Vodafone an Privatanschlüsse auch nicht mehr rausgibt.

Beim 1GBit-Tarif musst Du nur dort anrufen und denen sagen, dass man Dir bitte eine IPv4 zur Verfügung stellt. Klappt anstandslos.

 

[spcqike]

Alternativ, Nutz halt IPv6 Dafür ist es ja da.

 

[Kyze]

Pi richtig eingerichtet ?
Firewall am Pi offen ?
Firewall in der Fritzbox entsprechendes forwarding ?

 

[n1tro666]

DynDNS ?

 

[wasd123]

oha... okay, dann mal der Reihen nach ;o):

@Crumar
jepp, die stimmt überein

@honky-tonk
sollte eher dazu dienen, dass die Meldung "DS-Lite..." nicht angezeigt wird.

Also in der Fritzbox habe über Freigabe und VPN einen Fernzugang für einen Benutzer konfiguriert. Ich habe also einen Benutzer hinterlegt, den Zugang aus dem Internet erlaubt und für VPN aktiviert.

Im iPhone habe ich natürlich erst einmal VPN aktiviert und dann den Verbindungstyp IPsec gewählt, sowie die Serveradresse, Schlüssel und Account übernommen. Die Daten habe ich jeweils kopiert - Eingabefehler daher ausgeschlossen.

@H3llF15H
nun, müsste ja tatsächlich bereits gegeben sein

@spcqike
mhhh... gibt es hierzu ne Anleitung? ich finde überall nur den Weg über IPv4

@Kyze
noch nichts dergleichen eingerichtet. aber erst einmal müsste sich ja meine Fritzbox melden. tut sie aber nicht.

@n1tro666
habe ich tatsächlich auch am laufen. die Fritzbox (und auch der DynDNS-Dienst no-ip.biz) zeigen mir auch beide eine korrekte Kommunikation an. Soll heißen:
Die Fritzbox sagt die Verbindung steht.
DynDNS sagt dies ebenfalls und zeigt mir auch die korrekt IP im Account an.
Jedoch ist dahingehend auch noch nichts weiter konfiguriert. Eine Rückmeldung über die DynDNS oder direkt über die IP geht ins Leere

 

[eLeSDe]

also bei mir klappte die VPN geschichte direkt in/über die fritzbox seinerzeit auch nicht
wireguard auf nem rpi dahinter war dagegen tadellos

wenn man also ein 24/7 gerät außer der fritzbox hat sollte man evtl dort (probehalber) VPN einrichten

opener nochmal gelesen: willst ja eh auf deinen RPI zugreifen, also wireguard(/openvpn) direkt da druff

 

[Kyze]

Gut, habe ich dann im OP auch missverstanden, ich dachte es soll direkt zum Pi VPN'd werden und nicht an die Fritzbox. Denn dorthin sollte das nach einrichtung tatsächlich ziemlich direkt auf die IP funktionieren. DynDNS ist erstmal nur "kosmetik".

(Ich habe mit der Fritzbox-VPN eher schlechte Erfahrung gemacht und würde auch direkt an den Pi mit Wireguard oder OpenVPN gehen, anstatt die Shrewsoft-Aktion mit der Fritzbox zu machen.)

 

[spcqike]

naja, das gute an IPv6 ist ja, das NAT entfällt.

Du brauchst (und hast mit Sicherheit auch) einen eigenen IPv6-Präfix. Du brauchst intern ebenfalls IPv6, die Geräte bekommen eine IPv6 aus deinem (öffentlichen) Pool.

An der FB musst du die Firewall so einstellen, dass Anfragen an deinen Pi zum WIreguard Port durchgelassen werden. und der Pi muss halt auf die Anfragen reagieren.


Irgendwie traut sich niemand an IPv6 heran, hab ich das Gefühl ... deswegen gibt es auch wenig Tutorials dafür. Aber so kompliziert ist es nicht. Ich verstehe nicht, warum die meisten Leute an IPv4 festhalten. die Übergangslösung IPv4 NAT wird selbst 24 Jahre nach Einführung von IPv6 noch bei 50% der Leuten nativ/als Standard verwendet...
Für mich überwiegen aber die Vorteile von IPv6. Ob man NAT jetzt spürt oder nicht, sei mal dahin gestellt. Aber man hat definitiv keine Adresskonflikte mehr. Aus einem Netzwerk mit 192.168.178.0/24 heraus in das Heimnetzwerk mit 192.168.178.0/24 hinein zu kommen, ist halt nicht (einfach) möglich.

Nachtrag:
ich hab grad erst gelesen, dass du versuchst, ein VPN zur FritzBox aufzubauen und dann weiter auf den Raspberry zu gehen.
Wie andere User auch gesagt haben, würde ich ebenfalls wireguard auf den raspberry schmeißen und dann per Wireguard darauf zugreifen.

 

[chrigu]

Also ist bei ipv4 wieistmeineip.de dieselbe wie auch die fritzbox wan angezeigt wird.
Das Problem bei fritzbox: ipv4 und VPN =ja…ipv6 und VPN=nein… (Fritz VPN)

 

[Riddimno1]

Also ich vermute hier noch ganze stark einen Einrichtungsfehler. Hab schon etliche VPN für Iphones eingerichtet und das lief eigentlich immer ohne Probleme.

Geh mal in deine Fritzbox auf Internet, Freigaben, VPN und dann kannst du in der Zeile "VPN-Verbindungen zur FRITZ!Box" auf VPN-Einstellungen klicken und das Ganze nochmal kontrollieren. Außerdem stell mal am Iphone auf "IPSec Xauth PSK" um.

 

[h00bi]

ich würde erstmal verfizieren dass die Fritzbox von außen sauber erreichbar ist.
Geht am einfachsten in dem man temporär das Webinterface nach außen freischaltet oder den SSH Port 22 auf den RasPi weiterleitet.

Wenn das geht, dann muss auch Fritz-VPN grundsätzlich gehen. Wobei ich von AVM VPN und Myfritz absolut nichts halte.

 

[wasd123]

soooo... ich bin ein ganzen Schritt weiter...
@Riddimno1 Vermutung war wohl richtig, dass da irgendwas mit der eigentlichen Einrichtung noch nicht so passte. Nachdem ich nun den Benutzer und die Freigabe nochmal gelöscht und nue angelegt habe, passiert nun was.

auch konnte ich nach Portfreigabe nun auch über meine DynDNS-Adresse auf meinen PI zugreifen...

Jetzt aber ne Preisfrage ;o)
Ich habe 3 Pi´s hier Zuhause am laufen. einen für Smarthome, zwei weitere für jeweils einen 3D-Drucker.
Gerade die beiden 3D-Drucker arbeiten im Standard über den gleichen Port. Im internen Netzwerk ja soweit kein Problem, da ich ja eine andere IP ansteuere. Wie mach ich das über ne Freigabe an der Fritzbox? Oder müsste ich hierfür extra für jede Anwendung/Weboberfläche der Pi´s einen anderen Port vergeben?

Also als Beispiel:
alle Pi´s haben über HTTP Port 80 ein Webinterface laufen.
Ich könnte nun alle 3 Pi´s mit einer Freigabe auf Port 80 hinterlegen, aber irgendwie muss die Fritzbox ja nun wissen mit welchen der Pi´s ich nun sprechen möchte. Wie geht´n das?

Alles klar, selbst rausgefunden... der externe Port...

 

[spcqike]

das geht mittels IPv4 nicht so einfach, da du zu jeder IP (deine externe) jeden Port nur einmal freigeben kannst. (Da hilft bspw. ein NginX Reverse Proxy, den man davor schaltet und dann anhand unterschiedlicher DNS Namen unterschiedliche Seiten bekommt)
Auch hier, bei IPv6 wäre das kein Problem, da auf jedes Gerät mit seiner eindeutige IP zugegriffen wird.

Allerdings rate ich davon ab, die Weboberflächen nach außen zu öffnen. Bleib lieber bei deinem bisherigen Plan, dich per VPN nach Hause zu verbinden. Einmal per VPN verbunden, kannst du deine lokalen Geräte erreichen, als wärst du zu Hause. Also jedes mittels seiner lokalen IPort.

 

[Raijin]

auch konnte ich nach Portfreigabe nun auch über meine DynDNS-Adresse auf meinen PI zugreifen...

Moooooment. Man greift ENTWEDER per VPN auf das Heimnetzwerk zu ODER über Portweiterleitungen direkt auf die Zielgeräte. Beides parallel ist ziemlich unsinnig.

Wenn du das VPN der Fritzbox verwendest, brauchst du keinerlei Portweiterleitungen. Du greifst auf den PI auch nicht über die DDNS-Adresse zu, sondern direkt über seine lokale IP-Adresse im Heimnetzwerk. Das ist doch gerade der Witz bei einer VPN-Verbindung. Du kannst darüber das Heimnetzwerk nutzen als würdest du mit deinem Allerwertesten daheim auf der Couch hocken.

Direkte Portweiterleitungen auf ein Endgerät macht man nur dann, wenn auf dem Quell-Gerät kein VPN möglich ist und die Verbindung auch ohne VPN verschlüsselt ist (zB https). Natürlich muss auch das Ziel-Gerät entsprechend abgesichert sein. Im Falle von ssh bietet sich da zum einen die Authentifizierung mittels Zertifikat an oder im Falle von herkömmlichen Logins Tools wie zB fail2ban, o.ä.

 

[wasd123]

jo, im Nachhinein war das Blödsinn, ja^^... ich gehe über VPN ;o)

vielen Dank an alle... rennt nun - göttlich ;o)