Wechselnde IP-Adresse durch VPN?

[linuxnutzer]

Mein ISP empfahl mir, dass ich mir ein VPN besorgen soll um eine wechselnde IP-Adresse zu erhalten. Meine IP-Adresse erhalte ich von ISP per DHCP und es fast unmöglich, die zu ändern, selbst 1 Woche offline reicht nicht aus.

Normalerweise braucht man für VPN einen VPN-Client und es ist Geräte bezogen und auf eine gewisse Anzahl von Geräten beschränkt. Ich habe eine Fritzbox 6890 und mir würde VPN bis zur Fritzbox reichen. Primär geht es mir, dass ich bei Bedarf eine andere "externe" IP erzielen kann. Ich weiß jetzt nicht wieviel Geräte im Netz sind, aber 50 können es locker sein. Hinter der Fritzbox gibt es zur Zeit noch im alten Netz (falls sich wer an frühere Diskussionen erinnert) diverse openwrt-Router / Switch, da könnte man schon was installieren, wenn sich die Fritzbox nicht eignet.

 

[Donnidonis]

Raspberry Pi kaufen, bei einem VPN Anbieter deiner Wahl ein Abo abschließen und dann den Raspberry als Gateway dafür einrichten. Schon geht der gesamte Traffic darüber. Nutze ich selbst mit nem selbst gehosteten VPN Server.

Edit: bestimmt auch mit einem deiner OpenWRT Router möglich. Da kenne ich mich nur nicht mit aus.

 

[Jasmin83]

Ich frag einfach mal nach dem Use-Case. Warum muss deine IP ständig wechseln?

 

[conf_t]

Ich bezweifel, dass das Vorhaben so funktioniert. Denn mit einem VPN Anbieter hast du als für andere sichtbare „externe“ bzw. Public IPv4 immer die des VPN Gateways und die ist dann i.d.R. für jedes Gazeways statisch. Vielleicht kannst du dann dich mit unterschiedlichen Servern verbinden und so mal eine andere IP kriegen, aber am Ende bist du auf den kleinen IP Pool der VPN Gateways dann angewiesen. Zudem sperren wohl einige Streamingdienste zunehmend IPS VPN VPN Gateways.

Deshalb unbedingt den Usecase mit beschreiben.


Was @IBISXI unter mir beschreibt ginge.
Dazu brauchst eine andere Person oder Haushalt oder Internetanschluss, der auch ein FritzVPN kann und eine täglich wechselnde IP und kein CG-NAT hat. Viele DSL Anschlüsse können das. Dann bauste zwischen beiden Fritten an den jeweiligen Standorten ein VPN auf und wärst dann mit der Internet IP des DSL Anschlusses unterwegs. Da dein Download und Upload dann aber 2x über die DSL Leitung muss, denn jeder Download wird zum Upload um umgekehrt, wäre die Performance auf die Upload Geschwindigkeit des DSL Anschlusses beschränkt.

 

[IBISXI]

Normalerweise braucht man für VPN einen VPN-Client und es ist Geräte bezogen und auf eine gewisse Anzahl von Geräten beschränkt.

Das ist die eine Möglichkeit.

Die andere wäre VPN direkt auf der Fritzbox anzulegen. (Fritzbox ist Client)
Der Traffic aller Geräte wird dann über VPN geroutet.

Anleitungen dazu gibt es hunderte.

Auch TOR wäre eine Möglichkeit.
Leider ist TOR ist nicht besonders schnell.

 

[CitroenDsVier]

Ich werfe auch mal Tor bzw. TorBox (wenns für ein ganzes Netzwerk / Subnetz sein soll) in den Raum. Aber: Geschwindigkeit möglicherweise nicht so pralle.
Grund des Ganzen wäre interessant

 

[chrigu]

Auch ein VPN Anbieter wie nordvpn wechselt seine ip nicht jeden Tag. Wie auch? Er hat auch nicht mehr freie ip wie alle anderen Provider….
Welchen Grund hast du für eine ständig wechselnde ip? Vielleicht liegt ds eigentliche Problem nicht an der fixen ip des provider-/Studenten-/Hotel Netzwerk

 

[IBISXI]

Auch ein VPN Anbieter wie nordvpn wechselt seine ip nicht jeden Tag.

Ne, aber da kannst Du einen aus 10000 Servern in einem Land nach Wahl aussuchen, wenn Du willst.

Wenn Du das auf dem Client machst, ist das einfach. Fix eingerichtet am Router musst Du das händisch machen.

TOR wechselt selber.

 

[linuxnutzer]

und dann den Raspberry als Gateway dafür einrichten.

Ich hätte sogar einen R Pi, aber der ist für IoT zuständig und den will ich eher nicht verändern. Die Frage ist einfach, ob ich mein Anliegen mit meiner Fritzbox 6890 erreiche. Ich bin mir jetzt nicht ganz sicher, aber wenn ich nicht was vergesse, dann läuft sowieso alles über einen Netgear R7800-100PES, auf dem OpenWRT installiert ist. Da was dazu installieren, würde schon gehen, aber davor will ich sicher sein, dass das zielführend ist. Seit Monaten steht sowieso ein neues Netzwerkkonzept mit VLAN in Überlegung, aber ich komme nicht dazu, Ich will damit nur sagen, es liegt eine Menge an Hardware (Router / Switch) rum, die werden entweder unter Mikrotik RouterOS laufen oder OpenWRT. Wollte es nur erwähnt haben.

Ich frag einfach mal nach dem Use-Case. Warum muss deine IP ständig wechseln?

Die Frage ist natürlich berechtigt und die Antwort ergibt sich mehr aus der Erfahrung mit meinem früheren DSL-Ambieter, wo man nach Neustart der Fritzbox eine neue IP-Adresse bekam. Gewisse Dinge sind durch Wechseln der IP-Adresse besser geworden. Ich vermute zB stark, dass der Osmand-Download von Landkarten mit neuer IP schneller wird, da stelle ich immer wieder fest, nach einiger Zeit (= einige hunder MB Download) wird der Download viel langsamer, können nur mehr kb/s sein. Manche Sonderangebote kriegt man nur 1x, nach Ändern der IP kommt das Angebot wieder. Es gab da immer wieder Situationen, wo ein Ändern der IP half. Manchmal denke ich auch, dass das Tracking mit immer der gleichen IP einfacher ist, aber aus dieser Sicht würde vielleicht VPN mit einer IP, die sich viele teilen, auch Tracking erschwerdend.

Also zum einen wäre ein automatisches Ändern der IP zB alle paar Tage ein Ziel, zum anderen möchte ich eine Möglichkeit haben eine neue IP manuell zu erzwingen. Es geht mir nicht um Netflix & Co, habe ich nicht, nur Spotify. Mir ist es egal aus welchem Land ich mich anmelde, aber es wäre natürlich eine Möglichkeit einfach nur das Land bzw den VPN-Server automatisch zu wechseln.

Vielleicht kannst du dann dich mit unterschiedlichen Servern verbinden und so mal eine andere IP kriegen

Nicht wirklich, maximal verwende ich das Handy als Internetzugang.

Die andere wäre VPN direkt auf der Fritzbox anzulegen. (Fritzbox ist Client)
Der Traffic aller Geräte wird dann über VPN geroutet.

Anleitungen dazu gibt es hunderte.

Ja, habe ich auch einige Anleitungen gefunden, aber ich habe keine Ahnung, ob sich damit meine IP-Adresse ändert. Ich nehme mal an, dass die IP-Adresse beim VPN-Server konstant bleibt und ich nur durch Länderwechsel eine andere IP erreichen kann.

Lt Tests habe ich 78 Mbit/s down, 19 Mbit/s, Ping 11 ms. Eigentlich schöne Werte in meiner Gegend, aber in der Praxis schaffe ich einen Download von etwas über 10 Mbit/s, liegt wohl an den Servern, die ich kontaktiere, selten ist es schneller, nur zB ein Update der Linux-Pakete.

 

[0-8-15 User]

78 Mbit/s sind ca. 10 MB/s. Sicher, dass du nicht nur die Einheiten (Bit bzw. Byte) durcheinander gebracht hast?

 

[linuxnutzer]

Die Angaben waren von https://www.netztest.at/de/Test

Eben:

Download	78 Mbit/s
Upload	19 Mbit/s
Ping	10 ms

Das entspricht ziemlich genau meinem Vertrag.

Ich weiß, aber nun folgendes:

Für AVM braucht man eine externe IP-Adresse und die habe ich mehr oder weniger nicht. Aus diesem Grund ist auch schon https://www.zerotier.com/ in Überlegung., aber das hat niedrigste Priorität.

Wenn ich es richtig verstehe, dann ist es so:

Ich habe eine interne / private IPv4-Adresse für mein lokales Netz
Dann bekomme ich per DHCP eine externe IP-Adresse vom ISP. Auf diese kann man aber nicht vom WWW zugreifen, der ISP "nattet" und nur auf diese IP-Adresse gelangt man vom WWW, dh auf meinen PC bzw. meine Fritzbox kommt man nicht aus dem WWW, nur aus dem Netz des ISP, dh alle Kunden des ISP könnten böse sein, der Rest aber nicht.

Wenn ich also zB eine Webseite auf meinen PC einrichten möchte, dann wird es schwierig, will ich aber eh nicht.

Zufällig bin ich auf https://www.ovpn.com/de gestossen, liest sich interessant, aber ich weiß nicht, ob das für mein Anliegen was ist.

VPN-Server in 29 Städten auf der ganzen Welt
Aufgrund unserer hohen Sicherheitsanforderungen verfügen wir nicht an jedem denkbaren Ort über Server. Wir legen Wert auf Qualität vor Quantität und Marketing. Und seien wir ehrlich – brauchen Sie wirklich VPN-Server in 150 Ländern?

 

[0-8-15 User]

dh auf meinen PC bzw. meine Fritzbox kommt man nicht aus dem WWW

Via IPv6 schon.

dh alle Kunden des ISP könnten böse sein, der Rest aber nicht.

Nur wenn der ISP das nicht blockt, was er sehr wahrscheinlich tut.

 

[linuxnutzer]

Nur wenn der ISP das nicht blockt, was er sehr wahrscheinlich tut.

Ich hatte ein längeres gutes Gespräch mit einem kundigen Mitarbeiter des ISP. So wie ich es verstanden habe, wird intern nichts geblockt.

Via IPv6 schon.

Ich werde es einfach mal ausprobieren.

Übrigens, mit so Webseiten wie "meine IP", werden die unterschiedlichesten IP.v4-Adressen angezeigt, meistens aber die, die vom lokalen Netz des ISP.

 

[Web-Schecki]

So wie ich es verstanden habe, wird intern nichts geblockt.

Ist auch unerheblich, solange dein Router eine Firewall hat. Mich würde es aber wundern, wenn man bei Carrier-Grade-NAT an die anderen Adressen im privaten Providernetz überhaupt Pakete senden darf. Kann es aber auch nicht ausschließen.

Übrigens, mit so Webseiten wie "meine IP", werden die unterschiedlichesten IP.v4-Adressen angezeigt, meistens aber die, die vom lokalen Netz des ISP.

Wenn dein Anbieter CGNAT einsetzt, dann bekommst du in der Regel immer die entsprechende öffentliche CGNAT-IPv4-Adresse angezeigt. Du kannst das ja selbst überprüfen: Wenn die angezeigte IPv4-Adresse nicht derer entspricht, die dir dein Anbieter zuteilt, dann kommt CGNAT zum Einsatz. Die dir zugeteilte IPv4-Adresse ist dann wahrscheinlich aus dem Netz 100.64.0.0/10 und damit privat.
Entsprechend wäre auch folgendes überflüssig:

Manchmal denke ich auch, dass das Tracking mit immer der gleichen IP einfacher ist, aber aus dieser Sicht würde vielleicht VPN mit einer IP, die sich viele teilen, auch Tracking erschwerdend.

Bei CGNAT teilst du dir ja dann auch deine öffentliche IPv4-Adresse mit mehreren, anderen Kunden des Anbieters.

 

[linuxnutzer]

Mich würde es aber wundern, wenn man bei Carrier-Grade-NAT an die anderen Adressen im privaten Providernetz überhaupt Pakete senden darf.

Lt. ISP sollte es gehen, aber das ist nicht das, was mich zur Zeit am meisten interessiert.

Ich würde sagen, ich habe zu 99% CGNAT, wenn ich im Web recherchiere. Außerdem sollen alle LTE-Verbindungen in A CGNAT verwenden. Also wenn ich mich da per ssh zwischen 2 PCs verbinden will, brauche ich wohl zerotier oder VPN, ist aber nicht mein Hauptthema.

Wenn ich am Handy meine externe IP abfrage und diese in einem Terminal am Linux-PC pinge, dann erhalte ich keine Antwort.

http://ip.bieringer.de/cgn-test.html zeigt mir bei IPv4 die gleiche Adresse wie das Handy, aber:

In case you see only (parts of) one square filling in the IPv4 2D source port distribution and dots are changing colors to yellow/red, yellow/red lines in the histogram and the port reusage > 0%, your system is probably behind a Carrier-Grade NAT device.

Ich sehe da aber nichts "buntes".

Bei CGNAT teilst du dir ja dann auch deine öffentliche IPv4-Adresse mit mehreren, anderen Kunden des Anbieters.

Dazu frage ich mich, wie ich mich schützen kann, wenn jemand im Netz des ISP "böse" ist. Wenn zB Email via IP blockiert wurde, dann hatte ich früher die FB neu gestartet und bekam eine neue IP. Ich denke, da hilft mir VPN aber auch nicht viel, da teile ich ja auch meine IP.

 

[0-8-15 User]

Wenn du dir einen eigenen (v)Server zulegst und deinen Internetverkehr darüber abwickelst, dann hast du eine saubere IPv4 nur für dich.

 

[Web-Schecki]

Ich würde sagen, ich habe zu 99% CGNAT

Sicher weißt du es, wenn du die IPv4-Adresse anschaust, die die Fritz Box vom Anbieter bekommen hat.
Handelt es sich um eine private Adresse aus einem nicht-öffentlichen Subnetz, dann kommt CGNAT zum Einsatz.
Unterscheidet sie sich von der angezeigten Adresse, wenn du eine Webseite besuchst, die die IP-Adresse anzeigt, dann ist das ebenso ein eindeutiger Hinweis auf CGNAT.

 

[0-8-15 User]

Wenn du eine dynamische öffentliche IPv4 willst, dann such dir einen Provider, der dir das anbietet (Telekom, O2, ...).

 

[linuxnutzer]

Meine IP-Adresse ist permanent 185.x.x.x Lt. https://de.wikipedia.org/wiki/Private_IP-Adresse ist das nicht privat. Wo sollte ich das denn bei der Fritzbox sehen? Der Online-Monitor zeigt mir nur eine IP für DNS an.

Edit. Habe bei der Fritzbox die Diagnosefunktion probiert und da sehe ich zum 1. Mal:

IPv4-Adresse: 100.x.x.x und die kann ich vom Terminal auch pingen.

10 Pakete übertragen, 10 empfangen, 0% Paketverlust, Zeit 9016ms
rtt min/avg/max/mdev = 1.189/1.568/1.805/0.165 ms

Wenn du eine dynamische öffentliche IPv4 willst, dann such dir einen Provider, der dir das anbietet

Es geht um ISP in A. Mit den "großen" bin ich nicht glücklich. Der Support war unerträglich, 20min und länger in der Leitung und irgendwann flog man raus und alles begann von vorn. Solange man keine Probleme hat, war es ja ok, aber fast 2 Wochen ohne Internet und danach auch nur eine behelfsmäßige langsame Lösung, ist einfach unakzeptabel. Jedenfalls ist der Support nun sehr gut, der Transfer ist 8x so schnell als davor, obwohl lt. altem ISP die Leitung nicht mehr hergibt.

 

[Web-Schecki]

Der Online-Monitor zeigt mir nur eine IP für DNS an.

Das wundert mich, bei meinen Geräten wird dort eine IPv4-Adresse angezeigt, falls vorhanden. Habe allerdings auch nur DSL-Geräte.

IPv4-Adresse: 100.x.x.x und die kann ich vom Terminal auch pingen.

Wie bereits geschrieben, die privaten Adressen sind bei CGNAT in der Regel

aus dem Netz 100.64.0.0/10

Ich gehe mal davon aus, dass das hier zutrifft, aber allein aus dem ersten Block ergibt sich das nicht.

Bei LTE wirst du fast immer CGNAT haben, also ein Anbieterwechsel wird dir nicht viel helfen.
Gegebenenfalls tauchen viele deiner Probleme bei der Nutzung von IPv6 gar nicht auf. Durch die Nutzung des Mobilfunknetzes könnte es aber auch hier Einschränkungen geben, dazu kann ich nicht viel sagen.