Wireguard Fritzbox VPN mit ds lite, Gegenstelle nur ipv4

[usmave]

Hallo,

folgende Ausgangssituation:

Standort A
Glasfaser Ruhr, 600/300 mbit, mit DS-Lite
Fritzbox 7530 AX

Standort B
1000/500 mbit, ipv4 only, keine Möglichkeit was zu konfigurieren, ist ein bereitgestellter Hotspot.


Da "B" kein ipv6 nutzt und "A" keine private ipv4 hat, suche ich nach Lösungen, gerne auch wenige Euro, aber den Aufpreis zum Business-Tarif von 25€ im Monat ist es mir nicht wert.

Die Bandbreite bzw. Upload von A zu B ist wichtig, 150mbit müssten es schon sein, gerne mehr.

 

[CrAzY DiD]

Hey,
ich kann dir da aus 1. Hand direkt den wichtigsten Lösungsvorschlag geben:

Bei Glasfaser Ruhr anrufen & darum bitten den Anschluss auf IPv4 schalten zu lassen. Das wird genehmigt & steht mit 0€/Monat auf der Rechnung.
Gründe vie VPN & Homeoffice anführen.

Läuft bei mir so seit ~ 1,5 Jahren.
Liebe Grüße aus Bochum

 

[SpiII]

Tailscale verwenden?

 

[usmave]

Hey,
ich kann dir da aus 1. Hand direkt den wichtigsten Lösungsvorschlag geben:

Bei Glasfaser Ruhr anrufen & darum bitten den Anschluss auf IPv4 schalten zu lassen. Das wird genehmigt & steht mit 0€/Monat auf der Rechnung.
Gründe vie VPN & Homeoffice anführen.

Läuft bei mir so seit ~ 1,5 Jahren.
Liebe Grüße aus Bochum

Grade gemacht, keine Chance. Nur über Business

 

[CrAzY DiD]

Krass...ich habe auch einen normalen Privatanschluss.

Habe erst meinen Vertrag zum 01.02 umstellen lassen (andere Geschwindigkeit) & da wird die IPv4 Vereinbarung auch wieder mit reingenommen.

Anbei ein Screenshot der Glasfaser-Ruhr Bestätigung

 

[till69]

Verbindung von A zu B aufbauen (B zu A geht nicht)

Alternativ: Wenn Du jemand mit DualStack und entsprechender Bandbreite kennst, kannst Du dort einen Portmapper aufstellen (beliebiges OpenWRT Device)

 

[SpiII]

Einfach auf einen anderen Mensch am Telefon hoffen?

Ich bspw. hatte erst beim dritten Anruf Erfolg bei Vodafone, als es im die IPv4 Sache beim Kabelanschluss ging.

 

[usmave]

Verbindung von A zu B aufbauen (B zu A geht nicht)

Wie das?
A hat ne Fritzbox mit wireguard, B ist entweder firetv stick oder ipad pro. Bei B kann ich netzwerkseitig nichts einstellen.

 

[CrAzY DiD]

Also du hast bei B keinen Zugriff auf den Router ?

Dann brauchst du sowieso eine Art Server. NAS-System oder Access Point. Da verbinden sich dann alle Geräte mit.

 

[till69]

@usmave
Dann brauchst Du bei B einen Router mit Wireguard und irgendwo (Kumpel oder Cloud) einen Portmapper C

 

[usmave]

Alternativ: Wenn Du jemand mit DualStack und entsprechender Bandbreite kennst, kannst Du dort einen Portmapper aufstellen (beliebiges OpenWRT Device)

mit dual stack ja, aber nur 50mbit upload

Also du hast bei B keinen Zugriff auf den Router ?

richtig, ist ein Hotspot der bereitgestellt wurde, hab nur den Wlan Zugang mit Benutzer und pw

 

[till69]

hab nur den Wlan Zugang mit Benutzer und pw

Und Du willst Wireguard zu A. Geht nur über IPv6, d.h. Du brauchst einen Portmapper in der Cloud (kleinen VPS).

Geht recht einfach mit socat

 

[Avenger84]

keine Möglichkeit was zu konfigurieren, ist ein bereitgestellter Hotspot.

auch keine eingehende Portfreigabe UDP ?

kein eigentlich auch ein billiger Hotspot, dann kannst du dich von A auf B einwählen über IPv4.

 

[usmave]

danke soweit euch, aber ich glaub das sprengt mein Netzwerkkönnen. Wireguard auf FB und Firetv stick zu installieren ist eine Sache, das hier offensichtlich erfordert weit mehr.

 

[hildefeuer]

Oder du suchst dir im Freundeskreis jemanden, der dual Stack hat. Mit dem verbindest du beide Router via VPN siide by Side.
Dann kommst du auf dein Heimnetz per ipv6 vom ipv4 Client aus.

 

[usmave]

ja das funktioniert auch, nur mit 50mbit upload dann nur

 

[Pummeluff]

Ich stand vor 3 Jahren vor demselben Problem. Hatte es erst über feste-ip.net probiert. Allerdings konnte man da nur TCP-Protokoll freischalten lassen, kein UDP.

Im Endeffekt hab ich mir für 1,19€/Monat einen V-Server bei Noez geholt.

Vorteile:

• Du bekommst eine native IPv4 und eine IPv6.
• Mobile Client, z.B. Smartphone können sich dann auch mit beiden Protokollen verbinden.
• Du kannst über den V-Server einen Exitpoint (gesamter Traffic durchleiten) für Deine Smartphones einrichten. War bei mir sinnvoll, als ich in Südostasien mal auf mein Aktiendepot zugreifen wollte, der Broker aber das Land als nicht vertrauenswürdig einstufte
• Man kann auch andere Sachen auf dem Server laufen lassen.

Aber:

• Du brauchst Ahnung von Linux-Servern, sonst wird dass Ding schnell zur Spam-Schleuder.
• Ich hab das Teil mit nftables und fail2ban vernagelt. Nur die Wireguard-Ports und SSH sind von außen erreichbar.
• Auto-Updates sind konfiguriert.
• Für 1,19€ bekommt man kein Backup. Ich hatte mir mal das System zerschossen, dass ich nicht mehr drauf kam. Das hieß dann komplette Reinstallation des OS und aller Programme und Einstellungen.

Btw. auch für 1,19€/Monat bekommt man vom Support bei Noez sehr schnell eine Antwort. War davon begeistert.

 

[Avenger84]

Zuhause einen RPi oder VM mit Wireguard aufzusetzen ist keine große Kunst, aber einen VServer zu mieten und mit Firewall/F2B zu konfigurieren ist schon ne Hausnummer.

 

[till69]

aber einen VServer zu mieten und mit Firewall/F2B zu konfigurieren ist schon ne Hausnummer

Ist weniger Aufwand als eine VM.
F2B braucht kein Mensch, einfach SSH nur über IPv6 öffnen und man wird zu Lebzeiten wahrscheinlich nicht einen Login-Versuch bekommen.

Wireguard ist nicht nötig, einfacher IPv4->IPv6 Portmapper reicht:

socat UDP4-LISTEN:51820, fork UDP6:xyz.myfritz.net:51820

 

[Avenger84]

Das ist mir auch aufgefallen, seit 2 Wochen betreibe ich Zuhause einen Mailserver, dessen WebUI habe ich nur über IPv6 geöffnet (Port 443) - und bisher noch nicht einen einzigen Loginversuch.
Aber wer weiß wann die bösen Buben entdecken, dass es IPv6 gibt.

Bei SSH verwende ich sonst Privatkey, Passwortlogin aus und einen hohen Port.