Zugriff auf Heimnetz bei CGNAT

[mihuba]

Hallo zusammen!

Ich ziehe demnächst um und kümmere mich gerade um den Internetanschluss an der neuen Adresse. Nun ist es so, dass der bisher von mir favorisierter Anbieter Anschlüsse mit CGNAT (carrier grade network address translation) im Verbund mit einer Fritzbox (5530) anbietet. Ein statisches /56 IPv6-Netz wäre inklusive.

Wie kann ich nun am einfachsten sicher von unterwegs auf mein Heimnetzwerk zugreifen (Home Assistant, NAS etc)? Meine Überlegung war einfach eine Verbindung via WireGuard herzustellen (sollte mit Fritz OS8 ja auch IPv6 unterstützen).

Nach ein bisschen Recherche stiess ich aber darauf, dass viele Telekomanbieter (meiner inklusive) für Internetverbindungen über mobile Daten vom Handy aus noch kein IPv6 unterstützen.

Geht das dann trotzdem oder braucht es da eine Anpassung/eine andere Lösung?

Ich habe bisher noch ein limitiertes Wissen über Netzwerke etc., bin daher auf etwas "Anschubhilfe" angewiesen 😅.

Ich würde mich freuen, wenn mir da jemand vielleicht weiterhelfen könnte.

Gruss, Michael

 

[derchris]

Kann dein Router Tailscale?

 

[DLMttH]

Ohne IPv6 müsstest du dir anderweitig behelfen, aber woher hast du die Info, dass dein Mobilfunk kein IPv6 hat und wie alt ist diese Information?

Von der 5530 würde ich aber abraten, es sei denn sie wird verschenkt. Sie hat einen langsamen Chipsatz und ist von allen neuen Fritz!Boxen das langsamste Modell, was man sich VPN-technisch hinstellen kann. Sollte dies eine Tarifoption sein, könnte man höchstwahrscheinlich ordentlich Geld sparen und die dreifache VPN-Leistung erzielen, wenn man sich stattdessen einen ONT/Medienkonverter und eine gebrauchte DSL-Fritz!Box holt.

Man muss den Anbieter aber auch nicht verschweigen, welcher ist es?

 

[norKoeri]

viele Telekomanbieter (meiner inklusive) für Internetverbindungen über mobile Daten vom Handy aus

Ähnlich wie DLMttH frage auch ich: Wenn nutzt Du, aus welchem Land, in welchem Land?

 

[h00bi]

Mögliche Lösungen:
Ipv6 nutzen (ggf. manuellen APN setzen).
Ipv6 Portmapper mieten
Auf einem Cloud Server einen eigenen Umsetzer hosten
VPN Service wie z.B. tailscale nutzen

 

[thomasschaefer]

Nach ein bisschen Recherche stiess ich aber darauf, dass viele Telekomanbieter (meiner inklusive) für Internetverbindungen über mobile Daten vom Handy aus noch kein IPv6 unterstützen.

Wo hast das recherchiert? In der Schweiz oder Österreich? In Deutschland haben alle Mobilfunkanbieter mit "mobilen Daten" IPv6 aktiv. Im Inland meine ich damit auch wirklich alle. Bei Auslandsaufenthalten würde ich von Vodafone Abstand nehmen, da geht es im Roaming derzeit nicht.

 

[mihuba]

Hallo zusammen,

Vielen Dank für eure Antworten!

also ich antworte jetzt mal der Reihe nach:

Kann dein Router Tailscale?

Ich weiss nicht, ich glaube Fritzbox unterstützt von Haus aus IPSec und Wireguard, aber nicht Tailscale.

@DLMttH : Mein Mobilfunkanbieter ist die Swisscom in der Schweiz. Ich habe einige ältere Forumposts (von 2022) auf den Foren von Swisscom selbst gefunden, wo behauptet wurde, dass die Swisscom noch kein IPv6 unterstützt.

Wenn ich wieistmeineip.de/ipv6-test/ auf meinem Handy aufrufe (mit mobilen Daten) wird mir eine IPv4-Adresse angezeigt, eine IPv6-Adresse sei nicht vorhanden, IPv4-Test ok, IPv6-Test fehlgeschlagen. Test Dual Stack: OK.

Was letzteres genau bedeutet ist mir nicht ganz klar. Heisst das, dass ich sowohl IPv4 als auch IPv6 verwenden kann?

Von der 5530 würde ich aber abraten, es sei denn sie wird verschenkt. Sie hat einen langsamen Chipsatz und ist von allen neuen Fritz!Boxen das langsamste Modell, was man sich VPN-technisch hinstellen kann.

Ok das mit dem Chip-Satz wusste ich nicht. Mir war nicht bewusst, dass das so einen grossen Einfluss auf die Performance hat.

Man muss den Anbieter aber auch nicht verschweigen, welcher ist es?

Der Anbieter der mich am meisten überzeugt bisher ist init7, sie bieten ein günstiges Einsteigerabo für Glasfaseranschlüsse, der am neuen Wohnort vorhanden sein wird. Ziel wäre es, eine solide "Grundausstattung" zu haben, die dann im Verlauf noch ausgebaut werden kann mit einem besseren Router etc.

D.h. wenn der Router jetzt vom Chipsatz her nicht den riesen Durchsatz erlaubt, macht das für mich erstmal nichts. Aktuell verwende ich eine Fritzbox 4040 mit Wireguard und bin vollkommen zufrieden mit der Geschwindigkeit.

Für den Zugriff von unterwegs geht es mir darum, dass das eine oder andere Foto vom Handy aufs NAS gespeichert werden kann oder einzelne Informationen in Home Assistant abgerufen/gesteuert werden können.

Mögliche Lösungen:
Ipv6 nutzen (ggf. manuellen APN setzen).
Ipv6 Portmapper mieten
Auf einem Cloud Server einen eigenen Umsetzer hosten
VPN Service wie z.B. tailscale nutzen

Ok so weit reichen meine Kenntnisse noch nicht, welche davon wäre (basierend auf den obigen Informationen) am sinnvollsten?

Am wichtigsten für mich wäre, dass es sicher funktioniert und nicht mehr als 50€/Jahr kostet.

Gruss, Michael

 

[derchris]

Was für ein NAS hast du? Evtl. geht da Tailscale drauf?

 

[DLMttH]

Aktuell verwende ich eine Fritzbox 4040 mit Wireguard und bin vollkommen zufrieden mit der Geschwindigkeit.

Verständlich, die 5530 hat nämlich weniger Dampf, das ist der Knackpunkt.

Ich würde zum Medienkonverter raten und die 4040 behalten.

 

[Uzer1510]

Ich nutze für ip4 Zugriff von aussen (Glasfaser) einen "1 Euro" vps mit wireguard und 6tunnel im ip4 Modus das tut echt zuverlässig bisher unfd ist auch echt fix.

Zielgerät ist bei mir aber nicht die fritzbox sondern ein kleiner sparsamer heimserver auf dem Home Automation und Co sowieso läuft.

 

[h00bi]

Ok so weit reichen meine Kenntnisse noch nicht, welche davon wäre (basierend auf den obigen Informationen) am sinnvollsten?

Da swisscom scheinbar wirklich kein Ipv6 anbietet würde ich an deiner Stelle einen Ipv6 Portmapper mieten, zum Beispiel bei HTTPS://feste-ip.net

Da kümmert sich dann der hoster drum und du selbst musst nichts machen.
Ich hatte damals im Unitymedia Netz einen solchen Portmapper verwendet und kann den genannten Anbieter wärmstens empfehlen.

Du kannst den Portmapper auch erstmal 50 Tage kostenlos testen. Also selbst wenn du dir eine andere Lösung einrichten willst, ist der Portmapper zum Übergang nutzbar.

 

[mihuba]

Was für ein NAS hast du? Evtl. geht da Tailscale drauf?

Synology DS 415+, später wäre dann eine Synology DS 723+ o.ä. geplant. Soweit ich weiss, haben die eine Tailscale-App. Braucht Tailscale viel Rechenleistung/RAM? Oder wird das den NAS-Betrieb kaum beeinflussen?

Verständlich, die 5530 hat nämlich weniger Dampf, das ist der Knackpunkt.

Ich würde zum Medienkonverter raten und die 4040 behalten.

Und das obwohl sie später erschienen ist und 4x so viel RAM hat? Die Prozessoren scheinen mir aufgrund der Kernzahl und Taktung ähnlich zu sein oder täusche ich mich da? (soweit zumindest mein Laien-Halbwissen 😅)

Bei dem oben genannten Angebot von init7 müsste ich wohl deren Fritzbox nutzen (wird kostenlos mitgeliefert). Mir selbst würde ich bei einer Neuanschaffung wahrscheinlich ein anderes Fritzbox-Modell anschaffen.

Ich nutze für ip4 Zugriff von aussen (Glasfaser) einen "1 Euro" vps mit wireguard und 6tunnel im ip4 Modus das tut echt zuverlässig bisher unfd ist auch echt fix.

Klingt interessant! Kannst du das etwas genauer erklären? Was genau macht dein VPS? Also was läuft da drauf?

Da swisscom scheinbar wirklich kein Ipv6 anbietet würde ich an deiner Stelle einen Ipv6 Portmapper mieten, zum Beispiel bei HTTPS://feste-ip.net

Das hört sich gut an!

Wird der Portmapper dann auf die Fritzbox gerichtet oder auf das NAS direkt? Das erschloss sich mir beim kurzen Überfliegen noch nicht ganz. Bzw. andersrum gefragt: kann ich das auch für ein VPN benutzen? (z.B. um Fernseh-/Streaming-Inhalte im Ausland zu schauen? Oder wäre dafür dann wieder Tailscale die Lösung?

LG, Michael

 

[Holzkopf]

Check erst mal die APN Einstellungen ob IPv4/IPv6 eingestellt ist.
Oft werden diese noch mit IPv4 only ausgeliefert.

 

[DLMttH]

Und das obwohl sie später erschienen ist und 4x so viel RAM hat?

Ja, leider liegt's an der Architektur, MIPS vs. ARM.
Vergleiche einen alten Pentium 4 mit einem Kaby Lake U i3, beide takten z.B. mit 3,6 GHz, trotzdem rechnet der i3 pro Kern das Vierfache weg.

 

[mihuba]

Check erst mal die APN Einstellungen ob IPv4/IPv6 eingestellt ist.
Oft werden diese noch mit IPv4 only ausgeliefert.

APN auf meinem Handy ist tatsächlich auf IPv4 gestellt. Kann man das ändern? Oder gibt das der Telekomanbieter vor? (Nutze Swisscom)
Ist das denn wichtig, wenn ich Tailscale oder Portmapper verwende? Nach meinem Verständnis sollte es dann mit einer solchen Lösung dann doch keine Rolle mehr spielen ob ich IPv4 oder IPv6 habe 🤔

Ja, leider liegt's an der Architektur, MIPS vs. ARM.
Vergleiche einen alten Pentium 4 mit einem Kaby Lake U i3, beide takten z.B. mit 3,6 GHz, trotzdem rechnet der i3 pro Kern das Vierfache weg.

Ok verstehe. Danke für die Erklärung!

Wenn jetzt Tailscale auf dem NAS installiert wäre und dieses als Exit Node konfiguriert wäre, würde man da dann trotzdem grosse Unterschiede merken bei den beiden Fritzboxen?

Gruss, Michael

 

[Uzer1510]

Ausgangslage Glasfaser mit keiner öffentlichen ip4 und keiner öffentlich nutzbaren ip6 für serverbetrieb

192.168.0.x ist mein lokales Netz "1 Euro VPS" hat eine feste externe ip4 (und feste ip6)

Auf dem vps-server nutze ich dann neben der wireguard verbindung zu meinem kleinen Server daheim nur noch 6tunnel .... ich hab so nen Luxus xD 3 Euro VPS ( 80 GByte "HDD") das reicht dann auch locker noch für nextcloud mit drauf - und ich kann problemlos ein X11 drauf laufen lassen - inkl firefox und Co was auch mal praktisch sein kann.


======================= auf dem VPS Rechner ===================

#!/usr/bin/env bash

tunnels=(
    "8080 192.168.0.100 80"
    "999 192.168.0.22 237"
     "22 192.168.0.44 22"
)

start_tunnels() {
    for entry in "${tunnels[@]}"; do
        read -r src_port dest_ip dest_port <<< "$entry"

        echo "Starte 6tunnel -4  $src_port nach $dest_ip:$dest_port"
        6tunnel -4 "$src_port" "$dest_ip" "$dest_port" &
    done
}


... ab hier anderer fuer das hier aber unwichtiger kram :)

===================== Lokal auf 192.168.0.22 dem Heimserver ================


enp4s0 ist das Netzwerkkarteninterface des 192.168.0.xx Netzes wg0 das wireguard interface

#!/usr/bin/env bash

NAT_INTERFACE="${2:-enp4s0}"

configure_forwarding() {
    echo "IP forwarding und NAT Krams fuer: $NAT_INTERFACE"

    sudo sysctl -w net.ipv4.ip_forward=1

    sudo iptables -A FORWARD -i wg0 -o "$NAT_INTERFACE" -m state --state RELATED,ESTABLISHED -j ACCEPT
    sudo iptables -A FORWARD -i "$NAT_INTERFACE" -o wg0 -j ACCEPT
    sudo iptables -t nat -A POSTROUTING -o "$NAT_INTERFACE" -j MASQUERADE
}

configure_forwarding

exit 0

und das auch schon alles - damit kann ich auf jeden lokalen Rechner/smarthome device mit jedem belibigen Port von aussen per ip4 zugreifen - der Zugriff muss halt dann am Gerät per Login etc geschützt sein!

das hier also nur der Teil mache einen Dienst nach aussen zugänglich - für mich passt das so aktuell.

 

[h00bi]

Wird der Portmapper dann auf die Fritzbox gerichtet oder auf das NAS direkt? Das erschloss sich mir beim kurzen Überfliegen noch nicht ganz.

Auf die Fritzbox für VPN. Damit bist du zu Hause im Netz und kannst alles machen.

Bzw. andersrum gefragt: kann ich das auch für ein VPN benutzen? (z.B. um Fernseh-/Streaming-Inhalte im Ausland zu schauen? Oder wäre dafür dann wieder Tailscale die Lösung?

Dafür taugt weder tailscale noch ein Portmapper.
Das ist ausgehendes VPN.
Das oben beschriebene ist eingehendes VPN.

 

[chrigu]

Die syno hat ihr eigenes tool zum direkt connecten, dort ist es egal ob cgn oder ds-lite

 

[Pummeluff]

Nach ein bisschen Recherche stiess ich aber darauf, dass viele Telekomanbieter (meiner inklusive) für Internetverbindungen über mobile Daten vom Handy aus noch kein IPv6 unterstützen.

Kannst du selbst rausfinden, sofern du Android nutzt:

Einstellungen → Mobiles Netzwerk → Auf SIM-Karte tippen → Zugriffspunktnamen → auf ⓘ tippen:

APN-Protokoll und APN-Roamingprotokoll:
Beide Protokolle sind oft per default erst mal nur auf IPv4 gesetzt. Das kannst du umstellen auf IPv4/IPv6. Wenn das funktioniert solltest sowohl eine IPv4 als auch eine IPv6 vom Provider zugewiesen bekommen.

Ich hab meine SIM-Karte bei der Telekom und musste für diesen Vertrag extra die Freischaltung für IPv6 beantragen.

Da swisscom scheinbar wirklich kein Ipv6 anbietet würde ich an deiner Stelle einen Ipv6 Portmapper mieten, zum Beispiel bei HTTPS://feste-ip.net

Damit hatte ich auch mal rumgespielt, als wir den Anschluss bei der Deutschen Glasfaser bekamen. Leider erfüllte feste-ip.net nicht meine Ansprüche. Wireguard verbindet sich über UDP, und bei feste-ip.net kannst du nur TCP-Verbindungen einrichten.

Ziel von feste-ip.net ist die Bereitstellung einer IPv4 für einen oder mehrere Ports, die Verbindung dann auf IPv6 zu Deinem (Heim-)gerät mappen. Beispiel wäre eine SSH- oder HTTP(s)-Verbindung. Willst du aber ein VPN per Wireguard einrichten, hast du damit keine Chance.

Was genau macht dein VPS? Also was läuft da drauf?

Das war auch meine Lösung. Ich hab mir für 1,20€/Monat einen V-Server bei Noez geholt. Ist ein LXC-Container (Debian 11) ohne jegliche Leistung, dafür mit nativer IPv4 und IPv6. Dort läuft ein Wireguard-Server. Zu dem verbinden sich meine Fritzbox (IPv6), die Fritzbox meiner Eltern (IPv4) und mobile Geräte mit IPv4 oder IPv6.

Für die Einrichtung solltest du aber etwas Ahnung von Linux haben. Ich hab den Server mit NFTables zugenagelt. Bis auf die Wireguard-Ports und SSH ist da nichts offen. Und mit SSH kommst du auch nur per Key rein, nicht mit Username + Passwort.

 

[Uzer1510]

Ich bin bei IONOS die haben ja eine vorgelagerte Firewall denke die läuft auf dem Hostsystem - da ist auch erst mal alles zu bis auf das, was man dann explizit selber freigibt.

Mit eigenem VPS denke ich ist man halt am flexibelsten auch wenn das ein bisserl einarbeiten erfordert aber so schlimm ist es meist auch nicht - kommt natürlich immer drauf an was man sonst so am Rechner rumwerkelt.