Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Netzwerke
>
VPNs und deutsche Glasfaser
VPNs und deutsche Glasfaser
MikeMuc
09.07.24
12:24
Hallo zusammen,
Wer ist denn bei der Deutschen Glasfaser und nutzt VPNs ins heimische Netz? Klappt das zB mit einer FRITZ!box daheim?
Den die DG vergibt angeblich keine „echten“ IPv4 Adressen… wenn ich aber von unterwegs oder von daheim zu anderen Gegenstellen kein VPN mehr aufbauen kann (mit Bordmitteln der FRITZ!Box oder IOS / MacOS), dann brauch ich erstmal eine gut funktionierende Alternative.
Wie sind eure Erfahrungen?
Hilfreich?
0
Kommentare
sudoRinger
09.07.24
12:38
Ich habe einen Anschluss bei Deutsche Glasfaser und kann per VPN ins Netz. Allerdings nutze ich einen anderen Router für die VPN-Einwahl.
Du richtest eine dynamische DNS ein
, damit Du die Verbindung auch herstellen kannst, wenn sich die IPv6-Adresse verändert.
Für VPN nutzt Du am besten Wireguard, was mittlerweile von Fritz out of the box unterstützt wird.
Die IPv6-Adresse ändert sich bei mir übrigens weniger als einmal im Jahr, so dass Du eigentlich auch direkt die IPv6-Adresse verwenden könntest. Zum Einrichten eines IPv4-Zugangs wurde von DG feste-ip.net empfohlen. Das kannst Du Dir sparen.
Hilfreich?
0
shakebox
09.07.24
12:58
sudoRinger
... Zum Einrichten eines IPv4-Zugangs wurde von DG feste-ip.net empfohlen. Das kannst Du Dir sparen.
Das haut halt alles nur hin wenn das Netz aus dem Du die Verbindung nach zuhause aufrufst auch IPv6 unterstützt bzw. zulässt. Hab hier nicht Telekom sondern Vodafone mit DS-lite (also auch "nur" ner öffentlichen IPv6-Adresse, keine IPv4) mit ner Fritzbox dran. Wireguard-Verbindungen von außen zur FB klappen prinzipiell schon, aber halt nicht aus Netzen wo IPv6 komplett abgeschaltet ist. Gibt es grad im Firmenumfeld ja doch immer noch häufiger, damit es beim Parallelbetrieb nicht zu Problemen kommt.
Wenn man das unter Kontrolle hat, weil man eh nur aus fest definierten Netzen mal VPN nach Hause aufbaut und da überall IPv6 verfügbar ist, kein Ding. Aber wenn man immer wieder aus unbekannten Netzen VPN machen will, kann das zu bösen Überraschungen führen, wenn es dann nicht klappt wie erwartet.
Hilfreich?
+1
sudoRinger
09.07.24
13:12
shakebox
..., aber halt nicht aus Netzen wo IPv6 komplett abgeschaltet ist. Gibt es grad im Firmenumfeld ja doch immer noch häufiger, ...
Den Fall hatte ich noch nicht, danke für den Hinweis. Wenn man dafür gewappnet sein will, dann ist feste-ip.net doch sinnvoll. Es geht um den Service (dedizierter) Portmapper
Hilfreich?
0
MikeMuc
09.07.24
15:16
sudoRinger
die Portmapper kosten aber auch nen extra Obulus, ie auch ne „eigene“ IPv4.
Bisher sind in meine, Usecase auch noch 2 ältere Draytek Router dabei, die können zwar iPv6, aber kein WireGuard und beim VPN… wohl dann doch kein IPv6
Aber gut zu hören, das es mit WireGuard ansonsten geht, sofern man „bei der Quelle“ IPv6 nutzen kann.
Hilfreich?
+1
sudoRinger
09.07.24
15:35
MikeMuc
Bisher sind in meine, Usecase auch noch 2 ältere Draytek Router dabei, die können zwar iPv6, aber kein WireGuard und beim VPN… wohl dann doch kein IPv6
Du müsstest schon genauer beschreiben, welche Geräte sich per VPN verbinden sollen.
Am einfachsten ist es, wenn Du Tailscale auf dem Mac und iPhone installierst
. So mache ich das.
Hilfreich?
0
marcel151
09.07.24
16:24
shakebox
Das haut halt alles nur hin wenn das Netz aus dem Du die Verbindung nach zuhause aufrufst auch IPv6 unterstützt bzw. zulässt.
Wenn beide Seiten DS-Lite haben wäre das doch kein Problem, die Kommunikation kann somit über IPv6 laufen. Bei Fritz!Boxen funktioniert das mit der automatisch erstellten myFritz! DNS-Adresse auch gut mit sich möglicherweise ändernden IPv6-Adressen. In meinem Fall hat eine Seite DS-Lite und die andere eine öffentliche IPv4-Adresse. Auch das geht, die DS-Lite Seite kann ja normal mit der genatteten IPv4-Adresse auf die öffentliche Adresse der anderen Seite zugreifen.
Hilfreich?
+1
shakebox
09.07.24
17:10
marcel151
Wenn beide Seiten DS-Lite haben wäre das doch kein Problem, die Kommunikation kann somit über IPv6 laufen. Bei Fritz!Boxen funktioniert das mit der automatisch erstellten myFritz! DNS-Adresse auch gut mit sich möglicherweise ändernden IPv6-Adressen. In meinem Fall hat eine Seite DS-Lite und die andere eine öffentliche IPv4-Adresse. Auch das geht, die DS-Lite Seite kann ja normal mit der genatteten IPv4-Adresse auf die öffentliche Adresse der anderen Seite zugreifen.
Klar. Mir ging es eben um reines IPv4 auf Client-Seite. Hab das "Problem" in der Arbeit. Komm von überall auf meine myFritz-verteilte FB per Wireguard daheim, nur eben nicht von der Arbeit. Geht natürlich mit Sachen wie Tailscale, Zerotier, usw., aber die direkte Wireguard-Verbindung der FB geht leider nicht.
Hilfreich?
+1
macaldente
09.07.24
17:48
sudoRinger
Am einfachsten ist es, wenn Du Tailscale auf dem Mac und iPhone installierst
. So mache ich das.
Womöglich ist auch Twingate
eine Alternative, je nach Zweck der Verbindung.
Hilfreich?
0
marcel151
09.07.24
19:43
shakebox
Komm von überall auf meine myFritz-verteilte FB per Wireguard daheim, nur eben nicht von der Arbeit.
Gibt es von der DG keine IPv4-Adresse gegen monatliche Gebühr? So ist es ja bei den meisten anderen Anbietern.
Hilfreich?
0
sudoRinger
09.07.24
19:46
marcel151
Gibt es von der DG keine IPv4-Adresse gegen monatliche Gebühr?
Die Business-Tarife haben das.
macaldente
Womöglich ist auch Twingate
eine Alternative, je nach Zweck der Verbindung.
Kannst Du ein paar Worte dazu sagen, welche Vorteile Twingate hat und bei welchem "Zweck der Verbindung"? Ich schaue mir das gerade an.
Hilfreich?
+1
MikeMuc
09.07.24
20:54
sudoRinger
das ist unter anderem ein Draytek 28xx. Der ist bei der Telekom und hat ne feste IPv4 und in dem Fall wird die Verbindung von meiner FB aufgebaut. Aber von der DG „nach draußen“ sollte ja kein Problem sein.
Hilfreich?
0
FlyingSloth
09.07.24
21:24
Mit statisch oder nicht statisch hat das nichts zu tun. Die Deutsche Glasfaser vergibt IPv6 Adressen und IPv4 Adressen, aber während die IPv6 Adressen weltweit erreichbar sind, sind die IPv4 Adressen aus einem Adressbereich, der für "Carrier Grade NAT (CGNAT)" vorgesehen ist. Das liegt daran, dass der IPv4 Adressvorrat weltweit erschöpft ist und ISPs nur noch Restkontingente nach strengen Regeln und in kleinen Mengen bekommen. Die CGNAT-Adressen fangen mit 100... an und werden wie die meistens im Heimnetz verwendeten 192.168.x.y Adressen nicht im öffentlichen Internet geroutet. Um mit einer solchen Adresse trotzdem eine Verbindung ins Internet aufbauen zu können, muss ein Gerät zwischen dem Computer und dem Internet die Adresse umschreiben. Network Address Translation (NAT)". Für die Adressen im Heimnetz macht das der Router. Für die 100... Adressen macht das ein großer Router bei der DG. Man kann mit diesen Adressen nur Verbindungen vom Heimnetz ins Internet aufbauen, nicht umgekehrt vom Internet ins Heimnetz.
Um jetzt doch aus dem Internet auf das Netz zu Hause zugreifen zu können, gibt es mehrere Möglichkeiten. Die direkteste ist, IPv6 zu verwenden. Um auch mit IPv4 von außen zugreifen zu können, wird eine Zwischenstation im Internet benötigt. Diese Zwischenstation können technisch Versierte mit einem gemieteten (virtuellen) Server selbst schaffen, aber es gibt auch Dienstleister, die das fertig anbieten, z.B. feste-ip.net. Dort gibt es auch ausführliche Anleitungen, wie das konfiguriert wird.
„Fly it like you stole it...“
Hilfreich?
+3
macaldente
09.07.24
23:27
sudoRinger
Kannst Du ein paar Worte dazu sagen, welche Vorteile Twingate hat und bei welchem "Zweck der Verbindung"? Ich schaue mir das gerade an.
Es ist eine der bekannten ZTNA Lösungen. Womöglich ist Tailscale ähnlich gut, habe ich aber noch nicht probiert. Jedenfalls ein neues Konzept um VPN in Rente zu schicken, allen voran im Geschäftsbereich. Aber auch privat kann man es nutzen, gratis bis 5 User. Christian Lempa erklärt das sehr gut auf seinem YouTube Kanal
Im Geschäftsbereich wurde VPN schon durch ZTNA abgelöst - natürlich nicht komplett, es dauert ja immer Dekaden, bis manche bemerken, dass sie technologisch Jahre zurück liegen. Hier ein bekanntes Video vom CCC dazu
Hilfreich?
+1
macaldente
09.07.24
23:31
Es gibt aber nach wie vor noch gute Anwendungsbereiche für VPN. ich nutze selbst einen Wireguard VPN Tunnel, um eine IP im benachbarten Ausland für TV Livestream zu nutzen.
Hilfreich?
0
sudoRinger
10.07.24
00:08
macaldente
Es ist eine der bekannten ZTNA Lösungen. Womöglich ist Tailscale ähnlich gut, habe ich aber noch nicht probiert. Jedenfalls ein neues Konzept um VPN in Rente zu schicken, ...
Twingate läuft, sogar parallel zu Tailscale. Twingate erfordert die Installation von einem Connector und stellt dann Verbindungen mit bekannten IP-Nummern her (192.168.1.0/24). Der Test mit iPhone im Mobilfunknetz und Connector in einer Fedora-VM funktioniert auf Anhieb, um ins Heimnetz zu kommen.
Tailscale braucht keine Connectoren, nutzt aber bei Bedarf einen Relay von Tailscale. Es gibt dann IP-Nummern nach dem Schema 100.x.x.x.
Danke für den Hinweis auf Twingate.
Hilfreich?
+1
xcomma
10.07.24
11:25
Wenn man das Zerotrust in ZTNA noch weitertreiben will, könnte man die Infrastruktur auch selbst hosten
Z.B. mit dem Tailscale-Konkurrenten "Netbird"
aus Berlin.
Quelle:
https://forums.lawrencesystems.com/t/overlay-networks-tailscale-netbird-netmaker-zerotier/19817
Neben einigen Youtube Clips auf der verlinkten URL vom Lawrence Systems Artikel, hat Christian Lempa ebenfalls diese Alternative mal beleuchtet:
Hilfreich?
+2
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.
Übersicht: Lieferzeiten für die neuen Macs
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Eskalationskurs: ARM kündigt Qualcomm die Desig...
M4 Max: Noch beeindruckendere Benchmark-Ergebni...
Apples Eskalationskurs und Gebühren-Wirrwarr
2025: Apple und Smart Home
Apple plant IP-Kameras
Mac mini mit M4