OPNsense Forum
International Forums => German - Deutsch => Topic started by: Marcel_75 on September 11, 2019, 07:27:27 pm
-
Hallo zusammen,
hatte vor vielen Monaten schon mal einen größeren Thread eröffnet, in dem es um DynDNS, OpenVPN etc. ging – und letztlich stellte sich dabei heraus, dass das Hauptproblem das CGN des Anbieters war (damals noch Tele Columbus, jetzt PYUR).
Die Lösung war, beim technischen Support des Kabelanbieters eine "echte" IPv4 zu beantragen, die dann auch wieder ganz normal "von außen" erreichbar ist. Das hat nun viele Monate problemlos funktioniert (es war zwar keine feste IP, aber Dank meines DynDNS-Accounts war das auch nicht weiter schlimm – immerhin war sie normal erreichbar, so dass ich mich mittels DynDNS-Adresse auch zu meinem OpenVPN-Server verbinden konnte).
Nun, nach einer Umstellung meines Anschlusses von 400 Down / 12 Up auf 1.000 Down / 50 Up, befinde ich mich wieder in diesem verdammten CGN – aktuell wurde die 100.74.200.187 zugewiesen … :(
(meine angebliche 37.120.24.188 ist leider nicht meine "echte" von außen erreichbare IPv4-Adresse)
Hier kann man das übrigens schnell und einfach prüfen: https://www.whatismyip.com/ip-address-lookup/
Zwar hatte ich bei Vertragsabschluss sogar schriftlich darauf hingewiesen, dass ich eine echte IPv4-Adresse benötige, also nicht in ein CGN gesteckt werden möchte – das wurde aber einfach ignoriert. Und jetzt redet man sich damit heraus, dass IPv4-Adressen grundsätzlich nicht mehr herausgegeben werden bei diesen neuen Verträgen.
Lange Rede kurzer Sinn: Was kann ich tun?
Wahrscheinlich ist IPv6 dann die beste Option? Der Anschluss liefert tatsächlich auch eine IPv6-Adresse, nur kenne ich mich damit überhaupt nicht aus bisher.
In der Fritzbox (eine 6591) wird mir die aktuelle IPv6-Adresse und auch das IPv6-Präfix angezeigt.
Bei der IPv6-Adresse und beim IPv6-Präfix steht dann noch zusätzlich "Gültigkeit: 1206473/601673s". Was genau heißt das für mich? Ändert sich die IPv6 also auch ab und an (wie ja sonst auch die IPv4)?
Und könnte ich meinem DynDNS-Dienst eventuell diese IPv6-Adresse "beibringen"?
Meine OPNsense läuft als "exposed host" hinter der Fritzbox, sämtliche Netzwerkgeräte gehen auch nur über diese OPNsense online.
Vielen Dank im Voraus für Eure Unterstützung.
-
Zwar hatte ich bei Vertragsabschluss sogar schriftlich darauf hingewiesen, dass ich eine echte IPv4-Adresse benötige, also nicht in ein CGN gesteckt werden möchte – das wurde aber einfach ignoriert. Und jetzt redet man sich damit heraus, dass IPv4-Adressen grundsätzlich nicht mehr herausgegeben werden bei diesen neuen Verträgen.
Lange Rede kurzer Sinn: Was kann ich tun?
Wenn es in den Vertrag mit eingeflossen ist im worst case einen Juristen bemühen und die nicht gelieferten Leistungen einklagen.
Wahrscheinlich ist IPv6 dann die beste Option? Der Anschluss liefert tatsächlich auch eine IPv6-Adresse, nur kenne ich mich damit überhaupt nicht aus bisher.
In der Fritzbox (eine 6591) wird mir die aktuelle IPv6-Adresse und auch das IPv6-Präfix angezeigt.
Bei der IPv6-Adresse und beim IPv6-Präfix steht dann noch zusätzlich "Gültigkeit: 1206473/601673s". Was genau heißt das für mich? Ändert sich die IPv6 also auch ab und an (wie ja sonst auch die IPv4)?
Ja, kann man dynamisch vergeben.
Und könnte ich meinem DynDNS-Dienst eventuell diese IPv6-Adresse "beibringen"?
Nein, da das die falsche IP adresse sein wird. Alle Geräte werden ihre eigene IP-Adresse haben. Das heißt die brauchen auch eigene Hostnamen und müsen das DynDNS daher selber machen. Eine Ausnahme währe, wenn du ein NAT66 hast oder einen Proxy Server verwendest.
Meine OPNsense läuft als "exposed host" hinter der Fritzbox, sämtliche Netzwerkgeräte gehen auch nur über diese OPNsense online.
Vielen Dank im Voraus für Eure Unterstützung.
Das ist eine IPv4-Krücke. Ist für IPv6 NICHT notwendig. Checke einfach die FW-Regeln ob die FritzBox von außen rein lässt.
-
Danke schon mal für die schnelle Antwort.
Bei der OPNsense hatte ich bisher IPv6 weitestgehend deaktiviert, kann das aber natürlich auch wieder aktivieren wenn es Sinn macht.
Was genau soll ich denn machen bzw. prüfen, wenn ich nicht diese "exposed host"-IPv4-Krücke nutzen soll?
Die OPNsense muss ich ja "hinter" der Fritzbox betreiben, da die Fritzbox das Modem beinhaltet. Im "bridged mode" ist die Fritzbox jedoch nicht (so dass sie als reines Modem funktioniert), glaube auch gelesen zu haben, dass das gar nicht möglich ist bei diesen "gebrandeten" Geräten.
-
Hallo,
wollte noch anmerken, dass du wahrscheinlich für die IPv4 kämpfen musst. Du wirst vermutlich nicht alle Dienste auf IPv6 verfügbar bzw. für alle erreichbar bekommen.
Sollte dein Dienst dann zwar über DynDNS eine IPv6 Adresse bereitstellen, muss du von extern auch einen Weg zu der IPv6 Adresse haben. Entweder du kannst extern in dem Moment auch IPv6 (auch 2019 eher nicht immer gegeben) oder du hast irgend eine Hilfskrücke die es erlaubt auf IPv6 zu connecten.
Meiner persönlichen Erfahrung möchtest du auf IPv4 noch nicht wirklich verzichten. Leider.
VG,
Dominik
-
Bei der OPNsense hatte ich bisher IPv6 weitestgehend deaktiviert, kann das aber natürlich auch wieder aktivieren wenn es Sinn macht.
Ja, solltest du.
Was genau soll ich denn machen bzw. prüfen, wenn ich nicht diese "exposed host"-IPv4-Krücke nutzen soll?
Gar nix. Wenn du IPv6 richtig einrichtest, hat jedes Gerät eine öffentliche IP und ist daher direkt aus dem Internet ansprechbar (vorausgesetzt keine Firewall blockiert das).
Exposed / DMZ Host bedeutet, dass ein NAT-Gerät für IPv4 alles was es nicht kennt, über ein Destination-IP-Rewriting an einen anderen Host weiterleitet. Da du bei IPv6 aber nicht mehr mit der IP-Adresse des Routers kommunizierst sondern direkt mit dem Host, kannst du dir den unnötigen Zwischenschritt sparen. Dein Router macht also das, wozu er da ist -> Pakete von einem IP-Netz ins nächste weiterleiten.
-
So, anbei noch einmal eine Rückmeldung meinerseits.
Kurzgefasst: Es lohnt sich, da dran zu bleiben und weiter Druck zu machen. Ist anstrengend, führte aber letztlich zum Erfolg – man kommt aus dem CGN auch wieder raus!
Natürlich hat man das Problem, dass man (leider) immer wieder mal Mitarbeiter in der Hotline erwischt, die einem dann falsche Auskünfte geben wie z.B.:
- das ist nicht möglich bei Privat-Anschlüssen, sondern nur bei Business-Anschlüssen (wobei dort offensichtlich missinterpretiert wurde, dass ich eine 'feste IP' möchte … aber darum ging es mir ja gar nicht)
- das wird nicht mehr gemacht bei neuen Anschlüssen / Vertragsarten (stimmt auch nicht)
- das können sie nicht machen, sondern muss der 2nd-Level-Support übernehmen (auch das ist offensichtlich nicht korrekt, siehe weiter unten)
Nach fast zwei Wochen hatte ich dann Glück, und endlich mal einen PYUR-Mitarbeiter aus dem technischen Support am Telefon, der nach Rücksprache mit einem weiteren Kollegen das CGN für meinen Anschluss / meine Fritzbox deaktivierte – und keine halbe Stunde später hatte ich endlich wieder eine problemlos von außen erreichbare IPv4-Adresse.
War wirklich nicht einfach (vor allem sehr zeitaufwändig), aber dass das gar nicht mehr geht bzw. gemacht wird, stimmt einfach nicht. Und das wollte ich hier noch mal loswerden, vllt. hilft es ja dem einen oder anderen Betroffenen in der Zukunft.
PS: Ergänzend noch als Info dazu – das Ticket wurde frecherweise sogar schon geschlossen bei denen, und erst als ich damit drohte, den Anschluss zu kündigen, kam da dann doch noch einmal etwas in Bewegung. Außerdem wurde meine Mobilfunknummer, die als Kontakt hinterlegt war, abgewiesen – wenn ich offiziell mit dieser anrief, kam ich erst gar nicht bis zum Auswahlmenü, ebenso nicht, sobald ich meine Kundennummer angab. Es half nur, mit unterdrückter Rufnummer anzurufen (anonym) und dann auch so zu tun, als ob man die Kundennummer gerade nicht zur Hand hätte – erst dann kam man bis zum technischen Support durch (oft verbunden mit minimum 10 min bis zu 30 min Wartezeit, aber das war mir einfach zu wichtig und ich übte mich in Geduld).
-
Wenn man als Kunde bei einem Dienstleister geblockt wird, sollte man sich einen anderen Provider suchen dem man monatlich sein Geld überweist.
-
Wenn man als Kunde bei einem Dienstleister geblockt wird, sollte man sich einen anderen Provider suchen dem man monatlich sein Geld überweist.
Bin da ganz bei Dir, leider hat man aber bei Kabel-Anschlüssen keine Chance – denn da gibt es immer (auf 10 oder sogar 12 Jahre "festgenagelt") nur einen Anbieter, den der Hauseigentümer bzw. die Hausverwaltung bestimmt – da ist keine Wahlfreiheit gegeben … >:(
Wirklich "freiwillig" ist wohl niemand bei Tele Columbus / PYUR … ;)
Allein schon, wenn ich sehe, dass Kabel Deutschland / Vodafone die 50 MBit Up auch bei jedem anderen (langsameren) Anschluss für einen Bruchteil der Kosten anbietet, und ich bei PYUR den 1.000er-Anschluss für 88,- € im Monat nehmen muss, wenn ich auch 50 MBit Up haben möchte (der nächstkleinere Tarif, den ich vorher hatte ist einer mit 400 Down und nur 12 Up …).
-
@Marcel: Autsch das liest sich wirklich gruselig. War allerdings richtig dranzubleiben, denn der Verweis auf "Neuverträge" und sonstiges Blabla ist faktisch falsch. Ein Upgrade deiner Verbindung ist keinen Grund deinen Anschluß "neu" zu vergeben, es hätte alles gleich bleiben müssen. Vor allem da du drauf hingewiesen hast. Ist mir aber auch bei Kunden immer häufiger schon passiert, dass da versucht wird zu mauscheln (egal wo) um wieder mehr Adressen frei zu bekommen. Dämliche Unsitte sowas.
Trotzdem ist es sicher nicht verkehrt wenn du auch trotzdem wieder versuchst, deine IP6 von außen zugänglich zu machen bzw. das IP6 bei dir ordentlich aufsetzt, denn über kurz oder lang (leider wahrscheinlich) wird das einfach die normale Art sein. Und schon jetzt ist es kein großer Act seine Sense via v4 & v6 gleichzeitig fitt zu machen um beides zu können.
Grüße