10.06.2022, aktualisiert um 15:04:34 Uhr

7245

105

2 Netzwerke. 2 Fritzrouter. 1x Glasfaser. 1x DSL. Datenaustausch wie?

Folgendes Grundproblem.
Wir haben im Haus 2 verschiedene Internet Anschlüsse. Wir wohnen auf dem Land.
Hier schreit das DSL mit 3.5MBit aus der Leitung. Deshalb Glasfaser verlegt. 450m selber bis...
Andere Geschichte...

Der Glasfaseranschluss bring 93MBit gemessen. Deshalb hängen die meisten Geräte dort dran.
Der Anschluss stellt mich vor ein Problem. Ich greife von extern gerne mal in mein Netz.
Auf einen Server. Auf Daten diverser anderer Homematic gerät z.B.

Der Glasfaseranschluss kommt von Inexio. Die vergeben keine öffentliche IPV4 Adresse.
Und da beginnt das Drama. Über diesen Anschluss komme ich über MyFritz bis auf die Fritte.
( Über die App. ) Über die Website Myfritz schlägt die Verbindung komplett fehl.
Sehe dann auch noch die Geräte die dahinter hängen. Kann sie aber nicht ansprechen.
Bekomme also keine Daten aus meinem Heimnetz. Über DynDNS und diverse Anbieter
hatte ich bislang auch keinen Erfolg.
Und bei Angabe der IPV6 Adresse passiert das selbe. Letztendlich funktioniert es nicht.
Das System meldet immer der Router sitzt hinter einem Proxy und vergibt einen ZONK.

Anders ist die Sache mit dem vorhandenen DSL Anschluss. 1und1.
Da kann ich Geräte die hinter der Fritz hängen ansprechen. Und Daten sehen.

Um das VPN Drama zu umgehen ( Hat schon viele Stunden testen ohne Erfolg gekostet )
wäre der Gedanke über die DSL Leitung auf die Geräte im Glasnetz zuzugreifen.
Dazu müsste ich die Netzte irgendwie kombinieren.
Habe auch schon diverses über Routing gelesen.
Aber hier scheitern irgendwann meine Gehirnwindungen. Ich schnall nicht wie.

Gedanke war einfach eine Netzwerkkabel zwischen den beiden Routern.
Erster Schritt beiden Routern eigenen IP Netzte zu geben.
Z.B. 192.168.1.1 und 192.168.2.1
Dann die daran hängenden Geräte per DHCP IPs geben lassen.
Über das Verbindungskabel sollten sich die beiden erstmal nicht sehen.
Weil verschiedene IP Kreise vorhanden sind.
Ich dachte jetzt könnte man irgendwo einfach eine Subnetzmaske oder so vergeben.
Da fehlt mir jedoch nun das weitere Verständnis.

Unten das momentane Schema. Der Server hat 2 Netzwerkanschlüsse.
Bekommt von jeder Fritte eine eigene IP. Sonst gibt es im Moment keine Verbindung.

Kann mir da jemand weiter helfen wie ich das am einfachsten regel?

Danke!

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 3040606775

Url: https://administrator.de/contentid/3040606775

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

105 Kommentare

Neuester Kommentar

Hallo,

um deine beiden Netzt zu verbinden, brauchst du einen Router zwischen ihnen:

Fritz1(beliebiger Switch-Port) --- Router --- Fritz2(beliebiger Switch-Port)

Als (LAN to LAN-) Router kommt irgend etwas von MikroTik in Frage.

Natürlich könnte man auch ein größeres Redesign des Netzes mit zentralem L3-Switch und einem Router mit 2 WAN-Anschlüssen machen, aber das ist wohl zu aufwändig.

Jürgen

Moin,

schmeiß die beiden Fritten weg, Hol Dir einen DUAL-WAN-Router und zwei Modems (einer für DSl und einer für Glasfaser) und werde glücklich. So hast Du dann auch gleich ein failover, wenn eine Leitung ausfällt.

lks

Das System meldet immer der Router sitzt hinter einem Proxy und vergibt einen ZONK.

Das ist normal und erwartbar bei einem DS-Lite Anschluss mit Provider CGN und mittlerweile auch jedem Laien bekannt.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Mit DS-Lite sind remote IPv4 Zugriffe durch das zentrale Provider NAT (Adress Translation) nicht mehr möglich nur noch per IPv6.
IPv4 klappt nur noch mit einem Jumphost oder anderer FB die einen v4 Zugang hat wie hier beschrieben:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Feste IPs zuhause in pfsense via WireGuard Tunnel
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Die Frage ist warum du es nicht einfach mit IPv6 löst. Damit ist es ein Kinderspiel.

Kollege @Lochkartenstanzer hat es oben aber schon richtig gesagt...
Die beste Lösung ist und bleibt bei so einem Design ein Dual WAN Router.

Zitat von @Lochkartenstanzer:

Moin,

schmeiß die beiden Fritten weg, Hol Dir einen DUAL-WAN-Router und zwei Modems (einer für DSl und einer für Glasfaser) und werde glücklich. So hast Du dann auch gleich ein failover, wenn eine Leitung ausfällt.

lks

Geht nicht. An den Dingern hängt unser Telefon und die Teile sind in verschiedenen Gebäuden.
Failover ist so schon vorhanden. Zwei WLAN die fast überall beide zu empfangen sind.

Geht nicht.

Wie immer laienhafter Unsinn, denn hinter dem Dual WAN Router könntest du deine FritzBox als stinknormale Telefonanlage weiterbetreiben. Wenn du schon an solch simplen Banalitäten scheiterst wird es sicher nicht einfach für dich so ein einfaches Stanbard Konzept umzusetzen. Aber egal...

Noch mal. Das ist räumlich getrennt.

Es gibt wie immer Kupfer, Glasfaser oder Funk was man zur Kopplung verwenden kann.

Sorry, aber sowas weiss man doch alles vorher BEVOR man einen DS-Lite Vertrag unterschreibt und sich bindet.
Abgesehen davon ist doch mit IPv6 alles auch problemlos lösbar?!

Zitat von @aqui:

Das System meldet immer der Router sitzt hinter einem Proxy und vergibt einen ZONK.

Ich bin zwar sehr Computeraffin, scheitere aber was das Netzwerkgedöns angeht.
Allein in dem kuzen Abschnitt stehen diverse sachen die für mich böhmische Dorfer sind.
DS Lite, CGN ( Kenne ich als Flugplatz Köln Bonn, dass issses aber vermutlich nicht... ) Jumphost...
Keine Ahnung worum es da geht.

Ich brauche auch wie gesagt keine Fallback auf die alte Internetverbindung. Das soll getrennt bleiben.

Wir haben es auch schon mit IPV6 versucht. Das Ergebnis ist das Selbe. Kein Zugriff.
Mit diversen DynDNS Anbietern. JEmanden der auch gleich gesagt hat: KEEEEIIINN Problem.
Nach 2 Stunden hat er dann auch erstmal aufgegeben.

Ich bin aber gerne bereit mir nochmal von jemanden helfen zu lassen.
Gerne auch per Teamviewer oder so.

Zitat von @aqui:

Es gibt wie immer Kupfer, Glasfaser oder Funk was man zur Kopplung verwenden kann.

Sorry, aber sowas weiss man doch alles vorher BEVOR man einen DS-Lite Vertrag unterschreibt und sich bindet.
Abgesehen davon ist doch mit IPv6 alles auch problemlos lösbar?!

Leute, ich bin ein totaler Normalo. Ich weis sowas nicht vorher. Und es gibt hier auch keine Alternative.
Es gibt nur den einen Glasfaser Anbieter. Und das DSL geht nicht schneller hier im Aussenbereich.
Funk geht auch nicht. Funkloch hinter einer Endmuränendüne in der Heide.
Jetzt faltet mich nicht klein sondern wenn jemand ein Herz hat so helfe er mir.

Hallo,

des Lesens nicht mächtig?

Gleich in der 1. Antwort habe ich dir eine Lösung aufgezeigt. Was passt dir an der nicht?

Natürlich sind die anderen Lösungen besser/professioneller (habe ich oben ja auch geschrieben), es geht aber auch anders.

Jürgen

Helfen wird auch nicht einfach bei den Rahmenbedingungen. Fassen wir mal die Fakten zusammen...

Das Beste wäre der Dual WAN Router. -->> Scheitert weil wohl die Anschlüsse weit weg liegen und sie, warum auch immer, nicht zusammengebracht werden können.
Das Zweitbeste wäre DSL und Glasfaser mit den 2 Routern auf einem Segment oder mit einem Koppelrouter zusammenzulegen. Siehe Empfehlung des Kollegen @chiefteddy -->> Scheitert ebenso am gleichen Argument wie oben weil wohl die Anschlüssen weit weg liegen und sie nicht zusammengebracht werden können.
Ob eine Kopplung der beiden Anschlüsse über längeres Kabel, sei es Glas oder Kupfer oder auch Funk generell möglich ist äußert der TO sich leider nicht. Es wäre aber eine wichtige, wenn nicht DIE wichtigste Grundvoraussetzung für eine sinnvolle Lösung.
Als einzige Option bleibt dann nur ein vServer als Jumphost von dem man per FritzBox VPN eine Connection aufmacht und den v4 Traffic dann so ins lokale Netz gibt. Alternativ kann man das mit einer weiteren FritzBox von Familienmitgliedern machen die einen v4 Anschluss haben.

Mehr Optionen gibt es dann de facto technisch nicht diese Anforderung zu lösen zumindestens was den IPv4 Zugang betrifft.
Auch in einem Admin Forum nicht. Physik kann man eben nicht überlisten...
Wer solche DS-Lite Verträge unterschreibt sollte VORHER seine Anforderungen kennen und dann die Vor- und Nachteile abwägen ob er die tragen will oder eben nicht. Macht man im Leben ja eigentlich auch immer so...

Letztlich bleibt die Frage warum der TO das nicht alles zukunftsorientiert mit IPv6 löst? Damit ist der Zugang auf alle Resourcen auch mit der FritzBox problemlos möglich.
Als letzten Ausweg könnte man den Provider (Inexio) kontaktieren und nach einem Business Account fragen der dann mit einer IPv4 verbunden ist. Ist aber wie einen vServer Miete eine Kostenfrage.
Such dir das Schönste raus aus den obigen Optionen... Case closed...

Zitat von @chiefteddy:

Hallo,

des Lesens nicht mächtig?

Gleich in der 1. Antwort habe ich dir eine Lösung aufgezeigt. Was passt dir an der nicht?

Natürlich sind die anderen Lösungen besser/professioneller (habe ich oben ja auch geschrieben), es geht aber auch anders.

Jürgen

Ich suche schon nach MikroTik...

Würde es evt, mit dem TP-Link Archer V7 schon gehen?
Ich könnte da den Switch und den Archer tauschen.
Dan wäre der Archer an einer Stelle an beide LAN Kabel vorbei kommen.
Evt. wäre dann einer nicht glücklich weil die WLAN Abdeckung an einer Stelle Marode wird.
Aber zum ausprobieren ob man es hin bekommt...

Zitat von @aqui:

Letztlich bleibt die Frage warum der TO das nicht alles zukunftsorientiert mit IPv6 löst? Damit ist der Zugang auf alle Resourcen auch mit der FritzBox problemlos möglich.

Wir haben es auch schon mit IPV6 versucht. Das Ergebnis ist das Selbe. Kein Zugriff.
Mit diversen DynDNS Anbietern. JEmanden der auch gleich gesagt hat: KEEEEIIINN Problem.
Nach 2 Stunden hat er dann auch erstmal aufgegeben.

Als letzten Ausweg könnte man den Provider (Inexio) kontaktieren und nach einem Business Account fragen der dann mit einer IPv4 verbunden ist. Ist aber wie einen vServer Miete eine Kostenfrage.

Wir wollen nicht noch mehr ausgeben. Kann doch nicht so schwer sein 2 Netzwerke miteinander reden zu lassen.
Der verhinderte Zugriff von Aussen ist nur der Auslöser. Die Frage war wie ich die beinen Netze Verknüpfe.

Such dir das Schönste raus aus den obigen Optionen... Case closed...

Hallo,
natürlich geht das auch mit einem Internet-Router. Das ist aber ein WAN-LAN-Router mit NAT, Firewall usw. Das muss alles konfiguriert werden. Bei einem LAN-LAN-Router (Mikrotik) geht es leichter.

Jürgen

Wir haben es auch schon mit IPV6 versucht.

Mal im Ernst. Bei DS-Lite Anschlüssen wie deinem arbeitet die ganze Internet Kommunikation auf IPv6 Basis.
Die laienhafte Aussage Kein Zugriff. kann man in einem Administrator Forum nicht wirklich glauben.
Vermutlich ist hier durch schlichte Unkenntniss der Materie viel falsch gemacht worden im Setup, denn den Zugriff auf IPv6 Adressen im lokalen Netz muss man in der FB explizit in deren Firewall freigeben. DynDNS ist also nur ein kleiner Teil des Setups. Auch hier supporten die meisten der DynDNS anbieter wie auch MyFritz längst IPv6. Und das arbeitet nachprüfbar fehlerlos auch mit IPv6.
Entweder ist das gar nicht oder falsch bzw. fehlerhaft in der FB umgesetzt worden. Dann muss man sich auch nicht wundern das die v6 Kommunikation scheitert.
Da du das hier nicht weiter beschreibst kann man auch nicht helfen, aber zu 98% ist das ein Fehler im v6 Setup der FB.

Wir wollen nicht noch mehr ausgeben.

Na ja... auch das kann man nicht wirklich ernst nehmen bei popeligen 20 Euro für einen Router der das problemlos leistet.

Kann doch nicht so schwer sein 2 Netzwerke miteinander reden zu lassen.

Nein, ist es auch nicht. Dieses Tutorial beschreibt ja im Detail wie das einfach und schnell zu machen ist!
Du hast schlicht und einfach dafür aber die falsche Hardware bei dir womit es nicht zu realisieren ist und warum die Archer Gurke oben nicht geht. (Nicht abschaltbares NAT (Adress Translation)). Ggf. kann man da eine freie Firmware wie OpenWRT oder DD-WRT installieren die das Manko beseitigt aber das ist es dann sinnvoller die 20 Euro von oben zu investieren in einen Router mit entsprechendem Featureset.
Das ist so wenn du auf dem Nürburgring mal etwas Gas geben willst (Netzkopplung) aber hast nur einen Tretroller (FritzBox). Dann fragst du einen Porsche Mechaniker dort (Admin Forum) das es doch nicht so schwer sein kann hier mal ein bisschen Gas zu geben....
Was erwartest du also wird dieser dir antworten wenn er deinen Tretroller sieht??
Genau darum geht es in den Thread hier...

Gehts mit dem hier?

Mikrotik hAP ac²

Dann könnte ich ggf auch noch eine weitere Ecke besser mit WLAN beleuchten.

Zitat von @aqui:

Wir haben es auch schon mit IPV6 versucht.

Wir wollen nicht noch mehr ausgeben.

Na ja... auch das kann man nicht wirklich ernst nehmen bei popeligen 20 Euro für einen Router der das problemlos leistet.

Kann doch nicht so schwer sein 2 Netzwerke miteinander reden zu lassen.

Du srachst von einem Business TARIF, nicht von 20€ für einen Router.

Für Euch scheint das alles hier sehr einfach zu sein. Für mich ist das böhmisch.
Ich könnte hier jetzmal anfangen zu erklären wie man einen Jet fliegt.
Und mit Fachbegriffen nur so um mich werfen. TACAS, VOR, NDB, AP Modes V/S, LVLCHGE,
ATC, Flaps, Slats, Stop Margin, ASDA, uswusw.
Da sieht der Laie dann auch recht schnell sehr alt aus.

Ich bin Netzweit in sher vielen Foren unterwegs.
Allerdings habe ich es noch nie erlebt, dass man nach 2 Beiträgen für vollbescheuert erklärt wird.
Ich bin es eher gewohnt, dass man auch praktisch hilft.
So wie ich es in meinem Metier fast täglich tue.

Aber hier fühle ich mich nicht wirklich wohl...

Hallo,

wie der Name schon sagt, ist das ein Administrator-Forum (solltest jedenfalls sein). Hier wollen sich Profis (oder die sich dafür halten

) über Probleme austauschen. - ja, auch sie haben Mal ein Problem -

Und dann kommen Einsteiger und fragen - gefühlt zu 100. Mal - irgend etwas simples und Wunder sich, dass sie eine Profi-Lösung angeboten bekommen.

Und dann ist es Freitag Abend und die berühmte Freitagsfrage nervt.

Für Einsteiger gibt es andere Informationsquellen.

Jürgen

Ok. Danke. Ich steig hier aus und frag mich woanders durch...

Letzte Frage. Habe gerade eine ältere Inof gefunden die auf einen ähnlichen Fall hinweist.

Meine Glasfaserfritz hat ehr fast alle Geräte weil große Bandbreite.
Auf der DSL Fritte liegen nur 3 Geräte. Der Server mit einem Anschluss, ein Homematic Gerät und ein Receiver.
Ich vergebe bei Geräten die immer immer im Netzwerk sind oder oft immer feste IP Adressen.
Und schon immer in beiden Netzwerken die selben. Da sollte es keine Konflikte geben wenn ich die mische.

Plan:
Ich lasse die Glasfritz weiter als DHCP Server laufen.
Den DHCP Server in der DSL Fritz schalte ich aus.
Glasi hat 192.168.178.1
DSelli bekommt 192.168.178.2

Die drei Mohikaner bekommen als Standardgateway 192.168.178.2 verpasst.
Die drei gehen dann über DSL ins Netz
Alle neuen bekommen dann vom DHCP eh eine Adresse und das Standardgateway wir 192.168.178.1 sein.

Jetzt verbinde ich über den Switch die beiden Netzwerke.
Dann sollte ich doch ob von Glasi aus die 3 Monikaner ansprechen können.
Oder Denkfehler?

Zitat von @chiefteddy:

Hallo,

wie der Name schon sagt, ist das ein Administrator-Forum (solltest jedenfalls sein). Hier wollen sich Profis (oder die sich dafür halten

Na aber erlaubt einem durch seinem eigenen Unmut jemanden, welcher Hilfe benötigt und hofft in einem "Profiforum" die Antwort zu bekommen, runter zu buttern? -> denke nicht.

Und falls das Forum ausschließlich für Profis sein sollte dann müsste man sich vllt. um eine Qualifikationsabfrage bemühen.

Nicht jeder ist Profi bzw. jeder kann auch Mal einen Denkfehler haben.

Hi,

Jetzt verbinde ich über den Switch die beiden Netzwerke.

Ich dachte das geht alles nicht, weil räumlich getrennt?

Oder Denkfehler?

Naja dann sind alle im gleichen Netzwerk und jeder kann jeden sehen und mit jedem Sprechen. Es gibt nur 2 unterschiedliche Gateways ins Internet.
Im Prinzip ist das genau die Lösung von LKS, nur dass du die Wege ins Internet per Hand vergibst (deine festen IP-Adressen), anstatt das den DualWAN Router automatisch regeln zu lassen.

Das alles ist mit der Zeichnung und den Erklärungen inzwischen etwas wirr geworden.
Meine persönliche Empfehlung (Wenn deine Idee nicht klappt): Es gibt bei dir in der Nähe sicherlich eine IT-Bude, die zumindest grundlegende Netzwerktechnik versteht.
Frag dort, ob die sich das mal ansehen und ein Angebot schreiben.
Mit mehreren Gebäuden, 2 Anschlüssen an unterschiedlichen Ecken, teilweise Verbindungen die dann aber doch vll. nicht so ganz nah sind (Archer und Switch z.B.?) ist das aus der Ferne eine ewige Fragerei, vor Ort eine Sache von max. 30min inkl. erster Schätzung was das kosten darf. Wir reden hier über einmalige Kosten die sicherlich nicht in die Tausende gehen.

Gruß
Drohnald

P.s.: Nimm es den Admins hier nicht allzu krumm. Die meisten sind von ihrem Wissensstand so weit weg von den Anwendern, dass sie sich die Hirnblockade von Fachfremden manchmal nicht mehr vorstellen können. Wie Professor und Erstsemester.

Zitat von @Drohnald:

P.s.: Nimm es den Admins hier nicht allzu krumm. Die meisten sind von ihrem Wissensstand so weit weg von den Anwendern, dass sie sich die Hirnblockade von Fachfremden manchmal nicht mehr vorstellen können. Wie Professor und Erstsemester.

Als ich angefangen habe zu studieren, waren die meisten Professoren soweit von der Praxis weg, daß die nicht einmal wußten, wie man einen Computer einschaltet. Da konnten die meisten Erstsemester in Informatik denen noch etwas vormachen.

Zitat von @Drohnald:

Hi,

Jetzt verbinde ich über den Switch die beiden Netzwerke.

Ich dachte das geht alles nicht, weil räumlich getrennt?

Oder Denkfehler?

Also. Es gibt eine Stelle an der ich von beiden Netzwerken ein Kabel habe.
Da wo das NAS steht. Das ist ein DS220 mit 2 Netzwerkanschlüssen.
Da ist allerdings zwischen der Glasfritte noch der Archer und etwa 50m Netzwerkkabel. Cat 5.
Dieses NAS habe ich extra gekauft weil ich vor 2 Jahren schon nicht durch das Routing geblickt habe.
So bin ich dem Problem aus dem Weg gegangen. Ich kann von beiden Netzen auf das NAS.

Jetzt ist jedoch der Gedanke durch die DSL Fritte auf den Rest zu sehen.
Und da selbst ein Netzwerkprofi erstmal gesagt hat er schnallt auch nicht warum das mit
IPV6 über den Anbieter Inexio nicht geht kam ich auf die Idee von der anderen Seite zu arbeiten.
Die Seite die als 1und1 DSL mit IPV4 funktioniert. Momentan brauche ich da keine Bandbreite.
Wäre aber schön im Urlaub mal zu sehen wie es der Elektrik im Haus geht. PV, Batterie, BMS...

Das total bekloppte an Inexio ist. Er kann nicht gar nicht gehen.
In dem Netz hängt eine Überwachungskamera mit eigener App. Die App hat Zugriff...
Das NAS habe ich auch versucht zum Fernzugriff zu überreden.
Wieder das gleiche Spiel. Sowohl IPV4 ls IPV6 scheitert. Auch mit Synology Dyndns.
Und ich weis auch, dass da Freigaben definiert werden müssen. Auch das haben wir erfolglos gemacht.

Deshalb war ja das Angebot, dass da vielleicht mal einer mit Teamviewer rein sieht.
Und dann sagt: Was habt ihr Vollpfosten denn da gemacht?
Ihr müsst bei IPV6 nicht Port XY nehmen sondern 4712 sonst wird dad nix...
Irgendwas was wir übersehen haben...

Auf der DSL Seite geht das alles. Aber da hängt nur das NAS drin welches ich brauche.
Das hatte sich auch standhaft geweigert Daten auszuspucken. Jetzt geht es allerdings.
Nur nicht auf meinen Pixel 4a Androiden mit Droid 12. Ds geht aus irgendeinem Grund nicht.
Der Fehler ist allerdings bekannt und liegt am Pixel.
Jedoch mit jedem anderen PC kann ich remote Daten aus dem Rechner zaubern.

Ich habe den Fall auch schon einem befreundeten Netzwerkprofi gezeigt.
Der hat sich gestern erstmal weggeschmissen und mir geschrieben
er denkt in einer ruhigen Minute mal darüber nach.
Der Verwaltet irgendwo Netzwerke mit mehreren hundert Rechnern.

Dann nochmal die Frage:
Würde der Mikrotik hAP ac² als Vermittlungsrechner taugen?
Der hat auch noch WLAN und vielleicht kann ich dem dann noch beibringen, dass Klienten
die sich hier einloggen über die Glasfaser Leitung ins Netz gehen.
An der Location leuchtet bislang das DSL WLAN durch die Bude. Und das ist oftmals zäh...

( Ich habe gestern Filiuns runter geladen und experimentiere rum um es zu schnallen... )

Je weniger und je strukturierter desto "besser" (einfacher) verwaltbar und zugänglich.
Macht aber jeder wie er will und kann, manchmal ist es eben besser etwas an Hardware
"auszudünnen" oder aber einfach auszutauschen!

Dobby

Ok, dann würden mir spontan 3 Varianten einfallen:

Es gibt eine Stelle an der ich von beiden Netzwerken ein Kabel habe.

1. An diese Stelle den MultiWAN Router wie von LKS vorgeschlagen und die Fritze durch entsprechende Modems ersetzen. Das NAS kommt dann einfach irgendwo anders hin und ein Netzwerkkabel reicht, alle Maschinen sind im gleichen LAN
2. Die beiden Netzwerkkabel einfach verbinden und alles in ein Netzwerk (Je nach Kabellänge muss hier vll. ein Switch hin, einfach ausprobieren). Da kannst du dann per VPN drauf und kannst jedem das Glasfaser Gateway geben. Wenn du mit Freigaben in der DSL-Fritte arbeitest (was nicht wirklich ratsam ist), dann sind die Gateways aber nötig.

Die Varianten 1 und 2 sorgen für ein gemeinsames LAN aber 2 Gateways. Keine Trennung mehr, jeder Client kann jeden anderen im LAN sehen. Dann erledigt sich auch die Frage mit dem lahmen WLAN.

3. Die Routerlösung von chiefteddy, der Router kommt auch dorthin wo das NAS jetzt ist und das NAS kannst du wieder sonstwo hinstellen. Dank Routing ist dann sowieso egal in welchem Netzwerk das steht.
Allerdings ist diese Lösung weitaus komplexer, dort hast du 2 Netze und musst das Routing entsprechend korrekt einstellen. Wenn du mit Mikrotik noch nie gearbeitet hast und deine Netzwerkkenntnisse noch im Aufbau sind, dann ist das zwar eine gute Möglichkeit um zu lernen, aber das ist mehr Hobby schnelle Problemlösung.

Gruß
Drohnald

Moin, moin,

sehe ich mir die Zeichnung an, wundere ich mich, dass da überhaupt was funktioniert 😉

Grundsätzlich oder besser normalerweise geht man von einem Stern-förmigen Netz aus, in dem ein Gerät (Router) alle angeschlossen Clients kennt und sieht. 2 x WAN auf der einen und die Clients auf der anderen Seite. Das WLAN, NAT und Firewall sind Zusatzfeatures, die vor allem im Heimsegment in einem Gerät zusammenlaufen.

Bei deinem Konstrukt kommen mehrere Probleme zusammen:
Endkunden-HW: Du kannst die Geräte nur in geringem Maße konfigurieren, bzw. Funktionen deaktivieren (NAT, Routing, Firewall, …) NAT ist dabei die Übersetzung vom IP-Netz des Providers zu Deinem (in der Fritze z.B. 192.168.178.0).

Sichtbarkeit: Je nach Konfiguration sehen sich die Geräte nicht alle und womöglich ist nirgends hinterlegt: „Das Gerät xy findest Du „hinter“ Gerät/Router z“. Wobei die Fritze dabei nur direkte Routings zulässt.

Ein Mikrotik-Router - ggf. auch ein Switch-Modell mit RouterOS bietet Dir da ganz andere Freiheitsgrade aber Du wirst über Tage fluchen, bis das Ding läuft. Hier im Forum … also unter „uns“ Administratoren - nennt man das „steile Lernkurve“. Rein technisch wäre der HAP ac2 bestimmt geeignet, die Aussage bleibt: Ist er zu stark, bist Du zu „schwach“ 😉

Davon abgesehen könntest Du aber mMn. auch erwägen der DS 220 das Routen beizubringen. Die müsste doch Virtualisierung unterstützen und dann kannst da ne Router-SW drauf laufen lassen, die zwischen den 2 LAN-Ports routet.

Und nochmals - ganz von dem bisher geschriebenen abgesehen - könntest Du mal sehen ob im bestehenden Setup ein Zerotier-Client aus dem Glasfasernetz „durchkommt“. Dafür würde ich „fast“ meine Hand ins Feuer legen und das kostet erstmal gar nix 😉

Damit könntest Du ff. sogar die beiden lokalen Netze (über Internet) zusammenführen.

Langsam macht mich das wahnsinnig.
Das ganze einfach und Redundant zu gestalten bedeutet auch 2 Router zu behalten.
Fällt einer aus ist der andere noch da. Ggf. mit schwacher Verbindung aber es ist nicht dunkel.
Ein Dual Router bedeutet bei Ausfall es geht nichts mehr.

Das System läuft seit Jahren. Und auch stabil.
Ich habe solcherlei Diskussionen auch manchmal daheim.
Ich bin sehr technisch orientiert. Praktiker.
Meine Angebetete ist Flugzeugbauingenierin. Kopfgesteuert und total chaotisch.
Fällt bei uns ein Bild von der Wand wird diskutiert, vermessen, gerechnet...
Ich nehme einen Hammer, hau den Nagel wieder in die Wand und gut is.

So auch hier. Ich will nicht viel ändern und umdesighnen.
Ich will einfach nur wissen wie ich was in den Kisten einstelle damit es geht wie es ist.
Und so wie hier einige Praktisch orientierte Kameraden schreiben geht das auch.
Hingegen wollen die meisten umdesighnen um ihre Vorstellung zu verwirklichen.

Ich fummel gerade auch mal wieder an der IPV6 Geschichte rum.
Immer noch erfolglos. Myfritz weigert sich über die Fritte hinaus Daten rauszurücken.
Egal welche Freigaben ich bei den Einzelgeräten einrichte.
IPV4, IPV6, diverse Ports, http, httpsm ftp, ftps. Es tut einfach nicht.

Ich versuche es jetzt nochmal mit DynDNS.

Bei der Fritte ist folgende Eingestellt:
DSL deaktiviert
Internet, IPv4 verbunden seit 07.06.2022, 23:11 Uhr, inexio FiBER,
IPv4-Adresse: 100.83.36.29
Internet, IPv6 verbunden seit 07.06.2022, 23:11 Uhr, inexio FiBER,
IPv6-Adresse: 2a02:6d40:2659:6300::1, Gültigkeit: 74692/74692s,
IPv6-Präfix: 2a02:6d40:2659:6300::/56, Gültigkeit: 74692/74692s
Genutzte DNS-Server 77.244.98.19 77.244.99.19
2a01:5c0::19
2a01:5c0:0:1::19 (aktuell genutzt für Standardanfragen)
MyFRITZ!

https://hd2u09hiq5i04cl9.myfritz.net:45413, Benutzername: ----------- entfernt-----------
Fernzugang (VPN) nicht hergestellt, JoshyJS
FRITZ!Box-Dienste erreichbar aus dem Internet (HTTPS)
DynDNS aktiviert, joshyjs.nsupdate.info, IPv4-Status: Fehler, IPv6-Status: erfolgreich angemeldet
Portfreigabe aktiviert, 6 Portfreigaben eingerichtet

UND WAS ZUM TEUFEL IST EIN ZEROTIER CLIENT?

Eine Freigabe sieht z.B. so aus:

Man kommt aber nicht ran.

Das ist die Internet Übersicht

Das ist die IPV6 Einstellung

Ich fummel gerade auch mal wieder

Du wirst in einem "Profi-Forum" selbstverständlich auf eine professionellere Struktur hingewiesen und ich war so freundlich, Dir die Zusammenhänge darzulegen (aus meiner Sicht). Ist ja aber auch schön, wenn das für Dich als "Praktiker" alles irgendwie "funktioniert". Dann stellt sich halt nur die Frage warum Du hier aufschlägst

So Spaß beiseite – ist ja auch mein Wochenende!

Weil ich mir schon dachte, dass Dein Gefrickel Bestand haben soll, habe ich Zerotier ins Feld geworfen:

www.zerotier.com

Du installierst einen Client z.B. auf nem Windows-Rechner (alternativ diverse Linuxe, sogar Synology) und einen auf Deinem Mobile-Phone und dann finden die sich ... egal ob in Nachbarschaft, am Ende der Welt über IPv4, IPv6 oder IPv12 ... die Verbindung steht – Punkt! Kostet bis 50 Clients erstmal nix. Musste halt mal testen ob das für Dich ausreicht. Ich betreue damit einen Windows-Server, der an nem LTE-Modem von Vodafone (Privatkunden-Vertrag) hängt. Und da ist auch nix mit fixer IPv4.

Stelle Dir das als "Praktiker" vor, wie Teamviewer (nur viel mächtiger). Damit das läuft, bastelst Du ja auch nicht an Deinem Router rum.

PS: Und DynDNS ist dann auch unnötig.

Aber wie gesagt: die Geräte sind nicht über myfritz zu erreichen.
Auch nicht direkt. DynDNS ist bislang auch erfolglos.

sogar Synology

Hmmm. Da wäre eine Möglichkeit. Ich frag mal mein NAS ob es sowas kann.

Eine Vermutung noch.... Orakel Orakel...

Muss ich evt. hier einen der Filter dekativieren?

Weil ich mir schon dachte, dass Dein Gefrickel Bestand haben soll, habe ich Zerotier ins Feld geworfen:

Aber wie kommt er damit auf seine PV-Anlage etc.?
Zerotier ist bei mir schon etwas länger her, aber ich dachte es braucht auf jedem Gerät einen Client.
Ich hätte meine Zweifel, dass alle Geräte die erreicht werden sollen mit so einem Client ausgerüstet werden können.

Ich will einfach nur wissen wie ich was in den Kisten einstelle damit es geht wie es ist.

Genau das ist das Problem. Es gibt nicht DIE eine, einfache Lösung wo man nur einen Haken setzt und alles so ist wie du willst. Ist eben kein Bild, was notfalls auch schief und nicht mittig an der Wand hängen kann aber trotzdem ein hübsches Motiv hat.

In dem Thread hast du jetzt mindestens 4 Varianten, mit denen du ans Ziel kommst.
Such dir eine aus die deinen Fähigkeiten, Budget, Zeit und Nerven entspricht.

Persönlich würde ich dir zu Variante 2 aus meinem letzten Post raten:
Die beiden Netzwerke auflösen, damit du nur noch eines hast.
Die Glasfaserfritze macht DHCP und DNS.
Die DSL-Fritze dient nur als VPN-Server, dorthin kannst du dich verbinden und alles über die jeweiligen IPs erreichen.

Ansonsten: Hol dir professionellen Support ins Haus, den wirds aber nicht gratis geben.

Ok. Zerotier arbeitet vermutlich extern.
Jeder ruft einen dritten an der dann die Daten austauscht.
Das funktioniert hier nicht.

Ich habe jetz verstanden wie sie IPV6 Adressen zusammen setzen.
Allerdings immer noch keinen Erfolg trotz Myfritz und Portfreigaben.
Und über dyndns nsupdate komme ich immer noch nicht durch die Kiste.
Nur bis zur Fritte. Alles dahinter wird nicht geliefert.

Ich betrachte jetzt auch nur das Glasfaser Fritzbox netzwerk.
Und das muss eine Einstellungssache sein.

Allerdings immer noch keinen Erfolg trotz Myfritz und Portfreigaben.

Nur nebenbei: "Portfreigaben" sind ziemlicher Blödsinn bei IPv6 denn dort gibt es bekanntlich kein NAT!! In sofern sind Portfreigaben wie man sie von IPv4 und NAT her kennt bei IPv6 sinnfrei. Die Freigaben machst du hier auf die IPv6 Hostadresse des lokalen Endgerätes selber.
Tip:
Vielleicht besser VORHER einmal etwas über IPv6 schlau machen mit kostenfreier Literatur. Lesen hilft wirklich!! 😉
https://danrl.com/ipv6/

Ok. Mit meinem DynDNS Anbieter komme ich nun auch auf die Fritte
Aber auch da nicht weiter. Aufruf von Heimnetzgeräten schlägt fehl.
Seiten Ladefehler. Ob mit oder ohne Portfreigabe. Auch bei Eingabe der IPV6 URL bis aufs Endgerät.

Du meinst also die Fritte ist einfach zu dämlich das zu können?

Nope, de facto ist es die Fritte selber nicht sondern eher ein PEBKAC Problem. 😉
Siehe:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7270/845_IPv6-Frei ...
https://nocksoft.de/tutorials/server-im-heimnetz-ueber-fritzbox-mit-ds-l ...
und weitere Tausend und mehr Dokumente im Netz die dieses einfache Setup beschreiben...

Wenn ich das so lese...
Ich habe kein DS-Lite...
Hier steht jedensalls nichts von DS-Lite und Tunnels in meiner Fritte.

Die IPV6 Freigabe in der Fritzbox ist längst angelegt.

Weitere Tests sagen:

Das was in dem AVM Dokument steht habe ich längst alles eingestellt. Erfolglos.

Die andere Fritte ist eine 7490. DSL angeschlossen. Laut Anzeige IPV4 und IPV6.
Von der aus versuche ich übers internet an die andere Fritte zu kommen.
Wie gesagt: bis auf die Box. Dahinter bleibt geheim.

Nicht wundern. Ich habe alles mögliche ausprobiert. Diverse Ports. Diverse Möglichkeiten.
Bis hin zu Exposed Host. Ich glaube immer noch der Provider blockt da irgendwas.

Wie gesagt: bis auf die Box. Dahinter bleibt geheim.

Bedeutet dann das deine Firewall weiterhin den Zugriff auf das lokale IPv6 Netz verhindert. Sehr wahrscheimlich weil das Regelwerk nicht stimmt oder falsch konfiguriert wurde. Wie gesagt PEBKAC Problem...
Ansonsten am Montag die Hotline des Providers anrufen und fragen ob Kundennetze geblockt sind. Wir kennen hier aber alle schon die Antwort im Voraus...

Hab ich schon angeschrieben...

ICh forsche mal was PEBKAC ist.
Klingt wie pappende Kacke...

Ah ja. Bei uns sagt man das Problem liegt zwischen dem Kopfhörer.

Naja wenn du bis zur Fritte kommst und diese auch aufrufen kannst, dann kann der Provider schon mal nicht grundsätzlich alles abblocken.

Ich stelle mal in den Raum: Die Geräte selbst lassen keine IPv6 Verbindungen von extern zu?
Selbst ein Ping wird bei Windows standardmäßig nicht erlaubt.
Kannst ja testweise mal deinen Computer nehmen, dort eine Firewallregel für ICMPv6 eingehend definieren und die IPv6 Adresse von dem Ding testen, ob dann ICMP von "filtered" auf etwas anderes, grünes springt.

Weiterhin sehe ich zumindest bei deinem Smartmeter keine IPv6 Adresse, die wirst du damit also schon mal nicht erreichen können.

Ist mir auch schon aufgefallen, dass das Smartmeter keinen IPV6 kann.
Das spielt aber keine Rolle.
Wichtig sind BMS, Inverter und Server.
Auf den Server komme ich DSL seitig.
BMS und Inverter hängen per WLAN an der anderen Glasbox.
Geht wegen des Standortes nicht anders.

Ich habe jetzt eine Ticktack Router im Zulauf.
Bevor ich den als Vermilttungsrechner Missbrauch tausche ich den mal gegen die 7530.
Dann schaue ich mal ob's an der Firewall der Fritte hängt.
Würde mich wundern, aber man weiß ja nie...

Moin,

wollte schon früher was dazu schreiben, kamm aber nicht dazu. Jetzt arbeite ich mal die ganzen Sachen auf, die mir hier aufgefallen sind:

Zitat von @JoshyJS:

Der Glasfaseranschluss kommt von Inexio. Die vergeben keine öffentliche IPV4 Adresse.

Das ist falsch. Laut Preisliste von Inexio kannst Du für 1.95/Monat eine öffentliche IPv4-Adresse haben.

Zitat von @JoshyJS:

Bei der Fritte ist folgende Eingestellt:
DSL deaktiviert
Internet, IPv4 verbunden seit 07.06.2022, 23:11 Uhr, inexio FiBER,
IPv4-Adresse: 100.83.36.29

Das ist shared Addresse Space, das für CGNAT genutz wird.

Internet, IPv6 verbunden seit 07.06.2022, 23:11 Uhr, inexio FiBER,
IPv6-Adresse: 2a02:6d40:2659:6300::1, Gültigkeit: 74692/74692s,
IPv6-Präfix: 2a02:6d40:2659:6300::/56, Gültigkeit: 74692/74692s

Das sind öffntliche IP-Adressen/Netze, die Inexio zugeordnet sind. Die sind auch ohne weiteres aus dem Internet erreichbar.

Beachte, daß Deine Geräte nicht per Portforwarding auf die v6-Adresse der Fritzbox zugreifen, sondern direkt auf die IP-Adresse des Gerätes aus dem v6-Netz zugreift, daß die Fritte für das LAN ausgesucht hat. Du mußt also die IP-v6-Adresse des zu erreichenden Gerätes angeben und nicht die Adresse oder den Namen der Fritte!

https://hd2u09hiq5i04cl9.myfritz.net:45413, Benutzername: ----------- entfernt-----------

Löst korrekt auf:

$ host hd2u09hiq5i04cl9.myfritz.net
hd2u09hiq5i04cl9.myfritz.net has address 100.83.60.43
hd2u09hiq5i04cl9.myfritz.net has IPv6 address 2a02:6d40:265e:9e00::1 

DynDNS aktiviert, joshyjs.nsupdate.info, IPv4-Status: Fehler, IPv6-Status: erfolgreich angemeldet
FRITZ!Box-Dienste erreichbar aus dem Internet (HTTPS)
DynDNS aktiviert, joshyjs.nsupdate.info, IPv4-Status: Fehler, IPv6-Status: erfolgreich angemeldet
Portfreigabe aktiviert, 6 Portfreigaben eingerichtet

Löst auch korrekt auf:

$ host joshyjs.nsupdate.info
joshyjs.nsupdate.info has IPv6 address 2a02:6d40:265e:9e00::1

Zitat von @JoshyJS:

Aber wie gesagt: die Geräte sind nicht über myfritz zu erreichen.
Auch nicht direkt. DynDNS ist bislang auch erfolglos.

Myfritz dient auch nicht dazu, die geräte zu erreichen. Mit myfritz greifst Du nur auf die Fritte zu.

Zitat von @JoshyJS:

Eine Freigabe sieht z.B. so aus:

Deine sieht anders aus wie meine "Freigabe"

firefox_screenshot_2022-06-15t09-36-35.960z

Zitat von @JoshyJS:

Ok. Mit meinem DynDNS Anbieter komme ich nun auch auf die Fritte
Aber auch da nicht weiter. Aufruf von Heimnetzgeräten schlägt fehl.

Welche IPbv6-Adrese nutzt Du dafür?

Seiten Ladefehler. Ob mit oder ohne Portfreigabe. Auch bei Eingabe der IPV6 URL bis aufs Endgerät.

Was meinst DU damit?

Du meinst also die Fritte ist einfach zu dämlich das zu können?

Nein, die Fritte kann viel mehr als die meisten sich das vorstellen können. Nur ist es manchmal etwas ungewohnt zu konfigurieren.

Zitat von @JoshyJS:

Das was in dem AVM Dokument steht habe ich längst alles eingestellt. Erfolglos.

Die andere Fritte ist eine 7490. DSL angeschlossen. Laut Anzeige IPV4 und IPV6.
Von der aus versuche ich übers internet an die andere Fritte zu kommen.
Wie gesagt: bis auf die Box. Dahinter bleibt geheim.

Dann wirf doch mal den sniffer auf der Fritte an und schau, welche Pakete komen oder nicht kommen. Damit ist innerhalb wniger Minuten normalerweise geklärt, woran es hängt.

Zitat von @JoshyJS:

Nicht wundern. Ich habe alles mögliche ausprobiert. Diverse Ports. Diverse Möglichkeiten.
Bis hin zu Exposed Host. Ich glaube immer noch der Provider blockt da irgendwas.

Wie gesagt: Packet-sniffe ranwerfen udn Du weißt, ob es der Provider oder Deien Fritte ist.

Fazit:

Ich würde empfehlen, Dir jemanden vor Ort zu suchen der Ahnung von netzwerken hat und das ganz ordentlich planen und geradeziehen zu lassen.

lks

Edit: Typo und Ergänzung

Besser hätte man die Fehler des TO nicht zusammenfassen können. 👍
Und...für 1,95€ wäre uns das Drama erspart geblieben. 🤣

Ich habe heute vom Provider die Info bekommen, dass sie doch DS Lite verweden.
Obwohl das nirgendwo steht. Auch in der Fritzbox nicht.

Auch den Hinweis man könnte einen native IPV4 nachkaufen. War mir auch neu.
Finde ich jedoch frech bei den hohen Preisen als Monopolanbieter
( gibt hier keinen anderen auf Glas ) dann noch Zusatzkosten zu verlangen für
eine Funktion die bei dem vorheringen System funktioniert hat.

Was ich meine mit kompletter URL auf IPV6...
Wahrscheinlich nennen die Profis hier das wieder anders.

Ich habe IPV6 so verstanden, dass es für jedes Gerät eine spezifische Adresse gibt die erreicht werden kann.
Der Provider vergibt für den Router eine Anfangsadresse. Die zweiten 8 Stellen ändern sich pro Einwahl.
Dazu taugt DynDNS um diese 8 Stellen über eine "Grundadresse" wieder zur Verfügung zu stellen.
Bei mir ...nsupdate.info. Wähle ich mich da ein wird mein Browser mit der aktuellen IPV6 Adresse
versorgt und ich finde sofort meine Fritzbox und kann mich da einwählen.
Die ersten 8 Stellen sind die Adresse der Fritzbox.

Die Fritte als DHCPv6 Zuweiser gibt den angeschlossenen Geräten eine 16 stellige IPV6 Adresse.
Insgesamt 8 stellen der Fritzbox Adresse dynamisch. 8 Stellen statisch.
Dsa Endgerät 16 stellen statisch. Die wird dann als einzigartige Geräteadresse zusammen gestellt.
Die Adresse des Endgerätes sollte also mit 32 Stellen direkt aus dem Internet erreichbar sein.
Syntax http://[xxxx:xxxx:xxxx:xxxx:xxxx.xxxx:xxxx:xxxx]/port

Das ist nunmal nicht der Fall. Daran verzweifle ich.

Die Seite mit dem Mitschnitt habe ich noch nie zuvor gesehen.
Da stellt sich die Frage was ich mitschneiden und ansehen soll.
Die Dateien die da erzeugt werden geben viel kryptisches Zeug raus. Wenig Klartext.

Finde ich jedoch frech bei den hohen Preisen als Monopolanbieter

Gott bist Du süß. Bei mnet zahlst Du mit Konkurrenz 5 EUR! Und sie liefern Dir von max. 28 Mbit nur 20 Mbit und nicht mal 2 Mbit up (im Businesstarif!)

Vielleicht bin ich deshalb auch nicht da. Scherz beiseite.
Ich bin bei Inexio weil es nur diesen Anbieter gibt. Keine Wahl.
So ist das eben wenn man am Arsch der Welt wohnt.

Ok. Hab jetzt Klartext für die Mitschnitte. Wireshark. Verstanden.
Ich vermute ich muss "Internet mitschneiden".

So. Mein Netzwerkspezialist hat sich geäußert. Und ist fast geplatzt.

1. Dem Kunden keine öffentliche IPV4 zur Verfügung zu stellen hält er für unseriös.
Er hat auch Glas und nur IPV4. Sein Anbieter stellt IPV6 noch gar nicht zur Verfügung.

2. Der Anbieter hat mitgeteilt, j
A) eder Kunde hat eine private IPV4 und eine öffentliche IPV6.
B) Die IPV4 Adressen wären vollständig aufgebraucht.
Aussage vom Netwerker:
A) Das klingt ja voll gruselig und als hätten die als Provider ein internes Bastel-Netz.
B) Das ist doch Quatsch! Es gibt keinen Mangel an IPv4 Adressen. Das hatte man mal vor Jahren befürchtet.
Das ist sicherlich auch die Zukunft. Aber was die da behaupten...
Die nehmen eine Aussage vor 20 Jahren und versuchen damit Geld zu drucken!
Ohne IPv6 kann man aktuell leben, ohne IPV4 nicht.
C) Das ist kein seriöser Internetanbieter. Die haben eine öffentliche Adresse und haben dahinter ein IPv6-Netz,
das aufgrund von NAT anstatt eines Routings in beide Richtungen wie ein LAN Zuhause funktioniert.
Nur, dass Du zuhause an Deinem Router, der NAT macht, selber konfigurieren kannst,
und Du ihren Server, der im Internet NAT macht, natürlich nicht konfigurieren kannst., ohne IPv4 Adresse nicht.

Endlich hat das mir als Noob Mal einer so erklärt, dass ich das auch halbwegs kapiere.
Ohne allzu viel Fachchinesisch.

Im Endeffekt: ich kann machen was ich will, ich kann es nicht konfigurieren. Es geht nicht.
Raus geht immer, rein nur wenn man schon raus ist und sich da irgendwo trifft.
Dann kann man den Gast auch sein Heim zeigen. Weil die Tür von innen aufgemacht wurde.
Will der Gast mit eigenem Schlüssel ins Haus geht das nicht, weil der Schreiner das Schlüsselloch draussen vergessen hat.

Ich habe inzwischen den Mikrotik hier. Der wird nicht helfen. Der kann den Provider auch nicht austricksen.
Außerdem wie hier befürchtet überfordern mich die Einstellungen im Moment.

Also: zurück zum Anfang. Netzwerke zusammen fügen.
Grundsätzlich war es bislang nicht so schwer wie befürchtet.
Die ein oder andere Begriffsbestimmung habe ich inzwischen aufdröseln können.
IP war mir immer klar. IPV6 Adresse und wie aufgebaut ist klar geworden.
Gateway wurde klarer. Das ist der Weg der raus führt. In meinem Fall die Router IP(s).
Wofür die Subnetzmaske gut ist weiß ich immer noch nicht. Nehme ich so hin und trage sie ein.

Lösung die soweit funktioniert ist im Moment folgende:
Glasfritte dient als DHCP Server.
DSL Fritte DHCP Server aus. Neue eigene IP zugewiesen. Aus Gründen bereits vorhandener Zuweisungen
am Ende der Kette. 254. Sonst hätte ich vorne alles schieben müssen.
Dann müsste ich wieder eine Weile überlegen wer hier wer ist. Außerdem ist das zuweisen nicht so komfortabel.
Da lädt immer die komplette Seite neu, teilweise muss ich mich wieder einloggen. Doof das.
Damit werden im Netzwerk alle Geräte erkannt. Egal über Box/LAN/WLAN ich ich gerade rein gehe.
Daheim kann ich auch auf alle zugreifen.

Jetzt Mal wieder eine Frage zum IPV4 Routing im System.
Der DSL Fritte habe ich im Routing mitgeteilt sie solle als Netzwerk und Gateway die 192.178.168.1 nehmen.
Subnetz 255.255.255.0. Die DSL Fritte hat wie gesagt 192.168.178.254
In der Hoffnung, dass alle Geräte die sich über das WLAN der DSL einwählen nun die schnelle Glasfritte
als Weg ins Internet nehmen.
Ist das erstmal richtig so?

Dann habe ich jedoch noch Geräte die über DSL ins Netz sollen.
( Es soll möglichst viel Bandbreite für Homeoffice zur Verfügung stehen. Die Zwerge sollen DSL nutzen. )
Denen habe ich als Gateway 192.168.178.254 mitgeteilt.
Frage ist: spielt da die DSL Fritte mit oder wird das aufgrund des Routings auf die Glasfritte ignoriert?

So. Mein Netzwerkspezialist hat sich geäußert.

Uuuhhh "Spezialist" ist eine gewagte Bezeichnung aber auch immer relativ und damit völlig nichtssagend.
Punkt 1 macht er das ja, kostet eben nur extra. Steht übrigens alles in den AGB oder Vertragsunterlagen. Wenn du sowas nicht liest ist das weder unseriös noch Verschulden des Providers.

Es gibt keinen Mangel an IPv4 Adressen.

Zeigt das du und auch dein "Spezialist" wohl wenig bis keine Fachkenntisse habt:
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Muss man sicher nicht weiter kommentieren...

Nur, dass Du zuhause an Deinem Router, der NAT macht, selber konfigurieren kannst,

Auch ziemlicher Unsinn, denn NAT macht bei DS-Lite bekanntlich immer der Provider (nennt sich CGN) und niemals dein Router!

Im Endeffekt: ich kann machen was ich will, ich kann es nicht konfigurieren. Es geht nicht.

Auch diese Schlussfolgerung ist wieder unsinnig und bar jeglicher Realität. Zumindestens für IPv6 ist das problemlos möglich wie Millionen Endkunden es ja täglich beweisen. Sollte einem zu denken geben wenn es (angeblich) ausgerechnet bei dir nicht klappt.

Der kann den Provider auch nicht austricksen.

Nein, denn der kann bekanntlich auch kein PEBKAC Problem lösen.

Außerdem wie hier befürchtet überfordern mich die Einstellungen im Moment.

Siehe obigen Rat des Kollegen @Lochkartenstanzer ...

Jetzt Mal wieder eine Frage zum IPV4 Routing im System.

Lesen und verstehen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Bzw. in einer Router Kaskade hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Ist das erstmal richtig so?

Hört sich zumindestens alles richtig an wenn es eine Kaskade ist.

Ich habe IPV6 so verstanden, dass es für jedes Gerät eine spezifische Adresse gibt die erreicht werden kann.

Das ist richtig verstanden.

Die zweiten 8 Stellen ändern sich pro Einwahl.

Das nennt sich dann für Mitglieder in einem Administrator Forum IPv6 Prefix Delegation.

https://wiki.ubuntuusers.de/Router/Präfix-Delegation/
https://www.cbtnuggets.com/blog/technology/networking/what-is-ipv6-prefi ...
Dein Provider übergibt dir also für deine lokalen IPv6 Netze einen /xy Prefix den du dann nach deinen eigenen Vorgaben selber intern weiterverteilen kannst an deine Subnetze.
Mit DynDNS hat diese rein Adressierungs bezogene Technik übrigens gar nichts zu tun.
DynDNS sorgt, wie schon bei IPv4, lediglich dafür das dynamische IP Adressen auf einen festen Hostnamen gemappt werden. Nicht mehr und nicht weniger.
Ob IPv4 oder v6 spielt dabei keinerlei Rolle und ist eine ganz andere Baustelle als PD. Hier irrst du also...

Da es kein NAT gibt bei v6 muss der DynDNS Client also zwangsweise immer auf dem Zielhost selber sein den man erreichen will und NICHT auf dem Router!
Logisch, denn ansonsten liefert der DynDNS Hostname ja immer die Router IP statt die des v6 Hosts im eigenen Netz wo man ja eigentlich hinmöchte. Hier liegt vermutlich dein fataler Denkfehler?!
Einen Router und sein Konfig GUI exponieren ja nichtmal mehr Dummies offen im Netz.

Mal ganz abgesehen davon das es bei v6 unnötig ist.

Die Seite mit dem Mitschnitt habe ich noch nie zuvor gesehen.

"Noch sehr viel lernen du noch musst..." würde Meister Yoda da sagen...

geben viel kryptisches Zeug raus. Wenig Klartext.

Was natürlich wieder Unsinn ist. Jeder Netzwerk Admin weiss damit sofort was los ist. Man kann hier nur dringenst an den Rat des Kollegen @Lochkartenstanzer appellieren.

Ok. Hab jetzt Klartext für die Mitschnitte. Wireshark. Verstanden.

Also... Geht doch...! 👏

Ich bin bei Inexio weil es nur diesen Anbieter gibt. Keine Wahl.

Das ist wahrscheinlich auch gelogen. Die Telekom ist da sicher als Grundversorger mit xDSL über Draht auch von der Partie. Und da bekommst du immer einen rocksolid Dual Stack Anschluss ohne DS-Lite.

Mal zum IPV6 Problem hinter INEXIO.
Ich bin nicht der Einzige mit dem Problem. Und ich habe es auch von Inexio vorliegen, dass es so ist.
Schriftlich. IPV6 geht bei denen hier in unserem Bereich nicht nach innen. IST SYSTEMBEDINGT GEBLOCKT.

DynDNS habe ich inzwischen auch schon geschnallt. Das hilft mir nicht.
Evt. hilft noch VPN. Das habe ich noch nicht hin bekommen. Da bin ich mal wieder ein bedauernswertes Einzelschicksal.
Nicht ganz einzeln. Ich nutze für den Fernzugriff gerne mein Smartie. Habe dummerweise eine Pixel 4a.
Und auf den Pixel4/5 Geräten gibt es ein Problem mit VPN unter dem Androiden 12.
Geht nicht. Verbindet sicht tot. Da gibts es auch Infos im Netz zu.
Ich muss es mal von einem Rechner aus problieren. Kann ich aber erst nächste Woche wenn ich unterwegs bin.
Habe hier nur mein Smartie zum testen. Was nicht geht. Vielleicht versuche ich nochmal DSL raus Glas rein per VPN.
Muss ich mich mit beschäftigen...

Meine Endgeräte sind einfache Webserver. Die laufen auf einem Inverter, einer BMS und einem Smartmeter.
Das NAS ist nicht das Problem. An das komme ich per IPV4 DSL ran.
Den Endgeräten kann ich nicht verpassen was seine Adresse weiter gibt um es direkt zu erreichen.
ICH zumindest nicht. Ich bin Enduser. Keiner der Betriebssysteme umschreibt oder Module einfügt.

Und NEIN. FALSCH. Die Teletubbies sind hier nicht der Grundversorger.
Der Grundversorger für das Glasnetz ist Inexio. Vormals Quix. Vormals die Gemeinde hier in Kooperation.
Gemeinde hat sich mit Quix zusammen getan. Quix wurde von Inexio gefressen. Inexio inzwischen von EQT.
Die Telekomiker haben hier damit gar nix zu tun. Du kannst auch gerne mal einen Verfügbarkeitscheck hier machen.
Da wirst Du feststellen: es gibt keinen anderen Anbieter. In der Ecke hier gibt es auch nur 2 Hausnummern
die überhaupt einen Glasfaseranschluss bekommen können. Beide gehören mir. Warum?
Weil das Leerrohr für die Strippe 450m von unserem Haus an einer Zubringer Strasse liegt.
Bei Beginn von Corona waren alle daheim. Meine Olle hatte Homeoffice. Das DSL tropfte hier mit 3,5Mbit
aus der Strippe und sobald einer der Zwerge ein Telefonsmartie bedient hat ist bei meiner Angebeteten
die Telefonkonferenz abgekackt. Den Killies dauernd verbieten dem Medienwahn zu frönen erzeugt Stress.
Also haben wir mal gefragt ob es möglich wäre die Zauberleitung mal in die Bude zu ziehen.
Aussage war: ja, können wir machen. Kostenpunkt 15 Mille. Hauptsächlich Erdarbeiten.
Aber sie kommen mal zum Gespräch vorbei... Von der Gemeinde.
Bei dem Gespräch kam dann raus: wenn wir irgendwie hin bekommen die 450m Leehrrohr zu verbuddeln
ist es der Gemeinde wurscht wie die da hin gekommen ist. Also: Bagger gemietet und 5 Tage gebaggert.
Quer durch den Wald. Baumwurzeln sind witzige Gesellen und wenn man unter einer Eiche durch muss ist auch lustig...
Mein Baggerfahrer hat natülich sowohl Telekomleitung alch ei das bisschen Strassenlaterne angetötet...
Das haben wir dann auf dem kurzen Dienstweg wieder geflickt und mit Muffen versehen. Vor dem Zumachen.
Am Ende haben wir 2/3 der Erdarbeiten Kosten mäßig eingespart. In Kurzarbeit hat man viel Zeit...
Die Nachbarn wollen nicht. Hier stehen nur 5 Häuser. Deshalb gibt es nur 2 mit der Glasleitung bis ins Haus.
Wenn ein Nachbar da mit ran will muss er sich an den Verlegekosten beteiligen. Nicht viel Interesse bisher
von einem 85 Jährigen Rentnerpäärchen, einer 70 jährigen Krankenschwester und unseren Mietern.
Zumal im Mietshaus DSL zumindest mit 12Mbit ankommt. 200m von unserem Haus weg Richtung Verteiler.

Ach ja. Falls da noch kommt dann nimm eben Irgendsoein Funkgedöns.
Auch das ist hier unmöglich. Funkloch hinter einer Endmuränendüne in der Heide.
Wenn ich dem moblien Sprechstein kommuniziere muss ich auf die Terrasse.
Möglichst etwas übers Geländer gelehnt. Meine Schalle freut sich immer wenn ich das mache.
E Netz geht quasi null. D Netz mit Trickserei. Auf der Düne im Wald hinter dem Haus gehts.
Die ist 10m über Dachnieveau. Hilft nix im Haus. Repeater hatte ich auch schon.
Geht. Aber nicht so zuverlässig wie man es gerne hätte.

Ich weis nicht wo Du dein Heim hast. Vermute irgendwo in der Stadt. Mit Infrastruktur.
Wir leben hier auf dem Land. 5 Häuser auf 250m verteilt. Der nächste Feind dann 1200m weg.
Die Glasleitung musste 1700m durch das Rohr gepustet werden bis zum nächsten Verteiler.

aqui. Ich bin in meinem Leben schon an viele Leute geraten.
Aber jemanden der mit solcher Arroganz einen Hilfesuchenden behandelt und dann auch noch "Kollegen"
die beruflich nichts anderes machen als dämlich und falsch informiert darstellen. Das hatte ich noch nicht.
Mein Netzwerkspezi ist Admin für Großnetze. Momentan in einem Verteilerzentrum in Kiel zu Gange.
Und arbeitet unter anderem für die Bundeswehr an Planung Aufbau und Programmierung von Netzwerken.
Der tötet mir immer den Nerv mit seinem Linuxwissen. Ich sag immer ich bin Enduser.
Und komme mit Windows einfach besser klar. Unter Linux kann ich mit viel Lesen mal was konfigurieren.
Aber Mitte fuffzich muss man auch nicht alles noch neu lernen...

So, und nu werf mich aus dem Forum wenn Dir danach ist weil ich langsam komisch werde.

Die Telekom ist da sicher als Grundversorger mit xDSL über Draht auch von der Partie.

Würde ich so nicht unterschreiben. Hab ein Grundstück in einem Neubaugebiet, dort gibt es ausschließlich Glasfaser vom lokalen Provider, die Telekom hat dort NICHTS verlegt, deren Versorgung endet an den bisherigen Grundstücken.

Syntax http://[xxxx:xxxx:xxxx:xxxx:xxxx.xxxx:xxxx:xxxx]/port

Der Doppelpunkt bleibt, wie bei IPv4: also z.B. http://[xxxx:xxxx:xxxx:xxxx:xxxx.xxxx:xxxx:xxxx]:81
Hilft dir aber nur für Geräte, die IPv6 und zusätzlich noch DynDNS beherrschen. Ansonsten kannst du die Geräte bei jeder Präfix-Änderung erstmal nicht erreichen.

Dann habe ich jedoch noch Geräte die über DSL ins Netz sollen.

Warum? Verbinde dich doch einfach mit VPN auf die DSL-Fritte und nimm alle Weiterleitungen raus, die brauchst du dann nicht und sind nur potentielle Einfallstore. Ich unterstelle mal, dass gerade das Smartmeter etc. nicht unbedingt lange (wenn überhaupt) Sicherheitsupdates bekommen.

Das würde dir immer maximale Geschwindigkeit bieten, außer wenn du ausnahmsweise von außen auf die Geräte gucken willst. Da bist du dann auf DSL limitiert aber dafür bei ungeteilten 3.5 MBit/s

Edit: Wenn das zwingend sein muss: Probiers aus. Stell das Gateway der von außen erreichbaren Geräte auf die DSL Fritte und leite die Ports weiter. Wenn das klappt, kannst du deren Gateway ja testweise auf die Glasfaser Fritte ändern und prüfen ob das noch funktioniert.

Ansonsten kannst du die Geräte bei jeder Präfix-Änderung erstmal nicht erreichen.

Na ja...kommt immer drauf an wie schnell sein DynDNS Client auf dem Host ist bzw. in welchen Intervallen er die IPv6 nach Hause telefoniert.
Wenn er das alle 10 Minuten macht hat er auch nach max. 10 Minuten nach dem PD Wechsel wieder die neue IP hinterm Hostnamen. Das ist bei IPv4 ja identisch.

Letzteres was auch der Plan.
Das Smartmeter ist eigentlich unwichtig. Die Daten sehe ich auch auf anderen Geräten.
Z.B. auf den Daten des Inverters. Der Telefoniert in die Cloud des Herstellers.
Da kann der junge Padavan dann sehen wie sein Laserschwert lädt.

Wichtig wäre zu sehen ob die BMS richtig tut. Und ab un an mal NAS Zugriff.

Ich beschäftige mich bei Gelegenheit mal mit der VPN Geschichte.
Muss heute aber mal was anderes machen. Das Ganze hat mir gestern wieder den Nerv getötet.
Geht jetzt in meine Werkstatt und schraub ein wenig am Flieger rum. Dann den Rhododrendron schneiden...

Na ja...kommt immer drauf an wie schnell sein DynDNS Client auf dem Host ist bzw. in welchen Intervallen er die IPv6 nach Hause telefoniert.

@aqui: Gibt es eine Lösung, wenn die Geräte keinen DynDNS Client haben?

Zitat von @Drohnald:

Na ja...kommt immer drauf an wie schnell sein DynDNS Client auf dem Host ist bzw. in welchen Intervallen er die IPv6 nach Hause telefoniert.

@aqui: Gibt es eine Lösung, wenn die Geräte keinen DynDNS Client haben?

Ja, wenn Du reinen eigenen Nameserver betreibstder sich mit deinem LAN abgleicht.

lks

Kollege @lks war schneller...

Hätte dein "Spezialist" aber auch gewusst.

Wenn es das denn nun war bitte dann auch deinen Thread hier als erledigt schliessen!

Wars noch nicht.

Vernetzung unter einem IP Kreis mit 2 Internetanschlüssen klappt.
Was immer noch nicht geht ist der Zugriff auf die Geräte von extern.
Weder DSL noch Glas. Weder myFritz noch VPN.
Bei Wireguard scheitert es daran, dass es noch keine A Version gib für die Fritzbox.
Mit der Laborversion will ich nicht experimentieren.
Falls da was schief geht und das Internet will nicht mehr steigt mir die Olle aufs Dach.
Von den Zwergen mal ganz abgesehen.

Es hat im Moment für mich zu viele mögliche Fehlerquellen.
Mein Pixel. Evt. nicht erreichbare Endgeräte. V4/V6 Problem.
Und auf meinem Laptop kann ich Wireguard nicht nutzen, da es installiert werden will.
Und da mein Brötchengeber alles gesperrt hat was Spass macht...

Also um eines auszuschließen warte ich auf FritzOS 7.50.

Weder DSL noch Glas. Weder myFritz noch VPN.

Checke hier wasserdicht das deine oder zumindestens einer der Provider Anschlüsse kein DS-Lite ist!!
Mit DS-Lite ist bekanntlich ein externer Zugriff technisch unmöglich und damit nicht realisierbar.
Wenn beide oder zumindestens 1 Anschlüss eine öffentliche IP hat und der Zugriff scheitert weiterhin ist es zu 98% ein Fehler im Regelwerk der lokalen Firewall. Auch das solltest du genau prüfen (Logs etc.)

Und da mein Brötchengeber alles gesperrt hat was Spass macht...

Dann beschaffe dir als Testeisen einen 15 Euro Raspberry Pi Zero oder einen Orange Pi Zero und teste das damit. Konfig Dateien sind ja identisch.
Diesen Taschengeldbetrag wird dir ein Test doch sicher wert sein, oder ?!

Noch Mal. Ich bin User. Kein Linux/Unix/russische, indische, chinesische Mafia Programmierer.
Ich wüsste nicht was ich mit so einer Frucht anfangen sollte.

Das ist ein fix und fertiger Rechner mit GUI und allem und eine sehr kostengünstige Testplattform. Aber ok, wenn wir jetzt hier schon auf diesem Niveau angekommen sind ist dir wirklich nicht mehr zu helfen. Du solltest dann auch einmal überlegen ob du überhaupt im richtigen Forum bist. Gutefrage.net wäre dann vielleicht die bessere Alternative?! Ich bin dann raus...

Danke.

Wenn's das denn nun war bitte deinen Thread dann hier auch als erledigt schliessen!

No. Wars nicht. Ich warte noch auf Fritz 7.50.
Werde Mal berichten ob das was ändert bezüglich Wireguard.

Und?? Hat sich etwas geändert?

Bin gestern aus dem Urlaub zurück.
Heute für 5 Tage zum Dienst.
Bislang ist bei mir noch kein Update angeboten worden.

Ich schau nächste Woche nach.

Wieder 7 Monate um. Es gibt immer noch keine Fritz OS 7.50 für meine Fritte. Also auch kein Wireguard.

Ich habe mich inzwischen mit OpenVPN und vServer Zugang herum geschlagen.
Sah zuerst viel versprechend aus.
VPN auf dem NAS installiert. VServer bei Kamp erstellt.
Vom NAS die Konfigurationsdatei erstellen lassen.
In diese die IP des vServers eingetragen.
Das ganze in den VPN Clienten eingelesen und gestartet.
Portfreigaben 1194 mit TCP auf das NAS in der Fritzbox erstellt.

Ich kann im vSerer Log sehen wie der Server Arbeitet und angepingt wird.
Aber der VPN Tunnel wird auch damit nicht frei gegeben.

Es ist zum Mäusemelken.

keine Fritz OS 7.50 für meine Fritte. Also auch kein Wireguard.

Kein Problem, mit IPsec funktioniert das sowieso besser und stabiler. Auch weil AVM Wireguard nur mit einer Zwangsregistrierung bei MyFritz erlaubt und eine nicht WG Kompatible Konfig benutzt.
OpenVPN ist wegen der miesen Performance auch keine wirklich gute Wahl, funktioniert aber.
IPsec ist also in jedem Fall die deutlich bessere Variante da auch bei AVM seit Jahrzehnten stabil und zuverlässig.

Die FritzBox damit dann ein einen vServer zu binden ist ein Kinderspiel und in 15 Minuten erledigt. Siehe hier:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi

Ein VPN per OpenVPN auf einem internen NAS Server zu realisieren ist immer ein gefährliches Spiel aus 2 Gründen:

Du terminierst ein VPN auf einem sehr kritischen Device wie ein NAS
Du musst über Port Forwarding am Router ungeschützten Internet Traffic in dein lokales LAN lassen und das dann auch aufs NAS

Keine gute Idee also.
Die einfache Lösung die FritzBox wie oben anzubinden ist der deutlich bessere Weg.
Aber wenn du dennoch meinst es muss OpenVPN sein findest du hier alle Schritte die relevant dafür sind:
Merkzettel: VPN Installation mit OpenVPN
Vergleicht man das mit deiner obigen Beschreibung hast du vermutlich, Anfänger üblich, die statische Route auf der FritzBox in dein OpenVPN internes IP Netz vergessen?!
Mit einem intelligenten IPsec Setup wäre das alles obsolet!

Ich bin immer noch kein Programmierer.
IPsec soll nicht funktionieren. Ich hänge immer noch an einem DS Lite Anschluss.
Kein nativer IPV4. Nur IPV6. Das irgendwo beim Provider geroutet wird. IN

Ich habe Portfreigaben geschaltet in der Fritte.
TCP über Port 1194 auf auf das NAS.

Falls das nicht die Statische Route in der Fritz ist bitte ich um Erklärung wie man die einstellt.

Ich bin immer noch kein Programmierer.

Was hat das bitte jetzt mit dem Threadthema zu tun? Bahnhof?? Kein Mensch muss für popelige VPNs ein "Programmierer" sein!

Ich hänge immer noch an einem DS Lite Anschluss.

Genau DAS ist ja gerade die Intention mit dem vServer Jumphost und IPsec VPN! So hat man sauber seine VPN Konfig in der Peripherie auf dem Router. Was meinst du denn jetzt in Bezug darauf mit dem kryptischen Satz das IPsec nicht funktionieren soll ?? Unverständlich..?! 🤔

Falls das nicht die Statische Route in der Fritz ist bitte ich um Erklärung wie man die einstellt.

Nein, Port Freigaben haben nicht das Geringtste mit statischen Routen zu tun. Weiss auch ein Laie.
Liest du eigentlich die Hilfestellungen die man dir hier postet??

Merkzettel: VPN Installation mit OpenVPN
Da ist doch alles sogar Laien kompatibel mit bunten Bildern und (Routing) Screenshots der FritzBox dokumentiert.
Lesen und verstehen musst du schon selber!! Oder...deinen Netwerk Spezialisten befragen!!

Mit IPsec wäre das alles nicht passiert... 😉

https://www.andysblog.de/zugriff-auf-server-oder-eingehendes-vpn-mit-ds- ...

Daran habe ich mich gehalten. Aussage: UDP und IPsec gehen nicht.

Btw. Routing habe ich jetzt eingetragen.
Netzwerk: die IP des VPN Server Netzwerkes aus dem NAS.

Das Routing:

Portfreigabe für den vServer über Fritzi an das NAS:

Immer noch kein Erfolg.

Daran habe ich mich gehalten. Aussage: UDP und IPsec gehen nicht.

Dann hast du aber den Andy in seinem Blog bzw. seine Aussage nicht verstanden. Was da steht ist ja per se richtig für einen DS-Lite Anschluss, betrifft dich aber ja nicht. Zumindestens dann nicht wenn du die IPsec Lösung über die FritzBox umsetzt.
Wenn du es per IPsec löst dann erstellt die FritzBox ausgehend einen IPsec VPN Tunnel. Sie ist es also die den Tunnel zum vServer initiiert (VPN initiator). Es findet KEINE eingehende Verbindung auf deine FritzBox statt was der Blog beschreibt.
Diese würde in der Tat nie zustande kommen können wegen des zentral CG-NAT beim Provider. Das ist ja auch so beim Andy beschrieben. Es geht rein nur um eigehende Verbindungen niemals aber um ausgehende. Ein kleiner aber feiner Unterschied!

Da es also eine ausgehende VPN Verbindungen ist kann die FritzBox also so völlig problemlos eine IPv4 Verbindung mit IPsec auf den vServer herstellen und den VPN Tunnel etablieren.
Damit hast du dann einen festen IPv4 VPN Tunnel zwischen deiner FritzBox, ihrem lokalen LAN und dem vServer.
Auf dem vServer wählst du dich dann per onboard VPN Client ein und fertig ist der Lack... Einfacher gehts nicht.

Diese Verbindungs Logik gilt auch für alle anderen VPN Protokolle solange diese von dir aus die VPN Verbindung ZU einem IPv4 Ziel initieren!
Eingehend, sprich also VON irgendwoher zu dir kann an einem DS-Lite Anschluss bekanntlich immer nur per IPv6 funktionieren. IPv4 würde immer am CG-NAT des Providers geblockt werden siehe Andy.

Immer noch kein Erfolg.

Das Problem wird sein das dein OpenVPN Server im NAS den Return Traffic nicht wieder in den Tunnel via vServer an den Client sendet sondern direkt über den lokalen Internet Router. Damit kommt Return Traffic mit einer falschen Absender IP am VPN Client an und der verwirft dann sofort diese Session.
Diese Problematik und seine Lösung sind in den folgenden Threads genau beschrieben:
Wie Portforwarding über 2 miteinander verbundenen pfSense realisieren
Routing zwischen zwei PfSense - Nutzung von public IP
Mit IPsec an der FritzBox alles kein Thema...

Ich weis, dass ich gleich wieder eins auf den Hut bekomme...

Lese ich bei AVM nach wie das gehen soll:
Voraussetzug dafür ist eine öffentliche IPV4 ( hab ich nicht... )
oder
Fritz OS 7.50. Gibts für meine 7530 immer noch nicht...

Lese ich bei AVM nach wie das gehen soll:

Du hast vermutlich das Obige wieder nicht- oder weiter missverstanden!!

Auch AVM geht, wie der Andy in seinem Blog, von einer eingehenden IPv4 Verbindung aus!!! Also von außen (Internet) will etwas auf deine FritzBox zugreifen.
Das ist im IPsec Jumphost Setup NICHT der Fall!! Dort baut die FritzBox aktiv NACH AUßEN eine VPN Verbindung auf. Sie ist es also die den Aufbau triggert und hat dann sehr wohl eine öffentliche IPv4 Absenderadresse, nämlich die des CG-NAT Gateways des Providers. IPsec Return Traffic vom vServer kann deshalb so dann auch wieder deine FritzBox erreichen. (UDP 4500)
Diese öffentliche IPv4 Adresse kannst du auch selber sehen wenn du mal zu http://myexternalip.com surfst.

Fritz OS 7.50. Gibts für meine 7530 immer noch nicht...

Völlig irrelevant wenn du IPsec oder deine Frickellösung mit OpenVPN nutzt!

Die sehe ich auch wenn ich versuche den Vserver per OpenVPNConnect anzusprechen.
Sehe ich im server Log.

Aber das Ganze löst das für mich nicht. Ich bin DAU was das angeht.
Ich könnte jetzt versuchem einem Sysadmin das Fliegen beizubringen.
Wird der auch nicht in 5 Minuten hin bekommen. Das dauert.

Kostet einfach viel Zeit dass ich versuche mich da durchzuwursteln.
Ich lese ja hier immer wieder: gaaaanz einfach. In 5 Minuten gemacht.
Ich brauche jemanden der an meinem System mal die 5 Minuten Zeit aufbringt und mir hilft.
Z.B. Teamviewer.

Du hast doch deinen Großadmin Netzwerk Spezl an der Hand. Der wird dir das in einer Viertelstunde zum Fliegen bringen... Das ist wahrlich alles kein Hexenwerk wenn man weiss was man tut.

Hallo,

irgendwie hast du das System immer noch nicht verstanden!

In deiner Konstellation kannst du über IP4 von AUßEN (aus dem Internet) keine Verbindung zu deiner FritzBox aufbauen. DAS GEHT PRINZIPIELL NICHT! (Ursache CGNAT deines Providers)

Lösung:
Jump-Host bei einem Dienstleister deiner Wahl mieten (der ist von überall her aus dem Internet erreichbar)

Deine FritzBox baut aktiv einen Tunnel zu Jump-Host auf (das funktioniert trotz CGNAT, da die Verbindung ja von INNEN - dein lokales LAN - nach AUßEN - Jump-Host im Internet - aufgebaut wird)
Wenn der Tunnel zw. FritzBox und Jump-Host steht, gibt es ungehinderten Datenverkehr zw. Beiden bis der Tunnel geschlossen wird.

Jetzt baust du von deinem PC (im Internet) einen 2. Tunnel zum Jump-Host auf (das geht, da der Jump-Host beim Dienstleister steht und aus dem Internet erreichbar ist). Der Jump-Host fungiert dann als Router zwischen deinen beiden Tunneln und leitet die Datenpakete von deinem PC zur FritzBox (und von dort über NAT an deine Geräte im lokalen Netz) und wieder zurück.

Das ganze ist also ein "flotter Dreier": FritzBox --VPN-Tunnel1--> Jump-Host <--VPN-Tunnel2-- PC

Mit welcher Technik du die Tunnel betreibst - IPsec, OpenVPN oä. - ist dabei völlig Banane. Wichtig ist nur, dass die Fritzbox als erstes den Tunnel zum Jump-Host kreiert und aufrecht erhält.

Und wie eine FritzBox aktiv einen Tunnel nach AUßEN aufbaut, findest du bei AVM (zB. Tunnel zw. 2 FritzBoxen). (Die 2. FritzBox, die passiv auf den Tunnelaufbau wartet, wäre dann dein Jump-Host)

Die WAN-IP4-Adresse (weder die öffentliche IP des Provider-Routers, noch die private IP4-Adresse auf der WAN-Seite) deiner FritzBox muss dir und dem Jump-Host nicht bekannt sein. Der Jump-Host hat eine feste, öffentliche IP4-Adresse und kann damit von der FritzBox erreicht werden. Du bzw. dein PC musst auch nur die öffentliche IP des Jump-Host kennen, um den 2. Tunnel aufzubauen. Und auf dem Jump-Host muss nur das Routing zw. den 2 Tunnel-Netzen eingerichtet werden.

Wenn der Jump-Host eine feste öffentliche IP4-Adresse hat, brauchst du nicht mal DynDNS.

Jürgen

Der Kollege Admin hat leider meine Reichweite verlassen.
Umzug wegen Job in Kiel bei irgendeinem BW Grissrechengedöns.

Ich habe bis heute seit Mitte der 80er alles was ich brachte konfiguriert bekommen.
Seit ich bei Inexio bin scheitere ich am Zugriff auf mein System von Außen.

Und natürlich habe ich es nicht verstanden. Irgendwo verwurschtelt das meine Synapsen.
Ich habe 4 Wege probiert.

Myfritz. Funktioniert soweit, dass ich von aussen meine Kiste konfigurieren kann.
Wenn sich die App nicht gerade Mal upgedatet hat und ein neuer einmaliger Login daheim erforderlich ist.
Hier kann ich unter Netzwerk die Geräte alle sehen. Aufruf der Geräte scheitert jedoch.

Synology.me. funktioniert ähnlich. Ich komme aufs NAS. Kann es konfigurieren. Dateien Abrufen.
Soweit so gut. Aber hilft mir auch nicht meine weiteren Geräte abzusprechen.

Hier kam die Idee ins Spiel OpenVPN aufs NAS zu setzten und diese raus telefonieren zu lassen.
Da sollte dann auch der Zugriff möglich sein.
Aber hier fehlen mir offensichtlich die Kenntnisse das einfach zu verstehen.

Und die Fritte zu konfigurieren habe ich auf diversen Wegen nun hinter mir.
Gestern nochmal IPsec probiert. Scheiterte auch.

Ist wohl so wie einem Neandertaler den Quantenantrieb zu erklären...

Hallo,

noch einmal eine ganz einfache Frage: Hast Du bei einem Dienstleister einen Server (eine virtuelle Server-Instanz) angemietet, die eine öffentliche IP4-Adresse hat und aus dem Internet erreichbar ist???

Diesen Server musst du als einen "Jump-Host" konfigurieren (es gibt dutzende Anleitungen dafür im Netz).
Bei einem CGNAT, wie es dein Provider wohl macht, geht es ohne diesen "Dritten" in der Mitte nicht!

Jürgen

PS MyFritz und Synology.me sind genau solche "Jump-Host´s", nur auf die jeweiligen Dienste zugeschnitten. Darum funktioniert das ja auch.

Zum letzten Hinweis. Das ist mir klar.

Ich habe bei Kamp einen Testaccount erstellt.
Das gibts erstmal zum ausprobieren umsonst.
Dort kann man diverse vServer erstellen. Ich habe einen auf Debian 9 Basis laufen.
Dieser hat eine feste IP. Der ist auch erreichbar.
Mit dem habe ich nun versucht über 6tunnel zu meinem Server und Fritz zu kommen.
Das ist gescheitert. Ich versuche es bei Gelegenheit vielleicht mal noch komplett anders.
Ipsec habe ich dann probiert. Auch das will nicht.

Ich werde anscheinend zu alt um auch nur eine dieser "dutzenden Anleitungen" hin zu bekommen.
Ich habs sonst immer hin gebogen gekriegt.
Im Moment zweifel ich an meinem Verstand...

Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt markieren!

Ist noch nicht gelöst.

Woran genau hakt es denn noch??

Daran, dass es mit dem V Server im Moment auch nicht klappt.
Weil ich zu doof bin die pupig einfachen Anleitungen die es zu Ziliarden im Netz gibt umzusetzen.

Oha, dies spezifische Problem kann dann auch das beste Forum leider nicht lösen.

Wenn es das denn nun final war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!

Zitat von @aqui:

Oha, dies spezifische Problem kann dann auch das beste Forum leider nicht lösen.

Doch. Das Problem könnte dieses Forum sehr einfach lösen.
Da das ja alles so einfach ist wäre es ganz nett wenn jemand privat kontakt aufnimmt.
Und das so einfache Problem in 5 Minuten auf meinen System eben löst da bei mir irgendwo ein Knoten im Hirn hängt.
Geht sehr einfach über Klienten wie Teamviever.

Aber es wird ja lieber ein Jahr lamentiert und mir gesagt ich bin einfach zu bescheuert.

Aber jetz is passiert. Heute gabs das offizielle FritzOS 7.50 für meine Fritte zum Download.
Auf der läuft Wireguard. Installiert. Mit meinem Sprechstein über LTE probiert. UND?
Unglaublich. Ich komme an meine Geräte ran als wäre ich im heimischen WLAN. Oder LAN.

Ich werde es die Tage aus irgendwelchen exteren WLANs mal probieren.
Sollte es funktionieren werde ich das Problem hier schliessen.
Dann kommen diese dauernden authistischen Bitten nach schliessen des Tröööt nicht mehr.

Allerdings: geschlossen wird der dann weil das Problem nicht mehr existiert.
Geholfen hat dabei keiner der Tips und Kommentare die es dazu gab.

Da das ja alles so einfach ist wäre es ganz nett wenn jemand privat kontakt aufnimmt.

Ja nee ist klar. Das hier ist ein Forum, kein Herstellersupport. Wieso sollte jemand mit dir Kontakt aufnehmen?
Alles hier ist gratis Hilfe zur Selbsthilfe von Profis.
Wenn du aber nicht verstehst was wir sagen, dann kann dir niemand aus der Ferne helfen.
Hinfahren und das Problem für dich lösen, machen sicher gerne einige. Aber mit entsprechender Rechnung. Kannst gerne hier schreiben, dass du Angebote möchtest.

Allerdings: geschlossen wird der dann weil das Problem nicht mehr existiert.
Geholfen hat dabei keiner der Tips und Kommentare die es dazu gab.

Wow. Das ist schon ziemlich unverschämt. Von mir kriegst du keine Hilfe mehr.

Das ist genau der Tenor den ich hier seit meiner Frage höre. Es nervt.

Ich arbeite in einer Branche, in der Teamarbeit, flache Hirachien, Lösungsorientation,
Geringstmöglichstes Risiko und gegenseitige Hilfe groß geschrieben wird.
Wenn jemand Probleme hat fasst man an und labert nicht lange.

Hier habe ich das Gefühl, und das kommt wirklich selten vor im den viele Foren und
Gruppen in denen ich unterwegs bin, dass es auf Darstellung ankommt.
Alpha Tier Verhalten.

Sehr shhade bei all der Kompetenz die hier vorhanden zu sein scheint.

Ich empfinde es nicht als unverschämt seine Meinung zu sagen.
Wie oft würde mir gesagt wie blöde ich bin. Das empfinde ich als unverschämt.

Geht nicht gegen Dich. Aber der Herr Grossadministrator hat es ja immer wieder betont.

So. Rückmeldung. Auch Wireguard it etwas ernüchternd.
Bei Verbindungen über Mobilfunknetz funktioniert es überall in Europa.
Bei Verbindungen über WLAN Netze genau das Selbe wie mit VPN. Geht nicht.

Du nutzt vermutlich den Standard UDP Port für das VPN, kann das sein?
Viele Betreiber von solchen Netzen filtern die klassischen Standard Ports für VPN Verbindungen.
Du solltest also in jedem Falle deinen WG UDP Port in den Bereich der Ephemeral Ports und abweichend zum Standard Port setzen. Damit wird der dann diese Filterlisten passieren können.

Mal davon abgesehen, dass ich den Begriff Ephemeral Port gerade das erste Mal gelesen habe...
Ich habe in dem FritzOS einfach Wireguard eingeschaltet und machen lassen.

Das Ergebnis ist, dass unter einer Mobilfunk Verbindung die Sache funktioniert.
In jedem bisher getesteten externen WLAN scheitert es.
Im Log steht, dass die IPV6 Verbindung zur Fritzbox nicht möglich ist.