garack
Goto Top

Android VPN verbinden mit Fritzbox

Hallo zusammen,

ich versuche eine VPN Verbindung vom Android via GSM/UMTS zur Fritte herzustellen. Das klappt aber nicht. Vielleicht kann jemand helfen?

FritzBox 7390 - Neustes FritzOS für diese Box 6.51 - keine feste Ip oder DynDNS aber ich teste ja nur und die IP wird erst heute nacht erneuert.

Die Einrichtung ist simple - Benutzer und Passwort anlegen und Haken bei VPN und Zugriff aus dem Internet

Unter dem Nexus5X Android 7.0 kann ich dann Die Daten welche mir die Fritte ausgibt eintippen und mich verbinden:

Name, Typ, Server Adresse (Öffentlche IP der Fritte, hier 80.x.x.x.x), IPSEC ID, und IPSEC Presahred Key - Dann mit meinem FritzBox Nutzer einloggen.

Android meldet : nicht erfolgreich . Keine Details zum Fehler..leider..habe schon sehr oft versucht Rechtschreibfehler auszuschließen.


Das Android ist momentan nur mit dem telefonika Mobilfunknetz via UMTS / H verbunden. Die WLAN verbindung zur Fritte habe ich natürlich ausgeschaltet.

Geht die ganze Sache überhaupt mit Mobilfunk oder muss ich mich im WLAN eines anderen Netzes befinden?

Hier Infos von AVM:

https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...

Ich nutze an der Fritte einen normalen IP4 Anschluss also kein Dual Stack Lite.

Was ich nicht ganz verstehe:

Die VPN-Kommunikation ist nicht möglich, wenn das Android-Gerät eine IP-Adresse aus dem IP-Netzwerk der FRITZ!Box verwendet.

Es geht also nicht wenn ich im Netzwerk der Fritte bin .. ok. Oder auch wenn ich mit ner anderen Fritte im gleichen Netz sitze? hier 192.168.178.x

Über UMTS hat das Android ja aber eine andere Ip oder?

EDIT : WICHTIGE INFO: Ich kann den Haken bei Zugang auch aus dem Internet erlauben setzten, dieser wird aber nicht gespeichert..Liegt es wohl daran?

EDIT2: Der haken ist nun gesetzt, habe den Nutzer einfach nochmal angelegt, vorher den alten gelöscht. VPN geht aber immer noch nicht.
222

Content-ID: 319910

Url: https://administrator.de/forum/android-vpn-verbinden-mit-fritzbox-319910.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

131381
131381 03.11.2016 aktualisiert um 17:07:27 Uhr
Goto Top
Hey ho ...
Zitat von @garack:
FritzBox 7390 - Neustes FritzOS für diese Box 6.51 - keine feste Ip oder DynDNS aber ich teste ja nur und die IP wird erst heute nacht erneuert.

Die Einrichtung ist simple - Benutzer und Passwort anlegen und Haken bei VPN und Zugriff aus dem Internet
Nein, das Häkchen braucht es für das VPN nicht.

habe schon sehr oft versucht Rechtschreibfehler auszuschließen.
Oh ja, das sieht man an deinem Thread deutlich und an der Überschrift face-big-smile.

Das Android ist momentan nur mit dem telefonika Mobilfunknetz via UMTS / H verbunden. Die WLAN verbindung zur Fritte habe ich natürlich ausgeschaltet.
Das WLAN hat damit rein gar nichts zu tun face-smile. Natürlich sollte man WLAN am Smartphone deaktivieren.
Geht die ganze Sache überhaupt mit Mobilfunk oder muss ich mich im WLAN eines anderen Netzes befinden?
Das funktioniert solange der Mobilfunkanbieter IPSEC Verbindungen zulässt und die Ports (500/4500UDP) nicht gesperrt hat (Vertragsabhängig).
Hier Infos von AWM:
face-smile AWM?? (Stichwort Rechtschreibung oben)

Ich nutze an der Fritte einen normalen IP4 Anschluss also kein Dual Stack Lite.
Gut.

Die VPN-Kommunikation ist nicht möglich, wenn das Android-Gerät eine IP-Adresse aus dem IP-Netzwerk der FRITZ!Box verwendet.
Logisch wenn du mal nachdenkst. Zwei Netze mit dem gleichen Subnetz verbinden, das geht mit der Fritte schon mal gar nicht! => Routing min jung ....
Es geht also nicht wenn ich im Netzwerk der Fritte bin .. ok. Oder auch wenn ich mit ner anderen Fritte im gleichen Netz sitze? hier 192.168.178.x
S.o. Beim Verbinden zweier Subnetze sollten diese immer unterschiedlich sein. Es gibt zwar Tricks mit NAT aber das geht mit der Fritte nicht.
Über UMTS hat das Android ja aber eine andere Ip oder?
Ja, sagt aber noch lange nicht aus das der Telefonanbieter VPNs zulässt. Kontaktiere deinen Anbieter.
EDIT : WICHTIGE INFO: Ich kann den Haken bei Zugang auch aus dem Internet erlauben setzten, dieser wird aber nicht gespeichert..Liegt es wohl daran?
Nein, die Einstellung hat rein garnichts mit dem VPN zu tun sondern regelt nur den Zugriff auf die Fritzbox (NAS und den Login zur Config)
EDIT2: Der haken ist nun gesetzt, habe den Nutzer einfach nochmal angelegt, vorher den alten gelöscht. VPN geht aber immer noch nicht.
Wundert mich nicht.

Hat der Username zufällig ein @ im Namen?

Gruß
garack
garack 03.11.2016 um 17:38:01 Uhr
Goto Top
hallo mikrotik,

Danke für deine Antwort. Firtzbox face-smile Ich habe die Rechtschreibfehler verbessert face-smile

Der Internet Haken hat damit nichts zu tun - Danke, das stimmt und ist logisch.

Nein der Nutzername hat kein @ im Namen.

Klar zwei Netze im gleichen Subnetz geht nicht, ok!

Werde mal nachforschen ob telefonica also O2 und Eplus das unterstützen.

Die Fritte setzt übrigens keine für mich sichtbaren Portfreigaben wenn ich VPN aktiviere, ist wohl so korrekt das macht sie intern?
131381
131381 03.11.2016 aktualisiert um 17:52:11 Uhr
Goto Top
Zitat von @garack:
Werde mal nachforschen ob telefonica also O2 und Eplus das unterstützen.
Also hier geht das selbst mit Alditalk.
Die Fritte setzt übrigens keine für mich sichtbaren Portfreigaben wenn ich VPN aktiviere, ist wohl so korrekt das macht sie intern?
Ja, das regelt sie selbst, siehst du wenn du dir mal die ganze Config der FB exportieren lässt. Dann siehst du auch gleich deine VPN Config für deinen User im Klartext.
garack
garack 03.11.2016 aktualisiert um 18:25:47 Uhr
Goto Top
Hmm, wo liegt mein Fehler, ich nutze auch Aldi Talk..

Groß-Kleinschreibung, eventuelle Leerzeichen alles schon durch..Ich leg noch mal einen neuen Nutzer an..

Nichts..Ich kann noch beim Nexus5X beim Verbinden Durchgehendes aktives VPN anwählen, aber auch das macht keinen Unterschied..

"nicht erfolgreich"

Hier mal meine Settings:

Das sagt dir Fritte:

Wählen Sie auf dem Homescreen Ihres Android-Gerätes "Einstellungen / Weitere Einstellungen / VPN / VPN-Netzwerk hinzufügen".
Tragen Sie in die Felder folgende Angaben ein:
Name:home
Typ:IPSec Xauth PSK
Server-Adresse:86.x.x.x
IPSec Identifier:oliver
IPSec Pre-Shared Key:xxxxxxxxxxxxx
Beenden Sie die VPN-Einrichtung mit "Sichern".
Verbindung aufbauen

Geben Sie beim Aufbau der Verbindung die nachfolgenden Daten ein:
Nutzername:oliver
Passwort:Kennwort des FRITZ!Box-Benutzers "oliver"
screenshot_20161103-182123
aqui
Lösung aqui 04.11.2016 um 08:52:02 Uhr
Goto Top
Eigentlich beschreibt die AVM Seite die ToDos ja umfassend:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unte ...
Damit kommt das sofort zum Fliegen !

Es gibt aber ein wichtiges KO Kriterium:
Wenn dein Tarif ein billiger nur Surf Tarif ist kann es sein das du mit dem APN in einem Mobilnetz arbeitest was intern private RFC 1918 IP Adressen verwendet !
Der Mobilfunkprovider macht dann ein zentrales NAT ( IP Adress Translation) auf eine öffentliche IP Adresse ins Internet:
Damit ist dann jede VPN Nutzung mit IPsec technisch unmöglich.
Dieser Thread beschreibt die Problematik:
VPN über webn walk Stick IV nicht mehr möglich
Checke also bevor du dir einen Wolf suchst welche Art von IP Adresse du auf der Mobilfunkschnittstelle von deinem Provider bekommst. Das darf keine 10er, 172.16-32er oder 192.168er sein !
garack
garack 04.11.2016 aktualisiert um 14:42:46 Uhr
Goto Top
Hallo aqui,

Ja, die Anleitung ist gut diese habe ich auch genau befolgt.

Aldi Talk (Telefonica) scheint ja bei mikrotik mit VPN zu funktionieren.

Ich nutze ja auch Aldi Talk und habe folgende öffentlich IP Adresse unter UMTS:

2.247.241.153

Die Ip Range : 2.247.241.0 to 2.247.241.255 gehört zur Telefonica.

Müsste ich nicht auch über UTMS eine interne IP Adresse besitzen? Ist diese relevant?

Kann ich hier meine interne IP auslesen: ?

https://www.ip-secrets.info/webrtc.php

Es wird 10.218.89.253 angezeigt.
aqui
Lösung aqui 04.11.2016 aktualisiert um 16:39:16 Uhr
Goto Top
Aldi Talk (Telefonica) scheint ja bei mikrotik mit VPN zu funktionieren.
Das Argument ist sinnfrei denn wie du verutlich selber weisst gibt es ja mehrer verschiedene VPN Protokolle. Es gibt welche die mit NAT umgehen können und eben welche die das nicht können.
Die FritzBox kann einzig und allein nur IPsec was das nicht kann.
Der Mikrotik kann so ziemlich alles an VPNs was es gibt. Insofern ist auch die Aussage oben sinnlos wenn du nichtmal das VPN Protokoll benennst was der MT nutzt.
Bei SSL basierten Protokollen kann das durchaus klappen.
Interessant das Aldi im Telefonica Netz funkt....
http://www.utrace.de/?query=2.247.241.153
Na ja bei den Billigheimern kein Wunder.
Gut ist aber die Tatsache das das zweifelsfrei eine öffentliche IP ist und du das Problem mit den RFC 1918 IPs definitiv nicht hast !
Du solltest mal über die Paket Sniffer Funktion bei der FB checken ob dort überhaupt IPsec Pakete vom Client ankommen.
http://www.wehavemorefun.de/fritzbox/Versteckte_Features
IP Pakete mitschneiden...
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
So kannst du überhaupt erstmal prüfen on das Mobilfunknetz die IPsec Pakete überhaupt transportiert.
Viele der Billigheimer Mobilanbieter filtern in einfachen nur Surf Accounts auch zusätzlich noch alle üblichen VPN Protokolle. Klar, denn dafür wollen sie teurere Business Verträge verkaufen face-wink
Wenn an der FB eingehend kein IPsec ankommt kann das der Fall sein.
Zusätzlich kannst du an der Hotline nochmal nachfragen...obwohl sie da nicht immer die Wahrheit sagen denn das sind bei soclhen Anbietern auch externen Callcenter die dem nächsten Anfrufer die Strom- oder Gasrechnung erklären.
Müsste ich nicht auch über UTMS eine interne IP Adresse besitzen?
Was meinst du mit "intern" ?? Die Frage ist unklar ?? face-sad
Im Mobilfunknetz hängst du als Client offen im Internet wenn du eine öffentliche IP bekommst wie oben !
Mit welcher IP du unterwegs bist kannst du immer mit http://ct.de/ip im Browser abfragen.
131381
Lösung 131381 04.11.2016 aktualisiert um 16:45:27 Uhr
Goto Top
@aqui
Mit "mikrotik" meint er mich face-smile nicht die Hardware...

Und ja, Alditalk blockt kein IPSec, wie gesagt lüppt es hier einwandfrei.

Schalte einfach mal das Traffic-Capturing auf der FB ein dann siehst du in überhaupt Pakete deines Androiden am WAN ankommen und wenn ja woran es bei dir hapert.
aqui
Lösung aqui 04.11.2016 um 17:53:53 Uhr
Goto Top
Oha User und Hardware gedoppelt... Das ist aber schon eine Herausforderung an einem Freitag face-big-smile
Danke für die Aufklärung...hatte ich in der Tat übersehen.
Und ja, Alditalk blockt kein IPSec, wie gesagt lüppt es hier einwandfrei.
Solange die auf den gleichen Provider setzen.... ?!
Wenn der identisch ist, ist es dann in der Tat eher ein PEBKAC Problem des TO... face-wink
Traffic Capturing ist in jedem Falle der richtige Weg ertsmal.
garack
garack 04.11.2016 aktualisiert um 19:11:31 Uhr
Goto Top
Was meinst du mit "intern" ?? Die Frage ist unklar ?? face-sad
Im Mobilfunknetz hängst du als Client offen im Internet wenn du eine öffentliche IP bekommst wie oben !
Mit welcher IP du unterwegs bist kannst du immer mit http://ct.de/ip im Browser abfragen.

Ich meine das ein Computer hinter einem NAT Router immer eine interne IP und eine öffentliche IP hat.
Hat das Smartphone via UMTS diese auch?

Nun habe ich es nochmal probiert, neuer Benutzer in der Fritte und VPN verbunden. Diesmal steht die Leitung face-smile

Smartphone nur über UMTS verbunden, kein WLAN, öffentliche IP getestet , kommt die 2.247... , dann VPN an Ip getestet und es ist die öffentliche Meines Routers...geht also 100%

Warum? Tippfehler kann ich fast ausschließen so oft wie ich es probiert habe..

Naja ich hab mal die Pakete mit geschnitten, sagt mit leider nicht viel aber da ist viel ISAKMP, PPP (nicht IPSEC?) und
ESP (was wohl der Payload ist)..Mist ich hab kein Plan davon face-smile(
Fehler sind auch dabei:
2	0.000188	86.103.x.x    	171.226.85.63	ICMP	78	Destination unreachable (Communication administratively filtered)
12	3.185871	2.247.250.122	86.103.x.x   125	ICMP	79	Destination unreachable (Port unreachable)


171.226.85.63 -- Vietnamesicher Mobilfunk Anbieter - ?? Was macht der denn da ...


Zur Fehlerquelle fällt mir noch ein Aldi Talk war mal Elus aber seit Telefonica Eplus und O2 vereint gibt es da national Roaming, d.h. das Smartphone (sollte) sich immer in das beste Netz von beiden einwählen..Irgendwann 2016/17 wollen sie wohl ein einziges Netz daraus machen..

Ich melde mich hier sofern es nicht (mehr) geht und poste dann ein Paketmitschnitt..

Vielen Dank für die Hilfe! Falls interesse besteht poste ich den funktionierenden Mitschnitt.
aqui
Lösung aqui 04.11.2016 um 21:39:26 Uhr
Goto Top
Hat das Smartphone via UMTS diese auch?
Nein, wozu ?
Wäre ja Blödsinn und wo sollte denn auch das interne Netz sein.
Das Smartphone hängt nackig so direkt mit einer öffentlichen IP im Internet. Kein NAT keine Firewall nix.
Deshalb sind Androiden ja so ein beliebtes Angreiferziel.
Diesmal steht die Leitung
Geht doch...! face-wink
dann VPN an Ip getestet und es ist die öffentliche Meines Routers...geht also 100%
Bedeutet dann aber auch das ALLES dann durch den Tunnel geht !
Gut macht ja auch Sinn wenn man z.B. an einem öffentlichen Hotspot arbeitet will man ja auch alles verschlüsselt haben mit dem VPN. Sicher ist sicher...
sagt mit leider nicht viel aber da ist viel ISAKMP, PPP
Das merkt man... Netzwerker wissen das IPsec aus ISAKMP (IKE) und ESP besteht !
Guckst du auch hier:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und hier
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und ggf. auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Vietnamesicher Mobilfunk Anbieter - ?? Was macht der denn da ...
Hast du öffentliche IP, hast du auch gleich Angreifer (Portscanner, Skimmer, Passwort Attacker usw.) drauf. Das passiert bei JEDEM Internet Anschluss im Sekundentakt und permanent.
60% der Angreifer kommen aus dem asiatischen Raum, Rest Russland, Rumäninen usw. die üblichen Verdächtigen eben.
Aldi Talk war mal Elus
Igittt...das netz mit der bekanntlich allerschlechtesten Infrastruktur Deutschlands. Na ja...You get what you pay for... wie immer die alte Leier.
das Smartphone (sollte) sich immer in das beste Netz von beiden einwählen.
Vom schlechten ins ganz schlechte.... face-big-smile
Vielen Dank für die Hilfe!
Immer gerne wieder...!
garack
garack 04.11.2016 aktualisiert um 22:39:04 Uhr
Goto Top
Wäre ja Blödsinn und wo sollte denn auch das interne Netz sein.
Das Smartphone hängt nackig so direkt mit einer öffentlichen IP im Internet. Kein NAT keine Firewall nix.
Deshalb sind Androiden ja so ein beliebtes Angreiferziel.

Könnte ja sein das die Mobilfunk Anbieter so was wie carrier grade NAT machen.

http://security.stackexchange.com/questions/97657/firewall-on-smartphon ...

Aber davon verstehe ich wenig.
Sehr interessant mit dem Sicherheitsaspekt. Ich dachte bisher Android ist relativ sicher wenn man sich nichts oder nur mit bedacht aus dem PlayStore Installiert und monatliche Sicherheitspatches bekommt. Deswegen nutze ich ein Nexus5X , jeden Monat Patches und Kontrolle was die einzelnen Apps dürfen. An Port Scan wie früher zu Modem Zeiten als es noch kaum NAT durch Router gab habe ich nie gedacht..
klar muss die Anwendung die angegriffen werden soll erst mal Fehler aufweisen..aber da dann alle Ports immer offen sind...krass.

sagt mit leider nicht viel aber da ist viel ISAKMP, PPP
Das merkt man... Netzwerker wissen das IPsec aus ISAKMP (IKE) und ESP besteht !

Danke! Sehr interessant werde mich damit und mit wireshark mal näher beschäftigen.

Hast du öffentliche IP, hast du auch gleich Angreifer (Portscanner, Skimmer, Passwort Attacker usw.) drauf. Das passiert bei JEDEM Internet Anschluss im Sekundentakt und permanent.
Oha, auch interessant .. ich muss mal wireshark lernen und den FritzBox Paketmitschnitt mal auswerten.
Aldi Talk war mal Elus
Igittt...das netz mit der bekanntlich allerschlechtesten Infrastruktur Deutschlands. Na ja...You get what you pay for... wie immer die alte Leier.

Ja geht aber , mit national Roaming sind ja nun 2 der schlechten Netze zusammen face-smile Hab bisher keine Probleme mit Empfang oder Internet auf dem Smarty.
aqui
aqui 05.11.2016 um 00:08:53 Uhr
Goto Top
Könnte ja sein das die Mobilfunk Anbieter so was wie carrier grade NAT machen.
Klar, kann man ja aber bei dir ausschliessen, denn du hast je ein öffentliche IP Adresse und eben KEINE der privaten RFC 1918 IP Adressen.
Die Thematik ist ja oben schon diskutiert worden so das dieser Einwand eigentlich überflüssig ist.
Aber davon verstehe ich wenig.
Dann macht es auch wenig bis gar keinen Sinn darüber weiter zu fachsimpeln, sorry.
Ich dachte bisher Android ist relativ sicher
Traumtänzer....! Da ist das iPhone meilenweit voraus. Das ist aber immer die Crux wenn darunter ein mehr oder weniger offenes System werkelt.
Sehr interessant werde mich damit und mit wireshark mal näher beschäftigen.
Das ist löblich und auch sehr empfehlenswert.
131381
131381 05.11.2016 aktualisiert um 08:06:04 Uhr
Goto Top
Selbst mit RFC1918 Adresse am Telefon ist hier der Aufbau des C2S VPN im Transport-Mode möglich und auch logisch sofern der Betreiber mitmacht. Das gesagte gilt nur wenn die FB am WAN-Port eine solche inne hätte!
Bei Alditalk bekommst du nämlich am Device meist eine 10.x.x.x er zugewiesen und auch damit ist es problemlos möglich.
garack
garack 05.11.2016 aktualisiert um 16:35:06 Uhr
Goto Top
Könnte ja sein das die Mobilfunk Anbieter so was wie carrier grade NAT machen.
Klar, kann man ja aber bei dir ausschliessen, denn du hast je ein öffentliche IP Adresse und eben KEINE der privaten RFC 1918 IP Adressen.

Hmm, ich habe mich grade in CGN eingelesen, aber wohl nicht verstanden. Ich dachte bei Carrier Grade NAT bekommt man eine öffentliche IP Adresse, welche man sich mit anderen teilt.

Schema:

Mein PC (192.168.178.x) - Fritte macht NAT - ISP kann meine RFC 1918 IP für CGN nicht nehmen da die 1918 IP schon von den Kunden benutzt werden, daher nimmt der ISP eine dafür reservierte 100.64.0.0/10 Adresse - ISP Router/Server macht dann wieder NAT - raus kommt eine öffentliche IP die ich mir mit vielen anderen teile

Aber keine Private 1918, oder?

https://en.wikipedia.org/wiki/Carrier-grade_NAT
http://chrisgrundemann.com/index.php/2011/nat444-cgn-lsn-breaks/

waren meine Hauptquellen.
131381
131381 05.11.2016 aktualisiert um 18:20:31 Uhr
Goto Top
Ich dachte bei Carrier Grade NAT bekommt man eine öffentliche IP Adresse, welche man sich mit anderen teilt.
Du bekommst eine private, nach außen hin sieht man dich jedoch logisch mit einer öffentlichen weil die private auf eine Öffentliche geNATet wird!

Du hast einfach noch ein Verständnisproblem.

Ganz einfach : SRC-NAT bedeutet hier: Schreibe die Quelladresse eines Pakets um auf die öffentliche IP des Routers welcher im Internet hängt. So ist das bei dir zu Hause als auch bei den meisten Mobilfunkprovidern. Dort befindest du dich ebenfalls mit deinem Telefon in einem privaten Subnetz des Providers (mit privatem Adressebereich) welches zentral an einem Borderrouter auf eine öffentliche Adresse geNATet wird (also SRC-NAT mit Umschreiben der Quelladresse des ausghenden Pakets).
Befindet sich deine Fritte jedoch in so einem privaten Providernetz mit privaten IPs kann logischerweise keine Verbindung zustande kommen da private IPs im öffentlichen Internet logischerweise nicht geroutet werden und du keine Kontrolle des Borderrouters des Providers hast, so einfach ist das...billigste Routing-Grundlagen.

NAT = Network Address Translation = Umschreiben von Quell oder Zieladresse / Port

SRC-NAT = Ändere Quelladresse eines Paketes (genutzt um mehrere Clients hinter einer IP zu maskieren)
DST-NAT = Ändere die Zieladresse eines Paketes (einfachstes Anwendungsbeispiel: Portforwarding am Router)

Les dir einfach mal die Grundlagen von Vorne durch und nicht von Hinten face-wink
garack
garack 05.11.2016 um 18:38:43 Uhr
Goto Top
Genau so wie du es schreibst habe ich es auch verstanden. Und was ich geschrieben habe ist auch korrekt.

Klar "bekomme" ich eine private IP im 100 ér Bereich bei CGN und diese wird auf eine öffentlich geroutet. Also "bekommt" man auch eine öffentliche :=


Befindet sich deine Fritte jedoch in so einem privaten Providernetz mit privaten IPs kann logischerweise keine Verbindung zustande kommen da private IPs im öffentlichen Internet logischerweise nicht geroutet werden und du keine Kontrolle des Borderrouters des Providers hast, so einfach ist das...billigste Routing-Grundlagen.

Deswegen dachte ich sind ja die 100.64.0.0/10 Adressen da:

If an ISP deploys a CGN, and uses RFC 1918 address space to number their customers, there is a risk that customer equipment already using RFC 1918 space will stop working. The reason is that routing and NAT will not work if the same addresses occur on both inside and outside network interfaces.

This prompted some ISPs to develop policy within ARIN to allocate new private address space for CGNs, but ARIN deferred to the IETF before implementing the policy indicating that the matter was not typical allocation but a reservation for technical purposes (per RFC 2860).

IETF created RFC 6598, detailing Shared Address Space for use in ISP CGN deployments and NAT devices that can handle the same addresses occurring both on inbound and outbound interfaces. ARIN returned space to the IANA as needed for this allocation.[4] The allocated address block is 100.64.0.0/10.

Diese werden dann vom Provider via NAT geroutet und es kommt eine öffentliche raus die bei vielen gleich ist.

Dadurch geht natürlich kein Port Forwarding.

Es gibt aber Wege via PCP doch Ports zu öffnen für den Endkunden, das bietet aber bisher kaum ein Provider an.
131381
Lösung 131381 05.11.2016 aktualisiert um 19:58:12 Uhr
Goto Top
Klar "bekomme" ich eine private IP im 100 ér Bereich
100.64.0.0/10
Das ist kein "privater" Bereich nach RFC1918 ... face-smile
Diese sind nur 10/8 , 172.16/12 und 192.168/16

Nun dann ist ja alles grundlegende geklärt, und der Thread kann in die Ablage wandern.
garack
garack 06.11.2016 um 00:37:51 Uhr
Goto Top
Jep, ich meine keine 1918 IP ich bekomme eine private dann macht der Provider über die 100 er NAT.

Du hast Recht, alles ist geklärt hier. Vielen Dank für die tolle Hilfe !!!!!
aqui
aqui 06.11.2016 aktualisiert um 18:29:02 Uhr
Goto Top
Jep, ich meine keine 1918 IP ich bekomme eine private dann macht der Provider über die 100 er NAT.
Sorry aber die o.a. Aussage ist völliger Quatsch und technischer Blödsinn.
  • Wenn du keine RFC 1918 IP bekommst, sprich also dann eine öffentliche IP, dann muss der Provider logischerweise auch kein NAT machen !
  • Bekommst du eine RFC 1918, dann (und nur dann!) muss der Provider NAT machen. Logisch, denn 1918er Netze werden im Internet nicht geroutet !
Lochkartenstanzer
Lochkartenstanzer 06.11.2016 um 18:48:53 Uhr
Goto Top
Zitat von @aqui:

  • Wenn du keine RFC 1918 IP bekommst, sprich also dann eine öffentliche IP, dann muss der Provider logischerweise auch kein NAT machen !

Muß er nicht, könnte er aber trotzdem machen. face-smile

Ist mir allerdings bsher nicht untergekommen.

lks