Fritzbox IPSec über DS-Lite

visucius
Goto Top
Weil ich es gerade in der Update-Liste gesehen habe und mir dachte, dass das evtl. für einige hier interessant sein könnte!

Zitat: "Verbesserung IPv4-VPN-Verbindungen (IPSec) können über IPv6 getunnelt werden, etwa zur Erreichbarkeit von FRITZ!Box-Produkten an DS-Lite-Anschlüssen (IPv6-Tunnel für IPv4, IPv4-in-IPv6)"

Quelle: https://avm.de/fritz-labor/frisch-aus-der-entwicklung/neues-und-verbesse ...

Aktuell erhältlich für 7590, 7530, 6591 (läuft bei mir auf ner 7520 von 1&1)

Schönes WE!

Content-Key: 2068007260

Url: https://administrator.de/contentid/2068007260

Ausgedruckt am: 01.07.2022 um 19:07 Uhr

Mitglied: altmetaller
altmetaller 05.03.2022 um 09:23:08 Uhr
Goto Top
Hallo,

wer 5 Euro am Internetprodukt spart, frickelt halt ein paar zusätzliche Protokolle und Fehlerquellen dazwischen face-smile

Gruß,
Jörg
Mitglied: aqui
aqui 05.03.2022 aktualisiert um 10:37:37 Uhr
Goto Top
Macht ja dann eine Jumphost Konfiguration für DS-Lite Opfer überflüssig. Zumindestens für die neueren Modelle der FB.
Mitglied: Visucius
Visucius 05.03.2022 um 10:25:14 Uhr
Goto Top
Zitat von @aqui:

Macht ja dann eine Jumphost Konfiguration überflüssig. Zumindestens für die neueren Modelle der FB.

Das war auch mein Gedanke
Mitglied: hildefeuer
hildefeuer 05.03.2022 aktualisiert um 11:39:50 Uhr
Goto Top
Wurde ja auch fällig. Alle neueren Zugänge sind ja DS-Lite oder Dual Stack. Wem das alte Protokoll zu langsam + unsicher ist, der kann ja Wireguard nutzen.
Die jumphost Konfig ist ja nicht einfach bleibt also eher Profis vorbehalten und man benötigt ext. Server.
Mal abwarten ob das dann auch für die FB7490 kommt.
Bei mir steht das auch noch an sobald ich Glasfaser von DG bekomme.
Frage @ visucius: Kannst Du da Clients /Webinterface, die eine ipv4 im Heimnetz haben erreichen? z. B. Dein Netzwerk-Drucker?
Kannst Du darüber mit Fritzfon telefonieren? von extern mit vpn?
Bei mir gehts um Wechselrichter der PV-Anlage, der kann nur ipv4 im Heimnetz.
Mitglied: LeReseau
LeReseau 05.03.2022 um 11:51:29 Uhr
Goto Top
Alle neueren Zugänge sind ja DS-Lite oder Dual Stack.
Das kann man so nicht sagen. Es sind fast immer Provider die keinerlei IPv4 Adress Kontingente mehr haben und diese dann eher dediziert ihren Business Kunden reservieren da damit mehr Umsatz zu machen ist als im billigen Consumer Massenbereich.
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Besser ausgestatte Provider stellen auch Consumer Kunden immer Dual Stack Anschlüsse zur Verfügung die beides nativ supporten.
So oder so aber letztlich gut, denn das beschleunigt alles eine schnelle und umfassende Migration auf IPv6 !
Mitglied: hildefeuer
hildefeuer 05.03.2022 aktualisiert um 12:03:38 Uhr
Goto Top
Bei Dual Stack Zugang geht Fritz vpn(ipsec) ja derzeit nicht. Man muss den Haken bei ipv6 rausnehmen und hat dann einen ipv4 Zugang. Das ist der Punkt.
ipv6 hat nicht nur positive Aspekte. Wenn man in Foren liest ist das eine zusätzliche Fehlerquelle. Die user wundern sich dann häufig warum gewisse Websiten Accounts nicht erreichbar sind. Öfters bekommen Router keine ipv6 zugewiesen. Klar nach Router Neutstart gehts dann meistens wieder.
Bei einem VPN kann man den Router ja nicht aus der Ferne neu starten. Das entfällt dann.
Mitglied: LeReseau
LeReseau 05.03.2022 aktualisiert um 13:34:35 Uhr
Goto Top
Bei Dual Stack Zugang geht Fritz vpn(ipsec) ja derzeit nicht.
Doch, jetzt ja, wenn man die o.a. Modelle nutzt und das neue Feature ! face-wink
Die user wundern sich dann häufig warum gewisse Websiten Accounts nicht erreichbar sind.
Dann haben diese ihr v6 falsch konfiguriert. Ein nativer Dual Stack Betrieb rennt immer stabil. Die Telekom z.B. macht das ja schon seit Jahrzehnten. Nicht per v6 erreichbare Webseiten (wie z.B. peinlicherweise auch www.administrator.de ! face-wink ) werden dann automatisch ohne Verzögerung per v4 kontaktiert. Das ist mittlerweile überall Usus.
Öfters bekommen Router keine ipv6 zugewiesen.
Was dann häufig das Problem der Provider ist und weniger der Endnutzer.... Sauber konfiguriert ist v6 mittlerweile absolut stabil.
Mitglied: hildefeuer
hildefeuer 05.03.2022 um 15:47:40 Uhr
Goto Top
Nein dem ist nicht so. Frag mal die vielen Kabel-Deutschland Kunden. Die kennen das seit Jahrzehnten. Da wird nix händisch falsch konfiguriert, sondern das sind offensichtlich Macken in der Firmware der Router usw.
Der Schluss das es an falscher ipv6 Konfig liegt ist falsch.
Auch AVM hat da nachgebessert.
Weitere Verbesserungen im FRITZ!OS 7.29
Telefonie:
Behoben Eingeschränkte telefonische Erreichbarkeit bei Nutzung von Telefonie über IPv6
Weitere Verbesserungen im FRITZ!OS 07.25
Behoben Formatierungsfehler traten bei der Einrichtung von IPv6-Routen auf
Behoben IPv6: Nach Erneuerung des Heimnetz-Prefixes wurden invalide IPv6-Adressen für den Gastzugang nicht gelöscht
Behoben IPv6: Im IPv6 Router Advertisement (RA) mit Option 25 (Recursive DNS Server) wurden zum Teil Bits des Feldes "Reserved" gesetzt
Also auch namenhafte Hersteller schrauben noch dran........
Mitglied: LeReseau
LeReseau 05.03.2022 um 16:03:52 Uhr
Goto Top
Fragt man Telekom Kunden gibt es keinerlei solcher Aussagen... face-wink
Mitglied: Visucius
Visucius 05.03.2022 um 17:45:52 Uhr
Goto Top
Fragt man Telekom Kunden gibt es keinerlei solcher Aussagen... face-wink face-wink

Ach, darum gehts … Na, wenn Du Dich dann besser fühlst 😂
Mitglied: LeReseau
LeReseau 06.03.2022 um 09:43:57 Uhr
Goto Top
Zeigt ja das einige Provider es richtig machen...andere nicht ! face-wink
Mitglied: Visucius
Visucius 06.03.2022 aktualisiert um 11:58:53 Uhr
Goto Top
Fein machst Du das, ganz fein ... 😂

Natürlich bist Du als Kunde der Telekom herausragend! Sozusagen ein Premium-Mitglied der Gesellschaft, in einem Land, dass eh schon Premium-Preise für den durchschnittlichen (eher langsamen) Internet-Zugang aufruft.
Und als solche "Krönung der Schöpfung" zahlst Du bei der Telekom halt für ne typische 100 Mbit-Leitung rund 35% mehr als z.B. bei o2-online. Da finde ich es – aus "meiner Gosse" betrachtet – nur fair, dass Du damit (premium-)glücklich bist und Dich maximal wohl fühlst! 😁
Mitglied: altmetaller
altmetaller 06.03.2022 um 10:53:58 Uhr
Goto Top
Hallo,

Du wirst lachen - der Outbound von der Telekom hat mich neulich angerufen um mich als Neukunden zu gewinnen.

DS-Lite und in Summe noch doppelt so teuer wie mein jetziger Anbieter.

Grotesk, für wie dumm die mich halten face-smile

Gruß,
Jörg
Mitglied: Visucius
Visucius 06.03.2022 aktualisiert um 11:30:29 Uhr
Goto Top
Achso, habe ich oben vergessen:
Bei mir - o2-online - funktioniert IPv4 (mit vorgeschaltetem goip.de) natürlich. 😉

Bei KabelVodafone (Büro) hats dafür allerdings nen extra Anruf benötigt. Vermutlich, weil ich dort für 1.000 Mbit auch nur irgendwas um 35(?) EUR/Monat zahle?!

Kann mir halt nix anderes leisten ...
Mitglied: hildefeuer
hildefeuer 06.03.2022 um 12:17:50 Uhr
Goto Top
Für mich ist die Telekom kein Thema mehr. Zu teuer, zu langsam. Die haben hier vor Jahren tatsächlich den Ausbau auf Vectoring subventioniert bekommen und die alt-Kunden nicht auf höhere Datenrate geschaltet. Mein Anschluss lief lange Zeit mit 23Mbit/s weiter, obwohl schon 44Mbit/s möglich war. Andere Provider (Vodafone, O2) haben das sogleich gemacht.
Vor 15 Jahren hat die Telekom hier 256kb/s ADSL geschaltet. Arcor hat 1300kb/s geschaltet.
Mitglied: Visucius
Visucius 06.03.2022 aktualisiert um 12:54:10 Uhr
Goto Top
Das gehört zum Premium-Wohlfühl-Paket der Telekom!

Nen Kunde von mir wollte für DSL (50 Mbit) von Vodafone weg zur Telekom, um dort alles zu bündeln (mehrere Standorte, Mobilfunk usw.). Rund nen Jahr Anlauf genommen. Erst wollte die Telekom von ihm noch knapp 400 EUR, weil er früher mal irgendein TV-Receiver nicht zurückgegeben hätte und die Gebühren fröhlich weiterliefen. Dazu jedes mal neuer telefonischer Ansprechpartner. Am Ende hat er nach Prüfung der Möglichkeiten entnervt im Telekom-Laden nen 100 Mbit-Vertrag abgeschlossen.

Am Aufschalttag komme ich vorbei um den Wechsel lokal zu begleiten: 16 Mbit/s liegen an!

Telekom angerufen ... ja ne ... auf der schriftlichen Bestätigung auf Seite 4 von 10 in der kleinen Tabelle steht, dass wir ihnen 16.000 kbit/s bestätigen ...

Das ist genau mein Humor! 😂

Da fällt mir noch ne Pressemeldung ein, dass im Rahmen der VOIP-Umstellung aufgefallen sei, dass der "Platzhirsch" den Leuten (verm. Rentnern) bei Altverträgen noch Wählscheiben(?)-Telefone in Rechnung stellte, die schon seit Ewigkeiten nicht mehr in Betrieb waren.
Mitglied: altmetaller
altmetaller 06.03.2022 um 15:34:30 Uhr
Goto Top
Hallo,

Zitat von @Visucius:

Da fällt mir noch ne Pressemeldung ein, dass im Rahmen der VOIP-Umstellung aufgefallen sei, dass der "Platzhirsch" den Leuten (verm. Rentnern) bei Altverträgen noch Wählscheiben(?)-Telefone in Rechnung stellte, die schon seit Ewigkeiten nicht mehr in Betrieb waren.

Aber natürlich tun sie das. Wenn jemand etwas mietet, dann bezahlt er die Miete auch. Egal, ob das Mietobjekt genutzt wird oder nicht.

Wie unglaublich weltfremd muss man sein um von der Telekom zu erwarten, dass sie irgendwelchen Trotteln hinterherläuft die überfordert oder zu faul sind, einmal monatlich auf die Rechnung zu gucken und nicht mehr benötigte Komponenten zu kündigen? Wenn mir jemand Geld zuwirft ist es mir egal, ob er das aus Unwissenheit tut oder nicht.

Wir bezahlen übrigens auch 5 Euro im Monat für 'ne FRITZ!Box 6360. Warum auch nicht - so kann ich wenigstens den Anbieter vor mir hertreten, wenn mal etwas nicht funktioniert.

Gruß,
Jörg
Mitglied: 2196421564
2196421564 17.03.2022 um 04:53:32 Uhr
Goto Top
Hallo zusammen,

Die jumphost Konfig ist ja nicht einfach bleibt also eher Profis vorbehalten und man
benötigt ext. Server. Mal abwarten ob das dann auch für die FB7490 kommt.
Bei nicht privaten Anschlüssen mag das noch alles passen, aber bei privaten Anschlüssen
kann man auch mittels My!Fritz via App und/oder IPSec von unterwegs auf das Heimnetzwerk
zugreifen. Funktioniert bei mir out of the Box.

Bei mir steht das auch noch an sobald ich Glasfaser von DG bekomme.
Bekommen wir hier in Laatzen auch gerade überall, nur das vor- bzw. zwischengeschaltete
Netzwerk der Telekom ist damit ja noch nicht aus dem Weg.

Kannst Du darüber mit Fritzfon telefonieren? von extern mit vpn?
Mittels My!Fritz nach VPN Hause aufbauen und dann die Fon App benutzen funktioniert!

Bei mir gehts um Wechselrichter der PV-Anlage, der kann nur ipv4 im Heimnetz.
My!Fritz Account anlegen, Daten in der FB hinterlegen und die dort anmelden, Daten im
VPN Menü Deines Smartphones eingeben und ruckzuck ist man mit dem Heimnetz
verbunden, keine zusätzliche Hardware und Kosten.

Gruß BlueKobold
Mitglied: LeReseau
LeReseau 17.03.2022 um 11:02:18 Uhr
Goto Top
keine zusätzliche Hardware und Kosten.
...aber dann immer mit AVM dazwischen als Lauscher an der Wand !
Mitglied: altmetaller
altmetaller 17.03.2022 um 11:16:50 Uhr
Goto Top
Hallo,

Zitat von @LeReseau:

keine zusätzliche Hardware und Kosten.
...aber dann immer mit AVM dazwischen als Lauscher an der Wand !

Ja? Was für Daten greifen die denn ab? Bitte Quellenangabe…

Gruß,
Jörg
Mitglied: Visucius
Visucius 17.03.2022 aktualisiert um 11:24:04 Uhr
Goto Top
Ja? Was für Daten greifen die denn ab? Bitte Quellenangabe…

Ebend! Wenn die das nicht in ner Pressekonferenz selber erzählen, sind das nur Verschwörungstheorien face-wink Wir müssen den Anbietern wieder mehr Vertrauen schenken ...

Packe Deine Daten doch gleich in ne Dropbox, dann sparst Du Dir den Zirkus mit VPN zu Hause! Kann ja kein Problem sein, ist doch "sicher"! 😁
Mitglied: altmetaller
altmetaller 17.03.2022 um 11:30:30 Uhr
Goto Top
Hallo,

Verfolgungswahn ist heilbar.

Deine VPN-Daten interessieren AVM so viel wie ein vertrockneter Sandfloh in der Sahara.

Im Gegenteil: Jemanden ohne entsprechende Beweise Straftaten zu unterstellen, kann durchaus als Rufmord oder zumindest als geschäftsschädigend gelten.

Gruß,
Jörg
Mitglied: Visucius
Visucius 17.03.2022 aktualisiert um 11:43:19 Uhr
Goto Top
Verfolgungswahn ist heilbar.

Die einen sagen "Verfolgungswahn", die anderen nennen es 50 Jahre LEBENSERFAHRUNG 😁

Aber jeder wie er will. Gibt ja auch Leute, die VPN/RDP ganz bequem durch Teamviewer ersetzen.
Mitglied: altmetaller
altmetaller 17.03.2022 um 12:29:36 Uhr
Goto Top
Hallo,

Zitat von @Visucius:

Die einen sagen "Verfolgungswahn", die anderen nennen es 50 Jahre LEBENSERFAHRUNG 😁

O.K., dann direkt gefragt - welche Erfahrungen hast Du persönlich mit AVM erlebt? Und wie konntest Du 50 Jahre Erfahrung mit Produkten eines Unternehmens sammeln, dass vor etwas über 35 Jahren gegründet wurde?

Wohlgemerkt - bei einer Software, deren Quellcode Dir vorliegt? Fragen über Fragen...

Aber eigentlich können wir das auch abkürzen: Ich habe gerade das Gefühl, dass Ihr "vermeintliche" Risiken erfindet um dadurch Kompetent zu erscheinen. Das beobachte ich häufig bei Menschen, die dem Irrglauben unterliegen, dass "Wissen" oder "Kompetenz" einen Menschen attraktiv macht.

Das Gegenteil ist der Fall - der gute Mensch übe sich in Bescheidenheit und ist zumindest mir ein großes bisschen attraktiver als derjenige, der mit irgendwelchen erfundenen Angriffsszenarien herumpoltert.

Gruß,
Jörg

Übrigens: Ich habe (für einen der größten Netzbetreiber in Deutschland) seinerzeit gemeinsam mit AVM Design-to-cost-Geräte konzipiert, getestet und entwickelt und bestätige Dir gerne, dass es Firmen gibt, denen ich deutlich weniger traue bzw. deutlich mehr zutraue. Unter Anderem Microsoft und Google (Android). Wie gesagt - jahrelang Erfahrung...
Mitglied: Visucius
Visucius 17.03.2022 aktualisiert um 12:57:33 Uhr
Goto Top
Ach Gottchen, jetzt das Kinde mit dem Bade ausschütten, weil man im kindlichen gut/böse-Denken verhaftet ist face-wink

Punkt ist: Wo es was abzugreifen gibt, sammeln sich die Schweine.

Nicht immer, nicht überall aber Du weißt halt nicht wo gerade. Das sind Schnittstellen, dass muss die Firma nicht mal selber wissen. Das muss bei AVM auch nicht der Fall sein. Ich habe mit dieser Firma bisher z.B. nur positive Erfahrung ABER es geht doch trotzdem darum möglichst wenig Angriffsflächen preiszugegeben. Kann ja durchaus auch sein, dass die mal gehacked werden. Wäre mit deren Verbreitung ja durchaus ein interessantes Ziel. Und raus kommt das logischer Weise erst wenns zu spät ist.

Das ist ein Grundkonzept und da kann man sich durchaus überlegen ob so eine Anbindung von Vorteil ist. Am Ende immer ne persönliche Abwägung.

PS: Weiß nicht, wie das bei Dir ist – "Lebenserfahrung" bezieht bei mir nicht auf AVM (alleine) face-wink
Mitglied: 2196421564
2196421564 17.03.2022 um 17:04:49 Uhr
Goto Top
Hallo nochmal,

ich denke das ich "nur" eine praktikable Lösung angeboten (bzw. vorgeschlagen) habe, mehr nicht.

Ansonsten müsste ich ja auch alle Software in verdacht nehmen und im Übrigen auch die Hardware!
Ich kann nicht sagen was und ob AVM mit My!Fritz Daten abgreift und selbst wenn dem so wäre,
also AVM das wollen würde, hätten mittel Fritz!OS wohl weit mehr Möglichkeiten, als über My!Fritz!

Die andere hier genannte Lösung ist auch Software auf einem kleinen RaspBerry PI und kostet etwas.
Kennt Ihr den oder diejenigen die dort die Box (Software und Hardware) anbieten? Nein? Und warum
vertraut Ihr denen dann?

MfG BlueKobold
Mitglied: altmetaller
altmetaller 17.03.2022 um 17:15:25 Uhr
Goto Top
Hallo,

eben. Und vor allem müsstest Du die Geräte vollständig hinterfragen.

Den Dingern als Router zu vertrauen und gleichzeitig davon auszugehen, dass das darin integrierte (quelloffene!) VPN nicht vertrauenswürdig ist, ist schon ziemlich „seltsam“. Und in meinen Augen auch meilenweit von professioneller IT entfernt.

Gruß,
Jörg
Mitglied: LeReseau
LeReseau 12.05.2022 um 11:56:17 Uhr
Goto Top
Nicht vergessen deinen Thread hier dann auch zu schliessen wenn keine Fragen mehr sind!!
https://administrator.de/faq/32