13
FritzBox Site-To-Site VPN Warum so schwierig?
Hallo zusammen,
ich beschäftige mich seit ein paar Tagen mit der folgenden Anforderung: Internetanschluss A = Unitymedia DS-Lite (kein IPv4). Internetanschluss B 1&1 (IPv6).
An beiden Anschlüssen hängt eine FritzBox.
Laut dieser Anleitung von AVM https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ... muss mindestens eine der beiden FBs über eine IPv4 verfügen.
Meine Frage ist eigentlich ganz simpel: Warum?
Wenn ich das richtig verstanden habe, kann ich das VPN doch auch über den MyFritz Domänennamen der jeweiligen Boxen laufen lassen bzw. aufbauen. Wenn die Box bei 1&1 also via IPv6 erreichbar wäre müsste das VPN doch klappen, solange diese Box "als VPN-Server" fungiert und die Box bei Unitymedia die Verbindung initiiert. Habe ich gerade einen Denkfehler oder passt das so?
Für kurze Denkanstöße wäre ich euch sehr dankbar!
Gruß,
Joe
ich beschäftige mich seit ein paar Tagen mit der folgenden Anforderung: Internetanschluss A = Unitymedia DS-Lite (kein IPv4). Internetanschluss B 1&1 (IPv6).
An beiden Anschlüssen hängt eine FritzBox.
Laut dieser Anleitung von AVM https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ... muss mindestens eine der beiden FBs über eine IPv4 verfügen.
Meine Frage ist eigentlich ganz simpel: Warum?
Wenn ich das richtig verstanden habe, kann ich das VPN doch auch über den MyFritz Domänennamen der jeweiligen Boxen laufen lassen bzw. aufbauen. Wenn die Box bei 1&1 also via IPv6 erreichbar wäre müsste das VPN doch klappen, solange diese Box "als VPN-Server" fungiert und die Box bei Unitymedia die Verbindung initiiert. Habe ich gerade einen Denkfehler oder passt das so?
Für kurze Denkanstöße wäre ich euch sehr dankbar!
Gruß,
Joe
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 448768
Url: https://administrator.de/forum/fritzbox-site-to-site-vpn-warum-so-schwierig-448768.html
Ausgedruckt am: 22.04.2025 um 08:04 Uhr
13 Kommentare
Neuester Kommentar
Technisch gesehen hast du vollkommen Recht, eigentlich sollte das gehen.
AVM verpennt es einfach seit Jahren, VPN über IPv6 zu unterstützen
AVM verpennt es einfach seit Jahren, VPN über IPv6 zu unterstützen
Moin,
sag das AVM.
lks
sag das AVM.
lks
Darum:
https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/pub ...
Sie haben es ja gerade erst mal geschafft IPv4 Gegenstellen an solchen Anschlüssen zu nutzen
Zitat:
Ergo: Vernünftige Hardware zulegen , oder schnell einen fixen, modernen und auch für Laien schnell aufzubauenden wireguard-tunnel einsetzen. Die Hardware der Fritzbüchsen ist sowieso nicht für vernünftig schnelle Anbindung über VPN Verbindungen geeignet.
Gruß wireguard
https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/pub ...
Sie haben es ja gerade erst mal geschafft IPv4 Gegenstellen an solchen Anschlüssen zu nutzen
Zitat:
Mit FRITZ!OS 7.10 ist nun auch am DS-Lite-Anschluss (IPv6-Adresse nach extern, IPv4 nur intern) möglich, eine VPN-Verbindung von der FRITZ!Box zu einer anderen FRITZ!Box herzustellen, die über IPv4 erreichbar ist.
Gruß wireguard
Moin,
mach Dir das Leben nicht so schwer und trag ne DYNDNS-Adresse am VPN-Server der Fritte ein.
Damit bist Du frei von derlei Unzulänglichkeiten.
Gruß
Looser
mach Dir das Leben nicht so schwer und trag ne DYNDNS-Adresse am VPN-Server der Fritte ein.
Damit bist Du frei von derlei Unzulänglichkeiten.
Gruß
Looser
Zitat von @Looser27:
mach Dir das Leben nicht so schwer und trag ne DYNDNS-Adresse am VPN-Server der Fritte ein.
Damit bist Du frei von derlei Unzulänglichkeiten.
Bringt ihm nur in seinem Fall nichts.mach Dir das Leben nicht so schwer und trag ne DYNDNS-Adresse am VPN-Server der Fritte ein.
Damit bist Du frei von derlei Unzulänglichkeiten.
Erstmal vielen Dank für die ganzen Infos!
Dann hat mich mein technisches Verständnis also nicht verlassen und es liegt tatsächlich nur an den FBs bzw. fehlender Implementierung seitens AVM...
Die Idee mit dem Wireguard würde allerdings eine Linux Maschine in beiden Netzen voraussetzen, ist das korrekt?
Bislang sind an beiden Standorten eben (noch) Fritzen vorhanden, deshalb hätte ich mir da gerne eine "einfache" Lösung bzw. Realisierung gewünscht..
Naja ich werde wohl um neue Hardware nicht herum kommen.
Gruß,
Joe
Dann hat mich mein technisches Verständnis also nicht verlassen und es liegt tatsächlich nur an den FBs bzw. fehlender Implementierung seitens AVM...
Die Idee mit dem Wireguard würde allerdings eine Linux Maschine in beiden Netzen voraussetzen, ist das korrekt?
Bislang sind an beiden Standorten eben (noch) Fritzen vorhanden, deshalb hätte ich mir da gerne eine "einfache" Lösung bzw. Realisierung gewünscht..
Naja ich werde wohl um neue Hardware nicht herum kommen.
Gruß,
Joe
Zitat von @JoeFredy:
Die Idee mit dem Wireguard würde allerdings eine Linux Maschine in beiden Netzen voraussetzen, ist das korrekt?
Ja, ein Raspi oder dergleichen reicht da aber.Die Idee mit dem Wireguard würde allerdings eine Linux Maschine in beiden Netzen voraussetzen, ist das korrekt?
Bislang sind an beiden Standorten eben (noch) Fritzen vorhanden, deshalb hätte ich mir da gerne eine "einfache" Lösung bzw. Realisierung gewünscht..
Naja ich werde wohl um neue Hardware nicht herum kommen.
Oder du holst dir für 2€ im Monat einen vServer z.B. bei Netcup, packst da strongswan drauf und tunnelst mit beiden Fritten darüber.Naja ich werde wohl um neue Hardware nicht herum kommen.
Oder zwei kleine Mikrotik in die Hütte gestellt damit klappt das ebenfalls preisgünstig.
Internetanschluss A = Unitymedia DS-Lite (kein IPv4)
Ohne IPv6 technisch unmöglich zu realisieren weil IPsec nicht über das CGN des Providers kommt.Guckst du auch hier: https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
DS-Lite ist ohne große technische Klimmzüge der Todesstoß für IPsec VPNs.
Alternativen mit SSL basierten VPN haben dir die Kollegen ja oben schon alle genannt. Raspberry oder ein 20 Euro Mikrotik Router: https://varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941-2nd- ... mit OVPN:
Clientverbindung OpenVPN Mikrotik
Guten Abend in die Runde,
ich hatte vorhin nochmals einen Support-Mitarbeiter der 1&1 am Telefon und dieser sagte mir, dass bei 1&1 zurzeit sowohl IPv4 als auch IPv6 Adressen (für privatkunden natürlich dynamisch) vergeben werden. Laut AVM würde dies ja sogar reichen, somit hätte die eine Box bei 1&1 IPv4 und würde den "VPN-Server" spielen während die zweite bei Unitymedia initiiert. Dürfte ja trotz DS-Lite dann kein Problem sein oder?
Die dynamische IP-Vergabe kann ich ja mit der MyFritz Domänennamen-Funktion abfrühstücken.
MfG,
Joe
ich hatte vorhin nochmals einen Support-Mitarbeiter der 1&1 am Telefon und dieser sagte mir, dass bei 1&1 zurzeit sowohl IPv4 als auch IPv6 Adressen (für privatkunden natürlich dynamisch) vergeben werden. Laut AVM würde dies ja sogar reichen, somit hätte die eine Box bei 1&1 IPv4 und würde den "VPN-Server" spielen während die zweite bei Unitymedia initiiert. Dürfte ja trotz DS-Lite dann kein Problem sein oder?
Die dynamische IP-Vergabe kann ich ja mit der MyFritz Domänennamen-Funktion abfrühstücken.
MfG,
Joe
Dürfte ja trotz DS-Lite dann kein Problem sein oder?
Nein, der Begriff DS-Lite bedeutet ja gerade das der Anschluss selbst nur über eine private IPv4 und eine öffentliche IPv6 vom Provider angebunden ist bei dem die private IPv4 dann beim Provider auf eine öffentliche Adresse geNATet wird. Prüfe einfach vorher nochmal selbst ob da nicht doch CGN gemacht wird, denn dann bringt dir die IPv4 nichts.dass bei 1&1 zurzeit sowohl IPv4 als auch IPv6 Adressen (für privatkunden natürlich dynamisch) vergeben werden
Kein Wunder, denn die sind nur einfacher Wiederverkäufer und betreiben keine eigene Netzinfrastruktur und nutzen hauptsächlich das der Telekom. Die macht ja bekanntermaßen Dual Stack Betrieb wie viele andere (fortschrittliche) Provider auch.Dürfte ja trotz DS-Lite dann kein Problem sein oder?
Nur solange du NAT Traversal auf beiden Seiten in der VPN Konfig aktivierst kann das klappen wenn die DS-Lite Seite Initiator ist ! Und nur dann...Die dynamische IP-Vergabe kann ich ja mit der MyFritz Domänennamen-Funktion abfrühstücken.
Nein, dafür nutzt man logischerweise einen DynDNS Provider wie No IP usw. AVM bietet aber so einen DynDNS Dienst auch an.
Ich hätte es fast schon aufgegeben, aber laut AVM wird nun das aktuelle Fritz OS 7.10 ausgerollt.
Dabei heißt es"Außerdem bietet die FRITZ!Box die Funktion „Full Tunneling“. Damit kann der gesamte Netzwerkverkehr über die VPN-Verbindung der Gegenstelle laufen. Mit FRITZ!OS 7.10 ist nun auch am DS-Lite-Anschluss (IPv6-Adresse nach extern, IPv4 nur intern) möglich, eine VPN-Verbindung von der FRITZ!Box zu einer anderen FRITZ!Box herzustellen, die über IPv4 erreichbar ist."
Es hat nicht schon zufällig jemand Erfahrungen damit sammeln können?
Gruß,
Joe
Dabei heißt es"Außerdem bietet die FRITZ!Box die Funktion „Full Tunneling“. Damit kann der gesamte Netzwerkverkehr über die VPN-Verbindung der Gegenstelle laufen. Mit FRITZ!OS 7.10 ist nun auch am DS-Lite-Anschluss (IPv6-Adresse nach extern, IPv4 nur intern) möglich, eine VPN-Verbindung von der FRITZ!Box zu einer anderen FRITZ!Box herzustellen, die über IPv4 erreichbar ist."
Es hat nicht schon zufällig jemand Erfahrungen damit sammeln können?
Gruß,
Joe
Ging mit entsprechender Konfig aber auch schon auf allen andern FritzBoxe zuvor. Man muss es nur eben richtig konfigurieren.
Ansonsten einfach OpenVPN als VPN nehmen auf einem 30 Euro Raspberry Pi
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Ansonsten einfach OpenVPN als VPN nehmen auf einem 30 Euro Raspberry Pi
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
