wusa88
Goto Top

ISP Wechsel, Netzwerk überarbeiten, Hilfestellung

Hallo Zusammen,

als aller erstes, wünsche ich allen ein frohes neues Jahr!

Nun zu meinem vorhaben.

Ich stehe in der nächsten Zeit vor einem ISP Wechsel und deswegen habe ich mir Gedanken auch wegen meinem Netzwerk gemacht.
Momentan funktioniert zwar alles, allerdings bin ich leider nicht ganz zufrieden.

Anbei ein Foto, wie es bei mir aussieht.
netzwerk_1

Ich wechsle zu Vodafone Kabel Deutschland (Bitte keine Diskussion über diese Entscheidung..., Wir sind Einzugesgebiet von Gbit über Kabel. Ich will zwar nur 50.000 Mbits aber ich denke, wenn wir Pilotregion sind, dann sollte es funktionieren). Somit habe ich ein Modem das von KD zur Verfügung gestellt wird und ich dieses in den Bridge Modus versetzen kann.
Da ich den Mikrotik hAP Lite besitze, war die Überlegung, den Mikrotik direkt nach dem Modem einzusetzen. Das sollte prinzipiell auch gehen, allerdings bin ich mir nicht sicher, ob es der richtige Weg ist.

Momentan ist die Fritzbox der "letzte" Punkt im Netzwerk. Von dort aus geht alles in Richtung Internet. Die Fritzbox benötige ich da ich bzw. meine Frau ein Fritzfon C5 haben und sie das auch weiterhin nutzen will. Ein anderes Telefon kommt daher nicht in Frage.

2 größere Probleme habe ich allerdings. Auf dem Bild ist das Notebook zu sehen, welches Motioneye, Pi Hole und OpenVPN bei mir erledigt.
Zustande kam diese Situation wegen Motioneye in Verbindung mit OpenVPN. Pi Hole war dann nur ein Zusatz, da ich nicht für alles einen Raspberry Pi laufen lassen will. Auf den Stromverbrauch muss ich halt auch ein bisschen achten ;)

OpenVPN habe ich leider hinter Fritzbox und zugleich noch hinter dem Mikrotik nicht zum laufen gebracht. Somit bin ich an die Fritzbox gegangen, an der es sofort lief. Problem stellte hier die Fritzbox dar, da ich keine Freigabe in ein "fremdes" Netz machen kann. Es ist nur das eigene Netz zum auswählen in der sich die FB selbst befindet. Obwohl eine Route eingetragen ist zum Mikrotik ist es nicht möglich.
Nächstes, was ich nicht soooo sauber finde, ist dass der gesamte Kamera Trafic durch Mikrotik und Fritzbox muss, um zum Notebook zu kommen.
Das wäre sicher eleganter, wenn es nur über den Switch laufen würde. Da ich aber das Notebook für Motioneye benötige, da es mehr Leistung hat, komm ich hier nicht drum rum.

Ich könnte natürlich alles trennen, was ich allerdings nicht will. Es läuft mittlerweile genug Zuhause.

Jetzt ist allerdings die Frage, ob ich mir eine eigene Fritzbox kaufen soll, da ich momentan einem gestellte vom Anbieter habe, oder ob ich es irgendwie anders lösen kann.
Nächste Frage ist, wenn ich mir eine Fritzbox kaufe, dann will ich auch nicht wirklich viel dafür ausgeben, da es eigentlich "nur" die Verbindung erstellt, und für das Telefon verwendet wird. Hat also nicht wirklich die meiste Arbeit. Auch Sicherheitstechnisch, wenn ich mir ein älteres Model laufen würde, habe ich bedenken, da keine Updates mehr für ältere Modelle kommen.

Was auch noch eine Überlegung wäre, dass ich den Mikrotik als Hauptrouter verwende, und die Fritzbox nur zusätzlich ins Netzwerk hänge, damit das Telefon weiterhin funktioniert. Hier kenne ich mich allerdings viel zu wenig aus in Bezug auf Sicherheit, NAT, Firewall usw. was noch alles auf mich zukommt.

Vielen Dank schon mal im voraus für die Rückmeldungen.

Content-ID: 397029

Url: https://administrator.de/forum/isp-wechsel-netzwerk-ueberarbeiten-hilfestellung-397029.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

117471
117471 02.01.2019 um 16:42:25 Uhr
Goto Top
Hallo,

denk' daran, dass Kabel Deutschland unter Umständen kein IPv4, sondern nur „DualStack Lite“ schaltet.

Gerade bei Themen wie VPN ist das durchaus wichtig.

Gruß,
Jörg
wusa88
wusa88 02.01.2019 um 17:24:45 Uhr
Goto Top
Danke für den Hinweis.

Habe jetzt auch schon DSLite und ich komme mit Feste-IP.net sehr gut zurecht.

Wenn Kabel Deutschland auch DSLite schaltet, dann ist das für mich kein Problem.
ottinho
ottinho 03.01.2019 um 10:17:20 Uhr
Goto Top
Moin,

das Fritzfon kann doch DECT, oder? Dann werfe ich für VoIP mal das Gigaset N510 IP Pro als DECT Basis in den Raum.

Habe ich bei mir zuhause so gelöst und das läuft ganz smooth. Kannst du per PoE einfach an deinen Switch hängen. Sonst liegt auch ein Netzteil dabei.

Viele Grüße
ottinho
wusa88
wusa88 03.01.2019 um 10:27:05 Uhr
Goto Top
Danke für die Basisstation.

Mir geht es halt nicht nur allein um das Fritzfon. Mir geht es auch um die anderen Punkte.

Wenn es technisch wie oben beschrieben möglich ist, dann wäre es denke ich viel einfacher, eine Fritzbox 7390 für 30€ zu nehmen, als für die Basisstation viel mehr aus zu geben?
wusa88
wusa88 07.01.2019, aktualisiert am 08.01.2019 um 13:08:27 Uhr
Goto Top
Hätte hier niemand eine Lösung, wie ich es am besten angehen könnte?
Würde mich über Rückmeldung sehr freuen, da ich sowas leider nicht oft mache, bzw. bisher immer nur über die Fritzbox gegangen bin und per statischer Route zum Mikrotik.
Vielleicht lässt sich das einfach / besser lösen?
Ansonsten würde ich den bisherigen Weg wieder wählen.

Edit:
Da sich seit 3.1. niemand mehr gemeldet hat, frage ich direkt mal bei dir @aqui nach.
Ich hoffe es ist in Ordnung, dass ich hier speziell dich erwähne. Aber du hast mir hier schon sehr oft geholfen!
aqui
aqui 11.01.2019 aktualisiert um 17:49:11 Uhr
Goto Top
Du hast ja dir ja selber ganz eigene Rahmenbedingen gesetzt insofern bleiben dir ja wenig bis keine großem Möglichkeiten.
  • FritzBox ist gesetzt wegen der Telefonie und Frau
Allein damit ist dir ein entsprechendes Design doch schon fest vorgegeben !
Sprich Router Kaskade mit dem Mikrotik
Die FritzBox hat aber auch den bekannten Bug das sie zu gerouteten Netzen kein Port Forwarding hinbekommt.
Damit kannst du den OVPN Traffic NICHT in eins der gerouteten Netze hinter dem MT forwarden. Was aber ohnehin nicht gut ist denn damit müsstest du Internet Traffic ungeschützt in deine internen Netze forwarden.
Leuchtet auch dir sicher ein das sowas niemals eine gute Idee ist bzw. kein gutes Design
Unter diesen festen Voraussetzungen hast du also keine Wahl und musst dich weiterhin in deinem o.a. Design bewegen.

Eins ist allerdings vollkommen unverständlich und das ist dein VPN Design !
Warum löst du das so umständlich mit einem externen OpenVPN Server ?
Du hast ja 2 erheblich bessere Alternativen:
  • 1.) VPN auf der FritzBox direkt terminieren
  • 2.) VPN auf dem Mikrotik terminieren
BEIDES wäre sehr viel sinnvoller, da die FritzBox Port Forwarding Problematik vollkommen wegfällt. Mal ganz zu schweigen davon das VPNs immer in der Peripherie terminiert werden sollten.
Der MT supportet außer OpenVPN auch noch andere VPN Protokolle so das du hier die freie Wahl hast.
Aber auch das IPsec VPN auf der FB wird von allen Endgeräten supportet und wie man das für weitere geroutete Netze hinter FB einrichtet erklärt dir sogar AVM selber:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
All das würde dich von der FB Port Forwarding Fessel befreien und du könntest dann das Notebook einzig nur für Pi Hole und Motioneye benutzen und zwar im internen Netz.
Warum du das nicht nur auf dem RasPi machst ist auch völlig unverständlich. Zu Recht führst du oben ja den Stromverbrauch an aber ein RasPi der 15 Euro im Jahr ! verbraucht ist weitaus sparsamer als ein Laptop. Hier verar... du dich vermutlich selber.
Aber im Hinblick auf deine Eingangsfrage ist das ein kosmetisches Randproblem.
wusa88
wusa88 12.01.2019 aktualisiert um 14:07:06 Uhr
Goto Top
Zitat von @aqui:
Allein damit ist dir ein entsprechendes Design doch schon fest vorgegeben !
Sprich Router Kaskade mit dem Mikrotik
Das wäre die Frage, ob ich nicht den Mikrotik direkt nach dem Modem verwenden kann. Technisch ist das durchaus möglich. Nur ist die Frage, ob es auch bei mir Sinn machen würde. Die FB dann nur zum Telefonieren, hinter den MT hängen.
Die FritzBox hat aber auch den bekannten Bug das sie zu gerouteten Netzen kein Port Forwarding hinbekommt.
Ja das habe ich leider bemerkt beim einrichten.
Damit kannst du den OVPN Traffic NICHT in eins der gerouteten Netze hinter dem MT forwarden. Was aber ohnehin nicht gut ist denn damit müsstest du Internet Traffic ungeschützt in deine internen Netze forwarden.
Leuchtet auch dir sicher ein das sowas niemals eine gute Idee ist bzw. kein gutes Design
Ja das Leuchtet mir ein. Momentan funktioniert es mit meinem Aufbau eigentlich ganz gut, ich komme auch mit meinem Aufbau auf die Netze hinter dem MT.

Eins ist allerdings vollkommen unverständlich und das ist dein VPN Design !
Warum löst du das so umständlich mit einem externen OpenVPN Server ?
Du hast ja 2 erheblich bessere Alternativen:
  • 1.) VPN auf der FritzBox direkt terminieren
  • 2.) VPN auf dem Mikrotik terminieren
BEIDES wäre sehr viel sinnvoller, da die FritzBox Port Forwarding Problematik vollkommen wegfällt. Mal ganz zu schweigen davon das VPNs immer in der Peripherie terminiert werden sollten.
Ich vermute, dass es in meinem Fall nicht gehen wird. Ich hab einen DS Lite Anschluss und werde auch mit Vodafone wieder einen DS Lite bekommen. Somit habe ich mich für Feste-IP.net entschieden, damit ich per VPN nach Haus komme.
Wenn Feste-IP.net auch mit dem MT funktioniert, dann steht das natürlich außen vor und der Raspi fliegt komplett raus.

Der MT supportet außer OpenVPN auch noch andere VPN Protokolle so das du hier die freie Wahl hast.
Aber auch das IPsec VPN auf der FB wird von allen Endgeräten supportet und wie man das für weitere geroutete Netze hinter FB einrichtet erklärt dir sogar AVM selber:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Hier denke ich stecke ich wieder mit DS Lite fest?
All das würde dich von der FB Port Forwarding Fessel befreien und du könntest dann das Notebook einzig nur für Pi Hole und Motioneye benutzen und zwar im internen Netz.
Das wäre eigentlich genau das was ich möchte!
Warum du das nicht nur auf dem RasPi machst ist auch völlig unverständlich. Zu Recht führst du oben ja den Stromverbrauch an aber ein RasPi der 15 Euro im Jahr ! verbraucht ist weitaus sparsamer als ein Laptop. Hier verar... du dich vermutlich selber.
Ein Hauptproblem ist, dass der Raspi nicht Leistungsstark genug ist, dass MotionEye sauber funktioniert, darum die "Notlösung" mit dem Laptop.
Der Laptop hab einen ungefähren Verbrauch, gemessen mit so einem Strommesser für die Steckdose, von ungefähr 12-15Watt.
Somit habe ich die Leistung von dem Laptop und kann unter anderem auch noch mehrere Aufgaben dem Laptop geben für das was ich evlt. noch einen Raspi benötigen würde.
Aber ich denke das lässt sich auch noch lösen, sollte hier aber nicht zum Hauptproblem werden.
aqui
aqui 12.01.2019 aktualisiert um 15:08:55 Uhr
Goto Top
Das wäre die Frage, ob ich nicht den Mikrotik direkt nach dem Modem verwenden kann.
Technisch gesehen ist das zweifelsohne immer das Beste da ein reines NUR Modem dich von der Problematik doppeltes NAT verschont. Nur....
Du hast ja bis dato gar kein NUR Modem !!
Also von welchem "Modem" redest du hier ? AVM hat die Option PPPoE Passthrough ja in den aktuellen Firmware Releases wieder deaktiviert. Damit kann eine FB nur als Router arbeiten was dann wieder doppeltes NAT bedeutet !
Ich hab einen DS Lite Anschluss
OK, DS-Lite ist immer der Todesstoß fürs VPN und andere remote Anwendungen. Da bist du natürlich chancenlos bei solch einem Provider.
Wenn man es kann und solche Anforderungen hat wie du, sind solche Provider immer ein NoGo !
Das weiss man aber BEVOR man so einen Vertrag unterschreibt und sich bindet !
Ohne IPv4 Tunnelprovider wirst du also dann nix in solchem Fall (DS-Lite).
Hier denke ich stecke ich wieder mit DS Lite fest?
Ja, damit ist das aussichtslos, da hast du Recht ! face-sad
wusa88
wusa88 12.01.2019 aktualisiert um 15:29:30 Uhr
Goto Top
Es ist so, dass ich heute den Router / das Modem von KD bekommen habe.
Diesen kann ich normal ohne Problem in den Bridge Modus versetzten. Somit sollte die Problematik mit doppeltem NAT überschaubar sein.

Die Anforderung, dass ich VPN brauche, ist nicht gegeben. Es hat sich allerdings mal angeboten über Raspi und Feste-ip.net, so habe ich es mal probiert.
Wäre schön, wenn es weiterhin funktioniert, kommt mit Feste-ip.net soweit auch vollkommen zurecht.
Wenn das ganze auf den MT funktionieren würde, dann wäre es sicherlich noch besser.

Ich wusste das mit DS Lite auch zum Teil vor Vertragsabschluss. Da ich allerdings jetzt auch schon DS Lite habe, macht es mir nichts aus.

Heißt das jetzt für mich, dass ich beim selben Design bleiben muss, oder kann ich es irgendwie umbauen, dass ich den MT direkt hinter dem Modem von KD habe?
Die FB an sich ist ja keine Voraussetzung für Feste-IP.net, das könnte auch der Raspi regeln.
Die Fritzbox zu degradieren, als reine Basisstation fürs Telefon hinter dem MT könnte ich mir noch vorstellen.

Ob das alles dann aber noch mit meinen Aufbau funktioniert kann ich leider nicht sagen.

Edit:

Grob und schnell zusammengeschustert, würde ich es mir so vorstellen:
netzwerk_vorstellung
aqui
aqui 12.01.2019 aktualisiert um 15:46:48 Uhr
Goto Top
Somit sollte die Problematik mit doppeltem NAT überschaubar sein.
Richtig !
Bleibt nur das Problem DS-Lite face-sad
Wäre schön, wenn es weiterhin funktioniert
Das wird es !
jetzt auch schon DS Lite habe, macht es mir nichts aus.
OK, umso besser face-wink
dass ich beim selben Design bleiben muss, oder kann ich es irgendwie umbauen
Nein, heisst es natürlich nicht, dann kannst du umbauen.
  • KD Router in Bridge Mode
  • MT als DHCP Client am WAN Port definieren
  • MT MUSS als NAT Router mit Firewalling agieren ! (*)
  • Check ob der MT dann eine gültige Provider IP am WAN Port bekommt !
Ob das alles dann aber noch mit meinen Aufbau funktioniert kann ich leider nicht sagen.
Funktioniert so !

Achtung: !
Da dein MT dann das Bollwerk zum Internet darstellt MUSS der natürlich eine gültige NAT und Firewall Konfig haben !!
Solltest du hier unsicher sein ist es sinnvoll das du den mit einem Werks Reset nackig machst und dann beim Konfigurieren danach die Default Konfig lädst !!
Damit ist dein MT dann ein klasssicher und wasserdichter Internet Router !
  • Port 1 als Internet Port mit NAT und Firewalling
  • Ports 2-5 als Bridge zusammengefasst mit DHCP Server fürs lokale LAN
Im Default ist die lokale IP die 192.168.88.0 /24.
Die solltest du natürlich in eine deiner Wahl ändern (WinBox) wenn du das musst.
Bei möglicher VPN Nutzung dann vorausschauend nicht gerade die dümmlichen IP Allerweltsnetze. Siehe dazu auch HIER.
Ansonsten ist das ein simpler Selbstgänger...
wusa88
wusa88 12.01.2019 um 16:01:05 Uhr
Goto Top
Gut, eins bleibt allerdings noch aus..
Funktioniert das mit OVPN und DS Lite mit Feste-ip.net hinter der MT?
Hier muss ich vermutlich nur die Firewall mit dem entsprechenden Port öffnen?


Zitat von @aqui:
Da dein MT dann das Bollwerk zum Internet darstellt MUSS der natürlich eine gültige NAT und Firewall Konfig haben !!
Solltest du hier unsicher sein ist es sinnvoll das du den mit einem Werks Reset nackig machst und dann beim Konfigurieren danach die Default Konfig lädst !!
Vielen Dank für den Hinweis!
Damit ist dein MT dann ein klasssicher und wasserdichter Internet Router !
Das ist auch vorerst gut so, dann kann ich mich langsam damit befassen.
* Port 1 als Internet Port mit NAT und Firewalling
  • Ports 2-5 als Bridge zusammengefasst mit DHCP Server fürs lokale LAN
Ist denke ich kein muss? Habe bisher auch per VLAN alles auf Port 2 zusammengefasst.


Die solltest du natürlich in eine deiner Wahl ändern (WinBox) wenn du das musst.
Ja muss ich schon ändern, sonst müsste ich alle Geräte im Netzwerk neu konfigurieren. So mache ich es an eine Zentralen stelle. Bzw. stelle den MT einmal ein und die Clients sind wieder Online.
Bei möglicher VPN Nutzung dann vorausschauend nicht gerade die dümmlichen IP Allerweltsnetze. Siehe dazu auch HIER.
Werde ich mir auf jeden Fall ansehen!
Ansonsten ist das ein simpler Selbstgänger...
Das werden wir bei mir noch sehen face-wink
aqui
aqui 12.01.2019 um 17:17:42 Uhr
Goto Top
Funktioniert das mit OVPN und DS Lite mit Feste-ip.net hinter der MT?
Warum sollte es deiner Meinung nicht funktionieren ?
Bzw. was würde ein NAT Router von MT anders machen als ein NAT Router von AVM ?
Diese Frage kannst du dir sicher auch selber beantworten ?! face-wink
Hier muss ich vermutlich nur die Firewall mit dem entsprechenden Port öffnen?
Wenn du das bei der FB auch so gemacht hast, dann ja...
dann kann ich mich langsam damit befassen.
Guckst du auch hier:
https://www.youtube.com/watch?v=3NBtrZxctbA
sonst müsste ich alle Geräte im Netzwerk neu konfigurieren
Du arbeitest nicht mit DHCP ???
Habe bisher auch per VLAN alles auf Port 2 zusammengefasst.
Ja, dann "pimpst" du die Default Konfig eben ein bischen auf deine (Port) Belange... face-wink
wusa88
wusa88 12.01.2019 um 20:10:58 Uhr
Goto Top
Zitat von @aqui:

Diese Frage kannst du dir sicher auch selber beantworten ?! face-wink
Das war bisschen ironisch gemeint. Das kommt natürlich drauf an, wie doof ich mich anstelle beim Konfigurieren. Habe den MT auch noch nicht so lange.

Du arbeitest nicht mit DHCP ???
Nein mache ich nicht, zumindest nicht bei kabelgebundenen Geräten.
Die IPs von meinen Geräten habe ich immer im Kopf. So kann ich die Geräte die ich brauche direkt ansprechen.


Danke schon mal für deine Hilfe. Wie immer hilfst du mir wahnsinnig gut !

Werde jetzt mal die Konfig vom MT sichern, damit ich wieder zurück kann wenn was sein sollte.
aqui
aqui 12.01.2019 um 22:33:13 Uhr
Goto Top
Nein mache ich nicht, zumindest nicht bei kabelgebundenen Geräten.
Der MT supportet auch feste DHCP Reservierung auf Basis der Mac Adressen der Endgeräte... face-wink
Wie immer hilfst du mir wahnsinnig gut !
Danke für die Blumen. face-smile
wusa88
wusa88 14.01.2019 um 09:09:30 Uhr
Goto Top
Jetzt habe ich noch eine dumme Frage, in Bezug auf "Feste-IP.net"

Momentan ist es so, dass der "Übersetzter" also die Fipbox auf einem Raspi läuft.
Auf dem selben Raspi ist auch der OVPN Server eingerichtet.
Das ganze läuft über den Portmapper von feste-ip.net und der Raspi, bzw. OVPN ist über DS Lite erreichbar.

Da du jetzt allerdings gesagt hast, dass es sinnvoller wäre, das ganze über den Mikrotik laufen zu lassen, stellt sich mir die Frage, ob das mit DS Lite funktioniert? Die Aktualisierung erfolgt über die IPv6 Adresse vom Raspi. Diese wird an Feste-ip.net gemeldet, und ich habe den Port eingerichtet über den mein OVPN Server erreichbar ist.

Ich denk, dass ich den "Übersetzter" dennoch brauchen werde.
Aber vielleicht könnte ich es trennen?

Die Fipbox weiterhin auf einem PI laufen lassen, oder mit einem Pi im Netzwerk zusammenlegen und den OVPN Server auf dem Mikrotik?
Technisch weiß ich allerdings nicht ob das mit DS Lite, der Fipbox und Mikrotik funktioniert?

Oder erzeuge ich hier unnötig Traffic im Netzwerk zwichen Übersetzer und OVPN?
aqui
aqui 14.01.2019 um 09:27:26 Uhr
Goto Top
Ich denk, dass ich den "Übersetzter" dennoch brauchen werde.
Ja, denn an der Tatsache das du keinerlei öffentliche IPv4 Adressen hast bei DS-Lite mit der du dein Netz erreichen kannst ändert sich ja nichts. Das DS-Lite bleibt ja.
Du bist weiterhin nur einzig per IPv6 öffentlich erreichbar und darin wird ja deine öffentliche IPv4 getunnelt.
In welchem Subnetz du den RasPi dann betreibst spielt keinerlei Rolle.
wusa88
wusa88 14.01.2019 um 09:43:35 Uhr
Goto Top
Zitat von @aqui:
Ja, denn an der Tatsache das du keinerlei öffentliche IPv4 Adressen hast bei DS-Lite mit der du dein Netz erreichen kannst ändert sich ja nichts. Das DS-Lite bleibt ja.
Das habe ich mir fast gedacht. Die eigentlich wichtigere Frage wäre diese:


Zitat von @wusa88:
Da du jetzt allerdings gesagt hast, dass es sinnvoller wäre, das ganze über den Mikrotik laufen zu lassen, stellt sich mir die Frage, ob das mit DS Lite funktioniert? Die Aktualisierung erfolgt über die IPv6 Adresse vom Raspi. Diese wird an Feste-ip.net gemeldet, und ich habe den Port eingerichtet über den mein OVPN Server erreichbar ist.

Die Fipbox weiterhin auf einem PI laufen lassen, oder mit einem Pi im Netzwerk zusammenlegen und den OVPN Server auf dem Mikrotik?
Technisch weiß ich allerdings nicht ob das mit DS Lite, der Fipbox und Mikrotik funktioniert?

Oder erzeuge ich hier unnötig Traffic im Netzwerk zwichen Übersetzer und OVPN?
aqui
aqui 14.01.2019 um 10:00:04 Uhr
Goto Top
Wo ist denn da die Frage ??
Der v4 Tunnel endet ja immer dort wo du den RasPi mit dem Feste-ip.net Client hinsteckst.
Welches v6 Subnetz das ist spielt keine Rolle, denn die sind ja alle öffentlich.
Das einzige worauf du achten musst ist das die v6 Firewall Traffic von außen für diesen Client durchlässt. Generell blockt eine v6 Firewall ja allen Traffic der von draußen nach drinnen will. Sollte sie wenigstens face-wink
wusa88
wusa88 14.01.2019 um 10:07:06 Uhr
Goto Top
Ich denke, weil ich es technisch nicht oder noch nicht verstehe, tue ich mich auch mit der Fragestellung schwer.

Die eigentliche Frage ist, ob ich die Fipbox, also den v4-v6 Übersetzter auf einem anderen Gerät wie den OVPN Server haben kann?

Momentan ist alles auf einem Raspi.

In der Fritzbox habe ich dann nur den Port von OVPN weitergeleitet auf den Raspi. Somit war / ist der Raspi für die "Übersetzung" und OVPN zuständig.
In Zukunft sollte es getrennt sein, damit ich die Anforderung wie du geschrieben hast, erfüllen kann.

Somit wäre Übersetzter und OVPN getrennt.
Hier die Frage: Funktioniert das?
aqui
aqui 14.01.2019 um 10:13:23 Uhr
Goto Top
Die FipBox ist KEIN Übersetzer !
Die macht ein 4in6 Tunneling !
https://www.elektronik-kompendium.de/sites/net/1904031.htm
Sprich also sowas wie ein VPN indem sie IPv4 in einem IPv6 Tunnel überträgt.
An diesem Punkt hat vermutlich dein Verständnis ausgesetzt, kann das sein ?
Am RasPi hast du also dann eine öffentliche IPv4 Adresse auf einem virtuellen Interface was dort dein OVPN Server nutzt damit man ihn per IPv4 von außen über diese öffentliche v4 Adresse erreichen kann.
Da du vermutlich nur eine einzige v4 Adresse vom Tunnelbroker bekommst kannst du OVPN und Tunnelclient nicht trennen. Dafür bräuchtest du dann ein v4 Subnetz logischerweise was du nicht hast.
Also mal in Ruhe nachdenken und verstehen wie das alles zusammenspielt, dann ist das kinderleicht face-wink
wusa88
wusa88 15.01.2019 um 09:00:31 Uhr
Goto Top
Zitat von @aqui:
An diesem Punkt hat vermutlich dein Verständnis ausgesetzt, kann das sein ?
Richtig. Versuche allerdings so gut es geht es zu verstehen.

Da du vermutlich nur eine einzige v4 Adresse vom Tunnelbroker bekommst kannst du OVPN und Tunnelclient nicht trennen. Dafür bräuchtest du dann ein v4 Subnetz logischerweise was du nicht hast.
Jetzt wo du es so sagst, ist es für mich auch verständlich. Jetzt verstehe ich auch, warum beides auf dem Pi laufen muss.
Also mal in Ruhe nachdenken und verstehen wie das alles zusammenspielt, dann ist das kinderleicht face-wink
Das sagst du immer so leicht. Dein technisches Verständnis ist höher als meins ;)