VPN und Vodafone PlusBox

Mitglied: erikro

erikro (Level 3) - Jetzt verbinden

22.04.2021 um 10:31 Uhr, 831 Aufrufe, 10 Kommentare

Moin,

leider hat eine unserer Einrichtungen einen Vodafone IP-ALA Plus. Insgesamt kann man da nur sagen: Finger weg! Jedenfalls, wenn man das Internet vernünftig nutzen will. Bisher hat das Teil nur Ärger bereitet. Das aber nur nebenbei.

Das momentane nicht lösbare Problem ist das Einrichten eines VPN-Tunnels. Die Box selbst bietet keine Möglichkeit. Die dahinterhängende Fritte (exposed host), die immerhin ein funktionierendes LAN/WLAN möglich macht, mag keinen VPN-Tunnel aufbauen. Alle anderen Möglichkeiten, die ich im Netz bisher gefunden habe, funktionieren nicht. Die Einrichtung eines Alternativgeräts (z. B. bintec be.ip) scheitern daran, dass die Zugangsdaten kein Passwort enthalten, die Alternativgeräte aber ein solches zwingend fordern. Ich bin langsam am Verzweifeln. Kurzfristig den Anschluss auf einen IP-ALA umzustellen ist leider auch nicht möglich. Hier sind die Wartezeiten zur Zeit einfach viel zu lang (3 Monate und mehr).

Hat jemand Erfahrungen mit der Box und erfolgreich einen VPN-Tunnel aufgebaut? Wenn ja, wie? Meine momentane Idee ist, hinter die Fritte ein VPN-Gateway zu hängen (hässlich, ich weiß), das irgend eine Form des VPN möglich macht. Welche VPN-Technik genutzt wird, ist mir mittlerweile vollkommen egal. Es muss nur kurzfristig realisierbar sein und den Zugriff auf die Arbeitsplatzrechner via RDP ermöglichen. Dazu brauche ich Ideen.

Liebe Grüße

Erik
Mitglied: aqui
22.04.2021, aktualisiert um 10:47 Uhr
Der "Vodafone IP-ALA Plus" Anschluss ist vermutlich ein DS-Lite_Anschluss mit CGN. Sprich intern nutzen diese Anschlüsse private RFC 1918 IP Adressen mit einem Provider zentralisiertem NAT (IP Adress Translation). Leider machst du dazu aber keine oder nur sehr oberflächliche Angaben. Ein Blick zur WAN Port IP Adresse wäre hier hilfreiche gewesen.
Damit ist, wie du sicher auch selber weisst, ein Dialin VPN technisch unmöglich denn du kannst von außen das Provider NAT nicht überwinden.
Ein VPN ist damit nur über einen öffentlichen IPv4 Zwischenserver als Relay oder über einen IPv4 Tunnelbroker möglich. Oder eine direkte IPv6 VPN Verbindung.
Wie gesagt, alles nur geraten wegen der etwas oberflächlichen Beschreibung aber die Tatsache das du keinen VPN Tunnel mit der FritzBox aufbauen kannst legt den starken Verdacht eines DS-Lite Anschlusses nahe.
Bitte warten ..
Mitglied: 117471
117471 (Level 4)
22.04.2021 um 11:34 Uhr
Hallo,

hinzu kommt, dass Vodafone eingehend Protokolle filtert :-) face-smile

Gruß,
Jörg
Bitte warten ..
Mitglied: Tezzla
LÖSUNG 22.04.2021, aktualisiert um 12:04 Uhr
Ahoi.

Wir haben auch ein paar davon im Einsatz, dahinter eine opnsense Firewall.
Port Mapping / Exposed Hosted eingeschaltet, fertig. Funktioniert tadellos mit IPSEC / OpenVPN an einem Anschluss mit fester IP. An der Anschlussart kann die PlusBox ja nichts ändern, wenn du hinter so'm NAT Zeug hängst :-/ face-confused

Finde die Dinger sehr charmant, da sie viele (analoge) Anschlüsse haben für ältere TK Anlagen.

VG
Bitte warten ..
Mitglied: erikro
22.04.2021 um 15:08 Uhr
Moin,

Zitat von @aqui:
Der "Vodafone IP-ALA Plus" Anschluss ist vermutlich ein DS-Lite_Anschluss mit CGN. Sprich intern nutzen diese Anschlüsse private RFC 1918 IP Adressen mit einem Provider zentralisiertem NAT (IP Adress Translation).

Nein. Wir haben eine feste öffentliche IP. Die brauchen wir für andere Zwecke. Deshalb hätten wir ein Produkt ohne eigene IP gar nicht erst genommen.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: erikro
22.04.2021 um 15:09 Uhr
Moin,

Zitat von @117471:
hinzu kommt, dass Vodafone eingehend Protokolle filtert :-) face-smile

Woher hast Du die Information? Vodafone hat mir auf Nachfrage mitgeteilt, dass keinerlei Protokolle oder Ports gefiltert oder blockiert werden.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: 117471
117471 (Level 4)
22.04.2021 um 15:16 Uhr
Hallo,

dann teste mal IPv6 ICMP eingehend...

Gruß,
Jörg
Bitte warten ..
Mitglied: erikro
22.04.2021 um 15:41 Uhr
Zitat von @117471:
dann teste mal IPv6 ICMP eingehend...

Das wir schwierig bei einem Anschluss, der keine IPv6-Adresse hat. ;-) face-wink
Bitte warten ..
Mitglied: erikro
22.04.2021 um 16:10 Uhr
Moin,

Zitat von @Tezzla:
Wir haben auch ein paar davon im Einsatz, dahinter eine opnsense Firewall.

Das wäre noch mal eine Idee gewesen. Aber das Thema hat sich jetzt erledigt. Es wurde (endlich) beschlossen, die Insellösung aufzugeben und das zu machen, was in allen anderen Einrichtungen läuft wie Schmitz Katze. Es muss halt eine neue TK-Anlage her. ;-) face-wink

Finde die Dinger sehr charmant, da sie viele (analoge) Anschlüsse haben für ältere TK Anlagen.

Ja, das war damals der Grund. Und dann fing der Ärger an. Was ich da schon alles um die Box herum gebastelt habe, damit es läuft, hätte die TK-Anlage zweimal bezahlt. ;-) face-wink

Liebe Grüße

Erik
Bitte warten ..
Mitglied: aqui
22.04.2021, aktualisiert um 17:24 Uhr
Das wir schwierig bei einem Anschluss, der keine IPv6-Adresse hat.
Zeigt wie rückständig dieser Provider ist. :-( face-sad Eher peinlich im Zeitalter von IPv6...aber egal.
Bitte warten ..
Mitglied: 117471
117471 (Level 4)
22.04.2021 um 19:09 Uhr
Hallo,

Zitat von @aqui:

Zeigt wie rückständig dieser Provider ist. :-( face-sad Eher peinlich im Zeitalter von IPv6...aber egal.

Der Anschluss ist in erster Linie für Telefonanlagen gedacht. Da klebt wohl eine Box dran, die auf ausgehend ISDN spricht. Aus den Unterlagen geht nicht genau hervor, ob man das TCP/IP überhaupt direkt abgreifen kann / darf / sollte...

Gruß,
Jörg
Bitte warten ..
Heiß diskutierte Inhalte
Linux Netzwerk
NAS läßt sich unter Ubuntu-Server nicht anpingen, unter Windows jedoch schon?!
gelöst dr.zetoVor 1 TagFrageLinux Netzwerk53 Kommentare

Hallo, ich habe das Problem, dass ich eine Synology-NAS unter einem Ubuntu-Server nicht pingen kann. Unter einem Windows-Client jedoch wird der Ping beantwortet. Hierzu ...

Netzwerke
Suche aktuelle Fernwartungsmöglichkeiten ab 2021?
watchdog76Vor 1 TagFrageNetzwerke10 Kommentare

Hallo, das ist für viele vermutlich ein uraltes Thema und es gibt schon viele alte Threads, weshalb ich trotzdem einen eneue Thread geschrieben habe. ...

CPU, RAM, Mainboards
Wohin geht die Zukunft?
cramtroniVor 1 TagFrageCPU, RAM, Mainboards6 Kommentare

Guten Tag zusammen, wir sind gerade dabei, uns eine neue IT-Infrastruktur anzuschaffen, bisher haben wir 2 physische Server, auf denen unsere 9 virtuellen Server ...

Batch & Shell
Accounts nach 6 Monaten löschen
lordofremixesVor 16 StundenFrageBatch & Shell6 Kommentare

Hallo Freunde der Sonne, tatsächlich bin ich jetzt kein ITler mehr, sondern so ein IT Datenschutztyp ITler. Muss leider die Kunden immer darauf hinweisen, ...

Netzwerke
DHCP IP passt nicht zu MAC-Adresse
KirschiVor 12 StundenFrageNetzwerke16 Kommentare

Hallo zusammen, wir haben einen Drucker dem die feste IP 192.168.0.10 per DHCP zugewiesen wird. Ebenso existiert ein PC, der die IP 192.168.0.19 auf ...

Multimedia & Zubehör
Suche Handy im Hallen und Außenbereich
gelöst favoriten-listeVor 1 TagFrageMultimedia & Zubehör6 Kommentare

Hallo Für die Produktion suchen wir aktuell Handy. Es reicht ein normales Tasten Telefon. ( Es muss kein Smartphone sein! ) Es sollte Robust ...

Drucker und Scanner
Erfahrungen mit Triumph-Adler
gelöst IT-SpitzbubeVor 7 StundenFrageDrucker und Scanner10 Kommentare

Hi, hat jemand von Euch bereits Erfahrungen mit Triumph-Adler im Zusammenhang mit MFPs gemacht. Wenn ja schaut Ihr hierauf positiv oder negativ zurück. Lieben ...

Server-Hardware
10" Server - für Netzwerkschrank
snop123Vor 1 TagFrageServer-Hardware9 Kommentare

Hallo, im Bereich der Heimnetzwerk setzen sich immer mehr 10" Zoll Netzwerkschränke durch. Ich möchte hier keine Diskussion für das für und wider im ...