Möglichkeiten bei DS Lite?

[wolfgang1977]

Ah, sorry. Den Satz hab ich falsch herum gelesen.

Mir ist gerade noch eine andere Idee gekommen: Hast du den "Internetzugriff auf die FRITZ!Box per HTTPS" aktiviert? Das würde erklären warum du auf beide FRITZ!Boxen zugreifen kannst. Das bedeutet, dass du von Standort A per IPv6 auf Standort B zugreifen kannst und die FRITZ!Box antwortet, hat allerdings nichts mit VPN zu tun (wie gesagt, ich glaube, dass FRITZ!VPN zwischen zwei Boxen nicht IPv6-fähig ist).
Wenn das der Fall ist würde ich das aus Sicherheitsgründen auf jeden Fall deaktivieren. Kannst du in irgendeine Richtung überhaupt auf irgendwas außer der FRITZ!Box zugreifen?

Was für FRITZ!Boxen hast du denn? Am Standort B mit DS-Lite, welcher Router ist dort der DHCP-Server? Was für ein Status steht in der Weboberfläche der FRITZ!Box zu der VPN-Verbindung?

Meine Konstellation steht in meiner Signatur. Ich hab eine FRITZ!Box 6320 Cable von Unitymedia bekommen und die steckt direkt. Die hat aber mit meinem VPN nichts zu tun. Ich habe auf der DS am IPv4-Standort den VPN-Server installiert und logge mich mit der anderen DS dort ein. Das wird bei dir auf jeden Fall auch funktionieren, darauf könntest du also zurückgreifen.

Grüße

Hi Hoffy!
Ja, HTTPS ist aktiviert. Und mit HTTPS alleine kann man doch keine Verbindungen herstellen, gilt nur der Sicheren übertragen von Daten in einer Verbindung, die in meinem Fall durch VPN-Tunnel hergestellt wird. Oder verstehe ich dich nicht richtig?

Nun zu meiner Konstellation: Am Standort "A" habe ich NetCologne-Kabelanschluss mit FritzBox 6360, Am Standort "B" FritzBox 7390 hinter dem UnityMedia-Router (Technicolor).
Als DHCP-Server fungiert die FritzBox, beim UnityMedia-Router habe ich DHCP ausgeschaltet. Alle Geräte hängen an der FritzBox 7390.

Hier ein Paar ScreenShots:




Ich denke, deine Konstellation ist wohl die einzige Lösung für das Problem.
Mfg

 

[Hoffy]

Hi,

Wenn du an Standort 1 bist und auf die FRITZ!Box 2 zugreifst, wie rufst du die Weboberfläche auf? Mit der internen IP oder mit der MyFRITZ Adresse?
Mit letzterem kann ich nämlich auch auf deine Box, das sagt nichts darüber aus ob die VPN-Verbindung steht. Deswegen hab ich auch gefragt ob du überhaupt in irgendeiner Richtung auf ein anderes Gerät als die FRITZ!Box zugreifen kannst.

Grüße

 

[LJKaiser]

Vielleicht etwas neben der Diskussion:
Ich habe bei Kabel Deutschland angerufen das ich mit DS-Lite nicht mehr auf meine Server zugreifen kann und daher eine "NORMALE" IPv4 benötige. Es wurde versprochen das sofort zu erledigen und nach ca. 15 Minuten wurde meine Fritzbox (durch KD) neu gestartet und siehe da: Ich hatte wieder eine normale IPv4. Der Zugriff über xxxxxx.synology.net funktioniert wieder.

 

[Hoffy]

Hi,

soweit ich weiß wird das bei KabelBW/Unitymedia schon seit geraumer Zeit nicht mehr gemacht, auch nicht auf Nachfrage.

Grüße

 

[wolfgang1977]

Hi,

Wenn du an Standort 1 bist und auf die FRITZ!Box 2 zugreifst, wie rufst du die Weboberfläche auf? Mit der internen IP oder mit der MyFRITZ Adresse?
Mit letzterem kann ich nämlich auch auf deine Box, das sagt nichts darüber aus ob die VPN-Verbindung steht. Deswegen hab ich auch gefragt ob du überhaupt in irgendeiner Richtung auf ein anderes Gerät als die FRITZ!Box zugreifen kannst.

Grüße

Hi Hoffy!
Sorry, bin erst jetzt dazu gekommen, zu antworten.
Vom Standort "A" greife ich über die IP-Adresse auf die Weboberfläche der Fritzbox 2 zu, 192.168.178.2.
Auf andere Geräte kann ich komischerweise nicht zugreifen.
Gruss
Wolfgang

 

[Hoffy]

Vom Standort "A" greife ich über die IP-Adresse auf die Weboberfläche der Fritzbox 2 zu, 192.168.178.2.

Hm, okay. Also steht die VPN-Verbindung doch irgendwie. Dann sollte ich das bei mir auch mal testen, vl tritt ja das gleiche Phänomen auf.
Hast du mal die Firewall-Einstellungen der DS kontrolliert? Da baue ich gerne mal Mist.
Und hast du schonmal probiert die beiden DSn über die interne IPv4 oder eine der IPv6-Adressen anzupingen? Ich würde verstärkt versuchen, die Verbindung vom Standort mit DS-Lite aufzubauen, das ist auf jeden Fall die bessere Richtung.

Grüße

 

[wolfgang1977]

Hm, okay. Also steht die VPN-Verbindung doch irgendwie. Dann sollte ich das bei mir auch mal testen, vl tritt ja das gleiche Phänomen auf.
Hast du mal die Firewall-Einstellungen der DS kontrolliert? Da baue ich gerne mal Mist.
Und hast du schonmal probiert die beiden DSn über die interne IPv4 oder eine der IPv6-Adressen anzupingen? Ich würde verstärkt versuchen, die Verbindung vom Standort mit DS-Lite aufzubauen, das ist auf jeden Fall die bessere Richtung.

Grüße

Anpingen geht nicht. Am Dienstag bin ich vor Ort, dann kann ich mir die DS2 genauer unter die Lupe nehmen, auch die Firewall.
Sag' auf jeden Fall Bescheid, was bei dir raus kam.
Mfg

 

[wolfgang1977]

Heute habe ich von FESTE-IP.NET eine Aussage zu meinem Problem bekommen, ich zittiere:

"Der Tunnel zwischen den Fritzboxen funktioniert mit IPv6 nicht mehr. Die Technik (IPSEC) funktioniert nicht protokollübergreifend.
Sie könnten den Sync der NAS vom DS_Liteanschluss initialisieren da die IPv4 Gegenstelle weiterhin erreichbar ist. Oder sie bauen einen openVPN Tunnel zwischen den zwei Standorten.

Ich kenne die Einstellungen der DS nicht bis ins letzte Detail. Aber hier sollten Sie mit einem VPN vom DS-Lite zum IPv4 evtl. von DS zu DS Erfolg haben können.

Alternativ können wir Ihnen über 2 FIP-Boxen ein Netz zu Netz VPN erstellen.
In Ihren Fritzboxen erstellen Sie dann nur noch einen Routeneintrag, dass sich das jeweils andere Netz hinter der FIP-Box im LAN befindet."

 

[Hoffy]

Hi,

also lag ich doch richtig damit, dass das FRITZ!VPN noch nicht IPv6-fähig ist. Ich hab schon gedacht ich hab was verpasst Ich hab es bei mir auch nicht in Gange gekriegt, es bleibt bei "VPN wird aufgebaut" stehen. Warum du trotzdem auf die entfernte FRITZ!Box kommst kann ich mir beim besten Willen nicht erklären.

Ich wär dir dankbar, wenn du dich mit dem Wunsch auf IPv6-Kompatiblität auch an AVM wenden würdest. Ich habe es auch gemacht als ich damals vor dem Problem stand, und je mehr Leute sich melden, desto höher die Chance, dass sie sich drum kümmern.

Wie der Typ von feste-ip (der scheint Ahnung zu haben^^) es schon gesagt hat hab ich es auch gelöst: Auf der DS an der IPv4-Stelle den VPN-Server aktiviert - OpenVPN aktiviert/die nötigen Ports weitergeleitet - auf der DS der Gegenstelle den Zugang eingerichtet und fertig.

Grüße

 

[wolfgang1977]

Hi,

also lag ich doch richtig damit, dass das FRITZ!VPN noch nicht IPv6-fähig ist. Ich hab schon gedacht ich hab was verpasst Ich hab es bei mir auch nicht in Gange gekriegt, es bleibt bei "VPN wird aufgebaut" stehen. Warum du trotzdem auf die entfernte FRITZ!Box kommst kann ich mir beim besten Willen nicht erklären.

Ich wär dir dankbar, wenn du dich mit dem Wunsch auf IPv6-Kompatiblität auch an AVM wenden würdest. Ich habe es auch gemacht als ich damals vor dem Problem stand, und je mehr Leute sich melden, desto höher die Chance, dass sie sich drum kümmern.

Wie der Typ von feste-ip (der scheint Ahnung zu haben^^) es schon gesagt hat hab ich es auch gelöst: Auf der DS an der IPv4-Stelle den VPN-Server aktiviert - OpenVPN aktiviert/die nötigen Ports weitergeleitet - auf der DS der Gegenstelle den Zugang eingerichtet und fertig.

Grüße

Ja, werde mich an AVM auch wenden. Allerdings schlage ich mich jetzt mit einem anderen Problem rum. Weiß jetzt nicht ob's an UnityMedia liegt, oder an dem Router. Internet funktioniert nur begrenzt, sprich, nur eine Handvoll-Webseiten lassen sich aufrufen: Google, Youtube, Computerbase. Liegt wohl am IPV6, da die genannten Seiten eben über diesen Protokoll erreichbar sind. Der Techniker war schon da, hat die Dose ausgetauscht, hat getestet, und meinte es läuft alles (ich war leider nicht dabei). Als ich dann selber testete, war das Problem immernoch da. Selbst auf die Weboberfläche des Routers komme ich nicht mehr drauf. Nach mehrerer Reset funktioniert es irgendwann wieder, allerdings nur für eine bestimmte Zeit. Hab' den Techniker nochmal bestellt. Ehrlich, wenn es soweiter geht, kündige ich UnityMedia.

PS: Umstellung auf IPV4 wollte UnityMedia auch nicht durchführen.

 

[wolfgang1977]

Hallo Hoffy!
Heute wurde der UnityMedia-Router ausgetauscht, da der andere defekt war.
Ich habe ein Problem beim Sync zwischen den beiden DS's über OpenVPN, hoffe du kannst mir helfen:
DS1 (ipv4) ist OpenVPN-Server, DS2 (ipv6) ist der Client. Die Verbindung zwinschen den Beiden steht. Der Client hat die dynamische IP-Adresse 10.8.0.6, der Gataway ist 10.8.0.1
Nun versuche ich den Sync-Job auf dem Client einzurichten. Als Ziel-Server gebe ich dort die IP-Adresse 10.8.0.1 ein. Wenn ich auf Testen gehe, bekomme ich eine Fehlermeldung, dass der Server nicht verfügbar ist. Testweise habe ich versucht den Sync-Job auf dem OpenVPN-Server einzurichten, dort bekomme ich die Verbindung mit der IP-Adresse 10.8.0.6 hin, die Synchronisierung dauert aber ewig, ich vermute einfach, dass dies die falsche Richtung ist: ipv4->ipv6.
Woran liegt es?
Mfg
Wolfgang

 

[fpo4711]

Hallo,

Du sprichst zwar Hoffy an, aber ich hoffe ich darf Dir trotzdem anworten. Generell ist IPV4 nicht kompatibel mit IPV6. Also

ipv4->ipv6.

geht schlichweg gar nicht. Dazu braucht es eine Umsetzung. Recht gut ist das hier beschrieben was DSLite überhaupt ist.

Von einem DSLite Anschluß kannst Du also sowohl IPV4 Verbindungen als auch IPV6 Verbindungen aufbauen. Aber eben umgekehrt zum DSLite Anschluß hin NUR IPV6, da die IPV4 Adresse nicht geroutet wird. Das Dillemma mit der zögerlichen Umsetzung auf IPV6 ist einfach auch das überhaupt nicht alle Geräte IPV6 tauglich sind. Ein gutes Beispiel wurde ja schon genannt - die mangelnde IPV6 Unterstützung der Fritzbox in Bezug auf VPN.

Wenn Du also einen zweiten Standort für dein VPN hast der noch per Dual Stack sprich (routbaren) IPV4 zu erreichen ist, dann würde ich diesen Weg nutzen. Alternativ geht wohl auch die OpenVPN-Verbindung per ipV6 ist (hab das noch nicht auf der DS umgesetzt) nur mit manueller Anpassung auf der DS möglich.

Bei deiner Schilderung fällt mir auf das Du einmal den VPN-Server selbst mit seiner IP ansprichst (10.8.0.1) dann widerum den Tunnel-Endpunkt mit der (10.8.0.6) Beides ist in meinen Augen eine schlechte Wahl und sorgt für Intransparenz und bei einer Trennung der Verbindung eventuell zu einer nicht funktionierenden Verbindung. Die Tunnel-IP kann sich nämlich mit jeder Einwahl ändern.

Sinnvoller wäre es den VPN-Server auf der IPV4-Seite zu installieren (Ist ja wohl schon geschehen). Im VPN-Server das Häkchen zu setzen unter den erweiterten Einstellungen "Den Clienten den Server-Lan Zugriff erlauben" und dann die Ziel-DS mit ihrer lokalen Adresse anzusprechen.

Dann ist das eine ganz saubere tranparente Konfiguration und die Ziel-DS hat immer die gleiche IP. Sollte das dann immer noch langsam funktionieren, so liegt es dann wohl wahrscheinlich an einer schlechten Verbindung bzw. langsamen Umsetzung der Paketkapselung wie im oberen Link beschrieben. OpenVPN ist übrigens für UDP optimiert.

Gruß Frank

 

[wolfgang1977]

Hallo,

Du sprichst zwar Hoffy an, aber ich hoffe ich darf Dir trotzdem anworten. Generell ist IPV4 nicht kompatibel mit IPV6. Also



geht schlichweg gar nicht. Dazu braucht es eine Umsetzung. Recht gut ist das hier beschrieben was DSLite überhaupt ist.

Von einem DSLite Anschluß kannst Du also sowohl IPV4 Verbindungen als auch IPV6 Verbindungen aufbauen. Aber eben umgekehrt zum DSLite Anschluß hin NUR IPV6, da die IPV4 Adresse nicht geroutet wird. Das Dillemma mit der zögerlichen Umsetzung auf IPV6 ist einfach auch das überhaupt nicht alle Geräte IPV6 tauglich sind. Ein gutes Beispiel wurde ja schon genannt - die mangelnde IPV6 Unterstützung der Fritzbox in Bezug auf VPN.

Wenn Du also einen zweiten Standort für dein VPN hast der noch per Dual Stack sprich (routbaren) IPV4 zu erreichen ist, dann würde ich diesen Weg nutzen. Alternativ geht wohl auch die OpenVPN-Verbindung per ipV6 ist (hab das noch nicht auf der DS umgesetzt) nur mit manueller Anpassung auf der DS möglich.

Bei deiner Schilderung fällt mir auf das Du einmal den VPN-Server selbst mit seiner IP ansprichst (10.8.0.1) dann widerum den Tunnel-Endpunkt mit der (10.8.0.6) Beides ist in meinen Augen eine schlechte Wahl und sorgt für Intransparenz und bei einer Trennung der Verbindung eventuell zu einer nicht funktionierenden Verbindung. Die Tunnel-IP kann sich nämlich mit jeder Einwahl ändern.

Sinnvoller wäre es den VPN-Server auf der IPV4-Seite zu installieren (Ist ja wohl schon geschehen). Im VPN-Server das Häkchen zu setzen unter den erweiterten Einstellungen "Den Clienten den Server-Lan Zugriff erlauben" und dann die Ziel-DS mit ihrer lokalen Adresse anzusprechen.

Dann ist das eine ganz saubere tranparente Konfiguration und die Ziel-DS hat immer die gleiche IP. Sollte das dann immer noch langsam funktionieren, so liegt es dann wohl wahrscheinlich an einer schlechten Verbindung bzw. langsamen Umsetzung der Paketkapselung wie im oberen Link beschrieben. OpenVPN ist übrigens für UDP optimiert.

Gruß Frank

Hallo Frank!
Danke für deine Reaktion!
Es klappt nicht, so wie du mir vorgeschlagen hast. Ich kann den auf den DS1 (vpn server) nicht über die lokale IP-Adresse von DS2 zugreifen. Das Einzige was funktioniert ist, von DS1, wo der VPN-Server installiert ist, über die IP-Adresse 10.8.0.6 auf den VPN-Client zu zugreifen. Aber es nützt mir nichts, denn der Sync ist ultra-mist. Um einen leeren Ordner zu synchronisieren, braucht man 5 Min.

Vieleicht erkläre ich noch mal, wie ich alles gemacht habe.
DS1 (ipv4) mit vpn-server hängt an der FritzBox 6390. Der Port 1194 UDP ist freigegeben.
DS2 (ipv6) vpn-client hängt an der FritzBox 7390 (192.168.178.2). Die FritzBox selbst hängt an dem Technicolor (192.168.0.1).
Bei der OpenVPN-Verbindung wird die dynamische IP 10.8.0.6 angezeigt, als Gataway wird die IP 10.8.0.0 angezeigt.

 

[goetz]

Hallo,
@wolfgang1977
bitte keine Vollzitate und erst recht nicht wenn Du direkt antwortest.
Danke.

Gruß Götz

 

[fpo4711]

DS1 (ipv4) mit vpn-server hängt an der FritzBox 6390. Der Port 1194 UDP ist freigegeben.
DS2 (ipv6) vpn-client hängt an der FritzBox 7390 (192.168.178.2). Die FritzBox selbst hängt an dem Technicolor (192.168.0.1).

Also ich kann Dir nur bestätigen, daß das völlig einwandfrei funktioniert. Kann mir nur vorstellen das Du hier einen Konfigurationsfehler hast. Wenn ich dein Konstrukt richtig verstehe sind dein Client und dein Server beide in einem Netz einer Fritzbox. Wenn beide nicht verändert wurden haben die dann ein Subnetz von 192.168.178.0/24 und somit funktioniert das dann (übrigens auch fast jede VPN-Lösung) nicht. Für VPN auf der DS gilt.

Serversubnetz ungleich Tunnelsubnetz ungleich Clientsubnetz

Wenn also in deinem Fall die DS1 auch ein Subnetz 192.168.178.0/24 hat, dann muß das in die Hose gehen.

Gruß Frank

 

[wolfgang1977]

Wenn also in deinem Fall die DS1 auch ein Subnetz 192.168.178.0/24 hat, dann muß das in die Hose gehen.
Gruß Frank

Nene, die DS1 hat den Subnetz 192.168.175.0/24

 

[Hoffy]

Hi,

etwas verspätet gebe ich auch nochmal meinen Senf dazu. Ich hab es genau so aufgesetzt wie Frank es beschrieben hat und bei mir läuft es:

Sinnvoller wäre es den VPN-Server auf der IPV4-Seite zu installieren (Ist ja wohl schon geschehen). Im VPN-Server das Häkchen zu setzen unter den erweiterten Einstellungen "Den Clienten den Server-Lan Zugriff erlauben" und dann die Ziel-DS mit ihrer lokalen Adresse anzusprechen.

Warum es bei dir an der Stelle hakt kann ich im Moment auch nicht nachvollziehen :/

Grüße

 

[Pumesta]

Hi Leute,

ich gehöre leider auch zu den DS-Lite geplagten. Mein Problem ist das ich einen OpenVPN-Server haben möchte.
Somit wäre für mich mein Heimnetz erreichbar.

Nun habe ich nach der Unitymedia-Forums Anleitung einen MyFritz-Acc. + Freigabe erstellt. Einen IPv6 DDNS eingerichtet.
Nslookup sowie Ping funktionieren, nur beim connecten des OpenVPN-Clients bekomme ich den Fehler das der Host nicht aufgelöst werden kann ?

Grüße

 

[fpo4711]

Hallo,

trage in den Clienteinstellungen die IP von deinem IPV6 Anschluß ein wenn Du generell eine IPV6 Verbindung nutzen willst. Nur dann scheint die DS als Client auch wirklich udp6 zu nutzen. Oder passe die Clientconfig an. Siehe hierzu separaten Thread im Forum. Bin auch mal zu faul das zu suchen

Gruß Frank

 

[Ansorg]

Einen IPv6 DDNS eingerichtet.
Nslookup sowie Ping funktionieren, nur beim connecten des OpenVPN-Clients bekomme ich den Fehler das der Host nicht aufgelöst werden kann ?

Grüße

Ja, kenne ich!
Zum Workaround vom Frank siehe: http://www.synology-forum.de/showth...ostname-nur-IP&p=557518&viewfull=1#post557518

Manuell (ssh, WinSCP) die config editieren und in DSM nie wieder ändern


Grüße
Jens