VPN mit Speedport LTE II (Huawei B593) funktioniert nicht

[brmib]

Hallo an alle!

Ich bin gerade dabei meine erste Diskstation als VPN-Server einzurichten und komme nicht weiter.

So ist das aktuelle Szenario:
Diskstation (DSM 5.1) - LAN - Speedport-Router (Huawei B593) - Internet - Technicolor-Router (TG588v) - LAN - Windows 8.1 (Als VPN-Client)

Der VPN-Server auf der Diskstation ist vollständig eingerichtet und alle 3 VPN-Typen sind aktiv. (Zum Testen. PPTP möchte ich im normalen Betrieb nicht verwenden.)
Am Speedport-Router ist ein DynDNS eingerichtet und in der Router-Konfiguration wird die Funktion bestätigt. (Allerdings weiß ich nicht, wie ich den Zugriff von außen überprüfen kann)
Alle erforderlichen Ports der 3 Typen sind im Router weitergeleitet. Allerdings finde ich im Router keine Möglichkeit das ESP Protokoll Nr 50 bzw. das GRE Protokoll Nr 47 weiterzuleiten (wie in etlichen Anleitungen beschrieben)
Im LAN funktioniert die Herstellung der VPN-Verbindung.
Aber via Internet bekomme ich es nicht hin:

L2TP: Fehler 789 (Der L2TP Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist)
PPTP: Fehler 807 (Die Netzwerkverbindung zwischen ihrem Computer und dem VPN-Server wurde unterbrochen...)
OpenVPN (Via OpenVPN GUI):

WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
UDPv4 link local (bound): [undef]
UDPv4 link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, process restarting

Auch via Android (2.3) kommt die Verbindung nicht zustande.

Ich denke, dass es am Router liegt, aber ich weiß nicht, was ich da noch konfigurieren sollte oder wie ich weiter systematisch Fehlerquellen ausschließen kann.
Danke schon mal für Eure Hilfe!

 

[ottosykora]

bist du wirklich dann via LTE mit Internet verbunden?

(dann könnte es schwierig werden)

 

[brmib]

Ja, der Speedport-Router ist (ausschließlich) via LTE (T-Mobile) im Internet.
Wieso könnte das schwierig werden?

 

[ottosykora]

was für eine IP Adresse hast du extern? Hast du wirklich eine externe IP die nur du zu dem Augenblick hast und sonst niemand? Bei den meisten Providern ist es so, dass die Adressen so was wie in einem Pool zugeteilt werden und die gleiche IP habe viele andere Leute auch. Damit kann man so was dann nicht betreiben. Also deine IP ist dann nicht eindeutig deinem Gerät zugeteilt.

kannst du die DS sonst via DDNS erreichen? Denke eher nicht. Kannst du mit der DS Verbindung via QuickConnect aufnehmen? Vielleicht könnte so was gehen.

 

[brmib]

Ich habe eine wechselnde, externe IP, aber ob ich die mit anderen teile weiß ich nicht - wie kann ich das überprüfen?
Die Verbindung mit der DS via QuickConnect funktioniert gut. (im Browser)
Via DDNS erreiche ich sie nicht, zumindest über die im Router eingetragene + weitergeleiteten Port 5000 nicht. In der DS habe ich DDNS nicht konfiguriert, da es ja im Router ist - oder sollte ich das auch?

 

[ottosykora]

das sind genau Symptome eines normalen LTE Anschlusses. Du bekommst zwar eine scheinbar öffentliche Adresse, aber die ist für viele Anschlüsse gleichzeitig, die haben dann andere Mechanismen um den Traffic an die richtige Stelle zuzustellen.

QC geht dann, weil es wie ein Aufruf einer Website von der DS initialisiert wird und der Vermittlungsserver übergibt die Daten dann der DS auf Anfrage.

Die an die DDNS gerichteten Anrufe werden dann wohl entweder beim Provider abgefiltert (sinnvollerweise) oder erreichen sie sehr viele Anschlüsse gleichzeitig.

Was passiert wenn du an die öffentliche IP einen tracert abgibst? Ich schätze das endet irgendwo in einem Router des Providers.


LTE ist halt immer noch ein Mobil Telefon und die sind nun mal nicht direkt erreichbar von aussen

 

[brmib]

Traceroute mit dnstools.ch endet sehr schnell (egal ob IP oder domain)

guest@dnstools.ch:~> xyz.ddns.net
1 gw.f.netclusive.de (89.110.131.1) 0.550 ms
2 89.202.113.81 (89.202.113.81) 1.224 ms !N

Gibt es eine Chance den VPN-Server (oder auch andere DS-Dienste) trotzdem zu erreichen?

 

[ottosykora]

>89.202.113.81< , und ich nehme an das ist nicht deine externe IP


kaum auf IPv4, ob da was geht mit IPv6 müsste man testen, einen DDns Provider für Ipv6 suchen und dann probieren, wenn der mobil Provider da keine extra Hürden mit Filtern etc einbaut, aber ich habe es bis jetzt mit so was nicht probiert.

Mit Quickconnect kannst du die minimalen Dienste ja erreichen, alles andere müsste ja in umgekehrter Richtung laufen zumindest um eine Chance zu haben

 

[brmib]

ja, das ist nicht meine IP; ich denke die vom Trace-Service.

OK, ich werde versuchen ob die wenigen im Router vorgegebenen kostenlosen Dydndns-Dienste Ipv6 unterstützen.

umgekehrte Richtung? Du meinst, ich müsste den Win8.1-PC als VPN-Server einrichten? Das wäre sub-optimal, da der natürlich nicht dauernd läuft und ich gerne in Zukunft weitere Geräte ins VPN eingebunden hätte...

 

[ottosykora]

na ja nicht unbedingt den PC, aber vielleicht sonst eine Einrichtung, einen Router mit VPN Server oder eine andere DS oder es gibt Leute die so was mit Raspbery lösen oder so was.


sonst:
inetnum: 89.202.113.80 - 89.202.113.87
netname: Netclusive
descr: netclusive GmbH
descr: Robert-Bosch-Str. 10, Haus I
descr: DE-56410 Montabaur
country: DE
admin-c: SEU-RIPE
tech-c: SEU-RIPE
status: ASSIGNED PA
mnt-by: HRW-NOC
source: RIPE # Filtered

 

[brmib]

Ich habe mich inzwischen ein wenig über Ipv6 eingelesen. Wenn ich das richtig verstehe, müsste mein Provider jedem meiner Geräte eine externe Ipv6-Adresse zuweisen? Ich weiß nicht ob die das bei privaten Kunden einfach so machen. Das Ganze ist mir z.Z. noch etwas zu komplex.

 

[ottosykora]

öffne bei deinem PC die Kommandozeile , unter ausführen CMD

dann gebe ein ipconfig

dann siehst du die IP6 Adresse deines Gerätes

 

[brmib]

Ja bei Windows-Geräten geht das, aber bei der DS - auf die brauche ich ja dann den Zugriff

 

[brmib]

Vielleicht zur weiteren Erklärung:
Ich möchte die DS primär als Backupziel für eine kleine Anzahl an über das Internet verbundenen Geräten nutzen. Wenn sich das an auch auf einem anderen Weg bewerkstelligen lässt, bin ich durchaus offen...

 

[ottosykora]

also du hast gesagt es ging mit QuickConnect?

Das sollte eigentlich gehen, weil es ja von der DS aus initialisiert wird so zu sagen, also so ähnlich wie wenn sich ein Mobilephone dauernd bei Google meldet.

Aber ob man das dann als echten Backup Ziel angeben kann so mit anderen Programmen wäre zu testen.



Bei DS kannst du die IPv6 sehen wenn du in der Systemsteuerung, Netzwerk, Schnittstelle die IPv6 aktivierst, dann erscheint die Adresse auch.

 

[brmib]

Es gibt ja, soweit ich weiß, keinen echten Clienten für QuickConnect. sondern nur der Zugriff auf die Benutzeroberfläche via Browser. Insofern kann ich mir nicht vorstellen, dass ich so ein Backup-Ziel definieren kann. aber ich lasse mich gerne eines Besseren belehren.

Gut, Adresse gefunden. Wie gehe ich jetzt weiter vor? Dyndns und Portweiterleitung? Oder brauche ich das nicht, da die Ipv6 gleich bleibt?

 

[ottosykora]

ich habe selber keine genügende Erfahrung mit IPv6. Da müssen wir jemanden fragen der sich besser auskennt.
Mit IPv6 alleine, klar geht es wohl, aber dann haben wir den umgekehrten Problem bei dem die Gegenstation nicht in der Lage ist IPv6 zu verwenden. Dann muss es wieder von jemandem vermittelt werden damit es zuverlässig funktioniert. Dazu gibt es dann wohl diese IPv6-dns Vermittler mit IPv6 Tunnel etc.

Habe es selber bis jetzt nicht wirklich eingesetzt. Hatt bis jetzt Glück, alle Netze die ich bis jetzt aufzusetzen hatte, waren IPv4 tauglich und hatten zumindest eine Dyn IP zugeteilt bekommen. Oft auch so dass die IP monatelang nicht geändert wurde.

Also musst du vielleicht etwa hier im Forum surfen oder vielleicht sangt uns einer der IPv6 Cracks wie das ganz genau zu machen ist.

Möchte dir ungern irgendwelche ungenauen Infos durchgeben.

 

[brmib]

OK, dann hoffe ich, dass die auf mein Problem aufmerksam werden...

 

[brmib]

Bestünde eine Möglichkeit das Problem zu umgehen darin, die zu sichernden PS's als VPN-Server einzurichten und auf der DS die entsprechenden Client-Verbindungen? Da könnte man dann ja auf einen freigegebenen Ordner der DS die Backups speichern lassen, oder?

 

[ottosykora]

hmm, ja also wenn die DS mit dem LTE einen Verbindungsversuch macht und sich zu einem Server verbindet. Das wäre eher möglich, aber dann muss man die DS zuerst dazu bringen diese VPN aufzubauen. Klar geht es relativ gut wenn man davor sitzt, aber remote ist es dann via Zugriff mit QC vielleicht möglich. Die Gegenstellen müssen dann jeweils einen Server betreiben. Also komplex wird es trotzdem

Oder alle Beteiligten verbinden sich zu einem einzigen Server, nun da sind wir so zu sagen bei QC wieder.

In diesem Szenario denke ich wird man früher oder später eher mit dem IPv6 Dnydns Provider Erfolg haben.
Leute mit Modems vom Kabel TV und so haben ähnliche Probleme, keine realen IPv4 Adressen mehr, die haben es auch geschafft.