Automatische Synchronisierung mit der Fritz!Box und NAS zuhause von Unterwegs

[Skyhigh]

Interssiert mich jetzt - du hast auch vermutlich zwei - richtig ?

Stimmt.

Und ja ihr habt Recht: ich hab mich beim nachlesen der Bereiche vertan.
Ich bin auch hinter CGNAT.

Habe von der DT Glasfaser die 100.99.181.xxx
Wieistmeineip sagt: 94.31.120.xxx
Zusätzlich habe ich in der Fritzbox ne IPv6

Und dennoch läuft bei mir Wireguard ohne Probleme täglich sobald ich das Wlan verlasse. Das sollte dann doch nicht möglich sein wie du sagst.

 

[maik005]

@swa00
Wenn man nicht weiter weiß und nicht zugeben will, dass man falsch liegen will, kann man natürlich so reagieren.
Das sagt dann aber mal wieder viel über dich aus.

Beiträge automatisch zusammengeführt: Mittwoch um 10:27

Und dennoch läuft bei mir Wireguard ohne Probleme täglich sobald ich das Wlan verlasse

Natürlich, weil das mit aktuelleren FritzBoxen schon lange auch mit IPv6 von außen für den Tunnel läuft.

 

[swa00]

@Skyhigh

Und dennoch läuft bei mir Wireguard ohne Probleme täglich sobald ich das Wlsn verlasse.

Dann geniesse es noch
Die Lösung habe ich ja oben schon genannt

 

[Skyhigh]

@swa00
Gegenfrage: wenn das mit CGNAT nicht mehr funktionieren wird, wird dann mit einem schlag die Funktionalität aller Geräte (Fritzbox Fernzugriff, NAS Fernzugriff, deco Systeme, ect) auch hinfällig?

Das kann ich mir irgendwie nicht vorstellen, das der Verbraucherschutz das durch winkt.
Geht ja teilweise um sehr viel Geld

Zusätzlich funktioniert es ja derzeit allem Anschein nach trotzdem. Wieso sollte man das ändern?

 

[swa00]

CGNAT ist ja grundsätzlich eine Übergangslösung - Wann die das letztendlich Einstellen/Umbauen wissen nur die Provider. Ich habe dazu auch nichts in den Vertragsunterlagen gefunden.

Ich wäre mir auch jetzt nicht sicher, ob das ein Fall des "Verbraucherschutzes" ist, denn eine Lösung bieten Sie ja jetzt schon an, die man hinzubuchen kann .. oder man fährt dann komplett auf IP6.

Fakt ist, dass bei unserem DG1000 Anschluss (ohne ONT) das Notwendige schon blockiert wird, da war nichts mehr Fritz-mäßiges zu reissen. Also habe ich für mir persönlich die sichere Variante gewählt....

Die 4 Eus sind ja noch zu verkraften

 

[maik005]

Fakt ist, dass bei unserem DG1000 Anschluss (ohne ONT) das Notwendige schon blockiert wird

Was auch immer dieses notwendige sein soll.

Fakt ist, ohne PCP (nutzt DG nicht) keinen Portfreigaben bei CG-NAT.
Aber da du ganz normales IPv6 bekommst, was nichts mit CG-NAT zu tun hat kannst du darüber auch Freigaben laufen lassen.
Die FritzBox als VPN Server nutzen usw.

 

[Skyhigh]

WireGuard nutzt doch UDP statt TCP (beispielsweise OpenVPN).
Dadurch muss man doch keine Konfiguration der Firewall vornehmen und es sollten doch auch einige Beschränkungen der TCP Kommunikation wegfallen.

Die initiale Verbindung läuft bei mir eben über MyFritz. Dadurch ist die Route bekannt.
Und dank der Peer-to-Peer Verbindung sollte, ein durchschleifen der Datenpakete auch bei CGNAT möglich sein.

In den WireGuard Einstellungen lauft das bei mir auch über [xxxxxxxxxx].myfritz.de:[port] als Endpunkt.

ich will keineswegs streiten oder ähnliches.
bin nur interessiert daran, wieso es bei mir (noch?) funktioniert. wenn es nicht funktionieren sollte.

 

[swa00]

bin nur interessiert daran, wieso es bei mir (noch?) funktioniert. wenn es nicht funktionieren sollte.

Kann ich dir wirklich nicht eindeutig beantworten - ein paar km weiter habe ich es noch mit der Fritz/Wire so laufen , bei unserem Anschluss (neuer) geht es leider nicht mehr.

Daher habe ich auch den gleichen "Frust" geschoben
Wenn du dann irgendwann mal das Setup des Servers benötigst : Einfach melden

 

[maik005]

WireGuard nutzt doch UDP statt TCP (beispielsweise OpenVPN).
Dadurch muss man doch keine Konfiguration der Firewall vornehmen

Das stimmt ja nicht, wie kommst du auf sowas?
Natürlich braucht es die Portfreugabe in der Firewall, egal ob TCP oder UDP, da gibt es gar keinen Unterschied.

Die initiale Verbindung läuft bei mir eben über MyFritz. Dadurch ist die Route bekannt.
Und dank der Peer-to-Peer Verbindung sollte, ein durchschleifen der Datenpakete auch bei CGNAT möglich sein.

Auch das ist eine falsche Vermutung.
MyFritz liefert da einzig den DDNS Dienst.
Die Verbindung wird dann zu deiner IPv6 WAN IP der FritzBox aufgebaut auf dem Wireguard Port.
Daher ist auch die Portfreigabe nötig.
Siehst du auch unter Diagnose - Sicherheit in der FritzBox.

Und ein durchschleifen der Datenpakete bei CG NAT gibt es da auch nicht.
Es geht bei CG-NAT ohne PCP ausschließlich über IPv6.

Beiträge automatisch zusammengeführt: Mittwoch um 11:08

bei unserem Anschluss (neuer) geht es leider nicht mehr.

Der hat doch IPv6, also muss es gehen.

 

[Skyhigh]

Udp als "Verbindungsloses Protokoll" ist auf NAT Ebene weitaus einfacher als TCP, da keine dauerhafte Verbindung bestehen muss.
Infos: WireGuard VPN, die moderne Alternative zu OpenVPN und IPSec – IT Works AG
Ich bezog mich dabei nicht auf die Firewall beim Endkunden Zuhause, sondern auf seitens ISP.

IPv6 WAN IP der FritzBox aufgebaut auf dem Wireguard Port.

Klar. Und das läuft über den Endpoint (server=Fritzbox).
Um die Verbindung zu allererst möglich zu machen ist die DYN-Adresse von MyFritz notwendig, sofern man keinen anderen DynDNS Provider nutzt.
Kannst ja gerne mal in dein Wireguard Profil schauen was da als endpoint drin steht. Das ist NICHT deine IPv6.
Sonst müsstest du bei jedem IP renew ein neues Profil erstellen, was prinzipiell möglich aber nervig ist.

Sprich: fällt der MyFritz Server aus, kannst du Initial keine Verbindung herstellen, da deine IPv6 nicht bekannt ist.
So meinte ich das. Hab mich etwas unglücklich ausgedrückt

 

[maik005]

So meinte ich das. Hab mich etwas unglücklich ausgedrückt

Ja.
Brauchst bei wechselnder Adresse einen DynDNS Dienst um die IP nicht immer bei Wireguard neu eintragen zu müssen.

Ich bezog mich dabei nicht auf die Firewall beim Endkunden Zuhause, sondern auf seitens ISP.

Ist ja egal, mit CG-NAT keine Portfreigabe, da nahezu keiner PCP nutzt.
Daher nur über IPv6 und da hat der Provider nicht noch extra nennenswerte Firewall.