Kabel Helpdesk Forum

Hallo jcoder,

wenn ich es mir recht überlege: vielleicht wäre ein Versuch für Lösung 3 mit OpenVPN doch ganz interessant....

Brauchen dann beide Gegenstellen eine ipV6-Adresse? Meine Fritzbox von Kabel-BW ist über ipV6 erreichbar, Dyndns unterstützt das wohl (die Zuweiseung wird bei Dyndns.org unter unserem Account angezeigt).
Die Gegenstelle ist vermutlich nur über die feste ipV4-Adresse erreichbar. Keine Ahnung, ob auch eine ipV6-Adresse zugewiesen wird (wäre aber ggf. auch über Dyndns zu realisieren, muss ich mal ausprobieren, ob eine ipV6-Adresse dann angezeigt wird).

VG Thomas

vpn kann nur funktionieren, wenn auf beiden Seiten das gleiche Protokoll benutzt wird.
Wenn ich das richtig verstanden habe, gibt es auf Firmenseite auch eine Fritzbox. Wenn hier nur ipv4 gefahren wird, kannst du dort ein ipv6 Tunnel definieren. (z.B. 6to4, sixxs, ...)
Das Problem bei dieser Lösung ist, dass du Openvpn nicht auf der Fritzbox installieren kannst. Du brauchst also ggf. extra Hardware.
Weitere Alternativen, wenn es nur darum geht, von home auf die Firma zu kommen:
Remote Desktop (funktioniert nur mit konkret einem PC, da eine Weiterleitung gemacht werden muss.)
externe Remotesysteme, z.B. Teamviewer (Problem: mit Privatlizenz=kostenlos zulässig?)
In diesen beiden Fällen muss nur der Firmenpc laufen.

Wegen drucken: Ich habe schon befürchtet, du brauchst so was privat

Naja- es gibt lt. Google auch Freaks, die openVPN auf einer Fritz!Box zum Laufen gebracht haben. Wäre mir aber zu kompliziert. Außerdem wage ich zu bezweifeln, dass es auf der UM-Spezialversion der 6360 auch so einfach möglich ist, wie auf einer offenen 7390.

Gerade das Erstellen der Konfigurationsdateien und Zertifikate sowie das Testen ist auf einem normalen PC unter Linux (oder zur Not auch Windows) deutlich komfortabler, als auf einer FB.

Ansätze gibt es mehrere. (Da Du in jedem Fall einen Tunnel-Endpunkt in der Firma einrichten musst, solltest Du Dich aber vorher mit eurer Firmen-IT in Verbindung setzen. Das wird ziemlich sicher nicht so gerne gesehen.

1. Eine reine V4-Verbindung Netz-zu-Netz, geroutet (tun-Interface):
Das ist die einfachste Konfiguration. Ein PC in Deinem Heimnetz wählt dabei einfach über IPv4 den Firmenserver an (ausgehende geht ja!). Der so aufgebaute Tunnel kann hinterher bi-direktional von zuhause in die Firma und umgekehrt verwendet werden.
Zusätzlich müsstest Du nur noch das Routing in beiden Netzen anpassen, damit die Kommunikation funktioniert.
Was Du zusätzlich zu openVPN noch brauchst: Auf der Firmenseite eine feste IP oder DynDNS (müsst ihr ja haben, sonst kämst Du mit eurem Standard-VPN-Client auch nicht weit. Auf der Firewall der Firma müssten die openVPN-Pakete (Standard ist Port 1194/udp auf den Rechner, der den Tunnel-Endpunkt darstellt weitergeleitet werden)
Vorteile:
Du kannst alle betroffenen Geräte weiterhin über IPv4 ansprechen (der Drucker z.B. muss selber nicht V6-fähig sein)
Sehr einfache Konfiguration
Funktioniert auch über einen Proxy
Nachteile:
Tunnel muss, während Du in der Firma bist permanent, bestehen. Ein Verbindungsaufbau, nur zum Drucken, funktioniert so nicht.
Sehr statisch! Du erschlägst damit genau ein vorgegebenes Szenario. Möchtest Du auch von anderen Locations als der Firma aus auf Deinen Drucker zugreifen, musst Du einen zweiten Tunnel aufbauen oder eine andere Lösung suchen.

2. Eine reine V6-Verbindung Host-zu-Netz, geroutet (tun-inerface)
In dieser Konfiguration steht der VPN-Server in Deinem Heimnetz und wird so konfiguriert, dass eingehende Pakete an den Zielhost (z.B. Drucker) weitergeleitet werden.
Für diese Konfiguration muss der VPN-Client (PC im Firmennetz, Handy, whatever) IPv6 fähig sein. (Das bekommst Du zur Not, wie HausHelene schon schrieb, z.B. über 6to4, einen Tunnelbroker oder Teredo, etc. hin).

Auch alle Hosts, die Du in Deinem Heimnetz ansprechen möchtest, müssen IPv6 fähig sein. Da könnte der Hund begraben sein. Wenn Dein Drucker kein IPv6 kann, stehst Du hier vor der nächsten Herausforderung.

Außerdem brauchst Du natürlich ein DynDNS für Deine V6-Heimadresse.

Vorteile:
Tunnel muss nur bei Bedarf aufgebaut werden
Flexibel: Mehere Clients aus unterschiedlichen Netzen können (gleichzeitig) auf Dein Netz zugrefen
Keine Konfiguration der Firmen-Firewall notwendig
Funktioniert auch über einen Proxy
Nachteile:
Alle beteiligten Hosts/Geräte müssen V6-fähig sein

3. Der Königsweg: Eine Bridge (tap-interface)
Auch gier steht der VPN-Server in Deinem Heimnetzwerk. Nachdem Du den Tunnel über V6 aufgebaut hast, kannst Du über die Brücke transportieren, was immer Du willst. IPv4, V6 oder auch Protokolle, die mit TCP/IP gar nichts zu tuen haben (z.B. IPX oder Netbeui). Lediglich die Tunnel-Endpunkte, nicht aber die beteiligten Hosts, müssen in dieser Konfiguration also V6 können.
Vorteile:
Tunnel muss nur bei Bedarf aufgebaut werden
Flexibel: Mehere Clients aus unterschiedlichen Netzen können (gleichzeitig) auf Dein Netz zugrefen
Keine Konfiguration der Firmen-Firewall notwendig
Vollkommen flexibel in der Wahl der transportierten Protokolle. (Du kannst Deine Endgeräte wahlweise über V4 oder V6 anbinden.)
Nachteile:
Funktioniert NICHT über einen Proxy
Konfiguration ist etwas komplexer als die ersten beiden Szenarien.

Hallo,

danke für die umfassende Antwort.

Gestern habe ich doch nochmals mit der Hotline gesprochen (>30 Minuten kostenpflichtig in der Warteschleife, das mal nur so nebenbei - wird Zeit, dass das wie gesetzlich schon festgelegt abgestellt wird).

Heute Morgen kam die SMS, Anschluß ist umgestellt und prompt funktioniert alles wie gewünscht.

War jetzt aber eine schwere Geburt, seit November mache ich mit Kabel-BW rum - hat bis Anfang Januar gedauert, bis überhaupt erst mal Internet lief, um dann feststellen zu müssen, dass VPN nicht so funktioniert wie geplant.

Im Nachhinein bin ich aber heilfroh. Ich hatte nämlich für eine Zweigstelle gleichzeitig Kabel-BW (allerdings als Business Anschluß, ist da der Service besser?) vorgesehen und erst den Hausbesitzer verflucht, dass das in der Strasse befindliche Kabel nicht ans (große) Geschäftshaus angeschlossen wurde. Ich habe dann alternativ VDSL 500000 über die Telekom gebucht und alles läuft problemlos. Manchmal muss man haltGlück haben, für die Zweigstelle wäre ein nicht funktionierender Anschluß eine Kathastrophe gewesen. Der Ärger mit Kabel-BW hier war aufreibend und teuer (Hotlinekosten), aber zu verkraften. Bezüglich Service ist aber einiger Besserungsbedarf - das scheint ja aber leider ein generelles Problem zu sein .

Jedenfalls nochmals vielen Dank vor allem für die kompetenten Antworten!

VG Thomas

Was haben sie dir denn gegönnt?
IPv4 oder IPv6 DS?

Die Telekom macht es halt geschickter. Aber auch die werden früher oder später IPv4-Engpässe bekommen.
Solange AVM keine VPN-Lösung auf IPv6 anbietet, ist es für eine einfache Lösung eh egal.

Immer wieder gerne
Wenigstens läufts jetzt bei Dir. Bei KBW kommst Du ja noch zu einer Lösung- da sind die 30 Minuten kostenpflichtige Hotline, denke ich, gut investiert.
Bei Unitymedia ist die Hotline zwar kostenlos- ein Anruf zu diesem Thema aber auch vollkommen umsonst!
PS: Telekom halte ich, wenn Du sie auch unfreiwillig getroffen hast, für die beste Entscheidung, die Du treffen konntest. Gerade im Hinblick auf die V6-Problematik bieten die als einziger großer Provider eine gleichzeitig zukunftssichere und kundenfreundliche Lösung (selbst im Privatkundensegment).



Naja- 'später' stellt es ja kein Problem dar. Das Problem, das UM/KBW/KD-Kunden aktuell haben, liegt ja vor allem daran, dass die Kabelanbieter, zu einem Zeitpunkt, an dem IPv6 so gut wie gar nicht verbreitet ist und leider immer noch kaum unterstützt wird, so radikal umgestellt haben.
Selbst heute unterstützt nur eine kleine Anzahl an Consumer-Routern IPv6 (von Druckern und anderer Hardware ganz zu schweigen. Wenn Du auf den Softwaremarkt guckst, findest Du immer noch genügend Produkte (selbst im Infrastrukturbereich, die V6 nicht oder nur rudimentär unterstützen).
Auch das Problem mit dem V4-Port-Forwarding, das wir z.Zt. haben, ist ein Problem, das ausschließlich dem frühen Zeitpunkt der Umstellung durch die Kabelanbieter geschuldet ist.
Die IETF hat in dem DS-Lite zugrundeliegenden RFC6333 ist ein Protokoll (PCP), das die Steuerung des IPv4-Port-Forwardings ermöglichen soll, grundsätzlich vorgesehen. Das PCP-Protokoll befand sich zum Zeitpunkt der V6/DS-Lite-Einführung bei den Kabelanbietern aber noch im Entwurfs-Status. Zwischenzeitlich ist es zur Standardisierung eingereicht. In wenigen Monaten wird Port-Forwarding mit DS-Lite kein Thema mehr sein. Ob die Kabelanbieter dieses Protokoll in Ihre ja bereits bestehende Infrastruktur implementieren können/wollen und ob wir mit unserer bestehenden Hardware etwas davon haben werden, ist sicherlich eine andere Frage.
Kunden von Netzanbietern, die in mittlerer Zukunft auf V6/DS-Lite umstellen, werden unsere Probleme aber ziemlich sicher nicht mehr haben.

Die Telekom selber stellt ja bereits seit letztem Jahr sanfter und kundenfreundlicher um. Alle Anschlüsse, die bei der Telekom mit V6 augerüstet werden, erhalten DualStack. Der Telekom bringt das den Vorteil, das V6 verbreitet wird, ohne das der Kunde negative Auswirkungen befürchten muss. Dem Kunden bietet es den Vorteil, dass er (wenn er von der Umstellung überhaupt etwas merkt) in die Gelegenheit versetzt wird, seine eigene Infrastruktur sanft und ohne Zeitdruck von V4 nach V6 zu migrieren.