OpenVPN über LTE
itns
Netzwerkforscher
Netzwerkforscher

Guten Tag,

 

ich habe hier ein NAS von Synology auf dem ich einen OpenVPN-Server betreibe. Das NAS ist über einen Router (Draytek Vigor 2862) und LTE mit dem Internet verbunden.

Als Vertrage nutze ich Red XL Unlimited.

 

Ins Internet komme ich nun problemlos, wenn ich mich mit meinem Laptop im WLAN/LAN des NAS befinde. Nun möchte ich mich von Außen einwählen und habe dazu einen Host bei DynDNS registriert. Portweiterleitung für OpenVPN habe ich auch eingerichtet. Ein Test mit einem noch vorhandenen DSL-Anschluss der Telekom ermöglichte mir die Einwahl.

 

Über LTE klappt die Einwahl aber nicht. Mein Einwahlgrät bekommt einen Timeout. Mein Router zeigt mir zwar eine IP-Adresse für den LTE-Anschluss an, diese ist aber nicht erreichbar. Surfe ich über den LTE-Anschluss eine Webseite an, sehe ich eine ganz andere IPv4-Adresse bei z.B. wieistmeineip.de. Die Adressen sind offenbar auch nicht privat, denn die beginnen meist mit 100.98.X.X.

Auch wenn ich nun diese zweite IPv4-Adresse versuche zu nutzen, klappt die Einwahl nicht.

 

Hat jemand schon eine VPN-Einwahl auf ein NAS hinter einem LTE-Anschluss erfolgreich geschafft?

Was muss ich beachten? Meine Recherchen bisher waren nicht sonderlich erfolgreich.

 

Vielen Dank!

 

10 Antworten 10
itns
Netzwerkforscher
Netzwerkforscher

Ich hab jetzt mehrere Tests durchgeführt. Dazu habe ich eine Portweiterleitungsregel für alle WAN-Eingänge erstellt, die auf Port 8443 lauscht und die Pakete an einen Linuxrechner Port 1194 weiterleitet. Auf diesem Port lauscht nun ein "nc" (netcat). Das dürfte der einfachste Test (mit Klartextzeichen) sein, um zu sehen, ob die Ports überhaupt durchgelassen werden.

 

Die WAN-Eingänge sind:

  • WAN1: DSL (Telekom)
  • WAN2a: LTE (Vodafone) mit WAN-IP-Adresse 100.98.112.X
  • WAN2b: LTE (Vodafone) mit Internet-IP-Adresse 109.42.2.X

Die Unterscheidung Internet-IP und WAN-IP habe ich aus der Konfiguration von DynDNS übernommen. Je nach Einstellung in DynDNS wird die eine oder die andere IP synchronisiert.

 

Getestet wurde einmal von einem Unitymedia-Anschluss und einmal von einem Kabel Deutschland/Vodafone-Anschluss.

 

Ergebnis:

1) VPN zu WAN1: Zeicheneingaben sind sichtbar

2) VPN zu WAN2a: Keine Zeicheneingaben sichtbar

3) VPN zu WAN2b: Keine Zeicheneingaben sichtbar

 

Es sieht so aus, als werden die Ports über LTE blockiert. Selbst eine Kommunikation in Klartext ist nicht durchgekommen. Ich gehe davon aus, dass der Port 8443 standardmäßig offen sein dürfte, da er öfter von Anwendungen genutzt wird....

Muss ich irgendwas bei Vodafone beantragen, damit die Ports durchgelassen werden?

itns
Netzwerkforscher
Netzwerkforscher

In den Untiefen der Vodafone-Community, selbst da wo die Suche nur selten hinfindet (zumindest bei den von mir verwendeten Suchbegriffen), bin ich auf einen Beitrag gestoßen, der so ziemlich mein Problem beschreibt.

https://forum.vodafone.de/t5/Archiv-LTE/FRITZ-Box-6842-LTE-Vodafone-LTE-Vertrag-VPN-Tunnel/td-p/1552... 

 

Zumindest wäre dies eine technische Erlärung für mein Problem...

Es wird wohl ein sog. Carrier-grade NAT (CGN) verwendet, dass ein weiteres privates Netz 100.64.0.0/10 nutzt. Bisher kannte ich dieses (vermeintlich neue?) private Netz nicht. Meine WAN-IP (WAN2a) landet also genau in diesem privaten Bereich.

 

Die Frage, die sich mir stellt ist nun: wie kriege ich das CGN los? WIe kann ich trotzdem per VPN auf mein NAS? Kann mein Anschluss vielleicht irgendwie umgestellt werden?

@itns 

Ich nutze auch ein Synology NAS allerdings im VDSL Netz.

Warum mutzt du nicht den Synology eigenen DDNS Dienst?

https://account.synology.com

und richtest im NAS den EZ Internet Zugang ein?

Bei guter Leistung freue ich mich über ein Danke (Daumen hoch)

Kein Support via PN !!
itns
Netzwerkforscher
Netzwerkforscher

Hallo und vielen Dank für den Vorschlag.

 

Dieser löst aber leider mein Problem nicht. Portweiterleitung und DynDNS funktionieren einwandfrei. Sobald ich mich über die DSL-Leitung einwähle klappt es ja auch. Nur über LTE kommt nichts an. Problem hier scheint das CGN des Anbieters Vodafone zu sein. Damit habe ich nämlich keine exklusive, öffentliche IPv4-Adresse, sondern eine, die mit anderen Kunden geteilt wird. DAmit ist der Rückweg offenbar nicht möglich.

 

Meine Frage lautet daher: Was muss ich tun, um das CGN zu umgehen? Tarif umstellen? Lösung über einen Drittanbieter? Hat jemand eine Idee?

Das Problem ist nicht (nur) das Carrier Grade NAT, auch über IPv6 sind eingehende Verbindungen immer per Firewall gesperrt - das von dir gewünschte Szenario wird so mit dem Red XL nicht funktionieren.

 

Es war mal so, dass eingehende Verbindungen nur bei den Tarifen LTE Zuhause Telefon & Internet (privat) und LTE Professional Paket (Business) nicht gefiltert wurden. Wie das bei der aktuellen Tarifstruktur aussieht, kann ich dir leider nicht sagen.

Kleiner Nachtrag: Damals (so um 2013 rum) hieß die Option "IP Plus", ich konnte da in aktuellen Tarifen aber nichts mehr zu finden.

itns
Netzwerkforscher
Netzwerkforscher

Vielen Dank für die Info!

AnnieS
Moderator:in
Moderator:in

Hallo itns,

 

wir können ein Tarifbestandteil hinzufügen, dadurch kannst Du den Nat-Typ ändern, wenn Dir das hier hilft?

Vielleicht bringt das was. Sende mir dazu Deine Rufnummer und Kundenkennwort zum Vertrag per private Nachricht  zu.

 

Viele Grüße

 

AnnieS

Bewertet hilfreiche Beiträge mit Likes und Sternen!

Funktioniert die VPN Einwahl jetzt über LTE? Welche Tarifoption muss dafür dazu gebucht werden?