Bürger für Glasfaser Support

Hallo,
ich muß das sagen. Obwohl es wie Reklame klingt.
Nach langer Überlegung habe mich für den Portmapper entschieden.

http://www.feste-ip.net/

Produkt für alle DGF - geschädigte.
Erlaubt Zugriff auf interne IPv4 Geräte.
Livesupport und Mail durch Herrn René M.
Per Fernwartung konfiguriert alles, was konfiguriert werden muss.
Beispielhaft, engagiert, energievoll, kompetent !
Schon alleine wegen der Hilfe und hoher Produktqualität lohnt es, auf jeden Fall den Service zu buchen.
Danke noch einmal an René, der in seiner Privatzeit mir geholfen hat.

yupiter

Hi yupiter,

klingt so wie das, was ich hier vorhatte

http://support.buerger-fuer-glasfaser.de/showthread.php?tid=59

Feste IPv4 von meinem Server mit jeder Menge IP Portweiterleitungen bestücken.

Funktioniert das denn gut bei dir?
Dann würde ich das auch mal bei mir einrichten und hier die technischen Hintergründe notieren.

Gruß

Elmar

Hallo,
es funktioniert tadellos. Meine Konfiguration sieht so aus:

Mobil(IPv4)->(DGF IPv6)->Portmapper->Heimnetz(IPv4)

Habe Zugriff auf alle Geräte, die brauche.
Es lohnt sich zu nehmen ohne zu fragen.

Portmapper
https://www.feste-ip.net/?ref=2539

(12.12.2014, 17:59)admin schrieb: [ -> ]mit jeder Menge IP Portweiterleitungen bestücken.

"Jede Menge Portweiterleitungen" klingt irgendwie eher schlecht durchdacht.

Das meiste, was die Leute im Heimnetz so aufreißen, kann gar nicht wirklich sicher konfiguriert werden.

"Eine Handvoll" Port-Weiterleitungen sollte eigentlich reichen:
1. ssh
2. OpenVPN

Das war's eigentlich für's Erste.

Nur wenn man dann noch Sachen hat, die
a.) In sich abgeschlossen
b.) Nicht sicherheitsrelevant
sind, kann man da noch über 2-3 weitere Weiterleitungen reden.

Man selber kann durch das VPN oder über ssh absolut alles im Heimnetz machen, was man auch könnte, wenn man zuhause im LAN wäre.

Port-Freigaben machen dann eigentlich nur noch Sinn, wenn man einen (halb-)öffentlichen Web-Server, eine WetterCam o.ä. zuhause betreiben will, aber z.B. auf gar keinen Fall, um von unterwegs Zugriff auf den Sat-Receiver o.ä. zu haben.

Ich habe das die Tage für einen fl!nk-Kunden eingerichtet, der hat von mir einen OpenWrt-Router hingestellt bekommen und insgesamt sind nun am ganzen Anschluß drei Ports offen:

• ssh am Genexis (dropbear 0.51, die Hintertür für fl!nk/new/BorNet/Deutsche Glasfaser und der Grund, wieso Ihr keine eigenen Router benutzen können sollt, da würde die Hintertür ins LAN fehlen ...)
• ssh auf dem OpenWrt-Router (dropbear 0.65, mein Wartungszugang)
• OpenVPN als Zugang ins Heimnetz für alle externen Clients des Nutzers (Smartphone, EierFon, Eierbrett, ...)

Im Genexis ist die Firewall komplett deaktiviert (IPv6-Freigaben ohne Adress- und Portangabe = jede Adresse und jeder Port) und das WLAN ist aus.
Es gibt nur ein statisches Lease und das ist das für den OpenWrt-Router (Obwohl man sich auch das noch schenken könnte).
Abgesehen vom OpenWrt-Router ist das LAN des Genexis also leer. Im Idealfall würde man nun die anderen drei LAN-Buchsen des Genexis mit Heißkleber verschließen 8-)

Das eigentliche LAN ist das hinter dem OpenWrt-Router und das ist dann natürlich durch die Firewall des OpenWrt-Routers geschützt, d.h. fl!nk/new/BorNet/Deutsche Glasfaser können sich durch ihre Hintertür nur noch den OpenWrt-Router von außen angucken

Hast du da eine Anleitung wie das mit open Wrt Router und open vpn geht. Und welche Hardware "Empfehlung von dir" man benötigt.

Gruß Mansa

Die Konfiguration von Schimmelreiter klingt sehr interessant .... Ich habe noch einen TP Link Router hier liegen der OpenWRT kann .... werde den wohl mal anklemmen und schauen ob ich damit weiter komme ..... ob ich damit den IPv6 Präfix vom Genexis zum OpenWRT Router bekomme .... weil daran bin ich bis dato immer gescheitert .... Ich gehe mal davon aus das das ganze bei der Konfig von Schimmelreiter geht .... ODER?

Selbstverfreilich geht das damit (Man beachte den "IPv6 WAN Status"):


Es wird allerdings kein Präfix delegiert, sondern das Subnet des Genexis mit genutzt.
Für IPv6 arbeitet der Router also nur als Firewall, wobei das eigentlich erst einmal egal ist, da die Ziele "Abkopplung vom Netzwerk des Genexis" und "Konfiguration im eigenen Router" ja erreicht werden.
Die einzige Einschränkung ist somit, daß man mit IPv6 nicht weiter subnetten kann, z.B. für's VPN, Gastnetz o.ä.


Da ja einige parallel zur Glasfaser auch noch ihr altes DSL haben, ist vielleicht die Möglichkeit den OpenWrt-Router zum Multi-WAN-Router umzustricken nicht ganz uninteressant:


Hier sind alle Schnittstellen des Routers und damit Netze zu sehen, neben WAN (Internet IPv4 über Genexis), WAN6 (Internet IPv6 über Genexis), GUEST (Gastnetz) und VPN auch noch WAN2 für die zweite Internet-Anbindung.
Für WAN2 hängt dieser Archer als exposed host an einer vorhandenen Fritz!Box.
Direkte PPPoE-Einwahl (Also "Verbindung selber aufbauen") wäre aber genauso möglich.

Über MWAN nutzt dieser Archer dann WAN2 als Fallback, wenn WAN unerreichbar wird:


Ist ganz lustig, ich habe dem Ding testweise einfach mal das Kabel an WAN abgezogen und wenige Sekunden später (Erst müssen x Pings über WAN schiefgehen) springt MWAN dann auf WAN2 um.
Steckt man das Kabel an WAN wieder ein, springt er nach wenigen Sekunden auch wieder auf die WAN(1)-Verbindung zurück.

Schaut sehr gut aus .... was mich auf ner ganz schmalen Idee bringt .... Was kostet mich der günstigste DSL Anschluß von der Teledoof z.b. ohne jeglichen Zap Da Dap ... den könnte man doch sicherlich nutzen um über IPv4 Ordentlich ins Netz zu kommen .... ist sicherlich nichts für den Otto Normal Verbraucher ... aber mit guten Router ... viel ClubMate und Lektüre ne neue Aufgabe


EDIT: Scheinbar gibt es sowas gar nicht mehr ... zumindest nicht bei der Telekom ... bei z.b. 1u1 müsste man erstmal abklären, ob die öffentliche ipv4 rausgeben ... sonst bringt das ganze mal wieder nix

(20.03.2015, 23:39)eiGelbGeek schrieb: [ -> ]Schaut sehr gut aus .... was mich auf ner ganz schmalen Idee bringt .... Was kostet mich der günstigste DSL Anschluß von der Teledoof z.b. ohne jeglichen Zap Da Dap ...

Naja, Du würdest doch bestimmt sicherlich mindestens 'ne Internet-Flat haben wollen.

Dann wären das 29,95 EUR/mtl. die ersten 12 Monate, danach 34,95 EUR/mtl.
mit 16/2,4, also Annex-J/AllIP.
Mehr als die 16/2,4 werden bei den meisten eh nicht möglich sein, da sind die höheren Tarife uninteressant.

Bei 1&1 gäbe es die Surf-Flat 6000 für 24 Monate lang 19,99 EUR und danach 24,99 EUR/mtl.
Bei wem die Leitung eh nicht oder kaum mehr hergibt bestimmt eine Option.
Für 10 EUR mehr gibt's dann die Doppel-Flat mit "bis zu" 16 MBit/s.

(20.03.2015, 23:39)eiGelbGeek schrieb: [ -> ]den könnte man doch sicherlich nutzen um über IPv4 Ordentlich ins Netz zu kommen ....

Für den Zweck ist es aber eigentlich zu teuer:
Wie an anderer Stelle schon gesagt kommt der DGF-Kunde ja durchaus ordentlich per IPv4 ins Netz, er ist lediglich nicht per IPv4 aus dem Netz heraus erreichbar.
Das wiederum läßt sich aber so einfach und günstig (Mittels feste-ip.net oder myonlineportal.net oder eigenem vServer) lösen, daß sich dafür ein komplett bezahlter DSL-Anschluß, womöglich noch mit erbärmlicher Rückfallgeschwindigkeit, nicht lohnt.

Da halte ich den DSL-Anschluß als Fallback eher für sinnvoll, also für den Fall, daß die Glasfaser ausfällt. Das passiert ja immerhin nicht so selten, daß diese Idee komplett abwegig wäre.

(20.03.2015, 23:39)eiGelbGeek schrieb: [ -> ]... bei z.b. 1u1 müsste man erstmal abklären, ob die öffentliche ipv4 rausgeben ... sonst bringt das ganze mal wieder nix

Bei 1&1 kriegt man IPv4 und wenn die Telekom der Vorleister ist sogar Dual Stack.