Fritzbox VPN achter CGNat

liegebeestig
Elite Poster
Elite Poster
Berichten: 1761
Lid geworden op: 01 Jun 2006
Bedankt: 44 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 22 keer

Fritzbox VPN achter CGNat

Berichtdoor liegebeestig » 16 Jan 2020, 20:09

Het begint steeds meer voor te komen: je krijgt niet zomaar een publiek IPv4 meer, maar komt steeds vaker achter een CGNat terecht... Dat lijkt in mijn geval vooral een probleem als ik VPN gebruik op de smartphone om op mijn Fritzbox / netwerk terecht te komen. Fritz heeft een IPsec VPN server als ik me niet vergis.

Hoe kan ik de VPN-server van de Fritzbox blijven gebruiken achter een niet-publiek IP? Kan ik de truc met de reverse proxy toepassen? En is er iemand die dat simpel kan uitleggen?

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1733
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 112 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 117 keer

Re: Fritzbox VPN achter CGNat

Berichtdoor Sinna » 16 Jan 2020, 20:17

Voor zover ik reverse proxy begrijp betekent dit dat je ergens een (kleine) VPS hebt (en dus vast IP-adres) waarbij je Fritz!Box verbindt met de VPS zodat je een kanaal open hebt liggen. Via de VPS kan je dan terug communiceren met je Fritz!Box.
Computer(k)nul

liegebeestig
Elite Poster
Elite Poster
Berichten: 1761
Lid geworden op: 01 Jun 2006
Bedankt: 44 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 22 keer

Re: Fritzbox VPN achter CGNat

Berichtdoor liegebeestig » 16 Jan 2020, 20:33

Sinna, dank je, zoiets had ik ook begrepen. Er is zelfs een handleiding te vinden van (volgens mij) een Userbaser:
https://community.base.be/t5/Technologi ... /td-p/5861

Maar helaas ben ik hem kwijt bij de linux server... En dan nog: werkt de VPN-server van Fritzbox dan nog?

Edit: ik heb vermoedelijk iets nodig bij OVH, een virtual server. En op die OVH server kun je dan poorten openzetten zodat externe toestellen daarop kunnen verbinden. Van achter je CGNat kun je dan zelf een verbinding opzetten naar de virtuele server bij bv OVH. OK, zo ver ben ik mee, maar de uitvoering... En of VPN dan nog werkt?

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1733
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 112 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 117 keer

Re: Fritzbox VPN achter CGNat

Berichtdoor Sinna » 16 Jan 2020, 20:53

Zoek eens naar "openvpn via ssh tunnel". Wellicht geraak je dan verder.
Je zal inderdaad een VPS (Virtual Private Server) van doen hebben, maar niemand verplicht je die bij OVH te nemen.
Computer(k)nul

liegebeestig
Elite Poster
Elite Poster
Berichten: 1761
Lid geworden op: 01 Jun 2006
Bedankt: 44 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 22 keer

Re: Fritzbox VPN achter CGNat

Berichtdoor liegebeestig » 16 Jan 2020, 21:05

Het gaat mijn petje te boven helaas. VPN zal op termijn, als ik ooit achter een CGNat terechtkom, dus niet meer werken. Vermits ik het op Fritzbox enkel gebruik om mijn IP-telefonie van op afstand te gebruiken, kan ik de Fritzbox voortaan een IP-toestel vrij laten geven op het internet... alhoewel, ook daar heb je wellicht een open poort voor nodig...

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1733
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 112 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 117 keer

Re: Fritzbox VPN achter CGNat

Berichtdoor Sinna » 16 Jan 2020, 22:03

Het is op zich niet zo moeilijk, maar 't is voor mij ook al te lang geleden.
En om louter daarvoor een VPS in de lucht te houden, dat lijkt mij duur op.
Computer(k)nul

CCatalyst
Elite Poster
Elite Poster
Berichten: 2643
Lid geworden op: 20 Jun 2016
Bedankt: 222 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Fritzbox VPN achter CGNat

Berichtdoor CCatalyst » 17 Jan 2020, 01:12

IPSec werkt via NAT-T over CGNAT, maar om de VPN verbinding te initieren moet de client natuurlijk wel eerst op een publiek IP terecht kunnen, al dan niet met port forwarding.

De oplossing is idd een VPS met publiek IP die permanent verbonden is met je router/firewall thuis en waarop jij ook extern kan connecteren. Dan kan je aan je thuisnetwerk met de VPS als tussenstap.

De kost van de VPS (wat m.i. nu ook niet zoveel is, $50-$60 per jaar) kan je mee verantwoorden door daar bepaalde diensten van je netwerk in te draaien eventueel? Want die VPS maakt via VPN deel uit van je netwerk.

Een andere oplossing, zonder VPS, is IPv6. Daarop doet men geen CGNAT wegens onnodig.

liegebeestig
Elite Poster
Elite Poster
Berichten: 1761
Lid geworden op: 01 Jun 2006
Bedankt: 44 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 22 keer

Re: Fritzbox VPN achter CGNat

Berichtdoor liegebeestig » 17 Jan 2020, 10:34

Aha dan is ipv6 wellicht de juiste oplossing. Dan moet ik aan @philippe_d eens vragen hoe je op fritzbox met ipv6 een vpn of op telefoon kunt gebruiken.

@philippe_d hoe gebruik ik ipsec vpn ingebouwd in de fritzbox met een publiek ipv6 adres? Zet ik dan ergens ipv4 uit?

Antwoord blijkbaar negatief toch zeker voor mobiel naar vpn Fritz. Vooral dan omdat mobiel meestal geen ipv6 heeft.
https://avm.de/service/fritzbox/fritzbo ... g-moglich/

philippe_d
Moderator
Moderator
Berichten: 15080
Lid geworden op: 28 Apr 2008
Locatie: Waregem
Bedankt: 2605 keer
Recent bedankt: 22 keer
Uitgedeelde bedankjes: 717 keer
Contact:

Re: Fritzbox VPN achter CGNat

Berichtdoor philippe_d » 18 Jan 2020, 14:41

VPN server
Als jouw Fritz!Box geen publiek IPv4 adres heeft, dan is de Fritz!Box VPN server van buitenaf niet bereikbaar. De Fritz!Box VPN werkt niet met IPv6. Er zijn wellicht wel work-arounds mogelijk, maar daar heb ik geen ervaring mee...

Wat de SIP server betreft, heb ik geen idee.
Als je een IP telefoon bereikbaar maakt vanuit internet, dan zou het misschien wel kunnen werken, op voorwaarde dat jouw softphone (via WiFi of via 4G) IPv6 heeft?

Wat betreft CGNAT
De meeste Belgische ISP's passen (nog) geen CGNAT toe op vaste internetverbindingen.
Proximus doet dit wel, maar dat kan je als klant via "Mijn Proximus" uitzetten.

In de toekomst zal "PCP" wellicht de oplossing moeten geven voor het openen van poorten op de firewall van de ISP.
De Fritz!Box ondersteunt dit in ieder geval nu al.
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Start (60/4 mbps down/up).
Modem/Router: Fritz!Box 7590 int, FW 07.19-75737 BETA, profiel 100/30.
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.

liegebeestig
Elite Poster
Elite Poster
Berichten: 1761
Lid geworden op: 01 Jun 2006
Bedankt: 44 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 22 keer

Re: Fritzbox VPN achter CGNat

Berichtdoor liegebeestig » 18 Jan 2020, 23:15

Bedankt voor de heldere uitleg. Die PCP gaat technisch ook nog mijn petje te boven. Kun je eventueel een duidelijke uitleg in jouw stijl eens posten? En hoe werkt dat nu al mrt bv een provider als tadaam ofzo met daarachter de Fritz.

Eigenlijk zijn de sip telefoons mijn enige echte use case voor vpn of poorten openen. De rest hoeft strikt gezien niet bereikbaar te zijn of doet het zelf via eigen cloud dienst type synology.

Edit. Uitleg pcp gebonden in topic Fastic. Dus helaas nog geen ISP in België.


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 2 gasten