VPN zwischen Ipv6 - Ipv4

[member]

Hallo Community,

ich habe mal eine Frage zum Thema IPv4 / IPv6.
In der Firma nutze ich ne FritzBox mit einem Telekom Anschluss IPv4, Privat zuhause habe ich nun auf Unitymedia umgestellt IPv6. Seitdem funktioniert mein "FritzBox" VPN nicht mehr.
So richtig habe ich das mit dem DualStack etc. nicht verstanden, könnte mir das mal jemand etwas näher bringen ;).
Gibt es eine Möglichkeit hier ein VPN aufzubauen?

Vielen Dank.

[daZza]

Unitymedia nutzt kein DualStack (dann würde es keine Probleme geben), sondern Dual Stack Lite (sic!).
Da ich mir ersparen möchte diesen Humbug selbst zu definieren, hier mal ein Zitat:
 

Mein Router bekommt auf der öffentlichen Seite eine IPv6-Adresse. Diese ist aber nicht wie man erwartet eine öffentliche… sie entstammt einem Subnetz von Unitymedia. Jetzt kommt meine heimische Anlage – die IPv4 verwendet – und will ins Internet. Dazu werden die IPv4-Adressen in IPv6 gekapselt und zu einem speziellen Router von Unitymedia geschickt. Dieser weiß woher das Paket kommt und wohin es gehen soll. Um sicher zu gehen das die angefragte Adresse auch erreichbar ist, wird das Paket wieder ausgepakt und das IPv4-Paket setzt seinen Weg ins Internet mit der öffentlichen IPv4-Adresse des Unitymedia-Routers fort.

Dieser Shit nennt sich "Carrier-NAT" und einige VPN-Protokolle kommen da nicht drauf klar (z.B. IPSec), abgesehen von diversen anderen Problemen in der alltäglichen Nutzung (z.B. beim Gaming). Ich vermute deshalb mal, dass dein VPN IPSec basiert ist? Falls möglich, probier es per SSL, damit sollte es eigentlich gehen.

 
Ansonsten kannst du auch einige Male bei der Hotline von UM anrufen. Mit Glück kriegst du irgendwann jemanden an die Leitung, der dir einen Cisco-Modem schickt und nicht dieses verschissene Technicolor-Ding. Alternativ machst du ein Upgrade auf Horizon, da diese nur IPv4 kann. Der Anschluss wird dann umgestellt. Zumindest meine ich das mal gelesen zu haben (solltest du vorher validieren)

PS: Bin zum Glück Bestandskunde und habe vollwertiges IPv4, aber für Neukunden ist das echt eine Qual.  

[afo]

Vernünftigste Lösung wäre wohl mit der Zeit zu gehen und den Firmenanschluss auch IPv6-fähig zu machen.

[daZza]

Vernünftigste Lösung wäre wohl mit der Zeit zu gehen und den Firmenanschluss auch IPv6-fähig zu machen.

Dafür müsste die Firma dann einen Provider finden, der echtes Dual-Stack anbietet (zu einem realisierbarem Preis)... Die meisten Programme, aber auch viele Webseiten, Webservices und ähnliches sind noch nicht IPv6 fähig (und werden es wohl auch so schnell nicht werden. Ist ja kaum verbreitet), daher bist du als Unternehmen immer noch auf einen voll funktionsfähigen IPv4 Anschluss angewiesen. 

Das Problem vom OP würde es auch nicht lösen, da ja die Kommunikation zwischen Unitymedia und FritzBox im Unternehmen sowieso auf IPv4 Basis läuft. Die Probleme entstehen aber auf dem Weg Unitymedia <--> Endkunde, da hier streckenweise IPv6 zum Einsatz kommt.

Bearbeitet 9. Oktober 2015 von daZza

[afo]

Dafür müsste die Firma dann einen Provider finden, der echtes Dual-Stack anbietet (zu einem realisierbarem Preis)... Die meisten Programme, aber auch viele Webseiten, Webservices und ähnliches sind noch nicht IPv6 fähig (und werden es wohl auch so schnell nicht werden. Ist ja kaum verbreitet), daher bist du als Unternehmen immer noch auf einen voll funktionsfähigen IPv4 Anschluss angewiesen. 
Das Problem vom OP würde es auch nicht lösen, da ja die Kommunikation zwischen Unitymedia und FritzBox im Unternehmen sowieso auf IPv4 Basis läuft. Die Probleme entstehen aber auf dem Weg Unitymedia <--> Endkunde, da hier streckenweise IPv6 zum Einsatz kommt.

Echtes Dual Stack sollte jeder bessere Business-Anschluss bieten. Dass die Fritzboxen (im jahr 2015!) IPv6 noch nicht genug unterstützen um darüber ein VPN aufzubauen wußte ich nicht.

Dann bleibt dem OP mit UN zu reden und als Argument anzubringen, dass er beruflich darauf angewiesen ist VPN nutzen zu können. Ich kann mir aber vorstellen, dass er dann auch für daheim auf einen Business-Anschluss der noch mit "echtem" IPv4 kommt verwiesen wird.

Aber ganz verstehe ich das Problem noch nicht. Es müßte doch auch über das geNATete DS-Lite möglich sein eine VPN-Verbindung über IPv4 in die Firma aufzubauen? Oder willst du in Wahrheit eine Verbindung von der Firma nach Hause (aber warum?) aufbauen?

Bearbeitet 9. Oktober 2015 von afo

[daZza]

Ich stecke da technisch auch nicht voll drin, aber das Problem liegt in den VPN-Protokollen (v.a IPSec). Die kommen m.W. nicht alle auf diesen Carrier-NAT klar ("Routing" von IPv4 auf IPv6 bzw umgekehrt)

Bearbeitet 9. Oktober 2015 von daZza

[member]

Hi Leute
,

vielen Dank für eure Antworten, nun ist mir die Sache etwas deutlicher.
Zuhause haben wir wie gesagt Unitymedia und in der Firma einen Telekom Anschluss, die Fritz Box in der Firma ist auch nicht mehr die "jüngste". Per SSL VPN kann ich es probieren, das bietet doch z.B. OpenVPN an, sollte das funktionieren?