DS-Lite Umgehen mit zu viel Hürden weil zu viel Technik?

Hallo,
ich bin gestern auf dieses Forum gestoßen, nachdem ich versucht habe einen DS-Lite Internet Kabelanschluss von Vodafone von außen erreichbar zu machen. Aber irgendwie hat das nicht funktioniert. Hier mal meine Konfiguration Zuhause:

Fritz!Box mit einer Unifi Dreammachine Pro (die das Netzwerk Verwaltet) als exposed Host. Dann eine Synology DS724+ als Heimserver und wie oben gesagt einen DS_lite Kabel-internet Anschluss.

Ich wollte meine Dienste auf meiner Synology von außen freigeben. Unter anderem Paperless und Nextcloud.

Ich habe dabei verschiedene Wege versucht aus Videos von "Raspberry PI Cloud, Apfelsaft usw…

Also habe ich mir einen Server bei Strato geholt und einen VMServer darauf installiert. Ich habe da auch Domains für die Verknüpfung z.B. für die Nextcloud.
Der Wireguard Tunnel hat auch funktioniert mit der UDM-Pro als Client und Zeitweise hat sogar der Reverse Proxy funktioniert (internal Error). Aber ich konnte vom VMServer keine Geräte anpingen. Von meinem Mac aus aber den Server.
Ich habe auch versucht alle nötigen Ports frei zu geben, aber nach drei Tagen installieren und neu installieren, alles löschen und nochmal neu habe ich keinen Plan mehr.
Dann bin ich hier auf das Forum gestoßen und hoffe nun, dass hier vielleicht jemand ist der im besten Fall die gleiche Konfiguration hat wie ich, oder mir zumindest sagen kann was ich falsch gemacht habe.

Bin dankbar für jede Hilfe! Kann auch gerne einfacher gehen… Ich hab ja soo viel gelernt über SSH und Codes die Tage :man_facepalming:
Bin wohl da etwas zu naiv dran gegangen.

Danke fürs lesen :pray:

zu viel Hürden weil zu viel Technik?

die gaanz einfache Lösung: Vofafone kündigen und Vertrag abschließen für Glasfaser oder DSL bei einem Anbieter ohne DS-Lite oder CG-NAT, als z.B. o2 oder Deutsche Telekom.

Ansonsten: dein Problem wurde hier schon in einigen Beträgen behandelt. Zuletzt in diesem: CG Nat und Wireguard - Routing

Dort führte der Weg zum Erfolg auch über einen V-Server mit Wireguard und eine Debian-VM (kann auch ein Raspberry Pi sein) im LAN, der aus dem LAN die Verbindung zum VPN-Server via Wireguard aufbaut.

Ja den Artikel habe ich schon gelesen. Wie gesagt war ja nicht der Wireguard Tunnel oder das reverse Proxy direkt. Vielmehr die Konfiguration der UDM-Pro und das der Reverse Proxy nicht zu dem Gerät weiterleiten konnte.
Der Tunnel auf der UDM-Pro war Grün und es wurden auch Datenpakete durchgegeben. Nur nicht weiter.

Mir ist unklar was du eigentlich genau erreichen willst!

  1. um per Wireguard deine Nextcloud zu erreichen benötigst du keinen Reverse Proxy.
  2. wenn du einen Debian-Server als Wireguard-Server hinter die UDM-Pro ins LAN stellst und den Debian-Server die VPN-verbindung zu deinem Wireguard auf Server bei Strato aufbauen lässt, ist die UDM-Pro gar nicht beteiligt. Die Verbindung wird ja von innen (LAN) nach außen (WAN) aufgebaut.
  3. einen Reverse Proxy bräuchtest du um die Nextcloud direkt, ohne Wireguard via Port 443 und über ipv4 erreichbar zu machen. Das sind aber für sich genommen zwei Paar Schuhe.

Du solltest mal definieren, was du eigentlich genau erreichen willst und wie.

OK,

Ich möchte Dienste von Außerhalb meines Netzwerkes Nutzen wie Paperless NGX. Der hat ja den Port 8000 auf der Synology DS. Nun wollte ich mittels einer Domain aus dem Internat darauf zugreifen. Da aber der DS-Lite IPv4 nicht durch lässt, wollte ich dann mittels VM Wireguard und Reverse Proxy das umgehen.

Hier die Anleitung die ich benutzt habe:
DS-Lite Portfreigaben erstellen inkl. ReverseProxy und VPN-Server

Hat alles Funktioniert. nur das der Reverse Proxy am ende auf den VM-Server umgeleitet hat und nicht durch den Tunnel auf die Synology. Meine Vermutung war dann das ich noch was in der UDM-Einstellen muss. Also Firewall, Portforewarding, NAT usw.
Aber all das führte nicht dazu das ich eine Verbindung bekam.

Also: „Domain.“ direkt an „VMServer IP mit A-Record“ weitergeleitet - mit Reverse Proxy abgefangen und an lokales Netzwerk durch „Wireguard Tunnel“ so wie in dem Video beschrieben.

Ich möchte Dienste von Außerhalb meines Netzwerkes Nutzen wie Paperless NGX. Der hat ja den Port 8000

Wo genau ist also das Problem? Meine erst mal ist es doch egal ob du einen Anbieter hast der es dir neben DS-Lite (was ja mittlerweile die meisten machen) auch noch Dual Stack anbietet.

Wenn Du mir mal unter : IPv64.net • DynDNS2 HowTo & Tutorial - IPv4 & IPv6 schaust und dir vorher eine Domain anlegst sollte das kein Problem sein. Wählst dort oben die zuerst angelegte DynDNS Domain und dann brauchst du unter der Anleitung für die Fritte nur noch die Daten Paste und Copy in die Fritte eintragen.

Wenn Du dann noch CDN mit reverse Proxy anlegst und dort den Port 8000 im Backend einträgst, kannst du direkt auf Paperless zugreifen. (Hat Paperless nicht normalerweise port 8777? Egal sollte auf jeden Fall so funktionieren egal ob du eine externe v4 oder v6 IP hast.

Ach ja und nicht vergessen dann natürlich die Ports we 8000, 5000, 5001 etc. weiter zu leiten in der Fritte.

Ich für meinen Teil würde das ohne Port machen dann bin ich Flexibler. Dann kann ich das DMS genauso erreichen über den DynDNS wie das Paperless.

Aber die UDM managed alles. die Fritz!Box leitet nur weiter. darauf läuft eigentlich nur das Telefon und halt das Modem wenn man so will. Und ja ich weiß das ist nicht optimal aber ist aktuell halt so :wink:

Was für einen Anschluss hast du denn? DSL? Glasfaser?
Und mal blöd gefragt, warum schaffst du dir nicht eine eigene Fritte an anstatt die Hardware zu nehmen von Vodafone die ja offensichtlich (wenn ich das richtig verstanden habe) zwischen Router und Anschluss steckt? (freie routerwahl auch wenn Vodafone und Co das nicht gern hören aber die müssen dir dann auch die Zugangsdaten geben um dich direkt mit dem Internet ohne deren HW zu verbinden)
Bei mir war das so (ich nutze Glasfaser) das die mir einen ONT andrehen wollten. Habe mir kurzerhand eine FB 5590 fiber gekauft und gut war die Sache. Kontrolliere nun alles ab der Dose. Apropos Vodafone, hatte vorher Vodafone Kabel Internet, nach einem Anruf bei denen und Erläuterung das ich Beruflich wegen VPN auf IPV4 angewiesen bin haben die mir gleich (da ich Mbit Anschluss hatte) ohne Murren das umgestellt auf dual stack.

Ach ja und obendrein (denke die geben dieses komische dreammachine nicht kostenlos ab) sparst du dann auch noch die monatlichen kosten für die Vodafone HW. Waren bei mir immerhin 60€ / Jahr.

Die Fritte ist ne eigene 6660 Cable. Also Kabel Internet und die Dreammachine ist auch meine. Ja ich könnte versuchen das die mir den Anschluss umstellen.

Solltest du tun und wenn du schon dabei bist gleich mal (Stichwort VPN von der Arbeit im Homeoffice) versuchen ob die dir dann das ganze auch auf dual stack umstellen. Könnte mir gut vorstellen, da die derzeit viele Kunden aufgrund Wegfall Nebenkostenprivileg verloren haben das die sich drauf einlassen bevor sie noch einen Kunden verlieren. Hatte im übrigen auch eine 6660 Cabel und bei mir ging das auch ohne Vodafone HW. Wenn ich mich recht entsinne brauchten die nur die S/N oder so was zum freischalten.

Wenn du es hinbekommst, dass die dir eine IPv4-Adresse geben, dann würd ich die 6660 Cable aber durch ein KabelModem (DOCSIS 3.1) ersetzen. Mit Fritte und dahinter Dreammachine wirst du immer doppeltes NAT haben bei IPv4 und alle Regeln sowohl in der Fritte wie auch in der Dreammachine pflegen müssen.
Mit IPv6 ist NAT überflüssig geworden, aber wenn du nun wieder IPv4 haben willst, dann kommt das zurück.

@The_eagle Ich denke auch, das das eigentliche Problem die Alptraummaschine von Vodafone ist. Daher auch meine Empfehlung vorher die Fritte (und im übrigen die Fritte kann DOCSIS 3.1) direkt an die Dose zu klemmen und nicht hinter die Vodafone Hardware. Bringt sonst mehr Kopfschmerzen als alles andere.

Also die Fritte ist das Modem. Da hängt Nix vor. Und die UDM-Pro kann seit kurzem das doppelte Nat ausschalten einfach gesagt.

Eigentlich wollte ich nur meine Dienste wie Paperless und Nextcloud von außen erreichbar machen.
Mein Homeassistant läuft aktuell über cloudflare, aber ich würde das schon gerne alles in eigener Hand behalten wenn möglich. Sowie auch zukünftig einen Rustserver der Teamviewer ersetzen soll.

Nun sofern das was auch immer Teil von Vodafone nur als Switch oder Hub arbeitet ist ja alles im grünen Bereich dann sollte es ja wie schon auf der Seite von ipv64.net beschrieben funktionieren. Sofern die Ports entsprechend via CGNAT freigegeben sind. (da die Fritte ja nicht über ipv4 erreichbar ist.

Updater in die Fritte eingetragen und dann entsprechend der Domain ein CDN angelegt.

Aus eigener Erfahrung kann ich nur sagen, das ich mit der gleichen Fritte, keine Probleme hatte entsprechende Geräte / Anwendungen von Außen zu erreichen.

Jedoch was ich nicht hatte war so eine Dreammachine. Aus der Nummer muss ich mich dann leider ausklinken. Eventuell hat ja noch jemand hier so ein Teil und weiß wie man das genau einstellen muss (weil meine Vermutung ist, dass dieses Dingsbums da irgendwie doch zwischen funkt trotz ausgeschaltetem NAT) damit es wie von Dir gewünscht funktioniert.

Ich habe jetzt eine Dyndns von ipv64 in meine Fritz!Box eingetragen. Die UDM ist als Exposed Host angelegt somit sollten ja alle anfrage weitergeleitet werden.

Jetzt kurz für Leute mit Brett vorm Kopf:

muss ich noch etwas konfigurieren auf ipv64? Portmapper oder Reverse? Und mit welcher Adresse logge ich mich dann ein? mit der Dyndns und dem Port wo ich hin will? Ist Quatsch oder? Irgendwie hakt es da noch im Kopf.

Hier mal die einfachste Lösung für alle Kabel-Vodafone Kunden und die es wegen GBit Internet auch bleiben wollen, weil sonst nichts anderes Verfügbar ist und das ohne wilde Konfiguration.

Schmeißt den Vodafone Miet-Router aus eurem Netzwerk und kauft auch einen eigene Cable-FritzBox ohne Vodafone-Branding. Dann von Vodafone die Zugangsdaten anfordern. Vodafone ist dazu verpflichtet euch die zu geben, wegen dem Gesetz der freien Routerwahl. Und Vodafone ist auch so brav und gibt euch eine Kurzanleitung wie Ihr eure eigene Fritzbox, inkl. VoIP-Telefonie, einrichten müsst. Danach hab Ihr eine dynamische IPv4-Adresse und keinen DSL-Lite-Tunnel mehr. Vodafone kann nicht mehr an eurer Internet-Konfiguration rumpfuschen. Ihr bekommt von AVM die je aktuelle Firmware sobald sie erscheint und nicht eine veränderte, irgendwann mal, wenn Vodafone mal Bock dazu hat. Habe ich jetzt mehrfach bei Kunden gemacht. Löst viele Probleme, wenn einem IPv4 reicht. Zugegeben, IPv6 habe ich nicht hinbekommen, weil so großzügig ist Vodafone dann doch nicht und verrät wie das eingestellt werden muss.

Nun ist es aber offenbar so, dass @Netrobin bereits eine eigene FritzBox hat und daher dann auch im Besitz der Zugangsdaten sein müsste. Dennoch scheint er noch immer DSL-Lite zu haben.

Hab ich dann irgendwo auch gelesen.
Vielleicht hilft das ja:

Hat bei uns wunderbar Funktioniert.

Es ist ja nicht das Problem, dass die Box nicht geht, so wie ich es verstanden habe?

Ja es geht darum das ich das nicht hinbekomme, dass ich auf meine Dienste die ich auf meiner Synology laufen habe, von außen zugreifen kann. Ich hab ja einen DS-Lite Anschluss und wollte das mit einem Server wie oben beschrieben lösen. Nur irgendwie funzt Nix. Was ich auch mache. Ich hab jetzt sogar versucht das über ipv64 zu lösen mit Ports usw. Aber vielleicht raff ich das einfach nicht. Vielleicht brauch ich da professionelle Hilfe. Mir bringt das Nix wen jemand was schreibt das er, aber ich nicht verstehe.

Hier nochmal meine Konfiguration:

FRITZ!Box normal eingerichtet an einem DS-Lite Kabelinternetanschluss von Vodafone,
Dahinter läuft eine UDM-Pro die per Exposed Host an der FRITZ!Box hängt und alles dahinter managed.
Und ja, ich weiß das geht auch anders, aber ich habe Sky Kabel und die blöden Boxen laufen ums verrecken nicht wenn ich die an die UDM hänge. :man_shrugging: