Fritzbox VPN achter CGNat

liegebeestig · 16 jan 2020, 20:09

Het begint steeds meer voor te komen: je krijgt niet zomaar een publiek IPv4 meer, maar komt steeds vaker achter een CGNat terecht... Dat lijkt in mijn geval vooral een probleem als ik VPN gebruik op de smartphone om op mijn Fritzbox / netwerk terecht te komen. Fritz heeft een IPsec VPN server als ik me niet vergis.

Hoe kan ik de VPN-server van de Fritzbox blijven gebruiken achter een niet-publiek IP? Kan ik de truc met de reverse proxy toepassen? En is er iemand die dat simpel kan uitleggen?

Sinna · 16 jan 2020, 20:17

Voor zover ik reverse proxy begrijp betekent dit dat je ergens een (kleine) VPS hebt (en dus vast IP-adres) waarbij je Fritz!Box verbindt met de VPS zodat je een kanaal open hebt liggen. Via de VPS kan je dan terug communiceren met je Fritz!Box.

liegebeestig · 16 jan 2020, 20:33

Sinna, dank je, zoiets had ik ook begrepen. Er is zelfs een handleiding te vinden van (volgens mij) een Userbaser:
https://community.base.be/t5/Technologi ... /td-p/5861

Maar helaas ben ik hem kwijt bij de linux server... En dan nog: werkt de VPN-server van Fritzbox dan nog?

Edit: ik heb vermoedelijk iets nodig bij OVH, een virtual server. En op die OVH server kun je dan poorten openzetten zodat externe toestellen daarop kunnen verbinden. Van achter je CGNat kun je dan zelf een verbinding opzetten naar de virtuele server bij bv OVH. OK, zo ver ben ik mee, maar de uitvoering... En of VPN dan nog werkt?

Sinna · 16 jan 2020, 20:53

Zoek eens naar "openvpn via ssh tunnel". Wellicht geraak je dan verder.
Je zal inderdaad een VPS (Virtual Private Server) van doen hebben, maar niemand verplicht je die bij OVH te nemen.

liegebeestig · 16 jan 2020, 21:05

Het gaat mijn petje te boven helaas. VPN zal op termijn, als ik ooit achter een CGNat terechtkom, dus niet meer werken. Vermits ik het op Fritzbox enkel gebruik om mijn IP-telefonie van op afstand te gebruiken, kan ik de Fritzbox voortaan een IP-toestel vrij laten geven op het internet... alhoewel, ook daar heb je wellicht een open poort voor nodig...

Sinna · 16 jan 2020, 22:03

Het is op zich niet zo moeilijk, maar 't is voor mij ook al te lang geleden.
En om louter daarvoor een VPS in de lucht te houden, dat lijkt mij duur op.

CCatalyst · 17 jan 2020, 01:12

IPSec werkt via NAT-T over CGNAT, maar om de VPN verbinding te initieren moet de client natuurlijk wel eerst op een publiek IP terecht kunnen, al dan niet met port forwarding.

De oplossing is idd een VPS met publiek IP die permanent verbonden is met je router/firewall thuis en waarop jij ook extern kan connecteren. Dan kan je aan je thuisnetwerk met de VPS als tussenstap.

De kost van de VPS (wat m.i. nu ook niet zoveel is, $50-$60 per jaar) kan je mee verantwoorden door daar bepaalde diensten van je netwerk in te draaien eventueel? Want die VPS maakt via VPN deel uit van je netwerk.

Een andere oplossing, zonder VPS, is IPv6. Daarop doet men geen CGNAT wegens onnodig.

liegebeestig · 17 jan 2020, 10:34

Aha dan is ipv6 wellicht de juiste oplossing. Dan moet ik aan @philippe_d eens vragen hoe je op fritzbox met ipv6 een vpn of op telefoon kunt gebruiken.

@philippe_d hoe gebruik ik ipsec vpn ingebouwd in de fritzbox met een publiek ipv6 adres? Zet ik dan ergens ipv4 uit?

Antwoord blijkbaar negatief toch zeker voor mobiel naar vpn Fritz. Vooral dan omdat mobiel meestal geen ipv6 heeft.
https://avm.de/service/fritzbox/fritzbo ... g-moglich/

18 jan 2020, 14:41

VPN server
Als jouw Fritz!Box geen publiek IPv4 adres heeft, dan is de Fritz!Box VPN server van buitenaf niet bereikbaar. De Fritz!Box VPN werkt niet met IPv6. Er zijn wellicht wel work-arounds mogelijk, maar daar heb ik geen ervaring mee...

Wat de SIP server betreft, heb ik geen idee.
Als je een IP telefoon bereikbaar maakt vanuit internet, dan zou het misschien wel kunnen werken, op voorwaarde dat jouw softphone (via WiFi of via 4G) IPv6 heeft?

Wat betreft CGNAT
De meeste Belgische ISP's passen (nog) geen CGNAT toe op vaste internetverbindingen.
Proximus doet dit wel, maar dat kan je als klant via "Mijn Proximus" uitzetten.

In de toekomst zal "PCP" wellicht de oplossing moeten geven voor het openen van poorten op de firewall van de ISP.
De Fritz!Box ondersteunt dit in ieder geval nu al.

liegebeestig · 18 jan 2020, 23:15

Bedankt voor de heldere uitleg. Die PCP gaat technisch ook nog mijn petje te boven. Kun je eventueel een duidelijke uitleg in jouw stijl eens posten? En hoe werkt dat nu al mrt bv een provider als tadaam ofzo met daarachter de Fritz.

Eigenlijk zijn de sip telefoons mijn enige echte use case voor vpn of poorten openen. De rest hoeft strikt gezien niet bereikbaar te zijn of doet het zelf via eigen cloud dienst type synology.

Edit. Uitleg pcp gebonden in topic Fastic. Dus helaas nog geen ISP in België.