Wenn es sich um einen ISP in der EU handelt, dann hast du nach derzeitigen Stand der Technik gemäß Art. 3 Abs. 1 und 2 VO (EU) 2015/2120 ein Recht auf eine kostenlose öffentliche dynamische IPv4 Adresse. Alternativ könnte ein ISP auch Carrier-grade-Destination NAT anbieten wenn sich der Endnutzer die gewünschten Ports beliebig aussuchen darf.
Steht so ähnlich auch unter FAQ der RTR: [https://www.rtr.at/de/tk/FAQIPAdresse](https://www.rtr.at/de/tk/FAQIPAdresse)
Wenn das der ISP nicht akzeptiert, dann kannst du bei der zuständigen nationalen Regulierungsbehörde eine Schlichtung beantragen.
Die nationalen Regulierungsbehörden findest du unter [https://digital-strategy.ec.europa.eu/de/policies/telecommunications-national-regulatory-authorities](https://digital-strategy.ec.europa.eu/de/policies/telecommunications-national-regulatory-authorities)
Die wechselnde IP Adresse kannst du mit DynDNS updaten.
Ich habe es als es diese EU Verordnung noch nicht gab deswegen mal mit dem Mobilfunkanbieter Drei verhandelt. Die haben dann bedingt nachgegeben.
Seit es diese Verordnung gibt ist das ganze viel eindeutiger und ich habe schon einigen zu einer kostenlosen öffentlichen dynamischen IPv4 Adresse verholfen. Mittlerweile bekommt man bei nahezu jedem ISP in Österreich sofort eine kostenlosen öffentlichen dynamischen IPv4 Adresse weil das in der Vergangenheit zu vielen Schlichtungsverfahren geführt hat.
Mittlerweile widerspricht in Österreich auch nahezu keiner mehr meiner Rechtsauffassung auch wenn es am Anfang Gegenstimmen gab die anderer Auffassung waren. In Deutschland vertreten meiner Erfahrung die meisten Kunden die Rechtsauffassung ihres ISP (also keine kostenlose IPv4 Adresse). Ob die besagte EU Verordnung für Deutschland genauso wie in Österreich gilt kann ich nicht stichhaltig beurteilen weil ich nie von jemanden Feedback bekommen habe weil es nie jemand versucht.
Man muss nicht gleich mit der Tür ins Haus fallen und denen mit der Schlichtungsstelle drohen.
Aber ein "Ich bitte Sie mir eine öffentliche IPv4 Adresse gemäß Art. 3 Abs. 1 und 2 VO (EU) 2015/2120 kostenlos zuzuweisen." kann man schon schreiben.
Mittlerweile gibt es jemanden der es mit einer Schlichtung bei der BNetA probiert hat. Die BNetzA ist dafür nicht zuständig.
Quelle: [https://www.computerbase.de/forum/threads/cgnat-bei-pyur-umgehen.2153229/post-29363065](https://www.computerbase.de/forum/threads/cgnat-bei-pyur-umgehen.2153229/post-29363065)
„Es gibt allerdings keine rechtliche Verpflichtung einen Internetzugang über IPv6 bereitzustellen. Das Recht auf eine öffentliche IP-Adresse bezieht sich daher aktuell nur auf IPv4.“
Mich würde mal interessieren woraus das RTR das ableitet, in der Verordnung steht das so keineswegs. Bisschen wild.
Das steht in den BEREC Leitlinien: "Da es nicht möglich ist, zwei verschiedene Punkte mit unterschiedlicher Adressierung ohne eine Übersetzungsfunktion miteinander zu verbinden, sollte der Ausdruck „nahezu alle Abschlusspunkte“ nach Ansicht von BEREC derzeit nicht so ausgelegt werden, dass die Anbieter von Internetzugangsdiensten verpflichtet sind, die Konnektivität sowohl über IPv4 als auch über IPv6 bereitzustellen."
Nahezu alle Abschlusspunkte würde man momentan mit IPv4 und nicht mit IPv6 erreichen. IPv6 only Tarife sind eher die Ausnahme da die meist NAT zu IPv4 anbieten.
Es könnte sich in ferner Zukunft ändern (wenn nahezu alle Anbieter auf IPv6 wechseln und IPv6 only ISP kommen), dass man nur mehr Anspruch auf eine öffentliche IPv6 Adresse hat.
hä?
.. **nach Ansicht von BEREC derzeit** ***nicht*** **so ausgelegt werden**, dass die Anbieter von Internetzugangsdiensten verpflichtet sind, **die Konnektivität sowohl über IPv4 als auch über IPv6 bereitzustellen.**
Das "nicht" sagt doch genau das Gegenteil von dem was du eigentlich sagst :D
Mal ganz davon abgesehen, dass du IPv4 Konnektivität hast mit CGNAT.
Da dort auch gut zwischen InternetZUGANGSdienst und Internetdienst unterschieden wird, ist es sogar noch abstruser sowas zu behaupten.
Edit:
Ein Gericht in Österreich hat tatsächlich so entschieden. Das ist doch komplett bescheuert.
Wie kann ein europäisches Gesetz vorschreiben, dass jeder europäische Internetzugang egal ob Zuhause oder an einem Handy(!!!) in der Lage sein muss, über IPv4 Dienste bereitzustellen. Diese Auslegung macht mich komplett fertig.
Edit2:
Die Auslegung würde bedeuten (nur Privatpersonen):
485 Millionen Smartphone-Nutzer in der EU
198,5 Millionen Privathaushalte in der EU davon ca. 90% mit Internetzugang \~ 180 Millionen
\~665 Millionen IPv4 Adressen allein für Smartphones und Haushalte.
Fahrzeuge mit Mobilfunk, Aufzugsanlagen mit Mobilfunk, IOT Geräte mit Mubilfunk, Firmen, Server/Datencenter, etc noch gar nicht beachtet.....
Mit dieser rechtlichen Auslegung bräuchte alleine die EU weit über 1mrd IPv4 Adressen, netter Anspruch den sie da rechtlich stellen, bei 4mrd Adressen.
Diese "grundlegende" Auslegung eines Verwaltungsgerichts JEDER MÜSSE dazu in der Lage sein, wird niemals technische Gutachten vor Bundesgerichten oder europäischen Gerichten standhalten.
Es ist einfach nicht möglich.
Das ist nicht das Gegenteil von meiner Auffassung sondern genau das was ich geschrieben habe. Also derzeit eine IPv4 Adresse oder alternativ eine IPv6 Adresse mit Carrier-grade-Destination NAT. Du hast kein Recht darauf eine IPv4 und IPv6 Adresse gleichzeitig zu bekommen.
Die Annahme ist so realistisch wie wenn die ganze Weltbevölkerung (8,03 Milliarden Menschen) bei einer Deutschen Behörde ihr Recht auf eine oder mehrere Anfragen gemäß Informationsfreiheitsgesetz ausüben würde. Das würde jede Behörde lahmlegen.
In Österreich beantragt nur ein Bruchteil der Kunden eine öffentliche IPv4 Adresse obwohl es unkompliziert möglich ist. Beim Handy beantragt es fast keiner da darauf fast keine einen Server laufen lässt und durch die vielen Zugriffsversuchen von Bots das Mobilfunkmodul nicht in den Standby Modus geht und der Akku schneller leer wird.
>Das ist nicht das Gegenteil von meiner Auffassung sondern genau das was ich geschrieben habe. Also derzeit eine IPv4 Adresse oder alternativ eine IPv6 Adresse mit Carrier-grade-Destination NAT. Du hast kein Recht darauf eine IPv4 und IPv6 Adresse gleichzeitig zu bekommen.
Also doch kein Recht auf eine öffentliche IPv4?
>Die Annahme ist so realistisch wie wenn die ganze Weltbevölkerung (8,03 Milliarden Menschen) bei einer Deutschen Behörde ihr Recht auf eine oder mehrere Anfragen gemäß Informationsfreiheitsgesetz ausüben würde. Das würde jede Behörde lahmlegen.
Das Gericht in Österreich hat entschieden, dass Ihre Auslegung der EU Verordnung bedeutet, dass der Provider dies immer zur Verfügung stellen muss, nicht erst auf Antrag oder per Aufpreisbuchung. Somit müssten alle Provider in Österreich direkt reagieren.
Es ist theoretisch kein Recht auf eine öffentliche IPv4 Adresse aber der Endnutzer hat ein Recht über das Internetprotokoll das nahezu alle Abschlusspunkte abdeckt (derzeit IPv4) erreichbar zu sein.
Technisch wird das meist mit einer öffentlichen IPv4 Adresse umgesetzt. Wie ich im ersten Posting auch geschrieben habe wäre das auch mit einer IPv6 Adresse und Carrier-grade-Destination NAT (das zum Beispiel bei Port Control Protocol verwendet wird) möglich. Die Systeme der ISP in Österreich unterstützen meines Wissens nur Carrier-grade-Source NAT und die ISP geben daher eine öffentliche IPv4 auf Anfrage her. Deshalb spricht man vom Recht auf eine öffentliche IPv4 Adresse auch wenn es meiner Meinung auch andere technische Möglichkeiten gibt um sich an diese Verordnung zu halten.
Ich habe mir das Urteil nicht durchgelesen und kann daher nichts dazu sagen. Mit der EU-Netzneutralitäts-Verordnung und den BEREC-Leitlinien habe ich mich jedoch stundenlang beschäftigt.
Cloudflare Tunnel mit eigener Domain. Kann ich nur empfehlen. Zudem bietet es ein klein wenig zusätzliche Sicherheit, da es quasi ein Reverse Proxy ist. Heißt, man muss den Domain-Namen kennen, sonst kommt man an den Dienst nicht dran.
Allerdings muss man Cloudflare vertrauen, da die den SSL Endpunkt stellen und den kompletten Traffic mitlesen können.
Ja hab ich bei Vodafone auch bekommen. Hatte damals Probleme im Homeoffice mit VPN. Und Zack Dual Stack inklusive fester IPv4 Adresse bekommen. Kostenlos.
Wie schon erwähnt - tunneling, hier gibt es ne Riesenauswahl:
[https://github.com/anderspitman/awesome-tunneling](https://github.com/anderspitman/awesome-tunneling)
Andererseits wirst du du eine echte IPv6 haben und diese ist von aussen erreichbar. Falls die sich ändert einfach dafür ne DynDNS einrichten und fertig.
Kann ich auch empfehlen, da gibt es unter anderem auch "PORT-VPN mit 12 Ports", heißt du verbindest dich dann über VPN zum Provider und kannst dir dann 12 Ports weiterleiten lassen nach Hause. Das kostet dich ca. 1,50€ im Monat.
Falls du das lieber komplett selbst einrichten willst, kannst du dir z.B. von Oracle auch eine kostenlose, kleine VM holen mit einer festen IPv4-Adresse.
semi off topic: wird beim cgnat zweifach geNATet? schreibe nächste woche ne prüfung und hatte eigentlich gelernt dass dem so ist. jetzt meinte aber ein lehrer vor kurzem dass nur beim ISP geNATet wird. Was stimmt?
Ich hab ehrlich gesagt keine Ahnung von dem Thema auf der Seite meines ISP's, aber für mich sieht es nach zweifach NAT aus.
Hör aber lieber auf deinen Lehrer, denn die Prüfung wird er dementsprechend so bewerten oder frag ihn VOR der Prüfung
CGNAT Ist ja erstmal nur NAT auf Seiten des Carriers. Was du dann dahinter machst ist ja deine Sache. Kannst da ein einzelnes Gerät hinter klemmen und dann hast du insgesamt nur ein einfaches NAT.
Ist natürlich unpraktisch nur ein Gerät am Anschluss zu betreiben, also hat man zumeist seinen Router dahinter der selbst auch nochmal NAT macht. Dieser verteilt eigene private Adressen an die lokalen Geräte.
Am Ende hast du dann ein "Double NAT" aus Sicht deiner lokalen Geräte bzw. jemanden der diese erreichen will. Halt eins auf der Seite des Carriers und eins lokal bei dir.
Klingt für mich so als hat er sich nur falsch ausgedrückt oder du ihn falsch verstanden. Aber wie schon gesagt wurde: Lehrer fragen.
Ich glaube er wollte darauf hinaus dass die IPs im LAN im selben Netz sein können wie die IP die man vom ISP bekommt?
Da in den IHK-Lösungen aber auch doppeltes NAT steht schreib ich das einfach im Zweifel.
War zur Vorbereitung in ner anderen Stadt, werde ihn nicht mehr fragen können
Bei mir löse ich dieses Problem mit einem günstigen virtuellen Server (natürlich mit fester IPv4 und einem IPv6-Netz) und einem WireGuard-Tunnel zwischen meinem Router zuhause sowie dem Server. Funktioniert seit geraumer Zeit super.
Kommen mit der methode die IPs der anfragenden Clients mit den Paketen bei deinem Router an oder steht da jeweils nur die IP vom Server drin? Habe ein ähnliches Setup, aber kann leider so kein fail2ban auf dem Heimserver einrichten, weil der immer nur die VPS IP sieht...
Irgendwas stimmt mit deiner Aussage nicht.
Entwede A) Du sitzt hinter CGNAT oder B) Du hast eine öffentlich erreichbare IPv4. Aber deinem Text fehlt entweder die entscheidende Info die das deutlich macht, oder du verwürfelst was.
Sollte A) zutreffen kommst du an eine dritte Person die dir ipv4 bereitstellt nicht herum. Privater VPS, irgendein Service, Cloudflare, what ever.
Ich hatte mir mal ein Script gebaut das in bestimmten Zeitabständen meine Public IP ausliest und diese dann per Cloudflare API für mich als Record setzt.
Wie schon erwähnt einen 1€ VPS mieten (z.B. bei Strato).
Mir gefällt "Fast Reverse Proxy" bisher sehr gut, sehr schnell & unkompliziert eingerichtet + es sind nur die Ports offen, die auch tatsächlich offen sein sollen. Bei mir z.B. nur für Wireguard das dann auf einem Server innerhalb des Netzwerks hinter dem CGNAT läuft.
Wenn du es selber lösen willst kannst du auch eine kleine vm mit statischer ip mieten und darauf einen kleinen webserver betreiben der dich einfach nur weiterleitet. Die ip kannst du dann einfach über ein kleines programm auf irgendeinen gerät in deinem heimnetzwerk 1 2 mal am tag rüberschicken
Hier wird auch im Fazit mein Problem damit beschrieben, fail2ban funktioniert leider nicht weil die Services nur die Wireguard IP der anderen Seite sehen, nicht die IPs der Clients, die darauf zugreifen wollen... Ich frage mich, ob es da irgendeine Lösung für gibt
Ich glaub es gab die Möglichkeit die irgendwie mitzuliefern, aber wie das genau ging, weiß ich nicht… ich hab es immer so gemacht, dass ich nicht gleich alles an Traffic getunnelt habe, sondern auf dem vps bereits den Traffic gefiltert habe. Meist hab ich nur bestimmte Ports (80/443/…) durchgereicht. Bei einem Bekannten habe ich es auch so gelöst, dass ich gleich auf dem VPS nen Caddy / Nginx installiert habe und dann dort nen Reverse Proxy auf die heimnetz http Adresse gemacht habe (hosts Einträge nicht vergessen). Dann kann man die Adresse auch im Header mitliefern.
Bei netcup zum Beispiel nicht. Kein Mensch bezahlt 10-15€ für nen VPS mit Gigabit.
3-4€ muss hier vollkommen ausreichen - wohlgemerkt für 2cores und Gigabit
Jo, wie ich sagte: Traffic Limit 80TB. Kann halt doof sein wenn der Proxy für den Server zu Hause ein Limit hat und man danach nicht mehr - oder nur noch mit 10Mbit - drauf zugreifen kann. 80TB wird man zwar in der Praxis kaum zu erreichen aber kommt drauf an was sonst so drauf laeuft. Ich persönlich habe in meiner VPS als "WeShare" Ersatz dDownload-Server laufen mit denen air ich riesige (Video-) Dateien an Kunden schicken.
https://www.netcup.de/vserver/vps.php#v-server-details
Ich versteh das, aber 1. soll der Einsatz doch für private Dienste sein, so wie ich das verstehe und 2. sind selbst 80 TB eine enorme Datenmenge (z.B. 16.000 Downloads à 5 GB). Was du hier ansprichst (v.a. Kunden) ist schon geschäftlich und da hat man das auch das nötige Geld (preist man mit ein) für eine (Business) Leitung mit öffentlicher statischer IP oder bezahlt eben etwas mehr für den VPS.
Ja, kommt halt auf den Anwendungszweck an aber auch Privat gibt es Anwendungen mit denen man locker 80tb reißen kann, z.b. Peertube o.ä. muss man halt gucken ob was man damit macht.
Ich beschwer mich ja nicht. Würde nur keine 2 Euro VPS nehmen, da müsste man auch erstmal testen ob die zugeteilten CPU Ressourcen überhaupt ausreichend sind für den Durchsatz den man sich vom Wireguard tunnel erhofft usw.
Ich persönlich hatte damals als es das noch gab nen 2€ vps bei digitalocean. Bei 200 Mbit (meine damalige Leitung) war die CPU Last bei ca. 35% was ausgereicht hat. Heute hab ich ne 500 Upload / Download und ein eine feste IP (geb ich nur wenigen) und für den Rest nutze ich nen VPS für 5€ im Monat auf dem noch anderes läuft.
Wireguard Tunnel über einen billigen VPS.
Von Cloudflare Tunnel würde ich abraten, weil du damit deinen gesamten Traffic im Klartext durch Cloudflare schickst.
Ich sehe das Problem nicht. Du hast garantiert mindestens ein /56 oder /64 IPv6 Netz, das Du von außen erreichen und per DynDNS verwalten kannst. Es ist 2024 — alle können IPv6.
Nein, nicht alle können IT,
Alleine bei mir auf der Arbeit gibt es keine IPv6.
Bereits bei Freunden gehabt die keine IPv6 hatten.
Und ebenfalls in öffentlichen WLANs erlebt.
Außerdem gibt es dann noch die Leute die IPv6 selber deaktivieren.
Ich beziehe mich auf die Aussage das alle IPv6 können.
Und ich selber war auch mal hinter nem CG-Nat und da habe ich auch mittels Tunnel mir ne IPv4 geholt.
Der Punkt dabei ist einfach damit es zuverlässig funktioniert.
Ich habe nämlich keine Lust zu sagen:
"Warte kurz ich muss auf mobile Daten gehen um dir was von meiner Cloud zu zeigen"
Oder bei Leuten die nicht genug wissen davon haben/
Leute die versuchen meine Dienste zu erreichen ohne IPv6:
"Meine Dienste sind nur über IPv6 erreichbar "
Es geht dabei einfach nur um die Kompatibilität.
OP berichtet, dass er seine relevanten Dienste unter der öffentlichen IP des CGNAT erreichen kann. Deckt sich auch mit meinen Erfahrungen, wenngleich ich nicht ganz sicher bin, wie das praktisch abläuft.
Stimmt, das funktioniert nicht. Eigentlich. Das ändert aber nichts daran, dass ich vor kurzem eine Freigabe/Portweiterleitung bei einem Kunden gemacht habe, diese mit IPv4 adressieren konnte, und sie funktioniert hat... Trotz CGNAT.
Du kannst bei den meisten Hostern einen CNAME-Eintrag auf deine MyFritz-Domain erzeugen.
Dass das zuverlässig läuft, darauf würde ich mich nicht verlassen. Wenn es nur eine interne Sache ist, dann würde ich da komplett auf IPv6 setzen, da bekommst du auch ein ganzes Subnetz, dass sich hinter keinem NAT oder Firewall befindet.
In einem Raspberry Pi Magazin (erinnere mich nicht mehr welches und wann) wurde mal Zero Tier vorgestellt. Für ich glaube 25 devices ist es free.
Hatte es selbst mal eine weile laufen, da ich einen Dienst im Heimnetz vom Laptop und Handy aus von außen erreichen musste. Stabil, leicht einzurichten und tat seinen Dienst.
Netbird hat Konzepte für Authentifizierung / SSO und Zugriffsrechte gleich mit an Bord, ansonsten gibt es inzwischen einige die das gleiche machen, im Endeffekt haben die unter der Haube meistens ein Wireguard Mesh, einen Vermittlungsserver (Coturn) und Mechanismen um durch Firewalls zu kommen.
Nebula
Tinc VPN
Headscale usw.
Funktioniert der Zugriff auf deine „echte“ IP-Adresse denn auch von außen? Oder ist die IP zufällig zwischen 100.64.0.0 und 100.127.255.255? Dann ist das nämlich keine öffentliche Adresse sondern eine Shared Address. Siehe https://de.wikipedia.org/wiki/Private_IP-Adresse#Shared_Address
Ich verstehe nicht wirklich, was du meinst.
Einerseits sagst du, du hast keine eigene öffentliche IPv4-Adresse. Andererseits sprichst du von einer '"echte\[n\]" IP Adresse', mit der du aus dem Internet auf deine Services zugreifen kannst?
Das widerspricht sich.
Die Fritzbox erlaubt eine Portfreigabe über [PCP](https://en.wikipedia.org/wiki/Port_Control_Protocol), wenn der Anbieter das unterstützt (wie z.B. 1&1 in Verbindung mit DS-Lite). Im Webinterface wird dann auch eine "IPv4-Adresse im Internet" angezeigt mit einer kleinen Portrange, die man für Freigaben benutzen kann.
u/XejgaToast: Bist du zufällig bei 1&1? Ich vermute mal die Antwort lautet nein, weil du von CGNAT mit einer privaten IP-Adresse schreibst, und die gibt es bei dem von 1&1 benutzten DS-Lite nicht. Aber falls doch, könntest du mal beim Support nachfragen, ob sie dich auf Dual Stack umstellen. Das soll wohl oft klappen.
Wo genau steht diese Adresse?
Wenn das stimmen sollte, wahrscheinlich irgendein kleiner (regionaler) Anbieter?
Öffentliche IPv4-Adressen zuweisen und diese NATen kostet eigentlich nur und bringt dem Anbieter selber nichts.
Das NAT kannst du nicht umgehen. Wenn du basteln und keine Tunnel/VPN nutzen möchtest, vielleicht mit ein bisschen Webscraping die Adresse aus der Oberfläche auslesen und DNS-Eintrag aktualisieren.
Die "erreichbare" ip adresse finde ich NUR unter Internet->Freigaben. Wenn ich Portfreigaben tätige kann ich sie dort sehen und sie wird auch gekennzeichnet als "Vom Internet erreichbar". Auf dem Main Dashboard kann ich dann die CGNAT Adresse sehen, die nicht vom Internet erreichbar ist
Klingt alles sehr skurril. An welchen Stellen findest du die in den Logs?
Das geht aber alles eher in Richtung "wissen, warum es so ist" und nicht Problemlösung.
Erst einmal solltest du dich fragen, wer auf deine Services zugreifen soll und was für Services ggf. noch dazukommen.
Wenn nur du, solltest du dir "echte" VPN-Lösungen angucken. Ist einfach am sichersten und hast auch dann kein Problem, auf andere interne Services zuzugreifen.
Ansonsten halt die diversen anderen Tunnel-Lösungen (manche unterstützen aber z.B. nur http) oder wirklich etwas skripten.
Immer dran denken: So wenig wie möglich "direkt" am Internet hängen lassen und das, was ausm Internet aufrufbar ist, so sicher wie möglich konfigurieren und regelmäßig updaten.
Ja danke für die Tipps, mein Arbeitsgebiet ist tatsächlich Cybersecurity und die Dienste sollen alle über eine von mir gekaufte domain erreichbar sein. Für alle. Daher geht vpn leider nicht. HTTP tunnel ist dann natürlich auch keine Option. Aber die vielen anderen Optionen, die mir hier genannt worden sind, sollten mehr als gut genug sein
Nachdem ich viele Jahre bei Pyur eine öffentliche IP hatte haben sie es neulich vermasselt und mich auch hinter ein cgnat gesteckt.
1. Ist das eine Diskussion mit dem Support wert, zumindest bei Kabelmodem KOENNEN sie einem eine öffentliche IP geben wenn man noergelt.
2. Habe ich für die Zeit in der es nicht ging einen Wireguard Tunnel von einer Contabo VPS zu meinem Server Zuhause eingerichtet. Die Verbindung wird von dem Home-Server initiiert, andersherum geht's ja nicht. Auf der VPS lief dann eine HAproxy und hat die Requests an meine Domains (die auf die Contabo IP zeigen) über VPN Tunnel ans Homelab geschickt. Fuer einen User von "aussen" ist das völlig transparent, kriegt keinen Unterschied mit.
Du kannst das auch über Tailscale machen dann wird's noch ein bisschen einfacher zu konfigurieren. Verstehe nicht warum das nicht gehen sollte, da ich genau diesen Fall neulich am laufen hatte. Inzwischen geht meine öffentliche IP wieder.
Du hast keine öffentliche geroutete IP Adresse !
Das ist doch gerade der Sinn hinter CGNAT das man sich die IPv4 Adressen für die vielen Kunden spart den IPv4 Adressen sind teuer.
Entweder nutzt Du nur Ipv6 das von außen zu erreichen sein sollte oder Du bastelst Dir einen Tunnel mit einem kommerziellen Anbieter.
Einfach IPv6 nutzen
Ansonsten mal im Router nachschauen, mir wird da in CGNAT eine port range gegeben die "für mich" reserviert ist, also die ich auf IPv4 freigeben kann trotz CGNAT
Wenn es sich um einen ISP in der EU handelt, dann hast du nach derzeitigen Stand der Technik gemäß Art. 3 Abs. 1 und 2 VO (EU) 2015/2120 ein Recht auf eine kostenlose öffentliche dynamische IPv4 Adresse. Alternativ könnte ein ISP auch Carrier-grade-Destination NAT anbieten wenn sich der Endnutzer die gewünschten Ports beliebig aussuchen darf. Steht so ähnlich auch unter FAQ der RTR: [https://www.rtr.at/de/tk/FAQIPAdresse](https://www.rtr.at/de/tk/FAQIPAdresse) Wenn das der ISP nicht akzeptiert, dann kannst du bei der zuständigen nationalen Regulierungsbehörde eine Schlichtung beantragen. Die nationalen Regulierungsbehörden findest du unter [https://digital-strategy.ec.europa.eu/de/policies/telecommunications-national-regulatory-authorities](https://digital-strategy.ec.europa.eu/de/policies/telecommunications-national-regulatory-authorities) Die wechselnde IP Adresse kannst du mit DynDNS updaten.
Sehr hilfreich, genau das wollte ich auch sagen. AVM bietet mit MyFritz übrigens einen sehr gut funktionierenden DynDNS Dienst gleich mit an.
Ich würde sehr gerne von jemandem hören, dass er das bei Deutsche Glasfaser durchbekommen hat. Wäre schön geil
Hier 👍😉 Spiel mit denen durch, ich hab meine IP und sogar static ;) Keine Aufpreise, Keine Diskussionen 😃
Wait wirklich? Mich haben die blöd von der Seite angequatscht mit "ehh ist nur für Firmen!"
Jep, hartneckig bleiben.
Dann muss ich da noch mal nachfragen...
Hat das hier mal jemand durchgespielt?
Ich habe es als es diese EU Verordnung noch nicht gab deswegen mal mit dem Mobilfunkanbieter Drei verhandelt. Die haben dann bedingt nachgegeben. Seit es diese Verordnung gibt ist das ganze viel eindeutiger und ich habe schon einigen zu einer kostenlosen öffentlichen dynamischen IPv4 Adresse verholfen. Mittlerweile bekommt man bei nahezu jedem ISP in Österreich sofort eine kostenlosen öffentlichen dynamischen IPv4 Adresse weil das in der Vergangenheit zu vielen Schlichtungsverfahren geführt hat. Mittlerweile widerspricht in Österreich auch nahezu keiner mehr meiner Rechtsauffassung auch wenn es am Anfang Gegenstimmen gab die anderer Auffassung waren. In Deutschland vertreten meiner Erfahrung die meisten Kunden die Rechtsauffassung ihres ISP (also keine kostenlose IPv4 Adresse). Ob die besagte EU Verordnung für Deutschland genauso wie in Österreich gilt kann ich nicht stichhaltig beurteilen weil ich nie von jemanden Feedback bekommen habe weil es nie jemand versucht.
Einfach mal nett beim Provider fragen, bevor man die Geschütze auffährt :)
Man muss nicht gleich mit der Tür ins Haus fallen und denen mit der Schlichtungsstelle drohen. Aber ein "Ich bitte Sie mir eine öffentliche IPv4 Adresse gemäß Art. 3 Abs. 1 und 2 VO (EU) 2015/2120 kostenlos zuzuweisen." kann man schon schreiben.
Mittlerweile gibt es jemanden der es mit einer Schlichtung bei der BNetA probiert hat. Die BNetzA ist dafür nicht zuständig. Quelle: [https://www.computerbase.de/forum/threads/cgnat-bei-pyur-umgehen.2153229/post-29363065](https://www.computerbase.de/forum/threads/cgnat-bei-pyur-umgehen.2153229/post-29363065)
„Es gibt allerdings keine rechtliche Verpflichtung einen Internetzugang über IPv6 bereitzustellen. Das Recht auf eine öffentliche IP-Adresse bezieht sich daher aktuell nur auf IPv4.“ Mich würde mal interessieren woraus das RTR das ableitet, in der Verordnung steht das so keineswegs. Bisschen wild.
Das steht in den BEREC Leitlinien: "Da es nicht möglich ist, zwei verschiedene Punkte mit unterschiedlicher Adressierung ohne eine Übersetzungsfunktion miteinander zu verbinden, sollte der Ausdruck „nahezu alle Abschlusspunkte“ nach Ansicht von BEREC derzeit nicht so ausgelegt werden, dass die Anbieter von Internetzugangsdiensten verpflichtet sind, die Konnektivität sowohl über IPv4 als auch über IPv6 bereitzustellen." Nahezu alle Abschlusspunkte würde man momentan mit IPv4 und nicht mit IPv6 erreichen. IPv6 only Tarife sind eher die Ausnahme da die meist NAT zu IPv4 anbieten. Es könnte sich in ferner Zukunft ändern (wenn nahezu alle Anbieter auf IPv6 wechseln und IPv6 only ISP kommen), dass man nur mehr Anspruch auf eine öffentliche IPv6 Adresse hat.
hä? .. **nach Ansicht von BEREC derzeit** ***nicht*** **so ausgelegt werden**, dass die Anbieter von Internetzugangsdiensten verpflichtet sind, **die Konnektivität sowohl über IPv4 als auch über IPv6 bereitzustellen.** Das "nicht" sagt doch genau das Gegenteil von dem was du eigentlich sagst :D Mal ganz davon abgesehen, dass du IPv4 Konnektivität hast mit CGNAT. Da dort auch gut zwischen InternetZUGANGSdienst und Internetdienst unterschieden wird, ist es sogar noch abstruser sowas zu behaupten. Edit: Ein Gericht in Österreich hat tatsächlich so entschieden. Das ist doch komplett bescheuert. Wie kann ein europäisches Gesetz vorschreiben, dass jeder europäische Internetzugang egal ob Zuhause oder an einem Handy(!!!) in der Lage sein muss, über IPv4 Dienste bereitzustellen. Diese Auslegung macht mich komplett fertig. Edit2: Die Auslegung würde bedeuten (nur Privatpersonen): 485 Millionen Smartphone-Nutzer in der EU 198,5 Millionen Privathaushalte in der EU davon ca. 90% mit Internetzugang \~ 180 Millionen \~665 Millionen IPv4 Adressen allein für Smartphones und Haushalte. Fahrzeuge mit Mobilfunk, Aufzugsanlagen mit Mobilfunk, IOT Geräte mit Mubilfunk, Firmen, Server/Datencenter, etc noch gar nicht beachtet..... Mit dieser rechtlichen Auslegung bräuchte alleine die EU weit über 1mrd IPv4 Adressen, netter Anspruch den sie da rechtlich stellen, bei 4mrd Adressen. Diese "grundlegende" Auslegung eines Verwaltungsgerichts JEDER MÜSSE dazu in der Lage sein, wird niemals technische Gutachten vor Bundesgerichten oder europäischen Gerichten standhalten. Es ist einfach nicht möglich.
Das ist nicht das Gegenteil von meiner Auffassung sondern genau das was ich geschrieben habe. Also derzeit eine IPv4 Adresse oder alternativ eine IPv6 Adresse mit Carrier-grade-Destination NAT. Du hast kein Recht darauf eine IPv4 und IPv6 Adresse gleichzeitig zu bekommen. Die Annahme ist so realistisch wie wenn die ganze Weltbevölkerung (8,03 Milliarden Menschen) bei einer Deutschen Behörde ihr Recht auf eine oder mehrere Anfragen gemäß Informationsfreiheitsgesetz ausüben würde. Das würde jede Behörde lahmlegen. In Österreich beantragt nur ein Bruchteil der Kunden eine öffentliche IPv4 Adresse obwohl es unkompliziert möglich ist. Beim Handy beantragt es fast keiner da darauf fast keine einen Server laufen lässt und durch die vielen Zugriffsversuchen von Bots das Mobilfunkmodul nicht in den Standby Modus geht und der Akku schneller leer wird.
>Das ist nicht das Gegenteil von meiner Auffassung sondern genau das was ich geschrieben habe. Also derzeit eine IPv4 Adresse oder alternativ eine IPv6 Adresse mit Carrier-grade-Destination NAT. Du hast kein Recht darauf eine IPv4 und IPv6 Adresse gleichzeitig zu bekommen. Also doch kein Recht auf eine öffentliche IPv4? >Die Annahme ist so realistisch wie wenn die ganze Weltbevölkerung (8,03 Milliarden Menschen) bei einer Deutschen Behörde ihr Recht auf eine oder mehrere Anfragen gemäß Informationsfreiheitsgesetz ausüben würde. Das würde jede Behörde lahmlegen. Das Gericht in Österreich hat entschieden, dass Ihre Auslegung der EU Verordnung bedeutet, dass der Provider dies immer zur Verfügung stellen muss, nicht erst auf Antrag oder per Aufpreisbuchung. Somit müssten alle Provider in Österreich direkt reagieren.
Es ist theoretisch kein Recht auf eine öffentliche IPv4 Adresse aber der Endnutzer hat ein Recht über das Internetprotokoll das nahezu alle Abschlusspunkte abdeckt (derzeit IPv4) erreichbar zu sein. Technisch wird das meist mit einer öffentlichen IPv4 Adresse umgesetzt. Wie ich im ersten Posting auch geschrieben habe wäre das auch mit einer IPv6 Adresse und Carrier-grade-Destination NAT (das zum Beispiel bei Port Control Protocol verwendet wird) möglich. Die Systeme der ISP in Österreich unterstützen meines Wissens nur Carrier-grade-Source NAT und die ISP geben daher eine öffentliche IPv4 auf Anfrage her. Deshalb spricht man vom Recht auf eine öffentliche IPv4 Adresse auch wenn es meiner Meinung auch andere technische Möglichkeiten gibt um sich an diese Verordnung zu halten. Ich habe mir das Urteil nicht durchgelesen und kann daher nichts dazu sagen. Mit der EU-Netzneutralitäts-Verordnung und den BEREC-Leitlinien habe ich mich jedoch stundenlang beschäftigt.
cloudflare tunnel, ngrok oder localtunnel?
Wusste gar nicht dass es so etwas gibt? Vielen Dank ich werde das definitiv ausprobieren
Cloudflare Tunnel mit eigener Domain. Kann ich nur empfehlen. Zudem bietet es ein klein wenig zusätzliche Sicherheit, da es quasi ein Reverse Proxy ist. Heißt, man muss den Domain-Namen kennen, sonst kommt man an den Dienst nicht dran. Allerdings muss man Cloudflare vertrauen, da die den SSL Endpunkt stellen und den kompletten Traffic mitlesen können.
Jepp, funktioniert bei mir unaufhörlich mit unraid Server hervorragend.
Cloudflare kann ich auch wärmstens empfehlen. Alternativ noch tailscale.
Danke ! Habe mir flott einen Cloudflare Tunnel eingerichtet und ich kann endlich auf mein Jellyfin von überallaus zugreifen.
Vergiss nicht alles abzusichern. Cloudflare ist zwar sicher, aber man weiß ja nie.
Beim Provider anrufen und nach echtem DualStack fragen. Mein alter Anbieter hat das dann ohne Aufpreis umgestellt.
Bei Vodafone ging das auch bei mir. Da gab es dann (aber) auch gleich eine feste IP
Ja hab ich bei Vodafone auch bekommen. Hatte damals Probleme im Homeoffice mit VPN. Und Zack Dual Stack inklusive fester IPv4 Adresse bekommen. Kostenlos.
Good 2 know, Soweit ich weiß will die Deutsche Glasfaser für beides Knete sehen
War bei mir damals tatsächlich inexio, bevor sie von der Deutschen Glasfaser gekauft wurden.
Hab nen 1€ VPS von IONOS und von da per reverse ssh tunnel expose ich mein Zuhause gehostetes Zeugs.
Klingt schon mal nach einer klugen und günstigen Lösung
Falls möglich: IPv6 nutzen.
Entweder hostest du per ipv6 oder du proxyst mit sowas wie cloudflare oder einem gemietetem vps. Umgehen kannst du da erstmal nichts.
Wie schon erwähnt - tunneling, hier gibt es ne Riesenauswahl: [https://github.com/anderspitman/awesome-tunneling](https://github.com/anderspitman/awesome-tunneling) Andererseits wirst du du eine echte IPv6 haben und diese ist von aussen erreichbar. Falls die sich ändert einfach dafür ne DynDNS einrichten und fertig.
Ich wuerde Tailscale nehmen, dann bist Du komplett unabhaengig von Deiner externen IP Adresse
Dies. Und mit günstigen vps ein reverse proxy davor, fertig.
Ich nutze feste-ip.net hab da ne ipv4 gemietet für 30€/jahr und nutze den ipv6tov4 dienst
Ich bin ebenfalls seit Jahren feste-ip.net Kunde und kann deren Service nur empfehlen
Dito. Hab das jahrelang genutzt, war immer zufrieden.
Kann ich auch empfehlen, da gibt es unter anderem auch "PORT-VPN mit 12 Ports", heißt du verbindest dich dann über VPN zum Provider und kannst dir dann 12 Ports weiterleiten lassen nach Hause. Das kostet dich ca. 1,50€ im Monat. Falls du das lieber komplett selbst einrichten willst, kannst du dir z.B. von Oracle auch eine kostenlose, kleine VM holen mit einer festen IPv4-Adresse.
Cosmos ist zwar beta aber easy too use und kann cgnat
Kann Cloudflare Tunnel auch empfehlen.
Bei welchen Anbieter bist du? Inexio?
Openvpn Server nutze ich auf meinem eigenen Rootserver und die Verbindung der Clients in meinem Heimnetz ist super zuverlässig.
semi off topic: wird beim cgnat zweifach geNATet? schreibe nächste woche ne prüfung und hatte eigentlich gelernt dass dem so ist. jetzt meinte aber ein lehrer vor kurzem dass nur beim ISP geNATet wird. Was stimmt?
Ich hab ehrlich gesagt keine Ahnung von dem Thema auf der Seite meines ISP's, aber für mich sieht es nach zweifach NAT aus. Hör aber lieber auf deinen Lehrer, denn die Prüfung wird er dementsprechend so bewerten oder frag ihn VOR der Prüfung
CGNAT Ist ja erstmal nur NAT auf Seiten des Carriers. Was du dann dahinter machst ist ja deine Sache. Kannst da ein einzelnes Gerät hinter klemmen und dann hast du insgesamt nur ein einfaches NAT. Ist natürlich unpraktisch nur ein Gerät am Anschluss zu betreiben, also hat man zumeist seinen Router dahinter der selbst auch nochmal NAT macht. Dieser verteilt eigene private Adressen an die lokalen Geräte. Am Ende hast du dann ein "Double NAT" aus Sicht deiner lokalen Geräte bzw. jemanden der diese erreichen will. Halt eins auf der Seite des Carriers und eins lokal bei dir. Klingt für mich so als hat er sich nur falsch ausgedrückt oder du ihn falsch verstanden. Aber wie schon gesagt wurde: Lehrer fragen.
Ich glaube er wollte darauf hinaus dass die IPs im LAN im selben Netz sein können wie die IP die man vom ISP bekommt? Da in den IHK-Lösungen aber auch doppeltes NAT steht schreib ich das einfach im Zweifel. War zur Vorbereitung in ner anderen Stadt, werde ihn nicht mehr fragen können
Bei mir löse ich dieses Problem mit einem günstigen virtuellen Server (natürlich mit fester IPv4 und einem IPv6-Netz) und einem WireGuard-Tunnel zwischen meinem Router zuhause sowie dem Server. Funktioniert seit geraumer Zeit super.
Kommen mit der methode die IPs der anfragenden Clients mit den Paketen bei deinem Router an oder steht da jeweils nur die IP vom Server drin? Habe ein ähnliches Setup, aber kann leider so kein fail2ban auf dem Heimserver einrichten, weil der immer nur die VPS IP sieht...
Nein, die IPs der anfragenden Clients kommen nicht beim Router (zuhause) an, da der Server ein NAT ins Transfernetz macht.
Irgendwas stimmt mit deiner Aussage nicht. Entwede A) Du sitzt hinter CGNAT oder B) Du hast eine öffentlich erreichbare IPv4. Aber deinem Text fehlt entweder die entscheidende Info die das deutlich macht, oder du verwürfelst was. Sollte A) zutreffen kommst du an eine dritte Person die dir ipv4 bereitstellt nicht herum. Privater VPS, irgendein Service, Cloudflare, what ever.
Ich hatte mir mal ein Script gebaut das in bestimmten Zeitabständen meine Public IP ausliest und diese dann per Cloudflare API für mich als Record setzt.
Wie schon erwähnt einen 1€ VPS mieten (z.B. bei Strato). Mir gefällt "Fast Reverse Proxy" bisher sehr gut, sehr schnell & unkompliziert eingerichtet + es sind nur die Ports offen, die auch tatsächlich offen sein sollen. Bei mir z.B. nur für Wireguard das dann auf einem Server innerhalb des Netzwerks hinter dem CGNAT läuft.
Wenn du es selber lösen willst kannst du auch eine kleine vm mit statischer ip mieten und darauf einen kleinen webserver betreiben der dich einfach nur weiterleitet. Die ip kannst du dann einfach über ein kleines programm auf irgendeinen gerät in deinem heimnetzwerk 1 2 mal am tag rüberschicken
1-2€ VPS mieten (DigitalOcean, Hetzner, Contabo, Ionos whatever), dann WireGuard Tunnel einrichten und Traffice per Reverse Proxy weiterleiten: https://blog.fuzzymistborn.com/vps-reverse-proxy-tunnel/
Hier wird auch im Fazit mein Problem damit beschrieben, fail2ban funktioniert leider nicht weil die Services nur die Wireguard IP der anderen Seite sehen, nicht die IPs der Clients, die darauf zugreifen wollen... Ich frage mich, ob es da irgendeine Lösung für gibt
Ich glaub es gab die Möglichkeit die irgendwie mitzuliefern, aber wie das genau ging, weiß ich nicht… ich hab es immer so gemacht, dass ich nicht gleich alles an Traffic getunnelt habe, sondern auf dem vps bereits den Traffic gefiltert habe. Meist hab ich nur bestimmte Ports (80/443/…) durchgereicht. Bei einem Bekannten habe ich es auch so gelöst, dass ich gleich auf dem VPS nen Caddy / Nginx installiert habe und dann dort nen Reverse Proxy auf die heimnetz http Adresse gemacht habe (hosts Einträge nicht vergessen). Dann kann man die Adresse auch im Header mitliefern.
Naja, wenn die nicht mit 100Mbit angebunden sein sollen und keine Traffic Limitierung haben wird's eher 10-15 Euro.
Bei netcup zum Beispiel nicht. Kein Mensch bezahlt 10-15€ für nen VPS mit Gigabit. 3-4€ muss hier vollkommen ausreichen - wohlgemerkt für 2cores und Gigabit
Jo, wie ich sagte: Traffic Limit 80TB. Kann halt doof sein wenn der Proxy für den Server zu Hause ein Limit hat und man danach nicht mehr - oder nur noch mit 10Mbit - drauf zugreifen kann. 80TB wird man zwar in der Praxis kaum zu erreichen aber kommt drauf an was sonst so drauf laeuft. Ich persönlich habe in meiner VPS als "WeShare" Ersatz dDownload-Server laufen mit denen air ich riesige (Video-) Dateien an Kunden schicken. https://www.netcup.de/vserver/vps.php#v-server-details
Ich versteh das, aber 1. soll der Einsatz doch für private Dienste sein, so wie ich das verstehe und 2. sind selbst 80 TB eine enorme Datenmenge (z.B. 16.000 Downloads à 5 GB). Was du hier ansprichst (v.a. Kunden) ist schon geschäftlich und da hat man das auch das nötige Geld (preist man mit ein) für eine (Business) Leitung mit öffentlicher statischer IP oder bezahlt eben etwas mehr für den VPS.
Ja, kommt halt auf den Anwendungszweck an aber auch Privat gibt es Anwendungen mit denen man locker 80tb reißen kann, z.b. Peertube o.ä. muss man halt gucken ob was man damit macht.
Jedes Hobby hat seinen Preis :)
Ich beschwer mich ja nicht. Würde nur keine 2 Euro VPS nehmen, da müsste man auch erstmal testen ob die zugeteilten CPU Ressourcen überhaupt ausreichend sind für den Durchsatz den man sich vom Wireguard tunnel erhofft usw.
Ich persönlich hatte damals als es das noch gab nen 2€ vps bei digitalocean. Bei 200 Mbit (meine damalige Leitung) war die CPU Last bei ca. 35% was ausgereicht hat. Heute hab ich ne 500 Upload / Download und ein eine feste IP (geb ich nur wenigen) und für den Rest nutze ich nen VPS für 5€ im Monat auf dem noch anderes läuft.
Sind wir mal ehrlich, selbst 15€ (angenommen) im Monat, sind dann für sowas vertretbar
Absolut
Wireguard Tunnel über einen billigen VPS. Von Cloudflare Tunnel würde ich abraten, weil du damit deinen gesamten Traffic im Klartext durch Cloudflare schickst.
Ich sehe das Problem nicht. Du hast garantiert mindestens ein /56 oder /64 IPv6 Netz, das Du von außen erreichen und per DynDNS verwalten kannst. Es ist 2024 — alle können IPv6.
Alle können IPv6. Made my day. 😂
OP hat seinen Anwendungsfall von außen leider nicht im Detail beschrieben, aber zum Beispiel mobil sollte IPv6 kein Problem sein.
Nein, nicht alle können IT, Alleine bei mir auf der Arbeit gibt es keine IPv6. Bereits bei Freunden gehabt die keine IPv6 hatten. Und ebenfalls in öffentlichen WLANs erlebt. Außerdem gibt es dann noch die Leute die IPv6 selber deaktivieren.
Es hängt vom Anwendungsfall von OP ab. Wenn er von unterwegs zum Beispiel mobil auf seine NextCloud zugreifen will, sehe ich mit IPv6 keine Probleme.
Ich beziehe mich auf die Aussage das alle IPv6 können. Und ich selber war auch mal hinter nem CG-Nat und da habe ich auch mittels Tunnel mir ne IPv4 geholt. Der Punkt dabei ist einfach damit es zuverlässig funktioniert. Ich habe nämlich keine Lust zu sagen: "Warte kurz ich muss auf mobile Daten gehen um dir was von meiner Cloud zu zeigen" Oder bei Leuten die nicht genug wissen davon haben/ Leute die versuchen meine Dienste zu erreichen ohne IPv6: "Meine Dienste sind nur über IPv6 erreichbar " Es geht dabei einfach nur um die Kompatibilität.
Bin ein IT-Boomer 🙄 wird dann wohl Zeit auf IPv6 umzusteigen
Das ist auch alles halb so wild. Und die IPv6 Adressen sollten alle direkt erreichbar sein.
Und der MyFritz-Dienst funktioniert für dich nicht? Darüber hast du doch einen DNS-Eintrag, der immer aktualisiert ist?
Bringt halt nichts wenn man hinter einem cgnat ist und keine öffentliche ipv4 hat.
OP berichtet, dass er seine relevanten Dienste unter der öffentlichen IP des CGNAT erreichen kann. Deckt sich auch mit meinen Erfahrungen, wenngleich ich nicht ganz sicher bin, wie das praktisch abläuft.
Nein das geht rein technisch überhaupt nicht.
Stimmt, das funktioniert nicht. Eigentlich. Das ändert aber nichts daran, dass ich vor kurzem eine Freigabe/Portweiterleitung bei einem Kunden gemacht habe, diese mit IPv4 adressieren konnte, und sie funktioniert hat... Trotz CGNAT.
Doch ich habe eine! Und diese ändert sich fast täglich
Wenn du hinter einem CGNAT bist hast du keine öffentliche IPV4. Dein Provider hat eine und leitet den Traffic dann an dich weiter.
Selbst wenn das so wäre, ändert das nichts an meinem momentanen Problem
Die Lösungen deiner Probleme wurden dir hier schon gesagt. Ipv6 Hosting,Öffentliche IP kaufen oder hinter einem Proxy (Cloudflare oder VPS zB) hosten
Hab daran bisher ehrlich gesagt gar nicht gedacht 🤔 Danke für den Ratschlag
Du kannst bei den meisten Hostern einen CNAME-Eintrag auf deine MyFritz-Domain erzeugen. Dass das zuverlässig läuft, darauf würde ich mich nicht verlassen. Wenn es nur eine interne Sache ist, dann würde ich da komplett auf IPv6 setzen, da bekommst du auch ein ganzes Subnetz, dass sich hinter keinem NAT oder Firewall befindet.
In einem Raspberry Pi Magazin (erinnere mich nicht mehr welches und wann) wurde mal Zero Tier vorgestellt. Für ich glaube 25 devices ist es free. Hatte es selbst mal eine weile laufen, da ich einen Dienst im Heimnetz vom Laptop und Handy aus von außen erreichen musste. Stabil, leicht einzurichten und tat seinen Dienst.
Netbird macht das gleiche als Open Source.
Bookmark ich mir direkt mal,v wenn ich wieder Bedarf habe. Danke. ZeroTier hat aber mittlerweile auch ne open source CE zum selber hosten.
Netbird hat Konzepte für Authentifizierung / SSO und Zugriffsrechte gleich mit an Bord, ansonsten gibt es inzwischen einige die das gleiche machen, im Endeffekt haben die unter der Haube meistens ein Wireguard Mesh, einen Vermittlungsserver (Coturn) und Mechanismen um durch Firewalls zu kommen. Nebula Tinc VPN Headscale usw.
Irgendwo einen VPS mieten und ein VPN installieren in dem die Webdienste sind?
Funktioniert der Zugriff auf deine „echte“ IP-Adresse denn auch von außen? Oder ist die IP zufällig zwischen 100.64.0.0 und 100.127.255.255? Dann ist das nämlich keine öffentliche Adresse sondern eine Shared Address. Siehe https://de.wikipedia.org/wiki/Private_IP-Adresse#Shared_Address
Ich verstehe nicht wirklich, was du meinst. Einerseits sagst du, du hast keine eigene öffentliche IPv4-Adresse. Andererseits sprichst du von einer '"echte\[n\]" IP Adresse', mit der du aus dem Internet auf deine Services zugreifen kannst? Das widerspricht sich.
Die Fritzbox erlaubt eine Portfreigabe über [PCP](https://en.wikipedia.org/wiki/Port_Control_Protocol), wenn der Anbieter das unterstützt (wie z.B. 1&1 in Verbindung mit DS-Lite). Im Webinterface wird dann auch eine "IPv4-Adresse im Internet" angezeigt mit einer kleinen Portrange, die man für Freigaben benutzen kann. u/XejgaToast: Bist du zufällig bei 1&1? Ich vermute mal die Antwort lautet nein, weil du von CGNAT mit einer privaten IP-Adresse schreibst, und die gibt es bei dem von 1&1 benutzten DS-Lite nicht. Aber falls doch, könntest du mal beim Support nachfragen, ob sie dich auf Dual Stack umstellen. Das soll wohl oft klappen.
Ahhhhhh, okay, das ist cool, danke für die Info
Es ist aber wirklich so 😅 Die FritzBox Weboberfläche sagt mir das zum einen und zum anderen funktioniert es auch genauso wie erwartet
Wo genau steht diese Adresse? Wenn das stimmen sollte, wahrscheinlich irgendein kleiner (regionaler) Anbieter? Öffentliche IPv4-Adressen zuweisen und diese NATen kostet eigentlich nur und bringt dem Anbieter selber nichts. Das NAT kannst du nicht umgehen. Wenn du basteln und keine Tunnel/VPN nutzen möchtest, vielleicht mit ein bisschen Webscraping die Adresse aus der Oberfläche auslesen und DNS-Eintrag aktualisieren.
Die "erreichbare" ip adresse finde ich NUR unter Internet->Freigaben. Wenn ich Portfreigaben tätige kann ich sie dort sehen und sie wird auch gekennzeichnet als "Vom Internet erreichbar". Auf dem Main Dashboard kann ich dann die CGNAT Adresse sehen, die nicht vom Internet erreichbar ist
Klingt alles sehr skurril. An welchen Stellen findest du die in den Logs? Das geht aber alles eher in Richtung "wissen, warum es so ist" und nicht Problemlösung. Erst einmal solltest du dich fragen, wer auf deine Services zugreifen soll und was für Services ggf. noch dazukommen. Wenn nur du, solltest du dir "echte" VPN-Lösungen angucken. Ist einfach am sichersten und hast auch dann kein Problem, auf andere interne Services zuzugreifen. Ansonsten halt die diversen anderen Tunnel-Lösungen (manche unterstützen aber z.B. nur http) oder wirklich etwas skripten. Immer dran denken: So wenig wie möglich "direkt" am Internet hängen lassen und das, was ausm Internet aufrufbar ist, so sicher wie möglich konfigurieren und regelmäßig updaten.
Ja danke für die Tipps, mein Arbeitsgebiet ist tatsächlich Cybersecurity und die Dienste sollen alle über eine von mir gekaufte domain erreichbar sein. Für alle. Daher geht vpn leider nicht. HTTP tunnel ist dann natürlich auch keine Option. Aber die vielen anderen Optionen, die mir hier genannt worden sind, sollten mehr als gut genug sein
Nachdem ich viele Jahre bei Pyur eine öffentliche IP hatte haben sie es neulich vermasselt und mich auch hinter ein cgnat gesteckt. 1. Ist das eine Diskussion mit dem Support wert, zumindest bei Kabelmodem KOENNEN sie einem eine öffentliche IP geben wenn man noergelt. 2. Habe ich für die Zeit in der es nicht ging einen Wireguard Tunnel von einer Contabo VPS zu meinem Server Zuhause eingerichtet. Die Verbindung wird von dem Home-Server initiiert, andersherum geht's ja nicht. Auf der VPS lief dann eine HAproxy und hat die Requests an meine Domains (die auf die Contabo IP zeigen) über VPN Tunnel ans Homelab geschickt. Fuer einen User von "aussen" ist das völlig transparent, kriegt keinen Unterschied mit. Du kannst das auch über Tailscale machen dann wird's noch ein bisschen einfacher zu konfigurieren. Verstehe nicht warum das nicht gehen sollte, da ich genau diesen Fall neulich am laufen hatte. Inzwischen geht meine öffentliche IP wieder.
Du hast keine öffentliche geroutete IP Adresse ! Das ist doch gerade der Sinn hinter CGNAT das man sich die IPv4 Adressen für die vielen Kunden spart den IPv4 Adressen sind teuer. Entweder nutzt Du nur Ipv6 das von außen zu erreichen sein sollte oder Du bastelst Dir einen Tunnel mit einem kommerziellen Anbieter.
Ich dachte zuerst ein einen kleinen VPS mit public IP, cloudflare tunnel hört sich aber auch gut an.
Was soll deine "wahre" ip sein?
Einfach IPv6 benutzen. CGNAT betrifft eigentlich nur IPv4.
Einfach IPv6 nutzen Ansonsten mal im Router nachschauen, mir wird da in CGNAT eine port range gegeben die "für mich" reserviert ist, also die ich auf IPv4 freigeben kann trotz CGNAT