[Problem] Welches VPN Protokoll kann folgendes Problem lösen?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
bugmenotbugmenot schrieb:
Die Verbindung von Holzkopfhase ist aber wahrscheinlich eine IPv4-Verbindung, die durch Hole Punching ermöglicht wird.
Zum Vergrößern anklicken....
Aber in diesem Fall, kennt er für die Konfiguration, weder am DS-lite-Internetanschluss noch am IPv4-Internetanschluss im Hotel, die öffentliche IPv4-Adresse vom "border device". Wie kann dann Hole Punching funktionieren bzw. zustande kommen?

EDIT:

Siehe auch: https://forum.ubuntuusers.de/topic/welche-vpn-loesung-wuerde-hier-funktionieren/
 
Wenn ein NAT gutmütig* ist, ist mit ein paar Tests vorhersagbar, welche IP-Adresse und vor allem welcher Port einer Verbindung extern zugewiesen werden. Dann kann ein außenstehender Server den beiden Endgeräten sagen, wohin sie eine Verbindung aufbauen sollen. Das Ziel dieser Verbindung ist auf beiden Seiten, was das NAT der jeweils anderen ausgehenden Verbindung zuweist. Der Server wird also nur für den Verbindungsaufbau gebraucht. Die Verbindung besteht anschließend direkt zwischen den Endgeräten, obwohl beide hinter NAT ohne Portfreigaben sind. Dieser Trick heißt "Hole Punching".

*) siehe auch RFC 4787.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
bugmenotbugmenot schrieb:
Dann kann ein außenstehender Server den beiden Endgeräten sagen, wohin sie eine Verbindung aufbauen sollen. ... Der Server wird also nur für den Verbindungsaufbau gebraucht.
Zum Vergrößern anklicken....
OK, aber wer stellt hier (bei der Verbindung die der TE herstellet) diesen außenstehenden Server zur Verfügung?
 
holzkopfhase schrieb:
Aber wie macht es dann SoftEther.
Zum Vergrößern anklicken....

Wie @imagomundi @bugmenotbugmenot bereits erläuterte per "Hole Punching", also einen Server/Dienst als 3. involvierten, der per öffentlicher IPv4-Adresse erreichbar ist, also die von ihm erwähnte 3. 1. Variante. Diesen Server/Dienst betreibt SoftEther selbst.
Möchtest oder kannst du SoftEther als VPN nicht verwenden, so musst du dir selbst irgendwo einen solchen 3. aka "vermittelnden Dienst/Gerät" suchen/einrichten (der per öffentlicher IPv4-Adresse erreichbar ist). Ohne den geht es in deinem Fall nun mal nicht.
 
Zuletzt bearbeitet:
Hole Punching ist nicht die 3. Variante. Die wäre, wenn der Trick nicht funktioniert und ein Relay für die Daten gebraucht wird. Hole Punching gehört noch zu 1), also eine direkte IPv4 Verbindung zwischen den Endgeräten, für die evtl. etwas externe Hilfe zur Koordination des Verbindungsaufbaus nötig ist.

SoftEther unterstützt alle drei Möglichkeiten. ZeroTier übrigens auch.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
bugmenotbugmenot schrieb:
Hole Punching gehört noch zu 1), also eine direkte IPv4 Verbindung zwischen den Endgeräten, für die evtl. etwas externe Hilfe zur Koordination des Verbindungsaufbaus nötig ist.
Zum Vergrößern anklicken....
Wenn externe Hilfe (d. h. von einer 3. Stelle) erforderlich ist, ist das m. E. kein "richtiges" Hole Punching.
 
Abgesehen davon, was erlaubt ein öffentliches WLAN?
Ich denke mal wenns eng wird sowas wie: Web and Mail
Dann sollte sich doch das Ziel VPN ( Responder ) an diese "Portvorgaben" halten, oder?
Also: TCP 25 80 110 143 443 465 587 993 995 8080
( Aus der FRITZ!Box (Netzwerkanwendung) "alles außer Surfen und Mailen" )
Und UDP: Nichts ( komplette Range gesperrt )
 
Zuletzt bearbeitet:
Ist schon wieder Kommentarolympiade? Versucht's doch mal mit Lesen. Hier geht's weiter.
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
Das wurde hier gerade super interessant und lehrreich für mich.
Ich hätte noch ein paar Rückfragen.

Zum einen, da Azure deaktiviert ist, kann es trotzdem Hole Punching sein oder war Azure nur ein Beispiellink hier?

Das andere ist, wieso, wenn das Hole Punching einzig vom Server kommt, kein anderer Client auf den Server in dieser Konstellation zugreifen kann? Wieso funktioniert es nur mit dem SoftEther Client?
Oder ist dies normal? Oder müsste es theoretisch auch mit L2TP/IpSec via Android funktionieren und via OpenVPN? Denn beide brachte ich bisher nie zum Laufen. Die Vermutung war, dass es den SoftEther Server und den SoftEther Client benötigt, um in dieser speziellen Konstellation eine Verbindung herzustellen. Wenn dem nicht so ist, fällt dir ein, woran es liegen könnte, dass es bisher nie klappte?
 
Hole Punching ist vielleicht ein verwirrender Name. Die Methode wird halt so genannt. Aber da wird kein dauerhaftes Loch in die Firewall/NAT Barriere geschlagen. Das ist nur ein koordinierter Verbindungsaufbau, den die Geräte mit Hilfe eines externen Servers durchführen (aber nicht durch diesen Server). Der Trick ist, dass beide gleichzeitig je eine ausgehende UDP-"Verbindung" starten, die beide "zufällig" genau so zu der Verbindung des jeweils anderen Endgeräts passen, dass sie von beiden Firewalls/NATs als eine einzige Verbindung wahrgenommen werden, die von innen nach außen geht. Wie weit der Port offen ist, hängt von den Eigenschaften des NATs ab, deshalb der Hinweis auf RFC 4787.

Den Trick muss die Software auf den Endgeräten beherrschen. Der Server im Internet stellt nur die nötige Information bereit. Die SoftEther Software kann das, ZeroTier auch. L2TP und OpenVPN können das nicht. Wenn du eine Software einsetzen möchtest, die solche Tricks nicht drauf hat, oder das VPN auch dann funktionieren soll, wenn auf beiden Seiten NAT ist und Hole Punching nicht geht, dann kommst du um ein Relay nicht herum, egal ob das ein eigenes ist oder von Diensten wie SoftEther oder ZeroTier zur Verfügung gestellt wird..
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]
 
Zuletzt bearbeitet von einem Moderator:
Okay, dann werde ich mir mal ZeroTier anschauen und dann versuchen, es unter Linux ans Laufen zu bringen. Verbinden scheint bisher einfach, aber ich habe noch keinen Zugriff auf mein lokales LAN.

Installation werde ich im Ubuntu forum besprechen. Falls sich jemand damit auskennt, freue ich mich über jede Teilnahme dort :)
Linux VPN mit SoftEther oder ZeroTier einrichten
 
Interessanterweise bringt manchmal die c't Artikel heraus, die genau zu meinem aktuellen Problem passen. Und so habe ich ZeroTier jetzt im Test und bin zu 80% begeistert.
Im Gegensatz zu Router-/Server-basierten VPNs kann man das tatsächlich als reines Peer-to-Peer-VPN betreiben, wo man dem Gegenüber praktisch nur die Netzwerk-ID und die IP-Adresse bzw. Hostnamen (ja Namensauflösung funktioniert auch) senden muss. Und vorausgesetzt, man kann mit den lokalen Windows-Zugangsdaten des Gegenübers schon mal einen neuen Benutzer einrichten und die passenden Rechte für die geplanten Freigaben vergeben, ist der schon fertig. Ja, ZeroTier ist aus Nutzersicht verblüffend einfach konzipiert.

Die Wermutstropfen sind leider folgende:
  • Lästig:
    Bei jedem join legt der ZeroTier-Client ein neues Netzwerkprofil an mit der Firewall-Abfrage nach privat oder öffentlich. Das ist echt lästig und irgendwann muss man dann mal tatsächlich die Profile aufräumen! Die Firewall-Abfrage lässt sich zwar generell abschalten, aber das täuscht nur über das vergleichsweise sinnlose Anhäufen von Netzwerkprofilen hinweg,
  • Speed:
    Dieser bleibt leider deutlich zurück hinter z.B. AVMs IPsec.
    Pings von einem PC hinter einem LTE-Router an einen hinter VDSL-Router ergibt praktisch dieselbe oder manchmal sogar kürzere Antwortzeiten (weniger Hops?) als der direkte auf die DDNS-Adresse des VDSL-Routers.
 
FlyingToaster schrieb:
Die Wermutstropfen sind leider folgende:
Zum Vergrößern anklicken....
Man sollte auch noch die Preisgabe der Metadaten erwähnen. Zerotier kann zwar nicht in die Playload reinsehen, aber sie sehen, welche Endgeräte man hat, wann man sich verbindet, von wo, mit wem man Kontakt hat, wie lange, ... WERTVOLLE Informationen in der heutigen Zeit.
 
Wenn ein Dritter involviert ist bei der "Vermittlung" der Peer-to-Peer-VPN-Verbindungen, können die das schlecht "blind" erledigen. Die Frage ist dann nur, ob und wie lange die Metadaten gespeichert werden.
 
Wenn etwas für dich umsonst ist, bist du das Produkt.
 
Wieso? Fühlst du dich im Forum so?
 
Natürlich. Was glaubst du, warum man die Verwertungsrechte für seine Beiträge abtritt, wenn man die Forumregeln akzeptiert? Und was die Basis für die Einnahmen der Betreiber ist?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 444 (Mitglieder: 14, Gäste: 430)

Neueste Beiträge

Statistik des Forums

Themen
246,085
Beiträge
2,245,797
Mitglieder
373,539
Neuestes Mitglied
Horst Fürst
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück