Barungar
Well-known member
Hallo,
oft lese ich Fragen zu Wireguard VPN-Verbindungen ins eigene Heimnetz der FritzBox die nicht funktionieren. Dabei wird teilweise am Smartphone oder Notebook zwar eine aktive Wireguard-Verbindung angezeigt, aber die funktioniert dann nicht oder es wird bereits beim Versuch des Verbindungsaufbaus ein Netzwerkfehler oder ein DNS-Fehler angezeigt im Wireguard-Client.
Speziell bei Kabel- oder Glasfaser-Internet ist dies oft im Gegensatz zu DSL-Internet, das weniger häufig davon betroffen ist, ein Problem auf Grund von IPv4 bzw. IPv6. Das Zauberwort ist hier DualStack Lite (DS-Lite) oder auch Carrier Grade NAT (CG-NAT). Die beiden Verfahren bedeuten in der Praxis, dass vom Provider, am eigenen Internet-Anschluss, keine vollwertig (beidseitig) nutzbare öffentliche IPv4-Adresse bereitgestellt wird. Keine Probleme hat man, wenn der Provider einem einen sogenannten Dual Stack (ohne Lite!) bereitstellt. In diesem Fall erhält man vollwertigen IPv4- und IPv6-Zugriff auf das Internet.
Aber zurück zum Problemfall. Zwar kann man über einen Anschluss mit DS-Lite oder CG-NAT auch Webseiten und Dienste aufrufen, die nur auf IPv4 basieren, aber ein Gerät das selbst nur IPv4 hat, kann keine Verbindung zum eigenen Anschluss herstellen. So dann oft auch das Smartphone oder Notebook, das sich per Wireguard VPN in Deine FritzBox einwählen will nicht. Das kann bei einem Anschluss mit DS-Lite oder CG-NAT nämlich nur ein anderes Gerät, das selbst auch eine öffentliche IPv6-Adresse hat.
Der häufigste Grund ist also, dass die eigene FritzBox und das Gerät, das sich per VPN (Wireguard) verbinden will keine gemeinsame Sprache (IPv4 oder IPv6) sprechen. Oft hat das Smartphone oder Notebook über den Mobilfunk-Provider oder über das WLAN einfach keine IPv6-Adresse bekommen. Es bieten zwar immer mehr Mobilfunk-Vertäge und auch "offene" WLANs auch IPv6 an, aber das trifft noch lange nicht auf alle zu.
Nutzer von DS-Lite oder CG-NAT sind also im Vergleich zu Dual Stack-Nutzern bei gewissen Funktionen, wie eben Wireguard-VPN oder auch Portfreigaben, benachteiligt. Auf diesen Umstand weisen die Provider leider nicht aktiv hin und auch die wenigsten Kunden fragen aktiv vor Vertragsabschluss den zukünftigen Provider: "Erhalte ich einen vollwertigen Dual Stack-Anschluss von Ihnen?"
Und was kann man dagegen tun?
Oft bedarf es einer vertraglichen Anpassung. Man sollte den Kundenservice des heimschen Providers anrufen und sagen, dass man "Dual Stack" benötigt. Einige Provider schalten das nachträglich auf aktive Kundennachfrage für den eigenen Anschluss frei. Andere Provider werden Euch vermutlich sagen, dass Ihr das als Zusatzoption zu Eurem Tarif hinzubuchen könnt oder aber in einen teureren Tarif wechseln müsst. Gleiches kann man auch beim Kundenservice des Mobilfunk-Anbieters versuchen. Man muss nicht auf "beiden Seiten" Dual-Stack haben, am besten ist es, wenn der heimische Internet-Anschluss "Dual Stack" hat, denn dann sollte es mit nahezu jeder Mobilfunk-Variante oder WLAN-Konstellation funktionieren!
Noch ein paar Hintergrund-Informationen zur Diagnose der eigenen Situation!
Auf Eurer heimischen FritzBox könnte Ihr nachschauen, ob sie eine IPv4- und/oder eine IPv6-Adresse hat. Ihr öffnet dazu die Benutzeroberfläche (Webseite) Eurer FritzBox (meist über http://fritz.box/) und meldet Euch an. Dann klickt Ihr links auf Internet und anschließend auf Online-Monitor. Auf der neuen Anzeige im rechten Teil klickt Ihr nun noch einmal auf Verbindungsdetails.
Ihr solltet dann etwas ähnliches sehen, wie unten abgebildet.
(Bild 1)
Hier sind die beiden blau markierten Angaben IPv4-Adresse und IPv6-Adresse für uns interessant. Ich habe die Angaben hier anonymisiert, und jeweils den hinteren Teil der Adressen entfernt.
Wird Euch bei IPv4-Adresse eine Angabe im folgenden Format gemacht:
Gerade bei den beiden letzten Verfahren kann es passieren, dass im DynDNS ein falscher Eintrag für die IPv4-Adresse hinterlegt wird.
Das prüft Ihr, in dem Ihr Euren DynDNS-Namen ermittelt. Der Einfachheit halber gehe ich nur auf MyFritz ein, wer einen eigenen DynDNS konfiguriert hat, wird wissen wo er diese Angaben findet. Die Angabe zu MyFritz findet Ihr in der gleichen Rubrik wie Eure IP-Adresse. Schaut noch mal auf das linke Menü, dort findet Ihr auch einen Eintrag MyFritz!-Konto. Nach dem Ihr das angeklickt habt und die FritzBox die rechte Seite aktualisiert hat, findet Ihr dort (wie unten auf dem Bild zu sehen) Eure DynDNS-Adresse.
(Bild 2)
Ich habe die DynDNS-Adresse (im grauen Kästchen) auch wieder anonymisiert. Markiert diese und kopiert sie Euch.
Anschließend öffnet Ihr eine Eingabeaufforderung und gebt dort "nslookup " gefolgt von Eurer DynDNS-Adresse ein, drückt anschließen die ENTER-Taste.
(Bild 3)
Auf Bild 3 seht Ihr nun die Ausgabe von nslookup. Die ersten beiden Antwortzeilen sind nicht so wichtig, sie geben an welchen DNS-Server nslookup befragt hat und wie dessen Adresse lautet. Interessant wird es bei den letzten Zeilen.
Der Name sollte, wie auch bereits nach dem nslookup, beides in gelb markiert, exakt Eurer DynDNS-Adresse aus Bild 2 entsprechen.
Und die Angaben zu den Adressen, hier grün markiert, müssen ebenfalls exakt den IP-Adressen aus Bild 1 entsprechen.
Sollte es hier Abweichungen geben, sind wir der Ursache nun auch empirisch ein Stück nähergekommen. Ab dann könnt Ihr gerne mit Eurem Problem und den bereits gesammelten Angaben hier im Forum eine Rückfrage stellen. Die bereits von Euch geprüften bzw. erledigten Sachen werden den Prozess sicher beschleunigen.
In diesem Sinne viel Spaß...
Barungar
oft lese ich Fragen zu Wireguard VPN-Verbindungen ins eigene Heimnetz der FritzBox die nicht funktionieren. Dabei wird teilweise am Smartphone oder Notebook zwar eine aktive Wireguard-Verbindung angezeigt, aber die funktioniert dann nicht oder es wird bereits beim Versuch des Verbindungsaufbaus ein Netzwerkfehler oder ein DNS-Fehler angezeigt im Wireguard-Client.
Speziell bei Kabel- oder Glasfaser-Internet ist dies oft im Gegensatz zu DSL-Internet, das weniger häufig davon betroffen ist, ein Problem auf Grund von IPv4 bzw. IPv6. Das Zauberwort ist hier DualStack Lite (DS-Lite) oder auch Carrier Grade NAT (CG-NAT). Die beiden Verfahren bedeuten in der Praxis, dass vom Provider, am eigenen Internet-Anschluss, keine vollwertig (beidseitig) nutzbare öffentliche IPv4-Adresse bereitgestellt wird. Keine Probleme hat man, wenn der Provider einem einen sogenannten Dual Stack (ohne Lite!) bereitstellt. In diesem Fall erhält man vollwertigen IPv4- und IPv6-Zugriff auf das Internet.
Aber zurück zum Problemfall. Zwar kann man über einen Anschluss mit DS-Lite oder CG-NAT auch Webseiten und Dienste aufrufen, die nur auf IPv4 basieren, aber ein Gerät das selbst nur IPv4 hat, kann keine Verbindung zum eigenen Anschluss herstellen. So dann oft auch das Smartphone oder Notebook, das sich per Wireguard VPN in Deine FritzBox einwählen will nicht. Das kann bei einem Anschluss mit DS-Lite oder CG-NAT nämlich nur ein anderes Gerät, das selbst auch eine öffentliche IPv6-Adresse hat.
Der häufigste Grund ist also, dass die eigene FritzBox und das Gerät, das sich per VPN (Wireguard) verbinden will keine gemeinsame Sprache (IPv4 oder IPv6) sprechen. Oft hat das Smartphone oder Notebook über den Mobilfunk-Provider oder über das WLAN einfach keine IPv6-Adresse bekommen. Es bieten zwar immer mehr Mobilfunk-Vertäge und auch "offene" WLANs auch IPv6 an, aber das trifft noch lange nicht auf alle zu.
Nutzer von DS-Lite oder CG-NAT sind also im Vergleich zu Dual Stack-Nutzern bei gewissen Funktionen, wie eben Wireguard-VPN oder auch Portfreigaben, benachteiligt. Auf diesen Umstand weisen die Provider leider nicht aktiv hin und auch die wenigsten Kunden fragen aktiv vor Vertragsabschluss den zukünftigen Provider: "Erhalte ich einen vollwertigen Dual Stack-Anschluss von Ihnen?"
Und was kann man dagegen tun?
Oft bedarf es einer vertraglichen Anpassung. Man sollte den Kundenservice des heimschen Providers anrufen und sagen, dass man "Dual Stack" benötigt. Einige Provider schalten das nachträglich auf aktive Kundennachfrage für den eigenen Anschluss frei. Andere Provider werden Euch vermutlich sagen, dass Ihr das als Zusatzoption zu Eurem Tarif hinzubuchen könnt oder aber in einen teureren Tarif wechseln müsst. Gleiches kann man auch beim Kundenservice des Mobilfunk-Anbieters versuchen. Man muss nicht auf "beiden Seiten" Dual-Stack haben, am besten ist es, wenn der heimische Internet-Anschluss "Dual Stack" hat, denn dann sollte es mit nahezu jeder Mobilfunk-Variante oder WLAN-Konstellation funktionieren!
Noch ein paar Hintergrund-Informationen zur Diagnose der eigenen Situation!
Auf Eurer heimischen FritzBox könnte Ihr nachschauen, ob sie eine IPv4- und/oder eine IPv6-Adresse hat. Ihr öffnet dazu die Benutzeroberfläche (Webseite) Eurer FritzBox (meist über http://fritz.box/) und meldet Euch an. Dann klickt Ihr links auf Internet und anschließend auf Online-Monitor. Auf der neuen Anzeige im rechten Teil klickt Ihr nun noch einmal auf Verbindungsdetails.
Ihr solltet dann etwas ähnliches sehen, wie unten abgebildet.
(Bild 1)
Hier sind die beiden blau markierten Angaben IPv4-Adresse und IPv6-Adresse für uns interessant. Ich habe die Angaben hier anonymisiert, und jeweils den hinteren Teil der Adressen entfernt.
Wird Euch bei IPv4-Adresse eine Angabe im folgenden Format gemacht:
- 10.x.x.x bis 10.x.x.x (z.B. 10.100.8.16)
- 172.16.x.x bis 172.31.x.x (z.B. 172.28.74.55)
- 192.168.x.x (z.B. 192.168.179.3)
Gerade bei den beiden letzten Verfahren kann es passieren, dass im DynDNS ein falscher Eintrag für die IPv4-Adresse hinterlegt wird.
Das prüft Ihr, in dem Ihr Euren DynDNS-Namen ermittelt. Der Einfachheit halber gehe ich nur auf MyFritz ein, wer einen eigenen DynDNS konfiguriert hat, wird wissen wo er diese Angaben findet. Die Angabe zu MyFritz findet Ihr in der gleichen Rubrik wie Eure IP-Adresse. Schaut noch mal auf das linke Menü, dort findet Ihr auch einen Eintrag MyFritz!-Konto. Nach dem Ihr das angeklickt habt und die FritzBox die rechte Seite aktualisiert hat, findet Ihr dort (wie unten auf dem Bild zu sehen) Eure DynDNS-Adresse.
(Bild 2)
Ich habe die DynDNS-Adresse (im grauen Kästchen) auch wieder anonymisiert. Markiert diese und kopiert sie Euch.
Anschließend öffnet Ihr eine Eingabeaufforderung und gebt dort "nslookup " gefolgt von Eurer DynDNS-Adresse ein, drückt anschließen die ENTER-Taste.
(Bild 3)
Auf Bild 3 seht Ihr nun die Ausgabe von nslookup. Die ersten beiden Antwortzeilen sind nicht so wichtig, sie geben an welchen DNS-Server nslookup befragt hat und wie dessen Adresse lautet. Interessant wird es bei den letzten Zeilen.
Der Name sollte, wie auch bereits nach dem nslookup, beides in gelb markiert, exakt Eurer DynDNS-Adresse aus Bild 2 entsprechen.
Und die Angaben zu den Adressen, hier grün markiert, müssen ebenfalls exakt den IP-Adressen aus Bild 1 entsprechen.
Sollte es hier Abweichungen geben, sind wir der Ursache nun auch empirisch ein Stück nähergekommen. Ab dann könnt Ihr gerne mit Eurem Problem und den bereits gesammelten Angaben hier im Forum eine Rückfrage stellen. Die bereits von Euch geprüften bzw. erledigten Sachen werden den Prozess sicher beschleunigen.
In diesem Sinne viel Spaß...
Barungar
