UMTS-WLAN Router: Dynamisches DNS

  • Hallo Board,
    ich habe einen Raspberry Pi mit Raspbian als UMTS-WLAN Router aufgesetzt. Genutzt wird für's WLAN hostapd, DHCP dnsmasq und sakis3g für den UMTS Stick und iptables für's routing.
    Läuft auch wie gewollt. Ich kann normal mit einem WLAN Client auf das Internet zugreifen.

    Bis auf eine Sache: Da ich mich mit dem Raspi mit tinc mit einem VPN verbinden will, muss ich meine dynamische IP-Adresse mit No-IP zu einem Hostnamen mappen und einige Ports freigeben.

    Das Problem:
    ppp0 hat eine Verbindung von (z.B.) 10.104.93.220 P-z-P 10.64.64.64
    Meine öffentliche IP ist aber laut http://www.wieistmeineip.de/ 46.115.162.93 und diese Adresse wird auch beim Update von No-IP gesetzt. Ich habe aber kein Netzwerkgerät mit dieser IP, nur oben genanntes ppp0 als Verbindung "nach draussen".

    Allerdings werden offene Ports (e.g. Port 80) laut externem Portchecker als "closed" gezeigt, obwohl der Port mit iptables freigegeben ist.

    Ist das ein spezielles UMTS "Feature", oder hat sonst jemand eine Idee?

    Liebe Grüße,
    Daniel

  • bei manchen UMTS Providern hast du eine Private IP welche genattet wird.
    Dann wird das nix, das geht dann nur vom PI ins Internet.
    Mögliche Lösung: Den PI eine VPN verbindung nach Hause aufbauen lassen.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Der_Imperator
    Jo, sowas dachte ich mir. Bin z.Z. bei EPlus und sowieso unzufrieden. Jetzt wäre es interessant zu wissen, welche UMTS Provider eine echte IP anbieten. Muss ich mal recherchieren.
    Vielen Dank auf jeden Fall!

    meigrafd
    Ich glaube, diese Lösung ist für eine Tinc-Node eher schwer zu realisieren, muss ich aber noch recherchieren. Eventuell zu einem OpenVPN Server verbinden und dann in das Tinc Netzwerk routen. Uff!

    *edit: Es wäre noch möglich, eine Node als "Hidden" zu deklarieren, dann sind ausgehende Verbindungen möglich, aber man kann halt keine Dienste anbieten. Die brauch ich aber.*

    Jedenfalls vielen Dank für eure Beiträge.

    Ich denke, ich kann den Thread auf "erledigt" setzen.

    Einmal editiert, zuletzt von redapple (6. Juli 2014 um 21:45)

  • Naja ich versteh leider nicht ganz wieso tinc ein Hindernis sein soll? Du hast doch geschrieben das dein PI eine Verbindung zu einem VPN herstellen soll - das sollte mit egal welchem UMTS Anbieter problemlos möglich sein!

    Über UMTS/HSDPA(+) verbindet man sich intern zu dem Netzwerk seines Mobilfunkanbieters. Dieser gestattet einem über eine Allgemein Öffentliche IP das Internet zu nutzen, die (mit einem non-business Vertrag) aber auch andere Teilnehmer verwenden.
    Dabei kommt NAT bzw PAT zum Einsatz. Auf dieses NAT/PAT hat der User aber keinerlei Zugriff und kann keine Einstellungen vornehmen, also auch keine Portweiterleitung einrichten!

    Vereinfacht betrachtet kann man sich das so vorstellen als stünde beim Mobilfunkanbieter ein Router mit dem man sich verbindet. Als würdest du deinem Nachbarn erlauben dein WLAN zu nutzen, du ihm aber nicht die Zugangsdaten zu deinem Router gibst. Er also auch keine Portweiterleitung für sich einrichten kann.


    Wenn der UMTS-PI die Verbindung zu einem anderen Internet-Rechner aufbaut, besteht dadurch eine Verbindung und er kann selbstverständlich auch Daten empfangen. Diese Tatsache muss man nun also ausnutzen indem der UMTS-PI eine Verbindung zu einem VPN herstellt und alle weiteren Verbindungen zum UMTS-PI dann über das VPN abgewickelt werden. Über das VPN kannst du dann ganz normal via SSH auf den UMTS-PI zugreifen, oder den Webserver ansurfen usw. Wichtig dabei ist eben nur das du nicht die Internet-IP sondern die VPN-IP ansprichst.


    Es gibt in Deutschland mittlerweile afaik keinen Mobilfunkanbieter mehr der dir eine "echte IP", genauer/richtiger gesagt eine eigene IP vergibt, über die du alleinige Kontrolle hast und kein NAT/PAT beim Mobilfunkanbieter gemacht wird - eben so wie man es von DSL kennt.
    Wer aber zum beispiel UnityMedia kennt der weiß das selbst die Kabel-Internet Anbieter mittlerweile Probleme haben noch freie IPv4 Adressbereiche haben zu können - es gibt nämlich Weltweit keine einzige noch nicht vergebene IPv4 Adresse mehr, die ganzen Segmente wurden bereits verkauft, den letzten Bereich hat ein Provider in Asien gekriegt... Deshalb muss selbst UM mittlerweile IPv6 auch an seine Geschäftskunden vergeben aber das wiederum zieht weitere Probleme nach sich: IPv4 und IPv6 sind nicht ohne weiteres kompatibel zueinander

    Vor 2 Jahren war mir in Deutschland nur ein einziger Mobilfunkanbieter bekannt der einem über nen Business-Vertrag eine eigene IP vergibt - ob es diesen Vertrag aktuell immer noch gibt weiß ich allerdings nicht; aber gut vorstellbar das der nicht wirklich billig sein wird... Vodafone

    Lies dir vielleicht auch mal folgendes durch: http://de.wikipedia.org/wiki/Mobile_VPN

    Aber wie gesagt sehe ich da eigentlich kein Grund drin den Anbieter wegen NAT/PAT wechseln zu müssen - du hast zumindest im ersten Beitrag wie gesagt klar geschrieben dass:


    Bis auf eine Sache: Da ich mich mit dem Raspi mit tinc mit einem VPN verbinden will, muss ich meine dynamische IP-Adresse mit No-IP zu einem Hostnamen mappen und einige Ports freigeben.

    tinc ist auch nur irgendeine VPN Software. Es spielt keine Rolle ob du tinc-VPN oder OpenVPN installierst, die Funktionsweise ist bei allen gleich


    Wovon ich dir allerdings abrate ist einen Drittanbieter für VPN zu verwenden, das wäre dann nämlich kein echtes VPN mehr und ob der Drittanbieter nicht doch protokoliert usw darauf hast du keinerlei Einfluss oder Kontrolle... Das die NSA nicht spionieren würde hat se auch Ewigkeiten abgestritten usw ....

  • Hallo meigrafd,
    ich scheue mich ehrlich gesagt eher bei solchen Themen zu diskutieren, da ich kein Professional bin und mir durchaus grobe Fehler unterlaufen können. Wahrscheinlich hast du recht.

    Das mit dem NAT/PAT habe ich verstanden.

    Das Problem mit tinc ist, dass es ein peer2peer Netzwerk von gleichberechtigten Netzwerk-Nodes ohne zentralen Server ist. Wenn ich jetzt also von meinem Heimnetz mit einer anderen Node verbinden will (also auf dieser Dienste nutzen will), sucht der Heim-Tinc-Router in der Konfiguration die externe Adresse des Ziel-Nodes und baut dann erst eine Verbindung zum Ziel-Node auf. Es gibt also keine Verbindung die IMMER "steht". Die werden erst auf Anfrage aufgebaut, und danach wieder beendet.

    Ich könnte zwar von meiner Raspi-Node Dienste auf anderen Nodes nutzen, aber keine Dienste anbieten.

    Sicher gibt es noch andere Lösungen. Mit einer echten dynamischen IP auf dem Raspi Mobil-Router wäre es am einfachsten, aber die UMTS Anbieter stellen wohl wegen den von dir genannten Adressraum-Schwierigkeiten keine eigene IP mehr zur Verfügung.

    Falls Interesse besteht, es handelt sich um das ChaosVPN ( http://wiki.hamburg.ccc.de/index.php/ChaosVPN ). Man ist dort übrigens immer froh, wenn es neue Teilnehmer gibt :)

    Die Formulierung "mit einem VPN VERBINDEN" war wohl etwas unglücklich, vielleicht ehrer "an einem VPN TEILNEHMEN".

  • Es muss kein zentraler Server sein zu dem sich alle verbinden. Auch tinc muss irgendwohin eine Verbindung herstellen. Ob das jetzt dein Freund iniziert oder du selbst spielt dabei kaum eine Rolle - nur für deinen UMTS Fall spielt dies eine Rolle, da muss der UMTS-PI derjenige sein der die Verbindung aufbaut

    Jedenfalls ist das auch mit UMTS kein Problem - was mich jetzt allerdings abschreckt ist das was du im vorletzten Satz sagtest:

    ChaosVPN ... Hacker ... Und da soll man freiwillig dran Teilnehmen? *hust* Da kann ich mir ja gleich nen paar Minen vor der Haustür verstecken und jeden Morgen hoffen das ich auf keine drauf trete...


    ..im out..

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!