VPN til 4G router åpning av porter.

[Lucky70]

Hei.

Jeg forsøker å sette opp en VPN til routeren min på hytta, 
Det ser ut som 4g leverandøren har en egen brannmur som blokkerer meg fra å få dette til.

 

Finnes det noen omvei for å få dette til?

 

MVH

 

PK

[NilsOF]

4g modemene har som oftest NAT mot mobilnettet. I tillegg mener jeg å ha observert enda ett NAT-lag hos mobiloperatøren..

Det sikreste er å starte VPN -tunellen fra innsiden av 4g -modemet, eller fra 4g-modemet om det finnes støtte.

 

[Lucky70]

Jeg bruker WireGuard VPN i Home Assistant. 
For å kunne logge meg inn på HA remote har jeg brukt WG på hjemmesystemet mitt nå en stund. 

4G modemet mitt har NAT, og det er nok ett NAT lag til. Når jeg sjekker IP adressen min så er den en annen enn den som kommer opp i routeren.

Finnes det noen løsning for å få dette til?

 

 

[Moskus]

Man må vel typisk endre APN for modemet. Telenor skal vel settes til "telenor.public" hvis jeg husker riktig.

[NilsOF]

6 timer siden, Moskus skrev:

Man må vel typisk endre APN for modemet. Telenor skal vel settes til "telenor.public" hvis jeg husker riktig.

Ja, det gir mening.

 

For å få VPN-tunellen "inn" så må man sette opp port-forwarding igjennom NAT-funksjonen(e).

Man trenger ikke forwarding når VPN-tunellen starter opp og går "ut".

Derfor taes VPN-tuneller "inn" på de steder man har egnet utstyr og oversikt.

Etter det jeg har skummet igjennom om Wireguard så skal ovenstående gå fint.

[Lucky70]

Ja utfordringen er NAT laget hos Telenor. Det har man ikke kontroll over med et normalt bredbånds SIM kort. 
Ser de har M2M sim. Spørs om jeg må prøve et slikt. Ulempen er da at jeg må ha to routere, en til automasjon og IOT og en til surfing.

 

 

[NilsOF]

På meg virker det som om IOT er noe som operatørene skal tjene penger på.

Jeg har tilgode å få hull på de hvordan det tekniske er satt opp på løsningene deres.

I praksis virker det som en hindring for at VPN skal få noen utbredelse.

Det er jo mye bedre (for operatørene) at kundene er låst fast. 😕

 

Hm, hvor mye koster det å leie plass for en virituel Linux-server og bruke den som VPN-senter mon tro?

Med en moderne Linux-kjærne så har man både Wireguard og nftables tilgjengelig.

Ikke mye man treger av plass for OS med andre ord.

 

Edited December 28, 2020 by NilsOF

[NilsOF]

På 27.12.2020 den 9.43, Lucky70 skrev:

For å kunne logge meg inn på HA remote har jeg brukt WG på hjemmesystemet mitt nå en stund. 

Men da har du allerede VPN på plass i heimen og er halvt i mål 🙂

Om du starter Wireguard fra innsiden av 4g-modemet så spiller NATinga hos Telenor ingen rolle (i det minste i teorien, jeg har tilgode å prøve)

Edited December 28, 2020 by NilsOF

[Offpiste]

På 26.12.2020 den 17.05, Lucky70 skrev:

Finnes det noen omvei for å få dette til?

Med Zerotier One trenger man ikke å åpne porter. Finnes Add-on i Home Assistant også.

[NilsOF]

1 time siden, Offpiste skrev:

Med Zerotier One trenger man ikke å åpne porter

Jeg kan garantere at den trenger en port å kjøre på den også 😉

Og den kan garantert ikke gå inn igjennom en NAT uten hjelp den heller.

 

Men ut igjennom NAT kan den muligens gå akkurat som Wireguard.

Når tunellen er opprettet, får man bidiraksjonalitet.

Saken med Wireguard er at den er inkludert i Linux-kjærna, har liten overhead samtidig som den er kryssplatform. Den svinger seg derfor opp en slags "standard".

Skal foresten ikke forundre meg om Zerotier faktisk er bygget over Wireguard heller 🙂

Edited December 28, 2020 by NilsOF

[Lucky70]

Da er problemet løst. 
Fikk et tips her oppe å endre APN til telenor.public. 
Det virket ikke, men internet.public gjorde susen. 

 

Takk for tips og hint alle sammen.

 

 

[Offpiste]

18 timer siden, NilsOF skrev:

Jeg kan garantere at den trenger en port å kjøre på den også 😉

Og den kan garantert ikke gå inn igjennom en NAT uten hjelp den heller.

Ok, for meg virker den bra mellom forskjellige nettverk og på mobilen uten å åpne noen porter.

 

 

 

[Moskus]

På 29.12.2020 den 8.28, Lucky70 skrev:

Det virket ikke, men internet.public gjorde susen. 

Takk!  

[slippern]

Bare husk at du med internet.public ikke lengre er bak brannmurene til Telenor, så da treffer all slags mulig dritt trafikk din router.. Som igjen går ut over datapakken.. Så kan være smart og følge litt med forbruket 🙂

Edited February 9, 2021 by slippern

[Moskus]

9 timer siden, slippern skrev:

Bare husk at du med internet.public ikke lengre er bak brannmurene til Telenor, så da treffer all slags mulig dritt trafikk din router.. Som igjen går ut over datapakken..

Har brukt "internet.public" i mange år, men har aldri opplevd dette som et problem. Det blir ikke trafikk gjennom routeren (som jo er vel det som teller) hvis brannmuren gjør jobben sin sånn noen lunde.  

[Lucky70]

Har kjørt med "internet.public" nå i noen måneder. Det fungerer fint. Skulle gjerne hatt beskyttelsen fra Telenors brannmur, men den får du ikke åpnet noen porter på sånn uten videre.

Det er bare HA som har datatrafikk på den routeren min.

[slippern]

På 10.2.2021 den 9.03, Moskus skrev:

Har brukt "internet.public" i mange år, men har aldri opplevd dette som et problem. Det blir ikke trafikk gjennom routeren (som jo er vel det som teller) hvis brannmuren gjør jobben sin sånn noen lunde.  

Så lenge trafikken treffer din router/brannmur så teller det som datamenge hos telenor.. Hva brannmuren din gjør med trafikken (deny/drop/accept) driter telenor en lang marsj i 🙂

Er ikke et problem normalt sett, men om noen kinesere skulle ha det vell artig, så blir det et problem.

[OMR]

Denne hjalp meg i dag igjen, etter så mange år!
Kjøpte en billig tp-link MR200 4G til å ha foran en netgate pfsense+ SG-1100 og kunne ikke skjønne hvorfor DMZ ikke funka.
Når jeg fikk satt APN til internet.public funket det som en drøm. (På talkmore=teleno)

Edited June 7, 2024 by OMR

[slippern]

Kan også sette den til telenor.fwa om du ønsker IPv4 og IPv6.

[jkirkebo]

slippern skrev (På 7.6.2024 den 23.19):

Kan også sette den til telenor.fwa om du ønsker IPv4 og IPv6.

Gir det samme tilgang som internet.public, dvs. ingen brannmur fra Telenor sin side?
Og med internet.public får man ikke ipv6?

[slippern]

jkirkebo skrev (3 timer siden):

Gir det samme tilgang som internet.public, dvs. ingen brannmur fra Telenor sin side?
Og med internet.public får man ikke ipv6?

Det er korrekt ja.

[jkirkebo]

slippern skrev (21 timer siden):

Det er korrekt ja.

Testet og det fungerer dessverre bare delvis. Jeg får kun tildelt et /64 subnet. Prøvde å sette Prefix Delegation til /56 men får likevel bare et /64. Dermed får jeg ipv6 på hovednettet, men ikke på f.eks gjestenettet. 

[Bjørn Mork]

8 minutes ago, jkirkebo said:

Testet og det fungerer dessverre bare delvis. Jeg får kun tildelt et /64 subnet. Prøvde å sette Prefix Delegation til /56 men får likevel bare et /64. Dermed får jeg ipv6 på hovednettet, men ikke på f.eks gjestenettet. 

Har dessverre ikke helt funnet ut av hvordan vi gjør PD på mobilnettet.  Skulle gjerne delt ut en /48 på FWA slik at det ble likt med GPON og HFC.  Men sliter med å finne oppskrifter som virker.

 

Utfordringen er at et mobilmodem typisk er en ruter som later som den er bridge.  Det er ikke trivielt å sende link local pakker gjennom en slik. Er avhengig av at firmwaren faktisk sender DHCPv6 pakkene videre til PGWen.  Evt fungerer som et lag 2 DHCPv6 relay.  Evt gjør DHCPv6 solicit selv og kjører en separat DHCPv6 server.  Men alt dette blir i så fall avhengig av den spesifikke implementasjonen, og det vet jeg ikke om jeg er så happy med.

 

Tar gjerne imot noen tips og triks hvis noen vet hvordan dette gjøres.  Men det ligger foreløpig på is til vi har nye PGWer å leke med.  Inntil da er /64 det beste vi får til på FWA.

[slippern]

jkirkebo skrev (2 timer siden):

Testet og det fungerer dessverre bare delvis. Jeg får kun tildelt et /64 subnet. Prøvde å sette Prefix Delegation til /56 men får likevel bare et /64. Dermed får jeg ipv6 på hovednettet, men ikke på f.eks gjestenettet. 

Ja dessverre, en løsning er og bruke NAT dessverre.. 

[jkirkebo]

Bjørn Mork skrev (18 timer siden):

Utfordringen er at et mobilmodem typisk er en ruter som later som den er bridge.  Det er ikke trivielt å sende link local pakker gjennom en slik. Er avhengig av at firmwaren faktisk sender DHCPv6 pakkene videre til PGWen.  Evt fungerer som et lag 2 DHCPv6 relay.  Evt gjør DHCPv6 solicit selv og kjører en separat DHCPv6 server.  Men alt dette blir i så fall avhengig av den spesifikke implementasjonen, og det vet jeg ikke om jeg er så happy med.

 

Tar gjerne imot noen tips og triks hvis noen vet hvordan dette gjøres.  Men det ligger foreløpig på is til vi har nye PGWer å leke med.  Inntil da er /64 det beste vi får til på FWA.

Er ikke godt nok inne i alle detaljene dessverre. Her på hytta kjører jeg en Teltonika TRB500 5G gateway i bridge-modus foran en UniFi Cloud Gateway Max så det er full støtte for ipv6 PD. Har en UniFi Dream Machine Pro hjemme med SPF-modul fra Altibox rett i routeren og der fungerer PD helt supert (får en /56). Men det er jo ikke direkte krise uten ipv6 på gjestenettet da, var bare irriterende å ikke få det til 100% 😉