Freifunk-Bremen - Kein VPN via Vodafone Kabel Deutschland / Fritzbox

Hallo zusammen,

habe jetzt ausführlich gesucht, hier im Forum und in Google - aber wenig drüber gefunden.
Ich hoffe, ich bin in dieser Kategorie richtig mit meiner Frage.

Bin gerade dabei, einen neuen Router einzurichten - mein Provider ist Kabel-Deutschland.
Problem dabei:
WLAN-Freifunk-Clients bekommen immer nur „IP-Adresse wird abgerufen“ - dann bleibt der Verbindungsaufbau stehen, d.h. es kommt keine nutzbare Verbindung zustande.

Das Problem tritt sowohl mit dem TP-LINK WDR3600 als auch mit dem WR841N auf, ich vermute daher, dass es sich nicht um ein Hardware-Problem handelt, sondern mglw um das bekannte Kabel-Deutschland Problem (Stichwort: MTU).

Dieses hier habe ich gefunden:
https://wiki.freifunk.in-kiel.de/wiki/Freifunk_an_einem_Kabel_Deutschland_Anschluss
weiß aber nicht, ob genau DAS auch mein Problem ist.

Nun sitze ich in Bremen, die Lösung aus dem Kiel-Wiki kann ich für Bremen wohl kaum verwenden, weil Kiel-Server angesprochen werden.

Was kann ich tun?
Bin ich der einzige mit diesem Problem?
Meine Bremer Kollegen habe ich noch nicht angesprochen - habe vor, im Januar zu einem Treffen hier zu gehen.

Mit SSH kann ich mich auf meinen Router verbinden, könnte also Commands dort ausführen, falls das irgendwie hilft.

Dankeschön!

PS: Der Haupt-Router ist eine Fritzbox Cable 6360.
PPS: Und noch eine Info, die vielleicht hilfreich ist: An einem EWE-/Nordcom-Provider funktioniert alles bestens mit GENAU diesen beiden Routern.

es waere noch super wenn wir wuessten welche Firmware du hast
Ich gehe von Bremen aus aber das ist ja Raten…

Wenn ich gluon-site-ffhb/site.conf at master · FreifunkBremen/gluon-site-ffhb · GitHub richtig verstehe, dann ist die MTU auf 1426, also kaum eine Chance für DSlite/CGN-Anschlüsse.

Da wird sich der PeterLustig halt eine andere Community suchen müssen. Aber auch die von Wiesebaden (das wäre die Community in der Nähe von Bärstadt) hilft nicht wirklich, weil dort derzeit 1406.
Für CGN via IPv4 braucht es im MTU-Limbo halt mindestens 1364 nach meiner Erfahrung.

Wir sitzen auch im Kabeldeutschland Verbreitungsgebiet und bei uns spielt MTU 1406 sehr gut an diesen Anschlüssen. Und ich habe selber bei mehreren Kabeldeutschland Kunden einen Knoten installiert. Woher kommt also die Mär das man seine MTU so tief setzen muss?

Hier ein Ping von einem Knoten der an einem Kabeldeutschland Anschluss mit Hitron Modem/Router und DS-Lite hängt:

root@freifunk-gitti:~# ping -6 -c 4 -s 1452 ffuegw2.freifunk-uelzen.de
PING ffuegw2.freifunk-uelzen.de (2a03:4000:6:2143::1): 1452 data bytes
1460 bytes from 2a03:4000:6:2143::1: seq=0 ttl=54 time=28.394 ms
1460 bytes from 2a03:4000:6:2143::1: seq=1 ttl=54 time=28.705 ms
1460 bytes from 2a03:4000:6:2143::1: seq=2 ttl=54 time=28.175 ms
1460 bytes from 2a03:4000:6:2143::1: seq=3 ttl=54 time=28.236 ms

— ffuegw2.freifunk-uelzen.de ping statistics —
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 28.175/28.377/28.705 ms
root@freifunk-gitti:~# ping -6 -c 4 -s 1453 ffuegw2.freifunk-uelzen.de
PING ffuegw2.freifunk-uelzen.de (2a03:4000:6:2143::1): 1453 data bytes

— ffuegw2.freifunk-uelzen.de ping statistics —
4 packets transmitted, 0 packets received, 100% packet loss
root@freifunk-gitti:~#

Wie man sieht ist erst bei 1453 Schluss. Und selbst wenn ich hier jetzt noch irgendwelche Header abziehe wäre ich bei 1412. Ich weiß das die MTU Diskussion schon zu genüge geführt wurde, deswegen kann ich nur sagen bei uns läufts mit 1406 an allen Anschlüssen die in unserer Gegend Verwendung finden.

du hast aber sicher ein v4 oder DS Anschluss … die „neuen“ v6 only (v4 nur via DSLite) koennen nur mit kleinerer MTU weil der Tunnel in den Tunnel muss.

Nein. Das ist definitiv ein DS-Lite Anschluss.

FastD Tunnel via IPv6 zum Gateway aufgebaut.

Tue Dec 29 15:20:27 2015 daemon.info fastd[1137]: [2a03:4000:6:b074::1]:10006 authorized as mesh_vpn_backbone_peer_ffuegw4
Tue Dec 29 15:20:27 2015 daemon.info fastd[1137]: new session with mesh_vpn_backbone_peer_ffuegw4 established using method `salsa2012+umac’.

Mesh VPN MTU 1406

mesh-vpn Link encap:Ethernet HWaddr 66:74:02:64:B4:46
inet6 addr: fe80::6474:2ff:fe64:b446/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1406 Metric:1
RX packets:46673802 errors:0 dropped:1 overruns:0 frame:0
TX packets:10862567 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:234866683 (223.9 MiB) TX bytes:1633990987 (1.5 GiB)

Mag sein das es bei UnityMedia anders aussieht, wir brauchten uns nie Gedanken über die MTU in unserem Kabeldeutschland Gebiet machen. Ich habe mich immer schon gefragt was ihr da für ein gehampel mit den MTUs hattet, bei uns lief und läuft es ohne Probleme an Kabel Internet Anschlüssen.

IPv6 macht hier den Unterschied. Das ist ja native und nur IPv4 kommt in den Tunnel.

Ich benutze diese hier:
http://downloads.bremen.freifunk.net/firmware/stable/factory/gluon-ffhb-2015.1.2+bremen2-tp-link-tl-wdr3600-v1.bin
und auf dem anderen Router diese:
http://downloads.bremen.freifunk.net/firmware/stable/factory/gluon-ffhb-2015.1.2+bremen2-tp-link-tl-wr841n-nd-v9.bin

Bei IPv6 wächst aber auch das fastd Frame und damit wird die benötigte MTU kleiner. Man bräuchte 1406, um natives v6 zu benutzen.

Ach du meinst Communitys die es bis dato nicht geschafft haben ihre Gateways/Supernodes ne IPv6 Adresse zu verpassen und wo deswegen die Knoten über den DS-Lite Tunnel müssen?

Ach schau an, Bremen ist auch so rückständig.

remotes = {‚ipv4 „vpn01.bremen.freifunk.net“ port 10000‘, ‚ipv4 „vpn01.ffhb.de“ port 10000‘},

Tja, dann hat der Threadstarter natürlich ein Problem. Soll er mal Druck machen bei seiner Community, das wir noch im Jahre 2015 leben und IPv6 kein Hexenwerk mehr ist.

Aber schön zu sehen, dass Du jetzt auch verstanden hast, was ich oben im Thread geschrieben habe.
Die MTU pass nicht zum Setup.
Aber vielleicht hätte ich es auch besser als persönlichen Angriff auf die Community formulieren sollen, damit Du nicht mich nicht als den Trottel (oder Märchenonkel) hinstellt, der keine MTU ausrechnen kann.
Wäre auch echt schwierig gewesen vor Deinem Herumgepflaume mal in die genutzte Site.Conf hinein zu schauen, zumal wenn sie im Posting schon verlinkt ist welches Du beantwortest.

Ich weiß wohl, worum es in etwa geht, kann aber die Inhalte selber nicht wirklich nachvollziehen. Muss ich aber auch nicht - bin ja Anwender

Erstmal danke für die Diskussion und die Infos - ich drucke den Fred aus und gehe damit zum nächsten Treffen hier in Bremen…

Was genau müssen die Jungs von der Technik hier in Bremen denn ändern in ihrer config?
Wenn ich es richtig verstanden habe, dann müssen sie unserem Gateway eine IPv6-Adresse spendieren und dann klappt das mit Kaisers Drugstore??

Gateways brauchen IPv6 Anbindung. In der site.conf die Gateways nicht auf IPv4 festnageln und die Mesh-VPN MTU auf 1406 oder weniger setzen.

Nun ist dieses Thema ja schon eine Weile her, auch hat sich bei mir ein Simon über Facebook gemeldet, jedoch ist er trotz Verabredung nie bei uns erschienen, um sich das Problem anzusehen.

Stand der Dinge ist heute:
Unser Freifunk läuft immer noch nicht.
Firmware wurde aktualisiert.
Wir sind immer noch bei Kabeldeutschland.

Ich kann nur sagen, dass meine Ansage von Ende 2015 nach wie vor gültig sein wird.
Mit der MTU geht’s nicht. Es kann aber auch an Routersettings liegen…

Rufe Mal bei Vodafone (Kabel Deutschland) an, und lass das Ds-Lite abschalten.
Wegen Freifunk würde ich nichts sagen, sag einfach du kannst sonst von aussen nicht zugreifen.
Das wird dann nach ein paar Stunden erledigt sein. hatte ich auch.
Eventuell musst du die Fritzbox dann noch mal 10 Sek vom Strom trennen.

Nun habe ich letzte Woche mit kabeldeutschland telefoniert, und sie haben (angeblich) das DS-Lite seit Montag abgeschaltet. Aber funktionieren tut es immer noch nicht.

Liebe Menschen vom Freifunk-Bremen - kann es wirklich sein, dass kein kabeldeutschland-Kunde in Bremen mit Freifunk arbeiten kann? Bin ich der einzige, der das Problem hat?

Weiter oben wurde geschrieben, freifunk sollte eine echte ipv6-Adresse irgendwo eintragen - das liegt außerhalb meines Einflussbereiches.

Dieses Problem ist nun diverse Monate alt bzw. bekannt - und keine Lösung in Sicht???

Vielleicht nützliche Info für Freifunk-Menschen:

http://test-ipv6.com liefert folgendes Ergebnis:

• Ihre IPv4 Internet-Adresse ist höchstwahrscheinlich 77.22.198.19
• Ihr Internet Service Provider (ISP) scheint zu sein: KABELDEUTSCHLAND-AS, DE
• Keine IPv6-Adresse erkannt [mehr Infos]
• Gute Nachrichten! Ihre Konfiguration wird auch weiterhin funktionieren,wenn andere Webseiten IPv6 aktivieren.
• Wenn Inhalte sowohl via IPv4 als auch via IPv6 verfügbar sind, benutzt Ihr Webbrowser IPv4 ohne Einschränkungen in der Qualität.
• Verbindungen zu Inhalten welche nur via IPv6 erreichbar sind, resultieren in einer Zeitüberschreitung. Alle Webseiten welche nur via IPv6 erreichbar sind, werden daher nicht funktionieren.
• Ihr DNS Server (wahrscheinlich von Ihrem ISP betrieben) scheint über IPv6-Internetzugriff zu verfügen.

Mein Router 6360 FritzBox mit OS 6.50 sagt:

• InternetverbindungIPv4: verbunden seit 10.05.2017, 18:04 Uhr, Kabel Deutschland, IP-Adresse: 77.22.198.19
• IPv6: verbunden seit 10.05.2017, 18:04 Uhr, Kabel Deutschland, IPv6-Adresse: 2a02:8109::8:2123:6b41:96fa:817

Nach dem was Du gespostet hat ist DL-Lite abgeschaltet.

Entweder Du hängst noch an irgendeiner Portsperre in einer „Firewall“ (Gastnetz oder o.ä.) oder aber Eure MTU ist völlig wild.

(BTW: Andere Leute mit VKD können zumindest Freifunk-Nordwest gut nutzen. Aber da sind evtl. die Settings anders. Ohne Kenntnisse der Site.con der betroffenen Domain wird’s leider zum Ratespiel).

Bremen nutzt wie wir auch, fastd und eine MTU von 1280. Laut dem Kieler Wiki funktoniert mit DS-Lite nur eine MTU von 1370 korrekt.

Hast du dich mal direkt an die Bremer gewandt? Ggf kann man dir beim lokalen Freifunk Treffen besser helfen.

… maximal 1370.

Anscheinend machen nur manche wenige KD anschlüsse diese Probleme als wir noch eine höhere MTU hatten

Wir benutzen in Kiel und Freifunk Nord eine MTU von 1280, also das minimal mögliche, und das läuft gut seit Jahren (mit Batman 14, wir haben das Problem in Nord lieber noch nicht heraufbeschworen unter Batman 15)