Der Vollständigkeit halber habe ich mich nun doch für eine Teltonika-Lösung entschieden und bin nach mehreren Konfigurationsanläufen nun auch in einem stabilen Zustand. Bisher konnte das Teil alles, was ich brauchte, und noch viel mehr.

ChuckS Danke für den Hinweis in Richtung Teltonika.

ISE Remote Connect habe ich erstmal deaktiviert, schaue ich mir separat nochmal an. Brauche ich aber glaube ich nicht.

Wenn du an der Home Base eine „OPNsense auf APU4​“ laufen hast, warum suchst du dir nicht eine (gebrauchte) APU und steckst einen einfachen LTE Router ans WAN Port.

Mit einem Mikrotik LTE Router kann das auch einfach realisiert werden, nur die Oberfläche ist gewöhnungsbedürftig…

Weil:

- die APU Boards mit halbwegs Leistung, so dass ich sie nach diesem Einsatz weiterverwenden kann (bspw. 4D4), recht teuer und gebraucht schlecht zu bekommen sind.
- ich kein 4G Modem rumfliegen habe, hätte ich also auch kaufen müssen.
- ich eine OneBox Lösung wollte.
- ich gelesen habe, dass FreeBSD und Modems sich nicht immer gut vertragen.
- ich mehr als 2 phys. Ports wollte (siehe Punkt 1).

Kannst du deine Einstellungen bitte mal posten?

Ich versuche auch seit gestern ein Teltonika RUT956 über LTE (Telekom SIM-Karte) einzurichten.
Datenverbindung steht, Dynamic DNS ist auch eingerichtet. Allerdings kann ich von extern die DNS-Adresse nicht anpingen. Wenn ich über den Teltonika verbunden bin, kann ich die Adresse anpingen.

Ich vermute, dass ich deshalb auch nichrt über Wireguard eine Verbindung herstellen kann.

Verbinde dich mal per LAN / WiFi mit dem Teltonika mit WAN über Mobile. Dann lass dir mal "Was ist meine IP?"-mäßig deine IP anzeigen und ping die mal von einem Drittgerät aus an. Du musst erstmal ausschließen, dass der DNS nicht korrekt aufgelöst wird. Ansonsten könnte es auch an irgendwelchen Firewall-Regeln liegen, die habe ich bei mir aber nicht angefasst. Vielleicht hast du da was gemacht?

Mein größtes Problem war, dass der Teltonika mit "APN: Auto" keine Datenverbindung hinbekommen hat. Ich musste die APN dann manuell ausfüllen, dann ging es. Das scheint aber nicht dein Problem zu sein, denn du schreibst ja, dass die Datenverbindung geht.

Meine Konfiguration bezog sich überwiegend auf Wireguard, kann dir also im Detail bei deinem Problem vermutlich nicht helfen.

Im Telekom Netz bekommt man ausschliesslich über den APN "internet.t-d1.de" eine funktionstüchtige VPN Verbindung ohne Umwege hin. 5G geht aber über diesen APN meines Wissens nicht.

Genaue Konfiguration gibts bei Google.

Wie lange das überhaupt noch funktioniert ist unklar. Ist immerhin nur ein Test-APN, keine vertragliche Leistung.

wenn du über LTE verbunden bist, bekommst du dann am WAN Port eine "richtige" public IP oder eine IP, die "geNATed" ist? Das ist abhängig von der SIM bzw. vom Provider der SIM Karte. Man bekommt nicht mit jeder SIM Karte eine "richtige" Internet v4 IP Address, da viele Provider eben "NATen".

Das ist übrigens auch bei mir der Fall, lässt sich aber lösen.

Am Beispiel Wireguard funktioniert das so: der "Client" (mit der geNATteten Adresse bzw. keiner festen IP muss die Verbindung in Richtung der statischen IP / DDNS Hostname initiieren. Sobald das erste Paket beim "Server" ankommt, ist diesem die Quelle (= geNATtete IP) bekannt und bis die Verbindung einen Timeout bekommt (ich meine bei UDP 30s), kann der Server den Client erreichen. Um bei Wireguard zu vermeiden, dass es einen "Verbindungsabriss" gibt, gibt es den Parameter "keepalive-interval" oder so ähnlich, der standardmäßig auf 0 bzw. optional 25s gesetzt ist (spitzfindige Denker werden sich fragen ob das was mit dem UDP Timeout von 30s zutun hat? ). Sobald sich die geNATtete IP ändert, bekommt das durch das keepalive Paket auch der Server schnell mit und aktualisiert seine Routing-Table.

Das Nutzen des keepalive-intervals ist aus Sicherheitsgründen nicht empfohlen, da Teil von Wireguard's Sicherheitskonzept ist, nur dann zu senden, wenn es eben unbedingt erforderlich ist (Paradigma: wenn nichts gesendet wird kann man auch nichts abfangen). Ob man damit leben kann muss jeder individuell selbst entscheiden. In meinem Fall ist das für mich persönlich akzeptabel und ich kann eine Site2Site Verbindung mit Wireguard mit einem Server (DDNS: MyFritz) und einem geNATteten Client (Mobilfunk) realisieren.

P.S. Server und Client habe ich hier nur zu Erklärungszwecken genutzt. Bei Wireguard sind es genau genommen zwei Instances mit jeweils einem Peer über Kreuz. Dieses Ganze "Site A" - "Site B" - Erkläre hat mich aber gedanklich mehr verwirrt als es mir geholfen hat.

P.P.S. Ich habe auch ein WAN-Failover konfiguriert, das mir ein bequemes Setup ermöglicht: Phys. WAN --> Heim-WiFi --> Mobilfunk; alles direkt über einen Tunnel.

So kann ich irgendein Kabel einstecken, das Teil zu Hause anmachen bzw. es irgendwo in die Steckdose stecken und ich habe nach dem Booten immer sofort einen Tunnel ohne von zu Hause beim Testen unnötig Datenvolumen zu verschleudern.

Vielen Dank für eure Antworten.
Dann ist die LTE-Verbindung für meinen Verwendungszweck nicht nutzbar.

Das ist eher ein Mangel am Willen zu Lesen gepaart mit den zwei anderen die irgendeinen Unsinn schreiben, der dich ungefähr null weiter bringt. Die Lösung für das nicht aussagekräftige Problem steht weiter oben, aber wenn du nicht lesen willst..

Wie schon vorher geschrieben; das Problem hatte ich auch mit der Fritz 6890. Von außen über LTE nicht erreichbar (bei O2). Es gab auch keine öffentliche IP. Angerufen, Problem erklärt, Angebot für einmalig 60 Euro zur Einrichtung einer öffentlichen IP gemacht, zugesagt und kurze Zeit später hatte ich die IP.

Daher: frag doch einfach mal deinen Provider, vielleicht macht die Telekom das auch für einen kleinen Obolus…

Da gefällt mir der wertende Ton aber gar nicht.

Er behauptet er kann sich nicht per Wireguard verbinden (wer ist denn eigentlich der Endpoint?) weil er eine (vermutlich) geNATtete Public IP nicht anpingen kann. Ich habe dann beschrieben wie es auch ohne DDNS mit Wireguard funktionieren kann.

Ich gebe dir recht, dass die Problembeschreibung nicht eindeutig ist. Dennoch ist das hier ein Forum und man wird Erkenntnisse wohl dokumentieren dürfen (vor allem im eigenen Thread). Mir hat das in der Vergangenheit schon oft geholfen.

Und nun bitte zurück zum Thema, das eigentlich schon gelöst ist. Ich würde sagen macht ein eigenes Thema auf, wenn es um das konkrete Problem geht.

->> https://hilfe.o2online.de/mobilfunk-...espot-2-581919

--> Telekom

--> https://forum.congstar.de/thread/608...ernet-t-d1-de/

--> https://telekomhilft.telekom.de/t5/M...e/td-p/6385215

--> https://newyear2006.wordpress.com/20...nter-t-mobile/



Es steht bereits alles in diesem Thread. Du und auch Noschvie verwirren andere, in dem Fall chris15 , nur mit dem Unsinn den ihr da schreibt.
Oder wie soll dein Kram da in irgendeiner Art und weise Hilfreich für das nicht näher beschriebene Problem sein?

Für Leute wie Noschvie spielt es sowieso keine Rolle, da er scheinbar aus Österreich kommt. Dort ist es dank ein paar ... des LTE-Forums mit Hilfe der RTR ohnehin bei jedem Provider möglich eine öffentliche IP zu bekommen. In Deutschland ist das aber eben etwas komplizierter. Der Amtsschimmel aka Bundesnetzagentur, der scheinbar gerade in der Lage ist ein Fax-Gerät zu bedienen, legt die EU-Richtlinien zu diesem Thema etwas anders aus als Österreich.

Insgesamt führt das dann zu sowas:


Hinzukommt, dass das was du hier beschreibst auch bereits auf Seite 1 genannt wurde.
Das ganze nennt sich UDP hole punching und wird von Zerotier oder Tailscale benutzt. Der eigentliche Traffic wird also nur im Ausnahmefall über einen dritten geleitet, anders als bei deiner AVM Site2Site Verbindung. Die Verwendung einer eines dritten als Relay hat Nachteile, welche sich eben über UDP hole punching überwinden lassen.

--> https://en.wikipedia.org/wiki/UDP_hole_punching


Generell ist ein nicht funktionierender Ping ein Indiz für gar nichts. Bessere Router lassen standardmäßig überhaupt gar keinen Ping von der WAN-Seite zu. Das hat Gründe...

--> https://de.wikipedia.org/wiki/Denial_of_Service
--> https://en.wikipedia.org/wiki/Ping_flood
--> https://de.wikipedia.org/wiki/Ping_of_Death

oder auch teilweise funktionsweise von shodan.io

Nur schlechte Consumer-Geräte wie die von AVM haben das ganze scheinbar immernoch standardmäßig aktiviert.​


Außerdem findet eine "genattete Verbindung" wie du sie beizeichnest sogut wie immer statt, wenn ein Gerät sich mit einem Router verbindet. Das nähere Problem im LTE-Netz oder DSlite Anschlüssen unter dem Begriff CGnat zusammengefasst, was eben zum fehlen der eigenen öffentlichen IP führt.

--> https://de.wikipedia.org/wiki/Carrier-grade_NAT

Danke für die Stichwortsammlung / Links, man lernt nie aus.