5G Zyxel NR7101: VPN Verbindung kann nicht aufgebaut werden

Hallo zusammen,

Ich versuche aktuell erfolglos zu meinem neuen UDR eine VPN Verbindung aufzubauen. Irgendwas scheint da nicht zu klappen und ich hoffe ihr könnt mir weiterhelfen.

Setup:

Internet via 5G Mobilfunk Router: Zyxel NR7101 im Bridge Mode (IP Passthrough).

Dahinter ist dann der UDR angeschlossen und bekommt auf dem WAN-Eingang die korrekte WAN-IP. Der UDR wählt sich auch bei noip ein zwecks DynDNS was gut funktioniert.

Nun habe ich erst erfolglos versucht mit L2TP eine VPN Verbindung aufzubauen. Auf meinem Windows 11 Notebook nutze ist bereits eine andere L2TP-Verbindung erfolgreich, aber L2TP zum UDR konnte wegen eines Handshake-Fehlers nie initialisiert werden.

Daher hab ich nun versucht, WireGuard zu nutzen. Die WireGuard-App auf dem Win11-Gerät kann die Verbindung auch initialisieren (das entnehme ich der grünen Anzeige), aber sobald das Wireguard VPN aktiv ist,

• habe ich keinen Internetzugang mehr (bin offline)
• kann ich keine Geräte im Netzwerk der UDR anpingen, auch nicht die UDR selbst
• und die UDR ist auch nicht via Browser bzw. https erreichbar.

Ich habe daraufhin in meiner Windows Firewall ICMP als Protokoll freigegeben und zusätzlich einen Registry Eintrag gesetzt, um Natting bei VPN Verbindungen zu erlauben. Auch ohne Erfolg.

Dann habe ich mein altes Surface 3 Pro mit Windows 10 getestet und konnte dort ebenfalls keine Verbindung aufbauen.

Wichtig: Ich kann mit meinem Pixel 6a via Teleport VPN eine VPN Verbindung aufbauen und dann auch die UDR anpingen.

Ich habe dann zusätzlich auf diesem Handy WireGuard installiert, aber auch hier kann via WireGuard keine Verbindung aufgebaut werden.

Ich habe noch zusätzlich versucht im Zyxel Mobilfunk Router die UDR in der DMZ einzutragen und für die WireGuard-Ports eine Weiterleitung einzurichten, was aber ebenfalls nicht geholfen hat. Eigentlich dachte ich, dass diese Konfiguratoren im Bridge Mode nicht nötig sind, weil der Traffic ja durchgeroutet wird.

Jetzt weiß ich auch nicht weiter. Es sieht für mich nicht nach einem Client Problem aus. Ich hab für die Verbindungstest erst mein Kabel-Internet via Fritzbox von Vodafone genutzt und danach auch beim Handy die O2 Mobilfunk Verbindung. Stets dasselbe Ergebnis.

Weiß jemand wieder? Bin dankbar für eure Beiträge!

Meine öffentliche IP startet mit 10.168.x.x, sieht also gut aus. Diese IP ist bei der UDR gelistet.

Ich hab eben auch versucht die IP ohne aktiviertes VPN anzupingen, geht aber nicht. Da scheint noch ICMP inaktiv zu sein, ich hab die Einstellung dafür aber noch nicht gefunden.

Äh ja stimmt! Da hast du Recht! Dass mir die 10er Adresse nicht aufgefallen ist... :O Das erklärt dann wohl einiges. Aber warum, das ist nun die Frage.

Hm, dann passt nun aber was am Zyxel Router nicht. Dort steht diese 10er IP bei "Cellular Info", also eigentlich bei der WAN IP-Adresse (was so ja keinen Sinn macht).

Auf https://www.wieistmeineip.de/ erhalte ich eine 80er IP.

Ich dachte, dass im Bridge Mode eigentlich kein Natting aktiv ist. Zumindest ist der Bridge Mode aktiv, wird hier als IP Passthrough bezeichnet:

Außerdem hab ich es mit folgenden NAT Settings versucht:

und

Aber die öffentliche WAN IP bekomme ich damit auch nicht.

Kennt sich sonst jemand mit dem Zyxel Gerät aus?

Zitat von anton

Wieso macht es keinen Sinn? Weltweit herrscht eine Knappheit an IPv4 Adressen. Deswegen gehen Provider immer mehr dazu über, Private Adressräume zu nutzen, weil sie keine „echten“ mehr bekommen. Du wirst ja nicht in Österreich sein, uns müssen sie echte IPv4 geben 😀

Hi, stimmt, aber hatte ich so zumindest noch nicht bei Mobilfunkadressen gesehen. Und ja, ich komme aus Deutschland Ist ja spannend dass man in Österreich stets eine echte IPv4 erhält!

Zitat von gierig

Weil dein Privider dir keien Öffentliche IP gegeben hat bei deiner Verbidung. Dein Vertrag das nicht beinhaltet.

Das Extra Kostet..

Natührlich siehst du auf wieistmeine IP ein Öffentliche IP. Wie gesagt dein Anbieter gibt die ne Private IP,

und macht dann NAT ins restliche Internet für dich. Du Teilst dir die IP mit nen Haufen anderer Leute.

Mein 5G Provider ist die Telekom. Ich habe das Glück hier einen Business-Account nutzen zu können, da sind die Reaktionszeiten sehr schnell. Der nette Telekom-Ansprechpartner hat mir nun die passenden APN-Einwahldaten genannt, damit ich eine öffentliche IPv4-Adresse erhalte:

internet.t-d1.de (vorher war in meinem 5G Router der alte APN internet.t-mobile)

Auth type: pap

IP type: IPv4&v6

Mit dem passenden User und Passwort erhalte ich nun auch eine öffentliche IP welche mit 37 beginnt. Der UDR gibt diese IP reaktionsschnell an noip weiter und schon funktioniert auch Wireguard! Super!

Was mir noch am Zyxel Router aufgefallen ist: Nach einem Neustart musste ich wieder die PIN für die SIM-Karte eintragen. Man kann dies aber im Router deaktivieren, damit der Router beim Neustart sich automatisch einwählt. Die Einstellung heißt "PIN Protection" und muss ausgeschaltet werden, indem man dabei nochmals die PIN angibt. Vielleicht hilfts ja jemandem....

Danke für eure Hilfe!

Eine Frage hätte ich noch... Ich kann leider die UDR immer noch nicht aus dem Internet anpingen. Ping von Zyxel NR7101 zu UDR funktioniert, wenn ich die Public IP verwende. Ich habe vorher in der UDR dementsprechende Firewall Regeln gesetzt. Wenn ich die UDR ausstöpsel, dann geht auch nicht mehr der PING von der NR7101 was zeigt dass die Public IP auf die UDR verweist.

Innerhalb des NR7101 habe ich mehrere Firewall Regeln gesetzt, welche ICMP und ICMPv6 Requests und Responses erlauben sollen. Bin unsicher, ob das im Bridge Mode überhaupt notwendig ist, aber ich habe es trotzdem mal (erfolglos) versucht. Nutzt jemand sonst auch diesen Router oder hat sonst eine andere Idee, woran es hier scheitern könnte?

Hm stimmt, mein tracert Test stoppt tatsächlich bei einer Telekom IP. Oh Mann, nervig dass die Telekom Ping blockiert, damit hatte ich nun nicht gerechnet. Immerhin scheint nun klar zu sein warum es nicht geht. Ich hatte schon extra zusätzlich den Zyxel Support kontaktiert...

Letztlich wollte ich den Ping fürs Monitoring nutzen um zu checken ob die 5G Verbindung noch läuft. Was könnte ich denn nun tun? Gibt es andere Ports der UDR die ich fürs Monitoring nutzen könnte?

Nun ja, ich hab nun mal die Admin Oberfläche fürs WAN aktiviert, so kann ich nun via https prüfen ob die UDM läuft. Ist nur nicht so cool, dass die Admin Oberfläche nun generell erreichbar ist...

Noch ein Nachtrag zu 5G Mobilfunk Routern. Hier hatte ich nun 2 Modelle getestet, ähnlich wie in diesem Thread:

UDM und ZTE HyperBox 5G MC801A (Telekom)

Zuerst hatte ich den ZTE MC801A 5G im Einsatz, aber wie bereits im verlinkten Thread beschrieben funktioniert hier der Bridge Mode nicht richtig. Ich hatte das länger versucht zu testen, musste das Gerät dann aber doch zurückschicken.
Danach hab ich mich dann dem Zyxel NR7101 zugewendet, welches ca. doppelt so teuer ist wie der ZTE, aber dafür funktioniert der sog. IP Passthrough Mode (Bridge Mode) dort zuverlässig und die Performance ist auch bereits sehr gut. Ich habe das Gerät allerdings noch nicht im finalen Ort installiert. Ich erwarte hier noch bessere Downstreams als jetzt, da ich am finalen Ort Sichtkontakt mit dem Sendemast habe. Aktuell sinds 300-400 mbit/s, am finalen Ort konnte ein Test-Handy knapp 700 mbit/s erreichen.

Problem beim Zyxel Gerät ist allerdings DDNS im IP Passthrough Modus. Obwohl das Gerät in diesem Modus ausgeliefert wird, funktioniert DDNS im IP Passthrough Modus nicht. Bisher hat das testweise nur im Router Modus geklappt. Im IP Passthrough Modus kommt es zu folgendem Fehler:

"beDynamicDnsStart : Enter

ddnsGetInterfaceName: enter, 4

Command /usr/sbin/ez-ipupdate -S noip -h myurl.myddns.me -u hiddenuseraccount@gmail.com:password -i wwan0 -t 10

ioctl(SIOCGIFADDR): Cannot assign requested address

could not resolve ip address for wwan0

Can not get IP Address in DDNS_StatusLog"

Woher ich die Logs habe? Ich hab ein Support Ticket mit Zyxel am Laufen und hatte bereits 3 Online Support Calls; zuerst nur mit den 1st Level Support aus Tschechien, danach auch mit dem 2nd? / 3rd? Level Support aus Taiwan. Natürlich alles englisch-sprachig, aber das ist für mich kein Problem. Zusammen mit dem Support haben wir uns dann auch via SSH auf den Zyxel Router eingewählt, wofür ein geheimes Zyxel-Passwort nötig war. Letzteres konnte ich bei einer FTP-Session mit Filezilla sichern Hilft mir nur gerade trotzdem nicht weiter -.-

Firmware Update wurde auch schon gemacht. Nun warte ich wieder auf deren Reaktion und hoffe, dass es nicht heißt dass DDNS im IP Passthrough Modus nicht vorgesehen sei.

Hintergrund: Ich nutze bei meiner UDM SE 2 WAN Eingänge, kann im Unifi-Controller aber nur 1x noip als Serviceprovider selektieren. Das ist leider eine sehr doofe Limitierung von Unifi. Daher möchte ich für die 5G Verbindung die noip Updates über den Zyxel Router senden lassen, um weiterhin alle DDNS URLs mit noip zu managen. Schließlich zahle ich für deren Abo und das würde ich auch weiterhin gerne nutzen.