vServer als IPv4 Gateway via IPv6 Wireguard VPN Tunnel (für Dual Stack Lite Internet Anschluss)

    Hallo Netcup Community,

    ich habe in den letzten Tagen einen Wireguard S2S VPN Tunnel von meiner Home Firewall zu meinem vServer auf IPv6 Basis implementiert.
    Ziel des IPv6 S2S VPN Tunnel ist es, den IPv4 Internet Zugriff meines Zuhauses über den vServer ins Internet zu schicken. -> Wegen Dual Stack Lite Internet Anschluss

    Die Implementierung des ganzen ging auch ohne Probleme von statten.
    Allerdings musste ich feststellen, dass der Internet Zugriff durch den IPv6 S2S Wireguard VPN Tunnel auf verschiedene Internet Dienste (z.B. twitch.tv) extrem langsam ist, und der Zugriff manchmal auch gar nicht funktioniert.

    Das Surfen auf Standard Webseiten (google.de, heise.de, golem.de usw.) funktioniert extrem schnell und gut.
    Nur auf einzelne z.B. Streaming Dienste funktioniert nur sehr langsam oder gar nicht.

    Hat hier schon mal jemand etwas ähnliches konfiguriert/implementiert, und kann Erfahrungswerte bezüglich Performance austauschen?


    Gruß

    Nico

    Zitat von nickel01202

    Ziel des IPv6 S2S VPN Tunnel ist es, den IPv4 Internet Zugriff meines Zuhauses über den vServer ins Internet zu schicken. -> Wegen Dual Stack Lite Internet Anschluss

    Wieso willst du das denn so machen? Die Seiten sollten doch so oder so gehen, oder nicht? Wenn du Zuhause Services hosten willst, dann wäre das natürlich was anderes.


    Zitat von nickel01202

    Nur auf einzelne z.B. Streaming Dienste funktioniert nur sehr langsam oder gar nicht.

    Damit wirst du möglicherweise leben müssen. Einige Seiten hassen DC IPs und entweder bekommst du jede Menge Captchas entgegen geworfen, wirst rate limited oder manchmal sagen sie auch ganz offen, dass sie dich blocken.


    Zitat von nickel01202

    Nur auf einzelne z.B. Streaming Dienste funktioniert nur sehr langsam oder gar nicht.

    Streaming Dienste sind sehr allergisch gegenüber VPNs. Wäre interessant zu wissen, welche Seiten bei dir noch so betroffen sind. Ich habe hauptsächlich Erfahrung damit gemacht, weil die Telekom damals immer wieder Flachenhälse/schlechtes Routing/... hatte und Seiten wie Reddit kaum zu besuchen waren. VPN angeschmissen und schon hat das meiste durch das veränderte Routing super geladen. Aber dadurch bin ich halt auch auf die Blockprobleme gestoßen.


    Wenn du sagst der Zugriff funktioniert manchmal nicht, kommt denn eine Fehlermeldung? Einfach ein Timeout?

    Für ausgehenden Datenverkehr nutze ich so einen VPN Tunnel auch nur im Notfall (hinter restriktiven Firewalls). So eine VPN Lösung eignet sich hervorragend für Portweiterleitungen an DS-Lite oder CGNAT Anschlüssen.

    Zitat von Valkyrie

    Wieso willst du das denn so machen? Die Seiten sollten doch so oder so gehen, oder nicht? Wenn du Zuhause Services hosten willst, dann wäre das natürlich was anderes.

    Ich bekomme von meinem ISP leider nur noch eine IPv6 Adresse bzw. ein IPv6 Netz.
    Der IPv4 Zugriff findet über einen AFTR Tunnel mit CGNAT satt.
    Leider ist die CGNAT Infrastruktur des Providers regelmäßig überlastet, so dass die IPv4 Zugriffe in einen Timeout laufen.


    Zitat von Valkyrie

    Streaming Dienste sind sehr allergisch gegenüber VPNs. Wäre interessant zu wissen, welche Seiten bei dir noch so betroffen sind. Ich habe hauptsächlich Erfahrung damit gemacht, weil die Telekom damals immer wieder Flachenhälse/schlechtes Routing/... hatte und Seiten wie Reddit kaum zu besuchen waren. VPN angeschmissen und schon hat das meiste durch das veränderte Routing super geladen. Aber dadurch bin ich halt auch auf die Blockprobleme gestoßen.


    Wenn du sagst der Zugriff funktioniert manchmal nicht, kommt denn eine Fehlermeldung? Einfach ein Timeout?


    Ich bekomme tatsächlich keine Timeouts oder Error Meldung.
    Die Verbindung (Übertragungsgeschwindigkeit) ist einfach extrem langsam. Als wäre die Verbindung gedrosselt, oder das Peering zum Anbieter schlecht.
    Bisher ist es mir bei diesen Services aufgefallen. -> ARD und ZDF Mediathek (+ Live Streams), twitch.tv (Die Web Seite selbst + Streams)

    Amazon Prime und alle Dienste die zu Google gehören funktionieren immer, und sind auch performant.

    Ich möchte mit dem IPv6 Wireguard Tunnel eigentlich nur das schlechte CGNAT meines ISP umgehen, und wieder Spaß am schnellen und zuverlässigen Surfen im Internet haben.

    Zitat von nickel01202

    Amazon Prime und alle Dienste die zu Google gehören funktionieren immer, und sind auch performant.

    Dann ist das AFTR Gateway aber raus, denn zumindest Prime läuft auch über IPv4.



    Zitat von nickel01202

    Ich möchte mit dem IPv6 Wireguard Tunnel eigentlich nur das schlechte CGNAT meines ISP umgehen, und wieder Spaß am schnellen und zuverlässigen Surfen im Internet haben.

    Wie gesagt, hat Nachteile. Wenn deine Abgangs-IP nicht aus einem Pool für Privatkundenanschlüsse kommt, dann verweigern viele Dienste die Zusammenarbeit.


    Was mich noch stutzig macht: Du beklagst dich beim direkten Zugriff über deinen Provider über die langsame Übertragung und schlechten Zugriff. Und du beklagst dich bei deiner VPN Verbindung über langsame Übertragung und schlechten Zugriff. Merkst du was? Ich würde mal in Erwägung ziehen, abseits der Internetverbindung nach Ursachen zu suchen.

    Das ist jetzt ein wenig wildes Gerate, aber so wie ich heutige Internet-Architektur verstehe, gibt es spezielle Verträge und Interconnects zwischen den Endkunden-Providern wie Vodafone und den privaten Netzwerken der großen Content-Provider. Das geht wohl bis hin zu großen Caching-Servern, die direkt im RZ vom Provider stehen. Ich habe z.B. gehört, dass Netflix gerne Server dort einbaut, um die Last vom Netz zu nehmen. Wenn 3000 Leute im Providernetz die neuste Folge der gerade aktuellen Streaming-Serie gucken, dann braucht man dafür nicht 3000 individuelle Verbindungen.


    Leistungsmäßig ist das "normale" Internet wohl völlig abgehängt und der große Traffic spielt sich zwischen den großen Playern im direkten Peering statt. Die großen Exchanges sind dagegen wohl Zwerge.


    Zitat:

    Die Kollegen vom Decix machen immer Publicity damit, dass der größte Teil des deutschen Verkehrs bei ihnen vorbei geht. Das stimmt natürlich nicht. Der größte Teil des Verkehrs läuft nämlich zwischen den Top Tier Netzen und, heutzutage, den Top Tier Content Providern oder Content Distributers. Mit Bandbreiten, die man niemals in einem "settlement free"-peering veranstalten würde. Für eine NGO kann man sich schon mal auf eine Exchange Plattform aufschalten, aber eben nicht mit großen Kapazitäten.

    Quelle:

    https://www.heise.de/hintergrund/Missing-Link-Abschied-vom-Herrn-der-Routen-dem-Internetpionier-der-Telekom-4980616.html

    Zitat von nickel01202

    Allerdings musste ich feststellen, dass der Internet Zugriff durch den IPv6 S2S Wireguard VPN Tunnel auf verschiedene Internet Dienste (z.B. twitch.tv) extrem langsam ist, und der Zugriff manchmal auch gar nicht funktioniert.

    Hast du MSS clamping für TCP Traffic aktiviert? (via iptables auf dem Server)

    Zitat von frank_m

    Dann ist das AFTR Gateway aber raus, denn zumindest Prime läuft auch über IPv4.

    Ich gehe davon aus das du IPv6 gemeint hast, wenn du das AFTR Gateway als Ursache ausschließt.


    Zitat von frank_m

    Was mich noch stutzig macht: Du beklagst dich beim direkten Zugriff über deinen Provider über die langsame Übertragung und schlechten Zugriff. Und du beklagst dich bei deiner VPN Verbindung über langsame Übertragung und schlechten Zugriff. Merkst du was? Ich würde mal in Erwägung ziehen, abseits der Internetverbindung nach Ursachen zu suchen.

    Ich hab mich hier vermutlich nicht genau genug ausgedrückt.
    Der Internet Zugriff auf die IPv4 Internet Welt via AFTR Gateway des Provider ist nicht performant.
    Der Zugriff von meinem Internet Anschluss in die IPv6 Welt war und ist zu jedem Zeitpunkt gut und performant gewesen.
    Deshalb hatte ich mich dazu entschieden, mir mein eigenes Gateway für den Zugriff auf die IPv4 Welt via IPv6 Wireguard VPN zu meinem vServer zu bauen.

    Der Hinweis von Mixus war übrigens die noch fehlende Konfiguration! -> MSS clamping
    Jetzt läuft alles Performant und die Streams starten schnell und laufen stabil.