Gelöst

Cloudflare Peering - Workarounds

vor 5 Monaten

Als Workaround für Probleme mit z.B. Cloudflare Peering wird hier öfter auf VPNs verwiesen. Das hat auf den ersten Blick den Nachteil, dass man sämtlichen Traffic durchs VPN leitet. Was suboptimal erscheint, denn die schöne neue Glasfaserleitung wird durch das VPN ja nicht gerade schneller.

 

Ideal wäre also, nur Cloudflare durch das VPN , und den restlichen Traffic über den normalen Weg via Glasfaser zu leiten:

 

Split-Tunneling oder Policy Based Routing FTW.

 

Das Wichtigste, die Cloudflare IPs. Gibt es hier zum Rauskopieren:

https://www.cloudflare.com/ips-v4/#

 

Split-Tunneling Ansatz

 

Für ein Split-Tunnel VPN habe ich mir beim VPN -Provider eine Wireguard Config für einen Router erstellt. Frankfurt erschien als gute Wahl für den VPN Server.

 

Dann die Wireguard Config mit einem Text-Editor öffnen & anpassen. Bei “AllowedIPs” 0.0.0.0/0 entfernen, und die Cloudflare IPs, sowie die DNS Server einfügen. Würde dann mit u.g. vorgegebenen DNS-Servern und CF-IPs beispielhaft so aussehen:

 

[Interface]

PrivateKey = <redacted>

Address = 100.64.19.242/32

DNS = 198.18.0.1,198.18.0.2




[Peer]

PublicKey = <redacted>

AllowedIPs = 198.18.0.1,198.18.0.2,173.245.48.0/20,103.21.244.0/22,103.22.200.0/22,103.31.4.0/22,141.101.64.0/18,108.162.192.0/18,190.93.240.0/20,188.114.96.0/20,197.234.240.0/22,198.41.128.0/17,162.158.0.0/15,104.16.0.0/13,104.24.0.0/14,172.64.0.0/13,131.0.72.0/22

Endpoint = <redacted>:51820

 

Wer experimentieren mag, eventuell kann man das auch so in eine FritzBox importieren.

 

Ohne VPN sieht ein mtr so aus:

Screenshot 2024-11-20 at 07.44.24.png

Wenn man mit dieser Config dann die VPN -Vebindung startet:

Screenshot 2024-11-20 at 07.45.11.png

Kannten wir alles schon.

 

Der eigentlich Vorteil ist aber nun, dass, egal ob mit oder ohne VPN , Ziele ausserhalb der oben eingepflegten Netze direkt erreichbar sind. Hier ein Beispiel mit verbundenem VPN -Client:

Screenshot 2024-11-20 at 07.45.36.png

heise.de wird direkt, ohne VPN angesprochen, obwohl das VPN verbunden ist.

 

 

Policy-Based Routing Ansatz

 

Hier ein alternativer Lösungsansatz - nicht beschränkt auf einen einzelnen Client, sondern für das ganze Heimnetz - via Policy Based Routing. Für Nutzer mit z.B. einer freien Firewallsoftware wie OPNsense oder z.B. einem GL-Inet / UniFi Gateway.

Ziel für die Umleitung des Traffics kann ein VPN , ein Mobilfunkrouter oder wenn vorhanden zweiter ISP sein.

 

IPv6 kann man auch umleiten, aber das ist komplexer und würde diesen kurzen Guide sprengen: daher IPv6 abschalten.

 

Mit OPNsense könnte man das mit diesem Guide erledigen, ungetestet: https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html

 

Da hier einige mit UniFi Gateway unterwegs sind, exemplarisch eine Anleitung dafür. Erfolgreicher Test läuft schon seit ein paar Tagen:

 

Unter “ VPN -> VPN Client” eine VPN Config einspielen und warten, bis sie grün wird.

Unter “Routing -> Policy-Based Routes” die Cloudflare Netze (oder andere problematische Netze/IPs) als Batch Import einpflegen:

Screenshot 2024-11-20 at 08.17.32.png

 

Sobald das aktiv ist, ist der o.g. Cloudflare Testhost für alle Clients mit guter Latenz aus dem ganzen LAN via VPN erreichbar:

Screenshot 2024-11-20 at 08.19.01.png

 

Und wieder das Beispiel heise.de, welches trotzdem direkt angesteuert wird.

 

Screenshot 2024-11-20 at 08.19.19.png

805

16

  • Akzeptierte Lösung

    akzeptiert von

    vor 5 Monaten

    RoadrunnerDD

    halte ich diesen Beitrag hier für nen echten Mehrwert.

    halte ich diesen Beitrag hier für nen echten Mehrwert.
    RoadrunnerDD
    halte ich diesen Beitrag hier für nen echten Mehrwert.

    Auf jeden Fall 👍

     

    Der Beitrag gehört für mich ins Wiki 

    0

  • Akzeptierte Lösung

    akzeptiert von

    vor 5 Monaten

    der_Lutz

    Der Beitrag gehört für mich ins Wiki

    Der Beitrag gehört für mich ins Wiki 
    der_Lutz
    Der Beitrag gehört für mich ins Wiki 

     

    Hallo @staengfoenster 

     

    ich habe einen Wiki-Beitrag erstellt:

     

    Peering -Workarounds/ta-p/7028687" target="_blank">https://telekomhilft.telekom.de/t5/Sonstiges/Cloudflare- Peering -Workarounds/ta-p/7028687

     

    Ich hoffe, dass ist in Ordnung.

    Ganz unten die Quelle, und DU als Autor

     

     

    Viele Grüße

    Marcel

     

     

    6

    Antwort

    von

    vor einem Monat

    @user_4c0bcc ich benutzte Mullvad über den Provider 31173, die scheinen ein gutes Peering zu Telekom zu haben. Entweder über Berlin oder Frankfurt, je nach dem was für dich besser funktioniert.

    Antwort

    von

    vor einem Monat

    user_4c0bcc

    Mich würd ja mal interessieren welchen VPN -Anbieter ihr so euer Vertrauen aussprecht bzw. aussprechen würdet und was man für sowas pro Monat löhnt.

    Mich würd ja mal interessieren welchen VPN -Anbieter ihr so euer Vertrauen aussprecht bzw. aussprechen würdet und was man für sowas pro Monat löhnt.

    Ganz ehrlich - ich seh es nicht ein für 50€ im Monat von der Telekom eine Leitung gestellt zu bekommen, die Bandbreitentechnisch schön aussieht, aber nicht bis ins letzte Eck des WWW vordringen kann, weil die Telekom der Meinung ist bei den Peer-Partnern Kasse zu machen UND ich somit genötigt werde einen VPN -Anbieter zwischenzuschalten um anständig im Netz surfen zu können.

    Telekom-Fanboys bitte bleibt mir fern mit "SoWaS MaChT DiE TeLeKoM NiChT" - sie setzt DPI ein und somit ist ein QoS möglich und wie man sieht auch im Einsatz.



    @Marcel2605 : auch hier ist dein Link kaputt - target="_blank"> hat da nichts verloren

    Marcel2605

    Peering -Workarounds/ta-p/7028687" target="_blank">https://telekomhilft.telekom.de/t5/Sonstiges/Cloudflare- Peering -Workarounds/ta-p/7028687

    der_Lutz

    Der Beitrag gehört für mich ins Wiki

    Der Beitrag gehört für mich ins Wiki 
    der_Lutz
    Der Beitrag gehört für mich ins Wiki 

     

    Hallo @staengfoenster 

     

    ich habe einen Wiki-Beitrag erstellt:

     

    https://telekomhilft.telekom.de/t5/Sonstiges/Cloudflare- Peering -Workarounds/ta-p/7028687

     

    Ich hoffe, dass ist in Ordnung.

    Ganz unten die Quelle, und DU als Autor

     

     

    Viele Grüße

    Marcel

     

     

    Marcel2605
    Peering -Workarounds/ta-p/7028687" target="_blank">https://telekomhilft.telekom.de/t5/Sonstiges/Cloudflare- Peering -Workarounds/ta-p/7028687

    user_4c0bcc
    Mich würd ja mal interessieren welchen VPN -Anbieter ihr so euer Vertrauen aussprecht bzw. aussprechen würdet und was man für sowas pro Monat löhnt.

    Ich nutze NordVPN, sind um die 80 € für 2 Jahre für Basis und hat mir bisher gute Dienste geleistet.

    Antwort

    von

    vor einem Monat

    Ich hab einen Account bei PrivadoVPN (sitzen in der Schweiz), nutze aber selektiv für problematischen Traffic i.d.R. meine eh vorhandene Vodafone Backup Leitung.

    Uneingeloggter Nutzer

    Antwort

    von

Das könnte Ihnen auch weiterhelfen

Cloudflare Peering - Workarounds

vor 5 Monaten

in  

Sonstiges

606

12

2

Cloudflare Peering

vor 3 Jahren

in  

Festnetz & Internet

1160

0

3

Gelöst
Cloudflare Peering - ein Vergleich

vor 5 Monaten

in  

Festnetz & Internet

4817

0

31

Peering Probleme zu Cloudflare?

vor 3 Jahren

in  

Festnetz & Internet

3782

2

3

Gelöst
IPv6 Cloudflare Packet Loss (Telecom Italia (Seabone) Peering Schuld?)

vor 6 Jahren

in  

Festnetz & Internet

1483

2

2

Beliebte Tags letzte 7 Tage

Keine Tags gefunden!

Das könnte Sie auch interessieren

 

Social Media

Telekom FacebookTelekom InstagramTelekom X

Cookies and similar technologies

We use cookies and similar technologies (including ) on our website to save, read out and process information on your device. In doing so, we enhance your experience, analyze site traffic, and show you content and ads that interest you. User profiles are created across websites and devices for this purpose. Our partners use these technologies as well.


By selecting “Only Required”, you only accept cookies that make our website function properly. “Accept All” means that you allow access to information on your device and the use of all cookies for analytics and marketing purposes by Telekom Deutschland GmbH and our partners. Your data might then be transferred to countries outside the European Union where we cannot ensure the same level of data protection as in the EU (see Art. 49 (1) a GDPR). Under “Settings”, you can specify everything in detail and change your consent at any time.


Find more information in the Privacy Policy and Partner List.

Use of Utiq technology powered by your telecom operator


We, Telekom Deutschland GmbH, use the Utiq technology for digital marketing or analytics (as described on this consent notice) based on your browsing activity across our websites, listed here (only if you are using a supported internet connection provided by a participating telecom operator and consent on each website).

The Utiq technology is privacy centric to give you choice and control.

It uses an identifier created by your telecom operator based on your IP address and a telecom reference such as your telecom account (e.g., mobile number).

The identifier is assigned to the internet connection, so anyone connecting their device and consenting to the Utiq technology will receive the same identifier. Typically:

  • on a broadband connection (e.g., Wi-Fi), the marketing or analytics will be performed based on the browsing activities of consenting household members’.
  • on mobile data, the marketing will be more personalised, as it will be based on the browsing of the individual mobile user only.

By consenting, you confirm that you have permission from the telecom account holder to enable the Utiq technology on this internet connection.

You can withdraw this consent anytime via "Manage Utiq" at the bottom of this site or in Utiq’s privacy portal (“consenthub”). For more, see Utiq's privacy statement.