Gelöst
Cloudflare Peering - Workarounds
vor 5 Monaten
Als Workaround für Probleme mit z.B. Cloudflare Peering wird hier öfter auf VPNs verwiesen. Das hat auf den ersten Blick den Nachteil, dass man sämtlichen Traffic durchs VPN leitet. Was suboptimal erscheint, denn die schöne neue Glasfaserleitung wird durch das VPN ja nicht gerade schneller.
Ideal wäre also, nur Cloudflare durch das VPN , und den restlichen Traffic über den normalen Weg via Glasfaser zu leiten:
Split-Tunneling oder Policy Based Routing FTW.
Das Wichtigste, die Cloudflare IPs. Gibt es hier zum Rauskopieren:
https://www.cloudflare.com/ips-v4/#
Split-Tunneling Ansatz
Für ein Split-Tunnel VPN habe ich mir beim VPN -Provider eine Wireguard Config für einen Router erstellt. Frankfurt erschien als gute Wahl für den VPN Server.
Dann die Wireguard Config mit einem Text-Editor öffnen & anpassen. Bei “AllowedIPs” 0.0.0.0/0 entfernen, und die Cloudflare IPs, sowie die DNS Server einfügen. Würde dann mit u.g. vorgegebenen DNS-Servern und CF-IPs beispielhaft so aussehen:
[Interface]
PrivateKey = <redacted>
Address = 100.64.19.242/32
DNS = 198.18.0.1,198.18.0.2
[Peer]
PublicKey = <redacted>
AllowedIPs = 198.18.0.1,198.18.0.2,173.245.48.0/20,103.21.244.0/22,103.22.200.0/22,103.31.4.0/22,141.101.64.0/18,108.162.192.0/18,190.93.240.0/20,188.114.96.0/20,197.234.240.0/22,198.41.128.0/17,162.158.0.0/15,104.16.0.0/13,104.24.0.0/14,172.64.0.0/13,131.0.72.0/22
Endpoint = <redacted>:51820
Wer experimentieren mag, eventuell kann man das auch so in eine FritzBox importieren.
Ohne VPN sieht ein mtr so aus:
Wenn man mit dieser Config dann die VPN -Vebindung startet:
Kannten wir alles schon.
Der eigentlich Vorteil ist aber nun, dass, egal ob mit oder ohne VPN , Ziele ausserhalb der oben eingepflegten Netze direkt erreichbar sind. Hier ein Beispiel mit verbundenem VPN -Client:
heise.de wird direkt, ohne VPN angesprochen, obwohl das VPN verbunden ist.
Policy-Based Routing Ansatz
Hier ein alternativer Lösungsansatz - nicht beschränkt auf einen einzelnen Client, sondern für das ganze Heimnetz - via Policy Based Routing. Für Nutzer mit z.B. einer freien Firewallsoftware wie OPNsense oder z.B. einem GL-Inet / UniFi Gateway.
Ziel für die Umleitung des Traffics kann ein VPN , ein Mobilfunkrouter oder wenn vorhanden zweiter ISP sein.
IPv6 kann man auch umleiten, aber das ist komplexer und würde diesen kurzen Guide sprengen: daher IPv6 abschalten.
Mit OPNsense könnte man das mit diesem Guide erledigen, ungetestet: https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html
Da hier einige mit UniFi Gateway unterwegs sind, exemplarisch eine Anleitung dafür. Erfolgreicher Test läuft schon seit ein paar Tagen:
Unter “ VPN -> VPN Client” eine VPN Config einspielen und warten, bis sie grün wird.
Unter “Routing -> Policy-Based Routes” die Cloudflare Netze (oder andere problematische Netze/IPs) als Batch Import einpflegen:
Sobald das aktiv ist, ist der o.g. Cloudflare Testhost für alle Clients mit guter Latenz aus dem ganzen LAN via VPN erreichbar:
Und wieder das Beispiel heise.de, welches trotzdem direkt angesteuert wird.
805
14
16
Akzeptierte Lösungen
Alle Antworten (16)
Sortieren
Älteste zuerst
Neueste zuerst
Älteste zuerst
Autor
Alle
Alle
Das könnte Ihnen auch weiterhelfen
vor 5 Monaten
606
12
2
vor 3 Jahren
1160
0
3
vor 3 Jahren
3782
2
3
1483
2
2
Beliebte Tags letzte 7 Tage
Keine Tags gefunden!
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
Akzeptierte Lösung
der_Lutz
akzeptiert von
staengfoenster
vor 5 Monaten
halte ich diesen Beitrag hier für nen echten Mehrwert.
Auf jeden Fall 👍
Der Beitrag gehört für mich ins Wiki
6
0
Akzeptierte Lösung
Marcel2605
akzeptiert von
staengfoenster
vor 5 Monaten
Der Beitrag gehört für mich ins Wiki
Hallo @staengfoenster
ich habe einen Wiki-Beitrag erstellt:
Peering -Workarounds/ta-p/7028687" target="_blank">https://telekomhilft.telekom.de/t5/Sonstiges/Cloudflare- Peering -Workarounds/ta-p/7028687
Ich hoffe, dass ist in Ordnung.
Ganz unten die Quelle, und DU als Autor
Viele Grüße
Marcel
4
6
3 ältere Kommentare laden
goldfishfrog
Antwort
von
Marcel2605
vor einem Monat
@user_4c0bcc ich benutzte Mullvad über den Provider 31173, die scheinen ein gutes Peering zu Telekom zu haben. Entweder über Berlin oder Frankfurt, je nach dem was für dich besser funktioniert.
0
der_Lutz
Antwort
von
Marcel2605
vor einem Monat
Mich würd ja mal interessieren welchen VPN -Anbieter ihr so euer Vertrauen aussprecht bzw. aussprechen würdet und was man für sowas pro Monat löhnt.
Mich würd ja mal interessieren welchen VPN -Anbieter ihr so euer Vertrauen aussprecht bzw. aussprechen würdet und was man für sowas pro Monat löhnt.
Ganz ehrlich - ich seh es nicht ein für 50€ im Monat von der Telekom eine Leitung gestellt zu bekommen, die Bandbreitentechnisch schön aussieht, aber nicht bis ins letzte Eck des WWW vordringen kann, weil die Telekom der Meinung ist bei den Peer-Partnern Kasse zu machen UND ich somit genötigt werde einen VPN -Anbieter zwischenzuschalten um anständig im Netz surfen zu können.
Telekom-Fanboys bitte bleibt mir fern mit "SoWaS MaChT DiE TeLeKoM NiChT" - sie setzt DPI ein und somit ist ein QoS möglich und wie man sieht auch im Einsatz.
@Marcel2605 : auch hier ist dein Link kaputt - target="_blank"> hat da nichts verloren
Peering -Workarounds/ta-p/7028687" target="_blank">https://telekomhilft.telekom.de/t5/Sonstiges/Cloudflare- Peering -Workarounds/ta-p/7028687
Der Beitrag gehört für mich ins Wiki
Hallo @staengfoenster
ich habe einen Wiki-Beitrag erstellt:
https://telekomhilft.telekom.de/t5/Sonstiges/Cloudflare- Peering -Workarounds/ta-p/7028687
Ich hoffe, dass ist in Ordnung.
Ganz unten die Quelle, und DU als Autor
Viele Grüße
Marcel
Ich nutze NordVPN, sind um die 80 € für 2 Jahre für Basis und hat mir bisher gute Dienste geleistet.
0
staengfoenster
Antwort
von
Marcel2605
vor einem Monat
Ich hab einen Account bei PrivadoVPN (sitzen in der Schweiz), nutze aber selektiv für problematischen Traffic i.d.R. meine eh vorhandene Vodafone Backup Leitung.
0
Uneingeloggter Nutzer
Antwort
von
Marcel2605