Gelöst
Cloudflare Peering - Workarounds
vor einem Jahr
Als Workaround für Probleme mit z.B. Cloudflare Peering wird hier öfter auf VPNs verwiesen. Das hat auf den ersten Blick den Nachteil, dass man sämtlichen Traffic durchs VPN leitet. Was suboptimal erscheint, denn die schöne neue Glasfaserleitung wird durch das VPN ja nicht gerade schneller.
Ideal wäre also, nur Cloudflare durch das VPN , und den restlichen Traffic über den normalen Weg via Glasfaser zu leiten:
Split-Tunneling oder Policy Based Routing FTW.
Das Wichtigste, die Cloudflare IPs. Gibt es hier zum Rauskopieren:
https://www.cloudflare.com/ips-v4/#
Split-Tunneling Ansatz
Für ein Split-Tunnel VPN habe ich mir beim VPN -Provider eine Wireguard Config für einen Router erstellt. Frankfurt erschien als gute Wahl für den VPN Server.
Dann die Wireguard Config mit einem Text-Editor öffnen & anpassen. Bei “AllowedIPs” 0.0.0.0/0 entfernen, und die Cloudflare IPs, sowie die DNS Server einfügen. Würde dann mit u.g. vorgegebenen DNS-Servern und CF-IPs beispielhaft so aussehen:
[Interface]
PrivateKey = <redacted>
Address = 100.64.19.242/32
DNS = 198.18.0.1,198.18.0.2
[Peer]
PublicKey = <redacted>
AllowedIPs = 198.18.0.1,198.18.0.2,173.245.48.0/20,103.21.244.0/22,103.22.200.0/22,103.31.4.0/22,141.101.64.0/18,108.162.192.0/18,190.93.240.0/20,188.114.96.0/20,197.234.240.0/22,198.41.128.0/17,162.158.0.0/15,104.16.0.0/13,104.24.0.0/14,172.64.0.0/13,131.0.72.0/22
Endpoint = <redacted>:51820
Wer experimentieren mag, eventuell kann man das auch so in eine FritzBox importieren.
Ohne VPN sieht ein mtr so aus:
Wenn man mit dieser Config dann die VPN -Vebindung startet:
Kannten wir alles schon.
Der eigentlich Vorteil ist aber nun, dass, egal ob mit oder ohne VPN , Ziele ausserhalb der oben eingepflegten Netze direkt erreichbar sind. Hier ein Beispiel mit verbundenem VPN -Client:
heise.de wird direkt, ohne VPN angesprochen, obwohl das VPN verbunden ist.
Policy-Based Routing Ansatz
Hier ein alternativer Lösungsansatz - nicht beschränkt auf einen einzelnen Client, sondern für das ganze Heimnetz - via Policy Based Routing. Für Nutzer mit z.B. einer freien Firewallsoftware wie OPNsense oder z.B. einem GL-Inet / UniFi Gateway.
Ziel für die Umleitung des Traffics kann ein VPN , ein Mobilfunkrouter oder wenn vorhanden zweiter ISP sein.
IPv6 kann man auch umleiten, aber das ist komplexer und würde diesen kurzen Guide sprengen: daher IPv6 abschalten.
Mit OPNsense könnte man das mit diesem Guide erledigen, ungetestet: https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html
Da hier einige mit UniFi Gateway unterwegs sind, exemplarisch eine Anleitung dafür. Erfolgreicher Test läuft schon seit ein paar Tagen:
Unter “ VPN -> VPN Client” eine VPN Config einspielen und warten, bis sie grün wird.
Unter “Routing -> Policy-Based Routes” die Cloudflare Netze (oder andere problematische Netze/IPs) als Batch Import einpflegen:
Sobald das aktiv ist, ist der o.g. Cloudflare Testhost für alle Clients mit guter Latenz aus dem ganzen LAN via VPN erreichbar:
Und wieder das Beispiel heise.de, welches trotzdem direkt angesteuert wird.
4955
80
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
vor einem Jahr
Warum nun gegen VPN ?Habt ihr lange Weile hier das forum voll zu spamen?Nachtrag:
Meine Meinung geändert.
Sorry von mir dazu.
0
vor einem Jahr
Unabhängig der Diskussion übers Peering und Co. halte ich diesen Beitrag hier für nen echten Mehrwert. Von mir gibt's dafür einen 👍🏻
1
von
vor einem Jahr
halte ich diesen Beitrag hier für nen echten Mehrwert.
Auf jeden Fall 👍
Der Beitrag gehört für mich ins Wiki
Uneingeloggter Nutzer
von
vor einem Jahr
halte ich diesen Beitrag hier für nen echten Mehrwert.
Auf jeden Fall 👍
Der Beitrag gehört für mich ins Wiki
0
vor einem Jahr
Der Beitrag gehört für mich ins Wiki
Hallo @staengfoenster
ich habe einen Wiki-Beitrag erstellt:
https://telekomhilft.telekom.de/t5/Sonstiges/Cloudflare-Peering-Workarounds/ta-p/7028687
Ich hoffe, dass ist in Ordnung.
Ganz unten die Quelle, und DU als Autor
Viele Grüße
Marcel
8
von
vor einem Jahr
Ich hab einen Account bei PrivadoVPN (sitzen in der Schweiz), nutze aber selektiv für problematischen Traffic i.d.R. meine eh vorhandene Vodafone Backup Leitung.
0
von
vor 7 Monaten
@staengfoenster Hast Du denn (auch) Probleme mit eingehendem Traffic - falls Du daheim etwas hostest? Dafür ist der große Upload ja prädestiniert.
Und bist du mit der Performance des VPN zu frieden?
Ich bin auf der Suche nach einem vServer Anbieter mit guter Telekomanbindung auf diesen Beitrag gestoßen.
0
von
vor 7 Monaten
@staengfoenster Hast Du denn (auch) Probleme mit eingehendem Traffic - falls Du daheim etwas hostest? Dafür ist der große Upload ja prädestiniert.
Und bist du mit der Performance des VPN zu frieden?
@staengfoenster Hast Du denn (auch) Probleme mit eingehendem Traffic - falls Du daheim etwas hostest? Dafür ist der große Upload ja prädestiniert.
Und bist du mit der Performance des VPN zu frieden?
Ich bin auf der Suche nach einem vServer Anbieter mit guter Telekomanbindung auf diesen Beitrag gestoßen.
Nein, ich hoste nichts.
Der VPN Provider ist top, ich lasse aktuell auch mein gesamtes Gastnetz dadurch laufen.
0
Uneingeloggter Nutzer
von
vor einem Jahr
@staengfoenster
Dir Danke, für diesen tollen Beitrag.👍
0
vor einem Jahr
Muss auch sagen, dass die Anleitung gut ist. Nach den gleichen Abläufen kann man idR. bei den meisten VPN Software-Installationen was ähnliches konfigurieren.
0
vor einem Jahr
Der Vollständigkeit halber hier noch die Konfiguration mit OpenWrt:
Nach der Konfiguration eines OpenVPN oder WireGuard Tunnels (gibt es diverse Anleitungen zu) das Paket "luci-app-pbr" installieren für Policy Based Routing.
Dann über "Services" -> "Policy Routing" die Einstellungen öffnen und unter "Policies" auf "Add", sollte dann so aussehen:
Bei "Remote addresses / domains" alle Cloudflare IPs mit Leerzeichen getrennt einfügen und bei Interface die VPN Verbindung auswählen.
Nach dem speichern unter "Basic Configuration" -> "Strict enforcement" im Dropdown auf "Do not enforce policies when their gateway is down" wechseln.
Das bewirkt das die VPN Verbindung umgangen wir wenn sie mal nicht funktionieren sollte, ansonsten geht Garnichts mehr was von Cloudflare kommt.
Am Ende noch kontrollieren das der Service auch aktiviert und gestartet ist:
1
von
vor einem Jahr
Der Vollständigkeit halber hier noch die Konfiguration mit OpenWrt
Hervorragend, dank Dir!
0
Uneingeloggter Nutzer
von
vor einem Jahr
Warum kam ich nicht selber auf die Idee statt alles zu tunneln 😁
Nutze es auf der UDM mit dem Wireguard Client und NordVPN 👍
0
Akzeptierte Lösung
akzeptiert von
vor einem Monat
Cloudflare Speed/Stabilität erhöhen (mit kostenlosem VPN )
Dann einfach eine Policy Based Route erstellen, und dort die oben verlinkten CF IP Ranges ausnehmen:
36
von
vor 18 Tagen
Dieser Post eines Community Guide hat meine Aufmerksamkeit erweckt (nicht, weil er sich bei dem Thema Massiver Packet Loss zu Cloudflare scheinbar vor Lachen auf dem Boden wälzt).
Wie schafft er es um 20:41 Uhr, wenn bei anderen wie mir der Cloudflare Speed Test nicht mal erreichbar ist, via WiFi (mit einer Latenz zu dem Zeitpunk weit unter meiner Ethernet-Latenz) den Speed Test mit annehmbaren Werten auszuführen?
Analyse so weit: er nutzt offenbar IPv6, und das wird zumindest aktuell bei mir über einen ganz anderen Pfad Richtung Cloudflare geroutet.
IPv4 AS3356, IPv6 AS1299:
Ob IPv6 eventuell für den ein oder anderen einen Mehrwert als Workaround bringt, teste ich gerade. Ich poste nach der Rush-Hour dann mal ein Update dieses Vergleiches:
0
von
vor 18 Tagen
@staengfoenster
ich nutze eine Fritzbox 7590 hinter einem Glasfasermodem 2,
und etwaige IPv4 oder 6 Einstellungen sind unverändert.
Da geh ich garnicht dran, warum auch
Ich saß gestern auf der Couch, andere meinen, dass die Seite nicht erreichbar wäre. Mit schmunzeln musste ich das selber testen von meinem Handy und es läuft 😎
0
von
vor 18 Tagen
Ich habe es nun geschafft den Tunnel in meiner FritzBox zum laufen zu bekommen. Nun kann ich aber kein eigenes VPN mehr einrichten um von außen in mein Netz zu kommen, Fehler: "Das Netzwerk der Gegenstelle (192.168.1.204/32) kollidiert mit dem Netzwerk der bestehenden Gegenstelle „Cloudflare“ (0.0.0.0/0). "
Hat da wer ne Lösung?
0
Uneingeloggter Nutzer
von
vor 29 Tagen
Hi @sascHaGG87-fiber ,
ich hab's mal mit Windows probiert (nutze ich normalerweise nicht, daher hat's etwas gedauert). Bei meinem Windows ist allerdings Smart App Control aus, Windows fand wegen Steam passen wir nicht zusammen. Das könnte bei anderen Installationen im Weg sein.
Aktuellen Link genommen und runtergeladen:
https://github.com/ViRb3/wgcf/releases/download/v2.2.30/wgcf_2.2.30_windows_amd64.exe
2x Mal bestätigt, dass ich die Datei behalten möchte.
Dann der Einfachheit halber in einen Ordner wgcf auf dem Desktop verschoben und diesen rechtsgeklickt, Open in Terminal:
Im Terminal dann die Taste w drücken und TAB zum Auto-Complete, damit man nicht tippen muss:
Wenn Du dann die Befehle aus dem Post oben jeweils dahinter schreibst, hast Du die WireGuard Config umgehend im Ordner auf dem Desktop.
WireGuard für Windows gibt es hier: https://www.wireguard.com/install/
15
von
vor 16 Tagen
jetzt ist es aber schlechter als vorher
oke und den ganzen bums aktivieren.
jetzt ist es aber schlechter als vorher ?!° :D
Schade, bei mir bringt es meistens Verbesserung, eventuell ist es Samstag aber halt auch ziemlich ausgelastet…
0
von
vor 16 Tagen
okay interessant. ich versuche es einfach die tage nochmal.
Aber es kann doch nicht sein das man erst sowas machen muss? es lief ja auch noch alles normal ende letzten Jahres.
Warum ist es jetzt plötzlich so? Aber Telekom kann da nichts für?!
Ich danke dir auf jeden fall für deine Hilfe und wünsche dir einen schönen Abend
von
vor 16 Tagen
Aber Telekom kann da nichts für?!
okay interessant. ich versuche es einfach die tage nochmal.
Aber es kann doch nicht sein das man erst sowas machen muss? es lief ja auch noch alles normal ende letzten Jahres.
Warum ist es jetzt plötzlich so? Aber Telekom kann da nichts für?!
Ich danke dir auf jeden fall für deine Hilfe und wünsche dir einen schönen Abend
Das ist die offizielle Sprachregelung, ja. Bei allen anderen nationalen Internetprovidern funktioniert es (Cloudflare) aber prima, und wenn Du ein bezahltes VPN nimmst (was nicht anderes ist als ein temporärer Wechsel zu einem anderen Internetprovider), dann funktioniert es auch - go figure...
Die Probleme haben bei mir so um den 12.1. angefangen und sind ab dem 27. nochmal schlimmer geworden, hier mein Monitoring. Schwarz ist schlecht, das ist Paketverlust, und die Latenzen sind tageweise auch grottig.
0
Uneingeloggter Nutzer
von
Uneingeloggter Nutzer
von