Gelöst
Cloudflare Peering - Workarounds
vor einem Jahr
Als Workaround für Probleme mit z.B. Cloudflare Peering wird hier öfter auf VPNs verwiesen. Das hat auf den ersten Blick den Nachteil, dass man sämtlichen Traffic durchs VPN leitet. Was suboptimal erscheint, denn die schöne neue Glasfaserleitung wird durch das VPN ja nicht gerade schneller.
Ideal wäre also, nur Cloudflare durch das VPN , und den restlichen Traffic über den normalen Weg via Glasfaser zu leiten:
Split-Tunneling oder Policy Based Routing FTW.
Das Wichtigste, die Cloudflare IPs. Gibt es hier zum Rauskopieren:
https://www.cloudflare.com/ips-v4/#
Split-Tunneling Ansatz
Für ein Split-Tunnel VPN habe ich mir beim VPN -Provider eine Wireguard Config für einen Router erstellt. Frankfurt erschien als gute Wahl für den VPN Server.
Dann die Wireguard Config mit einem Text-Editor öffnen & anpassen. Bei “AllowedIPs” 0.0.0.0/0 entfernen, und die Cloudflare IPs, sowie die DNS Server einfügen. Würde dann mit u.g. vorgegebenen DNS-Servern und CF-IPs beispielhaft so aussehen:
[Interface]
PrivateKey = <redacted>
Address = 100.64.19.242/32
DNS = 198.18.0.1,198.18.0.2
[Peer]
PublicKey = <redacted>
AllowedIPs = 198.18.0.1,198.18.0.2,173.245.48.0/20,103.21.244.0/22,103.22.200.0/22,103.31.4.0/22,141.101.64.0/18,108.162.192.0/18,190.93.240.0/20,188.114.96.0/20,197.234.240.0/22,198.41.128.0/17,162.158.0.0/15,104.16.0.0/13,104.24.0.0/14,172.64.0.0/13,131.0.72.0/22
Endpoint = <redacted>:51820
Wer experimentieren mag, eventuell kann man das auch so in eine FritzBox importieren.
Ohne VPN sieht ein mtr so aus:
Wenn man mit dieser Config dann die VPN -Vebindung startet:
Kannten wir alles schon.
Der eigentlich Vorteil ist aber nun, dass, egal ob mit oder ohne VPN , Ziele ausserhalb der oben eingepflegten Netze direkt erreichbar sind. Hier ein Beispiel mit verbundenem VPN -Client:
heise.de wird direkt, ohne VPN angesprochen, obwohl das VPN verbunden ist.
Policy-Based Routing Ansatz
Hier ein alternativer Lösungsansatz - nicht beschränkt auf einen einzelnen Client, sondern für das ganze Heimnetz - via Policy Based Routing. Für Nutzer mit z.B. einer freien Firewallsoftware wie OPNsense oder z.B. einem GL-Inet / UniFi Gateway.
Ziel für die Umleitung des Traffics kann ein VPN , ein Mobilfunkrouter oder wenn vorhanden zweiter ISP sein.
IPv6 kann man auch umleiten, aber das ist komplexer und würde diesen kurzen Guide sprengen: daher IPv6 abschalten.
Mit OPNsense könnte man das mit diesem Guide erledigen, ungetestet: https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html
Da hier einige mit UniFi Gateway unterwegs sind, exemplarisch eine Anleitung dafür. Erfolgreicher Test läuft schon seit ein paar Tagen:
Unter “ VPN -> VPN Client” eine VPN Config einspielen und warten, bis sie grün wird.
Unter “Routing -> Policy-Based Routes” die Cloudflare Netze (oder andere problematische Netze/IPs) als Batch Import einpflegen:
Sobald das aktiv ist, ist der o.g. Cloudflare Testhost für alle Clients mit guter Latenz aus dem ganzen LAN via VPN erreichbar:
Und wieder das Beispiel heise.de, welches trotzdem direkt angesteuert wird.
5523
81
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
vor 3 Monaten
Ich bin leider kein Experte auf diesem Gebiet, aber wieso muss ich als Kunde mich um sowas kümmern? Ich meine wenn es via VPN funktioniert ist für mein Verständnis das Routing der Telekom das Problem oder nicht?
Kostenlose VPN Anbieter habe ich zuletzt vor vielen Jahren gesucht. Gibt es da überhaupt irgend etwas dass prozessstabil läuft? Ich kenne auf Anhieb keinerlei Anbieter.
Ich kann ab 13 Uhr nur noch die hälfte an Webseiten/Spielen nutzen weil ich bis zu 10% Paket Loss habe. Und es scheint mir fast so als ob Cloudflare Peering genau die Ursache ist.
Grüße
0
9
von
vor 3 Monaten
"Nativ" ohne VPN
Mit Cloudflare VPN![]()
via Dream Machine
Ich dachte mir dann ich teste einfach mal mit Desktop Wireguard VPN zu meinem Bruder zu machen. (Dream Machine VPN also deaktiviert)
Und zu meinen Eltern auch. (Dream Machine VPN also deaktiviert)
Vergleichswerte, gerade mal gemessen.
Telekom, direkt:
Telekom, mit Cloudflare Tunnel:
Telekom, mit PrivadoVPN Tunnel:
Vodafone DOCSIS, direkt:
Fazit, guten Durchsatz und gar keinen Packet Loss bekommt man nur mit bezahltem VPN oder Provider-Wechsel.
WARP macht es aber hier zumindest bei Cloudflare Free Plans erträglicher, links direkt, rechts WARP:
0
von
vor 3 Monaten
Ich find es schon absolut crazy wie die Unterschiede bei Telekom Kunden sind. Absolut verrückt. Ich denke ich werde die Tage mal bei der Telekom ein Ticket öffnen.
von
vor 13 Tagen
Ich war auch genervt von langsamem Seitenaufbau, habe angefangen kostenpflichtiges VPN zu nutzen (alle Seiten und Dienste erreichbar und schnell geladen). Jetzt vor ein paar Tagen zu o2 gewechselt, monatlich kündbar und 27 Euro günstiger als Telekom, alle Seiten und Dienste rund um die Uhr schnell erreichbar.
Hätte ich das mal früher gemacht, all die Jahre frustriert gewesen bei der Telekom, jetzt spare ich Geld und alles funktioniert. 🥳
0
Uneingeloggter Nutzer
von
Uneingeloggter Nutzer
von