Cloudflare Peering - Workarounds

vor einem Monat

Als Workaround für Probleme mit z.B. Cloudflare  Peering  wird hier öfter auf VPNs verwiesen. Das hat auf den ersten Blick den Nachteil, dass man sämtlichen Traffic durchs  VPN  leitet. Was suboptimal erscheint, denn die schöne neue Glasfaserleitung wird durch das  VPN  ja nicht gerade schneller.

 

Ideal wäre also, nur Cloudflare durch das  VPN , und den restlichen Traffic über den normalen Weg via Glasfaser zu leiten:

 

Split-Tunneling oder Policy Based Routing FTW.

 

Das Wichtigste, die Cloudflare IPs. Gibt es hier zum Rauskopieren:

https://www.cloudflare.com/ips-v4/#

 

Split-Tunneling Ansatz

 

Für ein Split-Tunnel  VPN  habe ich mir beim VPN -Provider eine Wireguard Config für einen Router erstellt. Frankfurt erschien als gute Wahl für den  VPN  Server.

 

Dann die Wireguard Config mit einem Text-Editor öffnen & anpassen. Bei “AllowedIPs” 0.0.0.0/0 entfernen, und die Cloudflare IPs, sowie die DNS Server einfügen. Würde dann mit u.g. vorgegebenen DNS-Servern und CF-IPs beispielhaft so aussehen:

 

[Interface]

PrivateKey = <redacted>

Address = 100.64.19.242/32

DNS = 198.18.0.1,198.18.0.2




[Peer]

PublicKey = <redacted>

AllowedIPs = 198.18.0.1,198.18.0.2,173.245.48.0/20,103.21.244.0/22,103.22.200.0/22,103.31.4.0/22,141.101.64.0/18,108.162.192.0/18,190.93.240.0/20,188.114.96.0/20,197.234.240.0/22,198.41.128.0/17,162.158.0.0/15,104.16.0.0/13,104.24.0.0/14,172.64.0.0/13,131.0.72.0/22

Endpoint = <redacted>:51820

 

Wer experimentieren mag, eventuell kann man das auch so in eine FritzBox importieren.

 

Ohne  VPN  sieht ein mtr so aus:

Marcel2605_0-1732114830839.png

 

Wenn man mit dieser Config dann die VPN -Vebindung startet:

Marcel2605_1-1732114830831.png

 

Kannten wir alles schon.

 

Der eigentlich Vorteil ist aber nun, dass, egal ob mit oder ohne  VPN , Ziele ausserhalb der oben eingepflegten Netze direkt erreichbar sind. Hier ein Beispiel mit verbundenem VPN -Client:

Marcel2605_2-1732114830814.png

 

heise.de wird direkt, ohne  VPN  angesprochen, obwohl das  VPN  verbunden ist.

 

 

Policy-Based Routing Ansatz

 

Hier ein alternativer Lösungsansatz - nicht beschränkt auf einen einzelnen Client, sondern für das ganze Heimnetz - via Policy Based Routing. Für Nutzer mit z.B. einer freien Firewallsoftware wie OPNsense oder z.B. einem GL-Inet / UniFi Gateway.

Ziel für die Umleitung des Traffics kann ein  VPN , ein Mobilfunkrouter oder wenn vorhanden zweiter  ISP  sein.

 

IPv6 kann man auch umleiten, aber das ist komplexer und würde diesen kurzen Guide sprengen: daher IPv6 abschalten.

 

Mit OPNsense könnte man das mit diesem Guide erledigen, ungetestet: https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html

 

Da hier einige mit UniFi Gateway unterwegs sind, exemplarisch eine Anleitung dafür. Erfolgreicher Test läuft schon seit ein paar Tagen:

 

Unter “ VPN  ->  VPN  Client” eine  VPN  Config einspielen und warten, bis sie grün wird.

Unter “Routing -> Policy-Based Routes” die Cloudflare Netze (oder andere problematische Netze/IPs) als Batch Import einpflegen:

Marcel2605_3-1732114830830.png

 

 

Sobald das aktiv ist, ist der o.g. Cloudflare Testhost für alle Clients mit guter Latenz aus dem ganzen LAN via  VPN  erreichbar:

Marcel2605_4-1732114830882.png

 

 

Und wieder das Beispiel heise.de, welches trotzdem direkt angesteuert wird.

 

Marcel2605_5-1732114830820.png

 

______________________________________________

Peering -Workarounds/m-p/7028636#M2345205" target="_blank">-Quelle- 

Autor: @staengfoenster 

 

 

 

310

0

Das könnte Ihnen auch weiterhelfen

Gelöst

5 Sterne Mitglied

in  

361

12

7

vor 3 Jahren

1 Sterne Mitglied

in  

1068

0

3

Gelöst

5 Sterne Mitglied

in  

4087

0

30

1 Sterne Mitglied

in  

3734

2

3