Kurze Frage bzw. Information an die Blog-Leserschaft. Hat jemand in den letzten Tagen Routine-Probleme bei Cloudflare bemerkt. Ein Blog-Leser hat mich die Woche kontaktiert, weil ihm beim Surfen auf der Seite von PC Games Hardware der Zugriff über NordVPN per Cloudflare Proxy verweigert wurde.
Blog-Leser Sascha schrieb mir zum 5. März 2026 per E-Mail: "Ich möchte Ihnen etwas zuspielen, dass sie vielleicht interessiert". Beim Versuch, einen PC Games Hardware-Artikel (PCGH) zu lesen, wurde er vom Cloudflare Proxy aufgehalten. Der ASN (Autonomous System Numbers) in dem sich die IP-Adresse des Lesers befindet, wurde offenbar geblockt, schrieb der Leser. Er ergänzte: "Da ich durchgängig mit VPN (NordVPN: Deutschland) surfe, bin ich nun doch etwas irritiert."
Die Fehlermeldung, die der Leser bekam, lautet, dass der asn212238 geblockt ist. Diese Autonomous System Number gehört zum britischen Cloud Provider "Datacamp Limited". Der Leser meint dazu, dass er das "mindestens befremdlich findet", da er explizit Deutschland/Frankfurt im VPN Portal (NordVPN) verwendet. Er meinte dazu: "Vielleicht finden Sie den Umstand eine Erwähnung oder Warnung an die Leserschaft wert, schließlich sind hier diverse Kuriositäten aneinandergereiht." Hat jemand sonst aus der Leserschaft noch solche Erfahrungen gemacht?
MVP: 2013 – 2016
I'm using nordVPN but I can access that site (I'm in Australia and using an Australian server). Blocking of the ASN is common though. I've had several retailers block me, such as megabuy.com.au… If you block me I'll take my business elsewhere. Their loss.
Der Screenshot zeigt ja, dass der Site Owner (also PCGH) NordVPN blockiert.
Das ist nicht ungewöhnlich und Standard bei einigen Seiten.
Einige Site Owner machen das so und haben auch oft DNSSEC und/oder Onion Routing deaktiviert, obwohl es nur ein Klick ist.
(PCGH hat DNSSEC vorbildlicherweise aktiviert).
Hintergrund sind meist Abkommen mit Werbeanbietern.
I'm using nordVPN from Greece connecting to Swiss servers. The link works but as the other reader mentioned there are some sites that block me (with Cloudflare I usually have to click an "I am not a robot" prompt) and it is their loss. I can also take my business elsewhere.
Ich blockiere, soweit möglich, ebenfalls VPN-Anbieter. In der Regel kommen nur Bots und anderer Schrott aus deren Netzen. Sry für die paar Leute die es sonst nutzen, aber warum eigentlich ein VPN in Deutschland?
Gerade mal mit Mullvad VPN getestet: selbes Ergebnis wie beim User im Artikel. Wird geblockt. Ich kann es nachvollziehen als Seitenbetreiber.
Zur Frage warum VPN in Deutschland.
Weil die Telekom den Traffic limitiert.
z.B. kann ich Abends Twitch nur mit weniger Bandbreite schauen, trotz Telekom-Glasfaser. Sobald ich via Mullvad/Wireguard über FRA ins Netz gehe, klappt alles ohne Probleme. Das kann man auch schön hier ( https://netzbremse.de/speed/ ) feststellen bei Bandbreitentests. Die sind besser über Mullvad als wenn man über Telekom direkt geht. Kommt natürlich auch auf die Route an. Ich nutze das VPN aber nur gezielt für Seiten die die Telekom meint bremsen zu müssen.
Ich nehme gern VPN zur Erreichbarkeit aus dem Internet oder zum Tunneln von IPv6-Netzen. Gerade im Mobilfunk sieht es ganz mau aus. Bei der Telekom hat man im Mobilfunk zwar die Option "feste IPv6-Adresse", das ist ein /64 mit NAT64, aber ein /64-Prefix ist schlicht zu wenig. NAT64 mit dem zugehörigen DNS64 ist einfach nur eklig. Ich habe das einmal gemacht und mache das wohl nie wieder. Dann lieber einen VPS (Virtual Private Server) irgendwo mieten und bei IPv4 die benötigten Ports forwarden oder auch einen Reverse Proxy einsetzen, je nachdem, was gerade praktischer ist. Das IPv6 kann durch das VPN getunnelt werden.
Eigentlich ist das eine schöne Lösung, wenn es nicht so viele Leute gäbe, die meinen, mich damit blocken zu müssen. Dafür dann wieder Sonderlocken einzurichten damit die dann nicht durch das VPN erreicht werden ist auch mehr als lästig.
bei ner /64 wirst du doch eh zum T-CGNAT Opfer und hast de
facto gar keine eigene IP mehr , das ist in der Tat ziemlich sinnlos…..
/64 ist IPv6 – ohne NAT. Da ist man direkt erreichbar – jedenfalls bei Telekom "feste IPv6-Adresse". GCNAT ist IPv4. Du hast recht, man ist darüber nicht erreichbar. Für IPv4 kann man ein VPN zu einem VPS einsetzen. Aus dem Internet ist der VPS erreichbar. Der macht Port-Forwarding durch den VPN-Tunnel. Damit ist das Zielsystem erreichbar. Ich nutze dann das IPv4-Netz des Tunnels und mache noch einmal NAT. Der Ziel-Host kann dann unterscheiden, auf welchem Weg die Pakete geroutet werden müssen. Schön ist das alles nicht, aber es läuft. Wenn man auf IPv6 verzichtet, ist das dann auch schon fertig. Alle ausgehenden Pakete routen durch das Mobilfunk-Netz, alle eingehenden Pakete laufen durch das VPN.
Mit IPv6 wird es komplizierter. Ich tunnel das gesamte IPv6 durch das VPN, eingehend wie ausgehend. Wenn ich das Blocken von Seitenbetreibern umgehen will, filter ich deren IPv6-Adressen aus dem DNS aus. Dann werden die über IPv4 angesprochen, das ja direkt durch den Mobilfunk-Provider läuft. Wie schon gesagt: lästig.
Ok war missverständlich ausgedrückt.
Eine /64 ist eigentlich eine Frecheit.
Wenn der Provider nicht mindestens eine /60 (für Privatmenschen) bereitstellt ist das für mich ein Halsabschneider……oder das grosse bewegliche T.
Es soll ja sogar Provider geben die dich bei nem "Festanschluss" mit solchem Murks abspeisen….
Aufgrund der Angriffslage im Internet werden in manchen Lösungen alle Anonymisierer oder private VPN Quellen geblockt. Machen wir auch. Das gilt für Netze aus Russland, China und Brasilien. Dort sind soviele Netze verseucht mit infizierten Adressen, dass einem nur diese Mittel bleiben. Gefährlich sind auch Residential Proxy/Bot Netze die aus deutschen Dial-In Pools bestehen. Zeitweise sperren wir auch das. An und von diesen IP's. Es kommen verscheidenartigste Attacken. Wir haben uns dafür eigene Tools geschrieben um damit umzugehen. Wir generieren eigene Threat-Feeds und verteilen diese auf alle Firewalls. Von und an IP's dieser Threat-Feeds sind keine Verbindungen mehr möglich. Anders ist der Lage nicht mehr Herr zu werden. Anbieter wie private VPN Anbieter sind immer auf den Feeds, da diese für Angriffe missbraucht werden und diese nichts dagegen tun. Schlimmer sind noch Residential Proxy/Bot Netze. Diese lassen sich nicht so einfach in den Griff bekommen. Wir hatten vor drei Wochen aus solch einem Botnetz Angriffe auf all unsere Firewalls. Ausschliesslich Quellen deutsche Dial-In Pools. Telekom. Vodafone, Telefonica, Wilhelmtel … und auch lokale Anbieter. Diese lassen sich nur bedingt und nur auf kurze Zeit blocken. Ist man Ziel eines solchen Botnetzes oder Proxy Netzwerks, rassel tausende von Angriffe auf einen ein. Brute-Force ist dann wirkungslos, da jede einzelne Anfrage von einer anderen IP Adresse kommt. Ist ein sehr spannendes Thema. Als Quellen solcher Attacken kann hinter den Anschlüssen alles dienen. Handy, Fernseher, SmartHome Lösungen, Apps, AddIns, PlugIns … alles was nutzbar ist. Quasi alles was netzwerkfähig ist. Für uns nicht feststellbar. Eins ist aber sicher. Alle Verbindungen haben den gleichen Netzwerkfingerprint. Also sind das orchestrierte Attacken die von der gleichen Lösung kommen. Machen kann dagegen niemand was.
Cloudflare hostet mit am meisten bösartige Software und von Cloudflare kommt auch sehr viel bösartiger Traffic. Blocken ist da schwer, da viele Backends hinter den Reverse Proxy Adressen von Cloudflare liegen. Und Cloudflare blockt in der Tat viel. Dann gibt es noch ein Peering Problem zwischen der Telekom und Cloudflare. Ist man bei der Telekom, dann kann es sein, dass man auf bestimmte Cloudflare Ressourcen nicht zugreifen kann. Die Telekom ist hier ein echtes Problem. Wir hatten in den letzten Wochen von Telekom Anschlüssen Problem auf die FortiTokenCloud zu kommen. Diese war nicht mehr nutzbar. Wir haben das bei Fortinet eingekippt und die haben das auf einen anderen Balancer in einem anderen Netz umgezogen. Kann auch sowas sein.
Vorgeschmack auf die Zukunft? Zugriff für ale Nutzer nur noch über digital verifizierende Provider, die entspr. Blockier Infrastruktur ist ja offenbar bereits ausgerollt, wie man hier sehen kann.
Mit Cyberghost komme ich da problemlos auf den Artikel (Link von Günters Artikel genutzt).
Obwohl die ganze Konstellation für die Seite "blockwürdig" erscheinen müsste.
Server in Marokko und festen DNS Server in Hong Kong der nicht loggt (ja sowas jibbets noch 😂 ).
Gerade probiert und da kam nichtmal ne Abfrage von Cloudflare, obwohl ich solche Abfragen sonst auch bekomme.
Nutze den VPN aber nur mit einer IPV 4 Adresse – vielleicht liegt es ja daran?
—Grüße—
Ich kann bei dem Link im Artikel auch alles mit lesen, obwohl ich eine VPN Nutze, Momentan steht die auf Berlin, obwohl ich mich in der Nähe von FFM aufhalte und ich kann es leider nicht nachvollziehen, wieso PCGH Leute die eine VPN nutzen per Cloudflare gebannt werden.
Wenn das jetzt die Deutsche Bank, Siemens oder Bayer wäre könnte ich es noch einigermaßen nachvollziehen, aber so ein dämliches Computermagazin, verstehe ich echt nicht zumal die auch Werbung für irgendeine VPN selbst macht.
Über Datacamp kommen bei uns viele Angriffe rein, wäre kein Wunder wenn Cloudflare die blockt.
Ich greife niemanden an, ich sehe mir nur Inhalte an, das geht leider manchmal eben nur mit einer VPN.
Ich verstehe das manchmal sowieso nicht ganz, das zb. Österreicher Deutsches Fernsehen sehen können aber wir kein Österreichisches, genau das gleiche wie in der Mediathek.