Zugriff ins LAN trotz IPv6 und Dual Stack Lite

geschrieben am 29.05.2015
Schlagwörter: , , , ,

Heutige DSL-Anschlüsse sind so schnell, dass man problemlos Serverdienste von zu Hause anbieten kann oder schnell der Wunsch aufkommt auf Geräte oder private Daten über das Internet zugreifen zu können. Die Voraussetzung um auf Geräte im Heimnetzwerk (z.B. den ionas-Server oder eine Webcam) zugreifen und sinnvoll nutzen zu können, ist die Erreichbarkeit des Geräts über das Internet. Obwohl dies im ersten Moment wie eine Selbstverständlichkeit klingt, ist es dies nicht. Grund hierfür ist der zögerliche Wechsel von IPv4 zu IPv6 auf Seiten der Internet- und Handyprovider.

Die Hürden sind höher als noch vor ein paar Jahren, sie sind aber überwindbar. In diesem Artikel erklären wir, wie sie trotz IPv6 und Dual Stack Lite (DS-Lite) auf Dienste oder Geräte in Ihrem Netzwerk zugreifen können.

Dieser Artikel beginnt mit ein paar Absätzen zu den verwendeten Internetprotokollen und -techniken. Sollten Sie mit diesen vertraut sein und die in den folgenden Überschriften genannten Begriffe kennen bzw. mit der Dual Stack Lite Problematik vertraut sein, können Sie gerne diese Absätze überspringen. Ansonsten lohnt es sich bestimmt, diese zu lesen.

Hintergrundwissen: Was ist IPv4?

Damit Computer im Internet oder in einem lokalen Netzwerk kommunizieren können, benötigen Sie eine eindeutige Adresse und eine zentrale Vermittlungseinheit, die diese eindeutigen Adressen kennt und verteilen kann. Diese Adressen – vergleichbar mit der Straße und Hausnummer in der realen Welt – sind die IP-Adressen von netzwerkfähigen Geräten.

IPv4 Adressen bestehen aus 4 Zahlenblöcken. Jeder dieser Zahlenblöcke kann eine Zahl von 1-255 sein. 5.35.240.22 ist beispielsweise die IP-Adresse des Servers dieser Webseite. Wenn jedes Gerät eine eindeutige IPv4 Adresse hat, ist eine unkomplizierte und schnelle Kommunikation möglich.

IPv4-Adressen werden jedoch ein zunehmend rares Gut. Insgesamt gibt es nur 4,3 Millionen eindeutige IPv4-Adressen, wie man sich per einfacher Multiplikation schnell errechnen kann, und damit deutlich weniger als netzwerkfähige Geräte auf diesem Planeten. Daher sind IPv4 Adressen heute nicht einzigartig. Lokale Netzwerke (wie z.B. Heimnetzwerke oder Firmennetzwerke) haben eigene Adressbereiche, sogenannte reservierte Adressräume. Die bekanntesten sind 192.168.x.x, 10.x.x.x oder 172.16.x.x, wobei x für eine beliebige Zahl von 1-255 steht.

Alle Geräte im lokalen Netzwerk haben eine eigene IP und gleichzeitig eine gemeinsame externe IP. Der Router bildet den Zugang zum restlichen Internet und sorgt mit Hilfe der Network Address Translation (NAT)-Technik dafür, dass Daten trotzdem immer zuverlässig Ihr Ziel erreichen. Wie funktioniert das?

Hier die Erklärung an einem Beispiel: Sie wohnen anonym in einem luxuriösem Apartmenthaus und schreiben Ihrem Freund Max einen Brief. Sie verschicken die Postkarte nicht selbst, sondern übergeben diese dem Portier Ihres Hauses für den Versand. Wenn Ihr Freund Max Ihnen nun an die Adresse des Hauses antworten, dann weiß der Portier, an welche Wohnung er die Antwort zustellen muss.
Kommt Ihre Freundin Monika auf die Idee, Ihnen zu schreiben, muss der Portier genau wissen, an wen die Postkarte gehen soll. Ansonsten droht die Gefahr, dass die Postkarte ungelesen in den Müll geworfen wird.
Die Adresse des Hochhauses ist somit die externe IP. Das Stockwerk und die Apartmentnummer ist die interne IP. Der Portier ist der Router, der mittels NAT die Zustellung innerhalb des Hauses sicherstellt.

Hintergrundwissen: Was ändert sich mit IPv6 und was ist Dual Stack Lite?

IPv6-Adressen sind länger als IPv4-Adressen und nicht auf Zahlen zwischen 1-255 beschränkt, wodurch es ungefähr 340 Sextillionen mögliche IPv6-Adressen gibt. Das sind genug Adressen, um theoretisch jedem Sandkorn auf der Welt eine eigenen IP zu geben. Da es weniger netzwerkfähige Geräte als Sandkörner gibt, ist es durch IPv6 grundsätzlich möglich, jedem Gerät eine eindeutige IP-Adresse zuzuweisen. In einer Situation, wo jedes Gerät eine eindeutige Adresse besitzt, benötigt man NAT bzw. den Portier im obigen Beispiel nicht mehr. Man kann Geräte direkt ansprechen, ohne umständlich erst die Adresse des Hochhauses und dann die Stockwerks- und Apartmentnummer anzugeben.

Leider ist der Umstieg von ipv4 auf ipv6 nicht so einfach und wird aktuell stiefmütterlich behandelt. Während Heise noch 2012 berichtete, dass IPv4-Adressen zur Neige gingen und dringender Handlungsbedarf besteht, hat sich die Situation in den letzten Monaten geändert, da sich Telekom, Unity Media und Kabel Deutschland und alle anderen großen Internetprovider durch einen Trick Zeit erkauft haben. Das Stichwort lautet an dieser Stelle Dual Stack Lite. Dual Stack Lite erlaubt, dass sich mehrere Netzwerke eine externe IP teilen. Übertragen auf das obige Beispiel bedeutet Dual Stack Lite, dass es neben dem Portier noch einen Wohnviertelvorsteher gibt, der sämtliche Post von den Portiers erhält bzw. an diese weiterleitet. Leider ist der Nachteil bei Dual Stack Lite, dass durch den Wohnviertelvorsteher jedes Hochhaus in seinem Viertel die gleiche Adresse, d.h. die gleiche externe IP-Adresse hat.

Für das Versenden von Briefen (übertragen: Surfen im Internet) ist der Wohnviertelvorsteher unerheblich. Er macht es jedoch unmöglich, Briefe (übertragen: Datenpakete), die nicht vorher aus dem Wohnviertel (übertragen: lokales Netzwerk) angefragt wurden, richtig zuzustellen. Im Klartext: IPv4 ist einfach nicht für diese zusätzliche Logik gemacht worden.

Warum scheitert der Zugriff über das Internet mit Dual Stack Lite?

Im folgenden Schaubild sehen Sie, warum der Zugriff auf ein Gerät in ihrem privaten Netzwerk von einem Handy über das Mobilfunknetz scheitert. Ihr Handy schickt per IPv4 eine Anfrage an die externe IP Ihres Heimnetzwerkes. Diese landet beim vorgeschalteten Router Ihres Internetproviders, welcher die Anfragen verwirft, da er nicht weiß, an welches Heimnetzwerk er die Anfrage weiter vermitteln soll.
Ein direkter Zugriff per IPv6 ist nicht möglich, da die deutschen Handynetze alle noch auf IPv4 Technik basieren.

Probleme mit Dual Stack Lite

Diese Situation treffen wir bei immer mehr Kunden an, da mittlerweile alle deutschen Internetprovider bei Vertragswechseln oder Neuverträgen für Privatkunden konsequent auf die Dual Stack Lite Technik setzen. Manche Provider wie Kabel Deutschland bieten Ihren Kunden die Möglichkeit, eine einzigartige IPv4-Adresse zu erhalten, jedoch ist dies häufig mit viel Überzeugungsarbeit an der Kundenhotline verbunden und eine Garantie auf Erfolg besteht nicht.

Welche Lösungen gibt es, wenn man einen Dual Stack Lite Vertrag hat?

Es gibt fünf Möglichkeiten, um doch auf die internen Geräte zuzugreifen. Nicht jede dieser Möglichkeiten liegt jedoch im eigenen Einflussbereich.

Lösung 1: Die Handynetze werden auf IPv6 umgestellt. An folgendem Forumsbeitrag erkannt man, dass die Telekom ihren ursprüngliche geplanten Umstellungstermin in 2014 deutlich verfehlt hat. Aktuell ist unklar, wann IPv6 überhaupt in die deutschen Handynetze Einzug erhält, da weder Telekom, Vodafone, O2 oder E-Plus eine verbindliche Aussage abgeben.

Lösung 2: Die Provider finden eine Lösung, wie Sie trotz Dual Stack Lite Anfragen per IPv4 an Ihr Heimnetzwerk weiterleiten können. Hoffnung auf diese Lösung sollte man sich jedoch nicht machen, da die Provider wohl kaum Investitionen in eine aussterbende Technik machen werden.

Lösung 3: Sie überzeugen Ihren Internetprovider, dass er Ihnen einen vollwertigen IPv4 Anschluss schaltet und Ihnen einen Router zur Verfügung stellt, der Portforwarding beherrscht. Wie bereits beschrieben ist dies eine Hoffnung, die jedoch selten erfüllt wird.

Lösung 4: Sie wechseln den Provider bzw. wählen einen Vertrag mit einer festen IPv4 Adresse. Abgesehen von der Schwierigkeit einen evtl. bestehenden Vertrag vor Ablauf der Laufzeit zu kündigen, ist ein Vertrag mit statischer IPv4-Adresse in der Regel teurer.

Lösung 5: Sie nutzen einen Dienst, der zwischen der IPv4 und der IPv6 Welt vermitteln kann und konfigurieren Ihre Systeme entsprechend.

Zugriff ins Heimnetzwerk per IPv6 vom IPv4 basierten Handynetz aufbauen

In den meisten Fällen ist Lösung 5 der einzige gangbare Weg. Daher skizzieren wir im Folgenden diese Lösung anhand des ionas-Servers. Im Kern geht es dabei darum, einen VPN Tunnel von Ihrem mobilen Client (Handy oder Notebook) zum ionas-Server bei Ihnen zu Hause aufbauen. Da dies nicht direkt funktioniert, benötigen Sie die Hilfe des Dienstes feste-ip.net, welcher als Übersetzer zwischen der IPv4 und IPv6 Welt fungiert. So haben Sie einen sicheren und ortsunabhängigen Zugang zu Ihrem Heimnetzwerk und können darüber hinaus auf alle Geräte in Ihrem Netzwerk zugreifen. (Natürlich funktioniert der hier beschriebene Weg auch mit anderen Geräten wie z.B. einem Raspberry Pi. Eine vollständige Anleitung können wir jedoch aufgrund der Komplexität der gesamten Konfiguration nicht zur Verfügung stellen. Gerne helfen wir bei der Umsetzung dieser Lösung, wenn Sie Probleme dabei haben. Andererseits empfehlen wir den Kauf eines ionas-Servers, da wir von ionas – Ihr Online Assistent dann für Sie die komplette Einrichtung übernehmen.)

Zurück zur Lösung: Da die Mobilfunknetze auf absehbare Zeit nur IPv4 beherrschen, wird der OpenVPN Kanal von Ihrem Handy aus mit IPv4 initiiert und dann an den Internetdienst feste-ip.net gesendet. feste-ip.net empfängt die IPv4 basierte Anfrage, wandelt diese in eine IPv6 Anfrage um und schickt diese an den ionas-Server bei Ihnen zu Hause. Da es sich nun um ein IPv6 Paket handelt, kann dieses Paket eindeutig einem Empfänger zugeordnet und entsprechend weitergeleitet werden.

Zugriff ins Heimnetzwerk trotz dual stack lite

Nach dem Aufbau des VPN-Kanals erfolgt dann die Kommunikation im lokalen Netzwerk per IPv4, wodurch man auch Geräte ansprechen kann, die selbst kein IPv6 beherrschen.

Welche Voraussetzungen müssen erfüllt sein?

  1. Sie haben einen Dual Stack Lite DSL Anschluß und einen IPv6-fähigen Internetrouter.
  2. Sie benötigen einen ionas-Server (bzw. einen Raspberry Pi) mit einer externen IPv6-Adresse in Ihrem lokalen Netzwerk
  3. Der OpenVPN-Server auf dem ionas-Server muss so konfiguriert sein, dass er IPv6-Pakete im TCP-Protokoll entgegen nimmt
  4. Ihr Router muss IPv6-OpenVPN Pakete, die an den ionas-Server adressiert sind, passieren lassen
  5. Bei feste-ip.net benötigen Sie einen kostenpflichtigen Portmapper, welcher die IPv4-Pakete in IPv6-Pakete umrechnet und an den ionas-Server weiterleitet.
    Wichtig: Der Dienst von feste-ip.net ist die ersten 50 Tage kostenlos und kostet dann €4,95 pro Jahr.
  6. Sie benötigen ein Handy oder ein Notebook mit einer entsprechend konfigurierten OpenVPN-App, welche IPv4 basierte Pakete im RCP-Protokoll verschickt.

feste-ip-screenshot

Dual Stack Lite verhindert wirkungsvoll sämtliche Zugriffe per IPv4 aus dem Internet in Ihr Heimnetzwerk. Mit Hilfe des kostenpflichtigen Dienstes feste-ip.net ist es jedoch trotzdem möglich, auf Geräte im internen Netzwerk zuzugreifen. Gerne unterstützen wir Sie bei der Konfiguration, empfehlen jedoch den Kauf eines ionas-Servers – die erste echte private Cloud-Lösung für Jedermann. Im Kaufpreis des ionas-Servers ist die gesamte Hardware, die vorkonfigurierte Cloud-Software und die initiale Einrichtung enthalten. Sollten Sie einen Dual Stack Lite DSL-Vertrag haben, übernehmen wir die Einrichtung des VPN-Kanals für Sie.

  • Google+
  • RSS Feed
  • YouTube

Kommentar schreiben

Kommentar


Wie sicher ist die Geschichte denn wenn alle meine Pakete über feste IP geroutet werden?

Können die da alles mitlesen? Leider die Geschwindigkeit?

Sehr geehrter Herr Henkel,
grundsätzlich ist jeder Beteiligte in der Kommunikation ein potenzieller Lauscher. Gleichzeitig schätzen wir das Risiko als relativ gering ein, weil feste-ip.net als Relay-Station entweder für den Aufbau eines VPN-Kanals oder für die Kommunikation per https verwendet wird. In beiden Fällen sehen die Administratoren von feste-ip.net nur Datenmüll, welcher mit üblichen Techniken nicht entschlüsselt werden.
Bezüglich der Geschwindigkeit sind uns keine negativen Effekte aufgefallen.


« | »