Deutsche Glasfaser - TP-Link router und VPN

    Guten Tag liebe Community!

    Ich bitte um Aufklärung und ggf. eine Problemlösung 🙏

    Bis lang hatte ich zuhause eine eigene VPN (OpenVPN) und hab mit DynDNS (DuckDNS) meine IP auflösen können und konnte immer auf mein Netzwerk zugreifen. Seit kurzem haben wir Glasfaser von der deutschen Glasfaser bekommen und jetzt klappt gar nichts mehr.

    Ich nutze einen TP-Link MR550.


    Nach außen hin haben wir ig NAT aktiv, alle Geräte laufen unter 94.31.x.x, aber mein TP-Link router hat die WAN Ip 100.115.x.x....

    Das ist alles ganz komisch :(

    Moin,

    was genau ist ganz komisch?

    Bei der Deutsche Glasfaser gibt's halt nur IPv4 mit CG-NAT, jeder Privatkunde hat so eine 100.er IP-Adresse. Eingehende Verbindungen sind bei der DG nur über IPv6 möglich.

    Guck mal, ob du da was für deinen Geschmack findest:

    Beitrag

    Meta-Beitrag zur Erreichbarkeit via IPv4/IPv6 in Heimnetzen

    Da es immer wieder Fragen gibt, wie man sein Heimnetzwerk weiterhin "von außen" erreichen kann, wenn der Anschluss auf CG-NAT oder DS-Lite umgestellt wurde, sammele ich hier meine (und auch gerne andere Beiträge), die ich dafür mal erstellt habe.

    Diese decken unterschiedliche Ansätze und Techniken ab und zielen darauf ab, praxisnahe Beispiele zu beschreiben, die natürlich keinen Anspruch auf Vollständigkeit haben.



    mbo77
    30. Juni 2024 um 10:58

    Einmal editiert, zuletzt von DLMttH (31. Januar 2026 um 11:22)

    Die setzen bei IPv4 ein eingenes NAT Gateway ein, d.h. Du bekommst bei der DG als Privatkunde keine oeffentlich erreichbare IPv4. Entweder kannst Du Deinen Remote-Zugang auf IPv6 umstellen (mit IPv6 hat die DG allerdings auch bei manchen Anschluessen grosse Probleme) oder Du behilfst Dir mit Workarounds wie TailScale (kostenlos fuer bis zu 3 Nutzer und 100 Geraete...)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von pufferueberlauf

    mit IPv6 hat die DG allerdings auch bei manchen Anschluessen grosse Probleme

    archerbyte gibt uns doch bitte mal dein 56er IPv6 Netzsegment und die IPv6 Adresse deines Routers (letztere gekürzt) bekannt. Evtl. können wir dann schon eine Aussage treffen. Ist an deinem Wohnort (PLZ bitte angeben) das Glasfasernetz schon länger vorhanden oder ist es gerade ein neu erschlossenen Bereich?

    ::1 hat tiefgehende Forschungen bezüglich der IPv6 Adressen angestellt.

    Zitat von archerbyte

    Bis lang hatte ich zuhause eine eigene VPN (OpenVPN) und hab mit DynDNS (DuckDNS) meine IP auflösen können und konnte immer auf mein Netzwerk zugreifen. Seit kurzem haben wir Glasfaser von der deutschen Glasfaser bekommen und jetzt klappt gar nichts mehr.

    Ich nutze einen TP-Link MR550.

    Wie schon in den anderen Kommentaren erklärt, wird dein Szenario, wenn überhaupt, an einem DG-Anschluss aufgrund von CGNAT nur noch mit IPv6 funktionieren.

    Voraussetzung dafür ist aber ein stabiles IPv6. Falls die IPv6-Adresse des WAN-Ports deines Routers mit "2a00:6020:1000:" beginnt, ist die Chance für stabiles IPv6 sehr hoch, denn dann liegt die ältere/frühere Adressierungs-Systematik vor, bei der man auch nach Neuverbindungen i.d.R. stets dieselben IPv6-Adressen für LAN und WAN zugewiesen bekommt (also quasistatische Adressen - allerdings ist das seitens DG nicht garantiert).

    Andernfalls hast du einen DG-Anschluss mit neuer Adressierung-Systematik. Wie erst vor kurzem gelernt, zeichnet der sich dadurch aus, dass du bei einer Neuverbindung häufig neue IPv6-Adressen für LAN und WAN bekommst, bzw. DG auch Zwangstrennungen in gewissen Zeitabständen durchführt, die im Ergebnis ebenfalls zu geänderten IPv6-Adressen führen. Und diese Neuanschlüsse fallen in letzter Zeit dadurch negativ auf, dass IPv6 schlicht nicht funktioniert.

    Nun kannst du bzgl. deiner OpenVPN-Verbindung argumentieren: Kein Problem, ich habe ja DynDNS!

    Richtig - DynDNS ist in Verbindung mit IPv6 aber variantenreicher in der Umsetzung, insbesondere weil der Endpunkt der OpenVPN-Verbindung nicht zwingenderweise mit der WAN-Adresse des Routers zusammenfällt (der Router also zugleich der OpenVPN-Peer ist), sondern auch im LAN hinter dem Router liegen kann (weil die IPv6-LAN-Adressen per Definition öffentlich erreichbar sind).

    Der zweite Fall führt dann zu der Frage, wer DynDNS macht: Das OpenVPN-Gerät im LAN für seine LAN-IPv6-Adresse? Oder der Router stellvertretend für das OpenVPN-Gerät, d.h. der Router muss nicht deine IPv6-WAN-Adresse, sondern die IPv6-LAN-Adresse des OpenVPN-Geräts im DynDNS registrieren. Ob dein TP-Link MR550 das kann, sei mal dahingestellt. Hinzu kommt dann ja auch noch die Thematik, dass in der Firewall des Routers eine Freischaltung für den Zugriff von außen auf dein OpenVPN-Gerät vorhanden sein muss (bei IPv4 würde man hier eine "Portweiterleitung" einrichten - dies "Denke" bei IPv6 bitte komplett vergessen), die der Router bei einem IPv6-Adresswechsel auch dynamisch anpassen können muss. Eine Fritzbox kann das z.B. dadurch, dass die Freigabe nur den IPv6-Host-Identifier des OpenVPN-Geräts enthält und der IPv6-LAN-Präfix dynamisch ergänzt wird. Aber auch das scheitert, wenn der Hersteller des OpenVPN-Geräts sich dem aktuell bei mehreren Herstellern zu beobachtenden Trend anschließt, den IPv6-Host-Identifier nicht mehr konstant nur aus der MAC-Adresse des Gerätes zu erzeugen, sondern ihn zusätzlich vom zugewiesenen IPv6-LAN-Präfix abhängig zu machen.

    Am besten wird daher das OpenVPN-Szenario mit IPv6 nur dann betriebssicher funktionieren, wenn OpenVPN direkt im Router terminiert wird und somit nur die IPv6-WAN-Adresse des Routers im DynDNS registriert werden muss (so, wie man es auch von IPv4 kennnt). Falls TP-Link MR550 das nicht kann, wäre ggf. also ein neuer Router fällig, der auch VPN-Funktionen mitbringt.

    Einmal editiert, zuletzt von ::1 (31. Januar 2026 um 14:15)