Glasfaser, IPv4, IPv6 und ein paar Verständnisfragen

Zitat von Ares

Alter DSL Anschluss

• Beim vorherigen DSL Anschluss befand sich meine FritzBox in einem IPv4 Netz. Sie bekam also vom Provider (Vodafone) eine öffentliche IPv4 Adresse zugewiesen.
• Weil die Adresse öffentlich / weltweit einmalig war, konnte man darüber meine FritzBox von außen erreichen.
• Statt der IPv4 Adresse konnte man auch die URL irgendeineID.myfritz.net aufrufen, die dann zur IP aufgelöst wurde.

Richtig?

• Mit dem Anschluss konnte ich alle Geräte/Dienste im Internet erreichen. Ich habe mir nie Gedanken darüber gemacht ob diese über IPv6 oder v4 laufen.
• Ebenso haben ich mir nie Gedanken darüber gemacht von welchem Anschluss aus (IPv4 oder v6) ich meine FritzBox über das Internet erreichen wollte. Es hat immer funktioniert.

Vodafone hat an DSL-Anschlüssen kein IPv6 angeboten. Der alte Anschluss hatte deshalb nur eine IPv4 Adresse und darüber waren (ohne weitere Maßnahmen) auch nur Verbindungen zu Servern mit IPv4 Adressen möglich. Es gibt zwar durchaus schon Server, die nur IPv6 sprechen, auch in Europa, aber den meisten DSL-Kunden dürfte die Einschränkung auf IPv4 noch keine Probleme bereitet haben, mit einer wichtigen Ausnahme: Wer Geräte an Anschlüssen von Providern erreichen möchte, die nicht mehr genug IPv4 Adressen bekommen haben, könnte das ohne Umwege nur über IPv6, wenn es denn z.B. bei Vodafone DSL angeboten würde.

Zitat

Glasfaser Anschluss

• Das Netz der Deutschen Glasfaser basiert auf IPv6, von dort erhält die FritzBox also zunächst nur eine öffentliche IPv6 Adresse.
• Zwar bekommt die Box auch eine IPv4 Adresse, diese ist aber nicht öffentlich bekannt, sondern gilt nur innerhalb des DG Netzes.
• Öffentlich IPv6 Adresse + interne IPv4 Adresse = DualStack Lite.

Richtig?

Nicht ganz richtig. Das Netz der Deutschen Glasfaser basiert auf IPv4 und IPv6. Die Fritzbox erhält eine öffentliche IPv6 Adresse für sich selbst und ein (separates) IPv6-Präfix für Geräte im LAN. Die IPv4 Adresse wird per DHCP zugewiesen und ist nicht-öffentlich. Diese Kombination wird von vielen als DualStack Lite bezeichnet, aber das ist nicht korrekt. Es handelt sich um DualStack mit CGNAT.

Zitat

Aber was ist Dual Stack Light ganz genau?

Dualstack Lite ist ein in RFC6333 spezifiziertes Protokoll, mit dem IPv4 über ein Netz zur Verfügung gestellt werden kann, das selbst nicht IPv4-tauglich ist. Dafür werden IPv4 Pakete in IPv6 Pakete eingepackt durch das Netz geleitet, also getunnelt. Das ist bei der Deutschen Glasfaser nicht der Fall. Das Netz der Deutschen Glasfaser überträgt IPv4 Pakete nativ, ohne Tunnel.

Zitat von Ares

IPv6 in meinem Netzwerk <-> IPv6 Dienst im Internet

Die FritzBox bekommt von der DG eine IPv6 Adresse und die Box bildet mit dem zugehörigen Prefix daraus für mein eine IPv6 Adresse für das Gerät in meinem Netzwerk
Verbindet sich dieses IPv6 dieses Gerät aus meinem Netzwerk mit einem IPv6 Gerät/Dienst im Internet läuft eben alles über IPv6. Fertig.
Umgekehrt kann das IPv6 Gerät in meinem Netzwerk ebenso direkt von IPv6 Geräten im Internet angesprochen werden.
Richtig?

Fast richtig. Das Präfix für die Geräte im LAN bildet die Fritzbox nicht aus ihrer IPv6 Adresse sondern bekommt es per Prefix-Delegation zugewiesen. Die Adresse der Fritzbox ist aus einem anderen Präfix. Geräte im LAN können aus dem Internet direkt angesprochen werden, wenn diese Zugriffe in der Firewall der Fritzbox freigegeben werden. Normalerweise sind alle ausgehenden Verbindungen erlaubt und alle ankommenden Verbindungen blockiert, auch mit IPv6.

Zitat von Ares

IPv6 in meinem Netzwerk -> IPv4 Dienst im Internet

Diese Verbindung läuft nur bis zu den Grenzen des DG Netzwerkes über IPv6. Dort wird das IPv6 Paket aus-/umgepackt und per IPv4 weiter zum Internetdienst geschickt.
Der Dienst Antwortet per IPv4 an die DG, die das Paket dann per IPv6 an mein Gerät zurückschickt.
Die aus meinem Netzwerk initiierte Verbindung ist also möglich.
Richtig?

Nicht richtig. Es gibt zwar Übergangsmechanismen, um per IPv6 auch IPv4 Server zu erreichen, aber die werden nur dann eingesetzt, wenn nicht nur das Netz sondern auch die Endgeräte kein IPv4 sprechen. Von sich aus bauen Geräte per IPv6 keine Verbindungen zu IPv4 Servern auf. Beispiel: Der Webbrowser auf einem reinen IPv6 System soll http://ipv4only.example.com anzeigen. Er macht einen DNS Lookup für diese Domain und erhält als Antwort nur eine IPv4 Adresse. Diese Verbindung wird nicht aufgebaut. Auf einem System mit IPv4 und IPv6 wird die Verbindung per IPv4 aufgebaut.

Zitat von Ares

IPv6 in meinem Netzwerk <- IPv4 Dienst im Internet

Umgekehrt kann ein IPv4 Gerät im Internet aber NICHT auf mein Netzwerk zugreifen (egal ob auf ein IPv4 oder v6 Gerät), weil die FritzBox keine öffentliche IPv4 Adresse hat. Der IPv4 Internet Dienst weiß also nicht, wo er das Paket hin schicken soll.
Hierfür wäre ein öffentliche IPv4 Adresse von der DG notwendig (Nur im Business-Tarif), oder ein Dritt-Dienst wie fest-ip.net. Dieser Dienst würde dann die IPv4 Verbindung annehmen und per IPv6 an mein Netz weiter schicken.
Richtig?

Richtig. Es gibt aber noch weitere Möglichkeiten, diese Verbindungen zu ermöglichen.

Zitat von Ares

IPv4 in meinem Netzwerk -> Internet

Ein IPv4 Gerät in meinem Netzwerk schickt seine Daten per IPv4 an die FritzBox. Aber wie geht es von dort aus weiter?

Die FritzBox hat ja eine IPv4 Adresse von der DG bekommen. Sie sollte das IPv4 Paket also doch eigentlich direkt per IPv4 an die DG weiter schicken können, oder?

Ist das Ziel in IPv6 Dienst wird das Paket umgepackt und per IPv6 weiter geschickt
Ist das Ziel ein IPv4 Dienst geht es einfach per IPv4 weiter
ABER: Die Informationen die ich über DSLight gefunden haben, zeigen alle, dass die IPv4 Pakete von der FritzBox über einen IPv6 Tunnel (4in6 Tunnel, also wieder ein Umpacken der Pakete) an die DG geschickt werden.

Stimmt das?

Wofür hat die FritzBox dann überhaupt eine IPv4 Adresse?

Oder ist das gerade der Unterschied zwischen DualStack Light und DualStack (ohne Light)?

Alles anzeigen

Das Gerät schickt die IPv4 Pakete an die Fritzbox. Die Fritzbox ersetzt die Absenderadresse durch die von der DG zugewiesene Adresse (NAT) und merkt sich die ursprüngliche Adresse. Dann schickt die Fritzbox das Paket an den nächsten Router der DG. Das Paket wird als IPv4 Paket weitergereicht, bis es am Rande des DG-Netzes zum CGNAT kommt, wo die Absenderadresse und ggf. der Port ersetzt werden. Das CGNAT Gerät merkt sich wie die Fritzbox die alte Adress-Port-Kombination und schickt das Paket mit der dann "öffentlichen" Absenderadresse ins Internet. Das ist Dual-Stack mit CGNAT.

Bei Dual-Stack Lite würde das Paket von der Fritzbox unverändert in ein IPv6 Paket eingepackt und dieses IPv6 Paket zu einem AFTR (Address Family Transition Router) genannten Gerät geschickt. Dort würde das IPv4 Paket ausgepackt und die Absenderadresse und ggf. der Port ausgetauscht. Der AFTR merkt sich, woher das Paket kam, um die Antworten verpackt an die IPv6 Adresse der Fritzbox und die ursprüngliche Adresse des Endgeräts schicken zu können.

Zitat von Ares

Zusatzfragen

Beim normalen DSL Anschluss hatte die FritzBox eine IPv4 Adresse und ich habe mir wie gesagt nie Gedanken darüber gemacht, ob ein Dienst den ich erreichen will über IPv4 oder IPv4 läuft.

Warum hat das funktioniert?

Wurden Anfragen an IPv6 Dienste auch dabei schon vom Provider automatisch in IPv6 umgepackt oder hat das andere Hintergründe / Lösungen?

Umgekehrt habe ich mir nie Gedanken darüber gemacht ob ich meine FritzBox aus dem Internet von einem IPv4 oder IPv6 Anschluss erreichen will. Es hat einfach immer geklappt.

Warum hat das funktioniert?
Habe ich einfach zufällig immer nur von IPv4 Anschlüssen aus die Verbindung aufgebaut (typischer Weise aus dem Mobilnetz) oder hat das andere Gründe?

Alles anzeigen

Beim Vodafone DSL Anschluss war keine Kommunikation mit IPv6 Geräten möglich. Es ist in Europa noch sehr selten, dass Dienste nur per IPv6 angeboten werden. Deswegen "funktioniert das" an reinen IPv4 Anschlüssen noch.

Die konkrete Konstellation eines VPN zwischen einer Fritzbox an einem DG-Privatkundenanschluss und einem Android Handy ist nicht möglich. Beide Geräte sind nicht aus dem Internet per IPv4 erreichbar und die Fritzbox unterstützt VPNs nur über IPv4.

Es gibt diverse Möglichkeiten, das Problem zu lösen. Die direkteste ist, IPv6 zu nutzen. Dafür wird keine externe Hilfe benötigt. Das setzt aber einen anderen VPN-Endpunkt im LAN voraus. Außerdem müssen der Mobilfunknetzbetreiber und ggf. genutzte WLAN Hotspots IPv6 anbieten. Das ist in Deutschland noch nicht selbstverständlich.

Alle anderen Lösungen setzen einen Vermittler im Internet voraus. Das kann ein eigener (virtueller oder realer) Server sein, aber es gibt auch eine Reihe von Dienstleistern, wie z.B. feste-ip.net oder EDV Kossmann. Die Lösungen reichen von einzelnen Portweiterleitungen von IPv4 auf IPv6 bis hin zu vorkonfigurierten Endgeräten, die eine oder mehrere IPv4 Adressen per Tunnel im LAN verfügbar machen.

Ideal wäre natürlich, wenn die DG ggf. für einen kleinen Aufpreis aus dem Internet erreichbare IPv4 Adressen anbieten würde. Das ist leider nicht der Fall. Danach fragen kann man aber trotzdem.

VPN-Endpunkte können sowohl andere Router als auch Server im LAN sein. Das muss kein großes Gerät sein. Ein RaspberryPi z.B. könnte das, wenn nicht die höchste Performance gefragt ist. Router mit OpenWRT Firmware unterstützen diverse VPN-Protokolle, z.B. das neue und sehr leicht einzurichtende Wireguard. Bei der Auswahl des VPN-Protokolls kommt es natürlich auch darauf an, was die Gegenseite kann. Viele Router haben aber auch nicht die Rechenleistung, um ein VPN mit der vollen Geschwindigkeit eines Glasfaseranschlusses zu ermöglichen. Ein kleiner PC (Intel NUC, Zotac Zbox, oder ähnliches) hat mehr Dampf. Wer schon einen Server im LAN hat, kann dem vielleicht einen Zusatznutzen verpassen, wenn das Sicherheitskonzept das hergibt. Einige höherwertige NAS Geräte unterstützen ebenfalls VPN-Verbindungen. Man hat also reichlich Auswahl.

Der VPN-Endpunkt muss nicht auf dem Router sein. Er kann hinter einer Fritzbox sein und dann Zugriffe von außen durch das VPN auf die LAN-Seite der Fritzbox ermöglichen.