Glasfaser, IPv4, IPv6 und ein paar Verständnisfragen

  • Hallo,


    Im Sommer haben wir den Anschluss von DSL zur Deutschen Glasfaser gewechselt. Nun habe ich (wie viele andere) das Problem, dass ich meine FritzBox und die Geräte dahinter nicht mehr wie gewohnt aus dem Internet erreichen kann. Das grundsätzliche Problem dabei habe ich im Prinzip verstanden (IPv4 vs. IPv6), allerdings habe ich noch verschiedenen Detailfragen die ich mir bislang nicht beantworten konnte.


    Alter DSL Anschluss

    • Beim vorherigen DSL Anschluss befand sich meine FritzBox in einem IPv4 Netz. Sie bekam also vom Provider (Vodafone) eine öffentliche IPv4 Adresse zugewiesen.
    • Weil die Adresse öffentlich / weltweit einmalig war, konnte man darüber meine FritzBox von außen erreichen.
    • Statt der IPv4 Adresse konnte man auch die URL irgendeineID.myfritz.net aufrufen, die dann zur IP aufgelöst wurde.

    Richtig?

    • Mit dem Anschluss konnte ich alle Geräte/Dienste im Internet erreichen. Ich habe mir nie Gedanken darüber gemacht ob diese über IPv6 oder v4 laufen.
    • Ebenso haben ich mir nie Gedanken darüber gemacht von welchem Anschluss aus (IPv4 oder v6) ich meine FritzBox über das Internet erreichen wollte. Es hat immer funktioniert.


    Glasfaser Anschluss

    • Das Netz der Deutschen Glasfaser basiert auf IPv6, von dort erhält die FritzBox also zunächst nur eine öffentliche IPv6 Adresse.
    • Zwar bekommt die Box auch eine IPv4 Adresse, diese ist aber nicht öffentlich bekannt, sondern gilt nur innerhalb des DG Netzes.
    • Öffentlich IPv6 Adresse + interne IPv4 Adresse = DualStack Lite.

    Richtig?



    Aber was ist Dual Stack Light ganz genau?

    • IPv6 in meinem Netzwerk <-> IPv6 Dienst im Internet
      • Die FritzBox bekommt von der DG eine IPv6 Adresse und die Box bildet mit dem zugehörigen Prefix daraus für mein eine IPv6 Adresse für das Gerät in meinem Netzwerk
      • Verbindet sich dieses IPv6 dieses Gerät aus meinem Netzwerk mit einem IPv6 Gerät/Dienst im Internet läuft eben alles über IPv6. Fertig.
      • Umgekehrt kann das IPv6 Gerät in meinem Netzwerk ebenso direkt von IPv6 Geräten im Internet angesprochen werden.
      • Richtig?
    • IPv6 in meinem Netzwerk -> IPv4 Dienst im Internet
      • Diese Verbindung läuft nur bis zu den Grenzen des DG Netzwerkes über IPv6. Dort wird das IPv6 Paket aus-/umgepackt und per IPv4 weiter zum Internetdienst geschickt.
      • Der Dienst Antwortet per IPv4 an die DG, die das Paket dann per IPv6 an mein Gerät zurückschickt.
      • Die aus meinem Netzwerk initiierte Verbindung ist also möglich.
      • Richtig?
    • IPv6 in meinem Netzwerk <- IPv4 Dienst im Internet
      • Umgekehrt kann ein IPv4 Gerät im Internet aber NICHT auf mein Netzwerk zugreifen (egal ob auf ein IPv4 oder v6 Gerät), weil die FritzBox keine öffentliche IPv4 Adresse hat. Der IPv4 Internet Dienst weiß also nicht, wo er das Paket hin schicken soll.
      • Hierfür wäre ein öffentliche IPv4 Adresse von der DG notwendig (Nur im Business-Tarif), oder ein Dritt-Dienst wie fest-ip.net. Dieser Dienst würde dann die IPv4 Verbindung annehmen und per IPv6 an mein Netz weiter schicken.
      • Richtig?
    • IPv4 in meinem Netzwerk -> Internet
      • Ein IPv4 Gerät in meinem Netzwerk schickt seine Daten per IPv4 an die FritzBox. Aber wie geht es von dort aus weiter?
      • Die FritzBox hat ja eine IPv4 Adresse von der DG bekommen. Sie sollte das IPv4 Paket also doch eigentlich direkt per IPv4 an die DG weiter schicken können, oder?
        • Ist das Ziel in IPv6 Dienst wird das Paket umgepackt und per IPv6 weiter geschickt
        • Ist das Ziel ein IPv4 Dienst geht es einfach per IPv4 weiter
      • ABER: Die Informationen die ich über DSLight gefunden haben, zeigen alle, dass die IPv4 Pakete von der FritzBox über einen IPv6 Tunnel (4in6 Tunnel, also wieder ein Umpacken der Pakete) an die DG geschickt werden.
        • Stimmt das?
        • Wofür hat die FritzBox dann überhaupt eine IPv4 Adresse?
        • Oder ist das gerade der Unterschied zwischen DualStack Light und DualStack (ohne Light)?


    Zusatzfragen

    • Beim normalen DSL Anschluss hatte die FritzBox eine IPv4 Adresse und ich habe mir wie gesagt nie Gedanken darüber gemacht, ob ein Dienst den ich erreichen will über IPv4 oder IPv4 läuft.
      • Warum hat das funktioniert?
      • Wurden Anfragen an IPv6 Dienste auch dabei schon vom Provider automatisch in IPv6 umgepackt oder hat das andere Hintergründe / Lösungen?
    • Umgekehrt habe ich mir nie Gedanken darüber gemacht ob ich meine FritzBox aus dem Internet von einem IPv4 oder IPv6 Anschluss erreichen will. Es hat einfach immer geklappt.
      • Warum hat das funktioniert?
      • Habe ich einfach zufällig immer nur von IPv4 Anschlüssen aus die Verbindung aufgebaut (typischer Weise aus dem Mobilnetz) oder hat das andere Gründe?


    Vielen Dank für die Hilfe!

  • Alter DSL Anschluss

    • Beim vorherigen DSL Anschluss befand sich meine FritzBox in einem IPv4 Netz. Sie bekam also vom Provider (Vodafone) eine öffentliche IPv4 Adresse zugewiesen.
    • Weil die Adresse öffentlich / weltweit einmalig war, konnte man darüber meine FritzBox von außen erreichen.
    • Statt der IPv4 Adresse konnte man auch die URL irgendeineID.myfritz.net aufrufen, die dann zur IP aufgelöst wurde.

    Richtig?

    • Mit dem Anschluss konnte ich alle Geräte/Dienste im Internet erreichen. Ich habe mir nie Gedanken darüber gemacht ob diese über IPv6 oder v4 laufen.
    • Ebenso haben ich mir nie Gedanken darüber gemacht von welchem Anschluss aus (IPv4 oder v6) ich meine FritzBox über das Internet erreichen wollte. Es hat immer funktioniert.

    Vodafone hat an DSL-Anschlüssen kein IPv6 angeboten. Der alte Anschluss hatte deshalb nur eine IPv4 Adresse und darüber waren (ohne weitere Maßnahmen) auch nur Verbindungen zu Servern mit IPv4 Adressen möglich. Es gibt zwar durchaus schon Server, die nur IPv6 sprechen, auch in Europa, aber den meisten DSL-Kunden dürfte die Einschränkung auf IPv4 noch keine Probleme bereitet haben, mit einer wichtigen Ausnahme: Wer Geräte an Anschlüssen von Providern erreichen möchte, die nicht mehr genug IPv4 Adressen bekommen haben, könnte das ohne Umwege nur über IPv6, wenn es denn z.B. bei Vodafone DSL angeboten würde.


    Zitat

    Glasfaser Anschluss

    • Das Netz der Deutschen Glasfaser basiert auf IPv6, von dort erhält die FritzBox also zunächst nur eine öffentliche IPv6 Adresse.
    • Zwar bekommt die Box auch eine IPv4 Adresse, diese ist aber nicht öffentlich bekannt, sondern gilt nur innerhalb des DG Netzes.
    • Öffentlich IPv6 Adresse + interne IPv4 Adresse = DualStack Lite.

    Richtig?

    Nicht ganz richtig. Das Netz der Deutschen Glasfaser basiert auf IPv4 und IPv6. Die Fritzbox erhält eine öffentliche IPv6 Adresse für sich selbst und ein (separates) IPv6-Präfix für Geräte im LAN. Die IPv4 Adresse wird per DHCP zugewiesen und ist nicht-öffentlich. Diese Kombination wird von vielen als DualStack Lite bezeichnet, aber das ist nicht korrekt. Es handelt sich um DualStack mit CGNAT.


    Zitat

    Aber was ist Dual Stack Light ganz genau?

    Dualstack Lite ist ein in RFC6333 spezifiziertes Protokoll, mit dem IPv4 über ein Netz zur Verfügung gestellt werden kann, das selbst nicht IPv4-tauglich ist. Dafür werden IPv4 Pakete in IPv6 Pakete eingepackt durch das Netz geleitet, also getunnelt. Das ist bei der Deutschen Glasfaser nicht der Fall. Das Netz der Deutschen Glasfaser überträgt IPv4 Pakete nativ, ohne Tunnel.


    IPv6 in meinem Netzwerk <-> IPv6 Dienst im Internet


    Die FritzBox bekommt von der DG eine IPv6 Adresse und die Box bildet mit dem zugehörigen Prefix daraus für mein eine IPv6 Adresse für das Gerät in meinem Netzwerk
    Verbindet sich dieses IPv6 dieses Gerät aus meinem Netzwerk mit einem IPv6 Gerät/Dienst im Internet läuft eben alles über IPv6. Fertig.
    Umgekehrt kann das IPv6 Gerät in meinem Netzwerk ebenso direkt von IPv6 Geräten im Internet angesprochen werden.
    Richtig?

    Fast richtig. Das Präfix für die Geräte im LAN bildet die Fritzbox nicht aus ihrer IPv6 Adresse sondern bekommt es per Prefix-Delegation zugewiesen. Die Adresse der Fritzbox ist aus einem anderen Präfix. Geräte im LAN können aus dem Internet direkt angesprochen werden, wenn diese Zugriffe in der Firewall der Fritzbox freigegeben werden. Normalerweise sind alle ausgehenden Verbindungen erlaubt und alle ankommenden Verbindungen blockiert, auch mit IPv6.


    IPv6 in meinem Netzwerk -> IPv4 Dienst im Internet


    Diese Verbindung läuft nur bis zu den Grenzen des DG Netzwerkes über IPv6. Dort wird das IPv6 Paket aus-/umgepackt und per IPv4 weiter zum Internetdienst geschickt.
    Der Dienst Antwortet per IPv4 an die DG, die das Paket dann per IPv6 an mein Gerät zurückschickt.
    Die aus meinem Netzwerk initiierte Verbindung ist also möglich.
    Richtig?

    Nicht richtig. Es gibt zwar Übergangsmechanismen, um per IPv6 auch IPv4 Server zu erreichen, aber die werden nur dann eingesetzt, wenn nicht nur das Netz sondern auch die Endgeräte kein IPv4 sprechen. Von sich aus bauen Geräte per IPv6 keine Verbindungen zu IPv4 Servern auf. Beispiel: Der Webbrowser auf einem reinen IPv6 System soll http://ipv4only.example.com anzeigen. Er macht einen DNS Lookup für diese Domain und erhält als Antwort nur eine IPv4 Adresse. Diese Verbindung wird nicht aufgebaut. Auf einem System mit IPv4 und IPv6 wird die Verbindung per IPv4 aufgebaut.


    IPv6 in meinem Netzwerk <- IPv4 Dienst im Internet

    Umgekehrt kann ein IPv4 Gerät im Internet aber NICHT auf mein Netzwerk zugreifen (egal ob auf ein IPv4 oder v6 Gerät), weil die FritzBox keine öffentliche IPv4 Adresse hat. Der IPv4 Internet Dienst weiß also nicht, wo er das Paket hin schicken soll.
    Hierfür wäre ein öffentliche IPv4 Adresse von der DG notwendig (Nur im Business-Tarif), oder ein Dritt-Dienst wie fest-ip.net. Dieser Dienst würde dann die IPv4 Verbindung annehmen und per IPv6 an mein Netz weiter schicken.
    Richtig?

    Richtig. Es gibt aber noch weitere Möglichkeiten, diese Verbindungen zu ermöglichen.


    Das Gerät schickt die IPv4 Pakete an die Fritzbox. Die Fritzbox ersetzt die Absenderadresse durch die von der DG zugewiesene Adresse (NAT) und merkt sich die ursprüngliche Adresse. Dann schickt die Fritzbox das Paket an den nächsten Router der DG. Das Paket wird als IPv4 Paket weitergereicht, bis es am Rande des DG-Netzes zum CGNAT kommt, wo die Absenderadresse und ggf. der Port ersetzt werden. Das CGNAT Gerät merkt sich wie die Fritzbox die alte Adress-Port-Kombination und schickt das Paket mit der dann "öffentlichen" Absenderadresse ins Internet. Das ist Dual-Stack mit CGNAT.


    Bei Dual-Stack Lite würde das Paket von der Fritzbox unverändert in ein IPv6 Paket eingepackt und dieses IPv6 Paket zu einem AFTR (Address Family Transition Router) genannten Gerät geschickt. Dort würde das IPv4 Paket ausgepackt und die Absenderadresse und ggf. der Port ausgetauscht. Der AFTR merkt sich, woher das Paket kam, um die Antworten verpackt an die IPv6 Adresse der Fritzbox und die ursprüngliche Adresse des Endgeräts schicken zu können.


    Beim Vodafone DSL Anschluss war keine Kommunikation mit IPv6 Geräten möglich. Es ist in Europa noch sehr selten, dass Dienste nur per IPv6 angeboten werden. Deswegen "funktioniert das" an reinen IPv4 Anschlüssen noch.

  • Hallo zusammen,


    bin frisch hier angemeldet und tüftel auch gerade an meinem DG Anschluss.


    Vorab: Ich strauchle schon manchmal an einigen "Fachbegriffen". Prinzipiell bin ich nicht ganz unfähig in der Netzwerktechnik aber sicher kein Profi.


    Vorhaben: Was ich vorhabe ist eine VPN Verbindung vom Android Phone zur Fritzbox.


    Hintergrund: Ich habe eine 1200er Siemens SPS bei mir verbaut und darüber diverse Funktionen im Garten (autom. Bewässerung etc.) realisiert. Danach habe ich per Android Stuido eine App erstellt mit der ich diese Funktionen bedienen kann. Befinde ich mich selber im WLAN daheim funktioniert auch alles. Der letzte Schritt wäre jetzt eine VPN Verbindung von unterwegs herzustellen um dann auch von über all sonst auf die CPU zuzugreifen.


    Bis jetzt habe ich den MyFritz Dienst probiert und per selfhost.de DynDNS.

    Beides hat bislang nicht geklappt und auch die Hotline der DG und Selfhost konnten bislang nicht helfen. Wobei von selfhost schon einiges mehr an Unterstützung kam.


    Eine Frage vorab: Kann das was ich vorhabe überhaupt funktionieren ? Die SPS wird aus der App per IPv4 angesprochen und wenn ich alles was ich bisher an Infos gesammelt habe richtig ist, so ist eine VPN über die DG ohnehin nur per IPv6 möglich.


    Hat jemand Lust sich mir anzunehmen ? :-)


    Danke vorab

  • Die konkrete Konstellation eines VPN zwischen einer Fritzbox an einem DG-Privatkundenanschluss und einem Android Handy ist nicht möglich. Beide Geräte sind nicht aus dem Internet per IPv4 erreichbar und die Fritzbox unterstützt VPNs nur über IPv4.


    Es gibt diverse Möglichkeiten, das Problem zu lösen. Die direkteste ist, IPv6 zu nutzen. Dafür wird keine externe Hilfe benötigt. Das setzt aber einen anderen VPN-Endpunkt im LAN voraus. Außerdem müssen der Mobilfunknetzbetreiber und ggf. genutzte WLAN Hotspots IPv6 anbieten. Das ist in Deutschland noch nicht selbstverständlich.


    Alle anderen Lösungen setzen einen Vermittler im Internet voraus. Das kann ein eigener (virtueller oder realer) Server sein, aber es gibt auch eine Reihe von Dienstleistern, wie z.B. feste-ip.net oder EDV Kossmann. Die Lösungen reichen von einzelnen Portweiterleitungen von IPv4 auf IPv6 bis hin zu vorkonfigurierten Endgeräten, die eine oder mehrere IPv4 Adressen per Tunnel im LAN verfügbar machen.


    Ideal wäre natürlich, wenn die DG ggf. für einen kleinen Aufpreis aus dem Internet erreichbare IPv4 Adressen anbieten würde. Das ist leider nicht der Fall. Danach fragen kann man aber trotzdem.

  • Es gibt diverse Möglichkeiten, das Problem zu lösen. Die direkteste ist, IPv6 zu nutzen. Dafür wird keine externe Hilfe benötigt. Das setzt aber einen anderen VPN-Endpunkt im LAN voraus. Außerdem müssen der Mobilfunknetzbetreiber und ggf. genutzte WLAN Hotspots IPv6 anbieten. Das ist in Deutschland noch nicht selbstverständlich.

    Moin!

    Das ist ein sehr interessantes Thema - suche seit Wochen nach einer komfortablen Lösung per IPhone und VPN in mein Heimnetz zu gelangen!

    Was kann denn ein "anderer" VPN-Endpunkt sein?


    In diesem Zusammenhang - gibt es Router (nicht Fritzboxen) die quasi von Haus aus die Möglichkeit bieten einen VPN-Server am Glasfaseranschluss (DualStack mit CGNAT) für externe Endgeräte bereitzustellen? Falls bekannt, welche?


    Und wie steuert man dann die Telefonie trotzdem noch mit einer Fritzbox zugleich?


    Fragen über Fragen....Bin für jeden Tipp dankbar....

  • VPN-Endpunkte können sowohl andere Router als auch Server im LAN sein. Das muss kein großes Gerät sein. Ein RaspberryPi z.B. könnte das, wenn nicht die höchste Performance gefragt ist. Router mit OpenWRT Firmware unterstützen diverse VPN-Protokolle, z.B. das neue und sehr leicht einzurichtende Wireguard. Bei der Auswahl des VPN-Protokolls kommt es natürlich auch darauf an, was die Gegenseite kann. Viele Router haben aber auch nicht die Rechenleistung, um ein VPN mit der vollen Geschwindigkeit eines Glasfaseranschlusses zu ermöglichen. Ein kleiner PC (Intel NUC, Zotac Zbox, oder ähnliches) hat mehr Dampf. Wer schon einen Server im LAN hat, kann dem vielleicht einen Zusatznutzen verpassen, wenn das Sicherheitskonzept das hergibt. Einige höherwertige NAS Geräte unterstützen ebenfalls VPN-Verbindungen. Man hat also reichlich Auswahl.


    Der VPN-Endpunkt muss nicht auf dem Router sein. Er kann hinter einer Fritzbox sein und dann Zugriffe von außen durch das VPN auf die LAN-Seite der Fritzbox ermöglichen.

  • Meine Empfehlung für "interessierte Laien" ist die FIP-Box von feste-ip.net (bitte nicht vom Design der Website abschrecken lassen ;)). Dies ist ein fertig konfigurierter RaspberryPi, der mit dem Heimnetz verbunden werden muss und sich dann um alles kümmert.



    Die anfallenden Kosten sind moderat und das Gerät bietet dafür alles was ein normaler Heimanwender brauchen könnte. Auch Support ist vorhanden.

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden