VPN mit Dual Stack Lite oder Dual Stack CGNAT (IPv6)

  • Hallo Forum,


    ich habe viele Beiträge diesbezüglich gelesen, aber worin genau besteht eigentlich das Problem hinsichtlich VPN mit „Dual Stack Lite“ oder „Dual Stack CGNAT“? Mir ist durchaus bewusst, dass bei diesem Verfahren die IPv4 Adresse aus einem „privaten“ Adressraum stammt und lediglich die IPv6 Adresse öffentlich ist.


    Aktuell (bisheriger VDSL Provider) existiert eine öffentliche IPv4 Adresse sowie Portweiterleitungen für L2TP/IPSec am Router auf einen Windows Server (RAS) im LAN. Lässt sich dieses Szenario so nicht auch auf eine öffentliche IPv6 Adresse anwenden? Oder liegt liegt das Problem darin, dass:


    a) der „mobile“ Client sich meistens in einem IPv4 Netzwerk (Telekom LTE etc) befindet und daher nicht mit einer IPv6 Adresse kommunizieren kann?


    b) wenn der mobile Client in einem IPv6 Netzwerk wäre, alle zu erreichenden Geräte im LAN ebenfalls über IPv6 erreichbar sein müssten (also nicht nur der VPN Server selbst)?


    Viele Grüße!


    P.S. Auch mir wurde aktuell auf Nachfrage beim Support (Deutschen Glasfaser) die Auskunft gegeben, es sei „Dual Stack Lite“ im Einsatz. Ich habe hier einige Beiträge gefunden, dass das falsch sei und seit einiger Zeit „Dual Stack CGNAT“ eingesetzt werden würde.

  • Das Thema ist hauptsächlich deshalb problematisch, weil bei der häufigsten VPN Situation eine Fritzbox im Spiel ist, die VPN nur mit IPv4 kann. Damit sind hinter NAT nur von der Fritzbox initiierte VPN-Verbindungen möglich. Die andere Seite braucht dann natürlich eine öffentliche Adresse.


    Es hat gewisse Vorteile, wenn der Router der VPN-Endpunkt ist. Deshalb ist nachvollziehbar, dass viele gerne die VPN-Funktion der Fritzbox nutzen würden, die ja auch einfach zu konfigurieren ist. Aber die VPN-Implementation von AVM ist hoffnungslos veraltet und selbst aktuelle Fritzboxen erreichen damit keine zeitgemäßen Durchsätze, wenn es funktioniert. Und ankommend funktioniert es eben nur mit öffentlicher IPv4 Adresse.


    Mit moderneren VPN Implementationen und Protokollen ist ein VPN auch über IPv6 möglich. Das Protokoll im Inneren des VPN kann i.d.R. sowohl IPv4 als auch IPv6 sein. Es gibt auch Protokolle/Dienste, die den Verbindungsaufbau über stets erreichbare Server signalisieren und dann "ankommende" Verbindungen trotz NAT mit IPv4 ermöglichen. Ein Beispiel dafür wäre ZeroTier.


    Die Telekom bietet schon lange IPv6 Unterstützung an, sowohl im Festnetz als auch im Mobilfunk. Bei letzterem muss ggf. ein anderer APN eingestellt werden, um auch IPv6 nutzen zu können.

  • Danke, nicht nötig. Ich glaube, der Support nimmt es mit den Begriffen nicht genau.


    DualStack mit CGNAT, DS-Lite und 6rd (mit CGNAT) sind drei verschiedene Dinge: Kein Tunnel, IPv4 durch IPv6 getunnelt und IPv6 durch IPv4 getunnelt. Bei neuen Anschlüssen wird soweit mir bekannt nicht getunnelt, aber wenn sie bei dir tatsächlich DS-Lite machen, wäre das einen Hinweis wert. Bis jetzt habe ich nur von 6rd (alt) und DS mit CGNAT (neu) gehört.

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden