2188539

Trotz IPV6: Zugriff auf das Heimnetz reparieren

20.08.2016 | 08:33 Uhr |

IPv6 ist eine tolle Sache, weil damit endlich jedes Gerät individuell adressierbar ist. Gerade für das Internet der Dinge hat das immense Vorteile, weil jede Komponente immer erreichbar ist. Theoretisch…

Klagen über die schnellen Breitbandanschlüsse der Kabelnetzbetreiber sind in einschlägigen Foren an der Tagesordnung. Das liegt nicht etwa daran, dass Unitymedia oder Kabel BW respektive Kabel Deutschland die gebuchten Geschwindigkeiten nicht erreichen würden oder an häufigen Verbindungsabbrüchen. Das kommt auch vor, aber hier ist die Rede von einem für viele Nutzer unverzichtbaren Feature: Die Erreichbarkeit des eigenen Netzwerkes von außen über das Internet. Der Grund liegt darin, dass die Anbieter hier auf das (noch relativ junge) Internet Protocol in der Version 6 (IPv6) setzen. Und das funktioniert anders als das von den meisten bisher verwendete IPv4.

IPv6 und VPN

Kurz zu Erinnerung: Beim bisherigen IPv4 verbindet man sich mit dem VPN-Server, nicht selten in Form einer Fritzbox. Auf dem einwählenden Rechner gibt es einen virtuellen Netzwerkadapter, der dem Netz zugewiesen wird, zu dem das VPN aufgebaut wird. Damit bekommt er eine IPv4-Adresse, die Verteilung der Datenpakete übernimmt der zum Netzwerk gehörige Switch. So funktioniert das bei IPv6 nicht mehr, die klassische Netzwerkarchitektur ist hier aufgehoben. Die Erklärung, wie genau IPv6 arbeitet und aufgebaut ist, würde hier den Rahmen sprengen. Fakt ist allerdings, dass man als Kabel-Kunde sehr schnell merkt, wenn der Anschluss auf IPv6 umgestellt wurde: Der Zugriff via VPN klappt nämlich in vielen Fällen nicht mehr.

IPv6 in Deutschland: Ein Überblick

IPv6 und DynDNS

Das erste Problem besteht darin, die Erreichbarkeit von außen im Hinblick auf die dynamische Adressvergabe durch den Provider sicherzustellen. Üblicherweise ist das eine Sache für DynDNS, wobei die erste Voraussetzung darin besteht, dass der DynDNS-Anbieter IPv6 unterstützt. Wenn nicht, ist ein Wechsel empfehlenswert. Für Besitzer einer Fritzbox ist es relativ simpel, weil der Dienst Myfritz IPv6-fähig ist. Allerdings ist eine wesentliche Voraussetzung, dass die Gegenstelle, von der man auf den eigenen IPv6-Router zugreifen will, ebenfalls mit IPv6 arbeitet.

Tipp: Passwort für MyFritz vergessen? So kommen Sie wieder herein

1. Die IPv6-Einstellungen für das intere Netzwerk
Vergrößern 1. Die IPv6-Einstellungen für das intere Netzwerk

Das DS-Lite-Problem

Typischerweise ist ein Netzwerk momentan hybrid, es arbeitet in vielen Fällen mit einer Mischung aus IPv4 und IPv6. Einige ältere Geräte können womöglich das neue Protokoll nicht, einige Dienste womöglich auch nicht. Solange im LAN bleibt, ist das kein Problem, denn so gut wie alle modernen Router beherrschen Dual Stack, also den Parallelbetrieb von beiden IP-Standards. Das betrifft aber lediglich die interne Seite des Netzwerks, am Internetzugang bieten die Provider in aller Regel nur Dual Stack Lite (DS-Lite). Und das ist letztlich im Hinblick auf VPN nicht einmal eine halbgare Lösung. Denn DS-Lite sorgt lediglich dafür, dass Geräte aus dem LAN heraus mit externen IPv4-Servern kommunizieren können, die Adressübersetzung findet allerdings beim Provider-Gateway statt. Vergleichbar ist das im Prinzip mit dem von IPv4 bekannten NAT. Hier übersetzt der Router die internen Adressen auf die externe, öffentliche IP. Allerdings eben auch nur in eine Richtung, die Rechner hinter dem Router sind nicht direkt erreichbar. Womit wir wieder beim VPN wären, das genau dieses Problem löst. Der andere Ansatz, den man hier praktizieren kann, ist Port-Mapping. Man schickt ein Datenpaket explizit auf einen bestimmten Port, den man auf Seiten der externen Adresse geöffnet hat. Gleichzeitig ist dieser Port mit einem Port eines intern adressierten Gerätes verknüpft. So überträgt der Router beispielsweise ein Datenpaket das auf Port 8080 der externen Adresse geschickt wird, an den Port 80 der NAS und ermöglicht so den Zugriff auf deren Web-Interface. Und genau das funktioniert auch bei IPv6. Allerdings nicht ohne fremde Hilfe.

2. Ein Myfritz-Konto ist für den Fernzugriff sinnvoll.
Vergrößern 2. Ein Myfritz-Konto ist für den Fernzugriff sinnvoll.

Portmapping-Dienste

Beschäftigt man sich mit der Frage nach VPN und IPv6, so stolpert man immer wieder über den Dienst feste-ip.net . Der ermöglicht ein Portmapping auf Adressen hinter einem IPv6-Router mit DS-Lite. Leider ist dieser Dienst wie auch vergleichbare Services nicht ganz kostenlos. Man benötigt pro Tag und Portmapping-Eintrag jeweils einen Credit. 365 Credits kosten 4,95 Euro, die doppelte Menge 9,90 Euro. Im Prinzip genügt aber schon das kleine Credit-Paket, um etwa ein NAS von außen über dessen Webinterface zu erreichen.

Portmapping einrichten

Die Einrichtung des Portmappings ist nicht ganz so trivial wie man das bei IPv4 vom Router kennt. Wir nutzen Myfritz als dynamischen DNS-Dienst. Zunächst ist es essentiell, dem NAS eine eigene IPv6-Adresse zu verpassen. Wenn noch nicht geschehen, muss zunächst einmal das LAN auf IPv6-Betrieb erweitert werden. In der Fritzbox geschieht das über den Punkt Heimnetz/Netzwerk und dann über den Button IPv6-Adressen.

3. In unserem Fall muss im NAS auch noch die IPv6-Unterstützung aktiviert werden.
Vergrößern 3. In unserem Fall muss im NAS auch noch die IPv6-Unterstützung aktiviert werden.

1. Hier aktiviert man die Punkte „Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)“ und „DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen“.

2. Falls ebenfalls noch nicht geschehen, richtet man nun unter Internet/Myfritz einen Myfritz-Account ein.

4. Für das Netzwerkgerät (hier das NAS) wird im Router eine Portfreigabe angelegt.
Vergrößern 4. Für das Netzwerkgerät (hier das NAS) wird im Router eine Portfreigabe angelegt.

3. Wichtig: Das Netzwerkgerät, das von außen angesprochen werden soll, muss ebenfalls für die Nutzung von IPv6 eingerichtet sein.

4. In der Fritzbox wird jetzt die Portfreigabe für die IPv6-Adresse des NAS konfiguriert. Die QNAP-Modelle nutzen üblicherweise den Port 8080, sodass wir das TCP-Protokoll auf diesen weiterleiten.

5. Zum Abschluss der Fritzbox-Konfiguration wird unter dem Reiter Myfritz-Freigaben noch eine Freigabe für das NAS aktiviert. Die sieht dann so aus: netzwerkgerät.xxxxxx.myfritz.net. Diese Adresse kopieren wir am besten.

5. Das freigegebene Gerät bekommt eine eigene Myfritz-Kennung.
Vergrößern 5. Das freigegebene Gerät bekommt eine eigene Myfritz-Kennung.

6. Jetzt wenden wir uns dem Dienst feste-ip.net zu. 50 Credits bekommt man gratis, sodass man zunächst testen kann, ob man mit dem Service zufrieden ist. Zunächst legt man einen Account an. Nach der Anmeldung klicken wir links auf „Universelle Portmapper“ und legen über das Plus-Symbol einen Portmapper an. Beim Mapping-Server folgen wir der Empfehlung des Dienstes. Den Alias können wir frei vergeben. Wichtig ist jetzt die Myfritz-Adresse des NAS (nicht der Box selber). Sie wird als DNS eingetragen, und zwar ohne http:// vorweg und ohne Portnummer am Ende. Dann folgt noch die Nummer des geöffneten Ports.

6. Diese Myfritz-Adresse wird bei dem Portmapper-Dienst zusammen mit dem Port registriert.
Vergrößern 6. Diese Myfritz-Adresse wird bei dem Portmapper-Dienst zusammen mit dem Port registriert.

7. Nach dem Speichern steht nun eine URL auf Basis des gewählten Alias mitsamt einer Portnummer zur Verfügung. Über diese Adresse ist die Freigabe des Netzwerkgerätes nun erreichbar. Worüber der Zugriff, erfolgt also beispielsweise via Browser, FTP-Client oder RDP, hängt von dem jeweils gewählten Dienst ab. In unserem Beispiel nutzen wir den Browser für das Webinterface des NAS (siehe Einstiegsbild).

7. Am Ende hat man eine URL inklusive Port-Nummer, die den Zugriff auf das NAS erlaubt.
Vergrößern 7. Am Ende hat man eine URL inklusive Port-Nummer, die den Zugriff auf das NAS erlaubt.

Fazit

Wer das klassische VPN gewohnt ist, das – entsprechende Berechtigungen vorausgesetzt – im Netzwerk völlige Bewegungsfreiheit gestattet, wird sich bei IPv6 mit DS-Lite umgewöhnen müssen. Er muss sich überlegen, welche Dienste er benötigt und diese dediziert freigeben. Das Verfahren ist leider momentan fast alternativlos, denn es steht nicht zu erwarten, dass DS-Lite-Anschlüsse auf vollwertiges Dual Stack umgestellt werden. Schließlich soll ja IPv6 die knapp werdenden IPv4-Adressen ablösen. Eine der wenigen Alternativen zum Portmapping: Der Wechsel auf einen Business-Anschluss. Da bekommt man noch IPv4-Adressen.

0 Kommentare zu diesem Artikel
2188539