Klagen über die schnellen Breitbandanschlüsse der Kabelnetzbetreiber sind in einschlägigen Foren an der Tagesordnung. Das liegt nicht etwa daran, dass Unitymedia oder Kabel BW respektive Kabel Deutschland die gebuchten Geschwindigkeiten nicht erreichen würden oder an häufigen Verbindungsabbrüchen. Das kommt auch vor, aber hier ist die Rede von einem für viele Nutzer unverzichtbaren Feature: Die Erreichbarkeit des eigenen Netzwerkes von außen über das Internet. Der Grund liegt darin, dass die Anbieter hier auf das (noch relativ junge) Internet Protocol in der Version 6 (IPv6) setzen. Und das funktioniert anders als das von den meisten bisher verwendete IPv4.
IPv6 und VPN
Kurz zu Erinnerung: Beim bisherigen IPv4 verbindet man sich mit dem VPN-Server, nicht selten in Form einer Fritzbox. Auf dem einwählenden Rechner gibt es einen virtuellen Netzwerkadapter, der dem Netz zugewiesen wird, zu dem das VPN aufgebaut wird. Damit bekommt er eine IPv4-Adresse, die Verteilung der Datenpakete übernimmt der zum Netzwerk gehörige Switch. So funktioniert das bei IPv6 nicht mehr, die klassische Netzwerkarchitektur ist hier aufgehoben. Die Erklärung, wie genau IPv6 arbeitet und aufgebaut ist, würde hier den Rahmen sprengen. Fakt ist allerdings, dass man als Kabel-Kunde sehr schnell merkt, wenn der Anschluss auf IPv6 umgestellt wurde: Der Zugriff via VPN klappt nämlich in vielen Fällen nicht mehr.
IPv6 in Deutschland: Ein Überblick
IPv6 und DynDNS
Das erste Problem besteht darin, die Erreichbarkeit von außen im Hinblick auf die dynamische Adressvergabe durch den Provider sicherzustellen. Üblicherweise ist das eine Sache für DynDNS, wobei die erste Voraussetzung darin besteht, dass der DynDNS-Anbieter IPv6 unterstützt. Wenn nicht, ist ein Wechsel empfehlenswert. Für Besitzer einer Fritzbox ist es relativ simpel, weil der Dienst Myfritz IPv6-fähig ist. Allerdings ist eine wesentliche Voraussetzung, dass die Gegenstelle, von der man auf den eigenen IPv6-Router zugreifen will, ebenfalls mit IPv6 arbeitet.
Tipp: Passwort für MyFritz vergessen? So kommen Sie wieder herein
Das DS-Lite-Problem
Typischerweise ist ein Netzwerk momentan hybrid, es arbeitet in vielen Fällen mit einer Mischung aus IPv4 und IPv6. Einige ältere Geräte können womöglich das neue Protokoll nicht, einige Dienste womöglich auch nicht. Solange im LAN bleibt, ist das kein Problem, denn so gut wie alle modernen Router beherrschen Dual Stack, also den Parallelbetrieb von beiden IP-Standards. Das betrifft aber lediglich die interne Seite des Netzwerks, am Internetzugang bieten die Provider in aller Regel nur Dual Stack Lite (DS-Lite). Und das ist letztlich im Hinblick auf VPN nicht einmal eine halbgare Lösung. Denn DS-Lite sorgt lediglich dafür, dass Geräte aus dem LAN heraus mit externen IPv4-Servern kommunizieren können, die Adressübersetzung findet allerdings beim Provider-Gateway statt. Vergleichbar ist das im Prinzip mit dem von IPv4 bekannten NAT. Hier übersetzt der Router die internen Adressen auf die externe, öffentliche IP. Allerdings eben auch nur in eine Richtung, die Rechner hinter dem Router sind nicht direkt erreichbar. Womit wir wieder beim VPN wären, das genau dieses Problem löst. Der andere Ansatz, den man hier praktizieren kann, ist Port-Mapping. Man schickt ein Datenpaket explizit auf einen bestimmten Port, den man auf Seiten der externen Adresse geöffnet hat. Gleichzeitig ist dieser Port mit einem Port eines intern adressierten Gerätes verknüpft. So überträgt der Router beispielsweise ein Datenpaket das auf Port 8080 der externen Adresse geschickt wird, an den Port 80 der NAS und ermöglicht so den Zugriff auf deren Web-Interface. Und genau das funktioniert auch bei IPv6. Allerdings nicht ohne fremde Hilfe.
Portmapping-Dienste
Beschäftigt man sich mit der Frage nach VPN und IPv6, so stolpert man immer wieder über den Dienst feste-ip.net . Der ermöglicht ein Portmapping auf Adressen hinter einem IPv6-Router mit DS-Lite. Leider ist dieser Dienst wie auch vergleichbare Services nicht ganz kostenlos. Man benötigt pro Tag und Portmapping-Eintrag jeweils einen Credit. 365 Credits kosten 4,95 Euro, die doppelte Menge 9,90 Euro. Im Prinzip genügt aber schon das kleine Credit-Paket, um etwa ein NAS von außen über dessen Webinterface zu erreichen.
Portmapping einrichten
Die Einrichtung des Portmappings ist nicht ganz so trivial wie man das bei IPv4 vom Router kennt. Wir nutzen Myfritz als dynamischen DNS-Dienst. Zunächst ist es essentiell, dem NAS eine eigene IPv6-Adresse zu verpassen. Wenn noch nicht geschehen, muss zunächst einmal das LAN auf IPv6-Betrieb erweitert werden. In der Fritzbox geschieht das über den Punkt Heimnetz/Netzwerk und dann über den Button IPv6-Adressen.
1. Hier aktiviert man die Punkte „Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)“ und „DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen“.
2. Falls ebenfalls noch nicht geschehen, richtet man nun unter Internet/Myfritz einen Myfritz-Account ein.
3. Wichtig: Das Netzwerkgerät, das von außen angesprochen werden soll, muss ebenfalls für die Nutzung von IPv6 eingerichtet sein.
4. In der Fritzbox wird jetzt die Portfreigabe für die IPv6-Adresse des NAS konfiguriert. Die QNAP-Modelle nutzen üblicherweise den Port 8080, sodass wir das TCP-Protokoll auf diesen weiterleiten.
5. Zum Abschluss der Fritzbox-Konfiguration wird unter dem Reiter Myfritz-Freigaben noch eine Freigabe für das NAS aktiviert. Die sieht dann so aus: netzwerkgerät.xxxxxx.myfritz.net. Diese Adresse kopieren wir am besten.
6. Jetzt wenden wir uns dem Dienst feste-ip.net zu. 50 Credits bekommt man gratis, sodass man zunächst testen kann, ob man mit dem Service zufrieden ist. Zunächst legt man einen Account an. Nach der Anmeldung klicken wir links auf „Universelle Portmapper“ und legen über das Plus-Symbol einen Portmapper an. Beim Mapping-Server folgen wir der Empfehlung des Dienstes. Den Alias können wir frei vergeben. Wichtig ist jetzt die Myfritz-Adresse des NAS (nicht der Box selber). Sie wird als DNS eingetragen, und zwar ohne http:// vorweg und ohne Portnummer am Ende. Dann folgt noch die Nummer des geöffneten Ports.
7. Nach dem Speichern steht nun eine URL auf Basis des gewählten Alias mitsamt einer Portnummer zur Verfügung. Über diese Adresse ist die Freigabe des Netzwerkgerätes nun erreichbar. Worüber der Zugriff, erfolgt also beispielsweise via Browser, FTP-Client oder RDP, hängt von dem jeweils gewählten Dienst ab. In unserem Beispiel nutzen wir den Browser für das Webinterface des NAS (siehe Einstiegsbild).
Fazit
Wer das klassische VPN gewohnt ist, das – entsprechende Berechtigungen vorausgesetzt – im Netzwerk völlige Bewegungsfreiheit gestattet, wird sich bei IPv6 mit DS-Lite umgewöhnen müssen. Er muss sich überlegen, welche Dienste er benötigt und diese dediziert freigeben. Das Verfahren ist leider momentan fast alternativlos, denn es steht nicht zu erwarten, dass DS-Lite-Anschlüsse auf vollwertiges Dual Stack umgestellt werden. Schließlich soll ja IPv6 die knapp werdenden IPv4-Adressen ablösen. Eine der wenigen Alternativen zum Portmapping: Der Wechsel auf einen Business-Anschluss. Da bekommt man noch IPv4-Adressen.
©Microsoft
©Microsoft
©istockphoto.com/malerapaso