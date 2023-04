Wenn Sie hin und wieder einen Blick ins Menü Ihres Internetrouters werfen, stoßen Sie garantiert auf den Begriff „IPv6“. Auch bei den LAN- oder WLAN-Geräten, die sich im Netzwerk des Routers befinden, zum Beispiel in Ihrem Windows-PC, taucht IPV6 auf – gut erkennbar in Form der langen IPv6-Adressen, die im Hexadezimalcode notiert sind.

Doch nicht nur Schreibweise und Form einer IPv6-Adresse unterscheidet sich vom bekannten IPv4: Auch bei den Netzwerk- und Interneteinstellungen in Router und Clients müssen Sie sich bei IPv6 umgewöhnen. Viele bekannte Tipps für Sicherheit und Tuning, die Sie bislang auf Basis von IPv4-Adressen angewendet haben, funktionieren mit IPv6 nicht mehr oder ganz anders – zum Beispiel Portweiterleitung, Firewall und NAT.

Wir erklären, wie Sie IPv6 optimal für Ihr Heimnetz nutzen und wie Sie im Router und den Netzwerkgeräten die besten Einstellungen für die neue Adressierungstechnik vornehmen.

IPv6 ist inzwischen Standard für Internetanschlüsse

Alle großen Netzbetreiber in Deutschland und Europa setzen seit vielen Jahren IPv6 an ihren Internetanschlüssen ein. Aus diesem Grund wird es auch von allen halbwegs aktuellen Heimnetzroutern unter stützt und ebenso von wichtigen Betriebssystemen wie Windows, Linux, Mac-OS, Android oder iOS.

In der Praxis begegnet Ihnen IPv6 aber nur, wenn Sie sich mit den Internet- und Netzwerkeinstellungen von Router und Heimnetzgeräten beschäftigen, denn das gewohnte IPV4 funktioniert nach wie vor parallel: Sie können zum Beispiel das Webmenü Ihres Routers oder Ihres NAS im Heimnetz über eine IPv4-Adresse aufrufen, wie beispielsweise das einer Fritzbox mit 192.168.178.1.

Selbst die meisten Webserver im Internet sind nach wie vor über eine öffentliche IPv4-Adresse erreichbar. Weil die Umstellung von IPv4 auf IPv6 nur langsam voranschreitet und es keinen Stichtag geben wird, ab dem nur noch IPv6 funktioniert, ist es für die Netzbetreiber wichtig, dass ihre Anschlüsse auch nach der Einführung von IPv6 noch möglichst lange über IPv4 kommunizieren können.

Ist IPv6 am Router nicht aktiviert, dann sind Ihre IPv6- fähigen Clients nur mit einer „Verbindungslokalen IPv6-Adresse“ ausgestattet, die mit „fe80::“ beginnt. IDG

Wie dieser Parallelbetrieb der Netzwerkprotokolle bei Ihrer Onlineverbindung umgesetzt wird, unterscheidet sich je nach Internetanbieter und sogar nach dem jeweiligen Tarif. In den meisten Fällen kommt dafür entweder ein Dual-Stack-Anschluss oder ein Dual Stack Lite (DS-Lite-Anschluss) zum Einsatz.

Aufbau einer IPv6-Adresse Eine IPv6-Adresse mit 128 Bit Länge wird als 32-stellige Hexadezimalzahl geschrieben. Diese 32 Stellen sind in acht Vierergruppen unterteilt, die durch einen Doppelpunkt getrennt sind. Jede Vierergruppe repräsentiert 16 Bit. Um die Schreibweise dieser langen Adressen zu vereinfachen, gibt es Abkürzungsregeln für IPv6: Alle führenden Nullen innerhalb einer Vierergruppe können weggelassen werden – die Gruppe :0db8: darf zum Beispiel als :db8: abgekürzt werden. Aufeinanderfolgende Vierergruppen, die nur aus Nullen bestehen, lassen sich durch zwei Doppelpunkte ersetzen. Das ist pro IPv6-Adresse aber nur einmal für zusammenhängende Vierergruppen aus Nullen erlaubt. Mithilfe dieser Abkürzungsregeln lässt sich zum Beispiel die IPv6-Adresse fe80:0000:0000:0000:abcd:1 234:a1b2:ed43 kürzer schreiben, und zwar fe80::abcd:1234:a1b2:ed43. Die erste Hälfte einer IPv6-Adresse, also die ersten 16 der 32 Hexadezimalstellen beziehungsweise die ersten 64 Bit, heißt Netzwerk-Präfix oder Netzwerk-ID. Sie gibt an, in welchem Netzwerk oder Subnetzwerk sich ein Gerät befindet. Die ersten 56 Bit, also die ersten 14 der 16 Hexadezimalstellen, vergibt der Internetprovider. Dieses Provider-Präfix erscheint im Routermenü deshalb meist mit dem Zusatz „/56“ am Ende. Aus Datenschutzgründen wechseln die Provider regelmäßig das Präfix für den Router. Für die Vergabe der beiden letzten Hexadezimalstellen des Präfixes ist der Router zuständig: Damit kann ein geeigneter IPv6-Router bis zu 256 separate Subnetze erzeugen. Ein Heimnetzrouter wie die Fritzbox legt üblicherweise nur zwei logisch getrennte Subnetze an: Ein Heimnetz und ein Gästenetz. Ein vom Router ergänztes Präfix mit dem Zusatz /64 bedeutet, dass dieses Präfix nicht in weitere Subnetze unterteilt werden kann. Die zweiten 16 Stellen der hexadezimalen IPv6-Adresse heißen Suffix, Interface Identifier oder Host-ID. Dieser Bereich unterscheidet sich für jedes einzelne Netzwerkgerät, also beispielsweise den Router, das Windows-Notebook, das Android-Smartphone oder die NAS. IP-Adresse herausfinden: So einfach finden Sie Geräte in Ihrem Netzwerk

Dual Stack: IPv4 und IPv6 parallel, aber mit Einschränkungen

Wenn IPv6 in einer Fritzbox am Dual-Stack-Anschluss nicht aktiviert ist, zeigt der Router unter „WAN-Verbindung“ im Online-Monitor nur die öffentliche IPv4-Adresse an. IDG

Bei einem Anschluss über Dual Stack bekommt Ihr Internetrouter vom Onlineanbieter sowohl eine IPv4-Adresse als auch ein IPv6-Präfix zugewiesen. Mit dem Internet kommunizieren die Heimnetzgeräte also entweder über das IPv6- oder das IPv4-Protokoll.

Um die richtigen Einstellungen im Router und fürs Heimnetz vorzunehmen, müssen Sie in diesem Fall wissen, ob der Netzbetreiber dem Dual-Stack-Anschluss eine „echte“ öffentliche IPv4-Adresse zuweist: Dann kann der Router wie gewohnt IPv4-Anfragen aus dem Internet verarbeiten, und Heimnetzgeräte, die nur IPv4 unterstützen, sind damit per Fernzugriff erreichbar – zum Beispiel per VPN. Denn viele VPN-Dienste oder -Server funktionieren nach wie vor ausschließlich über das IPv4-Protokoll und lassen sich deshalb nur für den Heimnetzzugriff nutzen, wenn Ihr Internetrouter über eine öffentliche IPv4-Adresse verfügt.

Öffentliche IPv4-Adressen sind allerdings inzwischen Mangelware: In Deutschland vergibt sie für Privatanwender nur noch die Telekom beim Dual-Stack-Anschluss, da das Unternehmen über ein großes Kontingent an öffentlichen IPv4-Adressen verfügt.

Andere Netzbetreiber, die nicht mehr genügend öffentliche IPv4-Adressen für alle Kunden haben, nutzen daher für Dual-Stack das so genannte „Carrier Grade NAT“ (CGN): Bei dieser Anschlussvariante teilen sich mehrere Endkunden eine öffentliche IPv4-Adresse, der Router bei Ihnen zu Hause bekommt hingegen eine nicht-öffentliche CGN-IPv4-Adresse. Die Umsetzung der öffentlichen auf die private IPv4- Adresse (NAT, Network Address Translation) erledigt also nicht mehr Ihr Internetrouter, sondern ein NAT-Router beim Provider.

Damit funktionieren zwar weiterhin IPv4-Verbindungen aus dem Heimnetz ins Internet. Umgekehrt aber nicht mehr. Eingehende IPv4-Verbindungen wie beispielsweise für einen VPN-Fernzugriff, die keine Antworten auf Anfragen aus dem Heimnetz sind, blockiert der Providerrouter. Ändern können Sie dies nicht, denn auf dessen Einstellungen haben Sie keinen Zugriff.

Warum es mit IPv4 nicht mehr weitergeht Eine IPv4-Adresse hat eine Länge von 32 Bit: Damit gibt es rund 4,3 Milliarden unterschiedliche IPv4-Adressen. Das reicht schon lange nicht mehr aus, um jedes einzelne Netzwerkgerät mit einer eigenen IPv4-Adresse auszustatten. Um IPv4-Adressen einzusparen, hilft die Technik der Network Address Translation (NAT): Dabei erhält nur ein Gerät, das direkt mit dem Internet verbunden ist, eine eigene IPv4-Adresse – in den meisten Fällen ist das der Internetrouter. Er wiederum verteilt an die Clients in seinem Heimnetz private IP-Adressen, die nur dort gültig sind. Über die NAT-Funktion übersetzt er diese privaten in seine öffentliche IP-Adresse und umgekehrt, damit die Datenpakete beim richtigen Client ankommen. Doch selbst mit NAT reichen die verfügbaren IPv4-Adressen nicht mehr aus. Hinzu kommt, dass bestimmte Onlinedienste mit NAT nicht richtig funktionieren. Außerdem erschwert NAT die Router- und Netzwerkverwaltung. Mit IPv6 gibt es dagegen keinen Adressmangel mehr, allerdings ist das neue Protokoll mit IPv4 nicht kompatibel. Zwar können IPv6 und IPv4 gemeinsam auf einem Gerät wie Router oder Client installiert sein. Doch bei einer Verbindung darf nur eines der beiden Protokolle verwendet werden: Ein Gerät, das nur IPv4 versteht, kann nicht mit einem reinen IPv6-Gerät kommunizieren, ein IPv6-Client kann nur einen IPv6-Server erreichen; für IPv4-Geräte gilt dies entsprechend. Deshalb müssen für die Übergangszeit, in der sowohl IPv4 und IPv6 genutzt werden, Onlinedienste sowohl über IPv4 wie IPv6-Adresse erreichbar sein, damit Clients sich mit ihnen verbinden können.

WLAN-Probleme gelöst: Verbindungsfehler, Abbrüche, Authentifizierungsproblem u.v.m.

IPv6 am Dual-Stack-Anschluss nachträglich aktivieren

Unter „Internet –› Zugangsdaten –› IPv6“ können Sie IPv6 in einem AVM-Router aktivieren. Für einen Dual- Stack-Anschluss empfiehlt sich die Einstellung „Native IPv4-Anbindung“. IDG

Obwohl bei Dual-Stack-Anschlüssen das IPv6-Protokoll unterstützt wird, ist es in manchen Routern nicht aktiviert. Da wichtige Dienste nach wie vor mit IPv4 funktionieren, fällt dieses Defizit zunächst kaum auf. Wir empfehlen dennoch dringend, dass Sie IPv6 im Router aktivieren, wenn Sie einen Dual-Stack-Anschluss haben.

Prüfen Sie zunächst im Routermenü bei der Statusanzeige für den Internet- beziehungsweise WAN-Anschluss, ob dort neben der Internet- oder WAN-IPv4-Adresse auch eine IPv6-Adresse und ein IPv6-Präfix auftaucht. Im Routermenü einer Fritzbox finden Sie diese Informationen unter „Internet –› Online-Monitor –› Online-Monitor“. Hier sollten Sie unter „WAN-Verbindung“ Einträge für „Internet, IPv4“ und für „Internet, IPv6“ finden.

Fehlt hier der Eintrag zu IPv6, sollten Sie das Protokoll im Router nachträglich aktivieren. Dazu gehen Sie im Fritzbox-Menü zu „Internet –› Zugangsdaten–› IPv6“ und setzen einen Haken vor „IPv6-Unterstützung aktiv“. Wählen Sie in den nun geöffneten Einstellungen unter der Überschrift „IPv6-Anbindung“ die erste Option „Native IPv4-Anbindung verwenden“. Weiter unten bei „Verbindungseinstellungen“ können Sie noch einen Haken vor „DHCPv6 Rapid Commit verwenden“ setzen. Bestätigen Sie dann mit „Übernehmen“, worauf die Fritzbox eventuell nach einer weiteren Bestätigung per Tastendruck am Routergehäuse verlangt.

Bei einem Dual-Stack-Anschluss mit aktiviertem IPv6 im Router werden neben der Internet-IPv4-Adresse anschließend auch Internet-IPv6-Adresse und -Präfix angezeigt. IDG

Warten Sie rund eine Minute, und wechseln Sie dann zurück in das Menü „Internet –› Online-Monitor“. Nun sollte hier der Eintrag „Internet, IPv6“ erscheinen, der neben der vollständigen IPv6-Adresse der Fritzbox separat das Ihrem Router zugewiesene IPv6-Präfix anzeigt. Dieses vom Netzbetreiber verteilte Präfix trägt in der Regel den Zusatz „/56“.

In seltenen Fällen kann es vorkommen, dass Sie vom Provider nur ein „/64“-Präfix erhalten. In diesem Fall kann Ihr Router kein IPv6-Subnetting betreiben, also ein vom Heimnetz getrenntes Gästenetzwerk über IPv6 aufspannen. Gastnetz-Nutzer erhalten dann nur per IPv4-Protokoll Zugang ins Internet, bleiben aber trotzdem vom restlichen Heimnetz getrennt.

IPv6-Adressen per Router ans Heimnetz weitergeben

In den Netzwerkeinstellungen der Fritzbox legen Sie fest, wie der Router das IPv6-Präfix an die Heimnetzgeräte verteilt. Allerdings ist diese Option nicht sofort zu finden. IDG

Nach der erfolgreichen IPv6-Anbindung Ihres Routers ans Internet kümmern Sie sich darum, wie die lokalen Clients per IPv6 Kontakt zum Router aufnehmen. In einer Fritzbox stellen Sie auch ein, wie der AVM-Router seine IPv6-Informationen wie Präfix, Gateway und DNS an die Geräte im Heimnetz weitergeben soll.

Gehen Sie zu „Heimnetz –› Netzwerk –› Netzwerkeinstellungen“, und scrollen Sie nach unten zum blau eingefärbten Link „weitere Einstellungen“, den Sie eventuell anklicken müssen. In diesem Menü scrollen Sie dann wiederum ein Stück nach unten bis zur Schaltfläche „IPv6-Einstellungen“ (FritzOS 7.50), die Sie anklicken. Im folgenden Bereich sollte nun ein Haken vor „Router Advertisement im LAN aktiv“ gesetzt sein. Direkt darunter wählen Sie die erste Option „Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)“.

Gehen Sie nun bis zur Überschrift „DHCPv6-Server im Heimnetz“. Hier aktivieren Sie die Option „DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren“ und „Nur DNS-Server zuweisen“. Übernehmen Sie diese Einstellungen mit einem Klick auf „OK“.

Für den Internetzugriff benötigen die IPv6-Clients im Heimnetz bestimmte Informationen vom Router – zum Beispiel das Präfix. Das erhalten sie, wenn im Menü die Einstellung „Router Advertisement im LAN aktiv“ eingeschaltet ist. IDG

Nun sollten alle IPv6-fähigen Clients im Heimnetz eine globale IPv6-Adresse zugewiesen bekommen. Das prüfen Sie am besten an einem Windows-Client: Gehen Sie mit Rechtsklick auf Windows-Start und im Kontextmenü auf „Netzwerkeinstellungen“. Wählen Sie dann „WLAN“ oder „Ethernet“ – je nachdem, wie der Client mit dem Router verbunden ist – und anschließend den zugehörigen Netzwerkadapter. Scrollen Sie das Verbindungsfenster ganz nach unten und prüfen Sie, ob Ihr Client eine „IPv6-Adresse“ erhalten hat, die immer mit der Zahl „2“ startet.

Alternativ können Sie im gleichen Windows-Start-Kontextmenü die „Eingabeaufforderung“ öffnen und dort das Kommando ipconfig eingeben (siehe Kasten „Die unterschiedlichen IPv6-Adressen“).

Der mit der Fritzbox verbundene Netzwerkadapter sollte hier über eine globale IPv6-Adresse, eine temporäre IPv6-Adresse mit abweichendem Suffix und über eine verbindungslokale (link-lokale) IPv6-Adresse verfügen.

Wie bei IPv4 kann der Router seinen Clients auch IPv6-Adressen automatisch zuweisen. Dafür muss er als DHCPv6-Server arbeiten, was Sie im Fritzbox-Menü unter „Netzwerk“ einstellen können. IDG

Die unterschiedlichen IPv6-Adressen Jeder IPv6-fähige Heimnetz-Client besitzt meist mehrere IPv6- Adressen, sofern er über einen IPv6-fähigen Router mit dem Internet verbunden ist. Windows listet in der Eingabeaufforderung mit dem Kommando ipconfig alle drei IPv6-Adressarten auf, sofern dieser Rechner mit einem IPv6- Router verbunden ist. IDG Linklokale (verbindungslokale) IPv6-Adresse: Jedes Heimnetzgerät, das IPv6 unterstützt, gibt sich beim physikalischen Verbinden mit einem lokalen Netzwerk (LAN, WLAN) automatisch eine eigene linklokale (verbindungslokale) IPv6-Adresse. Sie gilt ausschließlich im lokalen Netzwerk; damit lässt sich keine Verbindung über ein Gateway (Router) hinaus in ein anderes Netzwerk oder ins Internet herstellen. Die linklokale Adresse ermöglicht, dass IPv6-Geräte in einem lokalen Netzwerk miteinander kommunizieren können – unabhängig davon, ob ein IPv6-fähiger Router oder ein DHCP-Server vorhanden ist. Das Präfix einer linklokalen IP-Adresse lautet immer „fe80::“ (ausgeschrieben: fe80:0:0:0 oder fe80:0000:0000:0000). Den anschließenden Interface Identifier (oder das Suffix) bildet das Heimnetzgerät in der Regel aus der MAC-Adresse seines Netzwerkadapters. Globale IPv6-Adresse: Die globale IPv6-Adresse benötigt ein Heimnetzgerät für die Verbindung ins Internet. Es bekommt diese Adresse entweder komplett mit Präfix und Suffix über DHCPv6 vom Router. Alternativ holt sich das Netzwerkgerät per „Router Solicitation“ das Präfix vom Router und erstellt daraus mit dem Suffix seiner linklokalen Adresse eine eigene globale IPv6-Adresse, was auch als Autokonfiguration (SLAAC) bezeichnet wird. Wenn IPv6 am Router korrekt eingerichtet ist, erhält jeder IPv6-Client für die Verbindung ins Internet eine (globale) IPv6-Adresse, die immer mit „2“ beginnt. IDG Temporäre IPv6-Adresse: Aus Sicherheitsgründen ist es problematisch, dass ein Teil der globalen IPv6-Adresse eines Heimnetzgerätes aus dem Interface Identifier (Suffix) besteht. Denn diesen bildet das Gerät mithilfe seiner weltweit eindeutigen MAC-Adresse, was Rückschlüsse auf das Gerät und den Nutzer zulässt. Um das zu verhindern, kann das Gerät für Internetverbindungen eine temporäre IP-Adresse nutzen, die nur für einen bestimmten Zeitraum gilt. Sie besitzt einen zufällig erstellten Interface Identifier – dieses Verfahren heißt Privacy Extensions.

Die richtigen Router-Einstellungen für DS-Lite

Die Alternative zu Dual Stack ist die Anschlussvariante DS-Lite, die beispielsweise häufig Kabelnetz-Provider verwenden. Bei DS-Lite ist der Heimnetzrouter ausschließlich über IPv6 mit dem Internet verbunden. Daher muss bei dieser Anschlussart im Router auf jeden Fall IPv6 aktiviert sein, da sonst keine Internetverbindung zustande kommt.

Trotzdem muss eine IPv4-Übertragung möglich sein, weil beispielsweise bestimmte Heimnetzgeräte kein IPv6 unterstützen oder weil Sie Dienste im Internet erreichen möchten, die nur IPv4 nutzen. Um dies zu ermöglichen, nutzt der Router einen sogenannten 4in6-Tunnel: Er verstaut IPv4- Pakete in einer IPv6-Verbindung zum sogenannten AFTR-Gateway des Providers. Dieses Gateway holt sich die IPv4-Pakete und leitet sie ins Internet weiter.

Bei einem Internetanschluss, der mit DS-Lite arbeitet, kann der Router automatisch die korrekten Einstellungen ermitteln. Falls das nicht funktioniert, müssen Sie die passenden Infos beim Provider erfragen. IDG

Auf diese Weise sind IPv4-Verbindungen vom Heimnetz ins Internet möglich, aber umgekehrt blockiert das AFTR-Gateway IPv4-Anfragen aus dem Internet ins Heimnetz, weil zwischen dem Gateway und Ihrem Router zu Hause nur eine IPv6-Verbindung besteht.

Bei einer Fritzbox am DS-Lite-Anschluss ist unter „Internet –› Zugangsdaten-IPv6“ die IPv6-Unterstützung immer aktiviert. Im Gegensatz zum Dual-Stack-Anschluss müssen Sie hier auf jeden Fall die Option „Native IPv6-Anbindung verwenden“ wählen und zusätzlich einen Haken vor „IPv4-Anbindung über DS-Lite herstellen“ setzen. Für welche der beiden weiteren AFTR-Einstellungen Sie sich entscheiden müssen, hängt vom Provider ab: Falls in dessen FAQs keine Adresse für das AFTR-Gateway angegeben ist, versuchen Sie es mit der Einstellung „AFTR-Adresse automatisch über DHCPv6 ermitteln“. Funktioniert das nicht, wenden Sie sich an den Support des Providers, um die richtige Einstellung zu erfragen.

Bei den „Verbindungseinstellungen“ sollten Sie die zweite Option „Globale Adresse ausschließlich per DHCPv6 beziehen“ wählen, wenn Sie an einem Internet-Kabelanschluss hängen. Im Zweifel empfiehlt es sich auch hier, die korrekte Einstellung direkt beim Provider erfragen.