Unitymedia Beratung zu Servererreichbarkeit im Heimnetz und DS-Lite

[SpaceRat]

Also um das ganze jetzt mal etwas praktisch auszudrücken. Egal wo auf der Welt ich mich befinde, wenn mein dortiger Anbieter keine IPv6 Adresse an den Router vergibt, werde ich nie und nimmer auf meine FritzBox und mein Heimnetz draufkommen?

Prinzipiell richtig.

Es gibt aber immer mindestens einen Ausweg:
Weil es Leute gibt, die mit der Faulheit der anderen Geld verdienen, gibt es auch "Übersetzungsdienste" im Internet. feste-ip.net bietet so einen an.
feste-ip.net stellt "eigene" Rechner mit Dual-Stack-Anbindung zur Verfügung, die auf der einen Seite IPv4-Verbindungen annehmen und auf der anderen per IPv6 an IPv6-only-Server weiterreichen können.
Damit kriegt man seinen eigenen Server (Oder sonst irgendeinen IPv6-only-Server, für den man sich das kostenpflichtig einrichtet) auch von kastrierten Anschlüssen (= IPv4-only) aus erreicht.

Der andere Ausweg wäre, eine IPv6-Tunnelanbindung zu nutzen. Damit kann man einen IPv4-Anschluß zum Dual-Stack-Anschluß aufrüsten.
Das mache ich grundsätzlich an allen von mir gewarteten Anschlüssen, d.h. ich trage einen SixXS-Tunnel in der jeweiligen Fritz!Box ein und der Anschluß kann danach beides, IPv4 und IPv6.

Die Tunnel sind grundsätzlich die bessere Lösung, weil das Kern-Problem eben nicht die nicht vorhandene IPv4 am CGN/IPv4-lite-Anschluß ist (denn das war eine zwangsläufige und absehbare Entwicklung), sondern die nicht vorhandene IPv6-Konnektivität am IPv4-only-Anschluß. Ein "Portmapper" macht immer nur einen IPv6-Server für IPv4-only-Krüppelanschlüsse erreichbar, ein Tunnel auf dem IPv4-only-Anschluß macht für ihn alle IPv6-Server erreichbar.

Der Nachteil an der Tunnel-Lösung ist halt der, daß man sie nicht überall einsetzen kann, nämlich dort nicht, wo man nicht befugt ist, Faulheit und Inkompetenz der Admins auszugleichen oder kurz: "Wo man keine Admin-Rechte hat".
Auf dem eigenen Notebook geht's also, auf dem eigenen Smartphone auch, aber auf dem PC am Arbeitsplatz oder bei einem iPhone eher nicht.
Das iPhone gehört einem ja nicht, da hat man zwar viel Geld für hingelegt, aber gehören tut es immer noch CrApple Inc., jedenfalls machen die einem Vorschriften darüber, was man damit tun darf und was nicht, wie sie sich nur ein Eigentümer erlauben kann.

 

[SpaceRat]

Das ist ja ganz schön krass, finde ich. Werde das mit ipV6 hier im Unternehmen mal schnell veranlassen. Für den Rest der Welt muss ich mir jetzt wohl nen Tunnel buchen. Meine in deinem Artikel etwas von portunity gelesen zu haben, die das anbieten?

Achtung:
Was Portunity da anbietet bzw. weshalb man zu denen geht, ist eine "IPv4-Tunnelanbindung".
D.h. man kann sich damit tatsächlich eine "eigene" IPv4 von Portunity ins Heimnetz tunneln, um seine Server darüber erreichbar zu machen. Weil IPv4s knapp sind, kostet ein solcher Tunnel Geld.
Und weil solche Krücken im Konzept zur Migration zu IPv6 nicht vorkommen (Es hätten erst nach und nach alle Anschlüsse zusätzlich IPv6-tauglich gemacht - also auf echten Dual-Stack umgestellt - werden sollen, bevor überhaupt der erste keine öffentlich erreichbare IPv4 mehr bekommen hätte), werden sie auch nur schlecht unterstützt.
Du kannst den Tunnel nicht einfach ein Deinem Router eintragen und er hat dann auf wundersame Weise statt der IPv4-lite von Unitymedia eine öffentlich erreichbare IPv4 von Portunity, das wäre ja einfach ...
Stattdessen wirst Du ihn über irgendein anderes Gerät im Heimnetz (z.B. einen Raspberry Pi) aufbauen müssen. Dadurch bedingt wird er aber hinter der Firewall des Routers aufgebaut und öffnet somit das gesamte Gerät, das ihn aufbaut, ins Internet.
Deshalb müßte man dann diesen Zugang separat über eine Firewall absichern (z.B. per "iptables") und auch die ach so tollen NAT-Regeln auf diesem Gerät eintragen (ebenfalls in "iptables"), wenn man auch weitere Geräte im Heimnetz erreichbar machen will.
Lediglich *-Wrt-Router können einen solchen Tunnel (Technisch ein VPN) der "WAN"-Zone zuschlagen und somit bereits durch den Router als Außenanbindung betrachten und somit durch die Router-Firewall schützen lassen.

Zusammengefaßt:

• Rückwärtsgewandte Lösung
  Sie löst nicht das Kern-Problem (IPv4-only-Anschlüsse), sondern erhöht nur die Abwärtskompatibilität des eigentlich intakten Anschlusses (Dem mit richtigem IPv6, aber IPv4 eben nur "lite" oder per CGN).
• Kostenpflichtig
• Höherer administrativer Aufwand
  Da eigentlich nicht vorgesehen gibt es keine einfach zusammenklickbare bzw. einfach nur im Router einzutragende Möglichkeit zur Nutzung dieser Tunnel.
  Sie werden als VPN (virtuelles privates Netzwerk) eingerichtet und müssen dann - weil sie ja eben nicht wirklich "privat" sind - manuell abgesichert werden.

Die Tunnel, von denen ich meist rede sind "IPv6-Tunnelanbindungen".
Diese werden auf den tatsächlich kastrierten Anschlüssen - denen mit IPv4-only - eingerichtet und verpassen diesen jetzt "schon" übergangsweise IPv6 (Bis es der Provider endlich tut).
Weil dies im Szenario der IPv6-Migration auch vorgesehen ist (Also Provider, die bei der Migration hinterherhinken), kann in fast jedem Router auch ein solcher Tunnel als Ersatz für eine native IPv6-Anbindung eingetragen werden.
Eine solche IPv6-Tunnelanbindung wird dann vom Router auch als das gesehen, was sie ist, nämlich eine Außenanbindung, und von daher vor der Firewall aufgebaut, so daß die Firewall des Routers hier genauso greift wie bei nativem IPv6.
Übrigens bietet Portunity auch solche Tunnel an (Den 'VPN Tunnel "IPv6 Launcher"')... leider nicht per OpenVPN, sonst wären sie die Lösung für Opfer von Apple's EiFon.

Zusammengefaßt:

• Vorwärtsgewandte Lösung
  Es wird das eigentliche Problem gelöst, indem ein kastrierter IPv4-only-Anschluß (Wie z.B. ein Unitymedia Business-Anschluß) zusätzlich auch IPv6 erhält und damit aus eigener Kraft das gesamte Internet erreichen kann.
• Kostenlos
• Geringer administrativer Aufwand, weil in den meisten anständigen Routern schon vorgesehen. Tunnel eintragen und fertig.

Man, man, man. Ich glaube ich nehme einfach diesen Businesstarif von Kabelbw. Ich fand IPv4 so schön einfach

IPv4 ist mit seinen ganzen Krücken (NAT, masquerading, ..., millionenfach trotz unterschiedlicher Geräte identischen Adressen wegen Adressknappheit) furchtbar kompliziert.
Man hat sich einfach nur an diesen Horror gewöhnt und ist meistens auch nicht mit allen Problemen gleichzeitig konfrontiert.

Nur mal ein Beispiel:
Du richtest Dir auf Deinem ach so einfachen IPv4-only-Anschluß das lokale Netzwerk 192.168.1.x ein, läßt dort einen VPN-Server laufen und nutzt dieses VPN munter von Deinem Smartphone über Deine Mobilfunkflat aus, alles klappt.
Nun bist Du im Urlaub, hast keine Handyflat, aber Du buchst das Hotel-WLAN. Freude oh Freude, jetzt nur noch ins VPN einloggen, um zuhause nach dem Rechten zu sehen ...
*Peng*
Nix klappt.
Und warum?
Weil auch das Hotel-WLAN den Adressbereich 192.168.1.x nutzt ...

IPv4 ist der hinterletzte Rotz.
Das war gut genug für ein Forschungsnetz, in dem es niemals mehr als die 4 Mrd. eindeutig adressierbaren Rechner gegeben hätte, aber es ist eine blanke Katastrophe, seitdem Milliarden Menschen weltweit das Internet nutzen und es allein in Deutschland die Adressbereiche 192.168.0.x, 192.168.1.x, 192.168.178.x, 192.168.100.x, 10.0.8.x millionenfach gibt und diese über VPNs zumindest potentiell auch in Berührung kommen könnten.


Nichtsdestotrotz:
Der Business-Anschluß ist auch meine Empfehlung.
1. Die AFTR-Gateways von Unitymedia sind regelmäßig überlastet, d.h. IPv4 über DS-lite ist noch schlechter (langsamer), als es sein müßte.
2. Man kriegt einen IPv4-only-Anschluß wie den Business-Anschluß problemlos auf Dual-Stack aufgerüstet
3. Solange alle Provider die Finger fest im 4rsch stecken haben und IPv6 weiter verschleppen fährt man einfach besser, wenn man selber noch IPv4 in der Hinterhand hat.

Trotzdem kann ich nur dringend dazu raten, die persönliche Migration auf IPv6 in Angriff zu nehmen:
Die IPv4-Probleme sind nicht aus der Welt, nur weil man den eigenen Anschluß wieder auf IPv4 hat umstellen lassen können. Früher oder später, eher früher, holen sie einen wieder ein.
Man sollte also die Rückumstellung auf IPv4 lediglich als Chance begreifen, etwas Zeit für die nahtlose Migration gewonnen zu haben.

 

[heinzelrumpel]

Du hast recht. Es zeigt sich an diesem Beispiel ganz deutlich, dass ich erst etwas bewegt, wenn man mit dem Rücken zu Wand steht. Ich habe das ipv6 Thema auch immer verdrängt, weil es bisher auch nicht nötig war. Nun steh ich blöd da :traurig: Habe gerade mal geschaut, ob ich nicht mein eigenes ipv4 Gateway aufbaue, um mich zuhause erreichbar zu machen. Ovh.de bietet günstige vServer an, ab 2,40 im Monat. Sofern ich ein Tap-DEvice zum laufen bekommen hätte sich mein Problem mit etwas Konfigurationsaufwand schon gelöst, denn ich habe zuhause bereits einen Raspberry mit Opnvpn laufen, der mich hier ins Firmennetz verbindet. Wenn ich dann auf dem Vserver Openvpn laufen habe und dort einen Portmapper einrichte, sollte ich ja gut auf meine Geräte zuhause drauf kommen.

 

[SpaceRat]

Habe gerade mal geschaut, ob ich nicht mein eigenes ipv4 Gateway aufbaue, um mich zuhause erreichbar zu machen. Ovh.de bietet günstige vServer an, ab 2,40 im Monat. Sofern ich ein Tap-DEvice zum laufen bekommen hätte sich mein Problem mit etwas Konfigurationsaufwand schon gelöst, denn ich habe zuhause bereits einen Raspberry mit Opnvpn laufen, der mich hier ins Firmennetz verbindet. Wenn ich dann auf dem Vserver Openvpn laufen habe und dort einen Portmapper einrichte, sollte ich ja gut auf meine Geräte zuhause drauf kommen.

Das geht einfacher ...

1. Dein Raspberry sollte ja eine eigene IPv6-Adresse haben
2. Umgekehrt kann er alle Geräte im Heimnetz auch unter ihren lokalen IPv4-Adressen erreichen

Wenn Du als Router eine Fritz!Box nutzt, geht das nun ganz einfach wie folgt:
Für alle IPv6-tauglichen Server im Heimnetz, die Du von außen erreichen können willst, legst Du in der Fritz!Box normale IPv6-Freigaben an bzw. im Idealfall "MyFritz"-Freigaben.
Bei einer MyFritz-Freigabe (Eine pro Gerät reicht, weitere Ports kannst Du auch in der dadurch entstandenen IPv6-Freigabe ergänzen, nur niemals den ursprünglich per MyFritz freigegebenen Port aus der IPv6-Freigabe löschen!) erhältst Du auch direkt einen eindeutigen DynDNS-Hostname für dieses Gerät nach dem Schema
<Gerät>.<kryptische Buchstabenfolge>.myfritz.net

Nehmen wir als Beispiel mal Deinen Pi selber, dann könnte der Hostname so aussehen:
raspberry.uihgdifhdfibhfgigbbh.myfritz.net

Unter diesem Hostname könntest Du den Pi direkt erreichen, also z.B. per ssh ...
ssh [email protected]
... natürlich nur, wenn der aufrufende Anschluß auch IPv6 hat.

Auf Deinem vServer (Der muß dafür aber IPv4 und IPv6 können) kannste nun ganz einfach, z.B. über /etc/rc.local
/usr/bin/6tunnel 1222 raspberry.uihgdifhdfibhfgigbbh.myfritz.net 22
starten.
Danach würdest Du Deinen Pi auch per IPv4 erreichen können, indem Du statt raspberry.uihgdifhdfibhfgigbbh.myfritz.net und Port 22 einfach die IPv4 vom vServer (Sagen wir er hätte auch vserver.blah.com als Hostname) und Port 1222 nutzt:
ssh -p 1222 [email protected]

Das kannst Du analog für alle IPv6-fähigen Server im Heimnetz machen, also einfach per IPv6 freigeben und auf dem vServer einen 6tunnel zufügen ... nichts anderes macht feste-ip.net bei seinen Portmappern:
/usr/bin/6tunnel 1222 raspberry.uihgdifhdfibhfgigbbh.myfritz.net 22
/usr/bin/6tunnel 1223 desktop.uihgdifhdfibhfgigbbh.myfritz.net 22
/usr/bin/6tunnel 1224 notebook.uihgdifhdfibhfgigbbh.myfritz.net 22
/usr/bin/6tunnel 12443 vuduo2.uihgdifhdfibhfgigbbh.myfritz.net 443

Für nicht-IPv6-fähige Server machst Du es im Prinzip genauso, nur daß der Pi mithelfen muß ...
Auf dem Pi wird ebenfalls ein 6tunnel gestartet:
/usr/bin/6tunnel -4 -6 13443 dm800hd.fritz.box 443
(Beachte die Parameter -4 und -6, die sagen 6tunnel, daß es genau umgekehrt arbeiten soll, also auf IPv6 lauschen (-6), aber den entfernten Server (dm800hd.fritz.box) soll er per IPv4 kontaktieren (-4))

Auf dem vServer lautet der 6tunnel dann
/usr/bin/6tunnel 13443 raspberry.uihgdifhdfibhfgigbbh.myfritz.net 13443
In der Folge wird zwei Mal getunnelt: vom vServer über IPv6 durch's Internet zum Pi und vom Pi via IPv4 durch's Heimnetz zum IPv4-only-Server, hier einer Dreambox DM800HD (Außer den Dreamboxen DM500/DM800 kann jeder E2-Receiver IPv6, wenn man ihn nicht mit einem Schrott-Image betreibt).

Der Vorteil wäre, daß Du Deine Server auch direkt per IPv6 von außerhalb kontaktieren kannst, indem Du direkt den MyFritz-Host (Oder einen leichter zu merkenden CNAME dafür) nutzt und daß Du auf dem Pi nicht mehr mit iptables rummachen mußt.

Wenn Du mit VPN, iptables & Co. rummachen willst, dann solltest Du Dir einen vServer suchen, für den man zusätzliche IPv4-Adressen buchen kann (Z.B. netcup: Einrichtung 5 €, 1,29 €/Monat je zusätzlicher IPv4).
Dann kannst Du Dir nämlich gleich die ganze IPv4-Adresse (Und nicht nur einzelne Ports) per VPN rübertunneln.

 

[heinzelrumpel]

Grandios. Diese Variante ist ja sogar noch simpler umzusetzen. Besten Dank für den Tipp. Da weiss ich ja, was ich in den nächsten Tagen ausprobieren werde :smile: