Unitymedia NAT-Typ und VPN-Verbindungen

[philip1990]

Hallo zusammen,

ich überlege, zu UnityMedia zu wechseln, da die in unserer Gegend als einziger Provider einen schnellen Anschluss ( > 16 Mbit/sec) anbieten.

Meine Fragen:

Ich habe gehört, dass UM IPv6 verwendet und dass IPv4 Verbindungen deshalb erst über einen Unitymedia Router (der bei denen steht) geroutet werden. Außerdem sei es so, dass man sich bei UM eine IP-Adresse mit mehreren Kunden teilt. Aus dem Grund sei es nicht möglich, z.B. Ports weiterzuleiten (was z.B. für den Online-Betrieb der PS4 nötig ist). Außerdem soll es auch bei VPN-Verbindungen Schwierigkeiten geben (aufgrund dieser komischen IP-Technik).

Wer kann mir hier weiterhelfen?

 

[GoaSkin]

Gängige Praxis bei IPv6-Internet-Anschlüssen ist, dass man als Endkunde mehr IPv6-Adressen erhält, als das IPv4-Internet überhaupt bietet. Aus diesem Grund gibt es in Sachen IPv6 kein NAT mehr und demzufolge auch kein Portforwarding. Stattdessen erhält jedes Endgerät eine oder mehrere global gültige IPv6-Adressen. Eingehende Verbindungen sind bis auf eine vom Kunden festgelegte Ausnahmeliste durch die Firewall im Router gesperrt. Das heisst, man leitet keine Ports mehr weiter, sondern öffnet Ports. Bekommt man einen IPv6-Anschluss, ist man allerdings von außen nur noch per IPv6 erreichbar. Umgekehrt kann man das IPv4-Internet via NAT nutzen, wobei NAT nicht mehr auf dem Router stattfindet, sondern beim Dienstanbieter.

Für VPN bedeutet das:
- Tunnelprotokolle, die direkt auf dem IP-Layer aufbauen (z.B. IPGRE), sind nur noch über IPv6 möglich. Betrifft im Prinzip alles, was auch IPv4-basiert auf beiden Seiten (d.h. auch Client-seitig) öffentliche IPv4-Adressen benötigt.
- Sitzungsbasierte Tunnelprotokolle (z.B. OpenVPN), die auf TCP oder UDP aufsetzen, sind auch über IPv4 möglich, so lange der VPN-Server per IPv4 erreichbar ist
- über einen entsprechend konfigurierten, über IPv6 realisierten VPN-Tunnel lassen sich auch zwei IPv4-Netze überbrücken

Ist in der Praxis aber alles halb so wild. Es gibt gute Möglichkeiten, reinen IPv4-Internet-Anbindungen IPv6 beizubringen (6-To-4 aktivieren oder im Zweifel Tunnelbroker nutzen). Ich habe eine DS-Lite Anbindung, einen OpenVPN Server am laufen und besorge mir überall dort, von wo ich verbinden muss, auf die beschriebene Art eine IPv6-Adresse. Funktioniert wunderbar.

 

[MartinDJR]

dass UM IPv6 verwendet und dass IPv4 Verbindungen deshalb erst über einen Unitymedia Router (der bei denen steht) geroutet werden.

Hier werden zwei Dinge in einen Topf geworfen, nämlich IPv4-CGNAT und IPv6:

Die Telekom verwendet ebenfalls IPv6, dort hat man aber trotzdem eine globale IPv4-Adresse.

Im D2- und E-Netz, aber auch bei einigen DSL-Anbietern im Ausland wird kein IPv6 verwendet, aber trotzdem IPv4-CGNAT - also mehrere Kunden teilen sich eine IPv4-Adresse.

Beides hat also zunächst einmal nichts miteinander zu tun.

UnityMedia verwendet an Privatkundenanschlüssen IPv6 und IPv4-CGNAT.

Aus dem Grund sei es nicht möglich, z.B. Ports weiterzuleiten (was z.B. für den Online-Betrieb der PS4 nötig ist).

Was IPv4-CGNAT angeht, stimmt das. Manche Spielkonsolen haben damit ein Problem!

Außerdem soll es auch bei VPN-Verbindungen Schwierigkeiten geben (aufgrund dieser komischen IP-Technik).

Wie GoaSkin bereits erwähnt hat, muss man hier verschiedene Fälle unterscheiden.

Eingehende Verbindungen (falls du z.B. zuhause einen VPN- oder aber Web-Server einrichten willst) gehen nur über IPv6. Falls der Internet-Anschluss, von dem aus du auf das VPN zugreifen willst, kein IPv6 hat, hast du Pech gehabt.

Falls du eine VPN-Verbindung zu deinem Arbeitgeber aufbauen willst, kommt es stark darauf an, welchen VPN-Typ er verwendet:
- IPv6-basierte VPN-Verbindungen werden mit extrem hoher Wahrscheinlichkeit funktionieren (bei GRE/L2TP: wenn die Router-Firewall nicht blockt)
- IPv4-GRE-Verbindungen funktionieren mit an Sicherheit grenzender Wahrscheinlichkeit nicht
- IPv4-SSTP-Verbindungen werden mit extrem hoher Wahrscheinlichkeit funktionieren
- IPv4-L2TP-Verbindungen werden wahrscheinlich funktionieren

Falls man per Mobilfunk (z.B. UMTS-Stick oder das Smartphone als "Modem" verwenden) ins VPN des Arbeitgebers gelangt, ist die Wahrscheinlichkeit hoch, dass es auch per DS-Lite (UnityMedia) geht und umgekehrt.

aufgrund dieser komischen IP-Technik

Sobald den anderen Providern (Telekom, Vodafone, O2, ...) die Adressen ausgehen, werden sie ebenfalls auf diese "komische" Technik umsteigen müssen...

Im Ausland ist das bereits jetzt der Fall.