IP@Home: Kein Anschluss unter dieser Adresse

3 Kommentare Drucken

In Sachen IPv6 machen die Provider zunehmend ernst. Immer mehr Endnutzer kommen, häufig ohne es mitzubekommen, in den „Genuss“ eines IPv6 Anschlusses. Die meisten Enduser interessiert das auch gar nicht. „Alles“ funktioniert: im Internet surfen, Emails lesen, der Facebook Messenger und YouTube gucken. Doch was, wenn man aus dem Internet heraus Dienste bei sich erreichen will? Setzt der Provider auf Carrier-grade NAT, versagt IPv4 – und IPv6 macht sowieso Schwierigkeiten.

Warum IPv4 versagt
Während die einen Provider auf Übergangstechniken wie DS-Lite setzen, bieten andere ihren Kunden „echtes“ Dual-IP. Bereits im Artikel „IPv6: Auf die Plätze, fertig, los“ wird ein Problem von Carrier-grade NAT (CGN) geschildert. Die NAT-Gateways der Carrier „NAT-ten“ nur eine Handvoll Protokolle, namentlich TCP, UDP und ICMP. Als Folge davon können Anwendungen, die auf anderen Protokollen aufsetzen, wie IPsec, IP over IP etc., nicht mehr genutzt werden. Je nach eingesetzter Lösung ist es folglich unmöglich eine VPN-Verbindung in das Unternehmen aufzubauen.

Aber auch die Gegenrichtung ist betroffen. CGN macht es schlicht unmöglich eine Verbindung vom Internet aus in eine ge-NAT-tete Umgebung wie ein Homeoffice aufzubauen. Zunehmend kommen jedoch Anwendungen in unsere Haushalte, die eben das benötigen, wie einige Varianten des Online-Gaming, Video-Streamings und VoIP. Ganz zu schweigen von der Online-Vernetzung des Haushaltes:

  • Rauchmelder
  • Heizungsanlage
  • Fenster-Rollladen
  • Alarmanlagen
  • Web-Kameras
  • Etc.

Bei einem „herkömmlichen“ IPv4 Anschluss konnte man diese Probleme mittels Port-Forwarding lösen. Dabei gibt es vordefinierte Regeln, die sicherstellen, dass die Verbindung zustande kommt. Der Webkamera zur Überwachung der Haustiere wird ein fester TCP-Port zugewiesen. Auf dem eigenen (!) DSL-Router wird eine Regel definiert, die dafür sorgt, dass alle TCP-Pakete mit diesem Zielport zu der Webcam weitergeleitet werden. So kann der Besitzer jederzeit nachschauen, ob der Hund zuhause schläft oder aus Langeweile das Sofa zerlegt. Analog geht man mit allen anderen Anwendungen um, die von außen erreichbar sein müssen.

Dieses Vorgehen funktioniert, weil der heimische Zugangsrouter eine öffentliche IPv4 Adresse zugewiesen bekommen hat und man vollen Zugriff auf dessen Konfiguration hat. Die IP Adresse sorgt dafür, dass die Pakete an meinem Heimrouter ankommen, die Portweiterleitung dafür, dass intern das richtige Gerät adressiert wird.

CGN durchbricht dieses Vorgehen signifikant: als Endnutzer habe ich keinen Zugriff mehr auf die NAT-Funktion, da diese nun vom Provider betrieben wird. Sieht man mal davon ab, dass der lieber tot umfällt, als seinen Endkunden Zugriff auf eine kritische Netzkomponente zu geben, wäre das aber auch technisch sehr aufwendig. Je nach CGN Lösung sogar unmöglich, da selbst technisch versierte Endkunden gar nicht über notwendigen Informationen verfügen, um eine Weiterleitungsregel schreiben zu können.

(K)eine Lösung: IPv6?
Nun liest man allerorts, dass IPv6 die Lösung für all diese Probleme ist respektive wäre, wenn es denn flächendeckend eingeführt wäre. Schließlich stellt IPv6 die Fähigkeit zur Ende-zu-Ende-Verbindung wieder her, die IPv4 schon vor Jahrzehnten verloren hat.

Doch stimmt das?

Die Antwort darauf könnte von Radio Eriwan kommen:

Im Prinzip ja, wenn

  • man ein festen Präfix bekommt und man weiß, welche IPv6 Adresse welcher Dienst nutzt
  • und/oder man einen IPv6-fähigen DynDNS-Anbieter hat und die Endgeräte die IPv6 Adresse an den DNS-Provider melden können

Etwas technischer: wo liegen die Probleme?
Provider weisen Endusern in der Regel ein IPv6-Präfix nicht dauerhaft zu. Vielmehr wird das Präfix hin und wieder geändert. Technisch gibt es dafür keinen Grund, vielmehr ist dieses Vorgehen eine Folge der User-Tracking-Diskussion. Durch die Änderung des Präfixes wird die IPv6 Adresse aller Geräte des Home-Netzwerkes geändert.

Soweit nichts Neues. Nur bislang gab es pro Heimnetz nur eine IPv4 Adresse und diese wurde von dem Zugangsrouter verwaltet. Intern hatten alle Geräte private IPv4 Adressen, die sich nicht änderten. Bekam der Zugangsrouter eine IPv4 neu zugewiesen, konnte er diese Adresse mit einem Namen bei einem DynDNS-Anbieter eintragen bzw. ändern. Wollte jemand auf sein heimisches NAS zugreifen, so konnte der das über den Namen und der Portnummer. Die Pakete erreichten den Router und der leitete sie anhand der Portregel weiter.
Bei IPv6 hingegen gibt es ein Präfix für das Heimnetz und jedes Endgerät hat seine eigene öffentliche IPv6 Adresse. Der Zugangsrouter verteilt in der Regel zwar das Präfix, jedoch nicht den Interface-Anteil der IPv6-Adresse. Anders als früher kann er höchstens seine eigene IPv6 Adresse beim DynDNS-Anbieter registrieren, nicht die der Endgeräte. Als Layer 3 Gateway kennt er zwar mit hoher Wahrscheinlichkeit alle IP Adressen, die genutzt werden, kann diesen jedoch keine Namen zuordnen.

Für Peer-to-Peer-Anwendungen stellt das in der Regel kein Problem dar. Bei VoIP bspw. findet die Signalisierung (SIP) über Proxys statt, also Client->Server->Client. Dabei tauschen beide Clients auch ihre (aktuellen) IP-Adressen aus. So können sie die Sprachverbindung Ende-zu-Ende aufbauen.

Problematisch wird es, wenn man Dienste im Haus per Namen erreichen möchte. Beispiele sind die Haussteuerung oder die Webcam. In diesem Fall muss die beim DynDNS-Anbieter hinterlegte Adresse nach jeder Präfix-Änderung aktualisiert werden. Da der Router das nicht mehr kann, ist nun jedes Endgerät selbst dafür „verantwortlich“. Grundsätzlich ist kein Problem. Die Probleme entstehen erst, wenn es um die Umsetzung geht:

  • Nicht jeder DynDNS-Anbieter unterstützt IPv6.
  • Bei weitem nicht jedes Endgerät bietet diese Möglichkeit. Bei „normalen“ Clients ist das auch egal, schließlich müssen diese nicht aus dem Internet erreichbar sein. Schwieriger ist es dann bei den oben genannten Appliances wie Webcams oder NAS-Systeme.
  • Selbst wenn die Möglichkeit der DNS-Registrierung angeboten wird, so kann man nicht davon ausgehen, dass jedes genutzte Gerät alle DynDNS-Anbieter beherrscht. Da man nicht mit unterschiedlichen Anbietern und Domains arbeiten möchte, wird es schwierig einen geeigneten zu finden, der von allen unterstützt wird.
  • Otto-Normalverbraucher dürfte mit dem ganzen Hantier deutlich überfordert sein.
    Eine Alternative wäre die Möglichkeit eines festen Präfixes mit statischen IPv6-Adressen für alle Endgeräte, die Dienste anbieten. Diese könnte man einmalig bei einem DNS-Provider registrieren und dann damit arbeiten. Leider verlangen einige Provider einen Aufpreis für statische IPv6 Präfixe.

Außerdem gilt auch in diesem Fall, was bereits für die DynDNS-Variante galt: viele User wird das überfordern.

Fazit: un nu?
Gerne würde ich an dieser Stelle eine allumfassende, immer funktionierende und einfache Lösung präsentieren. De-facto gibt es zwar eine Reihe von Lösungsmöglichkeiten. Aber eine so schön durchgängige (Portweiterleitung) wie bei IPv4 ist die bei IPv6 noch nicht Sicht.

zugeordnete Kategorien: Data Center, IP und IPv6
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



3 Kommentare zu "IP@Home: Kein Anschluss unter dieser Adresse":

  1. Jörg Schulz schreibt:

    Noch ein Aspekt: Mobilgeräte sind gerne ipv4-only am Netz – das erhöht die Komplexität noch einmal. Fortgeschrittene Nutzer werden sich einen VPN Satelliten auf einer Hosting Plattform aufbauen und über diesen Brückenkopf heimtelefonieren.

    • Markus Schaub schreibt:

      Mobilgeräte sind in der Tat ein wesentlicher Aspekt. Insb. da damit zu rechnen ist, dass gerade die Kommunikation ins Eigenheim hinein von Tablets und Handys aus erfolgen wird: mal eben die Rolladen herunter lassen oder die Heizung anmachen, damit es schön kuschlig ist, wenn man zuhause ankommt.
      Ein „VPN Satellit“ ist natürlich ist eine „Lösung“ für die geschilderten Probleme. Jedoch schreiben Sie ja schon selbst „fortgeschrittene Nutzer“. Hinzu kommen dann noch die Mehrkosten für den Betrieb bzw. die Miete eines solchen Dienstes. Eigentlich bin ich der Meinung, dass der Internet Provider dafür zuständig ist, schließlich „kaufe“ ich bei ihm die Internetkommunikation ein.
      Ich denke wir werden geraume Zeit mit Provisorien leben müssen. Jedoch hoffe ich, dass gerade auch diese Schwierigkeiten für eine schnellere Ausbreitung von IPv6 sorgen werden. Nicht ist schlimmer, als wenn die Playstation an einem verregneten Sonntag nicht funktioniert ;)

  2. Lohre schreibt:

    Der Artikel bringt es auf den Punkt.
    Interessant zu wissen (bei aktuellen Problemen, vor einem Providerwechsel, …), welche Provider ihre Zugänge wie realisieren bzw. konfigurieren und welche Möglichkeiten bzw. Rechte ein Kunde hat. Ich befürchte keine, außer fristgerechte Kündigung.

Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.