Fernzugriff auf Heimnetzwerk mit DS-Lite

Allgemein

So sehr ich an Unitymedia auch die stabile und schnelle Leitung schätze gab es eine Sache die lange in den Wahnsinn getrieben hat: DS-Lite oder Dual Stack Lite. Wer möchte kann sich z.B. hier eine ausführliche Beschreibung durchlesen, ansonsten kommt hier meine laienhafte Erklärung: DS-Lite heißt dass man zwar eine eigene IPv6 Adresse, aber keine eigene IPv4 Adresse sondern sich diese mit anderen aus einen Pool teilt. Das ist zum normalen Surfen erstmal kein großes Problem, wohl aber sobald man von außerhalb auf sein Heimnetzwerk zugreifen möchte z.B. für VPN oder zum Zugriff aus ein NAS.

Ich habe im Internet schon allerhand Themen dazu gelesen, von „das geht bei Unitymedia gar nicht“ bis zu „bezahle mehr Geld z.B. für Telefon Comfort oder Power Upload dann bekommt du echtes Dual Stack“ war alles dabei. Dabei geht es mit Einschränkungen auch mit DS-Lite.

Ganz kurzer Ausflug in IPv4 vs IPv6 im Bereich Fernzugriff:
Bei IPv4 hat der Router eine öffentliche IPv4 Adresse über die aus dem Internet auch diesen zugegriffen werden kann. Über Portfreigaben kann ich bestimmte Ports auf bestimmte interne Geräte leiten. Die IPv4 Adresse ändert sich häufig, deshalb braucht man einen DDNS Adresse falls man einen Domain für den Zugriff nutzen möchte.
Bei IPv6 sieht das anders aus: Der Router und alle an ihm angeschlossen haben eine (meistens) feste und prinzipiell öffentliche IPv6 Adresse deren erste steht für den Anschuss und die zweite für das entsprechende Gerät. Damit ein Zugriff aus dem Internet auf das Gerät funktioniert müssen dafür im Router Port Filter eingestellt werden. Ich möchte hier exemplarisch meinen Anwendungsfall „Zugriff über den Unitymedia Standardrouter Connect Box auf den OpenVPN Server auf einem Synology NAS“ zeigen.

Einschränkungen

Ich sprach oben von Einschränkungen, hier kommt die erste: Euer Gerät muss IPv6 fähig sein. Bei allen aktuellen Betriebssystemen der Fall, bei quasi allen IoT Geräten ist IPv6 noch Neuland. Synology Geräte beziehen, falls vorhanden, via DHCPv6 automatisch eine IPv6 Adresse. Welche Geräte IPv6 fähig sind sollte in der Geräteliste im Router angezeigt werden:

Nur das 2. Gerät hat eine IPv6 Adresse

Die zweite Einschränkungen ist das Thema IPv6 Konnektivität. Ich bin Kunde der Telekom dessen Netz schon lange IPv6 fähig ist, andere Anbieter wie Vodafone oder o2 haben es trotz der Standardisierung 1998 noch nicht geschafft ihr Netz fit für IPv6 zu machen. Auch viele ältere Internetanschlüsse oder ältere Router werden euch Probleme bereiten. Die für mich schlimmste Einschränkung für mich ist das Thema Roaming. Ich habe jetzt einige Mobilfunknetze insbesondere in Europa getestet, eine IPv6 Verbindung hat nicht funktioniert, auch hier scheint dies noch #Neuland zu sein.

Konfiguration

Genug der Einschränkungen, los geht’s: Als erstes werden entsprechende Port Filter im Router eingestellt:

OpenVPN nutzt Port 1194 und das UDP Protokoll

Hilfreich ist eine Domain für den Zugriff, während eine IPv4 Adresse schon schwer zu merken war, wird das IPv6 unmöglich. Dafür könnt bei dem Provider eurer Wahl einen AAAA Record definieren. Ihr braucht kein DDNS, euere IPv6 Adresse wird nicht mutmaßlich nicht ändern. Falls doch unterstützen viele DDNS Provider bereits IPv6:

AAAA Record in der DNS Verwaltung

Ob euer AAAA Record funktioniert könnt ihr mit z.B. mit Tools wie nslookup oder dig testen. Quasi alle diese Tools arbeiten standardmäßig immer mit IPv4, für nslookup müsste der Aufruf so erfolgen:

nslookup -query=AAAA HOSTNAME
nslookup am Beispiel von Google. Ohne AAAA Abfrage bekommen wir keine Antwort

Wichtig dass ihr das Programm was ihr benutzt auch für TCPv6 oder, wie im Fall von OpenVPN für UDPv6 konfiguriert. Hier ein Auszug aus der OpenVPN App für iOS:

2019-44-20 22:44:33 Contacting [****:****:****:****:****:****:****:5c9a]:1194/UDP via UDP
...
019-44-20 22:44:33 Connecting to [******.pattyland.de]:1194 (****:****:****:****:****:****:****:5c9a) via UDPv6
...
2019-44-20 22:44:34 EVENT: CONNECTED pattyland@******.pattyland.de:1194 (****:****:****:****:****:****:****:5c9a) via /UDPv6 on NetworkExtensionTUN/10.8.0.10/ gw=[/]

Es gibt übrigens keine Probleme innerhalb des lokalen Netzwerks auch IPv4 Adressen zuzugreifen.

Ich hoffe ich konnte mit meinen Erfahrungen was DS-Lite angeht weiterhelfen. Vielleicht wird das Thema etwas einfacher wenn sich IPv6 mal mehr durchsetzt.

Ein Gedanke zu “Fernzugriff auf Heimnetzwerk mit DS-Lite

  1. Hi Sören,

    kann ich mit deiner Anleitung auch einfach Zugriff auf meine Synology NAS hinbekommen das ich das Ding von extern via AFP in der Finder hängen kann. Jede Hilfe willkommen. Bin auch bei Unitymedia mit ConnectBox. Quickconnect geht aber – aber geiler wäre eben die Folder im Finder sich anzeigen zu lassen. Danke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert