Internetanschlüsse für Privatkunden werden heutzutage in der Regel über einen Dual-Stack Lite Anschluss (DS-Lite) realisiert. Das heißt, dass man keine eigene IPv4 Adresse mehr zugewiesen bekommt, sondern sich diese mit anderen Kunden teilt. Dies hat zur Folge, dass ein Zugriff auf das Heimnetzwerk nur noch über IPv6 möglich ist. Dieses „neue“ Internetprotokoll wird aber leider noch nicht von jedem Internetanbieter unterstützt. Insbesondere mobile Internetzugänge über das Handynetz sind häufig noch IPv4 only. Ein Zugriff auf das Heimnetzwerk ist dann schlichtweg nicht mehr möglich, denn die IP-Protokolle 4 und 6 sind untereinander nicht kompatibel. In diesem Tutorial zeigen wir Ihnen wie sie weiterhin über IPv4 Dienste unter IPv6 / DS-Lite erreichen können.
Um trotzdem noch auf das Heimnetzwerk zugreifen zu können, muss ein bisschen in die Trickkiste gegriffen werden. Häufig wird zur Verwendung sogenannter „Portmapper“ geraten – Eine einfache und effiziente Lösung. Diese kann man sich im Internet für wenig Geld erstellen und mieten. Leider werden hier Daten über fremde Server übertragen – bei der Verwendung von http sogar unverschlüsselt.
Wenn man jedoch z.B. einen vServer im Internet laufen hat, kann man auch mit diesem das Portmapping durchführen. Dann laufen die Daten über den eigenen Server, wo man selbst die Kontrolle hat.
Um diesem Tutorial zu folgen benötigen Sie:
- Linux Server mit einer IPv4 und IPv6 Adresse im Internet
- IPv6 Gerät im Heimnetzwerk inkl. Portfreigabe auf IPv6
Was ist ein Portmapper?
Wie bereits oben beschrieben sind die IP Protokolle v4 und v6 untereinander nicht kompatibel. Eine Kommunikation von z.B einem IPv4 Netzwerk in ein IPv6 Netzwerk ist nicht ohne Weiteres möglich. Genau hier kommt der Portmapper ins Spiel. Er übersetzt sozusagen das IPv4 Paket in ein IPv6 Paket und leitet es weiter.
Portmapper installieren:
Melden Sie sich auf Ihrem Linux Server im Internet per ssh an. Führen Sie ein Update der Paketquellen durch und installieren Sie das Paket 6tunnel:
sudo apt install 6tunnel
Die Installation ist hiermit bereits abgeschlossen. Sie können nun die erste Weiterleitung erstellen. Die Syntax hierfür lautet:
Mit IPv4 ins IPv6 DS-Lite Netz:
6tunnel IPv4-Port IPv6-Adresse IPv6-Port
- IPv4-Port: Port auf Ihrem Server, welcher die Anfrage entgegennimmt
- IPv6-Adresse: Die öffentliche IPv6 Adresse oder Hostname des Gerätes, auf das Sie zugreifen möchten
- IPv6-Port: Der Port auf dem Zielgerät, welchen Sie erreichen wollen
Möchten Sie zum Beispiel über den (IPv4-)Port 1234 auf Ihrem Portmapping-Server auf einen Dienst in Ihrem Heimnetzwerk zugreifen, welcher auf Port 5678 läuft, so müsste der Befehl wie folgt lauten:
6tunnel 1234 IPv6-Adresse 5678
„IPv6-Adresse“ ist hierbei durch die entsprechende IP-Adresse oder den Hostnamen zu ersetzen.
Die Konfiguration ist somit abgeschlossen. Abschließend können Sie den Zugriff testen.
Dynamische Hostnamen anstelle von IP-Adressen verwenden:
Da sich die IP Adressen an Privatkundenanschlüssen regelmäßig ändern, ist es empfehlenswert einen dynamischen DNS Eintrag zu verwenden. Dies erspart Ihnen die Änderung der IPv6-Adresse auf dem Portmapping-Server, sofern sich Ihre IP Adresse am Heimanschluss geändert haben sollte.
Wenn Sie eine eigene Domain mit Zugriff auf die DNS-Verwaltung besitzen, können Sie dies ganz einfach umsetzten. Folgen Sie hierfür einem anderen Tutorial auf VoiceOverIT.de und erstellen Sie sich einen dynamischen DNS Eintrag mit Ihrer IPv6 Adresse.
Den erstellten Hostnamen tragen Sie dann bei 6tunnel anstelle der IPv6-Adresse ein. Ändert sich nun die IPv6-Adresse Ihres Homeservers, übermittelt dieser die neue IP-Adresse an den DNS-Dienst. Ein manuelles Ändern der IPv6-Adresse in 6tunnel entfällt somit.
Tipp: Verwenden Sie eine FritzBox als Modem, können Sie sich kostenlos eine MyFritz-Adresse erstellen und diese bei 6tunnel hinterlegen!
Anmerkungen:
Portmapper sind eine einfache und schnelle Lösung um weiterhin Server und Dienste über IPv4 an einen IPv6 DS-Lite Anschluss zu erreichen. Leider haben Portmapper auch ihre Schwächen:
Es ist zum Beispiel nur eine Kommunikation über TCP möglich. VPN-Dienste wie z.B. OpenVPN benutzen in der Regel UDP. Hier müssen Sie die Konfiguration entsprechend auf TCP anpassen.
Zudem müsste der Tunnel immer neu erstellt werden, sobald sich die IPv6 Adresse Ihres Geräts ändern würde. Hier kann es helfen, z.B die „Privacy Extensions“ zu deaktivieren, um einen häufigen Wechsel der IP Adresse zu verhindern oder einen Hostnamen in Verbindung mit einem DynDNS-Dienst zu verwenden.
Portmapper können zudem für DDOS-Reflection Angriffe verwendet werden. Sie können den Dienst zum Beispiel über eine Firewall absichern. Weitere Informationen hierzu sind unten verlinkt.
Weiterführende Links:
Fragen und Antworten zu IPv6 – heise.de
Offene Portmapper – bsi.bund.de
Securing RPC Services – debian.org
Portmap – en.wikipedia.org