Das duale Internet: Unterschied zwischen IPv4- und IPv6 Internetzugängen
Das alte IPv4 Protokoll wird in Zukunft vom IPv6 Protokoll abgelöst. IPv4 kann die wachsende Anzahl an Geräten und Diensten, die das Internet nutzen, weltweit nicht mehr verwalten. Beide Protokolle werden in Europa noch eingesetzt. Sie sind jedoch untereinander nicht kompatibel. Neue Provider – wie beispielsweise die Deutsche Glasfaser – erhalten von den amtlichen Stellen nur noch IPv6 Adressen zugeteilt und stellen ihren Kunden eine allgemeingültige IPv4-Adresse zur Verfügung. Alt eingesessene – wie die Deutsche Telekom – behalten Ihren IPv4 Pool und erhalten zusätzlich auch ausreichende IPv6 Adressen. Als Dual Stack Lösung wird die gleichzeitige zur Verfügung Stellung beider Internet-Protokolle durch den Provider beschrieben, während die erst genannte Variante als Dual Stack Lite bezeichnet wird. Diese unterschiedliche Situation erzeugt – zumindest vorübergehend – das Problem, das Nutzer von reinen IPv6- oder IPv4-Anbietern Dienste des jeweiligen anderen Protokolls nicht erreichen können.
Beim Dual Stack Lite Anschluss liegt nur eine öffentliche WAN IPv6 Adresse bei dem Anschlussinhaber vor, worüber seine lokalen Heimnetzwerkgeräte lediglich ansprechbar wären. Bei diesem Anschlusstyp wird auch eine nicht individualisierte WAN IPv4 Adresse zur Verfügung gestellt, damit Internetdienste, die nur das IPv4 Protokoll verwenden, für die Kunden des Providers erreichbar bleiben. Diese öffentliche IPv4 Adresse teilen sich jedoch alle Anschlussinhaber des Providers mit den anderen. Deshalb kann diese öffentliche IPv4-Adresse auch nicht für ein VPN-Netzwerk verwendet werden. Sie zeigt nicht eindeutig auf den konkreten Teilnehmer!
AVM selbst hat hier die Thematik am DS-Lite Anschluss sehr gut erläutert. Auch auf unserer Seite Netzwerke erklären wir die Unterschiede der Protokolle.
Die Vorteile des WireGuard VPN
Im Weiteren gehen wir davon aus, dass der interessierte Leser einen DDNS-Dienst wie my.fritz.net eingerichtet hat und dieser die öffentliche WAN-IPv6 Adresse seiner Fritz!Box sauber auflöst. In diesem Artikel setzen wir auch voraus, dass der WireGuard-VPN Server auf der Fritz!Box einsetzbar ist. Neben der aktuellen Firmware 7.50 für die Fritz!Box 7590 sind zumindest auch noch die aktuellen Laborversionen der im Link aufgeführten Modelle dazu in der Lage.
Der WireGuard Server kann grundsätzlich IPv6 VPN Verbindungen im Gegensatz zum IKE V2 Ansatz, dem herkömmlichen Verfahren auf der Fritz!Box, verarbeiten. Bei der Standardkonfiguration mittels AVM-Assistenten kann jedoch auch der eingesetzte WireGuard VPN-Server dies für die einzelnen Clients nicht umsetzen. Dazu muss die erzeugte Konfigurationsdatei über die Grafische Benutzeroberfläche des Clientprogramms auf dem PC bearbeitet werden.
Eine typische WireGuard Konfiguration sieht so aus. Das Beispiel entspricht nicht einer realen Umsetzung und wird ausschließlich für eine anschauliche Darstellung genutzt.
[Interface]
PrivateKey = Y1A283x4a5F687I8E9j0D1H2Z3w4j506k7x8a9+0A1I=
Address = 192.168.1.204/24
DNS = 192.168.1.1
DNS = fritz.box
[Peer]
PublicKey = O1u2W3F4h5I6C7l8v9x0l1W2g3/4D5L6Y738k9N2b031=
PresharedKey = O/ueWUFjhbINCUlVvaxleWTgI/1D4LnY43/klNXbi3o=
AllowedIPs = 192.168.1.0/24,0.0.0.0/0
Endpoint = 11t2y3k4c5i6w728.myfritz.net:57062
PersistentKeepalive = 25
VPN und das Dilemma der unterschiedlichen Internetprotokolle
Damit Clients sich mit der entfernten Fritz!Box auf deren Geräte per VPN verbinden können, muss sichergestellt sein, dass unter Endpoint die dort angegebene öffentliche IPv6-Adresse der Fritz!Box durch die Gegenstelle auflösbar ist. Die myfritz.net-Adresse kann jedoch auf beide öffentlichen IP-Protokolltypen auflösen, bevorzugt aber im Prozess laut AVM die WAN IPv4 Adresse. Am Standard Dual Stack Anschluss, wo individualisierte bzw. eindeutige WAN IPv4 und WAN IPv6 Adressen für den VPN-Server- wie auch für den Clientbetrieb vorliegen, ist dies unproblematisch. Die IPv4-Adresse ist überdies konform zum herkömmlichen VPN-Konzept auf der Fritz!Box, welches nativ auf IPv4-Basis beruht. Bei DS-Lite oder reinen IPv6 Internetanschlüssen müssen die Clients unbedingt diese öffentliche IPv6 Adresse auflösen können.
Unter Endpoint könnte hier also eine feste IPv6-Adresse eingetragen werden oder ein FQDN, der dynamisch ausschließlich auf die IPv6 Adresse auflöst. Normalerweise ändert sich die IPv6 Adresse einer Fritz!Box am DS-Lite Anschluss nur, wenn sie neu gestartet wird. Im privaten Bereich ist ein solches Verhalten durchaus händelbar, in dem von Zeit zu Zeit die konkrete veränderte WAN IPv6 Adresse der Fritz!Box im Client korrigiert wird.
Allerdings kann dabei weiterhin keine VPN-Verbindung aufgenommen werden, wenn das Client Netzwerk nur über eine IPv4 Internetverbindung verfügt, wie es zuweilen noch in Mobilfunknetzen üblich ist. Diese „reinen“ IPv4 Netzwerke können die Fritz!Box dann aufgrund der Verschiedenartigkeit der Protokolle nicht erreichen.
Résumé
Eine interessante Frage bleibt noch zu erörtern. Welchen Protokolltyp bevorzugt eine myfritz.net-Adresse auflösungsmäßig bei Dual Stack Anschlüssen als auch beim Dual Stack Lite? Normalerweise sollte dies ja laut Regelung das bevorzugte IPv6 Protokoll sein. Wenn dem so ist, müsste die Standardkonfiguration auch über den Dual Stack Lite Anschluss funktionieren und die Krücke mit einer festen Vergabe bzw. Aktualisierung der IPv6 Adresse könnte entfallen. AVM weist jedoch darauf hin, dass die Fritz!Box intern nur IPv4 für die VPN-Verbindung verwendet. Wenn sich das bewahrheitet, ist der diskutierte Lösungsansatz hinfällig. Da die Fritz!Boxen der Provider am DS-Lite Anschluss derzeit noch kein WireGuard VPN umgesetzt haben, können wir das Gelingen der vorgeschlagenen Umsetzung leider experimentell noch nicht bestätigen.
Die einzelnen entfernten Netzwerkgeräte wären vom Konzept her über ihre lokale IPv4-Adresse zu erreichen.