Glasfaser

… oder: FTTH von extern erreichbar machen

Problem

Der Glasfaseranschluss von Deutsche Glasfaser ist ein Breitbandinternetzugang, der via FTTH (Fiber to the Home) bereitgestellt wird. Für Dienste wie surfen im Web, Emails abfragen, Downloads oder Video-Streams ansehen und VoIP-Telefonie ist das System problemlos und sofort nach dem Freischalten geeignet. Schwierig wird es, wenn man von außen auf Serverdienste im Heimnetzwerk zugreifen will. Dies können Webcams, Private Clouds, ein VPN Server oder eine simple Website sein, die man bisher an seinem DSL-Anschluss auch genutzt hat. Dies geht nicht mehr direkt, denn man bekommt keine öffentliche IPv4-Adresse (Internet Protocol Version 4) mehr zugewiesen. Die IPv4-Adressen die der Provider zuweist ist eine sogenannte private IP, die nicht direkt aus dem Internet erreichbar ist. Genau dies war mein Problem. Ich verfolge mit diesem Artikel nicht den Zweck, alle Details technisch zu erklären, sondern möchte eine Hilfestellung im Sinne eines Tutorials für technisch nicht so versierte Nutzer geben. Dennoch ist es erfoderlich, dass sich der Leser etwas mit der Materie – insbesondere der Technik des Internets – auseinandersetzt. Auch Nutzer von anderen Glasfaserprovidern und Inhaber von DS-Lite Anschlüssen, können einige der Dinge gebrauchen.

Ich zeige wie man kostenlos per IPv6 (Internet Protocol Version 6) und mit geringen Kosten auch mit einer eigenen Domain und/oder per IPv4 aus dem Internet erreichbar wird.

IPv6 einrichten

Als Beispiel nutze ich einen Linux-Rechner als Server. Prinzipiell ist das Vorgehen aber auch mit Windows-Rechnern, Macintosh-Rechnern, einem NAS (Networt Attached Storage), oder anderen Geräten möglich. Am einfachsten ist es, wenn diese IPv6 direkt unterstützen. Das sollten die meisten modernen Betriebssysteme tun. Wenn ihr noch Windows XP nutzt wird es jetzt dringend Zeit das alte Betriebssystem abzuschalten, es gibt seit Monaten keine Updates mehr. So findet man die IPv6 Adresse(n) des Computers raus:

Windows:

Auf der Kommandozeile (Start –> Ausführen –> cmd) den Befehl

ipconfig

aufrufen.

ipconfig unter Windows

ipconfig unter Windows

Mac OS X und Linux bzw. Unix (auch auf vielen NAS läuft Linux):

Ein Terminal öffnen (unterschiedliche Wege möglich, je nach Betriebssystem) und den Befehl

ifconfig

aufrufen.

ifconfig unter Linux/Unix

ifconfig unter Linux/Unix

Bitte beachtet, dass ihr immer mehrere IPv6 Adressen habt. Eine Temporäre und eine Statische. Die temporäre IPv6 wird zum surfen genutzt, damit im Internet nicht lückenlos verfolgt werden kann, auf welchen Seiten ihr euch rumgetrieben habt. Ohne diese temporäre Adresse könnte sonst von jedem IPv6 Eigentümer ein lückenoses Bewegungsprofil anlegegt werden. Das wollte man bei der Neukonzeption der IP-Adressvergabe vermeiden. Die statische IPv6 Adresse, manchmal auch als global bezeichnet, ist also die richtige Wahl für die Serverdienste. Sie ist eindeutig.

Das Beste an der IPv6-Adresse von Deutsche Glasfaser ist, dass sie quasi statisch ist. Das heißt, dass sie sich nicht jedesmal ändert, wenn sich das Modem neu verbindet. In der Praxis bedeutet dies, dass die ersten 4 Tupel (der Prefix) der IPv6 Adresse immer gleich sind. Die letzten 4 Tupel der statischen IPv6 Adresse sind der Host-Teil der sich aus der Hardwareadresse der Netzwerkkarte berechnet. Man bekommt also nicht nur eine Adresse zugewiesen wie bei IPv4, sondern im Prinzip einen gesamten Adressbereich mit mehreren hunderttausend möglichen IPv6 Adressen. Damit diese IPv6 Adressen aus dem Internet erreichbar sind, muss man die Firewall für einen spezifischen Computer mit IPv6 Adresse öffnen. Dieser ist dann ohne Portforwarding, wie es bei IPv4 früher üblich war, direkt erreichbar. Im Glasfaserrouter heißt dieses Freigeben der Firewall unglücklicherweise IPv6-Forwarding, obwohl dies technisch etwas völlig anderes ist.

IPv6 "Portforwarding"

IPv6 “Portforwarding”

Wollte ihr also einen Serverdienst auf einem Gerät freigeben müsst ihr nur die IPv6 Adresse Nochmal: nicht die temporäre Adresse in den Glasfaserrouter eintragen. Im Screenshot seht ihr die Einträge für meinen Linux-Webserver, auf dem auch diese Website läuft. Die Ports die man angeben kann beziehen sich dabei auf die freigeschalteten Ports die man sich wie Fenster in der Wand (hier natürlich der Firewall) vorstellen kann. Hier ist Vorsicht geboten. Trägt man nichts ein, ist der gesamte Server ohne Schutz einer Firewall. Ich empfehle daher die Ports selektiv freizugeben. Für einen Standard-Webserver braucht man Port 80 (http) und/oder Port 443 (https). Hinweis: Wenn ihr eine eigene Webseite über https aufruft, wird der Browser eine Sicherheitswarnung anzeigen. Dies ist normal, da ihr sicherlich kein offiziell signiertes Zertifikat hinterlegt habt. Diese Zertifikate kosten leicht mehrere hundert Euro und lohnen sich für die private Website sicher nicht. Daher könnt ihr diese Meldungen ignorieren, sofern ihr euren eigenen Server oder den von euren Bekannten aufruft.

Wenn ihr andere Serverdienste betreiben wollt, müsst ihr euch die entsprechende Dokumentation des Serverdienstes ansehen und die dann passenden Ports freigeben.

IPv6 testen

Bis hierher herzlichen Glückwunsch. Ihr seid jetzt im Internet der Zukunft und von jedem IPv6 fähigem Gerät in einem IPv6 fähigen Netz erreichbar.

Ihr könnt es jetzt erstmal direkt probieren. Gebt in einem Browser http://[IPv6-Adresse-des-Servers] ein. Achtung: Die eckigen Klammern sind wichtig, sonst interpretieren die Browser die Adresse als IPv4-Hostnamen. Wenn ihr die Website so nicht aufrufen könnt, müsst ihr in der jeweiligen Serverkonfiguration nachsehen, ob IPv6 ggf. deaktiviert ist. Wie das mit dem Webserver Apache2 geht kann man in diesem Blog nachlesen. Gegebenfalls müsst ihr die Firewalleinstellungen des Servers ändern z.B. die Windows Firewall oder Firewalls von Drittanbietern so einstellen, dass die benötigten Ports nicht abgeschrirmt sind.

Ich habe es probiert aus folgenden Netzen: Standard Telekom DSL-Anschluss, Uninetz der Ruhr-Universität Bochum, anderen Deutsche-Glasfaser-Anschlüsse. Aus diesen Netzen kann ich meine heimische Website direkt aufrufen.

Was (noch) nicht via IPv6 geht ist ein Zugriff aus den Mobilfunknetzen. Manche gehen, jedoch konnte ich via IPv6 weder per ePlus noch per t-mobile auf die Webseite zugreifen. Das liegt aber nicht an eurem Glasfaseranschluss, sondern an der mangelnden Umsetzung von IPv6 bei den Mobilfunk-Providern. Hier heißt es warten, oder einen sogenannten Portmapper konfigurieren.

Namensauflösung

Wie weiter oben bereits erwähnt, erhaltet ihr eine statische IPv6 Adresse. Die Nutzung von dyamischen DNS (Domain Name Service) Diensten, die die jeweilige IPv4 Adresse des Routers (regelmäßig, bzw. bei jeder Neueinwahl) an einen dieser Dienste schickt, um sie in einen leicht zu merkenden Hostnamen (z.B. karken.no-ip.com) umzusetzen, ist somit nicht mehr notwendig.

Wenn ihr eine Domain (z.B. xyz.de) registriert, könnt ihr diese ganz einfach auf die statische IPv6 verweisen lassen. Ich habe das mit meiner Domain ulrichivens.de gemacht und kann somit auch beliebig viele Subdomains z.B. http://www.ulrichivens.de hosten. Die Deutsche .de Domain kostet ca. 6 EUR im Jahr. Ihr müsst darauf achten, dass der AAAA-Record der Doman auf die IPv6-Adresse des Webdienstes verweist und Wildcards eingeschaltet sind. Wenn man das nicht selbst machen kann (wie bei meinem Provider http://www.domain.de) einfach den Support anschreiben und bitten den AAAA-Eintrag zu setzen und Wildcards zu konfigurieren, dann kennen die Nameserver im Netz die Domain und wissen auch wohin mit den (beliebig) vielen Subdomains. Und schon seid ihr auch per Hostnamen und eigener Domain zu erreichen.

Wer es kostenlos haben möchte, der kann sich z.B. bei FreeDNS eine (oder mehrere) Subdomains aussuchen und mit dem Glasfaseranschluss nutzen. Nach dem Account anlegen einfach einloggen, Subdomains wählen und den Add-Button drücken. So geht’s:

Free DNS

Free DNS

Unter der eingetragenen Adresse seid ihr dann per IPv6 erreichbar. Auch hier kann man Wildcards setzen. Dann wird die Adresse aber lang. z.B. irgendwas.subdomain.domain.net Es kann ggf. bis zu einer Stunde dauern, bis ihr erreichbar seid, da sich die Nameserver im Internet erst noch abgleichen müssen.

Portmapping (IPv4)

Damit der Server per IPv4 erreichbar wird muss man ein sogenanntes Portmapping einrichten. Dabei wird eine IPv4 Adresse aufgerufen, die die Daten dann an die statische IPv6 Adresse “weiterleitet”. Ich habe dazu den Dienst Feste-IP.Net genutzt. Dieser ist nicht kostenlos, aber preiswert. Wenn man sich anmeldet bekommt man 50 Credits gutgeschrieben. Damit kann man die Portmapper ausführlich testen. Für den Anfang reicht das. Danach muss man einen kleinen Beitrag zahlen. Man kann hier auch einen dedizierten Portmapper erwerben (das habe ich gemacht), der kostet 2,50 EUR p.M. im Jahresabo. Zum Jahresabo kommen aber noch der Verbrauch von einem Credit pro Tag. Zu den Vorteilen komme ich später.

Die Einrichtung ist denkbar einfach. Alle Details werden auf der Website ausführlich erklärt, zudem ist der Support prima. Schnelle Antwortzeiten und ein sehr netter Kontakt. So geht’s:

Neuen Host anlegen bei Feste IP

Neuen Host anlegen bei Feste IP

Portmapping anlegen bei Feste IP

Portmapping anlegen bei Feste IP

Ihr seid jetzt per IPv4 erreichbar. Im Beispiel unter http://glasfaser.feste-ip.net:43836 (Hinweis: Ich lasse den Portmapper laufen, bis ich keine Credits mehr habe, danach geht der Link nicht mehr). Man sieht also, dass der Portmapper einen beliebigen vom System vergebenen Port (hier der Port 43836) auf den Port 80 (http) von eurem IPv6 Server mappt. Das funktioniert gut, ist aber nicht so richtig praktisch für eine Website, weil der Port immer mit angegeben werden muss. Normale Browser ergänzen den Port 80 (bzw. den Port 443) am Ende der IP Adresse oder des Hostnamens automatisch, weil dieser Port normalerweise zum Protokoll http (bzw. https) gehört. Auch kann es sein, dass der Server aus manchen Netzen (z.B. Firmennetzen oder Hotels) nicht erreichbar ist, weil z.B. Proxy-Server oder Firewalleinstellungen die Nutzung anderer Ports als 80 oder 443 verhindern.

Das ist dann auch der Vorteil eines dedizierten Portmappers. Ihr mietet euch für den oben genannten Betrag eine eigene statische IPv4 und die benötigten Ports werden dann 1 zu 1 gemappt. Also Port 80 IPv4 auf Port 80 IPv6. Besser geht’s nicht.

Das Testen der IPv6 und IPv4 Anbindung bei einer eigenen Domain und dedizierten Portmapper kann man ebenfalls ganz einfach machen. Für den Browser Firefox gibt es dazu die nützliche und kostenlose Erweiterung 4or6 von Roger Hünen. Gebt in der Browserzeile about:addons ein (funktioniert nur im Firefox) und sucht nach der Erweiterung. Infos bekommt ihr auch auf der Website von 4or6.

Einstellungen für IPv6:

Einstellungen für IPv6

Einstellungen für IPv6

Einstellungen für IPv4:

Einstellungen für IPv4

Einstellungen für IPv4

Wenn das mit beiden Einstellungen klappt, seid ihr mit eurer eigenen Domain aus allen bestehenden Netzen erreichbar. Einer eigenen Cloud steht dann nichts mehr im Weg, auch kein Mobilfunkprovider der kein IPv6 kann. Tschüss, Dropbox!

Zur Anbindung funktionieren prinzipiell auch Tunnellösungen, wie die von SixXS. Diese sind jedoch schwieriger zu konfigurieren. Da ihr schon eine funktionierende, statische IPv6 Anbindung habt, ist eine Portmapping Lösung m.E. deutlich sinnvoller. Ergänzender Hinweis für nicht Deutsche Glasfaser Kunden: Eine Tunnellösung ist dann angezeigt, wenn ihr keine statische IPv6 erhaltet und zusätzlich nur eine private IPv4 bekommt (z.B. bei Anschlüssen von anderen Glasfaserprovidern oder bei sogenannten DS-Lite-Anschlüssen).

Internes Portmapping

Es kann natürlich auch erforderlich sein, dass interne IPv4-only Geräte (z.B. eine Heizungssteuerung, ein älteres NAS) von außen erreichbar sein sollen. Dies kann man mit einem beliebigen, per IPv6 erreichbaren internen Linux-Server mit einem eigenen Portmapper machen. Unter Linux steht euch das Tool 6tunnel von Wojtek Kaniewski oder die Alternative socat zur Verfügung. Es ist damit sehr einfach, einen entsprechenden Tunnel herzustellen.

Hier ist aber besondere Vorsicht geboten:. Der Zugang ist dann nur so sicher wie das
genutzte Protokoll! Hat der Server (z.B. die Heizungsanlage) nur einen Standard-Webserver (Port 80, http) oder einen Telnet-Zugang (Port 23, telnet) ist der gesamte Netzwerkverkehr zu diesem Serverdienst unverschlüsselt. Man kann dann ganz einfach – und im Klartext – ein ggf. eingerichtetes Passwort des Serverdienstes mitlesen. Idealerweise greift man also nur auf verschlüsselte Protokolle (z.B. https, Port 443) zurück, sonst steuert plötzlich jemand anderes die Heizungsanlage. Für alles andere gibt es VPN-Lösungen (Virtual Private Network). So geht’s:

  • 6tunnel und/oder socat auf LINUXRECHNER installieren z.B. unter Debian/Ubuntu
    sudo apt-get install 6tunnel socat
  • Auf dem Glasfaserrouter (wie weiter oben beschrieben) eine IPv6 Freigabe auf Rechner LINUXRECHNER und Port PORTNUMMER_LINUXRECHNER einrichten. Die Portnummer könnt ihr frei wählen, jedoch keine doppelt belegen!
  • Den Tunnel zum Testen einrichten mit:
    /usr/bin/6tunnel -6 -v PORTNUMMER_LINUXRECHNER IPv4_INTERNES_GERÄT PORTNUMMER_INTERNES_GERÄT

    oder

    /usr/bin/socat -v tcp6-listen:PORTNUMMER_LINUXRECHNER,fork tcp-connect:IPv4_INTERNES_GERÄT:PORTNUMMER_INTERNES_GERÄT

    Die Ausgaben auf der Konsole zeigen die Details zum Tunnel.

  • Wenn es sich um ein Webinterface handelt in einem Browser die IPv6-Adresse bzw. den Hostnamen von LINUXRECHNER mit PORTNUMMER_LINUXRECHNER aufrufen. Dann sollten das Webinterface des internen IPv4 Gerätes sichtbar sein.
  • Den Tunnel mit strg-c beenden und (wenn es funktioniert) den Befehl ohne die Option -v in die Konfigurationsdatei
    /etc/rc.local 

    eintragen. Fortan wird der Tunnel automatisch beim Systemstart angelegt.

6tunnel testen (Ausgabe von Punkt 3 in der Liste)

Test mit 6tunnel

Test mit 6tunnel

Ich spare mir den Screenshot für socat. Das funktioniert genauso, nur dass die Option -v alles zeigt, was über den Tunnel rübergeschickt wird. So könnt ihr nun auch eure IPv4-only-Geräte via IPv6 von außen und innen erreichbar machen. Für Dateifreigaben (z.B. Windows-Laufwerke) ist diese Form der Freigabe nicht geeignet, da diese Protokolle unverschlüsselt und damit völlig unsicher sind. Hier bitte entweder auf eine VPN-Lösung oder eine Cloud-Software (z.B. OwnCloud) zurückgreifen. VPN  läuft auf Rechnern mit Linux, Windows oder OS X ohne Probleme. Die Cloud Software OwnCloud hat sich mit Version 8.1 dazu entschieden, den Server-Support für Windows einzustellen. Der OwnCloud-Client funktioniert aber nach wie vor auf allen gängigen Betriebssystemen. Ältere Versionen unterstützen weiterhin auch Windows-Server.

Copyright © 2014-2015

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht-kommerziell – Weitergabe unter gleichen Bedingungen 4.0 International Lizenz.

Changelog:

 

  • 2014-12-28 Version 1.0: Erste Version des Dokumentes mit IPv6 und Namensauflösung
  • 2014-12-29 Version 1.1: Sektion zum Portmapping hinzugefügt. Changelog und Copyright zur Sektion Impressum hinzugefügt
  • 2014-12-29 Version 1.2: Test über Firefox 4or6-Erweiterung hinzugefügt. Hinweis zur Sicherheitsmeldung bei https aufgenommen.
  • 2014-12-29 Version 1.3: Kontaktmöglichkeit Twitter hinzugefügt. Anpassung der Darstellung (Seitenbreite).
  • 2015-01-03 Version 1.4: Sektion zum internen Portmapping hinzugefügt (interne IPv4 Geräte via 6tunnel oder socat verfügbar machen)
  • 2015-06-12 Version 1.4a: Umzug zu WordPress
  • 2015-06-29 Version 1.5: Details zu den Credits im Bereich Portmapping angepasst, Hervorhebung der Befehle die auf der bash oder Windows Kommandozeile erfolgen durch den preformatting Tag (bessere Lesbarkeit).
  • 2015-08-02 Version 1.6 Änderungen zu OwnCloud im letzten Absatz eingearbeitet.
  • 2015-08-10 Version 1.6a: Keine inhaltlichen Änderungen, technische Arbeiten am Quellcode (Bildquellen und -unterschriften)

21 comments on “Glasfaser”

  1. Karl Antworten

    Ich habe lange nach einer so klaren und vollständigen praktischen Anleitung gesucht. Ich habe jetzt schon das Gefühl, dass mir die Umsetzung hiermit problemlos gelingen wird.☺
    Herzlichen Dank
    Karl

    • Ulrich Ivens Antworten

      Hallo Karl,

      es freut mich, dass dir die Anleitung hilft. Viel Spass dabei.

      Gruß

      Ulli

  2. Stefan Heinen Antworten

    Hallo,
    in Baesweiler wurde gerade Ausbau abgeschlossen.
    Leider gibt ipconfig mir nicht die IPV6 Adresse aus, d.h. ich bekomme:

    C:\Users\Stefan>ipconfig
    Windows-IP-Konfiguration
    Ethernet-Adapter LAN-Verbindung 2:
    Verbindungsspezifisches DNS-Suffix:
    Verbindungslokale IPv6-Adresse . : fe80::bdca:2261:d043:554a%19
    IPv4-Adresse (Auto. Konfiguration): 169.254.85.74
    Subnetzmaske . . . . . . . . . . : 255.255.0.0
    Standardgateway . . . . . . . . . :
    Ethernet-Adapter LAN-Verbindung:
    Medienstatus. . . . . . . . . . . : Medium getrennt
    Verbindungsspezifisches DNS-Suffix:
    Ethernet-Adapter Ethernet:
    Verbindungsspezifisches DNS-Suffix: domain_not_set.invalid
    Verbindungslokale IPv6-Adresse . : fe80::8501:8f97:382a:6bfc%3
    IPv4-Adresse . . . . . . . . . . : 192.168.1.88
    Subnetzmaske . . . . . . . . . . : 255.255.255.0
    Standardgateway . . . . . . . . . : 192.168.1.254
    Tunneladapter isatap.{7EABB06D-6AB5-4015-A66F-581F0E12EF94}:
    Medienstatus. . . . . . . . . . . : Medium getrennt
    Verbindungsspezifisches DNS-Suffix:

    Kann ich unter Windows die IPV6 Adresse auch anders Herausfinden?

    Die Status Seite des Router liefert:

    LAN

    MAC Adresse 00:0F:94:3C:77:01
    IP Adresse 192.168.1.254
    Netzwerkmaske 255.255.255.0
    IPv6 Adresse fe80::XXXX:XXXX:XXXX:XXXX/64
    Empfangen 1.4M Pakete (472.3 MiB)
    Übertragen 562.7k Pakete (52.2 MiB)

    Ist die obige IPV6 IP die von außen erreichbare?

    • Ulrich Ivens Antworten

      Hallo Stefan,

      die mit fe80 beginnenden IPv6 Adressen sind nur verbindungslokale Adressen. Diese werden grundsätzlich nicht geroutet. Wenn du in deinem LAN bist, kannst du Serverdienste (sofern richtig konfiguriert) mit der verbindungslokalen Adresse aufrufen. Von außerhalb sind diese aber nicht erreichbar.

      Da auch dein Router auf der LAN-Seite keine “ordentliche” IPv6 hat, vermute ich, dass das Problem am Anschluss oder am Router liegt. Entweder du bekommst keine IPv6 vom Provider zugewiesen, oder der Router verteilt die Adresse nicht weiter.

      Meine LAN Section sieht so aus:


      MAC Adresse 00:0F:xx:xx:xx:xx
      IP Adresse 192.168.xxxx.xxxx
      Netzwerkmaske 255.255.255.0
      IPv6 Adresse 2a00:61e0:4069:8501:xxxx:xxxx:xxxx:xxxx/64
      IPv6 Adresse fe80::xxxx:xxxx:xxxx:xxxx/64
      Empfangen 594.0k Pakete (66.1 MiB)
      Übertragen 438.4k Pakete (44.1 MiB)

      Man sieht also, dass der Genexis auf der LAN Seite eine verbindungslokale IPv6 und eine öffentliche IPv6 hat. Poste doch bitte mal die Ausgabe der Sektion WAN auf der Statusseite vom Router, vielleicht sehen wir dann mehr.

      Gruß

      Ulli

  3. Ralf Menges Antworten

    Hallo Ulrich,

    ich habe deinen Rat befolgt und die http://www.domain.de per E-Mail angeschrieben, dass sie mir bitte den AAAA-Eintrag setzen und Wildcards konfigurieren. Nun wollen sie wissen, auf welchem Weg ich ihnen die gewünschten Einträge habe zukommen lassen. Brauchen die noch irgendwelche andere Informationen?

    Vorab habe ich erstmal eine Weiterleitung konfiguriert. Mehr kann ich ja nicht konfigurieren, denn ich habe DSLite von Unitymedia und deshalb keine funktionierende IPv4-Adresse nur eine statische IPv6 und eine temporäre IPv6.

    Besten Dank schon mal im voraus!

    Viele Grüße, Ralf

    • Ulrich Ivens Antworten

      Hallo Ralf,

      ich verstehe dein Problem nicht ganz.

      Nun wollen sie wissen, auf welchem Weg ich ihnen die gewünschten Einträge habe zukommen lassen. Brauchen die noch irgendwelche andere Informationen?

      Ich habe dem Hoster nur gesagt, dass ich den AAAA Eintrag entsprechend der statischen IPv6 des Servers hinter dem Glasfaserrouter haben möchte. In meinem Fall 2a00:61e0:4069:8501:6a05:caff:fe25:466a. Zudem habe ich die Freigaben in der Firewall des Routers eingerichtet.

      Du kannst mit Linux oder OS X testen ob die richtige IPv6 gesetzt ist (auch wenn du keinen Serverdienst laufen hast). Standardmäßig nimmt er den für den Rechner gültigen Nameserver.

      user@server:~$ nslookup -query=AAAA www.ulrichivens.de
      Server: 192.168.1.1
      Address: 192.168.1.1#53

      Non-authoritative answer:
      www.ulrichivens.de has AAAA address 2a00:61e0:4069:8501:6a05:caff:fe25:466a

      Wenn du wissen willst, ob auch die Wildcards funktionieren kannst du einfach was anderes vor deine Domain setzen, z.B. so:
      user@server:~$ nslookup -query=AAAA schnarch.ulrichivens.de
      Server: 192.168.1.1
      Address: 192.168.1.1#53

      Non-authoritative answer:
      schnarch.ulrichivens.de has AAAA address 2a00:61e0:4069:8501:6a05:caff:fe25:466a

      Du bekommst dann deine beim Hoster angegebene IPv6 zurück. Neben deiner IPv6 und der Angabe, dass die Wildcards setzen sollen, brauchst du nur die gewünschte Domain angeben (falls du mehrerer hast). Die von dir eingerichtete Weiterleitung ist unnötig. Du musst gar nichts machen, wenn der AAAA – Record gesetzt ist. Du bis dann aber nur aus dem IPv6 Netz erreichbar. Du kannst bei IP-Adresse im FrontEnd von Domain.de später eine IPv4 Adresse eintragen, wenn du per IPv4 erreichbar sein möchtest z.B. aus dem Mobilfunknetzt.

      Bist du dir sicher, dass du nur eine statische IPv6 hast? Normalerweise bekommt man einen Adressbereich. Dann funktioniert die Lösung so, wie ich das beschrieben habe. Solltest du wirklich nur eine IPv6 haben, dann musst du auf eine Lösung wie SixXS (einen Tunnelbroker) zurückgreifen.

      Gruß

      Ulli

      • Ralf Menges Antworten

        Hallo Ulrich,

        sicher bin ich mir nicht. Wie kann ich denn herausfinden, ob ich über einen Pool oder nur über eine einzelne IPv6 Adresse verfüge? Die Daten habe ich über ipconfig der Windows Console entnommen.

        Des Weiteren habe ich den Support kontaktiert mit dem Ergebnis, dass ich nur eine Baustellen-Seite angezeigt bekomme, die darauf verweist, dass die Domain ralfmenges.de registriert wurde, diese sich aber noch im Aufbau befindet. ALso habe ich nun wieder eine Weiterleitung eingerichtet, weil ich ja auch keine IPv6 als Serveradresse, sondern nur eine IPv4 hinterlegen kann, da ich an einem DS-Lite hänge. Ansonsten kann ich die Domain parken oder als Sedo parken – mehr geht nicht.

        Der Support hat mir die IPv6 2a02:908:dc21:de80:4d56:2629:1176:7911 bei ralfmenges.de als Haupt-IP sowie für www und als mx eingetragen. Über DNS Lookup finde ich aber nur eine IPv4 und keine IPv6-Adresse.

        Kann ich mit dem MX-Eintrag, welcher auch nur an eine IPv4 gekoppelt ist, einen eigenen Mail-Server betreiben?

        Besten Dank schon mal im voraus
        Gruß Ralf

        • Ulrich Ivens Antworten

          Hallo Ralf,

          sicher bin ich mir nicht. Wie kann ich denn herausfinden, ob ich über einen Pool oder nur über eine einzelne IPv6 Adresse verfüge? Die Daten habe ich über ipconfig der Windows Console entnommen.

          Ich habe mir das angesehen. Im Windows kann ich das auch nicht finden. Du solltest mal im Glasfaserrouter guchen. Bei mir ist auf der WAN Seite eine IPv6 Adresse mit Prefix (/64) angegeben 2a00:61e0:4069:8500::1/64 das bedeutet ich habe 18.446.744.073.709.552.000 Addressen zur Verfügung – sollte reichen. Steht da bei dir /128 hast du genau eine Addresse. Wie man das im Windows herausfindet weiß ich nicht, und kann leider auch keine Lösung im Netz finden. Hat jemand einen Tipp?

          Des Weiteren habe ich den Support kontaktiert mit dem Ergebnis, dass ich nur eine Baustellen-Seite angezeigt bekomme, die darauf verweist, dass die Domain ralfmenges.de registriert wurde, diese sich aber noch im Aufbau befindet. ALso habe ich nun wieder eine Weiterleitung eingerichtet, weil ich ja auch keine IPv6 als Serveradresse, sondern nur eine IPv4 hinterlegen kann, da ich an einem DS-Lite hänge. Ansonsten kann ich die Domain parken oder als Sedo parken – mehr geht nicht.

          Wie gesagt. Bei mir ist alles leer. Bei Weiterleitung habe ich nur die IPv4 von meinem Portmapper hinterlegt, damit ich auch aus dem IPv4 Internet erreichbar bin. nslookup ulrichivens.de liefert mir eine IPv6 und eine IPv4 zurück.

          Der Support hat mir die IPv6 2a02:908:dc21:de80:4d56:2629:1176:7911 bei ralfmenges.de als Haupt-IP sowie für www und als mx eingetragen. Über DNS Lookup finde ich aber nur eine IPv4 und keine IPv6-Adresse.

          Ich würde sagen, da stimmt etwas nicht. Eine nslookup liefert keinen AAAA-record zurück. ich habe nochmal nachgesehen. Ich habe denen damals mitgeteilt, dass sie den AAAA Record auf die IPv6 des Servers setzen sollen und Wildcards einrichten. Das funktioniert ganz hervorragend.


          server:~ username$ nslookup -query=AAAA ralfmenges.de
          Server: 192.168.1.1
          Address: 192.168.1.1#53

          Non-authoritative answer:
          *** Can't find ralfmenges.de: No answer

          Authoritative answers can be found from:


          server:~ username$ nslookup -query=AAAA www.ralfmenges.de
          Server: 192.168.1.1
          Address: 192.168.1.1#53

          Non-authoritative answer:
          *** Can't find www.ralfmenges.de: No answer

          Authoritative answers can be found from:
          ralfmenges.de
          origin = ns15.domserver.de
          mail addr = support.gerwan.de
          serial = 2015082501
          refresh = 43200
          retry = 7200
          expire = 1209600
          minimum = 86400


          server:~ username$ nslookup www.ralfmenges.de
          Server: 192.168.1.1
          Address: 192.168.1.1#53

          Non-authoritative answer:
          Name: www.ralfmenges.de
          Address: 213.198.103.144

          Kann ich mit dem MX-Eintrag, welcher auch nur an eine IPv4 gekoppelt ist, einen eigenen Mail-Server betreiben?

          So wie ich das verstanden habe verweist der MX-Record auf die Domain, also ralfmenges.de und nicht auf eine IP-Addresse. Einen Mailserver kannst du dann prinzipiell unabhängig von IPv4 und IPv6 betreiben. Die Namensauflösung macht dann das jeweilige DNS-Subsystem. Ich bin daran bisher gescheitert, das ist ziemlich komplex. Wenn du das probierts und eine Lösung hast, schreibe doch eine Anleitung. Das können wir gerne hier veröffentlichen oder ich verlinke auf deine Seite.

          Gruß

          Ulli

          • Ralf Menges

            Hallo Ulli,

            in Bezug auf den Pool Bereich steht bei mir als IPv6-Präfix: 2a02:908:dc21:de80::/57. Demnach sollte bei mir auch kein Mangel an IPv6 Adressen herrschen.

            Hinsichtlich der Einträge stand anfangs bei mir auch die IPv6 als AAAA-Record drin; das habe ich zum einen unter der Windows Console mittels nslookup und zusätzlich noch auf https://network-tools.webwiz.co.uk/ überprüft. Anfangs bekam ich beide ausgeworfen, dann irgendwann nur noch die IPv4. Werde deswegen nochmals den Support kontaktieren.

            C:\Users\xy>nslookup ulrichivens.de
            Server: xy.box
            Address: fd00::2665:11ff:fe1e:64c8

            Nicht autorisierende Antwort:
            Name: ulrichivens.de
            Addresses: 2a00:61e0:4069:8501:6a05:caff:fe25:466a
            185.62.150.87

            Wie du an dieser Ausgabe siehst liefert nslookup sehr wohl eine IPv6 zurück.

            Einen eigenen Mail-Server einzurichten ist tatsächlich nicht gerade banal. Mal schauen wie weit ich komme. Erstmal herzlichen Dank für deine Infos und Bemühungen. Wenn ich es schaffen sollte einen Mailserver ans Laufen zu bekommen, werde ich einen Artikel schreiben, und ihn dir zukommen lassen. Falls ..?

            Bis dann
            Gruß, Ralf

  4. Alexander Otten Antworten

    Hallo Ulrich,
    bei uns in Waldfeucht hat das Glasfaser nun auch Einzug erhalten und ich konnte mich Dank deiner tollen Anleitung auch schon mal “grob” mit ipv6 vertraut machen. Dennoch habe ich bei meinem Anschluss ein Mysterium was ich nicht ganz verstehe.
    Meine Konfiguration ist folgende:
    Diesen Glasfaser Router habe ich für mich als Modem Variante bestellt, da mein Hauptrouter die Fritzbox sein soll. Musste dann schon mal feststellen, dass es bei diesem Ding kein Webinterface gibt (sei’s drum…). Wenn man die Fritzbox dann so konfiguriert, dass die Internet Verbindung über ein externes Gerät hergestelt werden soll, funktioniert soweit erstmal alles was von drinnen nach draussen geht.
    Wenn ich jetzt von draussen nach drinnen möchte, muss mein IPv6 fähiges Endgerät ja eine globale IPv6 von der Fritzbox zur Verfügung gestellt bekommen. Die Fritzbox kann diese ja aber nur aus dem Glasfasermodem lernen. Und da genau liegt mein Problem. In der Fritbox sieht man, dass die Verbindung zum Glasfaser Modem nur über Ipv4 läuft, obwohl ich schon sämtliche verschiedenen Einstellungen in der Fritz Box ausprobiert habe. Ich bekomme von dem Ding einfach keine IPv6 Adressen zugewiesen.
    Hab dann mal mit dem Service telefoniert, der erstmal meinte, dass eine Kommunkation von draussen nach drinnen, ein Leistungsmerkmal sei, was nicht beim “privaten Anschluss” enthalten sei… (Häähhh). Er meinte dann aber, dass ich doch eine öffentliche Ipv4 hätte (auch dass hat mich stutzig gemacht, weil ja sämtliche FTTH Kunden zur Zeit mit der Ipv6 Problematik kämpfen).
    Hab’s dann aber mal ausprobiert und ich bin tatsächlich über eine öffentliche IPv4 erreichbar.
    Wieso ??? Machen die Mischlösungen, oder läuft das anders als in Karken ? Eigentlich würde ich ja doch schon gerne auf IPv6 umsteigen wollen.

    Gruß
    Alex

    • Ulrich Ivens Antworten

      Hallo Alexander,

      so wie ich gehört habe, haben Neukunden die Möglichkeit diese “Modem Variante” zu wählen. Das ging Ende letzten Jahres bei Flink (leider) noch nicht. Was die Deutsche Glasfaser da macht weiß ich nicht. Hört sich aber wirklich nach “Mischbetrieb” an. Welchen Provider nutzt du denn?

      Wenn du eine öffentliche IPv4 hast wird es sicherlich eine dynamische IPv4 sein. Das heißt in regelmäßigen Abständen wird sich diese erneuern. Du kannst eine Erreichbarkeit via IPv6 dann über einen Tunnelbroker wie https://www.sixxs.net/ realsieren.

      Was die externe Erreichbarkeit angeht: Es könnte sein, dass die DGF oder die Provider dies jetzt als neues Geschäftsmodell entdeckt. Solche Dienste könnte man ja als “Premiumdienst” anbieten. Schließlich macht die eigene Cloud oder die Erreichbarkeit von Webservices im Internet der Dinge-Zeitalter mit 100 MBit Up- und Download mehr Spass und Sinn als in begrenzten DSL-Leitungen. Vielleicht hat man das unterschätzt und möchte nun den anfänglichen Fehler (oder 40%-Kundenfänger) revidieren.

      Gruß

      Ulli

      • Alexander Otten Antworten

        Hallo Ulli,

        mein Provider ist “Deutsche Glasfaser Home”. Ist dann wahrscheinlich ein Ableger der deutschen Glasfaser. Wir konnten zwischen NEW und DGHome wählen.
        Solange diese dynamische IPv4 wie in DSL Zeiten auch nur für mich öffentlich vergeben ist, soll mir das prinzipiell egal sein, da ich nach wie vor DynDNS Dienste für die Erreichbarkeit nutzen kann.
        Mir leuchtet das mit dem Geschäftsmodell natürlich ein und interessanterweise verweisen die auch bei jedem Gespräch diesbezüglich auch auf “EDV Kossmann” hin, aber wenn ich dafür zahle mich mit dem Internet zu verbinden, dann möchte ich natürlich auch “richtig” mit dem Internet verbunden sein. Für mich ist das ein essentielleer Bestandteil und kein Premiumfeature.

        Nun ja, bis jetzt geht’s ja noch über IPv4.
        Wie meinst du das mit dem Tunnelbroker ? Das ich eine IPv6 Anfrage auf meine IPv4 umsetzen lasse, nur um von aussen per IPv6 erreichbat zu sein?
        So was wäre eigentlich nicht mein Ziel, da IPv4 ja eh noch meistverbreitet ist. Entweder ich bekomme von DGH irgendwann nativ meinen eigenen IPv6 Range (wie du bei Flink) oder ich bleibe bei IPv4 wie ich’s bisher gekannt habe.
        Wenn jetzt irgendwann die IPv4 nicht mehr öffentlich wird, muss ich mir Boxhandschuhe anziehen.

        Gruß
        Alex

  5. Ärgerlich Antworten

    Hallo zusammen,
    wer bei der DGF die “nicht Router” Variante (nur “Modem”) gewählt hat, kommt augenscheinlich nicht auf die Konfig GUI des HRG1000.
    Dies stimmt nur halb.

    Bei dieser Variante muß ja ein anderer Router (z.B. eine Fritzbox oder ähnliches) als zentrales Verteilerzentrum genutzt werden. Von hier aus kommt nicht auf die GUI. Das stimmt.
    In der “Modem” Variante ist ebenfalls das WLAN aus. Die WLAN LED ist aus.
    Jetzt weiß ich nicht in wie weit ich hier posten darf, dass ich es geschafft habe das WLAN zu aktivieren. Deswegen lasse ich den Weg weg das WLAN zu aktiveren hier raus. (Ich habe die Kiste nicht von der Wand genommen oder aufgeschraubt oder so!!!!)
    Danach ist es möglich auf die GUI zu kommen. Sieht dann so aus wie oben im Blog der eine Screenshot.
    Man kommt aber NUR per WLAN drauf. Wie die Adresse (URL) lautet steht wiederrum im Handbuch der Router Variante.
    Mit der bestehenden WLAN Verbindung kann man allerdings nicht “online” gehen. D.h. sobald das Endgerät (in meinem Fall ein Smartphone), mit dem WLAN verbunden ist, hat man keine Internet Verbindung mit dem Smartphone. Somit ist man nur auf der GUI.

    Man sieht, ich habe mich hiermit ein wenig beschäftigt.
    Warum? Klar, auch ich möchte wieder auf mein NAS (hinter meiner Fritzbox) vom Handy zugreifen können.
    Komischerweise hat dies auch bis vor 2 Wochen funktioniert. Ohne das ich was im Router geändert habe. Da waren sogar/allerdings noch die alten Konfigdaten von meinem alten Internetanbieter drauf. Die Verbindung habe ich aber getrennt und bin per LAN1 ins Netz gegangen. Dann auf einmal ging nichts mehr. Sehr merkwürdig.

    Ich nutze den kostenlosen Dienst von Spdns.de . Hier kann man ebendalls ein AAAA-Record angeben.
    Leider bekomme ich, egal welche Adresse ich hier angebe, immer nur Fehler raus.
    Und auch ich habe eine (sogar wie es mit scheint 2) IPv4 Adressen. Eine im 185er.XXX…. und eine im 100er.XXX…. bereich. Weiß der Geier welche ich da nehmen soll. Plus natürlich die IPv6 Adresse. Und auch hier weiß ich nicht welche ich da nehmen soll, da es mir scheint als wenn ich auch hier mehrere habe……

    Blöd ist nur, dass bei der Verkaufsveranstaltung diese Problematiken nicht explizit angesprochen worden sind. Sehr schlecht! Es wurde sogar gesagt, dass ein Fernzugriff keine Probleme darstellt.

    Heute Nachmittag werde ich mal zu unserem ServicePoint gehen. Mal gucken wie die sich verhalten und mir eine Lösung anbieten….Oder Hilfe anbieten…..

    Gruß aus dem Kreis Coesfeld.

    • Ulrich Ivens Antworten

      Hallo Ärgerlich,

      erstmal Frohe Weihnachten. Ja die Sache mit der Verkaufsveranstaltung ist wirklich doof. Aber die ist halt auch irgendwie für die “Normalnutzer” gedacht. Und meiner Meinung nach hält die DGF scheinbar nur Leute mit dem Bedürfnis eine Mail zu schreiben und im Internet zu surfen für “Normalnutzer”.

      Zu deinem IP Problem. Guck mal bitte unter https://en.wikipedia.org/wiki/Reserved_IP_addresses. Dort findest du die reservierten Adressbereiche. Ich tippe darauf, dass dein WAN-Port eine 100.64.XXXer IPv4-Adresse hat. Wenn du zusätzlich eine 185.XXXer hast könntest du echt Glück haben. Diese Adresse kann man ggf. von außen ansprechen, wenn sie tatsächlich nur exklusiv für dich ist. Hier in Heinsberg teilen wir uns mit dem halben Ort eine 185.XXXer IPv4-Adresse. Da wird dann leider nichts geroutet.

      Wenn du also keine IPv6 hast und keine öffentliche IPv4 (also die 185.XXXer Adresse nicht nur exklusiv für dich ist) kannst du nur (wie weiter oben beschrieben) mit einem Tunnelbroker eine Konnektivität von außen per IPv6 erreichen. Dann kannst du natürlich mit SPDNS auch einen Domainnamen verknüpfen.

      Erfahrungsgemäß hilft der ServicePoint nicht wirklich weiter. Du bist ja kein “Normalnutzer” ;-).

      Gruß

      Ulli

      P.S.: Schreib mir doch bitte mal in einer Mail, wie du das WLAN aktiviert hast. Ich guck mir das an und entscheide, ob wir das dann hier posten können. Hört sich jedenfalls interessant an.

  6. Helmut Antworten

    Hallo Ulli,

    ich bin seit August 2015 über die DG und flink! am Glasfasernetz angeschlossen. Ich nutze den Genexis im Routermodus und dahinter eine Fritzbox 7390. Meine NAS erhält eine IPv6-Adresse, die ich auch herausgefunden habe. Leider kann ich nirgends erkennen, ob (und welche) meine Fritzbox auch eine IPv6-Adresse hat.
    Hast du vielleicht eine Idee, wie ich diese ggf. herausfinden kann?

    Viele Grüße
    Helmut

    • Ulrich Ivens Antworten

      Hallo Helmut,

      also wie du die Adresse der Fritzbox direkt herausfinden kannst, weiß ich nicht. Gibt es keine Anzeige auf dem Webinterface? Man kann die IPv6 aber relativ einfach berechnen. Gehe auf diese Website und wähle den Punkt “IPv6 Addresses and Networks”. Du brauchst die MAC-Adresse der Fritzbox. Wenn du die nicht hast, scan in deinem Netzwerk z.B. mit der App Wifi Analyzer (Android) oder der App Net Analyzer (iOS). Zudem brauchst du das Prefix des Providers. Das kannst du aus der Weboberfläche des Genexis Glasgaserrouters ablesen oder per Kommandozeile mit ifconfig (Unix, Linux, OS X) oder ipconfig (Windows). Zuerst aus der Mac die HostID ermitteln, und dann mit der HostID und dem Prefix die IP Adresse berechnen. Funktioniert nicht nur bei der Fritzbox, sondern eigentlich bei allen Netzwerkgeräten.

      Ich glaub ich schreibe dazu mal ein kleines HowTo.;-)

      Gruß

      Ulli

  7. Helmut Antworten

    Hallo Ulli,

    ich habe deinen Rat befolgt und den verlinkten IPv6-Rechner genutzt. Leider kann ich meine Fritzbox unter der von ihm berechneten IPv6-Adresse nicht finden. Bei anderen Geräten klappt es! Aus deren MAC-Adresse errechnet er die richtige (bekannte) IPv6-Adresse, unter der ich auch das entsprechende Gerät erreichen kann.

    Es sieht so aus, als wenn die Fritzbox keine eigene IPv6-Adresse hätte und hinter dem Genexis-Router nur über IPv4 angebunden wäre.

    Auch wenn es nicht funktioniert hat, danke ich dir für deine Hilfe.

    Viele Grüße
    Helmut

    • Ulrich Ivens Antworten

      Hallo Helmut,

      was ich noch nicht ganz blicke ist, wie du die Fritz!Box angeschlossen hast. Ist es so:

      Genexis –> Fritzbox –> restliches Netzwerk ohne NAS
      Genexis –> NAS

      Oder so:

      Genexis –> Fritzbox –> NAS und restliches Netwerk

      Der Genexis unterstützt kein Prefix delegation. Das bedeutet deine Fritzbox hat sicherlich auf der WAN Seite (falls als Router konfigurert) eine IPv6, kann diese jedoch (mangels geeignetem Prefix) nicht weiter “verteilen”.

      Wie ist die Fritzbox konfiguriert? Als Router (also angeschlossen am WAN-Port) oder als Access Point (angeschlossen am LAN-Port). Siehe dazu meinen Artikel Fritz!Box als Access Point im Heimnetzwerk nutzen als möglichkeit der weiteren Fehlersuche.

      Gruß

      Ulli

  8. Ralf G. R. Bergs Antworten

    Hallo.

    Du schriebst:

    Im Glasfaserrouter heißt dieses Freigeben der Firewall unglücklicherweise IPv6-Forwarding, obwohl dies technisch etwas völlig anderes ist

    Hier möchte ich widersprechen. Was früher fälschlicherweise(!) als “Port Forwarding” bezeichnet wurde ist eigentlich ein DNAT, also ein ändern der Destination-Adresse über NAT.

    Was Du da oben machen willst ist exakt “Forwarding”! Du fügst der IPv6-Firewall eine Regel für einen bestimmten Port hinzu, die dann Traffic aus dem WAN an den angegebenen Rechner im LAN weiter leitet. Genau DAS ist Forwarding — Weiterleiten von einer Zone in eine andere.

    Viele Grüße,

    Ralf

    • Ulrich Ivens Antworten

      Hallo Ralf,

      danke für dein Feedback. Ich glaube wir haben beide ein bisschen Recht ;-).

      DNAT ist das besagte Port Forwarding bei IPv4. Letzten Endes wird dabei die interne (private) IPv4-Adresse durch den Router nach außen unsichtbar gemacht und mit der öffentlichen IPv4 des als Router konfigurierten Rechners ersetzt und dann erst an einen anderen Rechner im Internet weitergeleitet. Zurück genauso. Das muss so sein, denn die interne IPv4 Adresse wäre ohnehin nicht im Internet zu gebrauchen, da sie nicht eindeutig ist. Es gibt sehr viele Netze die z.B. im Adressraum 192.168.1.x/24 liegen. DNAT ist also unbedingt notwendig, damit man das Internet oder ein anderes Netzwerk außerhalb des privaten Heimatnetzes überhaupt nutzen kann. Der Port kommt mit dazu, wenn man bestimmte Dienste selbst anbieten möchte, z.B. einen Webserver, der in der Regel auf Port 80 läuft. Es ist dann also ein selektives eingehendes DNAT. Der Datenverkehr wird bei (D)NAT also durch den Router aktiv manipuiliert.

      Das ist dann aber auch der wesentliche Unterschied zu IPv6. Bei IPv6 (wie hier bei der DGF) erhält man ja nicht nur eine öffentliche Adresse, sondern ein ganzes Subnetz. Damit ist jede Adresse die im internen Netzt liegt öffentlich und somit direkt aus dem Internet erreichbar. Gibt man eine globale IPv6 (wenn man es selektiv haben möchte mit Angabe eines Ports) frei, macht man ein “Loch” in die IPv6 Firewall. Der Glasfaserrouter macht dann also nichts mehr. Er filtert nicht mehr, er leitet aber auch nicht weiter. Daher macht er auch kein Forwarding, sondern lässt den eingehenden Datenverkehr nur durch. Der Datenverkehr wird also durch den Router nicht aktiv manipuiliert.

      Du kannst gerne einen Vorschlag machen, wie man den Bereich im HowTo umformulieren kann, damit er klarer wird.

      Gruß

      Ulli

Leave A Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *