VPN mit DS-Lite (Ipv4/IPv6) / Was Du darüber wissen musst! (z. B. Unitymedia oder Telekom Nutzer)

VPN geht mit DS-Lite nicht mehr?

Im Internet gibt es viele Forenbeiträge über Probleme mit VPN und DS-Lite Zugängen. Dabei sind aber viele Dinge nicht klar und verwirren viele unserer Leser zunehmends. Daher möchte ich hier einmal aufklären, und helfen.

Was ist DS-Lite?

Über die Technik von DS-Lite werden einem Internetnutzer durch seinen Internetanbieter eine IPv4 Adresse + eine IPv6 Adresse nach Außen hin zur Nutzung des internets zur Verfügung gestellt. Die Datenverbindungen zwischen dem Router und dem Internetanbieter werden dabei über ein geteiltes internes Netzwerk verwirklicht.

„Dual Stack Lite“

DS-Lite ist damit eine Vorstufe um Internetnutzung in Netzwerken mit der bisherig verwendeten IPv4 und der neuen IPv6 Art zu ermöglichen. DS-Lite ist daher bei vielen Unternehmen bereits im Einsatz und täglich werden mehr Internetnutzer mit dieser Technik an die Netzwerke der Anbieter angeschlossen.

Video: DS-Lite Erklärung (Englisch)

VPN mit DS-Lite (Ipv4/IPv6) / Was Du darüber wissen musst! (z. B. Unitymedia oder Telekom Nutzer) 1

DS-Lite / IPv6-Übergangsmechanismen

DS-Lite / IPv&-Übergangsmechanismen sind Technologien die den Übergang des Internets von IPv4 zum Nachfolger-Adressierungs-System von Internet Protocol Version 6 (IPv6) erleichtern. Da IPv4- und IPv6-Netzwerke nicht direkt interoperabel sind, sind diese Technologien so konzipiert, dass Hosts in beiden Netzwerken an der Vernetzung mit dem gegnerischen Netzwerk teilnehmen können. In unserem Video sprechen wir über DS-Lite.

VPN mit IPv4 oderIPv6 nutzen?

Kunden eines Internetanbieters erhalten damit die Möglichkeit das Internet über IPv4 Adressbereiche und auch über IPv6 Adressbereiche zur selben Zeit nutzen zu können. Es gibt dann keine Einschränkungen für die Nutzer, bei der weiteren Umstellung von Internetdiensten auf IPv6 in der Zukunft.

Nutzer von DS-Lite nutzen also sowohl IPv4 als auch IPv6 Adressen und können daher auch alle bisherigen Services welche auf IPv4 basierend sind weiterhin nutzen. Ohne Einschränkungen!

Mögliche Einschränkungen werden durch andere Massnahmen wie der eingeschränkten IP-Adressnutzung durch geteilte IP-Adressen erst wirksam.

DS-Lite (Dual Stack) schematische Darstellung
DS-Lite (Dual Stack) schematische Darstellung

Die Verwendung verschiedener IP Adressmodelle (IPv4 & IPv6)

IPv4 und IPv6 ist im Grunde mal kein Problem, dass mit VPN Verbindungen zu tun hat. Im Internet wird TCP/IP als Standard für die Übertragungen verwendet und alle angeschlossenen Netzwerke und Geräte nutzen diese Protokolle. Dabei nutzt jedes Gerät eine eindeutige im Internet verfügbare IP Adresse. Dies kann nun aus dem Nummernraum der IPv4 Standards kommen (zB: 193.144.100.23 also xxx.xxx.xxx.xxx ) oder es kann sich auch um eine IPv6 Adresse handeln (Also Zahlen und Nummern kombiniert mit 6 Stellen: xxxx.xxxx.xxxx.xxxx.xxxx.xxxx ).

Im Internet verfügbare IP Adressen und private IP-Adressen

Nun verwendet aber nicht jedes an das Internet angeschlossene Gerät auch eine eigene öffentliche IP-Adresse. Sondern zum Beispiel verwenden die Geräte im Heimnetzwerk eine interne IP (192.168.xxx.xxx oder 10.0.xxx.xxx). Diese wird durch den lokalen Router vergeben und ist aus dem Internet nicht erreichbar. Dadurch agiert der Router als das Gerät mit der Internetverbindung nach aussen hin sichtbar. Das hat aber zur Folge, dass die IP Adressen für jeden Router einmalig sein müssen. Die IP-Adressvergabestelle (RIPE) hat aber nur einen begrenzten Nummern-Kreis zur Verfügung un bei wachsenden Nutzern im Internet, ist dieser bereits seit Jahren ausgeschöpft worden. Das bedeutet, es sind nicht genügen IPv4 Adressen vorhanden für jeden einzelnen Nutzer der einen Internetzugang verwendet.

Wenn wir also davon sprechen, dass jemand DS-Lite benutzt, dann wird zwischen dem Router und dem Router des Internetanbieters lediglich wechselnde „private IP Adressen verwendet“. Nach Außen hin teilen sich die Nutzer die öffentlichen IPv4 Adressen des Internetanbieters. Daher sind Verbindungen nach Außen nicht beeinträchtigt. Aus dem Internet zum eigenen Heimnetzwerk aber schon.

Der IPv4-Adressmangel macht Umstellung auf DS-Lite notwendig

Weshalb die Internetanbieter nun dazu übergehen, den Nutzern (Routern der Nutzer) eine interne IP Adresse anstelle der öffentlichen zu vergeben. Das bedeutet, dass dann der Internetanbieter nur noch eine öffentliche IP Adresse braucht und damit tausende Nutzer damit ins Internet verbinden kann. Es gibt zwar dabei auch Limitierungen, also auch dieser Vorgang ist nicht unbegrenzt möglich, aber im Grunde passiert genau das.

Nachdem die Internetanbieter auf dieses Systeme umstellen, sparen sie deutlich IPv4 Adressen trotz wachsender Kundenanzahl. Der Nachteil ist, dass die Nutzer oder deren Router daher aber nicht mehr über eine eindeutige IP Adresse direkt erreicht werden können. Also die IP wird ja nicht mehr exklusiv verwendet von einem Nutzer, sondern von tausenden parallel.

Nicht öffentlich erreichbare IP-Adressbereiche (IPv4)

Private IP-Adressen (abgekürzt Private IP) sind IP-Adressen, die von der IANA nicht im Internet vergeben sind. Sie wurden für die private Nutzung aus dem öffentlichen Adressraum ausgespart, damit sie ohne administrativen Mehraufwand (Registrierung der IP-Adressen) in lokalen Netzwerken genutzt werden können.

Private-IP-Adressbereiche
Private-IP-Adressbereiche

Unter anderem stellt jeder Heimrouter ein Netzwerk mit diesen „privaten IP-Adressen zur Verbindung zwischen Gerät und Router zur Verfügung. Diese sind daher vielfach verwendet und nicht einmalig und können auch im Internet daher nicht verwendet werden um eindeutige Zuordnung zu einem Gerät zu ermöglichen.

Shared IP Adressbereich (geteilte IP Adressen)

Wegen des Adressmangels und zunehmender Konflikte bei den oben genannten IP-Adressbereichen wurde ein weiterer Bereich zur mehrfachen Verwendung freigegeben. Dieser Bereich 100.64.0.0/10 ist speziell für Internetdienstanbieter vorgesehen.

Shared-IP-Adressbereiche
Shared-IP-Adressbereiche

Lokaler IP-Adressbereich (auf dem eigenen Gerät anzuwenden)

Weiterhin hat der Adressraum 169.254.0.0/16, der als Link Local ausgezeichnet ist, eine ähnliche Sonderstellung. Damit werden Geräte arbeiten die einen Loop oder eine Verbindung zu sich selbst benötigen für Aufgaben.

Lokale-IP-Adressbereiche
Lokale-IP-Adressbereiche

 

Zugriff auf das Heimnetzwerk

Dadurch ist es auch für den einzelnen Nutzer nicht mehr möglich sein Heimnetzwerk über eine eindeutige IP-Adresse zu erreichen.

Mit der Umstellung der Internetanbieter nun auf IPv6 und andere Technologieanpassungen, wie zum Beispiel DS-Lite, wurden auch die gerade beschriebenen Änderungen zur Nutzung der geteilten gemeinsamen IP-Adresse wirksam. Das ist aber im Grunde nur der Fall, weil man halt wenn man solche Änderungen vornimmt, auch gleich andere Dinge mit erledigen kann. Daher hat die Umstellung auf DS-Lite oder auf IPv6 Adressen im internen Netzwerk zwischen Internetanbieter und den Routern der Kunden nicht direkt etwas damit zu tun. Aber es erfolgte halt zur selben Zeit.

Hinweis: Die Verwendung von IPv6 Adressen macht dabei keinen Unterschied

Häufig denken unsere Leser auch, dass sich durch IPv6 Adressen das alles gerändert hat. Aber auch das ist nicht ganz richtig.

Wer nun von seinem Anbeter auch IPv6 Adressen zugewiesen bekomm, der nutzt diesen IPv6 Adressrahmen derzeit hauptsächlich um die interne Verbindung zwischen dem Router und dem Internetanbieter zu erstellen. Nach Außen hin werden weiterhin IPv4 Adressen verwendet. Das muss auch noch so bleiben, weil nur weniger als 10% der Webseiten weltweit derzeit auch über IPv6 erreichbar wären). Es gibt aber auch VPN Anbieter die zum Beispiel bereits auch über IPv6 erreichbare VPN Server anbieten, derzeit ist das aber eben noch eine Randerscheinung, da es auch gar nicht notwendig ist, weil eben jeder Internetnutzer zusätzlich auch eine IPv4 Adresse benutzt.

Lokale Technologie-Änderungen wie „DS-Lite“,  haben aber keine Auswirkungen auf VPN-Verbindungen

Viele Nutzer denken deshalb, dass sie aufgrund von DS-Lite nicht mehr auf den Router zugreifen können, in Wirklichkeit aber liegt es daran, dass die Internetanbieter nun auch den Nutzern geteilte IPv4 Adressen zur Verfügung stellen. Umgehen kann man das aber nach wie vor, indem man eine dedizierte IP Adresse bei seinem Internetanbieter bucht, dadurch werden alle Ports einer IP Adresse auch an den Router weiter geleitet werden, dadurch wird der Router des Nutzers auch aus dem öffentlichen IP-Adressbereich erreichbar.

Da in den meisten privaten Tarifen diese Möglichkeit aber nicht vorhanden ist, werden die Nutzer gezwungen einen Business Tarif zu wählen, der oft deutlich höhere Kosten verursacht. Begründet wird das damit, dass IP Adressen selbst nicht vermietet werden dürfen, und daher eine statische IP nicht einfach dezidiert einem Kunden zur Verfügung gestellt werden dürfen gegen Bezahlung. Darum halt die Monetarisierung für den Internetanbieter durch einen anderen Tarif der diese technische Möglichkeit bietet.

Welche Auswirkungen hat „DS-Lite oder IPv6“ auf die VPN Verwendung?

Nun eine VPN Verbindung ist immer eine Verbindung zwischen zwei Geräten, nämlich einen Client und einem Server. Der Client verbindet sich über die IP Adresse des Server zu diesem und initiiert den virtuellen Verbindungsaufbau.

Durch neue Anschlusstechniken wie „DS-Lite“ oder durch die Verwendung von „IPv6 im lokalen Netzwerk des Internetanbieters“ ändern sich einige Dinge, aber beeinflussen nur geringfügig die Verwendung von VPN zur sicheren Datenübertragung.

1) Von Außen per VPN auf das eigene Heimnetzwerk zugreifen geht nicht!

Wenn der VPN Server aber keine einmalige und aus dem Internet erreichbare IP Adresse hat, dann kann diese Verbindung nicht aufgebaut werden. Daher kann sich nun ein Nutzer einer geteilten IP Adresse seines Internetanbieters nicht mehr zum eigenen Netzwerk (Router zu Hause) per VPN Verbindung verbinden. Das selbe bedeutet auch, dass DYNDNS Services, die bisher immer eine wechselnde IP Adresse über eine dynamische SubDomain erreichbar machten (zB. meinrouter.dyndns.org) nicht mehr funktionieren werden.

Das geht nicht mehr weil der Anbieter dir eine geteilte IP Adresse zur Verfügung stellt. Es gibt Services die es aber ermöglichen weiterhin das Heimnetzwerk zu erreichen.

Ausnahme (Erreichbarkeit des Heimnetzwerkes über statische IP eines VPN Services):

Die Ausnahme besteht zu dieser Regel, wenn der VPN Service eine statische IP-Adresse vergibt und alle Ports an das verbundene Gerät weiterleitet. Wir haben diesen Fall mit einer Anleitung wie man dies verwenden kann hier ausgeführt: Router über statische IP Adresse eines VPN erreichen. In diesem Fall wird die statische IP-Adresse mit allen Ports extra zugemietet und kann auch auf Heimroutern verwendet werden, um diese, das eigene Heimnetzwerk oder sogar Server zu erreichen. Man muss dabei allerdings mit in etwa 3 Euro pro Monat für die exklusive Verwendung der IP-Adresse berücksichtigen, dies bieten ausserdem nur sehr wenige VPN Services an.

Externer Zugriff auf Netzwerk über statische IP eines VPN-Servers
Externer Zugriff auf Netzwerk über statische IP eines VPN-Servers

Anleitung: Statische IP auf einem VPN-Router einrichten

Diese beschriebene Möglichkeit erlaubt einen Zugriff von Ausserhalb über die feste IP Adresse des VPN-Services auch wenn man DS-Lite oder andere Lösungen verwendet und sein Netzwerk nicht anders erreichen kann.

2) Über den eigenen Internetzugang sich zu einem VPN-Server verbinden macht keine Probleme!

Nicht davon beeinträchtigt sind aber VPN Verbindungen von einem Heimnetzwerk aus zu einem VPN Server ausserhalb. Denn in diesem Fall ist der VPN-Server ja nach wie vor über eine öffentliche IP-Adresse erreichbar. Daher haben Nutzer von DS-Lite oder anderen Techniken keine Probleme sich zu VPN-Services zu verbinden.

Ausnahme sind VPN Verbindungen mit alten VPN-Protokollen (IKEv1)

Die einzige Ausnahme davon sind Services die auf IKEv1 Protokoll basierend sind (IPsec, L2TP, alte Cisco IPsec Protokoll) , denn dieses VPN Protokoll benötigt auch am VPN-Client eine öffentlich erreichbare Verbindung, häufig werden solche Verfahren noch bei alten VPN-Services wie denen von Universitäten eingesetzt. Nutzer mit DS-Lite können damit deren Verbindungswege über VPN nicht mehr benutzen). Moderne VPN-Services verwenden aber ausnahmslos alle bereits moderne VPN Protokolle (OpenVPN, IKEv2 und andere…), die keine Probleme mit geteilten IP Adressen auf der Seite des VPN-Clients haben und auch keine öffentliche IP Adresse am Router benötigen.

Fazit:

Wer also nun einen VPN-Service verwenden will, ganz egal, ob er nun die Anwendungen des Anbieters direkt am Gerät nutzt (VPN-Client Software) oder ob er zum Beispiel einen VPN-Client Router verwendet um sein eigenes Netzwerk zu einem VPN-Server zu verbinden, der hat damit keine Probleme und auch mit keinen Einschränkungen zu rechnen.

 

 


Erstellt am: 19. September 2019

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

13 Gedanken zu “VPN mit DS-Lite (Ipv4/IPv6) / Was Du darüber wissen musst! (z. B. Unitymedia oder Telekom Nutzer)”

Schreibe einen Kommentar