Glasfaser für Korschenbroich-Pesch

IP-Adressen

Brauche ich das?

Wenn Sie so fragen, können Sie diese Seite wahrscheinlich auslassen. Um am Internet teilzunehmen, brauchen Computer Internet-Protokoll-Adressen, kurz IP-Adressen. Die bekommen sie selbstverständlich von der Deutschen Glasfaser, und das ist mehr als die meisten Nutzer über das Thema wissen müssen. Der Anschluss funktioniert einfach so, wie sie das erwarten.

Wozu also diese Seite? Aus historischen Gründen gibt es mehrere Arten von IP-Adressen. Ein Teil dieser Adressen ist mittlerweile so knapp, dass sie nicht mehr jedem Netzbetreiber in der gewünschten Menge zur Verfügung stehen. Genau wie viele andere Internetprovider verwendet die Deutsche Glasfaser an Privatkundenanschlüssen deshalb eine Kombination aus CGNAT und IPv6. Was das bedeutet, warum das ein paar Nutzer vor ein Problem stellt und wie man dieses Problem lösen kann, wird auf dieser Seite beschrieben. Aber wie gesagt: Wenn das alles für Sie wie eine Fremdsprache klingt, braucht Sie das nicht zu kümmern. Sie haben wahrscheinlich sogar Vorteile durch diese Techniken. Auch die werden auf dieser Seite kurz dargestellt.

Von IPv4 zu IPv6 oder auch nicht

Nach einer kurzen historischen Ursachenbetrachtung geht es in den nächsten Abschnitten mit der Problembeschreibung weiter, auf die dann praktische Lösungen folgen.

Als das Internet Protokoll entwickelt wurde, also die Regeln, nach denen Computer im Internet kommunizieren, hat man sich auf eine maximal mögliche Menge von Adressen festgelegt: ca. 4 Milliarden. Das erschien ausreichend, denn das Internet bestand in den frühen 80er Jahren nur aus wenigen Universitäten und Forschungseinrichtungen. Diese Version des Internet Protokolls, IPv4, ist seitdem im Einsatz. Durch die rasante Verbreitung des Internets war aber bereits Ende der 90er Jahre absehbar, dass der Adressvorrat nicht ausreichen würde. Unter anderem aus diesem Grund wurde mit IPv6 eine neue Version des Internet Protokolls entwickelt, die einen praktisch unerschöpflichen Adressvorrat hat: Eine 3 mit 38 Nullen dahinter, mehr als 4 Milliarden mal 4 Milliarden mal 4 Milliarden mal 4 Milliarden Adressen. Das Problem dabei: Geräte mit verschiedenen Versionen des Internet-Protokolls können nicht direkt miteinander kommunizieren. So blieb IPv4 trotz des abnehmenden und inzwischen praktisch erschöpften Adressvorrats bis heute das am weitesten verbreitete Protokoll im Internet.

Die Vergabe von IP-Adressen ist hierarchisch organisiert. Der Gesamtvorrat wird von der IANA (Internet Assigned Numbers Authority) verwaltet. Die IANA verteilt Adressblöcke an die sogenannten RIRs (Regional Internet Registries). Die RIR für Europa heißt RIPE (Réseaux IP Européens). Die ICANN (Internet Corporation for Assigned Names and Numbers) hat in der Rolle der IANA am 03. Februar 2011 die letzten großen IPv4-Adressblöcke aus ihrem Vorrat an die RIRs verteilt. Wegen der großen Bedeutung wurde dieser Schritt von einer Zeremonie begleitet. Seit dieser Vergabe stehen der IANA nur noch kleine Mengen an zurückgegebenen Adressen zur Verfügung. Der globale Vorrat ist also seit Jahren aufgebraucht. Die RIRs teilen die Adressen aus ihren schwindenden Kontingenten nach eigenen Regeln zu. Um auch zukünftigen Netzbetreibern und Dienstleistern den Zugang zum IPv4-Internet ermöglichen zu können, vergibt RIPE IPv4-Adressen aus dem mittlerweile knappen europäischen Vorrat nur noch nach strengen Regeln und in kleinen Mengen. Seit 2012 ist es nach offizieller IETF (Internet Engineering Task Force) Lesart nicht mehr nur optional, IPv6 zu unterstützen (RFC 6540).

Adressübersetzung und die Folgen

Für Betreiber, die nicht aus den Zeiten, als IPv4-Adressen im Überfluss zugeteilt wurden, große Mengen an Adressen haben, ist die Erschöpfung des IPv4-Adressvorrats ein Problem. Sie können nicht allen Kunden eigene Adressen zuteilen. Da IP-Adressen aber für die Kommunikation im Internet unverzichtbar sind, kommen schon lange bei vielen Providern Techniken zum Einsatz, die den Adressmangel umgehen, allen voran NAT (Network Address Translation, Netzwerk­adressen­übersetzung). Bereits zu Beginn des kommerziellen Internets in Deutschland war es üblich, an privaten Internetanschlüssen jeweils nur eine IPv4-Adresse bereitzustellen. Wer mehrere Geräte an einem Anschluss betreiben wollte, musste also "schon immer" NAT einsetzen. Für diesen Zweck gibt es private IP-Adressen, die aus dem Internet nicht ansprechbar sind und deshalb mehrfach verwendet werden können, während öffentlich erreichbare IP-Adressen im allgemeinen global eindeutig sein müssen und von der IANA bzw. den RIRs zugeteilt werden. Die NAT-Funktion ist Bestandteil jedes Heimrouters und übersetzt zwischen den privaten Adressen der Geräte im lokalen Netz und der einen Adresse, die vom Internet Provider zugewiesen wird. Im Prinzip machen Provider heute das gleiche, nur im größeren Stil, weswegen es CGNAT (Carrier Grade NAT) genannt wird. So werden für viele Kunden nur wenige öffentliche IPv4-Adressen benötigt.

NAT ist schon so lange in vielen Netzwerken üblich, dass die allermeisten Anwendungen problemlos damit funktionieren. Nutzern ist der Einsatz von NAT in der Regel gar nicht bewusst. Die einzige Ausnahme ist, wenn aus dem Internet Geräte im lokalen Netz angesprochen werden sollen. Da sich mehrere Geräte die eine IPv4-Adresse des Anschlusses per NAT "teilen", kann der Router nicht automatisch erkennen, an welches Gerät sich eine Verbindung richtet. Eine solche Verbindung "von außen nach innen" ist also nicht ohne weiteres möglich. In der umgekehrten Richtung, von innen nach außen, merkt sich der Router, welches Gerät eine Verbindung aufgebaut hat, so dass die Antworten auch den Weg zurück finden. Deswegen funktioniert trotz NAT fast alles "einfach so", denn typischerweise werden Verbindungen von Geräten im lokalen Netz zu Geräten im Internet aufgebaut und nicht umgekehrt. Das gilt auch für Telefonanrufe von außen: Der Router baut eine dauerhafte Signalisierungs­verbindung auf. Einige Nutzer benötigen aber dennoch von außen erreichbare Adressen.

Warum nicht IPv6?

Grundsätzlich spricht nichts dagegen, Dienste einfach über IPv6 bereitzustellen und sie darüber auch zu nutzen. Wenn sichergestellt ist, dass alle, die Verbindungen zu einem lokalen Gerät aufbauen können sollen, über einen IPv6-Zugang verfügen, wird keine Übergangslösung mit einer IPv4-Adresse benötigt. Leider ist es für viele Netzteilnehmer immer noch unpraktikabel oder sogar unmöglich, auf IPv6-Dienste zuzugreifen. So ist es z.Z. nur im Mobilfunknetz der Telekom möglich, eine IPv6 Adresse zu bekommen. In den anderen Mobilfunknetzen in Deutschland bekommen Kunden nur (private) IPv4 Adressen. Die Bereitstellung von IPv6 ist seit Jahren angekündigt, aber nicht umgesetzt. An Festnetzanschlüssen besteht oft nur die Wahl zwischen einem bestehenden Altvertrag mit IPv4-Adresse (aber ohne IPv6) und einem Wechsel zu Dual-Stack Lite, also CGNAT und IPv6.

Um den Umstieg auf IPv6 zu fördern, haben mehrere Unternehmen und Organisationen kostenlos Tunneldienste (Tunnel Broker) angeboten, die Nutzern mit reinen IPv4-Anschlüssen auch IPv6-Adressen bereitstellten. Der bekannteste dieser Dienste, SixXS (Six Access), hat vor kurzem den Betrieb eingestellt, ebenso wie die meisten anderen. Es ist nur noch ein großer Anbieter dabei: Hurricane Electric. Die Tunnellösung von Hurricane Electric setzt jedoch eine statische öffentliche IPv4 Adresse voraus. Daher gibt es z.Z. keinen großen Tunnelanbieter mehr, der trotz CGNAT IPv6-Adressen verfügbar macht.

Alte Geräte unterstützen möglicherweise kein IPv6, können evtl. aber aus technischen oder finanziellen Gründen nicht durch aktuelle IPv6-taugliche Geräte ersetzt werden. In diesem Fall ist es mitunter möglich, lokal einen Proxy zwischen einer IPv6-Adresse und dem IPv4-Gerät einzusetzen. Das scheidet jedoch dann aus, wenn mit Software auf das Gerät zugegriffen werden soll, die ebenfalls nicht IPv6-tauglich ist. Unter Umständen verlangen auch Fernwartungsverträge den Zugang über IPv4, obwohl eine solche Einschränkung nicht mehr zeitgemäß ist. Es gibt also allem Drängen der Techniker zum Trotz noch Anwendungsfälle, in denen eine IPv4-Adresse unverzichtbar ist.

Lösungen zur Bereitstellung von IPv4 Adressen

Da die Adressknappheit schon länger dazu führt, dass einige Provider ihren Kunden keine öffentlichen IPv4 Adressen mehr zuteilen können sondern CGNAT verwenden, gibt es Dienstleister, die Geräte trotzdem von außen erreichbar machen. Diese Lösungen richten sich teilweise auch an Nutzer von Anschlüssen, deren IPv4 Adresse regelmäßig wechselt. Je nach Anwendungsfall gibt es verschiedene Techniken, von der einzelnen Portweiterleitung bis zum kompletten Subnetz mit festen IP-Adressen.

Deutsche Glasfaser Geschäftskundenanschluss: Wenn Geld keine Rolle spielt, sind mit einem Geschäftskundenanschluss je nach Tarif eine oder mehrere statische IPv4-Adressen inklusive. Wegen der für Privatkunden ziemlich hohen Preise sei das nur der Vollständigkeit halber erwähnt.

EDV Kossmann: Um auch für Privatkunden eine erschwingliche Lösung anbieten zu können, kooperiert die Deutsche Glasfaser mit EDV Kossmann. Dieser Anbieter stellt für einen einmaligen Einrichtungspreis und eine monatliche Gebühr einen kleinen "KBOX" Computer zur Verfügung. Damit wird eine statische IPv4 Adresse beim Kunden verfügbar gemacht. Der Datenverkehr zwischen dieser IPv4 Adresse und dem Internet wird in IPv6 Datenpakete verpackt zwischen "KBOX" und Dienstleister übertragen. Auf diese Weise sind alle Anwendungen nutzbar, die eine öffentliche IPv4 Adresse erfordern.

Feste-IP.net: Vom Anbieter Feste-IP.net gibt es sehr günstige Lösungen für die häufig gefragten einfachen Anwendungsfälle. Bereits für weniger als einen Euro pro Monat können einzelne Dienste von außen erreichbar gemacht werden. Mit "FIP-VPN" und "FIP-Box" stehen aber auch Verfahren zur Verfügung, bei denen eine statische IPv4 Adresse vollumfänglich genutzt werden kann.

Portunity Feste-IP-Kit: Der Netzdienstleister Portunity hat mit dem "Feste-IP-Kit" ebenfalls ein vorkonfiguriertes System im Angebot, mit dem eine oder mehrere IPv4 Adressen im Kundennetz verfügbar gemacht werden.

VPN-Betreiber: Die vorgenannten Dienstleister haben ihre Angebote speziell auf die Verfügbarmachung von IPv4-Diensten an Anschlüssen mit CGNAT oder wechselnden Adressen ausgerichtet. Bei Betreibern von VPNs (Virtual Private Networks) steht dieser Anwendungsfall zwar nicht im Vordergrund, aber auch diese bieten teilweise die Möglichkeit, über feste oder dynamische IPv4-Adressen Verbindungen von außen anzunehmen. Dies ist z.B. bei Hide.me und PureVPN der Fall.

Eigener Server: Technisch versierte Nutzer können mit einem gehosteten (virtuellen oder realen) Server, der sowohl über IPv4 als auch IPv6 erreichbar ist, eigene Weiterleitungs- oder Tunnellösungen einrichten. Sie haben dabei die Auswahl unter einer ganzen Reihe von Protokollen und Programmen, z.B. "socat" für einfache Portweiterleitungen, OpenVPN für verschlüsselte Tunnel, oder GRE für unverschlüsselte Tunnel mit niedriger Prozessorlast (ohne Anspruch auf Vollständigkeit). Mit einigen Verfahren ist keine IPv6 Adresse erforderlich, wenn eine Tunnelverbindung von innen nach außen aufgebaut und über Keepalive-Pakete aufrecht erhalten wird. Die sichere Umsetzung mit einem eigenen Server erfordert in jedem Fall fortgeschrittene Fachkenntnisse. Daher möchte ich die verschiedenen Möglichkeiten nicht ausführlicher beschreiben. Wer eine solche Lösung in Betracht zieht, wird die nötigen Informationen selbst finden.

Experimentelles und Zukunftsmusik: LISP (Locator/Identifier Separation Protocol) wurde entwickelt, um das Anwachsen der Routingtabellen durch portable Adressen zu bremsen. Es kann aber auch verwendet werden, um IPv4 an IPv6-Anschlüssen und umgekehrt verfügbar zu machen. Das Protokoll ist noch im Betastadium und deshalb nicht für den regulären Einsatz zu empfehlen. Experimentierfreudige Nutzer können kostenlos Zugang zum LISP Beta Network erhalten. Ein weiteres Protokoll, das Port Control Protocol, soll es Programmen hinter CGNAT ermöglichen, Portweiterleitungen auf den NAT-Geräten beim Provider zu konfigurieren. Auch dieses Verfahren ist noch relativ neu. Bislang ist kein Provider bekannt, der in seinem Netz das Port Control Protocol unterstützt. Die entsprechende Funktion in einigen Fritzbox-Modellen ist deshalb z.Z. noch nicht wirksam.

Vorteile durch CGNAT

Obwohl CGNAT in einigen Fällen problematisch ist, haben die meisten Nutzer sogar Vorteile, wenn ihnen keine eigene, möglicherweise selten wechselnde IPv4-Adresse zugewiesen ist. Bei der Kommunikation mit Servern, insbesondere Webservern, erfährt der Betreiber, von welcher IP-Adresse die Anfrage kommt. Eine selten wechselnde IP-Adresse, die nur einem einzelnen Anschluss zugeordnet ist, ermöglicht es Serverbetreibern, Besucher wiederzuerkennen. Andere Möglichkeiten, Benutzern auch über mehrere Seiten im Web zu folgen, existieren zwar, sind aber mehr oder weniger vermeidbar. Bei CGNAT bekommt der Serverbetreiber nur eine IP-Adresse zu sehen, die der Benutzer mit vielen anderen Nutzern teilt. Eine Nachverfolgung des Nutzers ist auf diese Weise nicht möglich.

Da Systeme hinter CGNAT im Normalfall nicht von außen erreichbar sind, besteht auch ein gewisser Schutz vor ungewollten Zugriffen von außen. Dieser Schutz ist zwar nicht mit der Funktion einer Firewall vergleichbar, da es sehr wohl Konstellationen gibt, in denen CGNAT diese Wirkung nicht hat, aber die Angriffsfläche ist trotzdem reduziert. Es ist z.B. nicht praktikabel, einen Anschluss hinter CGNAT durch eine Datenflut gezielt von außen zu überlasten (DDoS, Distributed Denial of Service). Wenn einer der oben genannten Dienste genutzt wird, um lokal eine IPv4-Adresse bereitzustellen, ist auf diese Weise ein effektiver Schutz vor DDoS-Angriffen gegen den eigentlichen Anschluss möglich, obwohl gleichzeitig Erreichbarkeit von außen besteht. Eine lokale Firewall leistet das nicht, da sie unerwünschte Datenpakete erst hinter der dann schon überlasteten Anschlussleitung ausfiltern kann.

Quellen und weiterführende Informationen