Server im Heimnetz über FRITZ!Box mit DS-Lite aus dem Internet erreichen

Wer zuhause einen Server betreibt möchte wahrscheinlich auch von unterwegs auf diesen zugreifen. Seit IPv6 und Dual Stack Lite (DS-Lite) ist dies nicht mehr so einfach möglich wie früher unter IPv4, da beispielsweise das Mobilfunknetz noch immer mit IPv4-Adressen ausgestattet ist und eine Kommunikation zwischen IPv4 und IPv6 nicht möglich ist. Mit etwas Aufwand lässt sich ein solches Setup dennoch realisieren.

Hinweis:
Getestet wurde dieser Artikel mit der FRITZ!Box 6490 und FRITZ!OS 06.50.
Dieser Artikel setzt einen fertig konfigurierten Server voraus, der im LAN bereits über IPv6 ansprechbar ist.

Technischer Hintergrund

Zu IPv4-Zeiten hätte man für einen Server, der im Internet erreichbar sein soll, einfach eine Portweiterleitung im Router eingerichtet. Der Server wäre dann über die öffentliche IPv4-Adresse des Router mit Angabe des Ports erreichbar. Mit IPv6 hat sich einiges geändert. Beispielsweise gibt es keine Portweiterleitungen mehr, da die Geräte über eine öffentliche IPv6-Adresse (Global Unicast) verfügen und somit (theoretisch) direkt im Internet ansprechbar sind. Theoretisch muss man also nur eine Portfreigabe in der Firewall des Routers konfigurieren. In der Theorie ist der Server dann direkt im Internet erreichbar. In der Praxis gibt es allerdings das Problem, dass eine Kommunikation nur zwischen IPv4 und IPv4 bzw. IPv6 und IPv6 möglich ist. Da viele Server, Firmen und Handys im Mobilfunknetz allerdings immer noch nur mit IPv4-Adressen arbeiten, wäre eine Kommunikation kaum möglich. Daher wurde die Technik Dual Stack bzw. Dual Stack Lite eingeführt. Hat man einen Dual Stack Anschluss, verfügt man über eine IPv4- und eine IPv6-Adresse. Bei einem Dual Stack Lite Anschluss hingegen hat man nur eine IPv6-Adresse. Anfragen zu IPv4-Servern werden dann getunnelt. Allerdings funktioniert dieses Tunnelverfahren nur in die eine Richtung. Wenn man jetzt also auf einen IPv6-Server hinter einem Dual Stack Lite Anschluss zugreifen möchte, muss man auf einen Portmapper ausweichen, um die IPv4-Pakete in IPv6-Pakete zu verpacken.

Woher weiß ich, ob ich Dual Stack Lite verwende?

Wenn man sich nicht sicher ist, ob man Dual Stack Lite verwendet, kann man dies in der Übersicht der FRITZ!Box sehen:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-01

Was ist ein Portmapper?

Da wir immer auf unseren Heimserver zugreifen möchten, benötigen wir, wie oben beschrieben einen Portmapper. Dies ist nötig, da unser Heimserver bei einem Dual Stack Lite Anschluss nur über IPv6 erreichbar ist und wir unterwegs oft nur eine IPv4-Adresse nutzen können. Der Portmapper ist ein Server, der sich in die Kommunikation zwischen Client (IPv4) und Heimserver (IPv6) schaltet. Er übersetzt quasi, wenn man so will.

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-02

Öffentliche IPv6-Adresse des Servers herausfinden

Am wichtigsten für die Konfiguration ist natürlich die Adresse, unter die der Heimserver im Internet erreichbar ist. Konkret handelt es sich dabei um die öffentliche IPv6-Adresse (Global Unicast) des Heimservers. Um die öffentliche IPv6-Adresse des Heimservers zu ermitteln, kann vom Heimserver aus die URL http://www.wieistmeineip.de/ aufgerufen werden, sofern der Heimserver eine GUI mit Browser hat. Sollte keine GUI mit Browser zur Verfügung stehen, kann eine Eingabeaufforderung verwendet werden.
Eingabeaufforderung unter Windows:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-03

Es werden die Einträge "IPv6-Adresse" und "Temporäre IPv6-Adresse" angezeigt. Beides sind globalse routbare IPv6-Adressen und funktionieren daher für unser Vorhaben. Die temporäre IPv6-Adresse (Privacy Extension) wechselt jedoch nach einer Zeit. Ihr Interface Identifier wird zufällig erzeugt. Dies soll Datenschutz und Privatsphäre stärken.
Eingabeaufforderung unter Linux:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-04

Hinweis:
Die IPv6-Adresse, die mit fe80 beginnt, kann nicht verwendet werden, da diese nur lokal routbar ist (Site Local Unicast).

Routerkonfiguration

Im Router muss schließlich eine Portfreigabe für den Heimserver erstellt werden. Das geht unter Internet -> Freigaben -> IPv6:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-05

Dort ist schließlich auf "Neues Gerät" zu klicken und entsprechend auszufüllen (bezüglich Interface-ID siehe Hinweis weiter unten). Ich richte in diesem Test eine Freigabe für einen Webserver ein, daher Port 80:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-06

Jetzt ist der Heimserver bereits (von IPv6 Clients) im Internet erreichbar.

Hinweis:
Die FRITZ!Box verlangt die Interface-ID des Heimservers. Die Interface-ID entspricht den letzten 64 Bit (also die letzten 4 Blöcke) der öffentlichen IPv6-Adresse des Heimservers.

Portmapper einrichten

Ein Portmapper kann beispielsweise über Anbieter wie Feste-IP.NET eingerichtet werden. Allerdings fallen dort geringe Gebühren an (pro Tag und Portmapper 1 Credit. 365 Credits kosten 4,95€ (Stand 27.10.2016)). Nachdem man dort einen Account erstellt hat (50 Credits gibt es kostenlos), kann man unter Mein Account -> Universelle Portmapper einen neuen Eintrag anlegen. Dort ist ein Alias zu wählen, über den der Heimserver später auch von IPv4-Clients erreichbar ist, die IPv6-Adresse des Heimservers und der entsprechende Port anzugeben:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-07

In der Portmapper-Übersicht sieht man schließlich alle angelegten Portmapper. Links die IPv6-Adresse des Heimservers und rechts die Adresse, über die der Heimserver auch von IPv4-Clients erreicht werden kann.

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-08

Hinweis:
Bei meinen Tests kam es gelegentlich vor, dass die FRITZ!Box eine Freigabe nicht sofort übernommen hat. Es kann in solchen Fällen helfen, erneut auf "Übernehmen" zu klicken oder die Freigabe zu deaktivieren und erneut zu aktivieren.

Hinweis:
Wer in seinem Heimnetz einen Server betreibt, der auch im Internet erreichbar ist, sollte sich einmal über DMZs schlau machen, um die Sicherheit zu erhöhen.

Über Rafael Nockmann

Seit mehreren Jahren begeistere ich mich privat und beruflich für die IT. Das habe ich dann auch zum Anlass genommen, diesen Blog ins Leben zu rufen, um dort praxisnahe Tutorials über verschiedene IT-Themen zu schreiben und meine selbst geschriebene Software zu veröffentlichen.

Beitrag kommentieren

Bitte verfasse einen Kommentar.

Dein Kommentar wird vor der Freischaltung von einem Admin moderiert.




  • Manuel

    08.01.2018, 17:57 Uhr

    Guten Tag,

    ist kein richtiger Kommentar, eher ein Hilferuf :-)..Vielleicht hört ihn ja jemand.

    Ich bin auf den Beitrag gestoßen, weil ich PLEX mit Fernzugriff aus dem localNetwork verfügbar machen will….PLEX läuft auf einem MacMini (Aktuelles OS). Nun habe ich das ganze mal mit Feste-IP.net in Verbindung mit MyFritz-Freigabe gemacht…Na ja geht so halb, da ich immer noch Firewallsperre von Feste-IP.net bekomme..geht über PLEX nur ein indirekter Zugriff, falls jemand PLEX kennt, der weiß was ich meinte.

    Will hier auch nicht weiter ins Detail gehen. 🙂

    Fakt ist ich habe dann herausgefunden, dass es an der MyFritz-Freigabe liegt, die ja automatisch eine IPv6 Freigabe erzeugt. Da ich hier in dem Beitrag gesehen habe, dass eine 6490 FritzBox verwendet wird, welche ich auch habe, dachte ich, mir kann vielleicht jemand helfen.

    Nun endlich meine Frage….

    Die IPv6 Freigabe wird ja auf ein Gerät gemünzt, und die Interface ID direkt gezogen. Wenn ich diese nun ändere, dann ändert sich nach einer Weile auch die Interface-ID wieder zurück. Wie bekomme ich es hin, dass dies so geht, wie in dem Beitrag? Sie haben ja ein eigenes Gerät hinterlegt, sehe ich das richtig? Vielleicht kann mir jemand helfen…