Server im Heimnetz über FRITZ!Box mit DS-Lite aus dem Internet erreichen

Wer zuhause einen Server betreibt möchte wahrscheinlich auch von unterwegs auf diesen zugreifen. Seit IPv6 und Dual Stack Lite (DS-Lite) ist dies nicht mehr so einfach möglich wie früher unter IPv4, da beispielsweise das Mobilfunknetz noch immer mit IPv4-Adressen ausgestattet ist und eine Kommunikation zwischen IPv4 und IPv6 nicht möglich ist. Mit etwas Aufwand lässt sich ein solches Setup dennoch realisieren.

Hinweis:
Getestet wurde dieser Artikel mit der FRITZ!Box 6490 und FRITZ!OS 06.50.
Dieser Artikel setzt einen fertig konfigurierten Server voraus, der im LAN bereits über IPv6 ansprechbar ist.

Technischer Hintergrund

Zu IPv4-Zeiten hätte man für einen Server, der im Internet erreichbar sein soll, einfach eine Portweiterleitung im Router eingerichtet. Der Server wäre dann über die öffentliche IPv4-Adresse des Router mit Angabe des Ports erreichbar. Mit IPv6 hat sich einiges geändert. Beispielsweise gibt es keine Portweiterleitungen mehr, da die Geräte über eine öffentliche IPv6-Adresse (Global Unicast) verfügen und somit (theoretisch) direkt im Internet ansprechbar sind. Theoretisch muss man also nur eine Portfreigabe in der Firewall des Routers konfigurieren. In der Theorie ist der Server dann direkt im Internet erreichbar. In der Praxis gibt es allerdings das Problem, dass eine Kommunikation nur zwischen IPv4 und IPv4 bzw. IPv6 und IPv6 möglich ist. Da viele Server, Firmen und Handys im Mobilfunknetz allersings immer noch nur mit IPv4-Adressen arbeiten, wäre eine Kommunikation kaum möglich. Daher wurde die Technik Dual Stack bzw. Dual Stack Lite eingeführt. Hat man einen Dual Stack Anschluss, verfügt man über eine IPv4- und eine IPv6-Adresse. Bei einem Dual Stack Lite Anschluss hingegen hat man nur eine IPv6-Adresse. Anfragen zu IPv4-Servern werden dann getunnelt. Allerdings funktioniert dieses Tunnelverfahren nur in die eine Richtung. Wenn man jetzt also auf einen IPv6-Server hinter einem Dual Stack Lite Anschluss zugreifen möchte, muss man auf einen Portmapper ausweichen, um die IPv4-Pakete in IPv6-Pakete zu verpacken.

Woher weiß ich, ob ich Dual Stack Lite verwende?

Wenn man sich nicht sicher ist, ob man Dual Stack Lite verwendet, kann man dies in der Übersicht der FRITZ!Box sehen:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-01

Was ist ein Portmapper?

Da wir immer auf unseren Heimserver zugreifen möchten, benötigen wir, wie oben beschrieben einen Portmapper. Dies ist nötig, da unser Heimserver bei einem Dual Stack Lite Anschluss nur über IPv6 erreichbar ist und wir unterwegs oft nur eine IPv4-Adresse nutzen können. Der Portmapper ist ein Server, der sich in die Kommunikation zwischen Client (IPv4) und Heimserver (IPv6) schaltet. Er übersetzt quasi, wenn man so will.

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-02

Öffentliche IPv6-Adresse des Servers herausfinden

Am wichtigsten für die Konfiguration ist natürlich die Adresse, unter die der Heimserver im Internet erreichbar ist. Konkret handelt es sich dabei um die öffentliche IPv6-Adresse (Global Unicast) des Heimservers. Um die öffentliche IPv6-Adresse des Heimservers zu ermitteln, kann vom Heimserver aus die URL http://www.wieistmeineip.de/ aufgerufen werden, sofern der Heimserver eine GUI mit Browser hat. Sollte keine GUI mit Browser zur Verfügung stehen, kann eine Eingabeaufforderung verwendet werden.
Eingabeaufforderung unter Windows:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-03

Es werden die Einträge "IPv6-Adresse" und "Temporäre IPv6-Adresse" angezeigt. Beides sind globalse routbare IPv6-Adressen und funktionieren daher für unser Vorhaben. Die temporäre IPv6-Adresse (Privacy Extension) wechselt jedoch nach einer Zeit. Ihr Interface Identifier wird zufällig erzeugt. Dies soll Datenschutz und Privatsphäre stärken.
Eingabeaufforderung unter Linux:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-04

Hinweis:
Die IPv6-Adresse, die mit fe80 beginnt, kann nicht verwendet werden, da diese nur lokal routbar ist (Site Local Unicast).

Routerkonfiguration

Im Router muss schließlich eine Portfreigabe für den Heimserver erstellt werden. Das geht unter Internet -> Freigaben -> IPv6:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-05

Dort ist schließlich auf "Neues Gerät" zu klicken und entsprechend auszufüllen (bezüglich Interface-ID siehe Hinweis weiter unten). Ich richte in diesem Test eine Freigabe für einen Webserver ein, daher Port 80:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-06

Jetzt ist der Heimserver bereits (von IPv6 Clients) im Internet erreichbar.

Hinweis:
Die FRITZ!Box verlangt die Interface-ID des Heimservers. Die Interface-ID entspricht den letzten 64 Bit (also die letzten 4 Blöcke) der öffentlichen IPv6-Adresse des Heimservers.

Portmapper einrichten

Ein Portmapper kann beispielsweise über Anbieter wie Feste-IP.NET eingerichtet werden. Allerdings fallen dort geringe Gebühren an (pro Tag und Portmapper 1 Credit. 365 Credits kosten 4,95€ (Stand 27.10.2016)). Nachdem man dort einen Account erstellt hat (50 Credits gibt es kostenlos), kann man unter Mein Account -> Universelle Portmapper einen neuen Eintrag anlegen. Dort ist ein Alias zu wählen, über den der Heimserver später auch von IPv4-Clients erreichbar ist, die IPv6-Adresse des Heimservers und der entsprechende Port anzugeben:

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-07

In der Portmapper-Übersicht sieht man schließlich alle angelegten Portmapper. Links die IPv6-Adresse des Heimservers und rechts die Adresse, über die der Heimserver auch von IPv4-Clients erreicht werden kann.

server-im-heimnetz-ueber-fritzbox-mit-ds-lite-aus-dem-internet-erreichen-08

Hinweis:
Bei meinen Tests kam es gelegentlich vor, dass die FRITZ!Box eine Freigabe nicht sofort übernommen hat. Es kann in solchen Fällen helfen, erneut auf "Übernehmen" zu klicken oder die Freigabe zu deaktivieren und erneut zu aktivieren.

Hinweis:
Wer in seinem Heimnetz einen Server betreibt, der auch im Internet erreichbar ist, sollte sich einmal über DMZs schlau machen, um die Sicherheit zu erhöhen.

Beitrag kommentieren

Bitte verfasse einen Kommentar.

Dein Kommentar wird vor der Freischaltung von einem Admin moderiert.