Remote Access auf den Heim-PC

Fernzugriff: Probleme mit IPv6 und DS-Lite lösen

Durch IPv6 und DS-Lite ist ein Fernzugriff aufs Heimnetz nicht mehr so problemlos wie früher - mit ein paar Tricks geht es dennoch.

VPN - IT-Sicherheit (Symbolbild)

© iconimage - fotolia.com

Mit einer Remote-Access-Verbindung (RAS) lässt sich von überall in der Welt auf den eigenen PC und das Heimnetzwerk zugreifen.

Wie behilft man sich, wenn man von unterwegs auf seine Bilder, Dokumente oder andere wichtige Dateien zugreifen möchte? Die Lösung heißt Fernzugriff oder neudeutsch Remote Access (RAS). Über RAS sind Daten im Heimnetz von einem beliebigen Client an einem beliebigen Online-Zugang erreichbar, also beispielsweise vom Desktop in der Arbeit,vom Notebook am WLAN-Hotspot oder auch direkt am Smartphone über die Mobilfunkverbindung.

In den vergangenen Jahren hat jedoch eine eigentlich positive Entwicklung im Internet entscheidend auf die verschiedenen Möglichkeiten des Fernzugangs Einfluss genommen - hier allerdings im negativen Sinne. Oder anders ausgedrückt: Bestimmte Methoden des Fernzugriffs, die früher noch problemlos möglich waren, funktionieren heutzutage an vielen Internetanschlüssen nicht mehr. Denn im Internet vollzieht sich gerade ein groß angelegter Wechsel der Adressierungssysteme: von IPv4 zu IPv6. Diese Umstellung geschieht langsam und bringt in der Umstellungsphase Nachteile mit sich.

Der aktuell größte Nachteil liegt darin, dass einige Anwender mit einem modernen IPv6-Anschluss nicht mehr von außen auf ihre Heimnetze zugreifen können - oder zumindest nicht mehr so einfach wie früher. Dabei gibt es aktuell durchaus Unterschiede, was die einzelnen Internet-Anschlüsse und die dabei unterstützten Internet-Protokolle anbelangt. Und das hängt nicht nur vom eigenen Provider oder Netzbetreiber ab, sondern liegt eventuell auch am gewählten Tarif oder an der am Anschlusspunkt verbauten Technik.

Grundsätzlich sind natürlich alle Provider und Netzbetreiber daran interessiert, das IPv6-Protokoll möglichst schnell unter die Leute beziehungsweise an die Anschlüsse zu bringen. Am behutsamsten geht dabei die Deutsche Telekom AG vor. Der Marktführer stattet seine modernisierten Anschlüsse mit je einer öffentlichen IPv6- und IPv4-Adresse aus. Ein solcher zweigleisiger Anschluss wird auch als Dual Stack bezeichnet. Das Heimnetz (Router) eines Dual-Stack-Kunden ist somit von außen über das IPv4- und das IPv6-Protokoll erreichbar.

Die harte Umstellung auf DS-Lite kappt den Fernzugriff 

Probleme gibt es hingegen für Kunden der meisten anderen deutschlandweiten oder regionalen Netzbetreiber. Hier erhält man mit einem Neuvertrag oder nach der Modernisierung des Online-Zugangs einen sogenannten DS-Lite-Anschluss. DS-Lite bedeutet, dass der Provider keine öffentliche IPv4-Adresse mehr bereitstellt. Der Heimnetz-Router ist dann nur noch über seine IPv6-Adresse erreichbar.

Lesetipp: Heimnetz im Fernzugriff – Fritzbox und NAS

Damit Geräte aus dem Heimnetz weiterhin IPv4-Adressen im Internet erreichen können, stellt der Provider einen sogenannten DS-Lite-Tunnel bereit. Dieser sorgt dafür, dass IPv4-Pakete durch das IPv6-Netz des Providers getunnelt werden und am anderen Ende in das IPv4-Netz gelangen können. Anders herum funktioniert dieser Weg leider nicht. Wer versucht, aus einem IPv4-Netz auf seinen Router oder ein Gerät hinter dem Router im Heimnetz zuzugreifen, wird scheitern.

VPN mag (noch) nicht mit IPv6 

Ein weiteres Problem ist der Fernzugriff über VPN: Selbst wenn Sie aus einem IPv6-Netz auf Ihren DS-Lite-Router und den dort aktivierten VPN-Server zugreifen, wird der verschlüsselte Zugang nicht funktionieren. Viele VPN-Lösungen sind nach wie vor nicht IPv6-fähig, oder auf dem Router läuft eine ältere Version. Aus diesem Grund sind Geschäftskundenanschlüsse, die einen VPN-Zugang nutzen, immer mit mindestens einer öffentlichen IPv4-Adresse ausgestattet. Auch der Hersteller AVM, von dessen Fritzboxmodems einige Modelle über einen integrierten VPN-Server verfügen, weist in seinen Online-FAQs explizit auf dieses Problem hin.

IPv4-Adresse für VPN beschaffen 

Wer also per VPN aus der Ferne auf sein Heimnetz zugreifen möchte, wird mit einem DS-Lite-Zugang nicht glücklich werden. Zu viele Stolpersteine verhindern aktuell noch eine zuverlässig funktionierende VPN-Verbindung - sofern sie sich überhaupt einrichten lässt. Das ist ärgerlich, da der Zugriff via VPN-Tunnel auf das Heimnetz sehr sicher und besonders komfortabel ist. Ist der VPN-Server im Router integriert, erhält man Zugriff auf das gesamte Netzwerk inklusive aller darin installierten Netzwerkgeräte. Kommen somit also nur Telekom-Kunden mit Dual-Stack-Anschluss in den Genuss eines VPN-Zugangs?

Nicht ganz: Wie schon erwähnt, bieten einige Provider im Rahmen ihrer Geschäftskundentarife ebenfalls oft Dual-Stack-Anschlüsse an. Allerdings sind Geschäftskundenanschlüsse immer etwas teurer als die privaten. Und wer einen solchen Anschluss nur privat nutzt, zahlt dennoch für Dienste und Funktionen mit, auch wenn er sie gar nicht benötigt. Manche Provider, wie zum Beispiel M-Net, bieten eine öffentliche IPv4-Adresse als zusätzliche Option zu ihren privaten DS-Lite-Anschlüssen an. Allerdings fallen auch hier monatliche Zusatzkosten von rund fünf Euro an. Wie man es auch dreht: Nur der, der aktuell eine öffentliche IPv4-Adresse besitzt, dem stehen alle Fernzugriffsmöglichkeiten offen.

So klappt der Fernzugriff mit IPv4-Adresse über Portweiterleitung

Wenn Sie beispielsweise auf Ihre IP-Kamera aus der Ferne zugreifen möchten, müssen Sie dabei nur folgende Punkte beachten:

  1. Sie benötigen die aktuelle öffentliche IPv4-Adresse Ihres Heimnetz-Routers, sodass Sie jederzeit von einem beliebigen Internetzugang auf diesen Router zugreifen können. Dies regelt ein DynDNS-Dienst (siehe Tabelle unten), bei dem Sie sich registrieren und anschließend im Router-Menü anmelden. Der Dienst sorgt dafür, dass Ihr Router immer unter derselben URL erreichbar ist. Die Fritzbox besitzt einen eigenen DynDNS-Dienst namens MyFritz. Sie finden den Dienst im Router-Menü unter Internet/MyFritz!. Die Registrierung nehmen Sie direkt aus dem Routermenü vor.Der MyFritz-Dienst unterstützt übrigens auch IPv6.
  2. Damit der Router eine Anfrage von außen korrekt an das gewünschte Gerät im Heimnetz (hier: die IP-Kamera) weiterleiten kann, muss in dem Router eine Portweiterleitung eingerichtet sein. In der Fritzbox nehmen Sie diese Einstellung im Menü Internet/Freigaben/Portfreigaben vor. Dazu hängen Sie eine entsprechende Portnummer an die DynDNS-URL des Routers an. Anhand dieser Portnummer weiß der Router, an welches Gerät im Heimnetz er die Anfrage weiterleiten soll.
  3. Aus Sicherheitsgründen sollte der Web-Zugriff auf die Kamera per SSL-Verschlüsselung erfolgen.Diese Möglichkeit ist jedoch herstellerabhängig. Bei der Fritzbox schalten Sie den Fernzugriff über HTTPS im Routermenü unter Internet/Freigaben/Fritz!Box-Dienste ein. Hier lässt sich bei Bedarf auch der TCP-Port für HTTPS ändern, um Portscans auszuweichen. Auf dieselbe Weise lässt sich über diese Methode der Portweiterleitung ein beliebiges Heimnetzgerät über die IPv4-Adresse aus der Ferne ansteuern.
Immerhin: Der regionale Netzbetreiber Mnet bietet auch in seinen Privatkundentarifen mit DS-Lite ein Upgrade auf eine zusätzliche IPv4-Adresse – und verlangt dafür 5 Euro zusätzlich im Monat.

© Seeman Michael/Screenshot

Immerhin: Der regionale Netzbetreiber Mnet bietet auch in seinen Privatkundentarifen mit DS-Lite ein Upgrade auf eine zusätzliche IPv4-Adresse – und verlangt dafür 5 Euro zusätzlich im Monat.

So klappt der Fernzugriff mit IPv4-Adresse und VPN-Server

 Neben dem klassischen Zugang via Portweiterleitung klappt auch der Remote Access über VPN problemlos, wenn der Online-Zugang über eine öffentliche IPv4-Adresse läuft. Für die Einrichtung des Zugangs sind folgende Schritte erforderlich:

  1. Wie schon unter Punkt bei der Portweiterleitung beschrieben, benötigen Sie auch für VPN eine DynDNS-Adresse, mit der Sie Ihren Router immer unter einer URL aus dem Internet erreichen können.
  2. Außerdem benötigen Sie einen Router mit VPN-Server. Diesen VPN-Server müssen Sie aktivieren und entsprechend konfigurieren, damit ein VPN-Client von außen auf den Server zugreifen kann. In der Fritzbox finden Sie die Einstellungen zum VPN-Server unter Internet/Freigaben/VPN. Dort starten Sie einen Assistenten, indem Sie auf VPN-Verbindung hinzufügen klicken. Der Assistent führt Sie durch die Einrichtung des VPN-Servers auf dem Router.
  3. Schließlich richten Sie noch den entsprechenden VPN-Client ein, damit dieser aus der Ferne auf den VPN-Server im Router zugreifen kann. Mit etwas Glück bietet der Router-Hersteller noch eine Anleitung, einen VPN-Software-Client und eventuell auch eine App, welche die Konfiguration erleichtern. Eine ausführliche Anleitung für den VPN-Zugang von einem Windows-Rechner auf die Fritzbox gibt es bei AVM.

Achtung: Das VPN-Tool FritzFernzugang funktioniert noch nicht mit Windows 10. Eine entsprechende Alternative beschreibt AVM auf seinem Service-Portal.

Warum der klassische Fernzugang über IPv6 meist nicht funktioniert

Anwender mit einem DS-Lite-Anschluss, deren Router aktuell nur über eine öffentliche IPv6-Adresse erreichbar ist, können die zuvor beschriebenen Zugriffsmöglichkeiten (noch) nicht verwenden. Grundsätzlich wäre der Zugriff von einem IPv6-Zugang auf den IPv6-Router im Heimnetzund das daran angeschlossene Heimnetzgerät möglich. Dazu benötigen Sie zunächst einen DynDNS-Dienst, der IPv6-Adressen weitergeben kann. Mittlerweile gibt es solche DynDNS-Dienste.

Bei einem DS-Lite-Router ist IPv6 bereits aktiviert, da er sonst keine Online-Verbindung aufbauen könnte. Die Einstellungen zu IPv6 finden Sie in der Fritzbox etwas versteckt unter Heimnetz/Netzwerk/Netzwerkeinstellungen hinter der Schaltfläche IPv6-Adressen. Und natürlich muss neben dem Router auch das Zielgerät IPv6 verstehen. Viele NAS-Geräte unterstützen inzwischen IPv6.

Sie können das Protokoll in den Netzwerkeinstellungen des NAS-Webmenüs aktivieren. Nun muss nur noch die Firewall im Router für IPv6-Anfragen von außen entsprechend geöffnet werden. Hier richten Sie nun eine entsprechende IPv6-Freigabe im Router ein. In der Fritzbox finden Sie diese Einstellungsmöglichkeit unter Internet/Freigaben/IPv6. Wenn Sie alles richig gemacht haben, können Sie von einem IPv6-fähigen Online-Zugang auf Ihren DS-Lite-Router und ein im Heimnetz befindliches IP6-Gerät zugreifen. Der große Stolperstein beim Remote Access über IPv6 betrifft jedoch den Fernzugriff vom Smartphone aus: Obwohl die Umstellung auf IPv6 scheinbar kurz bevorsteht, kommunizieren die Mobilfunknetze nach wie vor mit IPv4. Und damit funktioniert der Fernzugriff auf das IPv6-Heimnetz nicht. Die einzig sinnvolle Übergangslösung für DS-Lite-Anschlüsse liegt darin, den Zugriff auf das entsprechende Heimnetzgerät ins Internet oder in die Cloud zu verlagern.

Wie auch einige andere Hersteller von NAS-Geräten bietet Synology mit seinem Relais-Dienst Quickconnect eine Möglichkeit, das IPv4/IPv6-Fernzugriffsproblem zu umgehen.

© Seeman Michael/Screenshot

Wie auch einige andere Hersteller von NAS-Geräten bietet Synology mit seinem Relais-Dienst Quickconnect eine Möglichkeit, das IPv4/IPv6-Fernzugriffsproblem zu umgehen.

Zwischenstation für Fernzugriff: Cloud oder Relay-Server

Anstelle des direkten Zugriffs von außen, der durch inkompatible IP-Protokolle, veraltete Geräte und Software oder falsch eingestellte Firewalls nicht zustande kommt, baut die NAS oder eine IP-Cam vom Heimnetz aus eine Verbindung zu einem Server im Internet auf. Der aus der Ferne zugreifende Client meldet sich ebenfalls an dem Server an. Auf diese Weise können beide Geräte über eine Art Zwischenstation im Internet miteinander in Verbindung treten.

Mittlerweile bieten viele NAS-Hersteller einen solchen Dienst auf ihren Netzspeichern an. Die Registrierung erfolgt direkt aus der Weboberfläche der NAS. Hat die NAS eine Verbindung zum Server aufgebaut, kann jeder berechtigte Client nach der Anmeldung am Server auf die Inhalte der NAS zugreifen. Die Übertragungsgeschwindigkeit dieser Dienste, die auch als "Relay"-Verbindungen bezeichnet werden, ist nicht so hoch wie eine klassische Direktverbindung. Für den Fernzugriff auf Dokumente und Fotos sollte die Kapazität einer RelayVerbindung jedoch ausreichen.

Fazit und Ausblick 

Wer auf einen sicheren, komfortablen Fernzugang ins Heimnetz über VPN angewiesen ist, kommt um eine IPv4-Adresse (noch) nicht herum. Ein Problem liegt auch darin, dass sich eine IPv6-zu-IPv6-VPN-Verbindung erst dann sinnvoll nutzen lässt, wenn IPv6 überall verfügbar ist. Eine wichtige Rolle spielen hier sicherlich die Mobilfunknetze. Sind diese erst IPv6-fähig, dann werden sich die aktuellen Nachteile der DS-Lite-Anschlüsse bezüglich Fernanschlüssen sehr rasch in Vorteile verwandeln.

Mehr zum Thema

WLAN einrichten mit WPS
WLAN einrichten

Verbinden Sie WLAN-Router mit Smartphone, Smart TV, Drucker und anderen Geräten. Wie Sie mit WPS und Co. Ihr WLAN sicher einrichten.
AVM Fritz Powerline 540E
Powerline-Adapter mit Wlan

FritzPowerline 540E überbrückt die Verbindung zum Router nicht nur über die Steckdose, sondern alternativ auch per Kabel oder drahtlos.
DSL-Router, AVM Fritz!Box 7490
Fritzbox NAS einrichten

Wir zeigen, wie Sie ein Fritzbox NAS einrichten: Sie brauchen nur einen kompatiblen AVM-Router und eine USB-Festplatte oder einen -Stick.
Fritzbox 7490
UPnP aktivieren

Wir zeigen, wie Sie UPnP (Universal Plug and Play) auf der Fritzbox aktivieren und einen Media-Server einrichten können.
Fritzbox 6590 Cable und Fritzbox 6490 Cable
Fritzbox 6590 Cable und 5490

Router-Spezialist AVM hat auf der Fachmesse Anga Com in Köln zwei neue Fritzbox-Modelle vorgestellt: Die Fritzbox 6590 Cable für den Kabelanschluss…