Aus 4 mach 6… Die Zukunft ist schön – oder?

Hallo zusammen, heute gibt’s mal wieder was für die Nerds unter Euch. Die letzten zwei Abende waren wirklich – wie soll ich sagen – ermüdend. Und frustrierend.

Seit meiner Jugend war die Welt der Computer schön, neu und aufregend. Und seit der Mitte der Neunziger war ich eigentlich immer online. Erst per Modem, später per DSL und seit einigen Jahren per Kabel-Internet. Dabei war eine Konstante immer dabei: IPv4. Darauf fußte das gesamte Internet seit den 80er Jahren und darauf basieren immer noch fast alle Heimnetze und die zugehörigen Fritzboxen. Inklusive meines Servers, der diesen Blog hier ausliefert und im Regal hinter mir steht (ja, nicht mehr unter dem Schreibtisch. Der Standortwechsel ging einher mit einer Adressänderung – Siehe Impressum 😉 ).

Doch letztes Jahr ist passiert, was die nerdigen Nerds schon seit Jahren haben kommen sehen. Das hier. Aus, vorbei, zuende. Es gibt keine verfügbaren IPv4-Adressen mehr. Deren Anzahl war einfach systembedingt zu klein für das immer schneller wachsende Internet und die damit einhergehende Anzahl an Geräten mit Online-Anbindung. Zum Glück gibt es seit Ewigkeiten eine Alternative: IPv6. Das gibt es genau genommen seit 1998. Aber wie immer: Der Mensch lernt nur durch Schmerz. Und solange – aus der damaligen Perspektive – die v4-Adressen noch eine Eeeeeeeeewigkeit reichen würden, hat sich keiner einen Kopf um v6 gemacht. Wozu auch. Ja selbst heute (Dezember 2019) läuft erst die Hälfte der Zugriffe auf Google über v6 (aus dem IPv6 Link oben).

Und das galt im Grunde auch für mein Heimnetz. Theoretisch war irgendwo in den Einstellungen meines Betriebssystems IPv6 zwar aktiv, aber in den Tiefen der Konfigurationen zwischen Internet Provider und Fritzbox hat wahrscheinlich so einiges nicht gestimmt. Deshalb war ich selbst bis Ende letzter Woche immer mit IPv4 unterwegs. Seiten wie wieistmeineip.de haben mir immer eine v4-Adresse gezeigt und mir bestätigt, was ich schon wusste: v6 war nicht aktiv.

Nachtigall, ick hör dir trapsen!

Doch ich habe zumindest nach dem Segelurlaub letzten Herbst gemerkt, dass die Einschläge näher kommen. Kaum zurück in Deutschland konnte ich vom Handy aus (außerhalb meines WLAN) nicht mehr auf den Blog zugreifen. Scheinbar wurde in meinem Mobilfunknetz auf IPv6 umgestellt und das hat zusammen mit der fehlerhaften Konfiguration meiner Router dazu geführt, dass der Server aus diesem Teil der Digitalwelt nicht erreichbar war. Doch die Lösung war einfach und naheliegend: Auf meinem Router einfach IPv6 ausschalten. So konnte ich garantieren, dass der Zugriff auf den Blog immer und ausschließlich über den alten Standard IPv4 erfolgte. Und das ging, weil ich nicht die Fritzbox des Providers verwendet habe, sondern eine eigene – freie – Fritzbox. Diese zeigen häufig viel weitgehendere Einstellungsmöglichkeiten als die kastrierten Providerboxen. Cool. Alles in Butter. Schöne alte Welt.

Fast so schnell wie versprochen… 🙂

Aber jetzt bin ich in einer Situation, in der das so nicht mehr geht. Warum? Weil ich im Rahmen meines Umzugs auf den Gigabit-Tarif gewechselt bin. Schöne neue Welt. Für den braucht es eine DOCSIS 3.1 fähige Fritzbox. Die bisherige würde zwar im Grunde funktionieren, aber wegen DOCSIS 3.0 “nur” 500 MBit liefern. Und da Vodafone sich vorbehält, solche Anschlüsse nach einiger Zeit wieder auf 500 MBit zurück zu stufen, nutze ich also jetzt die frisch erhaltene DOCSIS 3.1-Vodafone-Fritzbox. Diese hat – als Provider-Box, deutlich reduzierte Möglichkeiten in der Konfiguration. INSBESONDERE kann ich dort IPv6 nicht abschalten. Ich mag mir aber auch nicht extra für über 200 Euro die gleiche Box im freien Markt kaufen. So weit will ich derzeit nicht gehen. Beschissene neue Welt.

Also ist mein Blog derzeit für Besucher, die ausschließlich über v6 kommen, nicht erreichbar. Und ich habe nicht die Möglichkeit, das mal eben so abzuschalten. Andererseits: Früher oder später MUSS ich da durch, warum also nicht gleich?

Gesagt -> Getan… Oder so

Nachdem IPv6 nun schonmal aktiv war, musste ich also zunächst mal schauen, wieso eigentlich “wieistmeineip.de” immernoch dachte, ich wäre ausschließlich über IPv4 online. Dazu muss ich kurz ausholen.

Mein Netz sieht im Grunde so aus:

Übersicht meines Netzwerks.

Der Grund für diesen Aufbau ist, dass der Webserver offen im Netz steht und für jeden Erreichbar ist. Für Euch, die Leser, aber auch für Hacker. Und ich wollte nicht riskieren, dass ein Hacker, der ggf. mal erfolgreich ist – alles eine Frage der Zeit – am Ende Zugriff auf mein gesamtes Netz hat. Deshalb gibt es etwas, dass man DMZ nennt. Eine Demilitarisierte Zone im Computernetzwerk.

So kommt man aus dem Internet durch die erste Fritzbox bis zum Webserver, die zweite Fritzbox lässt aber keinen durch. Von “Innen” habe ich jedoch Zugriff auf das Internet UND auf den Webserver, zum Beispiel wie jetzt, da ich diesen Artikel schreibe. Bezugnehmend auf das oben geschriebene: Die Fritzbox 1 im Bild ist die Providerbox. Sie stellt meinen Internet-Zugang her. Die Fritzbox 2 ist meine eigene.

Wenn ich also von meinem Arbeitsplatz aus einen IPv6-Test ausführe, dann sind da neben meinem Rechner noch ZWEI Fritzboxen UND mein Internetanbieter mit im Spiel. Ich habe mich durch die Boxen gehangelt, Einstellungen gewälzt, reboots und restarts durchgeführt und getestet. Am Ende konnte ich DIESES Problem lösen. Es war eine wirklich außerordentlich unintuitive Einstellung in der Fritzbox 2: “Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung”. Was sie in meiner Vorstellung ja nicht getan hat, sondern Box 1. Aber das Häkchen für diese Option muss gesetzt werden, damit Fritzbox 2 sich bei Fritzbox 1 die Informationen zum IPv6 Subnetz abholt und entsprechend übernimmt. Komme da mal einer drauf. Problem gelöst. Schöne neue Welt.

Zu früh gefreut

Während ich, noch im Freudentaumel angesichts der jetzt vorhandenen IPv6-Konnektivität bis zum Arbeits-PC, mitten in der Nacht in Richtung Kühlschrank eierte, um bei einem Stück Buttercreme-Torte zu feiern, kündigte sich das wahre Ausmaß der gestifteten Verwirrung durch eine unscheinbare Fehlermeldung an: Angeblich passte das Zertifikat meiner Webseite nicht zur ausliefernden Organisation. Was? Firefox verweigerte strikt das Aufrufen meines Blogs, ich konnte nicht mal eine Ausnahmeregel hinzufügen. No access, Du kummsch do ned noi! Der Internet Explorer nimmt das nicht ganz so genau. Der lies sich zur Verbindung mit der Website “soltauhome.dyndns.org” überreden und zeigte mir: Die Login-Maske meiner Fritzbox 1!!!

Was zum Henker?

Jetzt muss ich nochmal ein bisschen ausholen. Ich versuch’s einfach zu halten. Wenn das für euch nicht klappt, ihr es aber trotzdem wissen wollt, schreibt mir eine eMail oder.. Ruft! Mich! An!

Alte Welt: IPv4, NAT, Firewall…

In der schönen alten Welt des IPv4 sind – Faustregel – alle Adressen diesseits der Fritzbox (also INNERHALB meines privaten Netzes) auch sogenannte private Adressen. Außerhalb meines Netzwerkes kennt sie keiner und andere private Netze – die meiner Nachbarn zum Beispiel – können innerhalb ihres Netzwerkes die gleichen Adressen verwenden. Weil sie nur innerhalb des jeweiligen Netzwerkes gelten und sich die Netzwerke gegenseitig nicht kennen ist das kein Problem.

Was wirklich wichtig ist, sind die externen, öffentlichen Adressen. So eine bekommt meine Fritzbox von meinem Provider zugewiesen, wenn sie sich ins Netzwerk einwählt. Wann immer ich eine Website wie Google oder Amazon aufrufe, sieht diese Website nur die öffentliche Adresse meiner Fritzbox. Nicht die lokale Adresse meines Arbeitsplatzrechners in meinem Netzwerk.

Wie kommt ihr aber auf meinen Webserver, der ja auch nur hinter der Fritzbox in meinem privaten Netzwerk hängt? Dafür gibt es “Freigaben”. Jedes Protokoll im Internet verwendet einen eigenen “Port”. Das ist sowas wie ein Adresszusatz. Nehmen wir mal an, die IPv4-Adresse eines beliebigen Servers wäre 24.134.98.129. Dieser Server dient als Webserver, Fileserver, Datenbankserver und obendrein kann man sich auch noch aus der Ferne auf seine Befehlszeile einloggen um ihn zu verwalten. Wie soll er wissen, was ich von ihm will, wenn ich einfach nur seine Adresse aufrufe?

Deshalb:
Will ich seinen Webserver aufrufen: 24.134.98.129:80
Eine verschlüsselte Verbindung zum Webserver? 24.134.98.129:443
Log-in auf die Befehlszeile? 24.134.98.129:22
Fileserver? 24.134.98.129:445
und so weiter…

Dieses Konstrukt kann man sich bei den Freigaben zu Nutze machen. In der Fritzbox kann man definieren, dass sie – wenn sie mit einem Port 443 aufgerufen wird – nicht selbst eine Website ausliefern, sondern diese Anfrage an den Webserver weiterleiten soll, damit dieser den Blog ausliefert: Portweiterleitung. Genau das ist in meinem Setup definiert. Bisher.

Ich komme zwar fast vom Kuchen backen auf Arschbacken, aber das muss jetzt noch: Klassischerweise kann sich niemand die IP-Adressen der Rechner merken, mit denen er arbeitet oder deren Webseiten er aufruft. Oder kennt jemand die IPv4-Adresse von Google? Zur Info: Es ist 172.217.16.142

Deshalb gibt es den “Domain Name Service”. Ein Telefonbuch für IP Adressen. Man möchte mit www.google.com reden? Moment, schnell nachschauen -> 172.217.16.142. So kann der Anwender einen schönen Namen eingeben, den er sich merken kann, die Rechner kommunizieren aber basierend auf den Zahlen.

Blöd nur, wenn sich die Nummer regelmäßig ändert. Wer wöchentlich umzieht und die Telefonnummer nicht mitnehmen kann, der wird bald nicht mehr von seinen Freunden angerufen. Im Internet ist es so, dass sich die öffentlichen IP-Adressen der Privatanschlüsse in der Regel alle 24 Stunden ändern. Und jetzt?

Dafür gibt es DynDNS. Dynamisches DNS. Jedes mal, wenn meine Fritzbox eine neue Adresse vom Provider bekommt, meldet sich sich bei dyn.com und gibt dort bekannt: soltauhome.dyndns.org ist ab sofort unter dieser Nummer erreichbar: xyz.

Warum ich euch das erzähle?

Schöne neue Welt: IPv6

Weil es in der Welt von IPv6 – grob vereinfacht – so etwas wie lokale Adressen nicht gibt. Also schon, aber nicht für Server, die erreichbar sein sollen. Da gibt es nur globale/öffentliche Adressen und diese sind dann auch direkt erreichbar. Man muss also nicht mehr über die Adresse der Fritzbox und den Umweg über die Portweiterleitung gehen.

Die Fritzbox macht aber das, was sie schon immer getan hat: Sie meldet ihre aktuelle Adresse an dyn.com. Sowohl IPv4, als auch IPv6.

Ruft jemand meine Adresse über IPv4 auf, greift die Portweiterleitung und er landet auf dem Webserver. Ruft jemand meine Adresse über IPv6 auf, landet er aber auf der Fritzbox. Denn diese hat, wie bei IPv4, ihre eigene IPv6-Adresse an dyn.com gemeldet, NICHT die des Webservers. Bescheuert. Insbesondere da die meisten Leute gar nicht wissen, ob sie an ihrem Anschluss eigentlich IPv4 oder IPv6 nutzen…

Theoretisch müsste ich jetzt bei dyn.com manuell die tatsächliche IPv6-Adresse des Webservers von Hand eintragen. Aber was, wenn sich in 24 Stunden die Adresse der Fritzbox wieder ändert und sie selbst ein Update schickt? Dann steht doch wieder die falsche IPv6-Adresse drin! Ich dreh durch.

Glück gehabt

In all dem Schlamassel hab ich tatsächlich zumindest EINMAL Glück gehabt: Ich habe beim Tarifwechsel auf einen Business-Tarif umgestellt. Dort gibt es die Option, statische Adressen zu bekommen, die sich eben nicht mehr regelmäßig ändern. Somit konnte ich das Update der Fritzbox bei dyn.com abschalten. Dadurch bin ich weiterhin unter soltauhome.dyndns.org erreichbar, ohne dass die Fritzbox regelmäßig die falsche v6-Adresse aktualisieren würde. Trotzdem habe ich bei AVM ein Ticket eröffnet mit der Frage, wie sie sich das langfristig vorstellen. So wie es im Moment in ihren Routern mit den Freigaben für Rechner im Netz geregelt ist, macht es für IPv6 keinen Sinn!

Oder Pech gehabt

Denn währen ich grundsätzlich IPv6 aktiv hatte, mein Arbeitsplatz und das Netz der Fritzbox 2 sauber funktionierten, stellte ich fest, dass AUSGERECHNET der Webserver von der Fritzbox 1 keine IPv6 Adresse zugewiesen bekam. Kurz gesagt ist der Webserver so konfiguriert, dass er bei der Fritzbox eine IPv4 und eine IPv6 anfordert. Die v4 bekommt er quasi sofort (immer die gleiche), die Anforderung zur IPv6 steht auch nach Stunden auf:

ipv6 dhcp requesting

Dadurch hat der Rechner gar keine echte IPv6, die ich bei dyn.com manuell eintragen könnte. Ja leck mich doch!

Zu diesem Problem durchforste ich gerade diverse Fachforen und werde auch dazu morgen eine Frage an AVM stellen. Keine Ahnung, wo das gerade hängt.

Workaround

Was also machen? Ich habe jetzt manuell bei dyn.com die IPv6 Adresse komplett gelöscht, damit landet zumindest niemand auf der Fritzbox-Seite. Und in der Fritzbox 1 habe ich alle Freigaben zu IPv6 deaktiviert.

Somit ist mein Blog für alle erreichbar, egal ob sie über v4 oder v6 kommen (denn es wird einfach auf v4 umgeschaltet wo nötig). Die zwei Rest-Probleme werden mich aber sicher noch ein bisschen beschäftigen, auch wenn sie jetzt gerade nicht zeitkritisch sind.

Ich sag’ Bescheid, wenn es endlich so weit ist 😉

Ein müder Bloke…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.