Zugriff zum Heimnetz mit DS-Lite ohne IPv4-Adresse

Ein eigener Homeserver oder NAS ist mittlerweile weit verbreitet. Besonders hilfreich sind diese Geräte vor allem dann, wenn man sie nicht nur im eigenen Netzwerk nutzen kann, sondern wenn man auch aus dem Internet Zugriff auf seine Daten hat. Nur wenn das NAS auch von außer Haus erreichbar ist, kann man beispielsweise seine Fotos, Kontakte und Kalender mit dem Smartphone synchronisieren.

Was ist DS-Lite und was ist das Problem?

An einem klassischen DSL-Anschluss verwendet man für den Zugriff auf das NAS eine DynDNS-Adresse und erstellt Portfreigaben im Router, wie im Beitrag [NextcloudPi Teil 2: Die Cloud aus dem Internet erreichbar machen] beschrieben. Damit der Zugriff von unterwegs zuverlässig funktioniert, muss der Internetanschluss über eine eigene, öffentliche, IPv4 Adresse verfügen.

Allerdings sind IPv4 Adressen mittlerweile sehr knapp, daher sind die Internetanbieter mit öffentlichen IPv4-Adressen sehr knausrig. Bei den meisten DSL-Anschlüssen bekommt man noch eine eigene, öffentliche IPv4 Adresse. Allerdings auch nicht immer.

Bei Internetanschlüssen über das Fernsehkabel ist es sogar die Ausnahme, eine eigene IPv4-Adresse zu bekommen. Fast immer wird hier die sogenannte DS-Lite Technik eingesetzt. DS-Lite steht für Dual Stack Lite und darf nicht mit DSL (Digital Subscriber Line) verwechselt werden. Beide Abkürzungen klingen zwar ähnlich, haben aber nichts miteinander zu tun.

Ein DS-Lite Internetanschluss verfügt lediglich über Internetzugang via IPv6. Damit man mit einem solchen Internetanschluss trotzdem auf Webseiten zugreifen kann, die nur via IPv4 erreichbar sind, nutzen die Internetanbieter einen Trick. Sie schalten bei Aufrufen zu IPv4 Adressen einen eigenen Server zwischen. Ein sogenanntes Carrier-Grade-NAT. Dieser Server verfügt zwar über eine öffentliche IPv4-Adresse, diese teilen sich aber viele DS-Lite Internetanschlüsse. Somit können auch mit einem DS-Lite Anschluss ohne eigene IPv4 Adresse Internetseiten aufgerufen werden, die nur über IPv4 erreichbar sind. Der umgekehrte Weg funktioniert aber nicht. Wenn man mit einer IPv4 Adresse aus dem Internet auf das NAS im Heimnetz zugreifen möchte, scheitert der Zugang am NAT-Server des Internetanbieters.

Wenn alle beteiligten Geräte und Netzwerke IPv6 unterstützen, dann ist ein Zugriff auf das heimische NAS problemlos möglich. Allerdings ist die sehr häufig nicht der Fall. Gerade in Mobilfunknetzen bekommen die Geräte ausschließlich eine IPv4 Adresse zugeteilt. Auch viele öffentliche WLANs und Internetzugänge in Hotels unterstützen bis heute kein IPv6. Wenn man mit seinem Laptop oder Smartphone in einem solchen Netzwerk befindet, dann scheitert der Zugriff auf das NAS.

Probleme beim Zugriff auf das Heimnetz am Kabelanschluss ohne öffentliche IPv4 Adresse

Gerade Kabelanschlüsse verwenden oft DS-Lite und besitzen keine öffentliche IP-Adresse. Möchte man in diesem Fall über das Internet auf das NAS zu Hause zugreifen, hat man mit folgenden Problemen zu kämpfen.

• Der Internetzugang hat keine öffentliche IPv4 Adresse. Somit ist von außen keine Verbindung zum Heimnetz via IPv4 möglich.
• Gerade im Mobilfunknetz bekommt man häufig nur eine IPv4 Adresse. In der Praxis bedeutet das, dass man mit dem Smartphone höchstwahrscheinlich nicht auf das Heimnetz zugreifen kann.
• Der Internetzugang hat nur eine öffentliche IPv6 Adresse. Ein Zugang ist somit nur über IPv6 möglich.
• Jedes Gerät im Heimnetz hat seine eigene öffentliche IPv6 Adresse (nicht nur eine einzige für den Router, wie bei IPv4).
• Klassisches DynDNS im Router und Portfreigaben funktionieren daher nicht, da man über die DynDNS-Adresse nur auf den Router zugreifen könnte, da dessen Adresse im DynDNS-System hinterlegt ist. Diese Situation kann man u.a. dadurch lösen, dass man auf dem Raspberry Pi NAS einen DynDNS-Client laufen lässt und nicht die Funktion im Router nutzt.

NextcloudPi hat einen solchen Dienst bereits integriert. Ansonsten kann man auf dem Raspberry Pi eine Software wie ddclient verwenden, um bei der DynDNS-Adresse die IPv6 Adresse zu aktualisieren. Wer dies umsetzen möchte, findet hierzu eine hilfreiche Beispielkonfiguration im Wiki von Ubuntuusers, die auf dem Raspberry Pi Betriebssystem Raspbian ebenfalls funktioniert. https://wiki.ubuntuusers.de/DDNS-Clients/
Fertige NAS-Systeme haben in der Regel ebenfalls einen DynDSN-Client integriert.

Fernzugriff auf das NAS im Heimnetzwerk trotz DS-Lite einrichten

Relativ elegant lassen sich die oben genannten Herausforderungen lösen, wenn man über einen Relay-Server auf das Heimnetz zugreift. Damit kann man einen DS-Lite Tunnel errichten. Das bedeutet, dass man von unterwegs nicht direkt auf das Heimnetz zugreift, sondern einen Umweg über einen Server im Internet nimmt. Dieser Server ist sowohl via IPv4, als auch via IPv6 erreichbar. 

Der Relay-Server baut wiederum eine Verbindung via IPv6 zum NAS im Heimnetz auf. Er dient gewissermaßen als eine Art Übersetzer.

Der Vorteil dieser Lösung ist, dass damit wieder aus allen Netzen außerhalb des Zuhauses auf das Heimnetz möglich wird. Egal ob die Endgeräte über eine IPv4 oder eine IPv6 Adresse verfügen.

Allerdings hat die Lösung auch Nachteile. So wird der gesamte Verkehr zwischen den Geräten außerhalb des Heimnetzes, und dem NAS im Heimnetz, über den Relay-Server, also durch den DS-Lite Tunnel umgeleitet. Dies kann die Paketlaufzeit und die Geschwindigkeit negativ beeinflussen. Wenn der Traffic unverschlüsselt ist (also nicht über https:// ), dann hat der Anbieter des Relay-Servers die Möglichkeit diesen mitzulesen. Da für den Anbieter des Relay-Servers ggf. große Datenmengen entstehen, ist ein solcher Dienst häufig kostenpflichtig.

Der NAS-Anbieter Synology bietet einen eigenen Relay-Service für seine Geräte kostenlos an. Diesen Dienst nennt Synology Quickconnect. Wer kein Synology-NAS nutzt, sondern beispielsweise einen Raspberry Pi als NAS einsetzt, der muss seinen Relay-Dienst selbst konfigurieren.

Die Konfiguration unterscheidet sich sehr stark, je nachdem welchen Dienst und welchen Router man verwendet. Es fällt daher schwer eine allgemein gültige Anleitung zu schreiben. Als Beispiel wird die Einrichtung mit einer Fritzbox, dem MyFritz-Dienst als DynDNS-Service und Fest-IP.Net als Betreiber des Relay-Servers beschrieben.

Dieses Setup ist relativ einfach und kostengünstig einzurichten. Außerdem ist die Fritzbox weit verbreitet.

MyFritz!-Konto einrichten

Als erstes wird ein kostenloses MyFritz-Konto eingerichtet und mit der Fritzbox verbunden. Leider ändern sich auch die IPv6-Adressen die man vom Internetanbieter erhält, so dass man nach wie vor einen DynDNS-Anbieter benötigt. MyFritz! hat den Vorteil, dass der Dienst automatisch eine Subdomain für alle Computer im Heimnetz anlegen, für die Freigaben ins Internet eingerichtet wurden. Damit wird kein eigener DynDNS-Client auf dem Raspberry Pi oder NAS benötigt, was das Setup zusätzlich komplexer machen würde.

• Zuerst loggt man sich in der Benutzeroberfläche der Fritzbox ein
• Hier klickt man auf “Internet”.
• Im Menü „Internet“ klickt man auf „MyFRITZ!-Konto“.
• In das Eingabefeld “Ihre E-Mail-Adresse” muss man eine gültige Emailadresse eintragen.
• Mit einem Klick auf “Weiter” sendet MyFRITZ! eine E-Mail mit dem Bestätigungslink an die eingegebene Adresse.
• In der E-Mail klickt man auf die Schaltfläche „Ihre FRITZ!Box registrieren“. Damit wird man die MyFRITZ!-Internetseite weitergeleitet. Dort klickt man auf den Link „MyFRITZ!-Konto einrichten“.
• Hier trägt man in die Eingabefeldern „Kennwort“ und „Kennwort bestätigen“ ein eigenes Passwort ein. Dieses wird benötigt um sich künftig auf myfritz.net anzumelden.
• Mit einem Klick auf „Vorgang abschließen“ ist die Anmeldung bei MyFritz abgeschlossen.

Internetzugriff zum NAS über MyFRITZ! einrichten

Nun wird der Zugriff zum Raspberry Pi von außerhalb eingerichtet. Auch dies geschieht über die Benutzeroberfläche der Fritzbox.

• In der Benutzeroberfläche der Fritzbox klickt man auf den Menüpunkt “Internet” und anschließend auf “Freigaben”.
• Hier wählt man den Reiter “Portfreigaben”.
• Dann klickt man den Button “Gerät für Freigaben hinzufügen”.
• Im Dropdown-Menü “Gerät” wählt man den Raspberry Pi aus.

Wichtig ist, an dieser Stelle darauf zu achten, dass die IPv6 Interface-ID die in der Fritzbox angezeigt wird auch mit der tatsächlichen Interface-ID des Raspberry Pi oder NAS übereinstimmt. Wer einen Raspberry Pi oder anderen Linux-PC als NAS einsetzt, kann dies folgendermaßen prüfen. Zum anzeigen der IPv6 Adresse gibt man folgenden Befehl in das Terminal ein.

ip -6 addr

Damit werden alle IPv6 Adressen angezeigt, die dem Raspberry Pi zugeordnet sind. Hier sucht man sich die Adresse aus, die NICHT mit fd00 oder fe80 beginnt. Die letzten vier Blöcke der Adresse müssen mit der Interface-ID in der Fritzbox übereinstimmen. Wenn dies nicht der Fall ist, muss man den Eintrag in der Fritzbox korrigieren. 

Auf einem Synology NAS findet man die IPv6 Adresse und damit auch die Interface-ID in der Systemsteuerung unter dem Menüpunkt „Infocenter“.

• Zum Erstellen der Freigabe klickt man nun auf den Button “Neue Freigabe”.
• Hier wählt man die Option “MyFRITZ!-Freigabe”.
• Im Menü “Anwendung” wählt man HTTP-Server aus.
• Die anderen Felder müssen nicht ausgefüllt werden. Mit einem Klick auf “OK” wird die Freigabe eingerichtet.
• Dies wiederholt man nun und wählt im Menü “Anwendung” HTTPS-Server aus.
• Ein Klick auf “OK” erstellt die Freigaben.

Das Ganze sollte nun folgendermaßen aussehen.

Jetzt wird noch die individuelle MyFRITZ-Adresse benötigt, die mit der Freigabe automatisch für den Raspberry Pi erstellt wurde. Diese kann man sich anzeigen lassen, wenn man die Option zum bearbeiten der Freigabe aufruft.

• Hierzu klickt man auf das Stift-Icon auf der rechten Seite
• Im folgenden Fenster klickt man wieder auf das Stift-Icon neben einer beliebigen Freigabe.
• Im Feld “MyFRITZ!-Adresse” sieht man nun die individuelle MyFritz-Adresse für den Raspberry Pi, gefolgt von der Portnummer nach dem Doppelpunkt.

Der Teil nach dem http:// und vor dem :80 wird im nächsten Schritt zum einrichten des Relay-Servers benötigt.

Beispielsweise: raspberrypi.​lasdgoetnvklvwph.​myfritz.​net

Portmapper von Feste-IP.Net als Relayserver einrichten

Um das Problem mit der fehlenden öffentlichen IPv4-Adresse zu lösen, wird nun ein Relayserver eingerichtet, die beim Anbieter Feste-IP.Net unter den Produktnamen Portmapper erhältlich sind. Da der Betrieb der Server Geld kostet, ist das Angebot nicht kostenlos. Je nach Produktvariante jedoch sehr günstig.

Feste-IP.Net unterscheidet hier zwei Produkte. Den universellen Portmaper und den dedizierten Portmapper. 

Beim universellen Portmapper teilt man sich eine IPv4 Adresse mit anderen Nutzern auf dem Server. Diese Version ist für knapp 4€ pro JAHR zu bekommen, genau, für 1 cent pro Tag. Allerdings bekommt man hier keine Standardports, da diese Pro IP-Adresse nur einmal zugewiesen werden können. Dies bedeutet, dass man beim Aufrufen seiner Internetadresse immer die Portnummer mitgeben muss. Man kann beispielsweise seine Nextcloud auf dem Rasperry Pi nicht mit einer Adresse wie https://mynxtcloud.feste-ip.net aufrufen, sondern muss stattdessen beispielsweise https://mynxtcloud.feste-ip.net:56083 verwenden.

Beim dedizierten Portmapper bekommt man eine eigene IPv4 Adresse so dass man Standardports verwenden kann und sein NAS ohne angehängte Portfreigabe aufrufen kann. Hier werden zusätzlich 3,50€ pro Monat fällig.

In diesem Beispiel wird der günstige universelle Portmapper verwendet. Bei der Anmeldung bei Feste-IP.Net erhält man 50 Credits Startguthaben um das Angebot zu testen. Damit kann der universelle Portmapper 50 Tage kostenlos verwendet werden.

• Nach der Anmeldung bei Feste-IP.Net klickt man auf der Webseite auf den Button “Mein Account”
• Dort wählt man in der Seitenleiste die Option “Universelle Portmapper”.
  • Als Mapping-Server wählt man einen Server in seiner Nähe.
  • Alias ist die DynDNS-Adresse, über die man später seinen Raspberry Pi aus dem Internet erreicht.
  • Bei “DNS oder IPv6 Ziel” gibt man die MyFRITZ-Adresse des Raspbery Pi ohne http:// und ohne Portnummer ein. Beispielsweise: raspberrypi.​lasdgoetnvklvwph.​myfritz.​net
  • Bei Ports gibt man “80” und “443” ein.
  • Im Menü “1:1 Portmapper” wählt man “1x 1:1 Portmapper erstellen”
  • Über den Button “System eintragen und Portmapings erstellen” wird der Portmapper angelegt.

In der Übersicht werden dann die zugeteilten Portnummern angezeigt. In diesem Beispiel würde man den Raspberry Pi über eine unverschlüsselte HTTP-Verbindung nun über http://mynxtcloud.feste-ip.net:10623 erreichen. Für eine verschlüsselte HTTPS-Verbindung müsste man https://mynxtcloud.feste-ip.net:10725 verwenden.

Auf diese Weise hat man mit einer DynDNS-Adresse Zugriff auf sein NAS im Heimnetzwerk. Auch wenn man einen Kabelanschluss mit DS-Lite ohne öffentliche IPv4 Adresse hat. Der Zugriff über die Portmapper-Adressen aus dem Internet funktioniert sowohl via IPv4 als auch via IPv6.