Öffentlich erreichbare IPv4 für Deutsche Glasfaser Kunden

Öffentlich erreichbare IPv4 für Deutsche Glasfaser Kunden
CGNAT erschwert IPv4-Portweiterleitungen (oder macht sie eher unmöglich)

Die Nullerjahre haben angerufen und wollen ihre Portweiterleitungen zurück

Es gibt auch heute noch Softwarehersteller, die von ihren Kunden erwarten, Portweiterleitungen an ihren Internetanschlüssen einzurichten, um den Datenaustausch zu ermöglichen. Etwas, das man in Zeiten enorm zugenommener Internetkriminalität und dem automatisierten Ausnutzen von Schwachstellen in Software eigentlich tunlichst vermeiden sollte. Schließlich stellt man sein System im schlimmsten Fall dem gesamten Internet für einen Verbindungsaufbau zur Verfügung. Und so selten findet dieser "schlimmste Fall" leider gar nicht statt, da eine FritzBox, immerhin ein häufig eingesetzter Internetrouter in kleinen deutschen Unternehmen, bis heute in seiner "Firewall" nicht die Quelladressen für Anfragen begrenzen kann. Also von wem der Zugriff erlaubt sein soll.

Portweiterleitungen bei Deutsche Glasfaser nur in Business-Tarifen

Ich hatte den Fall bei einer Kundin. Diese nutzt einen einfachen Deutsche Glasfaser Privattarif für ihr Büro, an dem derzeit vier Arbeitsplätze angeschlossen sind. Der fast 4x so teure Business-Tarif bietet ihr, außer der öffentlich erreichbaren IPv4-Adresse, keinen benötigten Mehrwert. Sicher, theoretisch erhält man besseren Support und schnellere Entstörung bei Problemen. Aber halt erst mal nur theoretisch. Auch deren Tarif für Selbstständige bietet keine öffentlich erreichbare IPv4-Adresse, auch nicht gegen Aufpreis. Und ich rede hier nicht von einer festen IPv4, sondern von einer einfachen, dynamisch wechselnden IPv4-Adresse. Meine Kundin fällt noch am ehesten in die Selbstständigen-Kategorie und möchte keinen der großen Business-Tarife. Der Kunde ist König.

Portweiterleitung für die Branchensoftware notwendig

Es kommt eine Branchensoftware zum Einsatz, für deren vollen Funktionsumfang eine IPv4-Portweiterleitung nötig ist. Zumindest die Server des Softwareherstellers müssen auf den internen Server über eine Portweiterleitung von außen (aus dem Internet) zugreifen können, damit die angebotenen Dienste für die Kunden meiner Kundin reibungslos funktionieren. Anfragen der Kunden meiner Kundin werden also über die Server des Softwareherstellers an den Server meiner Kundin über einen definierten Port weitergeleitet. Ja, ich weiß, klingt abenteuerlich.

IPv6 wäre die Lösung

IPv6 würde das Problem weitestgehend lösen. Man erhält bei Deutsche Glasfaser ein IPv6-Netz zu seinem Anschluss. IPv6 wird vom Softwarehersteller aber bis auf Weiteres nicht unterstützt. Mit dieser stiefmütterlichen Unterstützung von IPv6 ist er aber bei weitem nicht allein.

CGNAT ist "schuld"

Was man als Deutsche Glasfaser Kunde in einem nicht Business-Tarif an seinem Anschluss erhält, ist neben dem angesprochenem IPv6-Netz eine private IPv4-Adresse in einem Carrier Grade NAT (CGNAT). Das bedeutet, dass die Verbindung ins Internet über eine gemeinsame öffentliche IP-Adresse läuft, die man sich mit anderen Kunden teilt und man dadurch an seinem Anschluss nicht von außen erreichbar ist, was einige Einschränkungen mit sich bringen kann, eben z.B. beim Betreiben von Servern.

Für die meisten Internetdienste stellt dieses Verfahren keine Probleme dar, und die Anschlussinhaber merken davon überhaupt nichts. Portweiterleitungen sind dagegen auf den ersten Blick ein unüberwindbares Hindernis.

Abhilfe durch einen virtuellen Linux-Server

Im konkreten Fall konnte ich das Problem durch eine Site-to-Site-VPN-Verbindung zu einem kleinen, günstigen (für weniger als 5 € im Monat) virtuellen Linux-Server bei Hetzner lösen, der neben IPv6 auch über eine öffentliche IPv4-Adresse verfügt.

Die Kundin nutzt Tailscale als VPN-Lösung, was die Umsetzung aufgrund der einfachen Konfiguration für mich beschleunigt hat. Bei Hetzner erhält man zudem eine Firewall. Hier konnte ich problemlos die zugelassenen Quelladressen, also die IPs des Softwareherstellers, definieren und damit den Rest der Welt ausschließen. Nach den nötigen Einstellungen ist der interne Server über die öffentliche IPv4 des Linux-Servers bei Hetzner erreichbar, allerdings aus Sicherheitsgründen nur für die tatsächlich notwendigen Ports und Protokolle. Alle anderen Verbindungen im Büro sind davon unabhängig und laufen weiterhin direkt über die FritzBox ins Internet. Also eine sichere und effiziente Angelegenheit.

Funktionierender Workaround

Klar, es ist ein Workaround. Aber er funktioniert, ist wartungsarm und sehr preiswert. Updates müssen installiert werden, und ab und zu benötigt die Linuxkiste auch einen Neustart. Das war's im Grunde.

Sind Sie in einer ähnlichen Situation, würde ich Ihnen grundsätzlich immer zuerst einen geeigneten Tarif bei Ihrem Internetprovider empfehlen, um diese CGNAT-Problematik bei Portweiterleitungen zu lösen. Oder ein Wechsel des Internetproviders. Ist dies aus welchen Gründen auch immer nicht möglich oder gewünscht, melden Sie sich bei mir. Vielleicht lösen wir auch Ihr Konnektivitätsproblem mit diesem Workaround? Ach, und gehen Sie bitte dem Hersteller Ihrer Software oder dem Betreiber Ihres Dienstes mit Anfragen zur IPv6-Unterstützung auf die Nerven. Sie brauchen da absolut kein schlechtes Gewissen zu haben: IPv6 ist ein seit 1998 standardisiertes Verfahren. IPv6 feiert also bald seinen 30. Geburtstag.