Betreff: Dual Stack Lite (IPV6) – Seite 3

DarkTrinity · ‎23.08.2021

Hallo liebe Community,

ich betreue neben meinem privaten Kabel-DSL Anschluss auch den eines e.V.'s als ehrenamtliches Mitglied. Unser Verein hat VDSL 50. Ich versuche gerade unsere Fritzbox auf Dual Stack Lite umzustellen. Allerdings scheitert es immer wieder an der Fehlermeldung, daß kein AFTR zugewiesen wurde vom Provider (Fitzbox Event Log)

Damit wendete ich mich am Fr (20.8.) an die Kundenhotline, wo man eine Störung aufgemacht hatte, u.a. wegen Verbindungsabbrüchen. Diese Verbindungsabrüche lagen zwar, wie ich ja nur vermuten kann, an der Tatsache daß ich die Fritzbox mehrmals neu verbunden habe wegen dem o.g. Eingriff - aber hey, was weiss ich schon

So .... Nix passiert seit dem ^^

Unser Vorsitzender hat dann auf meine Bitte hin heute (23.8.) bei Vodafone angerufen - mehrmals - und bei jedem Anruf eine andere Aussage gehört:

1. Anruf: Für Dual Stack Lite bräuchte man eine statische IPV4 Adresse (das ist ja wohl mal Käse)

2. Anruf: Dual Stack Lite erfordere einen Business- Anschluss und einen damit verbundenen Aufpreis (glaube ich auch nicht wirklich, da ich privat bei mir zu Hause als ganz normale private Kundin Dual Stack Lite habe)

3. Anruf: Hier wurde nun ich als ASP für das entsprechende Kundenkonto eingetragen. Man meinte allerdings gleich daß man sich vor Freitag, dem 27.8.2021 nicht dazu äussern könnte.

Ich nehme es ja mittlerweile irgendwie mit Humor, aber es kann doch nicht sein daß Eure Hotline mit solchen Basics so überfordert ist.

Vielleicht kann man mir ja im Forum weiter helfen - das wäre toll. Es handelt sich wie gesagt nicht um meinen persönlichen Anschluss (also nicht den meines Kundenkontos). Die entsprechende Kundennummer, Kundenpasswort, etc habe ich aber zur Hand.

Vielleicht mag ja jemand helfen

reneromann · ‎24.08.2021

@DarkTrinity schrieb:

3. das Fritz-VPN ist sehr wohl verschlüsselt

Du nutzt aber kein FritzVPN! Weil das, was du machst, ein Direktzugriff auf die Geräte ist! Verdammt nochmal - verstehe es endlich!

@DarkTrinity schrieb:

4. "Direktzugriff per IPv6" <--- das sagt garnichts über die Verschlüsselung aus, denn die IP Adresse ist Layer 3 und die Verschlüsselung bewegt sich zwischen Layer 5 & 7 - je nach Anwendungsfall (aber das ist wahrscheinlich etwas zu hoch für Dich) *Zwinker*

Ui... Brav in Wikipedia nachgelesen, wie ISO/OSI funktioniert - aber du weißt dann ja hoffentlich auch, dass das IP-Referenzmodell diese Schichten gar nicht so umsetzt.

Unabhängig davon: Beim VPN tunnelst du entweder direkt auf Layer 4 (z.B. IPSec) -oder- auf Anwendungsebene (Layer 5+; z.B. OpenVPN, WireGuard) den IP-Datenstrom (Layer 3+) des innenliegenden Traffics und kapselst diesen. FritzVPN funktioniert an deinem Anschluss zu Hause aber nicht, weil FritzVPN auf Serverseite kein IPv6 unterstützt.

Das hat wohlgemerkt NICHTS mit einem Direktzugriff OHNE VPN zu tun - der logischerweise per IPv6 auch an einem DS-Lite-Anschluss funktioniert und für diesen man z.B. MyFritz als dynamischen DNS-Dienst nutzen kann. Und auch hat FritzVPN nichts mit Portmappern zu tun (zumal FritzVPN mit Portmappern nicht funktioniert, weil IPSec nicht von Portmappern unterstützt wird).

Wenn du also auf das Netz des Vereins von außen zugreifen willst, wäre vollständiges DualStack die beste Lösung - sowohl per IPv4 als auch per IPv6 nativ erreichbar - ohne Portmapper, ohne andere Spiele. Und dann auch per FritzVPN. Zweitbeste Lösung wäre IPv4-only - zwar nativ nur per IPv4 erreichbar, dafür aber funktioniert FritzVPN; von DS-Lite-Anschlüssen hast du aber den AFTR des extern zugreifenden Anschlusses dazwischen, welcher dir jedoch den Zugriff erlaubt.

Die schlechteste Lösung wäre DS-Lite - lediglich per IPv6 erreichbar; FritzVPN wird NICHT unterstützt und auch von anderen Nicht-IPv6-fähigen Anschlüssen (z.T. Mobilfunknetze als auch Hotspots) hast du KEINE Chance für den Zugriff.

Und bitte verwechsele MyFritz NICHT mit FritzVPN und setze es nicht gleich. Ersteres ist ein reiner DynDNS-Dienst, letzteres ein reines VPN - beide haben technisch NICHTS miteinander gemeinsam, außer dass sie von AVM kommen!

Wenn du also http://drucker.netzname.myfritz.net aufrufst, geht der Traffic keineswegs durch ein VPN, sondern wird (in dem Fall sogar unverschlüsselt) direkt zum Endgerät weitergeleitet. Sollte das Gerät Schwachstellen beim Webserver haben, steht es in dem Fall auch ungeschützt (ungeachtet der Nutzung von http/https) im Internet.