Hi,

bei DS-lite erhälst du "nur" noch eine öffentliche IPv6 Adresse, keine öffentliche IPv4 Adresse. Der IPv4 Traffic wird dann über IPv6 zu einem AFTR-Gateway getunnelt, welche die IPv4 Anbindung zu Internetressourcen sicherstellt, welche nur per IPv4 () erreichbar sind. Dieses Gateway teilst du dir mit anderen Vodafone Kabelkunden und dieses besitzt natürlich nur eine begrentzte Bandbreite ans Internet und kann zu Stoßzeiten überlastet werden. Aufgrund von Kosten und Aufwand nutzt Vodafone ihre AFTR Gateways möglichst effektiv und installiert nur bei dauerhaften Lastproblemen ein neues Gateway und verteilt die Kunden dann dem neuen Gateway zu.

Merken tut man dies in der Regel mit einer verminderten Bandbreite zu IPv4 Ressourcen und falls das Gateway zu sehr überlastet ist mit Paketloss (störend bei Online-Gameing und Echtzeit Video-/Sprachübertragung).

Da du aber diesbezüglich noch nichts gemerkt hast, musst du diesbezüglich nichts unternehmen 🙂

Kannst es ja im Hinterkopf behalten, falls die oben genannten Probleme ggf. mal auftreten sollten 😉

Grüße

Vielen lieben Dank für die gute Erklärung und den Link. Habe es mir durchgelesen. Ist ja richtig spannend. In dem Link steht ja auch, dass man vom Provider (hier Vodafone) eine private IPv4 Adresse routerseitig Richtung Internet bekommt (die man sich mit Mehreren teilt?!), und die so aussieht wie die IPs im eigenen Heimnetz?

Kann man die irgendwo einsehen? In der V-Station Adminoberfläche steht glaube ich nur die IPv6.

Und kann die besagte "private IPv4 Adresse" internetseitig (parallel existierend zur öffentlichen IPv6), zugewiesen von Vodafone, mit den privaten IPv4 Adressen aus meinem Heimnetzwerk kollidieren, die ich selbst festgelegt habe? Die sieht laut Link - wie gesagt - nämlich genauso aus: 192.168 usw.

Hi,

bitte bitte 🙂

Genau genommen hast auf der Internetseite (WAN-Seite) deines Kabelrouters gar kein IPv4, sondern nur IPv6 😉

Der verwendete Router muss DS-Lite explizit unterstützen (tun alle von VF verwendeten Kabelrouter), da er den IPv4 Traffic via IPv6 zum AFTR-Gateway leiten muss. Erst dort erfolgt die Entpackung der in IPv6 getunnelten IPv4 Pakete und Weiterlung via IPv4 ins Internet. Die Antworten nehmen dann den Weg rückwärts.

Ich hatte bezüglich meines vorherigen Links nicht darauf geachtet, dass dort CGNAT beschrieben wird

Wenn es etwas technischer sein darf, steht es auf der entsprechenden Wikipedia Seite nochmals, diesmal korrekt ;), beschrieben: https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)

Die verwendete IPv4 Adresse kannst du dir über diverse "Scanner-Webseiten" z. B. https://www.wieistmeineip.de/ anzeigen lassen.

Grüße

Entschuldige meine späte Rückmeldung - die Feiertage. Okay ich habe mir das alles durchgelesen und glaube ich jetzt verstanden (hoffe ich zumindest). Vielen Dank für deine Mühe mir das zu erklären, das ist echt sehr hilfreich und hilft mir sehr für das technische Verständnis. Habe aber noch zwei Fragen, wobei da irgendwie noch einige (kleinere) Unklarheiten für mich drin stecken.

1) Wird trotzdem noch echtes NAT bei mir in der Vodafone-Station von der WAN-Seite mit ipv6 auf mein privates internes LAN durchgeführt? Muss ja eigentlich, weil ich noch zusätzlich über DS Lite die V4 Adresse habe oder? Wobei die ja eigentlich auch nur beim Provider "reingeschmuggelt" wird und bei mir am Anschluss eigentlich nur V6 existiert oder ist das kein echtes NAT bei mir an der Vodafone-Station, weil bei V6 braucht man ja eigentlich kein NAT mehr sondern jedes Gerät kann auch eine öffentliche IP bekommen. Dennoch haben meine Heimgeräte aber alle eine private LAN-IP und keine Öffentliche IP. Oder sehe ich die nur nicht? Der Zusammenhang ist mir noch nicht ganz klar. Tut mir leid, sind doch ein paar mehr Fragen unter 1) geworden 😄

2) Wie meinst du das jetzt, dass du nicht drauf geachtet hast, dass dort CGNAT beschrieben ist? Das CGNAT ist doch genau das Prinzip beim Provider mit dem ipv6 Tunnel für die V4 Pakete um das es hier geht oder?  Nur eben bei Vodafone (Carrier) auf den Servern --> also CGNAT, daher war dein vorheriger Link doch korrekt. Oder bringe ich jetzt alles durcheinander?

Vielen Dank nochmal.

Hi,

zu 1). Für IPv4 hast du weiterhin NAT, welches aber beim Provider am AFTR-Gateway durchgeführt wird. IPv6 Verkehr läuft direkt ohne NAT zu den einzelnen Clients. Die öffentliche IPv6 Adresse an den Clients sollte mit "2a02:810d" anfangen und kann direkt aus dem Internet erreicht werden, wenn der Zugriff nicht über eine Firewall (Router oder Client selbst) geblockt wird.

zu 2). Beide Techniken sind sehr ähnlich. Einzigster Unterschied ist, dass bei DSlite über ein AFTR Gateway auf der WAN Seite des Routers keine IPv4 Adresse zugewiesen wird, sondern nur ein IPv6 Präfix. Deshalb muss der Router auch expliziet DSlite via AFTR Gateway unterstützen.

Beim "andern" CG-NAT besitzt der Router auf der WAN Seite eine öffentliches IPv6 Präfix (wie bei DSlite via AFTR-Gateway auch) aber zusätzlich eine private IPv4 Adresse zum NAT-Server des Providers, welcher dann den IPv4 Verkehr per NAT ins Internet leitet. Vorteil von dieser Technik ist, dass damit eigentlich alle Router klarkommen.

Grüße

Danke für die Erklärungen. Nochmal eine andere Frage: Kann ich auf diese ganze Technik Einfluss nehmen als Endkunde und ggf. falsche Einstellungen in der V-Station machen oder gemacht haben bez. DSlite und IPV6 usw.?

Ich möchte 100%ig sicher gehen, dass man von außen nicht irgendwie auf meine Geräte im Heimnetz kommt, gerade weil ja IPV6 im Spiel ist und bei IPV6 ja theoretisch jedes Gerät von außen direkt erreichbar sein kann.

Oder habe ich den Zugriff von außen auf jeden Fall eleminiert, da ich hinter der Vadafone-Station noch die Fritzbox mit NAT betreibe? Also selbst wenn die V-Station ungewollt Traffic von außen durch lässt, müsste doch spätestens in der hinter der V-Station betriebenen Fritzbox für jeglichen Traffic von außen schluss sein oder?

Hi,

die Routerfirewall sollte natürlich aktiviert sein (Expertenansicht -> Internet -> Firewall). Ebenso sollten unter Port-Forwarding keine ungewünschten Einträge vorhanden sein.

---

@sharptype  schrieb:

Oder habe ich den Zugriff von außen auf jeden Fall eleminiert, da ich hinter der Vadafone-Station noch die Fritzbox mit NAT betreibe? Also selbst wenn die V-Station ungewollt Traffic von außen durch lässt, müsste doch spätestens in der hinter der V-Station betriebenen Fritzbox für jeglichen Traffic von außen schluss sein oder?

---

Wen die Fritz!Box als Router arbeitet und nicht als IP-Client, greift auch zusätzlich zur Firewall der VF Station die Firewall der Fritz!Box. Auf der Fritz!Boxen sollten auch die Portfreigaben auf unerwünschte Einträge kontrolliert werden und UPnP (gegenteilige Einstellungen dieser Anleitung) deaktiviert werden.

Grüße

Moin zurück,

also die Firewall ist in der Vodafone-Station natürlich aktiviert. Und Port-Forwarding habe ich so nicht gefunden, allerdings den Eintrag IPV6 Host Exposure. Ist das damit gemeint? In dieser Tabelle sind zumindest keine Einträge vorhanden.

Die Fritzbox arbeitet als Router, nicht als IP-Client, das habe ich nochmal geprüft und die Vodafone-Station ist an der WAN-Buchse der Fritzbox angeschlossen. In der Fritzbox selbst sind auch keine Port-Forwardings eingetragen.

Hallo 🙂 Würde mich noch über abschließende Hilfe/Antworten oder ein Statement dazu freuen, da ich sie mir selbst nicht beantworten kann

Auf jeden Fall danke bis hierhin schon mal!!!

Vielen Dank.