Wer einen Glasfaser-Anschluss von der Deutschen Glasfaser hat, bekommt sowohl bei von den Privatkundentarifen bis hin zu den DG professional-Tarifen keine öffentliche IPv4-Adresse (Stichwort: DS-lite). Erst ab den DG business-Tarifen kann man eine IPv4-Adresse oder ein ganzes Subnetz bekommen. Diese sind allerdings rund doppelt so teuer wie die DG professional-Tarife und on top kommt dann noch die Telefonie hinzu. Selbstverständlich gibt es noch mehr Unterschiede, aber im Rahmen dieses Beitrags soll es lediglich um die IPv4-Adresse gehen. Öffentliche IPv6-Adressen sind übrigens immer enthalten, diese sind allerdings nicht fest, sollen es aber “quasi” sein.
Bei einem Telefonat mit der DG wurde ich darauf hingewiesen, das es durchaus möglich sei eine öffentliche IPv4-Adresse ab den privaten Tarifen zu erhalten. Hierzu arbeitet man mit EDV Kossmann zusammen die mit Feste IPv4 DG etwas im Angebot haben:
Das liest sich erstmal nicht schlecht, bis das man die sich “Fragen & Antworten” ansieht und hier ergeben sich dann etliche potentielle Einschränkungen:
- NAT / Umleitung, nur eingehende Verbindungen!
- VPN: Nur wenn dieses über TCP funktioniert, also beispielsweise ein entsprechend konfiguriertes OpenVPN.
- Es wird nur TCP unterstützt.
- Bandbreite: “Derzeit können wir einen Peak von ~ 200 Mbits anbieten.”
- Ein Mail Server kann nur eingehend so angebunden werden, ausgehend wird ein Mail-Relay benötigt.
- Man “surft” nicht mit dieser festen IP-Adressen, was ggf. relevant ist für entsprechende konfigurierte VPN-Endpunkte oder Portal-Zugriffe.
Positiv möchte ich allerdings hervorheben, das man zunächst sieben Tage testen kann und dass das Angebot monatlich kündbar sowie rDNS verfügbar ist.
Hinsichtlich der Preisgestaltung und so mancher Einschränkung kann es evtl. Interessanter sein einen Portmapper von einem anderem Anbieter (z.B. Feste-IP.Net – Universelle Portmapper) zu beziehen oder selbst einen vServer zu mieten und mit 6tunnel (nur TCP) oder besser socat (TCP und UDP) Ports auf die öffentliche IPv6-Adresse(n) umzuleiten oder den eigenen Anschluss mittels VPN über die öffentliche Adresse des vServers anzubinden. Portmapper sind nur für eingehende Dienste interessant, wer auch ausgehend mit einer öffentlichen IP-Adressen arbeiten muss, für den kommt dann letztlich entweder ein entsprechender Tarif oder eine VPN-Lösung in Frage.
Weiteres
Eine Argumentation die die DG vorbrachte war: “Die (Deutsche) Telekom hätte alle IPv4-Adressen inne und da gäbe es für kleinere Anbieter nicht mehr viel, daher die (wesentlich) höheren Kosten bei den DG business-Tarifen”. Dieser Aussage kann ich nicht ganz zustimmen. Ja, IPv4-Adressen sind rar geworden, aber bei der Deutschen Telekom oder bei anderen Anbietern wie easybell kann man (je nach Grundtarif) für ein paar wenige Euro eine feste öffentliche IP-Adresse (IPv4 und ggf. IPv6) hinzubuchen. Das ist in der Regel kein Problem und kostet nicht gleich wesentlich mehr.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Bisher war ich ja immer nur stiller Mitlesen, aber das:
“Dieser Aussage kann ich nicht ganz zustimmen. Ja, IPv4-Adressen sind rar geworden, aber bei der Deutschen Telekom oder bei anderen Anbietern wie easybell kann man (je nach Grundtarif) für ein paar wenige Euro eine feste öffentliche IP-Adresse (IPv4 und ggf. IPv6) hinzubuchen.”
Kann ich so nicht stehen lassen. Ich (mein Unternehmen) ist selber RIPE Mitglied mit eigenem AS und daher würde ich da gern etwas Licht rein bringen.
ALSO:
Wir sind RIPE Mitglied seit 2016 und 2019 (zwei Unternehmen) früher bekamen neue RIPE Mitglieder immer ein /22 Netz an v4 Adressen als Willkommensgeschenk. Wir haben 2019 noch eines der letzten (schon zwei /23) Netze bekommen, wenige Tage später war der Pool leer.
Warum erkläre ich das?
Die Telekom (Post v4 Gründung durch die Deutsche Post) und auch Easybell (Gründung 1998) sind schon sehr alte Provider, haben also viele IP- Adressen bei der Gründung bekommen und konnten sich problemlos kostenlos in ihren ersten Jahren mit VIELEN IP- Adressen eindecken. Neue Provider wir wir, oder Deutsche Glasfaser (Gründung 2011) haben diesen Luxus nicht. Zu deren Zeiten gab es A: schon viel strengere Vergaberegeln und kleinere Pools und B gab es schon viel weniger freie Adressen.
Was bedeutet dies in der Praxis? Während DTAG und Easybell einen riesigen Pool haben (ganz besonders DTAG) müssen neue Provider IP- Adressen teuer von Brokern kaufen oder mieten (Kaufpreise liegen mittlerweile bei 100.000 – 200.000 EUR für ein /22, wir bekommen immer regelmäßig Angebote für Kauf/Verkauf). Unter diesem Gesichtspunkt das der “Kaufpreis” einer einzigen IPv4 damit zwischen 100 – 200 EUR liegen kann sollte die Aussage von DG besser verstanden werden.
Hallo Markus,
du hast natürlich recht, aber die nette Dame von der DG hat behauptet, das die DTAG alle IPv4-Adressen inne hätte, was wiederum schlicht (weder für D noch den Rest der Welt) nicht stimmt.
Ferner kann man bei der DG nicht einfach eine IPv4 hinzubuchen. Vielmehr muss man in einen in mehrfacher Hinsicht teurerer Tarif wechseln und on top weitere Leistungen hinzubuchen oder anderweitig einkaufen.
Selbst wenn eine IP 100€ kosten sollte, auch ein solchen Angebot würden sicherlich viele Kunden annehmen und sich durch eine einmalige Zahlung eine feste IP sichern. Aber selbst ohne eine solche einmalige Zahlung würde DG sicherlich nicht Untergehen wenn sie denen die es Wünschen eine feste IPv4 anbieten, auch mit 5€ extra im Monat.
Das Problem das ich sehe ist viel mehr das selbst das verwendete Netzwerk nicht ordentlich funktioniert, Die verwendete Technik ist scheinbar total überlastet. Bei mir ist es zb ganz normal geworden das bis zu drei mal täglich die Verbindung neu aufgebaut werden muss, weil sonst 50% des Internets nicht mehrerreichbar ist. Alternativ warte ich 2 bis 3 Stunden dann geht es wieder ohne neu zu verbinden.
Also für mich als Kunden steht fest, wenn der ganze murks so bleibt, bin ich nach den 2 Jahren wieder bei der Telekom. Das ist langsamer, aber dafür stabil.
Hatte ich ganz vergessen, mit der weil schreiben sie nur noch 100 Mbits bei Kossmann. Preisleistung steht da für mich in keinem gesunden Verhältnis mehr.
Die völlige Überlastung kann ich für meinen Standort nicht bestätigen. Da bekomme ich konstant meine 400 / 200 mbit, und einen Ping unter 10. Es gibt nach meinen persönlichen Erfahrungen häufiger Ausfälle als bei der Telekom, aber seltener als bei Vodafone oder 1und1.
Auch das erste halbe Jahr mit 1000/1000 mbit hat einwandfrei funktioniert.
Hi,
ich habe einen neuen DG Anschluss mit CGNAT und bin seitdem per IPv4 nicht mehr aus dem Internet erreichbar. Meine Hausautomation im Heimnetz spricht leider nur IPv4 und mein Handy im Mobilnetz (O2 über Sipgate) spricht leider auch nur IPv4. Ich habe die DG Hotline um eine feste IPv4 Adresse angebettelt, dabei auf Granit gebissen und bin an die Kossmannlösung verwiesen worden. Bei Kossman gibt es den bekannten 100mbit (peak!) Cap, TCP only usw. Ausserdem ist der Preis für das was geboten wird aus meiner Sicht zu teuer.
Ich habe es nicht geschafft mit 6tunnel (in einigen Lösungswegen vorgeschlagen) eine Wireguardverbindung aufzubauen. Wie ich festgestellt habe kann 6tunnel nur TCP weiterleiten, Wireguard verwendet aber UDP. Socat kann das gleiche wie 6tunnel und darüber hinaus noch wesentlich mehr. –> https://www.youtube.com/watch?v=bo14op0pjtg&t=547s
Ich habe also bei Ionos einen virtuellen Server mit fester IPv4 gebucht (1€/Monat). Dann über die Webverwaltung eine IPv6 Adresse hinzugefügt. In der Fritzboxoberfläche findet man den zufällig vergebenen Port für Wireguard und die feste IPv6 Adresse der Fritzbox (nicht das Prefix!). Auf dem Ionosserver habe ich Ubuntu installiert. Anschließend alles geupdated und zusätzlich socat und screen (optional) installiert. Bei der Ionosweboberfläche musste ich in der Firewall den Port für Wireguard (s.o.) freigeben. Als Protokoll muss man UDP für diesen Eintrag nehmen, sonst wird es natürlich nicht funktionieren. Ich habe zusätzlich für die Einrichtung zum Testen ICMP (ping) freigegeben. Die Ports sollte man am Ende alle wieder sperren, sobald die Weiterleitung erst mal läuft.
Nun kann man via ssh auf dem Ionosserver eine screen Session starten und in dieser socat folgendermaßen aufrufen:
sudo socat UDP4-LISTEN:,fork,su=nobody,reuseaddr UDP6:[]:
Sollte man bei obigem Befehle eine DynDNS Adresse für die Fritzbox verwenden, so ist unbedingt zu beachten, daß die DynDNS Adresse wirklich nur auf die aktuelle IPv6 Adresse der Fritzbox zeigt und nicht zusätzlich auf die CGNAT IPv4 Adresse. Ich hatte mit der myfritz Adresse Probleme und verwende die IPv6 der Fritzbox direkt ohne DynDNS. Ein passender AAAA DNS Eintrag sollte auch funktionieren, wenn man eine eigene Domain hat. Das ist natürlich optional.
Der Start des Programms gibt keine weitere Rückmeldung, die Weiterleitung ist aber trotzdem aktiv. Die screen Session kann man mit in den Hintergrund schicken und sich ausloggen. Bei Bedarf kann man die Session mit screen -r wieder in den Vordergrund holen.
Ich verwende ein IPhone und habe in der Fritzbox mit dem Assistenten eine neue Wireguardverbindung für das Handy eingerichtet und anschließend den QR Code gescannt. In den Wireguard Settings beim Iphone muss man für diese Verbindung nun als Endpunkt die IPv4 Adresse des Ionossevers eintragen. Der Port sollte bereits passen, sonst ggf diesen an dieser Stelle auch noch anpassen. Ich kann mich so wieder von unterwegs über Wireguard mit der Fritzbox verbinden und habe wie gewohnt Zugriff auf mein IPv4 Heimnetz dahinter.
Aus Sicherheitsgründen kann/sollte man nun alle Ports (ausser dem Port für Wireguard) in der Firewall von Ionos wieder schließen. So ist von aussen kein Zugriff auf den Server mehr möglich. Für Wartungszwecke kann man in der Weboberfläche den Port 22 bedarfsweise wieder freigeben. Man kann natürlich auch noch weitere socat Instanzen parallel laufen lassen, die bestimmte Ports z.B. zu IPv6 fähigen Geräten im Heimnetz direkt durchleiten.
Viel Spass beim ausprobieren
Leider wurden die spitzen Klammern und deren Inhalt aus dem Kommentar entfernt. Der Befehl muss lauten:
sudo socat UDP4-LISTEN:#Port für Wireguard#,fork,su=nobody,reuseaddr UDP6:[#feste IPv6 Adresse der Fritzbox oder eine DynDNS Adresse die nur auf die aktuelle IPv6 Adresse verweist#]:#Port für Wireguard#
Der Shortcut für screen ist: Strg+a, d zum verlassen –> https://wiki.ubuntuusers.de/Screen/
die Abschnitte zwischen den “#” muss man entsprechend anpassen. Die “#” sind nicht Teil des Befehls und werden weggelassen.