Portforwarding bei Kabel DS-Lite

KabelBW Nutzer oder auch Kabel Deutschland Nutzern wird vielleicht schon aufgefallen sein, dass Portforwarding nicht mehr zu funktionieren scheint.
Wer ein wenig recherchiert, wird herausfinden, dass dies am DS-Lite von Kabel BW liegt.

Wer jetzt nur Bahnhof versteht, eine kurze Erklärung.

Vor einigen Jahren wurde IPv6 eingeführt, der Nachfolger unseres IPv4 (man sprach oft von einer Online IP, das sind diese 4er Zahlenkombinationen mit denen man sichtbar im Netz ist).
Zu IPv4 war es möglich, seine öffentliche IP zu forwarden, sprich ich habe meinem Router gesagt, mach mal Port 23 auf und leite das an meinen Rechner xy um und schon konnte man aus dem Netz auf Dienste hinter der Routerfirewall zugreifen.
Unter KabelBW DS-Lite geht das nicht mehr, zumindest nicht unter IPv4.

Der Kollege Fanaticz wollte neulich einen seiner Dienste fürs „Internet“ öffentlich machen und hat ein wenig mit IPv6 herum gespielt.
IPv6 zu forwarden und übers Netz auf IPv6 zuzugreifen ist kein Problem, funktioniert im Prinzip.
Was aber durchaus problematisch ist, dass KabelBW unter Ihren Fritzboxen die IPv6 Adressen der Geräte nicht mehr NATet.

Unter IPv4 Sah das so aus:

Netzwerk hinter dem Router:
PC: 192.168.178.100 -> Internet: 84.111.10.9
PC2: 192.168.178.101 -> Internet: 84.111.10.9
XBOX: 192.168.178.102 -> Internet: 84.111.10.9

Ihr versteht? Es existiert ein eigenes „wir können das ruhig auch geheimes“ Heimnetzwerk nennen, welches so nicht im Netz sichtbar ist.

Mit der Umstellung auf DS-Lite existiert zwar nach wie vor noch so ein eigenes IPv4 Heimnetzwerk, da die meisten Geräte jedoch auch über eine IPv6 verfügen, fängt nun die eigentliche Problematik an.

Unter DS-Lite (Kabel BW & Unity Media + Fritzbox) sieht das nun so aus:

PC: 192.168.178.100 & [PCindividualIPv6]-> Internet: 84.111.10.9 & [PCindividualIPv6]
PC2: 192.168.178.101 & [PC2individualIPv6]-> Internet: 84.111.10.9 & [PC2individualIPv6]
XBOX: 192.168.178.102 & [XBOXindividualIPv6]-> Internet: 84.111.10.9 & [XBOXindividualIPv6]

Sprich, wenn eine Gegenstelle neben der IPv4 auch die IPv6 lokalisiert, dann hat sie dadurch eine Eindeutige Gerätelokalisierung.
Vermutlich ist das auch die Erklärung für meinen Beitrag Die NSA ist hammer schnell.
Was noch hinzukommt, wenn die von extern gewartete Fritzbox einen Designfehler/Sicherheitslücke etc. aufweist, dann steht unser Heimnetzwerk plötzlich frei im Netz.

Eure IPv6 könnt Ihr übrigens auf Diensten wie: www.whatismyipv6.com überprüfen, einfach unter Windows in die cmd: ipconfig oder Linux Terminal: ifconfig + {ENTER}.
Solltet Ihr IPv6 aktiviert haben, wird die Webseite eure individuelle Geräte IPv6 ausspucken.

Fanaticz meinte gestern übrigens: „Schön, dass mich endlich mal einer versteht“ … geht mir oft genau so xD.

Update:
Aufgrund der Kommentaranmerkung zum Thema „Sicherheit“ … ratet mal mit welcher IPv6 ihr surft, wenn Ihr nen VPN Proxy vorgeschaltet habt 😉

Update: Kleines Video zum Thema VPN und IPv6 -> IPv6 und VPN

8 Gedanken zu „Portforwarding bei Kabel DS-Lite

  1. Tobias Mädel (@manawyrm)

    Das von dir angesprochene „Sicherheitsproblem“ ist kein echtes Problem mehr, dafür gibt es die IPv6: Privacy Extensions nach RFC4941.

    Dadurch sollte sich ein Rechner immer 2 IPv6-Adressen zuweisen, eine statische und eine dynamische.
    Ausgehende Verbindungen sollten im Normalfall immer nur mit der dynamischen gemacht werden (da kümmert sich das Betriebssystem drum). Diese wird häufig gewechselt. (meist 1mal am Tag).

    NAT ist keine gute Sache, bei IPv6 schon gar nicht.

    Antworten
  2. hoohead Beitragsautor

    @Tobias mit Deiner Aussage, dass eine dynamische IPv6 generiert wird, hast Du natürlich Recht.
    Mir ging es in dem Beitrag auch nicht um eine feste Gerätezuordnung ala Macadresse (die man natürlich auch ändern kann), sondern um eine eindeutige Gerätezuordnung hinter dem Router.
    Ich habe deshalb auch auf meinen Beitrag:
    http://hoohead.hoohost.org/die-nsa-ist-hammer-schnell/2014/
    verwiesen.

    Ich denke wahrscheinlich anders als der Großteil der Internetnutzer und für mich offensichtliche Szenarien, vergesse ich gesondert zu erwähnen, weil sie für mich ja offensichtlich sind *g.

    Ich denke da an so Themen wie die Mitstörerhaftung bei Filesharing, dem Einloggen in Emailkonten und die vielleicht auf Heise dokumentierte Sicherheitslücke des eigenen Routers.
    Verstehst Du was ich meine?
    Die scheinbare „Sicherheit“ hinter dem Router im eigenem Netzwerk, hört mit IPv6 (wenn auch zum Teil dynamisch) auf.

    Zur Aussage: NAT ist keine gute Sache, muss ich Dir widersprechen. NAT ist eine tolle Sache!

    Antworten
  3. Tobi

    NAT ist die Pest (Meine Meinung) und zum Glück auch in IPv6 unerwünscht.
    NAT erzeugt so viele Probleme.
    Hör dir mal den Podcast hier zu dem Thema an das erklärt so ein paar grundlegende Sachverhalte in Bezug auf IPv6
    http://cre.fm/cre197-ipv6
    Ist zwar schon etwas älter (2012) aber die Grundaussagen sind immer noch genauso zutreffend.

    Antworten
  4. malzbier

    Kabel BW und Unitymedia sind doch im Grunde ein Unternehmen, von daher machen die auch das gleiche. In NRW ist es jedenfalls genau so und ich kenne 2 Leute, die sich deswegen als Privatleute den Vertrag für Firmenkunden geholt haben, wo es vernünftiges IPv4 gibt.
    Bin ich froh bei einem kleineren DSL Provider zu sein, der sich für IPv6 nicht interessiert. Zwar nur 16k, aber mir reicht’s!
    Hab da vor einiger Zeit mal einen Text gelesen, „Time to consider IPv7?“:
    http://virtualworldsconsulting.com/blog/time-to-consider-ipv7/

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*