Feste IPV4 für 10 Euro?
- Ersteller Harvester500
- Erstellt am
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
So sieht's aus @h00bi !
Das Problem liegt meistens im fehlenden Verständnis was was ist. In jedem 3. Thread, in dem von CGN / DS-Lite die Rede ist, kommt vom TE die Antwort "Dann brauche ich also eine feste IP" und das ist einfach falsch.
Zur Klarstellung für den TE:
"Feste" IP, auch "statische" IP genannt, ist eine IP(v4), die sich nie ändert. Sie wird einmal eingestellt bzw. zugewiesen und dann bleibt sie da - so lange wie für diese feste IP bezahlt wird. Eine statische IP-Adresse wird im Internet benötigt, um dauerhaft Dienste anbieten zu können, beispielsweise die private Webseite, die man auf dem heimischen Server hostet. Die Anzahl der verfügbaren IPv4 schrumpft aber stetig und deswegen ist jede IP-Adresse teuer. 10€ pro Monat für eine statische IPv4 sind in Ordnung.
Dementgegen steht eine "dynamische" IP-Adresse. Diese wechselt regelmäßig, zum Beispiel bei jeder Einwahl des Routers beim Provider. Hintergrund der Geschichte ist, dass der Provider seinen Adresspool überbucht, also mehr Kunden aufschaltet als er IP-Adressen zur Verfügung hat, weil niemals alle Kunden gleichzeitig online sind. Weniger gekaufte IPs heißt Geld sparen. Dennoch ist jeder Kunde mit seiner aktuell zugewiesenen IP-Adresse öffentlich im www erreichbar.
Da man im Internet in der Regel sowieso nicht mit IP-Adressen hantiert, sondern mit Domains (zB computerbase.de), ist das alles halb so wild, wenn man zB eine private Webseite betreiben möchte. Die Übersetzung von Domains in IP-Adressen übernimmt der DNS, wie beim Telefonbuch. Statt permanenter Einträge gibt es mit Dynamic DNS jedoch auch temporäre Einträge, so als wenn sich im Telefonbuch unter "Hans Meier" alle paar Stunden die Telefonnummer ändert. Dadurch kann man auch hinter einen dynamischen öffentlichen IP-Adresse Dienste bereitstellen, weil "blabla.einddns.de" über so einen DDNS-Anbieter stets aktuell gehalten wird.
Aber:
Bei CGN / DS-Lite funktioniert das so nicht, weil der Provider noch mehr IP-Adressen einspart. Da bekommt kein Kunde mehr eine öffentliche IPv4, egal ob dynamisch oder statisch. Stattdessen befindet sich jeder Kundenrouter sozusagen im Heimnetzwerk des Providers, also mit privaten IP-Adressen. Nach außen hin werden alle Kunden über den großen Router des Providers ins Internet geschickt und DER hat die öffentliche IP-Adresse. Dadurch ist der Kunde nicht öffentlich erreichbar, weil er gewissermaßen nur im Vorzimmer des Providers hockt. Um hier aus dem "CGN" rausgenommen zu werden und eine eigene öffentliche IPv4 zu bekommen (die ist dann in der Regel nicht statisch, sondern dynamisch, s.o.) verlangt der Provider in der Regel so um und bei 5€ im Monat.
Es geht daher nicht um eine "feste" öffentliche IPv4, sondern "eigene" öffentliche IPv4, vollkommen egal ob diese dann dynamisch oder statisch ist.
Das Problem liegt meistens im fehlenden Verständnis was was ist. In jedem 3. Thread, in dem von CGN / DS-Lite die Rede ist, kommt vom TE die Antwort "Dann brauche ich also eine feste IP" und das ist einfach falsch.
Zur Klarstellung für den TE:
"Feste" IP, auch "statische" IP genannt, ist eine IP(v4), die sich nie ändert. Sie wird einmal eingestellt bzw. zugewiesen und dann bleibt sie da - so lange wie für diese feste IP bezahlt wird. Eine statische IP-Adresse wird im Internet benötigt, um dauerhaft Dienste anbieten zu können, beispielsweise die private Webseite, die man auf dem heimischen Server hostet. Die Anzahl der verfügbaren IPv4 schrumpft aber stetig und deswegen ist jede IP-Adresse teuer. 10€ pro Monat für eine statische IPv4 sind in Ordnung.
Dementgegen steht eine "dynamische" IP-Adresse. Diese wechselt regelmäßig, zum Beispiel bei jeder Einwahl des Routers beim Provider. Hintergrund der Geschichte ist, dass der Provider seinen Adresspool überbucht, also mehr Kunden aufschaltet als er IP-Adressen zur Verfügung hat, weil niemals alle Kunden gleichzeitig online sind. Weniger gekaufte IPs heißt Geld sparen. Dennoch ist jeder Kunde mit seiner aktuell zugewiesenen IP-Adresse öffentlich im www erreichbar.
Da man im Internet in der Regel sowieso nicht mit IP-Adressen hantiert, sondern mit Domains (zB computerbase.de), ist das alles halb so wild, wenn man zB eine private Webseite betreiben möchte. Die Übersetzung von Domains in IP-Adressen übernimmt der DNS, wie beim Telefonbuch. Statt permanenter Einträge gibt es mit Dynamic DNS jedoch auch temporäre Einträge, so als wenn sich im Telefonbuch unter "Hans Meier" alle paar Stunden die Telefonnummer ändert. Dadurch kann man auch hinter einen dynamischen öffentlichen IP-Adresse Dienste bereitstellen, weil "blabla.einddns.de" über so einen DDNS-Anbieter stets aktuell gehalten wird.
Aber:
Bei CGN / DS-Lite funktioniert das so nicht, weil der Provider noch mehr IP-Adressen einspart. Da bekommt kein Kunde mehr eine öffentliche IPv4, egal ob dynamisch oder statisch. Stattdessen befindet sich jeder Kundenrouter sozusagen im Heimnetzwerk des Providers, also mit privaten IP-Adressen. Nach außen hin werden alle Kunden über den großen Router des Providers ins Internet geschickt und DER hat die öffentliche IP-Adresse. Dadurch ist der Kunde nicht öffentlich erreichbar, weil er gewissermaßen nur im Vorzimmer des Providers hockt. Um hier aus dem "CGN" rausgenommen zu werden und eine eigene öffentliche IPv4 zu bekommen (die ist dann in der Regel nicht statisch, sondern dynamisch, s.o.) verlangt der Provider in der Regel so um und bei 5€ im Monat.
Es geht daher nicht um eine "feste" öffentliche IPv4, sondern "eigene" öffentliche IPv4, vollkommen egal ob diese dann dynamisch oder statisch ist.
eigs
Commander
- Registriert
- Sep. 2005
- Beiträge
- 2.929
Es funktioniert nicht weil der Provider kein Carrier-grade-Destination-NAT implementiert hat.Raijin schrieb:
Der Provider darf meiner Ansicht lt. VO (EU) 2015/2120 für eine dynamische IPv4 Adresse nichts verlangen wenn er kein Carrier-grade-Destination-NAT in ausreichender Form anbietet.Raijin schrieb:
Die RTR vertritt übrigens eine ähnliche Meinung: https://www.rtr.at/de/tk/FAQIPAdresse
brainDotExe
Captain
- Registriert
- Okt. 2013
- Beiträge
- 3.837
Das hatte ich an anderer Stelle schonmal diskutiert (vielleicht sogar mit dir?).eigs schrieb:
Die Interpretation der RTR ist relativ eigen und geht meiner Auffassung nach nicht direkt aus der EU Verordnung hervor.
In der Verordnung ist nicht die Rede von IPv4 oder IPv6. Die Anforderungen werden auch mit IPv6 erfüllt.
Ganz zu schweigen davon, dass die Regelung der RTR "diskriminierend" ist. Was passiert wenn viele/alle Kunden eine öffentliche IPv4 Adresse haben wollen? Woran wird entschieden wer noch eine bekommt und wer leer aus geht?
Der Funkmeister
Ensign
- Registriert
- Nov. 2020
- Beiträge
- 159
Irgendwo für 1-2 Euro im Monat einen vServer mit TUN/TAP mieten VPN Server Software drauf installieren und per VPN eingehende Verbindungen abholen. Kostet dich nur einen Bruchteil und deine IP bleibt identisch, selbst wenn du zuhause den Anbieter wechselst.
Wenn es dir wirklich nur darum geht eingehende Verbindungen zu ermöglichen, dann reicht das.
Wenn es dir wirklich nur darum geht eingehende Verbindungen zu ermöglichen, dann reicht das.
eigs
Commander
- Registriert
- Sep. 2005
- Beiträge
- 2.929
Kann sein, dass das mit mir war.brainDotExe schrieb:
Deswegen habe ich mich mehrere Stunden selbst mit dieser Verordnung beschäftigt um es selber interpretieren zu können.brainDotExe schrieb:
Wenn man sicher gehen möchte sollte man sich allerdings von einem Rechtsanwalt beraten lassen.
Weil sie technologieneutral formuliert ist.brainDotExe schrieb:
Momentan nicht, da nahezu alle Abschlusspunkte nur IPv4 und nicht IPv6 Konnektivität haben. Das könnte sich aber in ferner Zukunft ändern.brainDotExe schrieb:
Meiner Interpretation kann der ISP auch Carrier-grade-Destination NAT einsetzen. Damit kann mehreren Kunden die selbe externe IPv4 Adresse zugewiesen werden (so ähnlich wie es derzeit auch bei Carrier-grade NAT gemacht wird) solange die Serverdienste unterschiedliche Ports verwenden.brainDotExe schrieb:
Zum Beispiel könnten Kunden mit SSH, FTP, HTTPS, IPsec, OpenVPN, mehrere WireGuard Server (weil kein Standartport) und Kunden die keine Portweiterleitung haben eine gemeinsame externe IPv4 Adresse verwenden.
Der Lord
Lt. Commander
- Registriert
- Aug. 2018
- Beiträge
- 1.784
für technsich Versierte ist das natürlich die günstigste Lösung, ja. als Laie sollte man die Absicherung und Wartung eines im öffentlichen Netz betriebenen Servers jedoch nicht unterschätzen. Da bieten sich dann eher Portmapper wie feste-ip.net usw an. Kostet dort auch nicht die Welt und die technische Verantwortung tragen dort Profis.Der Funkmeister schrieb:
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 21.202
müssen sie auch, aber die Einschäzung eines österreichischen Unternehmens anhand des österreichischen Marktes interessiert in Deutschland trotzdem niemanden.
rtr sagt auch dass Zwangstrennungen frühestens nach 31 erfolgen dürfen. Diese Ansicht interessiert Telefonica Deutschland trotzdem nicht, die trennen weiterhin alle 24 Stunden.
rtr sagt auch dass Zwangstrennungen frühestens nach 31 erfolgen dürfen. Diese Ansicht interessiert Telefonica Deutschland trotzdem nicht, die trennen weiterhin alle 24 Stunden.
Der Funkmeister
Ensign
- Registriert
- Nov. 2020
- Beiträge
- 159
@Der Lord
Bei Dualstack Lite wird ein einfaches mapping nicht ausreichen. Da muss dann doch wieder VPN her. bei feste-ip würde das 3,95 für die IP und weitere 5 credits am TAG für den VPN Tunnel bedeuten. Sinnvoller weise erlaubt der Anbieter keine Buchung im Monatsgrösse. Also 4,95 alle 72 Tage. Damit sind wir bei 6,08 für einen Monat. Damit ist das Angebot seines Anbieters gar nicht so weit weg.
Da der Threadersteller hier eine Feste IP haben will um Dienste von Zuhause anbieten zu können, macht er sein Heimnetz quasi zum öffentlichen Netz. Das Einfallstor ist identisch gross wenn er einen im "öffentlichen Netz betriebenen Servers" hat. Damit muss er sich ohnehin ausseinandersetzen.
Bei Dualstack Lite wird ein einfaches mapping nicht ausreichen. Da muss dann doch wieder VPN her. bei feste-ip würde das 3,95 für die IP und weitere 5 credits am TAG für den VPN Tunnel bedeuten. Sinnvoller weise erlaubt der Anbieter keine Buchung im Monatsgrösse. Also 4,95 alle 72 Tage. Damit sind wir bei 6,08 für einen Monat. Damit ist das Angebot seines Anbieters gar nicht so weit weg.
Da der Threadersteller hier eine Feste IP haben will um Dienste von Zuhause anbieten zu können, macht er sein Heimnetz quasi zum öffentlichen Netz. Das Einfallstor ist identisch gross wenn er einen im "öffentlichen Netz betriebenen Servers" hat. Damit muss er sich ohnehin ausseinandersetzen.
Der Lord
Lt. Commander
- Registriert
- Aug. 2018
- Beiträge
- 1.784
@Der Funkmeister
Ich bin beim Thema Zugang zum Heimnetz nur über VPN absolut bei dir. Und ein sicherer Zugang wäre mir auch ein paar Euro wert, bevor ich mein Netz hier der kompletten Außenwelt komplett öffne. Nur habe ich auch den Vorteil, dass ich bereits mehrere Server im Netz betreibe und das benötigte Fachwissen mitbringe - anderen geht's eben nicht so. Bringt man dieses WIssen nicht mit, wird's eben schnell gefährlich oder man investiert ein zwei Euro mehr.
Ohnehin geht's dem TE glaube ich gar nicht so sehr um eine feste IP, denn mit diversen DDNS-Diensten kann man das locker ausgleichen. Viel mehr wird, wie bereits vermutet wurde, eine routbare IPv4 benötigt. Als Endpunkt zuhause eben ein VPN-Gateway im WAN und nix anderes freigeben- schon ist's halbwegs sicher.
Ich bin beim Thema Zugang zum Heimnetz nur über VPN absolut bei dir. Und ein sicherer Zugang wäre mir auch ein paar Euro wert, bevor ich mein Netz hier der kompletten Außenwelt komplett öffne. Nur habe ich auch den Vorteil, dass ich bereits mehrere Server im Netz betreibe und das benötigte Fachwissen mitbringe - anderen geht's eben nicht so. Bringt man dieses WIssen nicht mit, wird's eben schnell gefährlich oder man investiert ein zwei Euro mehr.
Ohnehin geht's dem TE glaube ich gar nicht so sehr um eine feste IP, denn mit diversen DDNS-Diensten kann man das locker ausgleichen. Viel mehr wird, wie bereits vermutet wurde, eine routbare IPv4 benötigt. Als Endpunkt zuhause eben ein VPN-Gateway im WAN und nix anderes freigeben- schon ist's halbwegs sicher.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Der Unterschied zwischen einem öffentlich erreichbaren Consumer-Router und einem öffentlich erreichbaren Mietserver im www besteht schlicht und ergreifend darin, dass der Consumer-Router ab Werk bereits weitestgehend sicher konfiguriert ist, also alle Ports zu.
Möchte man direkt auf einen Dienst des Consumer-Routers zugreifen (zB GUI), bedarf es dazu in der Regel einer Einstellung, bei Diensten hinter dem Router Portweiterleitungen. Beides muss aktiv freigeschaltet werden, sonst gibt's keinen Zugriff.
Ein gemieteter Server im www ist im Zweifelsfalle offen wie ein Scheunentor, weil beispielsweise bei dem Linux-Image, welches man gewählt hat, iptables auf "default accept" steht und Otto Normal einfach keinen blassen Schimmer davon hat. Da wird jeder einzelne Dienst auf dem Server zum potentiellen Risiko. Auch Tutorials bieten hierbei nur mäßige Hilfestellung, weil Otto sowas ohne Plan einfach nur abtippt und schlimmstenfalls kappt er damit die ssh-Verbindung und sperrt sich aus - bis auf die Rettungskonsole des Hosters. Und wenn's ganz dumm läuft, hat eine Hackergruppe einen Bot in ihrem Netzwerk mehr.
Möchte man direkt auf einen Dienst des Consumer-Routers zugreifen (zB GUI), bedarf es dazu in der Regel einer Einstellung, bei Diensten hinter dem Router Portweiterleitungen. Beides muss aktiv freigeschaltet werden, sonst gibt's keinen Zugriff.
Ein gemieteter Server im www ist im Zweifelsfalle offen wie ein Scheunentor, weil beispielsweise bei dem Linux-Image, welches man gewählt hat, iptables auf "default accept" steht und Otto Normal einfach keinen blassen Schimmer davon hat. Da wird jeder einzelne Dienst auf dem Server zum potentiellen Risiko. Auch Tutorials bieten hierbei nur mäßige Hilfestellung, weil Otto sowas ohne Plan einfach nur abtippt und schlimmstenfalls kappt er damit die ssh-Verbindung und sperrt sich aus - bis auf die Rettungskonsole des Hosters. Und wenn's ganz dumm läuft, hat eine Hackergruppe einen Bot in ihrem Netzwerk mehr.
Web-Schecki
Lieutenant
- Registriert
- Juni 2010
- Beiträge
- 980
Das würde ich bezweifeln. Mittlerweile hat IPv6 eine recht gute Verbreitung, sowohl bei privaten Internetanschlüssen in DE, als auch bei kommerziellen Hosts. Sicherlich gibt es da aber noch Luft nach oben.eigs schrieb:
Die EU-Verordnung ist nunmal recht allgemein formuliert und lässt Spielraum für Interpretationen. Ich denke, zumindest in DE wirst du (gegen Aufpreis) auch bei den meisten Anbietern eine öffentliche, dynamische IPv4-Adresse bekommen. Man kann aber auch argumentieren, dass das überhaupt nicht notwendig ist, um in Einklang mit der EU-Verordnung 2015/2120 zu sein. "Dienste und Anwendungen" kannst du auch über IPv6 anbieten und sonst ist nur gefordert, dass du "Zugang" zu praktisch allen Endpunkten des Internets hast, was mit CGNAT ja gegeben ist. Umgekehrt wird ja nirgendwo verlangt, dass praktisch alle Endpunkte Zugang zu deinem Rechner haben.
Das stelle ich mir schwierig vor: Wie soll der Anbieter wissen, welche Serverdienste welcher Kunde anbietet? UPnP über das Providernetz? Unterstützt das irgendein DSL-Router?eigs schrieb:
Darüber hinaus würde man ständig eine neue IPv4-Adresse bekommen, wenn jemand Ports freigibt und "neu gemischt" wird. Und der Provider hat im Zweifel nur einen riesigen, technischen Aufwand und spart garantiert nicht so viele Adressen wie aktuell, wo Kunden nur auf Nachfrage eine öffentliche IPv4 exklusiv bekommen...
brainDotExe
Captain
- Registriert
- Okt. 2013
- Beiträge
- 3.837
Was meinst du mit Abschlusspunkten? Endkundenanschlüsse?eigs schrieb:
In DE hat die Mehrheit der Festnetz Endkundenanschlüsse die Möglichkeit IPv6 zu nutzen.
Im Mobilfunk inzwischen sogar fast jeder.
Und bei (älteren) Applikationen, die fest ein einen bestimmten Port gebunden sind?eigs schrieb:
Der Funkmeister
Ensign
- Registriert
- Nov. 2020
- Beiträge
- 159
Theoretisch kannst du auch bei älteren Diensten / Anwendungen jeweils im Router auf beiden Seiten ein asym.Port Mapping einstellen:brainDotExe schrieb:
Heimnetz A Port 53 -> Anbieterseite A 40053 <- Internet -> Anbieterseite B 40053 <- Heimnetz B Port 53
Dann wäre zwar die Verbindung im Internet auf 40053 aber in den beiden LAN's auf 53. Da spricht erstmal nichts dagegen. Vorassetzung ist immer das die beiden User sich gegenseitig im Internet finden können. Das wird meistens mit Carrier Grade Nat oder DS Lite unterbunden oder stark erschwert.
eigs
Commander
- Registriert
- Sep. 2005
- Beiträge
- 2.929
Die Einschätzung ist nicht aufgrund vom Markt sondern von der VO.h00bi schrieb:
In Österreich hat sich früher auch kein ISP dafür interessiert. Die Telekom Austria hatte zum Beispiel eine Zwangstrennung von 8 Stunden. Viele Mobilfunkanbieter haben keine öffentliche IPv4 angeboten. Der Markt hat sich an die VO angepasst weil ich die User im LTEforum davon überzeugen konnte dagegen vorzugehen.
Die aktuelle Situation in Deutschland liegt daran weil sich die Leute das gefallen lassen. In Österreich hätten wir diese Situation auch fast gehabt.
Es geht nicht ums Intranet oder Deutschlandnet sonder um das Internet.Web-Schecki schrieb:
Einen Zugang brauchst du allerdings auch wenn du etwas anbieten willst.Web-Schecki schrieb:
Der Serverdienst kann ihn egal sein. Der richtige Port ist wichtig.Web-Schecki schrieb:
Entweder jeder Kunde kann sich die benötigten Ports über ein Kundenportal weiterleiten oder der Router macht das automatisch mit rfc6887. Die AVM Router die rfc6887 unterstützen sind doch am deutschen Markt sehr verbreitet. Und die Router mit angepasster Providerfirmware würden das auch können wenn sich der ISP dazu entscheidet das zu implementieren.
Derjenige der Änderungen vornimmt bekommt eine andere IP Adresse. Eine statische IP Adresse wird das trotzdem nicht ersetzen.Web-Schecki schrieb:
Beispiel:
Kunde 1 wählt Port 80, 443 TCP, bekommt IP 203.0.113.1
Kunde 2 wählt Port 20, 21 TCP, bekommt IP 203.0.113.1
Kunde 3 wählt Port 1194 UDP, bekommt IP 203.0.113.2
Kunde 1 fügt Port 20, 21 TCP hinzu, IP wird geändert auf 203.0.113.2
Ja.brainDotExe schrieb:
Es muss einen bestimmten Pool an IPv4 Adressen geben der groß genug ist um jeden seinen gewünschten Port weiterleiten zu können.brainDotExe schrieb:
brainDotExe
Captain
- Registriert
- Okt. 2013
- Beiträge
- 3.837
Sie können die Verordnungen anders interpretieren und in nationales Recht überführen.eigs schrieb:
Wenn der Client sich fest auf einen Port verbindet, z.B. viele IPSec/L2TP/VPN Clients, hast du dabei aber ein Problem.Der Funkmeister schrieb:
Niemand hindert dich daran etwas per IPv6 anzubieten.eigs schrieb:
Denn der springende Punkt ist:
Web-Schecki schrieb:
Was machst du, als Provider, wenn mehr Kunden TCP Port 4711 eingehend weitergeleitet haben wollen als du IPv4 Adressen hast bzw. verfügbar sind?eigs schrieb:
Web-Schecki
Lieutenant
- Registriert
- Juni 2010
- Beiträge
- 980
Man könnte es aber (im Sinne von TCP) so sehen, dass die anderen Leute dann einen Zugang zu dir brauchen und nicht umgekehrt. Du hast ja auch mit CGNAT Zugang zu allen anderen Leuten.eigs schrieb:
Im Sinne der Verordnung könnte man eher argumentieren: Wenn es hinreichend viele Anwendungen und Dienste gibt, die nur per IPv6 zu erreichen sind, dann müssen Telekommunikationsanbieter auch grundsätzlich einen IPv6-Zugang bereitstellen, da du sonst nicht mehr Zugang zu "praktisch allen Endpunkten des Internets" hast. Technisch ist es sowieso viel wichtiger, dass IPv6 zum Standard wird und möglichst überall verfügbar ist.
Es ging um deine Behauptung, nahezu alle Abschlusspunkte hätten nur IPv4-Konnektivität. Bei Endkundenanschlüssen kann ich nunmal nur für Deutschland sprechen und da stimmt das definitiv nicht, eher ist IPv4-only die Ausnahme mittlerweile. Für kommerzielle Hosts ist das weltweit sicherlich unterschiedlich, aber die großen Betreiber nutzen in der Regel alle schon lange IPv6. Insofern ist die Aussage halt nicht richtig, auch wenn es weltweit noch viele Hosts gibt, die nur über IPv4 erreichbar sind.eigs schrieb:
Gut, selbst wenn man das halbwegs sinnvoll implementiert, dann würde es halt trotzdem viele Profis geben, die einfach mal alle Ports für sich freigeben. Kostet ja nichts und praktisch hat man dann seine eigene IPv4-Adresse.eigs schrieb:
Warum denen nicht also direkt eine eigene IPv4-Adresse geben und an den Kosten beteiligen?
Ähnliche Themen
