IPv4 vs. IPv6

[francy_space]

Hallo,

ich habe mir zwei Grundprinzipien notiert:

1.) Bei IPv6 hat jedes Gerät in meinem Netzwerk eine eigene öffentliche IP-Adresse.
2.) Bei IPv4 ist jedes Gerät über die öffentliche IP-Adresse des Heimrouters erreichbar.

Frage:

Wie adressiere ich ein spezifisches Gerät bei IPv4? Es ist ja so, dass jedes Gerät dieselbe IP-Adresse hat. Alleine mit der IP-Adresse des Routers und dem Port ist es ja nicht getan, da der Port nur die Anwendung adressiert und nicht das Gerät.

Ich würde mir denken, dass, wenn eine Anfrage an der öffentliche IP-Adresse des Routers eintrifft, der Router diese Anfrage entkapselt und sie an die lokale IPv4-Adresse des Geräts schickt. Nur, auf welcher Grundlage entscheidet der Router, wer das lokale Ziel der Anfrage ist? Denn: Lokale Adressen sind aus dem Internet nicht anroutbar.

 

[BlubbsDE]

Na ja, das musst Du im Router über die Portfreigabe regeln. Und die kann nur einem Gerät im Heimnetz zugeordnet werden.

Willst Du vom Internet auf einem Gerät in Deinem Netz zugreifen, muss da ja ein Dienst dahinter lauschen. Und den gibst Du via den Portfreigaben frei.

 

[francy_space]

Wenn ich den DNS-Server von Google (8.8.8.8) mit tracert anroute, regele ich doch auch nicht die Portweiterleitung. Google kann Pakete problemlos an mein Endgerät übertragen und mir wird automatisch die Website ausgegeben. Wann genau muss solch eine Freigabe denn erfolgen?

 

[BlubbsDE]

Du musst unterscheiden zwischen ankommend und ausgehend. Ausgehend kann jeder Client über den Router via NAT mit dem dem Internet kommunizieren. Ankommend muss dem Router mitgeteilt werden, welcher Client soll auf die Anfrage reagieren.

 

[foo_1337]

Wenn die Verbindung von aussen initiiert wird. Lies dich mal in das Thema NAT ein

 

[francy_space]

Ich verstehe. Schicke ich von meinem Endgerät aus eine Anfrage raus, so lässt der Router die Antwort aus dem DNS-Server problemlos an meinen Gerät weiterleiten. Würde ich allerdings Google kontaktieren und die darum bitten, von außen auf mein Gerät zuzugreifen, müsste ich eine Portweiterleitung einrichten, da die Firewall des Routers von den Paketen keinen Schimmer hat und sie nicht durchlassen würde.

 

[foo_1337]

Vereinfacht gesagt: ja

 

[Raijin]

Wie adressiere ich ein spezifisches Gerät bei IPv4? Es ist ja so, dass jedes Gerät dieselbe IP-Adresse hat. Alleine mit der IP-Adresse des Routers und dem Port ist es ja nicht getan, da der Port nur die Anwendung adressiert und nicht das Gerät.

Das Stichwort heißt allgemein NAT, Network Address Translation. NAT gibt es in zwei Varianten, Source NAT (SNAT) und Destination NAT (DNAT).

Bei SNAT wird der Absender eines Pakets verändert. Das macht der Router zB wenn er Pakete ins www abschickt. Dabei ersetzt er den Absender mit seiner eigenen WAN-IP. Das nennt sich auch masquerading, also maskieren. So weiß das Ziel - zB computerbase.de - wohin es die Antwort schicken soll, nämlich an die IP des Routers, weil es ja mit einer lokalen IP-Adresse deines PCs nichts anfangen könnte. Der Router hat sich gemerkt von wem die Anfrage an computerbase.de ging - dein PC - und leitet die Antwort dann lokal weiter.

Bei DNAT wird die Ziel-Adresse des Pakets geändert. Der klassische Fall sind Portweiterleitungen. Beim Router kommt ein neues Paket an. Er prüft ob es auf den Port einer seiner Portweiterleitungen passt und wenn ja, ändert er die Ziel-Adresse des Pakets auf die lokale IP der Portweiterleitung und reicht das Paket an das eigentliche Ziel weiter.



Das hat im übrigen nichts mit "Portfreigaben" im eigentlichen Sinne zu tun. Die Freigabe wird gewissermaßen durch die Firewall erteilt, die aber erst nach der Portweiterleitung eingreift. D.h. erst leitet der Router das Paket um bzw. ändert das Ziel und dann prüft die Firewall im Router ob die nun geänderte Verbindung überhaupt erlaubt ist. Die Portweiterleitungs-Wizards in Routern erzeugen daher hinter den Kulissen sowohl eine DNAT-Regel als auch eine Ausnahme in der Firewall. Bei fortgeschrittenen Routern wo man NAT und Firewall händisch konfigurieren kann, müsste man beides auch selbst einrichten, wenn man keinen Wizard benutzt.

 

[Rubbiator]

Das ganze ist im Endeffekt über (Reverse)-Proxies realisiert. Ohne diese Technik hätten wir vermutlich schon lange keine freien IPv4 Adressen mehr. Viele, gerade kleinere, Unternehmen haben auch nicht so unendlich viele öffentliche IP Adressen bieten aber verschiedenste Dienste auf dem selben Port an (443, für HTTPS) beispielsweise.
Da kann man dann gut mit Subdomains arbeiten.
beispielsweise vpn.deinefirma.de oder portal.deinefirma.de, beides Sachen, die traditionell 443 verwenden.
Anhand der angefragten Domain, weiß deine Firewall/ dein Router an welchen Server er es weiterleiten muss.

 

[francy_space]

Jetzt wird mir auch klar, warum NAT keine Anwendung bei IPv6 findet.

Bei IPv4 stecken in dem IP-Paket zwei Quelladressen. Die des lokalen Endgeräts und die des Heimrouters an der WAN-Schnittstelle. Dies ist notwendig, da nicht jedes Gerät eine eigene öffentliche IPv4-Adresse hat.

Bei IPv6 hingegen ist die Quelladresse einmalig. Das heißt, ich benötige keine zusätzliche Identifizierung.

 

[Rubbiator]

Es gibt den YouTuber "Sebastian Philippi", der sehr viel über Netzwerktechnik erzählt. Hat mir damals bei meiner Abschlussprüfung auch sehr geholfen, IPv4 vs. IPv6 ist auch sehr gut erklärt und behandelt.

 

[brainDotExe]

Bei IPv4 stecken in dem IP-Paket zwei Quelladressen.

Nein, da ist nur Platz für eine Quelladresse.
Dein Router merkt sich die ursprüngliche Quelladresse und setzt sie bei dem Paket der Antwort wieder als Zieladresse ein.

 

[francy_space]

@Raijin

<Das hat im übrigen nichts mit "Portfreigaben" im eigentlichen Sinne zu tun. Die Freigabe wird gewissermaßen durch die Firewall erteilt, die aber erst nach der Portweiterleitung eingreift. D.h. erst leitet der Router das Paket um bzw. ändert das Ziel und dann prüft die Firewall im Router ob die nun geänderte Verbindung überhaupt erlaubt ist.>

Das müsste dann doch heißen, dass bei IPv6 die Router-Firewall keine Ports freigibt, weil dort kein NAT am Laufen ist. Sprich, wir haben keine geänderte Verbindung, wo sich die Zieladresse ändert und die Firewall nochmal eine Überprüfung vornehmen muss. Lediglich das Weiterleiten von Ports kann man auf dem Router auf IPv6-Basis einstellen.