Fritzbox, WireGuard und IPSec: Endlich VPN via IPv6

Einer der Wachstumsschmerzen, den das viel zu klein geschneiderte Netzwerkprotokoll IPv4 verursacht, sind Internet-Anschlüsse ohne öffentliche IPv4-Adressen: Man kann zu solchen Anschlüssen keine VPN-Tunnel aufbauen, um aus der Ferne auf Cloud- oder NAS-Server zuzugreifen, die dahinter im Netzwerk stehen. Die Problemstellung kennt man von Kabel- und Glasfaseranschlüssen und Mobilfunkzugängen.

Die Misere hat zwei Gründe: Alle drei Anschlussarten bringen Netzwerkgeräte zwar mittels privaten IPv4- und globalen IPv6-Adressen ins Internet (Dual-Stack Lite). Aber aus IPv4-Sicht liegen der Anschluss und das komplette private Netzwerk hinter der Adressumsetzung des Providers verborgen (Carrier-Grade Network Address Translation, CG-NAT). Und der Weg über IPv6 liegt brach, weil die für solche Anschlüsse üblichen Router bisher für VPN per IPv6 nicht ausgelegt sind.

Es gibt zwar Hilfsmittel, die die Not lindern (siehe ct.de/ytyc), aber keines davon überzeugt vollends: Tools wie TeamViewer oder Desktop-Freigaben per FaceTime oder Skype funktionieren zwar technisch einwandfrei, aber da es offen ist, ob unabhängige Fachleute die Güte der Implementierung prüfen, muss man dem Hersteller der Software blind vertrauen. Mehr dazu steht im Kasten weiter unten.

Gängige VPN-Techniken wie IPSec, OpenVPN oder WireGuard werden hingegen immer wieder auf Herz und Nieren geprüft. Nun will der Berliner Hersteller AVM seinen Fritzboxen WireGuard spendieren und IPSec um IPv6-Funktionen erweitern. WireGuard eignet sich von Haus aus sowohl für IPv4 als auch für IPv6. Damit kann man zu Kabel-Fritzboxen VPN-Tunnel von Dual-Stack-Anschlüssen, Mobilfunkgeräten und von anderen Kabel-Fritzboxen aufbauen. Beide VPN-Techniken befördern IPv4-Daten im IPv6-VPN-Tunnel, sodass man aus der Ferne auf IPv4-Geräte im LAN zugreifen kann – endlich! Über den Stand der Entwicklung kann man sich jetzt schon anhand von öffentlichen Beta-Versionen ein Bild machen (siehe ct.de/ytyc).