Feste IP über VPN-Tunnel: Häufig gestellte Fragen

Gerne beantworten wir Ihnen alle Fragen zu unserem Produkt "Feste, öffentliche IPv4-Adresse mieten". An dieser Stelle haben wir häufig gestellte Fragen für Sie zusammengestellt und stehen Ihnen Rede und Antwort.

Falls Sie weitere Fragen haben können Sie uns diese jederzeit per Mail an

info@internet-xs.de

oder auch gerne telefonisch während unserer Geschäftszeiten unter

0711 / 78 19 41-0 

stellen.


Wie wurde externer Zugriff bisher realisiert?

Bei klassischen Internetanschlüssen erfolgen externe Zugriffe (d.h. Zugriffe durch Geräte, die nicht in Ihrem LAN stehen) über eine direkte Verbindung von extern nach intern, zumeist über Zuhilfename eines DDNS-Dienstes wie DynDNS, No-IP, selfhost etc. Das zugreifende Gerät kommuniziert also ohne Umwege direkt mit Ihrem Server.

Klassische Internetanschlüsse terminieren am entsprechenden Modem (z.B. ADSL-Modem, NTBBA) direkt eine, wenn auch dynamische, öffentliche IPv4-Adresse. Vom Internet aus kann also eine 1:1-Verbindung / P2P-Verbindung aufgebaut werden da die öffentliche IPv4-Adresse, die am ADSL-Modem / NTBBA terminiert wird nur Ihnen alleine zugewiesen ist.

Warum ist das bei LTE / UMTS / DS-Lite / NAT-Anschlüssen nicht möglich?

Bei neuen Anschlussformen wie LTE / UMTS und DS-Lite wurden aufgrund des Mangels an IPv4-Adressen oder mangels technischer Realisierbarkeit neue Lösungen zum Nachteil der Kunden der Provider geschaffen. Gängig sind drei Realisierungsformen:

  • DualStack Lite (DS-Lite): Sie teilen sich eine öffentliche IPv4-Adresse mit vielen anderen Kunden
  • Carrier Grade NAT: Sie erhalten an Ihrem Anschluss keine öffentliche IPv4-Adresse mehr sondern eine private IPv4-Adresse (beginnend mit 10.x.y.z, 172.x usw).
  • 6to4 Anschluss: Sie erhalten von Ihrem Provider nur eine IPv6-Adresse. IPv6-Traffic wird providerseitig bei Bedarf simultan für viele Kunden mittels einer öffentlichen IPv4-Adresse in IPv4-Traffic umgesetzt.

Damit verhindern Internetprovider eine direkte Kommunikation zwischen zwei Teilnehmern im Internet.

Wie schafft die Dienstleistung "Feste, öffentliche IPv4-Adresse" abhilfe?

Da bei vielen neuen Anschlussformen wie oben beschrieben zwar keine direkte Verbindung von extern (Internet) nach intern (LAN) möglich ist, eine ausgehende Verbindung (LAN -> Internet) aber problemlos, besteht die Möglichkeit, dass ein Gerät in Ihrem LAN zunächst eine so genannte VPN-Verbindung mit unserem Server aufbaut. Von dort aus besteht dann eine "normale" Verbindung mit dem Internet. Unser Server setzt die VPN-Daten in "normale" Internet-Daten um bzw. übersetzt normale Internet-Daten in VPN-Daten. Dieser Vorgang ist absolut transparent für Endanwender - für Ihre Kunden, Interessenten, Besucher, anderen Server, Software, Apps... ändert sich überhaupt nichts bei der Art und Weise, wie sie auf Ihre Dienste zugreifen.

Kurz gesagt: Ihr Server baut eine permanente Verbindung durchgehend über Tage oder Wochen hinweg mit unserem Server auf und wartet innerhalb dieser Transportverbindung auf eingehende Daten, die Ihr Server von unserem Server erhält. Da der Verbindungsaufbau von Ihrem Server initiiert wird ist die Nutzung über jede uns bekannte Anschlussart möglich.

Anfragen gehen also zunächst auf unserem Server ein und werden dann transparent an Ihren Server weitergeleitet. Antworten auf diese Anfragen von Ihrem Server werden an derselben Stelle wieder transparent in normalen IP-Traffic umgesetzt.

Hilft mir eine Lösung über DDNS oder Fernzugriff-Funktionen?

Nein. DDNS stellt nur eine eine alternative Beschreibung für eine IP-Adresse dar. Bildlich gesprochen: Das DNS ist ein Telefonbuch. Sie tragen sich unter ihresubdomain.dyndnsprovider.de ein und hinterlegen immer Ihre aktuelle IP-Adresse. Unter der aktuellen externen IPv4-Adresse sind aber dutzende Anschlüsse erreichbar. Ein Routing kann nicht zustande kommen.

Sie können jedoch selbstverständlich Ihre feste IP-Adresse, die Sie über unsere Dienstleistung erhalten, bei einem DDNS-Provider hinterlegen. Damit haben Sie weiterhin Zugriff über einen leicht zu merkenden Domain-Namen statt über eine IP-Adresse.

Handelt es sich um eine vollwertige IPv4-Adresse?

Ja! Sie erhalten über die Tunnelverbindung, die einzig zum Zweck des Transports der IP-Daten aufgebaut wird wie z.B. eine PPPoE-Verbindung bei DSL-Anschlüssen, alle Pakete und Protokolle, die Sie über eine direkte Internetverbindung auch erhalten würden. Alle Ports und IP-Protokolle sind freigeschaltet bzw. es sind keine Ports oder Protokolle blockiert.

  • Alle Ports verfügbar
  • Sie können den DNS-A-Record, MX-Record etc. einer Domain auf Ihre feste IPv4-Adresse legen und damit Ihren Server unter www.ihredomain.de erreichbar machen.
  • Sie können weiterhin einen DDNS-Provider verwenden
  • Sie können eine kostenlose Subdomain von uns erhalten, inklusive MX-Eintrag!
  • Die Einrichtung eines für den Betrieb eines Mailservers notwendigen Reverse DNS-Eintrags (RDNS) ist inklusive.

Verschlüsselt die Tunnelverbindung meine Daten zusätzlich?

Nein, die Daten, die zwischen Ihrem und unserem Server ausgetauscht werden sind zwar ggf. verschlüsselt (je nach Konfiguration), spätestens ab unserem Server laufen die Daten jedoch genau so ins Internet wie Ihr Server uns die Daten übergeben hat - und das sind je nach Anwendung unverschlüsselte Daten. Andersherum verhält es sich genau so: Über die Tunnelverbindung wird zwar aus Ihrer Sicht eingehender Traffic verschlüsselt, jedoch betrifft das nur die Strecke zwischen Ihrem und unserem Server. Zugreifende Endgeräte, die sich z.B. in einem unsicheren WLAN befinden, schicken ggf. Daten unverschlüsselt an unseren Server. Damit ist dieser Teil der Strecke nach wie vor angreifbar, egal wie gut die Verschlüsselung zwischen Ihrem und unserem Server ist.

Kurzum: Verschlüsselung ist nur eine Zusatzfunktion einer Tunnelverbindung. Es gibt auch Tunnel / VPN-Netzwerke ohne Verschlüsselung. Da unser Dienst nur für den Transport von IP-Daten vorgesehen ist, spielt die Verschlüsselung an dieser Stelle keine große Rolle. Hätten Sie einen "normalen" Internet-Anschluss würden die Daten zwischen Ihrem Modem und Ihrem Provider ja auch nicht automatisch verschlüsselt werden. Nur durch die Nutzung von verschlüsselten Protokollen wie IMAPS, SMTPS / SMTP mit STARTTLS oder HTTPS können Daten zwischen zugreifendem Gerät und Ihrem Server durchgängig verschlüsselt werden.

Für die Absicherung Ihrer Dienste sind Sie jedoch selbst verantwortlich. Wir transportieren nur die Daten Daten weiter, die Sie oder zugreifende Geräte uns übergeben - im Zweifelsfall unverschlüsselt.

Kann ich Daten zwischen meinem Smartphone / Notebook und meinem Server trotzdem über eine persönliche VPN-Verbindung verschlüsseln?

Ja! Das ist natürlich möglich. Sie können eine eigene, persönliche VPN-Verbindung innerhalb unseres Transporttunnels aufbauen. Das funktioniert genau so wie wenn Sie einen VPN-Server direkt über das Internet anbinden würden. Alle Protokolle sind möglich: PPTP, OpenVPN, IPSec...

Es existiert damit quasi ein Tunnel im Tunnel: Ihr persönlicher, für Ende-zu-Ende-Verschlüsselung konfigurierter VPN-Tunnel existiert in unserem generischen, für Transport bestimmten VPN-Tunnel.

Erhöht sich die Latenzzeit bei der Nutzung Ihrer Dienstleistung "Feste, öffentliche IPv4-Adresse"?

Ja, die Latenzzeit kann sich geringfügig erhöhen. Wir haben zwar eine Glasfaseranbindung und damit eine schnelle Route von unserem Standort nach Frankfurt, dem "Herzen" des Internets in Deutschland, jedoch erhöht sich durch die Umsetzung und den zusätzlichen Umweg die Latenzzeit prinzipbedingt geringfügig. Außerdem spielt Ihre eigene Internetleitung eine maßgebliche Rolle: Eine hohe Bandbreite ist nicht gleichzusetzen mit geringer Latenz!

Beispiel 1: Verbindung von einem zugreifenden Gerät (Besucher, Interessent, Kunde, Server etc.) aus Stuttgart zum Standort Ihres Servers in Köln: Falls der Nutzer ein sogenanntes "Peering" mit unserem Internetprovider in Stuttgart betreibt, beläuft sich die zusätzliche Latenzzeit auf wahrscheinlich nur wenige Millisekunden. Die Daten wären ja ohnehin wahrscheinlich über Stuttgart nach Frankfurt nach Köln gelaufen.

Beispiel 2: Verbindung von einem zugreifenden Gerät aus Italien zum Standort Ihres Servers in Hamburg: Die zusätzliche Latenzzeit erhöht sich wahrscheinlich geringfügig da die Daten wahrscheinlich zunächst von Italien nach Frankfurt über Stuttgart wieder nach Frankfurt nach Hamburg transportiert werden müssen. Da die "Grundlatenz" in diesem Beispiel ohnehin schon höher ist als eine innerdeutsche Verbindung ist die prozentuale Erhöhung dennoch nicht sehr hoch.

Beispiel 3: Verbindung von einem zugreifenden Gerät in Hamburg zu Ihrem Server in Berlin: Die Latenzzeit erhöht sich da die Daten wahrscheinlich von Hamburg über Frankfurt nach Stuttgart, von Stuttgart über Frankfurt nach Berlin transportiert werden müssen. Dabei handelt es sich aber voraussichtlich trotzdem nur um wenige Millisekunden.

Beispiel 4: Verbindung von einem zugreifenden Gerät in Leipzig zu Ihrem Server in Leipzig, der unsere Dienstleistung "Feste, öffentliche IPv4-Adresse" verwendet: Die Latenzzeit verdoppelt sich da die Daten zunächst von Leipzig wahrscheinlich über Frankfurt nach Stuttgart und von Stuttgart aus wahrscheinlich wieder über Frankfurt wieder nach Leipzig transportiert werden müssen.

Allgemein: Der Weg, den Pakete durch das Internet nehmen ist nicht fest vorgegeben und vor allem davon abhängig, welche Provider beim Transport beteiligt sind. Die Latenzzeit erhöht sich im Normalfall nur um wenige Millisekunden. Bei Zugriffen auf z.B. Web- und Mailserver ist diese kurze zusätzliche Verzögerung zwar technisch messbar, für Besucher / Interessenten / Kunden etc. kaum merklich.

Einige unserer Kunden betreiben mithilfe unserer Dienstleistung sogar Voice-Server und Telefonanlagen. Selbst Anwendungen, bei denen nahezu Echtzeit-Datenübertragung erforderlich ist, ist unsere Dienstleistung nutzbar.

Wird zusätzliche Hardware für die Nutzung benötigt?

Das hängt davon ab, ob auf Ihrem anzubindenden Gerät (= das Gerät, das über die feste IP erreichbar gemacht werden soll) ein kompatibler VPN-Client zur Verfügung steht. Falls Sie eines der folgenden Geräte / Betriebssysteme anbinden möchten, wird i.d.R. keine zusätzliche Hardware benötigt, die Lösung ist also rein Software-Basiert:

  • Windows / Windows Server
  • Linux Server (auch Raspberry etc.)
  • Mac OS X / Mac OS X Server
  • Synology Diskstation / DSM
  • QNAP / QTS
  • DD-WRT 
  • OpenWRT
  • Android

Falls Sie keines der oben genannten Geräte / Betriebssysteme in Ihrem LAN zur Verfügung haben bzw. die feste IP auf einem Gerät mit einem Embedded Betriebssystem nutzen möchten wie

  • IP-Kameras
  • Kassensysteme
  • Netzwerke mit vorgeschalteter Firewall
  • Industrielle Steueranlagen
  • Fernwartung für Geräte mit Embedded-Betriebssystemen
  • Provider-Router wie Fritz!Box (nur wenn der Zugriff auf das Webinterface von extern ermöglicht werden soll)

ist zusätzliche Hardware wahrscheinlich erforderlich. Auf einem zusätzlichen Endgerät Ihrer Wahl, auf dem ein kompatibler VPN-Client installiert und / oder konfiguriert werden kann, liegt dann die feste IP-Adresse an. Von dort aus können Sie dann Port-Weiterleitungen zu den eigentlichen Geräten einrichten.

Sie sind sich nicht sicher? Wir beraten Sie gerne individuell. Nehmen Sie einfach per Mail an vertrieb@internet-xs.de oder Telefon 0711 / 78 19 41-0 Kontakt mit uns auf!

Passende Produkte / Dienstleistungen

Problem nicht gelöst?

Falls Ihr Problem im Support-Bereich nicht gelöst wurde oder Sie weitere Hilfe benötigen, rufen Sie uns einfach an oder schreiben Sie uns:

0711 / 78 19 41-0
support@internet-xs.de

IP-Adresse: http://www.internet-xs.de/tools/ip