Zweisprachiges Verbinden

Router für IPv4- und IPv6-Internet

Test & Kaufberatung | Test

Kurz bevor die IPv4-Adressknappheit bis zu den Teilnehmern durchschlagen könnte, hat die Telekom an DSL-Anschlüssen vorausschauend den gleitenden Übergang zum Nachfolger IPv6 eingeleitet. Wer jetzt einen Router kauft, sollte also schon mal darauf achten, dass er die Dual-Stack-Technik für IPv4 und IPv6 beherrscht.

Bereits seit November 2012 schließt die Telekom im Stillen viele neue DSL-Anschlüsse sowohl über das neue Internetprotokoll IPv6 als auch über das alte IPv4 an (Dual-Stack-Modus). Damit erhalten die Teilnehmer nicht nur eine, sondern mehrere IP-Adressen: eine herkömmliche IPv4-Adresse und einen neuen Block IPv6-Adressen.

Wie Sie erkennen, ob bei Ihnen IPv6 läuft, sowie Handreichungen bei den häufigsten IPv6-Problemen mit dem PC, Browser und Router finden Sie im Beitrag ab Seite 124. Wenn Sie auf Ihrem Computer ein halbwegs aktuelles Betriebssystem wie Linux ab Kernel 3.2, OS X Mountain Lion oder Windows ab 7 einsetzen, gehen Sie aber schon damit einem Großteil der dokumentierten Macken aus dem Weg.

Konservative Innovation

Den DSL-Anschlüssen sieht man nicht an, ob sie nur per IPv4 oder auch per IPv6 betrieben werden. Wenn Sie einen DSL-Anschluss mit Analog- oder ISDN-Telefonie haben (ADSL2+ oder VDSL), bekommen Sie vom IPv6 der Telekom nichts mit. Solche Anschlüsse will der Branchenführer auch künftig nicht von sich aus auf den Dual-Stack-Betrieb umstellen. Dann spielt es auch keine Rolle, ob Ihr Router IPv6 spricht oder nicht.

Wenn Sie einen DSL-Anschluss mit VoIP-Telefonie nach Oktober 2012 bekommen haben, dürfte darauf bereits IPv6 geschaltet sein. Dann sollten Sie sich zumindest über Risiken und Sicherheitsvorkehrungen informieren (siehe S. 124). Dort beschreiben wir auch, wie man IPv6-Konnektivität feststellen kann.

Wenn Sie IPv6 brauchen, müssen Sie laut Telekom-Pressesprecher Ralf Sauerzapf lediglich auf einen der Tarife Call & Surf IP oder Entertain comfort IP wechseln. Dann wird die Dual-Stack-Konnektivität automatisch geschaltet. Aber Achtung, vielleicht brauchen Sie dann auch neue Telefone, denn dabei wird auch der Telefondienst auf VoIP umgestellt. Wie sich die VoIP-Telefonie in der Praxis schlägt, haben wir beschrieben [2].

IPv6 startet in Deutschland also langsam. Der Schalter ist aber definitiv umgelegt. Die Kabelnetzbetreiber und andere Anbieter dürften ebenfalls bald folgen. Beispielsweise haben Kabel Deutschland und Unitymedia ein Verfahren namens DS-Lite implementiert und das Dual-Stack-Verfahren soll laut Unternehmensauskünften folgen.

Lösung ohne NAT

Wer also jetzt schon einen Router mit Dual-Stack-Funktion hat, ist damit auf dem richtigen Gleis. Eine Hand voll solcher Router für kleine Arbeitsgruppen sind bereits am Markt. Greifen Sie aber nicht zum Erstbesten, denn im Test offenbarten einige, dass sie an Telekom-Anschlüssen IPv6 nicht nutzen und manche sind sogar ein Sicherheitsrisiko: IPv6-Router schotten das LAN nämlich nicht wie IPv4-Router automatisch per Network Address Translation (NAT) vom Internet ab, sondern brauchen dafür eine IPv6-Firewall-Regel. Hingegen schmeißt ein IPv4-Router mit eingeschalteter NAT alle IP-Pakete, die er keiner von innen aufgebauten Verbindung zuordnen kann, einfach weg.

Der NAT sollte man aber nicht nachtrauern, sie schafft mehr Probleme als sie beseitigt [3]. Eine Absicherung, die der blockierenden NAT-Funktion gleichkommt, schafft jede IPv6-Firewall, wenn sie sämtlichen IP-Verkehr, der nicht aus ihrem LAN angefordert ist, einfach ignoriert (abzüglich der für die Netzwerkkommunikation essenziellen ICMPv6-Nachrichten, etwa für die MTU-Einstellungen). Weil das ein elementares Feature ist, haben wir die Firewalls der Kandidaten genau unter die Lupe genommen und die Geräte umfassend gescannt. Die Ergebnisse dürften Skeptiker bestätigen: Nur drei Geräte sichern ihre IPv6-LAN-Stationen wie erforderlich ab.

Zu den Testkandidaten zählen die IPv6-Novizen Lancom 1781-AW, D-Link DIR-865L, Linksys X3000 und Netgear R6300. Der Trendnet TEW-692GR gehört zwar auch dazu, er kam aber nicht rechtzeitig vor dem Drucktermin dieser c’t in der Redaktion an, sodass wir ihn in einer späteren Ausgabe berücksichtigen.

Bereits zum IPv6-Establishment dürften die Fritz!Boxen von AVM zählen. Der Berliner Kommunikationsspezialist hat seinen Routern schon im Jahr 2009 die IPv6-Tunnel-Technik spendiert (v6-Hilfsverbindungen über IPv4). Und der Dual-Stack kam noch 2011 dazu, als klar war, welche Verfahren und Optionen die Telekom verwenden würde. Wir haben das Flaggschiff 7390 für ADSL2+ und VDSL auf den Prüfstand beordert. Für den Dual-Stack-Betrieb an DSL-Anschlüssen sollten sich aber alle aktuellen Fritz!Boxen eignen. Der sechste Kandidat, Telekom Speedport W921V, ist der 73er-Serie der Fritz!Boxen nachempfunden. Er stammt aber von Arcadyan und ist nur mager ausgestattet.

Es gibt diverse Verfahren für die automatische Aushandlung der Parameter einer IPv6-Verbindung. Da in Deutschland die Telekom als größter Betreiber die Richtung vorgibt, dürfte sich hierzulande an DSL-Anschlüssen das von ihr verwendete Dual-Stack-PPPoE-Verfahren gemäß der Spezifikationen RFC 4241 und TR-187 etablieren. Ein einziger Satz Benutzerdaten wird dabei sowohl für die IPv4- als auch für die IPv6-Anmeldung und Konfiguration verwendet.

Das erscheint ratsam, denn so können alte Router, die nur für IPv4 ausgelegt sind, unverändert ins Internet – sie lassen einfach wie bisher die Aushandlung für IPv6 weg. Moderne Router sollten aber in einer Dual-Stack-PPPoE-Sitzung beide Verbindungen aushandeln, IPv4 und IPv6. Wie das geht, zeigt das Diagramm auf Seite 122.

Muttersprachler

Andere Verfahren, etwa die Aushandlung mittels DHCPv6, Single-Stack-IPv6 per PPPoE oder von Hand eingestellte, feste IPv6-Parameter sind an Telekom-DSL-Anschlüssen für Privatkunden nutzlos. IPv6-Tunnelfunktionen sind hingegen hilfreich, wenn Sie nicht auf einen DSL-Anschluss mit Dual-Stack-Funktion wechseln wollen, aber dennoch IPv6-Konnektivität brauchen. Zu beachten ist aber, dass dann IPv6 ohne IPv4 nicht geht.

Das Testverfahren haben wir entsprechend der neuen Situation auf IPv6-Konnektivität mit Dual-Stack-Funktion ausgeweitet. Dafür musste sich jeder Router an einem Telekom-DSL-Anschluss per IPv4 und IPv6 ins Internet einbuchen. Wir haben dafür eine Dual-Stack-Einwahlgegenstelle der Telekom nachgebildet und an die Telekom-Infrastruktur angekoppelt, sodass sie über übliche Telekom-DSL-Anschlüsse erreichbar ist. Welche Stationen die Pakete bei der Anmeldung durchlaufen, lesen Sie im Kasten „Wenn der Router zweimal …“.

Dabei weist der PPPoE-Server einem Teilnehmer-Router bei jeder Dual-Stack-Einwahl für die WAN-Seite sowohl eine IPv4-Adresse als auch ein IPv6-Subnetz zu (/64-Präfix per Router Advertisement). Danach teilt er dem Router IPv6-Adressen aus einem separaten Subnetz mit (/56er Präfix, Prefix Delegation). Den Präfix reicht der Router mittels DHCPv6 oder Router Advertisements an die LAN-Stationen weiter, sodass sie sich damit eigene IPv6-Adressen generieren können. Die Subnetzbereiche würfelt die Telekom bei jeder Einwahl neu aus. Im Zusammenspiel mit den Privacy Extensions for IPv6 soll das die Zuordnung von IPv6-Adressen zu Nutzern erschweren. Zugleich erleichtert das der Telekom aber auch, die für Server-Angebote erforderlichen festen IPv6-Präfixe nur gegen Aufpreis anzubieten.

Den Dual-Stack-Einwahltest haben nur vier der sechs Kandidaten bestanden. Der Netgear 6300 ist nicht für Dual-Stack-PPPoE ausgelegt und der Linksys X3000 teilte seinen LAN-Stationen das falsche Präfix zu, sodass sie nicht per IPv6 ins Internet kamen.

Natürlich erfüllen alle Kandidaten die Mindestanforderung – sie bringen kleine Netzwerke zumindest per IPv4 ins Internet. Darüber hinaus haben wir in puncto Funktionsumfang und Bedienung erhebliche Unterschiede gefunden. Diese und übrige auswahlrelevante Merkmale haben wir in der Tabelle auf Seite 123 erfasst. Im Weiteren gehen wir auf Besonderheiten der Geräte ein, die sich nicht in der Tabelle erfassen lassen.

Lancom 1781AW

Lancom setzt in seinen Routern sein LCOS-Betriebssystem ein, das sich ab Version 8.800083 auch für den Dual-Stack-Betrieb eignet. Wir haben es mit dem Lancom 1781AW getestet. Der umfangreich ausgestattete Router ist für Unternehmensumgebungen gedacht. Dafür hat er reichlich Netzwerkspezialitäten an Bord, darunter VLANs, IPTV-Unterstützung, WLAN wahlweise im 2,4- oder 5-GHz-Band inklusive Client- und Managed-Modi und als besondere Besonderheit zur Fehlersuche sogar einen WLAN-Trace-Mode bis zur MAC-Ebene hinunter.

Eine Hand voll Assistenten hilft bei der Grundeinrichtung des Feature-Kolosses, sei es bei der Netzwerkkopplung per IPSec-VPN oder einfach nur beim Internetzugang. Dabei fragt der Wizard ab, welche IP-Versionen er berücksichtigen soll (IPv4, IPv6 oder beides per Dual-Stack). Außerdem lässt sich ein bereits eingerichteter IPv4-Internetzugang um IPv6-Parameter erweitern.

Die Firewall blockiert per Vorgabe alles, was nicht aus dem LAN angefordert wurde. Richtet man den Router neu ein, sollte man genau auf die Dialoge des Setup-Assistenten achten. Dort gesetzte Vorgaben lassen sich zwar ändern, eine versehentlich freigegebene Fernwartung etwa per HTTP kann aber eine Lücke in den Netzwerkschutz reißen, die man den Einstellungen nicht auf Anhieb ansieht. Den zugehörigen Port listet Lancoms Router-Betriebssystem nämlich nicht in den Firewall-Einstellungen auf, sondern etwas verschachtelt im Untermenü Management, Admin, Zugriffsrechte.

Praktisch fanden wir, dass die IPv6-Firewall zwischen Regeln unterscheidet, die das LAN betreffen (Forwarding) und solchen, die Router-Dienste regeln (Inbound). Inbound-Regeln enthalten nur Port- und Protokoll-Angaben. Beim Forwarding lassen sich ganze Netze, Schnittstellen und einzelne Adressen einbeziehen.

Im Test klappte die Wizard-Konfiguration nicht immer reibungslos. Wenn man bereits ein Dual-Stack-Profil per Wizard erzeugt hat, ließen sich anschließend mit dem Wizard zwar wie erwartet auch Profile für reine IPv4-Zugänge anlegen, aber das Gerät konnte sich damit nicht einbuchen. Erst ein Reset nebst Neukonfiguration behob das Problem.

Der Lancom ließ nur wenig vermissen, etwa ein automatisches Umschalten zwischen Internet-Zugangsprofilen und einem VDSL-Modem. Über einen der vier Ethernet-Ports kann der 1781AW aber immerhin externe Modems ansteuern, also auch VDSL-Exemplare. Mac-User werden sich die für die automatische Einrichtung von Portweiterleitungen eingesetzten Protokolle UPnP oder NAT-PMP wünschen, weil sie nur damit den iCloud-Dienst Back2MyMac nutzen können.

D-Link DIR-865L

Mit dem Lancom-Router kann der D-Link DIR-865L in puncto Funktionsumfang zwar nicht mithalten, wie überhaupt keiner der Kandidaten im Test, aber er ist immer noch üppig ausgestattet. WLAN-seitig überzeugt er ebenso wie der Netgear R6300. An Bord sind zwei Funkmodule für simultane Übertragungen im 2,4- und 5-GHz-Band per 11n-Spezifikation für brutto bis zu 450 MBit/s und sogar noch gemäß 11ac-Spezifikation für brutto bis 1300 MBit/s.

Die WAN-Verbindung lässt sich zwar über einen eigenen Wizard einrichten, die IPv6-Verbindung mussten wir aber per Hand konfigurieren; dann klappte auch die Dual-Stack-Einwahl. Inakzeptabel ist die Voreinstellung der IPv6-Firewall: Das Gerät verweigerte zwar Zugriffe auf seine eigene Konfiguration aus dem IPv6-Internet, ließ aber jegliche IPv6-Zugriffe ins LAN passieren. Obendrein ließ sich die Firewall mangels Schaltern und Dialogen auch nicht schließen – obwohl das Handbuch das Gegenteil behauptet.

Einen Extrapunkt ließ D-Link im DynDNS-Bereich fahrlässig aus. Der Hersteller wollte zwar offensichtlich auch IPv6 berücksichtigen, hat die Funktion aber nicht fertiggestellt, sodass ihm nur die übliche Aktualisierung von IPv4-Adressen gelang. Lobenswert fanden wir die zusätzliche Absicherung der Anmeldung am Router per CAPTCHA. D-Link nennt das jedoch irreführend grafische Authentifizierung. Man authentifiziert sich dabei jedoch wie gewohnt per Texteingabe; nur das CAPTCHA ist grafisch verschleiert.

Der DNS-Proxy scheiterte bei Abfragen von Subdomain-Labels, die länger als 51 sind (bis zu 63 Zeichen sind erlaubt), das sicherheitskritische UPnP, mit dem beliebige Software aus dem LAN die NAT ohne Warnung öffnen kann, ist ab Werk eingeschaltet. Auf der IPv6-Status-Seite wurden weder Windows- noch Mac-Stationen aufgeführt, obwohl sie durchaus IPv6-Adressen hatten und damit auch über den D-Link ins Internet gelangten.

Der DIR-865L hat einen iTunes- und einen DLNA-Server (Digital Living Network Alliance) an Bord, mit denen er von einem an den USB-Port angesteckten Speichermedium Musik und Videos ins LAN streamen kann. Auf den iTunes-Dienst können mangels Authentifizierung beliebige Nutzer zugreifen, Wiedergabelisten kann man nicht im Router anlegen, ein Button für sicheres Auswerfen von Medien fehlt und die Anleitung verrät nicht, welche File-Systeme geeignet sind (nur NTFS und FAT32). HFS+-formatierte Medien kann er zwar nicht lesen, er annonciert die (nutzlose) Freigabe aber dennoch im LAN.

AVM Fritz!Box 7390

Mit zwei USB-Ports, vier Gigabit-LAN-Ports, einer Tk-Anlage mit DECT-Funk und mehreren Telefonanschlüssen richtet sich die Fritz!Box 7390 von AVM an Netzwerker, die mit einem Gerät auch umfassende Telefonieanwendungen berücksichtigen wollen. WLAN spricht die Box simultan im 2,4- und 5-GHz-Band per IEEE-Norm 802.11n mit maximal 300 MBit/s. An den USB-Ports lassen sich wie erwartet sowohl Drucker als auch Speichermedien anschließen; ein DLNA-Server streamt Musik und Videos ins LAN.

Die Einrichtung gelingt selbst unerfahrenen Nutzern leicht. Dabei hat AVM nicht mit Funktionen und Anzeigen gespart. Im Statusbereich erzählt die Box mehr als manche Profi-Router, bleibt dabei jedoch weitestgehend verständlich.

Der Einrichtungsassistent bringt den Router zuerst nur per IPv4 ins Internet, IPv6 lässt sich in der erweiterten Ansicht über den Punkt Zugangsdaten einfach hinzuschalten. Steht die Dual-Stack-Verbindung, zeigt die Fritzbox IPv6-Details in wünschenswerter Deutlichkeit (Subnetzbereich, Adressen des Routers und der LAN-Stationen, DNS-Server, IPv6-Freigaben etc.). Wie erwartet blockiert die Fritz!Box in der Grundeinstellung alle unverlangten Zugriffe aus dem Internet auf das LAN und der Internetzugriff auf die Konfiguration muss eigens eingeschaltet werden. Beim Ausfüllen der IPv6-Freigaben hilft das Router-Interface mit sinnvollen Vorschlägen, etwa mit den festen IPv6-Adressen der Rechner.

Insgesamt führt AVM gut vor, wie man IPv6 umfassend und zugleich überschaubar implementieren kann. Nicht zuletzt an den Fritz!Boxen dürfte es liegen, dass die Telekom sich entspannt zurücklehnen kann: AVM stellt etwa die Hälfte der privat eingesetzten Router in Deutschland. Regelmäßige Firmware-Updates vorausgesetzt, ist ein großer Teil der installierten Basis bereits auf IPv6 vorbereitet.

Netgear R6300

Der Netgear R6300 fällt mit seiner Gehäusegestaltung positiv aus dem Rahmen – die flache Front aus spiegelndem schwarzem Kunststoff schaut zugleich sachlich und elegant aus. WLAN-seitig ist das Gerät üppig mit schnellen Funkmodulen, WLAN-Repeater, Gastnetzwerk und nach Zeitplan abschaltbarem WLAN ausgestattet. Das WLAN-Passwort ist ab Werk eingestellt, aber fahrlässig auf dem Gehäuseboden aufgeklebt, sodass es Unbefugte ablesen können.

Das Menü erscheint im Vergleich unnötig verschachtelt: Netgear hat die Funktionen in einen Standardbereich und zwei Erweitert-Bereiche aufgeteilt und an etlichen Stellen vermeintlich Unwichtiges verborgen, zum Beispiel die WPS-PIN und die Knöpfe zum manuellen Aufbau der Internetverbindung (Erweitert-Startseite, Verbindungsmodus – dort taucht übrigens nur der IPv4-Status auf, IPv6-Infos fehlen).

An mehreren Stellen lassen die Entwickler Liebe zum Detail erkennen: Beispielsweise kann man bei der DynDNS-Einrichtung direkt aus der Konfigurationsseite den Update-Status abfragen und somit die Korrektheit der Einträge prüfen. Der Netgear lässt sich auch aus der Ferne warten, der Hersteller nennt die Funktion aber Fernsteuerung. Zu tadeln ist, dass auch beim R6300 UPnP ab Werk aktiv ist und dass offene Browser-Sitzungen zu lange gültig sind. Der DNS-Proxy scheiterte bei Abfragen von Subdomain-Labels, die länger als 51 sind. Da bleibt Netgear trotz guter Ansätze noch ein wenig zu feilen.

IPv6 haben die Entwickler zwar mit mehreren Konfigurationsverfahren bedacht und PPPoE ist auch dabei, jedoch nicht DualStack-PPPoE; das Modul ist nur für IPv6 ausgelegt. Deshalb scheiterte der Netgear im Test beim Verbindungsaufbau mit der Dual-Stack-Gegenstelle. An herkömmlichen, nur mit IPv4 belegten DSL-Zugängen stehen einige weitere Methoden für den IPv6-Betrieb bereit. Dabei verwirrt Netgear mit unüblichen Bezeichnungen. Für die manuelle Einrichtung muss man das Courier-Menü wählen und die Einstellung Durchlauf steht für den Betrieb als IPv6-Netzwerkbrücke. Außerdem bietet er die Methoden Auto Detect und Automatische Konfiguration, die aber das Gerät nur per 6to4-Tunnel ins IPv6-Internet brachten. Einstellungen für eine IPv6-Firewall fehlen.

Linksys X3000

Cisco hat seinen Linksys-Router X3000 in ein unaufdringliches Gehäuse mit eleganten Rundungen gesteckt, das optisch gefällt.

Der Hersteller zwingt den Anwender, ein spezielles Einrichtungsprogramm zu installieren, auf der CD sind Versionen für Windows und Mac OS X mitgeliefert. Die Mac-Version ist veraltet und läuft nicht auf Macs mit Mountain Lion. Die jüngste Version 1.4.11320.1 von Ciscos-Supportserver lief im Test ebenfalls nicht (Setup.app ist beschädigt…). Mindestens für solche Fälle, aber auch für Nutzer anderer Betriebssysteme sollte Cisco den weiteren Weg im Web-Interface klar aufzeigen und nicht mit Warnungen verbauen.

Die DSL-Parameter VPI und VCI sind ab Werk nicht für hiesige DSL-Anschlüsse geeignet (1 und 32 sind erforderlich). Einige Funktionen hat der Hersteller seltsam einsortiert – zum Beispiel die manuelle Einwahl im Bereich Status. Über die holperige Übersetzung „Nach oben” für das englische Up im DSL- und PVC-Status kann man noch schmunzeln, gemeint ist natürlich aktiv. UPnP ist ab Werk ohne Warnung aktiv, das WLAN eingeschaltet, die Logging-Funktion aber abgeschaltet und selbst wenn man sie einschaltet, hilft sie bei der Fehlersuche nur unzureichend, weil sie manchen Einträgen keine Uhrzeit zuordnet.

Cisco liefert auf der CD eine Anleitung im PDF-Format von stolzen 738 Seiten Umfang. Sie bezieht sich jedoch auch auf den X2000 und entpuppt sich bei näherem Hinsehen als eine vielsprachige Kurzanleitung von dürftiger Substanz. Selbst das Inhaltsverzeichnis fehlt – den deutschen Text finden Sie ab Seite 115.

Für die Einrichtung des Internetzugangs hat auch der X3000 einen Assistenten an Bord. Der Dual-Stack-Testanschluss brachte ihn so aus der Spur, dass er meinte, zum weiteren Einrichten sei der Kundendienst nötig – es haperte aber lediglich an den selbstverschuldet fehlerhaften VPI/VCI-Voreinstellungen.

Weiter ging es nach manueller Korrektur. Das Gerät holte sich wie erwartet sowohl eine IPv4-Adresse als auch ein IPv6-Präfix für das Transportnetz ab. Den /56er Präfix ließ er aber liegen und gab den LAN-Stationen den falschen – nämlich den /64er, der nur für ihn selbst bestimmt ist. Entsprechend gelangen den LAN-Stationen mit dem per /64er Präfix gebauten globalen Adressen nur DNS-Anfragen über den DNS-Proxy des Routers. Alle ins Internet gerichteten Anfragen blieben unbeantwortet.

Auch der X3000 hat einen iTunes-Server an Bord. Erfreulicherweise kann der nicht nur FAT32- und NTFS-formatierte Medien lesen, sondern auch HFS+-formatierte, wie sie auf Macs mit OS X üblich sind. Auch beim iTunes-Server bleibt noch Raum für Verbesserungen. Normalerweise laufen Konfigurationssitzungen nur befristet, danach ist aus Sicherheitsgründen eine erneute Authentifizierung erforderlich. Der Knopf zum Auswerfen von Medien lässt sich aber auch nach abgelaufener Frist bedienen – der Authentifizierungsdialog kommt erst, nachdem das Medium bereits ausgeworfen wurde.

Telekom Speedport W921V

Der Telekom Speedport W921V eignet sich wie die große Fritz!Box 7390 sowohl für ADSL2+- als auch für VDSL-Anschlüsse. Er ist Hardware-seitig sehr ähnlich bestückt. Das WLAN ist wie bei der Fritz!Box ab Werk eingeschaltet, aber das Passwort ist auf der Geräterückseite angebracht, sodass es Unbefugte missbrauchen können. Der Speedport hat ein dickes Handbuch und eine gänzlich andere Bedienoberfläche, die zwar mit klaren Begriffen überzeugt, aber nicht so flink zu bedienen ist. Eine automatische Firmware-Update-Suche fehlt, die Log-Funktionen ist spartanisch, detaillierte Statusberichte fehlen ganz.

Die Interneteinwahl stellt man wie üblich mit einem Einrichtungsassistenten ein. Unter den Menüs Internetverbindung und Heimnetz sind einige Informationen zu den Interneteinstellungen aufgeführt – etwa die globale IPv6-Adresse des Routers und das im LAN eingesetzte Präfix.

Eine Enttäuschung erlebt man bei der Firewall respektive bei den Portfreigaben. Die dort freigegebenen Dienste auf LAN-Stationen lassen sich nur über IPv4 ansprechen, IPv6-Verbindungen aus dem Internet blockiert der Router. Für Ausnahmen fehlt es der aktuellen Firmware an Einstellungsdialogen.

Fazit

Zwei Router kommen für IPv6 derzeit überhaupt nicht in Frage, der Linksys X3000 und der Netgear R6300. Bei ihnen stellt sich die spannende Frage, ob die Hersteller das Manko per Firmware-Update ausmerzen werden. Für den X3000 spricht lediglich die simple Konfiguration. Diesen Punkt verdient er sich aber auf Kosten des Funktionsangebots. Schon wenn man Durchschnittliches braucht, kommt man mit dem X3000 schnell an Grenzen – wenn man wegen seiner vielen kleinen Macken nicht schon entnervt aufgegeben hat.

Deutlich besser macht es Netgear mit seinem R6300. Wer nur IPv4-Verbindungen braucht und mit dem einen oder anderen Schnitzer leben kann, dürfte vor allem an der Hardwareausstattung seine Freude haben. Der D-Link DIR-865L kann IPv6-Anforderungen immerhin teilweise erfüllen. Er lässt zwar ebenfalls an einigen Stellen Feinschliff vermissen und verstört mit mangelhafter Sicherheit, aber seine Hardware spielt in der gleichen Liga wie der Netgear.

Nur die übrigen drei Kandidaten, der Lancom 1781AW, AVM Fritz!Box 7390 und Telekom Speedport präsentierten sich weitgehend ausgereift. Die üppig ausgestatteten Geräte von AVM und Lancom hängen den Speedport aber locker ab. Wer für eine kleine Firma oder für den Heimbereich einen modernen Router sucht, kommt an der Fritz!Box schwer vorbei. Für das Unternehmensumfeld trifft dasselbe auf den Lancom zu. An diesen beiden Vertreten müssen sich kommende IPv6-Router messen lassen. (dz)

Literatur
  1. [1] Dušan Živadinović, Das Mega-Netz, IPv6 wird Wirklichkeit, c’t 3/07, S. 180
  2. [2] Urs Mansmann, Telefonnetz ade, Umstellen auf Voice over IP, c’t 23/12, S. 128
  3. [3] Johannes Endres, Reiko Kaps, Ende der Enge, Das Internet Protokoll Version 6 löst Probleme und schürt Ängste, c’t 14/09, S. 118
Wenn der Router zweimal …

Die für Dual-Stack-PPPoE-Verbindungen eingesetzte Infrastruktur ist dieselbe, die auch bei IPv4-PPPoE-Verbindungen zum Zuge kommt. Sie besteht aus mehreren Netzen und diversen Netzelementen (siehe Grafik) und kann über Gateways auch zu anderen Providern führen. Diese Infrastruktur haben wir für die Testverbindungen mit einer Dual-Stack-Gegenstelle eingesetzt.

Die Daten des Teilnehmer-Routers nimmt zuerst der DSLAM der Telekom entgegen. Er gibt sie über das ATM-Netz der Telekom zum Broadband Remote Access Router weiter (BBRAR). Der BBRAR aggregiert den Verkehr von vielen Vermittlungsstellen und gibt ihn über den Label Edge Router (LER) in das MPLS-Netz der Telekom weiter (Multiprotocol Label Switching). MPLS gewährleistet verbindungsorientiertes Forwarding in ein verbindungsloses Netz wie IP. Aus dem IP-Netz der Telekom wird die Verbindung über ein spezielles Gateway an den Access-Router des eigentlichen Providers übergeben – die Aushandlung der Verbindungsparameter kann beginnen.

Die vom Teilnehmer-Router gesendeten Pakete werden vom BBRAR bis zum Access-Router des Providers in einem L2TP-Tunnel befördert. Der Access-Router bekommt vom BBRAR eine partially pre-authenticated Session. Das heißt, dass der BBRAR schon mal LCP und PAP gestartet hat (siehe auch Diagramm auf Seite 123), um vom Teilnehmer-Router den User-Namen und dessen Klartext-Passwort abzufragen.

Anhand des Realm im User-Namen (dem Teil vor dem Sonderzeichen) bestimmt dann der Radius-Server der Telekom den Tunnelendpunkt, zu dem der BBRAR seinen L2TP-Tunnel aufmacht. So landet die Verbindung auf dem Access-Router des Providers. Dieser prüft dann ebenfalls per Radius, ob User-Name und Passwort korrekt sind und gibt dann durch den L2TP-Tunnel sein Okay. an den Teilnehmer-Router.

Wenn dieser die Verbindung bestätigt, erzeugt der Access-Router ein virtuelles Interface mittels eines Templates; es enthält eine allgemeine Interface-Konfiguration ergänzt um anschlussspezifische Radius-Informationen. So weit sind IPv4- und IPv6-Verbindungsaushandlungen identisch. Die beiden letzten Aushandlungsblöcke im Diagramm laufen dann nur mit IPv6-Teilnehmer-Routern ab.

Für den Dual-Stack-Betrieb wird im Access-Router zusätzlich noch IPv6 angeknipst. Das genügt für den Start der IPv6CP-Prozedur auf dem PPP-Link. Danach ist klar, ob drüben überhaupt jemand IPv6 spricht und welche link-lokale Adresse derjenige hat.

Anschließend bekommt das virtuelle Interface auf der Seite des Access-Routers ein globales IPv6-Präfix (/64) aus einem Pool. Dieses Präfix teilt der Access-Router dem Teilnehmer per Router Advertisement mit. Der weist sich dann selbst per Stateless Address Autoconfiguration eine globale IPv6-Adresse zu.

Weitere IPv6-Parameter holt sich der Kunden-Router per DHCPv6. So bekommen Clients DNS-Informationen und sie können sich IPv6-Subnetze delegieren lassen. Wenn diese Anfragen kommen, rückt der DHCPv6-Server /56er-Blöcke heraus, die Clients nach Wunsch einsetzen können. Eine Fritz!Box nimmt davon zum Beispiel eines für ihr LAN und WLAN und ein zweites für ihr Gastnetz(-WLAN) – es kann gesurft werden.

(Clemens Schrimpe/dz)

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Anzeige