NAT-Loopback oder “wie DynDNS fürs interne Netzwerk fit gemacht werden kann”

NAT-Loopback oder “wie DynDNS fürs interne Netzwerk fit gemacht werden kann”

Dynamic DNS oder kurz DynDNS ist die Technik, die es ermöglicht, über eine sich nicht ändernde Internetadresse auf einen Server zuzugreifen, der sich an einem Internetanschluss mit wechselnder IP-Adresse befindet. Auch Homie und Fellow machen von dieser Technik Gebrauch. Für eine komfortable Nutzung von DynDNS auf den beiden Servern ist jedoch eine zweite technische Voraussetzung notwendig: Das Internet-Gateway aka Router muss NAT-Loopback unterstützen. Glücklicherweise unterstützen die meisten Router in Deutschland, Österreich und der Schweiz diese Technik. Leider jedoch nicht alle. Dieser Artikel erklärt die Idee von NAT-Loopback und zeigt auf, welche Router NAT-Loopback Unterstützung mitbringen und welche nicht.

Die Bedeutung von DynDNS für Heimserver

Fritz!Box unterstützt NAT-Loopback

Eindeutig definierte Adressen sind für die korrekte Zustellung von Datenpaketen in Netzwerken genauso wichtig wie sie für die Zustellung von Paketen in der realen Welt sind. Befände sich die Postleitzahl 55116 am einen Tag in Mainz, am nächsten Tag in Berlin und am Folgetag in München, bei der Paketzustellung entstände ein heilloses Durcheinander.

Tatsächlich ist die geschilderte Situation bei den meisten Internetanschlüssen für Privatnutzer jedoch die Normalsituation. Der Internetrouter erhält täglich eine neue öffentliche IP-Adresse vom Internetanbeiter (kurz ISP für Internet Service Provider). Heute hat der Router die öffentliche Adresse 93.197.80.253, gestern war er mit der IP-Adresse 87.159.207.74 im Internet verbunden, und morgen wird es wieder eine andere sein. Es braucht also einen Lokalisierungsdienst, der die variable Adresse des Internetanschlusses unter einer statischen Adresse verfügbar macht.

DynDNS ist dieser gesucht Lokalisierungsdienst. Bei DynDNS prüft ein Netzwerkgerät in konstanten Intervallen auf die Veränderung der öffentlichen IP-Adresse. Tritt eine Veränderung ein, dann meldet es die neue Adresse an eine zentrale Instanz. Diese zentrale Instanz ist wiederum über eine statische Adresse erreichbar. Von dieser erfährt man die aktuelle IP-Adresse des gesuchten Internet-Gateways. Damit die Abfrage der aktuellen Adresse denkbar einfach ist, ordnet man Ihr einfach eine URL zu. Dies ist die DynDNS-Adresse.

Zur Verdeutlichung ein fiktives Beispiel für die Arbeitsweise von DynDNS: Ein kleines Programm auf Homie prüft in regelmäßigen Abständen die öffentliche IP des Routers. Findet das Programm eine Abweichung in der öffentlichen IP gegenüber der letzten Abfrage, dann schickt es ein Adress-Update an einen DynDNS-Dienst, z.B. spDYN von Securepoint. Der DynDNS-Dienst speichert die neue Adresse und stellt sie bei Anfragen zur Verfügung. Ruft man seine DynDNS-Adresse auf, z.B. example.spdns.eu, dann löst spDYN die URL auf die IP des Routers auf. Ganz einfach testen lässt sich dies mit einem Ping an die DynDNS-Adresse (siehe Abbildung unten).

Ping auf eine DynDNS-Adresse

Probleme mit DynDNS bei Zugriffen aus dem lokalen Netzwerk

DynDNS bietet also eine komfortable Technik, die auch von unterwegs den zuverlässigen Zugriff auf den eigenen Server im Heimnetzwerk mit dynamischer offentlicher IP ermöglicht. Wenn man in den Client-Geräten den Server Zugriff via DynDNS-Adresse konfiguriert, ist man von den Änderungen der öffentlichen IP des Servers unabhängig.

Ein Problem kann jedoch auftreten, wenn man aus dem eigenen lokalen Netzwerk via DynDNS auf den Server zugreifen will. Diese Situation lässt sich leicht an einem Beispiel veranschaulichen:

Client: Request an den Server per example.spdns.eu, die per DynDNS auf die öffentliche IP des Routers aufgelöst wird
Router: Routing des Requests an den Server im lokalen Netzwerk, wobei die öffentliche IP des Routers durch die lokale IP des Servers ersetzt wird (z.B. 192.168.178.10)
Server: Response an die lokale IP-Adresse des Clients als Absender, da diese vom Router nicht verändert wurde (z.B. 192.168.178.5)
Router: Routing der Pakete an den Client via lokaler IP
Client: Verwerfen der Antwort, da eine Antwort von der öffentlichen IP des Routers erwartet wird

Eine bidirektionale Kommunikation zwischen dem Client und dem Server kann nicht zustande kommen, da die NAT-Regeln des Routers in Kombination mit den Sicherheitseinstellungen des Clients dafür sorgen, dass die Antworten des Servers vom Client nicht akzeptiert werden. Ohne weiteres ist mit DynDNS also kein Zugriff auf interne Ressourcen aus dem lokalen Netzwerk möglich.

NAT-Loopback als Lösung für DynDNS-Zugriffe aus lokalem Netzwerk

Damit bei Zugriffen aus dem lokalen Netzwerk per DynDNS die Anfragen vom Client angenommen werden, ist es nötig, dass der Router bei der Antwort des Servers dessen interne IP durch seine eigene externe IP-Adresse ersetzt. Dann bekommt der Client die Antworten vom aus seiner Sicht richtigen Absender und akzeptiert die Pakete.

Die Technik, die DynDNS für den Einsatz in lokalen Netzwerken fit macht, nennt sich NAT-Loopback. NAT-Loopback sorgt dafür, dass der anfragende Rechner im lokalen Netzwerk die Antwort von der erwarteten Stelle zurück erhält. Ein Router mit NAT-Loopback Unterstützung beseitigt die oben dargestellte Einschränkung von DynDNS.

Ein mit NAT-Loopback eng verwandter Begriff ist Hairpinning: Mit Hairpinning ist die Kommunikation zwischen zwei Geräten in ein und demselben Netzwerk über die externe IP des Internet Gateways gemeint. NAT-Loopback ist also die Technik, die Hairpinning ermöglicht.

Router mit Hairpinning-Unterstützung

Die meisten Router in Deutschland sind mittlerweile NAT-Loopback fähig. Die Situation in Österreich ist ähnlich. In der Schweiz unterstützen die Router von UPC kein Hairpinning und der Kabelanbeiter ist auch nicht gewillt, Kunden alternative, leistungsfähige Router verwenden zu lassen. Anders als in Deutschland, wo der Routerzwang in 2016 fiel, hat man als Kunde wenig in der Hand.

Die technischen Dokumentationen vieler Router sind hinsichtlich Ihrer NAT-Loopback-Fähigkeit nicht besonders auskunftsfreudig. In den nachfolgenden Tabellen haben wir versucht, eine Übersicht zu erstellen (alle Angaben ohne Gewähr):

Apple

Airport Extreme ja

AVM

Fritz!Box 7140 ja
Fritz!Box 7390 ja
Fritz!Box 7490 ja

Deutsche Telekom

Digitalisierungsbox Standard ja (nach Aktivierung)
Digitalisierungsbox Premium ja
Digitalisierungsbox Smart ja (nach Aktivierung)
Speedport W503V ja
Sportport W724V Typ A nein
Sportport W724V Typ B ja (ab Firmware 01011603.05.020)
Sportport W724V Typ C nein
Speedport W922V nein

Sunrise (CH)

Sunrise Internet Box nein

Swisscom (CH)

Internet-Box Standard ja
Internet-Box Light nein
Internet-Box Plus ja
Internet-Box 2 ja

UPC (CH)

Horizon Box nein

Vodafone

EasyBox 803 ja
EasyBox 804 nein
geschrieben von

Ralf Dyllick-Brenzinger