Unitymedia und DS(not-so?)Lite

Bildschirmfoto vom 2015-07-22 22:11:45Bei uns auf der Arbeit hat sich ein Techniker verklickt. Und so wie die Entdeckung des Penicillin stattfand (durch puren Zufall), erkannten wir auch plötzlich: An Unitymedia-Anschlüssen ist PPTP möglich. Das dürfte unmöglich sein und war bisher unmöglich. Was ist passiert und was kann man mit den Anschlüssen noch so anstellen?

Warum sollte PPTP unmöglich sein und wie funktioniert die Kabel-Technik?

PPTP wird – obwohl veraltet und mittlerweile als unsicher geltend – immer noch bei vielen Unternehmen als VPN-Einwahl verwendet. Das ist zwar ein wenig traurig, aber leider Tatsache. Das Resultat daraus: viele die von Zuhause aus tätig sind, konnten Unitymedia nicht nutzen. Da UM erst spät in das Provider-Business eingestiegen ist, wurden Ihnen nur wenig IPv4 Adressen zu Teil, so dass sie mit die ersten waren, die – neben den Mobilfunkanbietern – auf den DSLite Stack ausweichen mussten. Während man bei klassischen Anbietern, wie der Telekom, eine öffentlich IPv4 Adresse erhält, während man eingewählt ist, bekommt man von Unitymedia nur einen öffentlichen IPv6 Adressbereich und eine private IPv4, die dann an der Kopfstelle (Cable Modem Termination System – CMTS) mit Hilfe von NAT (genauer: Carrier Grade NAT – CGN) ins Internet übergeben wird.
Das hat einige Vorteile – vor allem gegenüber DSL: zum einen kann eine CMTS um die 120.000 Kunden versorgen. Aktuell verwendet Unitymedia den EuroDOCSIS 3.0 Standard, womit 200 Mbit/s Downstream und 108 Mbit/s Upstream theoretisch möglich sind. Dabei darf der Kunde bis zu 160km vom CMTS entfernt sein. Schon hiervon können DSL Kunden bestenfalls träumen. Zum Vergleich: Ein Telekom DSLAM (die VDSL Version des CMTS) kann in maximal 1,2km Entfernung 24 Kunden mit 100Mbit/s versorgen, die sich Up- und Downstream teilen müssen. (Wobei die Telekom natürlich mehrere DSLAMs in die grauen Kästen um die Ecke stopft)
Und dabei ist DOCSIS 3.1 bereits in der Vorbereitung. Ohne Investion in neue Netze („nur“ neue CMTS) sollen dann 10Gbit/s im Downstream und 1 Gbit/s im Upstream möglich sein. Theoretisch kann dann ein komplettes Rechenzentrum am heimischen Kabelanschluss betrieben werden.
Neben den Vorteilen: der Geschwindigkeit, Entfernung und Kundenmenge, hat das aber auch Nachteile. Nur im IPv4 Netz gesehen, betreibt Unitymedia im Prinzip riesige lokale Netzwerke, die dann von Routern mit dem Internet verbunden werden. Dadurch hat der Kunde keine eigene öffentlich IP mehr, sondern wird durch ein NAT mit der großen weiten Welt verbunden.
Wer zuhause einen Server betreibt, weiß: NAT bedeutet, dass die Erreichbarkeit von aussen nur möglich ist, wenn man den Router umkonfigurieren kann. Ohne ein DNAT (Destination Network Address Translation), bleiben die Server aus dem Internet unerreichbar. Da trotz allem guten Zureden die Unitymedia-Hotline mir den Login für ihre Router nicht verraten wollte, blieben damit meine Server von aussen unerreichbar.
Gleiches gilt für PPTP: dieses VPN Protokoll setzt voraus, dass der PC aus dem Internet erreichbar ist, was das CGN verhinderte.

Was hat sich geändert?

Die einzige feststellbare Tatsache ist, dass PPTP von Unitymedia aus jetzt nutzbar ist. Über die Ursache hält sich die Unitymedia-Hotline in vornehmes Schweigen:

Die Hotline bleibt zurückhaltend

Die Hotline bleibt zurückhaltend

Was könnte sich geändert haben?

Nun, es könnte sein, dass Unitymedia jetzt auf Verbindungsversuche auf Port 1723 achtet und dann ein NAT in Ihren CGN-Routern dynamisch einrichtet, um Business-Kunden ruhig zu stellen. Das ist auch die wahrscheinlichste Antwort. Baue ich einen PPTP VPN zu den Servern meiner Kunden auf, sehe ich nur eine ganz normale NAT Adresse, so als würde ich nicht durch ein DSLite-Netz geschleust.
Der schöne Traum wäre, dass die Unitymedia-Modems bzw. die CMTS nun PCP beherrschen. Das würde bedeuten, dass auf dem Router ein freier Port belegt werden könnte. Weil das Modem von UM so in sich geschlossen ist, war es mir leider unmöglich die „lokale“ IP meines AFTR-Gateways herauszufinden. Ich habe versucht PCP Anfragen an die öffentlich IP des Gates zu senden, die blieben aber – wie zu erwarten ist – unbeantwortet. PCP (Port Control Protocol) ist übrigens ein Protokoll, mit dem ein Gerät (PC, Router, Firewall…) einen Port dynamisch in einem vorgelagerten Gerät freischalten und durchleiten (NAT) kann. Die Einrichtung einer Portweiterleitung im Kabelmodem blieb ohne erkennbaren Erfolg, auch ein Neustart hat keine Ergebnisse geliefert, die irgendwie auf PCP hindeuten.
Theoretisch wäre auch möglich, dass PMP unterstützt wird. Hierbei handelt es sich um einen Vorläufer von PCP, der defacto nur von Apple unterstützt wird. Da Unitymedia scheinbar komplett auf Cisco-Geräten basiert, darf dies wohl in die Welt der Phantasie verwiesen werden.
Fazit: PPTP (und vielleicht auch einige Online-Spiele) funktionieren jetzt mit Unitymedia. Das ganze scheint noch sehr experimentell zu sein, da sich die Hotline so in Schweigen hüllt und eine Entwicklung – die im Profibereich ziemlich revolutionär ist – als Zufall abtut.

Ist das alles?

Nein. Das Hauptproblem von DSLite ist ja, dass Server nicht von aussen erreichbar sind. Der Vom CMTS zugewiesene IPv6-Adressbereich ist aber tatsächlich öffentlich. Hängt am Unitymedia-Modem ein voll IPv6 kompatibles Gerät, ist dies auch aus der großen weiten Welt erreichbar, solange der Konfiguriende weiß, was er tut und die komplette Verbindung zwischen den Geräten IPv6-fähig ist. Dafür ist nur eine kleine Anpassung im UM-Modem fällig.
In der Werkseinstellung antwortet euch das Modem auf http://192.168.0.1, der Login ist admin:admin. In dem Modem müsst ihr dann auf Advanced und Firewall wechseln und die Firewallfunktion des Modems deaktivieren (tut das nur, wenn ihr bisher alles verstanden habt und wisst was ihr tut):

Bildschirmfoto vom 2015-07-22 22:02:34

Das Modem ist in der Standard-Einstellung bereits so nett und erteilt allen euren Geräten eine öffentliche IPv6 Adresse. Schaltet ihr die Firewallfunktion des Modems ab, sind diese uneingeschränkt von aussen erreichbar (hier ein Scan auf die IPv6 des Debian, von dem aus ich gerade diesen Artikel schreibe):
Bildschirmfoto vom 2015-07-22 22:05:54

Solange ihr euch also in reinen IPv6 Netzen bewegt, sind eure Server von außen voll erreichbar und das …. *trommelwirbel* … ohne NAT mit einer riesigen Anzahl von IP Adressen.

Das Fazit-fazit: durch die neue Funktion, die Unitymedia klammheimlich eingeführt hat, werden die Spielerei-Anschlüsse mit der dicken Bandbreit auch für den professionellen Einsatz interessant. Wer sich schon in reinen IPv6 Netzen bewegt, merkt keinerlei Einschränkung mehr. Liebe Freunde von Unitymedia: ihr wart eurer Zeit vorraus, habt jetzt die Verbindung zur Gegenwart gefunden und könnt nun anfangen, die Zukunft zu gestalten. So oft ich schon über euch geschimpft habe: ihr habt es jetzt in der Hand: bringt uns das echte NGN (Next Generation Networks)…

Sollte ein Unitymedia-Techniker dies lesen und wirklich Licht ins Dunkel bringen können, weshalb PPTP jetzt möglich ist und ob und wie man noch weitere Ports auf euren Routen schalten kann: ich biete vollwertigen Informantenschutz unter falkoz@gmail.com 😉

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s