Hallo @Marita W.,

vielen Dank für die Antwort.

Ich habe mir jetzt eine Speedbox II (ZTE Modell MF281) ausgeliehen. Von der Konfiguration scheint das ähnlich zu sein, wie dieSpeedbox ZTE HyperBox 5G - MC801A.

Ein Zugriff über IPv4 scheint nur möglich zu sein, wenn man als APN "internet.t-d1.de" einträgt.

Das mit "Sie können nur ein Gerät hinter der Speedbox... erreichen" ist zumindest bei der Speedbox hier so nicht richtig. Die Speedbox ist ein bisschen dümmlich und kann u.A. keine Port Address Translation. D.h. das Port auf dem die Speedbox auf eingehende Verbindungen muss dem offenen Port auf dem Gerät im lokalen Netzwerk entsprechen. Es können bis zu Zehn Geräte im Netzwerk angesprochen werden, die allerdings dann alle auf unterschiedlichen Ports lauschen müssen. Über DynDNS würde das sogar funktionieren. Das müsste dann ein anderes Gerät im Netzwerk machen, die Speedbox II kann kein DynDNS.

Ich habe diesen Ansatz nicht weiter verfolgt weil es für mich ein No-Go ist, Funktionen in operativen Umgebungen zu nutzen, die nicht offiziell freigegeben sind. Für den APN internet.t-d1.de ist das so.

Ich habe also eine andere Lösung gewählt, und die sieht so aus:

Ich habe einen Cloud-Server, auch VPS (virtual private Server) gemietet. Diese Server haben eine feste IPv4-Adresse und bei IPv6 ein festes /64-Prefix. Cloud-Server bedeutet in diesem Zusammenhang nicht, dass man Daten in der Cloud speichern kann, sondern dass man aus einer Cloud Server bekommen kann. So einen Cloud-Server bekommt man in guter Qualität schon für weniger als 5 €/Monat.

Auf diesem Cloud-Server habe ich Debian als Betriebssystem gewählt.

Im internen Netz wird jetzt noch ein Zugangs-Server installiert (oder ausgewählt). Das kann ein eigenständiger Rechner sein, eine virtuelle Maschine, oder ein Rechner, der sowieso schon da steht, ständig verfügbar ist, und irgendwelche Dienste verrichtet. Auf meinem läuft ebenfalls Debian.

Auf dem Zugangs-Server erstellt man sich einen SSH-Key (alls Fragen nur mit der Eingabetaste beantworten):

ssh-keygen

Den Inhalt der Datei .ssh/id_rsa.pub vom Zugangs-Server kopiert man in die Datei /root/.ssh/authorized_keys auf dem Cloud-Server (hinten anhängen, wenn da schon was drinsteht).

Testen mit (2001:db8::1 ist durch die reale IPv6-Adresse des Cloud-Servers zu ersetzen):

ssh root@2001:db8::1

Die Frage, ob man sich wirklich verbinden will, beantwortet man mit yes (wirklich diese drei Buchstaben eingeben).

Mit IPv4 ginge das zwar auch, aber IPv6 ist hier das deutlich bessere Protokoll.

Wenn die Verbindung geklappt hat, kann man sie mit 'exit' (ohne die Anführungszeichen) wieder beenden.

Nun erstellt man auf dem Cloud-Server eine Datei /etc/ssh/sshd_config.d/sshd.conf mit dem Inhalt:

Match User root

  GatewayPorts clientspecified

Diese Einträge sorgen dafür, dass die Ports auf dem Cloud-Server vom Zugangs-Server aus geöffnet werden können. Nun den ssh-server auf dem Cloud-Server neu starten:

systemctl restart sshd

Ich empfehle dringend (!), eine zweite Verbindung zu dem Cloud-Server aufzubauen und den Befehl von dieser aus abzusetzen. Wenn irgendwas nicht funktioniert, steht die erste Verbindung noch, und es ist noch was zu retten.

Testen kann man das jetzt vom Zugangs-Server aus z.B. mit:

ssh -R *:2222:192.168.0.2:22 root@2001:db8::1

2222 ist der Port der aus dem Internet geöffnet ist für die Verbindung zum Zugangs-Server

192.168.0.2 ist die Adresse des Zugangs-Servers im lokalen Netz der Speedbox

22 ist das geöffnete Port auf der Speedbox.

Diese Werte sind natürlich gegebenenfalls anzupassen.

Solange die Verbindung zum Cloud-Server besteht, kann man den Zugangs-Server aus dem Internet erreichen mit:

ssh -p 2222 root@11.22.33.44

11.22.33.44 ist durch die reale die IPv4 des Cloud-Servers zu ersetzen.

Das mit dem Port-Forwarding per ssh geht auch mehrfach:

ssh -R *:2222:192.168.0.2:22 -R *:80:192.168.0.3:80 -R *:443:192.168.0.3:443 root@2001:db8::1

192.168.0.3 ist ein Webserver im lokalen Netz, der auf den Ports 80 (http) und 443 (https) lauscht

Der Webserver ist jetzt erreichbar über:

http(s)://11.22.33.44

Natürlich kann man einen DNS-Eintrag auf 11.22.33.44 setzen und darüber den Webserver ansprechen.

Damit die Verbindung zum Cloud-Server nicht des öfteren abbricht, nutze ich autossh (auf dem Zugangs-Server installieren mit apt-get install autossh):

autossh -M 26438 -f -T -N -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -R *:2222:192.168.0.2:22 -R *:80:192.168.0.3:80 -R *:443:192.168.0.3:443 root@2001:db8::1

26438 Port, über das autossh die Verbindung überprüft (und das nachfolgende, also 26439)

Vorteile dieser Methode:

- Maximale Performance aus dem Netz der Speedbox

- Stabile Verbindung aus dem Internet über eine feste IPv4-Adresse

- Flexible Konfiguration

Nachteile dieser Methode:

- TCP-Only (eingehende UDP-Verbindungen sind so nicht möglich)

- Die IP-Adresse des von extern Zugreifenden wird nicht mit übertragen

Und zum Schluss noch:

Die Telekom sagt in ihrem Flyer "Feste IPv6-Adresse": "Mit der festen IPv6-Adresse ist Ihr Mobilfunk-Internet-Zugang weltweit direkt adressierbar." (ganz unten im Flyer der "Sternchentext"). Die Speedbox scheint das Forwarding mit IPv6 zu können. Ich habe die Option aber nicht und kann es deshalb nicht testen.

https://geschaeftskunden.telekom.de/mobilfunk/tarife/zubuchoptionen/erreichbarkeit/feste-ip-v6-adresse-flyer

wolle-hamburg