Direkter Zugriff auf Geräte bzw. mit App

Hallo,
ich habe meinen DSL-Anschluss auf VDSL umgestellt und nutze DS-Lite und ipv6. Router ist FritzBox 7530.
Ich habe eine ABUS-Alarmanlage, auf die ich vor der Umstellung direkt übers Internet per PC und einer App zugreifen konnte. Dazu ist eine Portweiterleitung in der FB eingerichtet.
Seit der Umstellung klappte das (natürlich wie ich jetzt weiß) nicht mehr. Habe mich dann etwas eingelesen und mir einer dynv6-Adresse besorgt.

Seitdem komme ich (aber nur über WLAN) in die FritzBox und kann dort mein Gerät auswählen und dann aufrufen (wie früher).

Aber schöner wäre es, wenn ich

• durch die Adresszeile direkt auf das Gerät zugreifen könnte (also mit :1234 hinter xxx.dynv6.net; jetzt steht dort die Zahl unter der die Fritzbox erreichbar ist, wenn ich statt dessen :1234 eingebe klappt das nicht)
• das auch mit dem Handy ohne WLAN aufrufen könnte und
• wenn ich mit der ABUS-App direkt zugreifen könnte (die Anlage verbindet sich mit dem ABUS-Server aber der kann keinen Ports-Scan durchführen).

Bin ansonsten leider absolter Laie und daher für Hilfe sehr dankbar!

Naja, da fehlt noch einiges an Infos: z.B. ob Deine ABUS-Anlage überhaupt ipv6 kann. Dann, ob Du in der FB auch eingerichtet hast, dass nicht nur die ipv6-Adresse der FB, sondern auch der Dir vergebene ipv6-Prefix an dynv6 gemeldet wird - bekommst Du überhaupt einen vom Provider zugeteilt? Bei DSLite habe ich schon die abenteuerlichsten Dinge gehört und die Provider machen augenscheinlich alle irgendetwas anders: manche blockieren bspw. komplett den Zugriff auf ipv6-Adressen beim Kunden von aussen - die wollen Leuten, die das brauchen, lieber superteure Business-Anschlüsse verkaufen.

Aber nehmen wir mal an, du hast einen offiziellen ipv6-Prefix für dein lokales Netz und alle deine Geräte konfigurieren sich da auch eine ipv6-Netzwerkadresse auf ihr Interface mit dem - das sollten die automatisch machen, denn ipv6 ist grade in Heimnetzen völlig ohne Konfigurationsnotwendigkeit (Zeroconf ist ins Protokoll designed). Und dynv6 kennt den Prefix, weil die FB den meldet. Dann kannst Du dir Namen für deine lokalen Netzwerkgeräte (wie bspw. die Alarmanlage) in dynv6 konfigurieren, indem Du auf dynv6.com unter “My Zones” AAAA Records anlegst mit dem gewünschten Namen sowie dem Interface Identifier des Gerätes - das sind die letzten 64 Bit (oder vier Hexziffern-Blöcke) der ipv6-Adresse. Die ändern sich nicht, wenn der Prefix sich ändert. Den Interface Identifier (oder “host part”, wie dynv6 das nennt) gibst Du so an ::3423:3423:2433:2310, also mit zwei führenden Doppelpunkten. dynv6 ergänzt dann automatisch zur vollständigen ipv6-Adresse mit dem jeweils aktuellen Prefix und ändert die Adresse dann auch entsprechend, wenn der Prefix sich ändert. So kannst Du dir dann sowas wie abus.deinezone.dynv6.net einrichten und solltest dann von überall her (draussen wie lokal) diese Maschine unter diesem Namen erreichen können auf den Ports, die Du in Deiner FB für diese Maschine geöffnet hast.

Ich kenne die Abus-Anlage nicht, kann Dir daher nicht sagen, ob die ipv6 kann und wo man bei der den Interface Identifier erfährt. An und für sich sollte sie aber als Gerät im lokalen Netzwerk auf der FB auftauchen (unter Heimnetz/Netzwerk), und da sollte man dann auch den Interface Identifier erfahren können. Wenn dort aber als ipv6-Adresse nur sowas wie “fd00::3242…” steht, ist das ein Zeichen dafür, dass die Anlage kein ipv6 kann. Wie man die FB so einrichtet, dass die nicht nur die eigene Adresse, sondern auch den Prefix an dynv6 übermittelt, ist ja als Anleitung bei dynv6 abrufbar. Ob Dir Dein Provider überhaupt einen Prefix gibt, siehst Du unter Internet/Online-Monitor oben bei den Adressangaben. Da sollte auch ein Eintrag “ipv6-Prefix” sein. Und der sollte nicht mit “fd00::” anfangen. Denn Adressen, die mit “fc00::” “fd00::” oder “fe80::” anfangen, werden im Internet nicht geroutet. Die sind das Analogon zu den privaten ipv4-Netzadressen (10.0.0.0/8, die ganze 192-Familie usw.)

Achja, und Dein Handy sollte auch ipv6 haben - manche Mobilfunkprovider haben das bis heute noch nicht auf die Reihe bekommen.

Uiuiui, viele offen Fragen …
Vieln Dank schon mal für die ausführliche Antwort. Aber leider bleiben diverse Fragezeichen:

Da steht:
IPv6-Adresse: 2a03:7500:, …
IPv6-Präfix: 2a03:7500: …
→ also habe ich einen Präfix? Falls das noch wichtig ist: zu ipv4 steht in der FritzBox verwendet einen DS-Lite-Tunnel.

Die taucht im Netzwerk auf aber nur mit einer IPV4-Adresse. Also kann die nicht IPV6? Oder kann man da in der FritzBox noch etwas einstellen? In der Anlage selbst wird aber auch nur ein ipv4 angezeigt.

Denen habe ich mein Problem mit dem Wunsch auf eine feste ipv4-Adresse geschildert, die kostet dann 5 €/mtl.

Wenn ich dazu eine Abfrage mache (wie ist meine ip) wird mir eine ipv6-Adresse angezeigt. Das scheint also zu funktionieren.

Also scheitert das ganze jetzt weil meine Anlage kein ipv6 hat/kann?
Ich dachte das Problem besteht in der fehlenden festen ipv4-Adresse, die ich durch dynv6 aber eingerichtet habe.

Wenn Deine ABUS nur ipv4 kann, kommst Du im Prinzip nicht darum herum, Deinen Provider für die fünf Euro pro Monat um die Zuteilung einer ipv4-Adresse zu Deiner FB zu bitten. Das Setup nennt sich dann Dual-Stack (ohne Lite). Denn aus dem Internet hast Du bei DS-Lite nur dann eine Chance, Deine Geräte zu erreichen, wenn die ipv6 können. Den Namen für deine Abus kannst Du dann als A-Record in Deiner Zone eintragen, wenn Du dabei die Adressangabe leer lässt, setzt dynv6 da immer die aktuelle FB-ipv4 ein. Du kannst aber im Prinzip als Namen dann auch den Deiner FB verwenden (was dann normalerweise der Name Deiner Zone ist). Dann auf der FB die Port-Weiterleitung auf die ABUS aktivieren.

Die ipv4-Adressen, die Deine FB an Deine Geräte im Netz vergibt, sind keine öffentlichen, sondern private IP-Adressen, die werden im Internet nicht geroutet. Über die kannst Du Deine Geräte im lokalen Netz bei Dir daheim erreichen, aber nicht von draussen. Die FB hat bei DS-Lite auch nur so eine innere ipv4-Adresse (üblicherweise sowas wie 192.178.168.1). Bei Dual Stack bekommt sie (die hat ja als Router an sich zwei Netzwerkschnittstellen, eine ins lokale Netz und eine zum Internet, und jede dieser Schnittstellen hat ihre eigene ip-Adresse, sowohl bei ipv4 wie auch bei ipv6) auf der Internet-Seite eine offizielle ipv4-Adresse, die geroutet wird. Und nur bei der macht es Sinn, die in dynv6 einzutragen.

Das Setup ist aber nicht unbedingt effizient: wenn Du den Namen der Abus dann im lokalen Netz verwendest, geht die Verbindung über die FB und dann erst wieder zurück zur Anlage (nennt man Hairneedle-NAT), statt direkt zur Anlage. Es gibt zwar Tricks, das zu vermeiden, aber da Du ja erklärtermassen Laie bist, will ich Dir keine Anleitung ans Herz legen, wie man einen Rasberry-Pi mit PfSense einrichtet, oder einen Split-DNS. Aber da Deine Abus wohl kaum ein File-Server ist, fällt der Effizienzverlust wohl nicht ins Gewicht.

Geräte, die kein ipv6 können, sollte es heute eigentlich nicht mehr geben, gerade nicht im Internet-Of-Things-Bereich, zu dem Deine Abus und der Stromspeicher meiner PV-Anlage gehören (dafür wurde ipv6 eigentlich mal gemacht). Aber grade da scheint es so zu sein, dass sich die Hersteller keinen ipv6-Protokollstack leisten, mutmaßlich, weil in diesen Winzig-Computern nicht genug Speicher da ist. Echt blöd. Das Um-Sich-Greifen von DS-Lite ist doch ein deutliches Signal, dass ipv4-Adressen nun wirklich knapp werden.

Achja, eine offizielle ipv4-Adresse zu haben für die FB hat auch noch einen weiteren Vorteil. Die FB kann ja VPN (Virtual Private Network), d.h. Du kannst Dich im Prinzip weltweit von überall her verschlüsselt in Dein Heimnetz verbinden, wer auch immer dann auch die ip-Pakete, die Dein Endgerät zum Heimnetz sendet oder von ihm empfängt, sehen kann, sieht nur verschlüsseltes Zeug. Viele WLANs weltweit haben auch nur ipv4, doch grade in so einem Flughafen- oder Hotel-WLAN will man nicht, dass alle anderen sehen können, was man so im Netz treibt (können die ohne VPN nämlich in der Regel, selbst bei verschlüsselten WLANs, denn die kennen dann ja alle auch das Verschlüsselungspasswort fürs WLAN) - es könnte ja unter Umständen auch mal Passwörter im Klartext übertragen werden, die sind dann durch die VPN-Verschlüsselung geschützt. Und mit einer offiziellen ipv4-Adresse für die FB kann die dann auch als VPN-Eingangsserver agieren, der aus ipv4-only Netzen erreichbar ist. Mein Standard-Setup seit Jahren für Reisen. Mittlerweile nutze ich zwar einen anderen VPN-Server daheim, an den die FB bloss weitervermittelt, aber die offizielle ipv4-Adresse meiner FB ist immer noch der Schlüssel dafür, dass ich den aus allen Netzen der Welt erreichen kann, auch aus solchen, die kein ipv6 können. Und davon, haben mich meine Reisen gelehrt, gibt es noch reichlich.

Will sagen, ich halte die 5 Euro/m für gut ausgegeben. Das ist noch relativ günstig dafür, einen Internet-Anschluss enorm aufzuwerten. Es gibt andere Provider bei DS-Lite, die so ein Angebot nicht machen.

Eine andere Möglichkeit ist sich sein eigenes VPN Netzwerk (und nicht nur ein P2P mit einem VPN aufzubauen. Je nachdem eine Option.

Damit sollte man wohl auch eine IPv4 hinbekommen.

Für die 7530 gibt es seit kurzem eine Labor-Firmware. Die kann dank WireGuard auch VPN über IPv6. Wenn dein Gerät sich also über IPv6 mit der Fritzbox verbinden kann (Mobilfunk/WifiSpot muss es auch können), sollte es funktionieren. Ich weiß nicht, ob IPv4 auch über ein IPv6 VPN geht .

Wenn du unbedingt ein VPN auch über IPv4 brauchst, bleibt nur der Umweg über einen gemieteten (v)Server (und WireGuard). Der kostet aber auch mind. 2 € im Monat (Beispiele) und muss (einmalig) konfiguriert (Beispiel) werden. Da sind die 5€ für eine IPv4-Adresse der einfachere Weg. Andere ISPs bieten das nur mit deutlich teureren Business-Anschlüssen.