Unity Media Dual Stack Betrieb ohne DS Lite und Docsis Modem Betrieb (Bridging)

Ich bin eigentlich ein Freund von UnityMedia und wurde in all den Jahren selten enttäuscht von der Qualität des Zugangs zum Internet. Viele Jahre betreibe ich nun schon Infrastruktur über ein Cisco Docsis Modem im 120 Mbit Betrieb, mit einer Unix Router Appliance, ohne nennenswerte Zwischenfälle. Umzüge etc. haben immer hervorragend funktioniert und meine gehobenen Ansprüche an einen ISP werden erfüllt. Vor einem Vertragswechsel mit höherer Bandbreite allerdings habe ich mich bis Dato immer gescheut weil klar war dass Unitymedia in dem Fall neue Hardware liefern würde die meinen Ansprüchen nicht entspricht! Warum eigentlich? Nun, ein Vertragswechsel hätte bedeutet dass die gelieferte Hardware von Unitymedia einem Router Zwang gleich käme weil die Option einen eigenen Router zu betreiben nur eingeschränkt möglich ist. Selbstverständlich könnte ein eigener Router topologisch gesehen hinter (!) dem Router von UM betrieben werden, was aus meiner Sicht allerdings ausreichend problematisch ist um dankend abzuwinken. Diese Konstellation hätte folgende Nachteile:

  • Weil die UM Router keinen sog. Bridge Modus unterstützen würde die externe Anbindung vom UM Router umgesetzt. Mit einem zusätzlichen eigenen Router / Firewall führt das zu sog. Double NAT - also die Übersetzung vom externen Netz (Internet) zum internen Netz (LAN) und umgekehrt - müsste immer ein weiteres mal erfolgen, was genau genommen zu einem Performace Nachteil führt. In seltenen Fällen und abhängig vom Zwangs Router, ist es eventuell möglich das Problem per Routing zu umgehen, gesehen habe ich das allerdings noch nicht.
  • Standardmäßig erhält der Kunde einen DS Lite Anschluss, was bedeutet dass der Router ins Internet ausschließlich per IPv6 angebunden wird. Wenn der Anschluß nun IPv4 Ziele im Internet ansteuert wird der Verkehr zunächst bis zu einem bestimmten IPv6 Knoten geroutet und dort von IPv6 auf IPv4 per NAT umgesetzt und vice versa. Das beinhaltet gleich mehrere Nachteile:
    • das Anbieten von eigenen Serverdiensten an einem DS-Lite Anschluss ist ohne Aufwand nicht mehr möglich
    • DS Lite bedeutet topologisch gesehen "Large scale NAT" oder auch sog. "Carrier grade NAT" bei dem sich mehrere tausend Kunden eine IPv4 Adresse teilen
    • VPN Dienste können (!) Probleme bereiten, afaik insbesondere IPSEC
  • IPS und IDS Sicherheitssysteme werden ad absurdum geführt da das Logging auf den Internet Schnittstellen nicht mehr möglich ist, als Beispiel sei die Erkennung von Portscans, etc. erwähnt
  • Zusätzliches Gerät, Firmware Updates, Wartung, Qualität, etc.

Um das Problem des Double NAT zu lösen wäre es erforderlich dass ein Provider den Kunden die Möglichkeit bietet einen Router wahlweise in den Bridge Modus oder Router Modus zu schalten. Dies wird aus meiner Erfahrung mittlerweile leider immer seltener. Ich hatte mehrfach die Konstellation dass Kunden Firewall Systeme im Einsatz haben die bei einem Vertragsupdate oder Wechsel und neuer Hardware aus o. a. Gründen nur noch eingeschränkt nutzbar waren. Aus administrativer Sicht ein foupax! Wenigstens konnte man in einigen Fällen mit der Anschaffung von alternativer Hardware das Problem lösen z.B. bei der Telekom, bei 1&1 Fibre hingegen hat man bis Dato keine Chance. Als Erläuterng: im Bridge Modus wird die Einwahl in das Internet und dem angeschlossenen Netzwerkanschluss wieder dem Kunden überlassen und ein Router Zwang durch den Provider ausgeschlossen. Ungeachtet aller Umstände aus Provider Sicht, Kundensicht und der sehr speziellen Anforderung, bietet dies einen Mehrwert für alle, die mehr von einem Internetzugang erwarten als die breite Masse! Last but not least stellt sich die Frage wie diese Vorgehensweise einiger Anbieter mit dem 2016 geänderten TKG Gesetz vereinbar ist (https://de.wikipedia.org/wiki/Routerzwang), zumindest bezogen auf das Thema Double NAT. 

Bezug nehmend auf das Thema des DS Lite und den Nachteilen wäre es von Vorteil wenn die Provider den Kunden die Möglichkeit bieten würden zwischen DS Lite und echtem Dual Stack auszuwählen. Bei einem Dual Stack Betrieb erhält der Kunde neben einer öffentlichen, im Internet routing fähigen IPv4 Adresse ebenfalls eine IPv6 Adresse für denselben Zweck. Auf diese Weise angebundene Systeme können mit beiden Teilen des Internet (IPv4 und IPv6) direkt kommunizieren ohne auf NAT, Large Scale NAT oder Carrier grade NAT zurückgreifen zu müssen. Die Adressenknappheit bei IPv4 würde durch die Masse der Kunden ohne solche Wünsche aufgefangen werden können....

Um so erfreulicher nahm ich die Meldung auf dass mittlerweile ein Modem für Kabel Internet (DocSis Modem) auf dem deutschen Markt erschienen ist, dass laut Community von Unitymedia unterstützt wird und standardmäßig als Bridge verwendet werden kann. Das Euro Docsis 3.1 Kabelmodem Technicolor TC4400-EU ist für satte 155€ erhältlich und laut CT 20/2018 mit Unitymedia lauffähig. Forenbeiträge bestätigen dies und konstatieren dass nicht nur die Anbindung eigener Router funktioniert sondern Unitymedia ebenfalls echten Dual Stack Betrieb anbietet.....