Swisscom: Warum die Port-Weiterleitung nicht mehr funktioniert

Es kann auch für Privatanwender gute Gründe geben, via Router-Einstellungen einen Netzwerk-Port an ein bestimmtes lokales Gerät weiterzuleiten. Der eine möchte von aussen auf sein zu Hause installiertes Überwachungssystem zugreifen. Ein anderer will vielleicht Daten auf sein heimisches NAS speichern oder von dort laden.

Was ist NAT? Was ist Port Forwarding?

Nun kann man aber die Geräte nicht über deren eigene öffentliche IP-Adresse ansprechen, weil diese Geräte schlicht keine haben! Sie verwenden in lokalen Netzwerken deshalb eine lokale IP-Adresse, normalerweise beginnend mit 192.168.x.x.

Hierfür ist Network Address Translation verantwortlich, kurz NAT. Das ist eine praktische Sache. So haben im lokalen Netzwerk alle Geräte IPs aus dem Privatbereich 192.168.x.x; und nur der Router hat eine weltweit nur einmal vorkommende, eindeutige öffentliche Adresse. Er ist es dann, der aus dem lokalen Netz alle Anfragen der Geräte entgegennimmt und ins Netz schickt, um danach die Antworten der verschiedenen Web- und Mailserver wieder anzunehmen und intern an die Geräte weiterzugeben.

Wer gerne von anderswo direkt auf ein bestimmtes heimisches Gerät zugreifen wollte, hat eine Port-Weiterleitung eingerichtet (engl. Port Forwarding). Im eigenen Router lässt sich hierfür einstellen, dass alles, was mit einem bestimmten Protokoll bzw. Port daherkommt, an genau dieses eine Gerät weitergeleitet werden soll. Das funktioniert auch weitgehend gut, sofern man die Geräte zusätzlich mit guten Passwörtern absichert.

Das Problem jetzt

Die IPv4-Adressen werden aber allmählich knapp. Das bedeutet, dass man nach Lösungen gesucht hat, auch die öffentlichen IP-Adressen der Kunden-Router ähnlich wie private IPs zu behandeln. Man klemmt also eine weitere NAT-Schicht dazwischen. Nun sind mehrere Router unter einer gemeinsamen «öffentlichen IP» zusammengefasst, und ein Swisscom-eigenes Gerät nimmt dann die Vorverteilung des Traffics vor. 

Die Situation lässt sich bei betroffenen Usern zu Hause nachvollziehen. Zeigen Sie mal die verschiedenen IP-Adressen an, die Ihr Gerät bzw. Ihr Netzwerk hat: 

1. Die Geräte-eigene Adresse: Geben Sie im Konsolenfenster (cmd.exe) ipconfig /all ein. Da finden Sie die lokale IPv4-Adresse Ihres PCs, die z.B. 192.168.1.10 lautet. 

2. Die «öffentliche» Router-Adresse: Öffnen Sie die Router-Einstellungen und schauen da, welche IP-Adresse er zu haben glaubt. Sie könnten als Swisscom-Kunde nun genau eine zwischen 100.64.0.0 und 100.127.0.0 entdecken. Ist das der Fall, ist Ihr Router wieder in einer Art «Privat-Netz».

3. Die tatsächliche öffentliche Adresse: Webseiten von ausserhalb Ihres eigenen Netzes sehen in diesem Fall eine andere Adresse. Welche das ist, können Sie beispielsweise auf einer Webseite wie http://www.myip.ch/ nachschauen. Genau diese IP ist es, die Sie unter Umständen mit anderen Usern teilen. Und genau deshalb kann die Port-Weiterleitung nicht mehr richtig funktionieren. Die Pakete kommen gar nicht bis zu Ihrem Router, der wüsste, wohin damit!

Und was machen Sie nun daraus?

Im Prinzip ist das nicht tragisch. Die verwendete Technik heisst «Carrier-grade NAT» (CGNAT) oder «NAT444» und wird z.B. in diesem nützlichen Blog-Beitrag erklärt. Sie können weiterhin Ihre Serien streamen, Sie surfen und mailen wie gewohnt. Zudem musste eine Lösung her, um den zunehmenden IPv4-Adressenmangel entgegenzuwirken, da die weltweite Umstellung auf IPv6 noch auf sich warten lässt. 

Das Problem ist nur eines, wenn Sie zwingend externen Zugriff auf eines Ihrer LAN-Geräte brauchen. In diesem Fall müssen Sie sich bei Swisscom melden bzw. bei Ihrem Provider, der Carrier-grade NAT eingeführt hat. Legen Sie sich eine ausreichend gute Begründung parat und melden Sie dem Supporter, dass Sie auf CGNAT umgestellt worden sind und deshalb bei der Nutzung des Diensts unter Einschränkungen zu leiden hätten. Bitten Sie den Support, Sie da wieder rauszunehmen. (PCtipp-Forum)