CGNAT • DS-Lite • IPv6-Erreichbarkeit

Warum Portfreigaben scheitern – und wie du trotz CGNAT/DS-Lite wieder erreichbar wirst

Viele Provider liefern heute keine echte öffentliche IPv4 mehr (CGNAT / DS-Lite). Gleichzeitig ist IPv6 in der Praxis nicht immer “einfach erreichbar” – wegen Firewalls, wechselnden Prefixen, Client-Netzen ohne IPv6 oder kaputten IPv6-Pfaden. Hier bekommst du klare Erklärungen + Lösungen mit IPv64.net und Cloudrouter64.

Lösungen ansehen Warum IPv6 oft hakt

Hinweis: Beispiele wie „Glasfaser/IPv6-only“ (z.B. häufig bei Tarifen im Markt) sind typische Szenarien – die konkrete Ausprägung kann je nach Provider/Region/Tarif variieren.

Schnellcheck: Bin ich betroffen?

  • Portfreigabe gesetzt, aber von außen „Timeout“
  • Router zeigt DS-Lite oder „IPv6 only“
  • WAN-IPv4 ist nicht öffentlich (häufig bei CGNAT)
  • Remote-Zugriff (NAS/Home Assistant/Kamera) klappt nur im Heimnetz
  • Gaming: NAT-Typ „strict“, P2P-Probleme, Voice-Chat zickt

Merksatz

CGNAT: Du teilst eine öffentliche IPv4 mit vielen – inbound ist schwer. DS-Lite: Du hast meist nur echte IPv6 – IPv4 läuft über den Provider und ist inbound meist dicht.

Was ist CGNAT (Carrier-Grade NAT)?

CGNAT bedeutet: Dein Anbieter betreibt NAT nicht nur bei dir (Router), sondern zusätzlich im Provider-Netz. Viele Kunden hängen gemeinsam hinter wenigen öffentlichen IPv4-Adressen. Für ausgehende Verbindungen merkt man das kaum – aber eingehende Verbindungen (Ports von außen) sind der Knackpunkt.

Was bedeutet das praktisch?

  • Surfen/Streaming/Downloads: meist problemlos
  • Portfreigaben am Router helfen nicht, wenn die „NAT-Grenze“ beim Provider sitzt
  • Self-Hosting & Remote-Zugriff über IPv4 wird schwierig

Woran erkenne ich CGNAT?

  • Deine „Internet-IPv4“ (Online-Check) ≠ WAN-IPv4 im Router
  • Portweiterleitungen funktionieren nur „intern“
  • Provider kommuniziert „keine öffentliche IPv4“ / „geteilt“

Wichtig: Es geht nicht darum, ob dein Gerät eine IPv4 anzeigt – sondern ob sie öffentlich routbar ist.

Was ist DS-Lite (Dual-Stack Lite)?

Bei DS-Lite bekommst du typischerweise eine echte IPv6-Konnektivität. IPv4 wird dann „nur noch“ über ein Provider-Gateway (Tunnel/AFTR) bereitgestellt. Ergebnis: klassische IPv4-Portfreigaben funktionieren häufig nicht, weil die öffentliche IPv4 nicht bei dir endet.

Typischer Alltag bei DS-Lite

  • IPv6 kann eingehend funktionieren – aber nur mit korrekter Firewall/Prefix-Stabilität
  • IPv4 inbound ist oft „zu“ → Remote-Zugriff/Hosting braucht Workarounds

Praxisbeispiel: Glasfaser & „IPv6-only“

Bei vielen Glasfaser-Tarifen ist „IPv6-only“ oder CGNAT/DS-Lite ein häufiges Setup. Nutzer berichten in der Praxis oft von „Portfreigabe geht nicht mehr“ – z.B. bei Anbietern wie Deutsche Glasfaser (je nach Tarif/Region) oder anderen Providern mit IPv6-Fokus.

Wichtig: Selbst wenn du IPv6 hast, bist du nicht automatisch „von überall erreichbar“ – genau dazu gleich mehr.

Die IPv6-Realität: Warum „IPv6 reicht doch“ oft scheitert

IPv6 ist technisch super – aber in realen Netzen gibt es Stolpersteine, die Erreichbarkeit und Stabilität bremsen. Das sind typische Gründe, warum Remote-Zugriff/Services trotz IPv6 nicht „einfach so“ funktionieren.

Client-Netze ohne IPv6

Firmen-VPNs, Hotel-WLANs, Captive-Portals oder Alt-Netze blocken/filtern IPv6 – dann ist dein IPv6-Host von dort nicht erreichbar.

Firewall/Router blockt inbound

IPv6 ist „end-to-end“, daher ist eine saubere Firewall-Freigabe nötig. Viele Router blocken inbound standardmäßig (gut so).

Wechselnde Prefixe

Bei vielen Anschlüssen ändert sich das IPv6-Prefix (z.B. nach Reconnect). Ohne DynDNS/Automatik zeigt dein DNS ins Leere.

Kurz: IPv6 kann gehen – aber „von überall“ ist nicht garantiert.

Deshalb sind Lösungen sinnvoll, die dir einen stabilen Einstiegspunkt geben (IPv4+IPv6 erreichbar, VPN-Hub oder Reverse-Proxy), statt nur auf „hoffentlich hat der Client IPv6“ zu setzen.

Lösungen mit IPv64.net (für CGNAT, DS-Lite & IPv6-Hürden)

Wenn dein Anschluss inbound „dicht“ ist (CGNAT/DS-Lite) oder IPv6-Erreichbarkeit unzuverlässig ist, brauchst du einen stabilen, öffentlich erreichbaren Einstiegspunkt. Genau da setzen IPv64-Dienste an – je nach Use-Case:

DynDNS (IPv4/IPv6) für wechselnde Adressen

Wenn sich IPv6-Prefix/Adresse ändert, aktualisiert DynDNS automatisch – wichtig für stabile Namen statt „IP-Jagd“.

VPN-Gateway als Einstieg (WireGuard)

Von überall sicher ins Heimnetz/Service – unabhängig davon, ob das Client-Netz IPv6 kann oder nicht.

„IPv4-Erreichbarkeit“ trotz IPv6-only Anschluss

Ideal, wenn Clients/Netze IPv6 blocken oder Anwendungen zwingend IPv4 erwarten (Remote-Tools, Legacy, bestimmte Services).

Reverse-Proxy / Frontdoor-Prinzip

Ein „öffentliches“ Frontend (IPv4+IPv6) spricht mit deinem Backend – so lassen sich Protokoll-Lücken (nur v6 erreichbar) elegant überbrücken.

Konkretes Beispiel

Du willst Home Assistant, NAS oder einen Gameserver erreichbar machen: Statt an Provider-NAT/DS-Lite zu scheitern, nutzt du einen öffentlichen Einstieg über IPv64-Services (z.B. WireGuard-Gateway oder Reverse-Proxy) – und erreichst dein Zielnetz sicher, kontrolliert und stabil.

ipv64.net Startseite VPN Gateway ansehen Cloud Router as a Service
IPv64 Logo

IPv64.net

DynDNS • VPN Gateway • Cloud Router

Sicherheits-Hinweis

Wenn du Dinge von außen erreichbar machst: lieber VPN statt offene Ports, nur notwendige Freigaben, starke Authentifizierung (2FA/Passkeys), Updates, Logging.

Pro-Tipp: Wenn du „von überall“ Zugriff brauchst (auch aus Netzen ohne IPv6), ist ein VPN-Einstiegspunkt meist die stressfreieste Lösung.

Cloudrouter64 / Cloud Router: WireGuard Routing Bridge

Wenn du mehr willst als „einfach VPN“ (z.B. mehrere Standorte, Homelabs, Subnetze), wird Routing entscheidend. Cloudrouter64 kann als zentraler Knoten dienen: Peers verbinden sich per WireGuard – und der Cloud Router übernimmt Routing zwischen Netzen.

Was bringt dir die Routing Bridge konkret?

  • Site-to-Site: Heimnetz ↔ Server ↔ zweites Heimnetz (ohne Frickeln mit Provider-NAT)
  • Road-Warrior: Laptop/Handy sicher ins interne Netz, egal ob LTE/WLAN IPv6 kann
  • Subnet-Routing: Mehrere VLANs/Subnetze sauber erreichbar, nicht nur „ein einzelner Client“
  • Stabiler Einstieg: Ein öffentlicher Hub statt wechselnder Heim-IPs/Prefixe

Typische Einsatzfälle

Homelab erreichbar machen

OPNsense/UniFi/FritzBox ↔ Cloud Router ↔ Clients

Remote-Zugriff ohne offene Ports

VPN statt Portfreigabe: weniger Angriffsfläche

Cloud Router Seite VPN Gateway Seite

Mini-Checkliste für „funktioniert nicht“

  • IPv6 Firewall: inbound wirklich freigegeben?
  • Prefix-Wechsel: DynDNS aktualisiert Prefix/IPv6 korrekt?
  • Client-Netz: hat das Netz überhaupt IPv6? Blockt es IPv6?
  • Provider: DS-Lite/CGNAT → IPv4 inbound ist nicht „deins“
Wenn du von überall Zugriff brauchst: Plane einen stabilen Einstieg (VPN-Hub/Router), statt dich auf „IPv6 ist überall verfügbar“ zu verlassen.

FAQ

Kurz & praxisnah zu CGNAT, DS-Lite und IPv6-Erreichbarkeit.

Portfreigabe funktioniert nur, wenn dein Router eine öffentlich routbare Adresse hat. Bei CGNAT/DS-Lite sitzt die relevante „Außenseite“ beim Provider – dein Router kann dort keine Ports öffnen.

Häufige Gründe: IPv6 inbound ist per Firewall blockiert, dein Prefix ändert sich, oder das Client-Netz (z.B. Firmennetz/Hotel-WLAN) hat kein IPv6 bzw. filtert es. In solchen Fällen hilft ein stabiler Einstiegspunkt (VPN-Hub/Proxy), der über IPv4+IPv6 erreichbar ist.

Meist: VPN (WireGuard) statt offene Ports. Du bekommst Zugriff wie „im LAN“, mit klarer Kontrolle, weniger Angriffsfläche und ohne Port-Gefrickel bei DS-Lite/CGNAT.

Cloudrouter64 ist nicht nur „Client → VPN → Internet“, sondern kann als Routing-Hub dienen: mehrere Standorte/Subnetze verbinden, Routingtabellen pflegen, Site-to-Site – ideal für Homelabs und komplexere Setups.

Weiterführend

Mehr Infos & Dienste findest du auf ipv64.net.