DynDNS für M2M mit GPRS/EDGE/UMTS?
Seit ich im März 2008 einen Eintrag über einen längeren DynDNS-Ausfall geschrieben habe, kommen über Suchmaschinen immer wieder Besucher durch Keywords wie «dyndns störung», «dyndns ausfall» oder «dyndns gestört» auf den M2M-Blog.
Grund genug, sich noch einmal Gedanken über die Eignung von DynDNS für M2M-Anwendungen mit Endgeräten im Mobilfunk (GPRS/EDGE und UMTS/HSDPA) zu machen. Spannend sind neben evtl. auftretenden Störungen auch der “Schritt zurück” – ein Blick auf die Details.
DynDNS?
DynDNS – als Synonym für viele vergleichbare Services (hier eine Liste) – kuriert ein Problem vieler Internetanschlüsse. Alle “kleineren” Internetanschlüsse (also z.B. DSL oder GPRS/UMTS/LTE) erhalten vom Provider eine sog. dynamische IP-Adresse, also eine Adresse die mit jeder neuen Verbindung (z.B. nach Neustart des Routers oder einer Zwangstrennung) geändert wird. Zum Surfen kein Problem, denn mit welcher IP man im Internet unterwegs ist, ist zumindest für die Funktion meist unwichtig. Problematisch wird es erst, wenn von diesem Anschluss aus ein Dienst angeboten werden soll.
DynDNS dient nun dazu einem solchen Internetanschluss einen festen DNS-Namen (z.B. M2M-Anwendung.DynDNS.org) zuzuweisen, über den dann auf diesen Dienst zugegriffen werden kann.
DynDNS ist also ein Ersatz für feste IP-Adressen. Ob DynDNS ein vollwertiger Ersatz sein kann, hängt von der Anwendung ab.
Öffentliche vs. Private IP-Adressen
Beim Einbuchen wird jedem GPRS/EDGE/UMTS/LTE-Endgerät vom Mobilfunknetz entsprechend der Konfiguration des verwendeten Zugangspunktes (APN) eine dynamische IP-Adresse zugewiesen. In den Deutschen Netzen sind dies sind dies häufig private Adressen, die im Internet nicht geroutet und daher nur in lokalen (privaten) Netzen verwendet werden. Erst beim Übergang in das Internet werden solche privaten Adressen durch den Router des Mobilfunknetzes (mittels NAT) in eine öffentliche Adresse überführt. Der Zugriff auf Mobilgeräte, denen eine private IP Adresse zugewiesen wurde, ist vom Internet aus daher auch unter Zuhilfenahme von DynDNS nicht möglich.
Firewalls der Mobilfunknetze
Aber selbst, wenn das Mobilfunknetz eine öffentliche Adresse zuweist, kann noch die Firewall des Mobilfunknetztes “im Wege stehen”. Genau dies ist im deutschen Netz von Vodafone der Fall: Endgeräten wird zwar eine öffentliche IP-Adresse zugewiesen, aber die Firewall blockt sämtliche Zugriffe aus dem Internet ab. Auch hier kann also DynDNS nicht eingesetzt werden.
Was bleibt in Deutschland?
In den deutschen Mobilfunknetzen ist mir nur ein APN im Netz von T-Mobile bekannt, der sowohl öffentliche IP-Adressen vergibt und auch einen (eingeschränkten) Zugriff aus dem Internet zulässt. In den anderen Netzen auch gegen Aufpreis Fehlanzeige – keine große Auswahl.
Checkliste für DynDNS im deutschen Mobilfunk
Zum Mobilfunknetz / zur SIM:
- Derzeit benötigen Sie eine Mobilfunkkarte von T-Mobile, die Zugangspunkte der anderen Netze sind so konfiguriert, dass ein DynDNS-Einsatz nicht möglich ist.
- Auch bei T-Mobile ist die Firewall für aus dem Internet eingehende Pakete nicht vollständig geöffnet, d.h. es geht “Vieles” (z.B. http über Port 80), aber nicht “Alles” (z.B. Ping / icmp).
- Bedenken Sie, dass auch die derzeitige Konfiguration des Netzes bei T-Mobile keine zugesicherte Produkteigenschaft ist, also ohne Ankündigung geändert werden kann. DynDNS könnte also plötzlich nicht mehr funktionieren.
- Wählen Sei ein großes Datenpaket (z.B. 300 MB oder eine Flatrate), wenn Sie DynDNS einsetzen. Denn im Mobilfunk zahlen Sie auch für unerwünschten eingehenden Verkehr, wie z.B. Portscans.
Zum DynDNS Provider:
- Wählen Sie einen DynDNS-Anbieter ihres Vertrauens. Es gibt eines große Anzahl von konstenpflichtigen, aber auch kostenlosen Angeboten.
- Überlegen Sie, ob es wirklich der Namensgeber “DynDNS.org” sein muss. Die große Bekanntheit zieht auch schon mal Denial of Service (DoS) Angriffe an, die dann alle Nutzer des Dienstes plötzlich Offline stehen lassen.
- Überlegen Sie auch, ob Sie nicht statt eines kostenlosen Dienstes lieber einen kostenpflichtigen Dienst mit einer definierten Verfügbarkeit wählen. Denn Sie bekommen “das, was Sie bezahlen” – kein Problem, wenn alles funktioniert, aber im im Falles eines Falles, sind Sie ansonsten kein Kunde, sondern Bittsteller.
Zur Hardware:
- Klar, die verwendete Hardware (oder Software) muss DynDNS unterstützen. Achten Sie aber darauf, dass der DNS-Provider frei konfigurierbar ist.
- Lassen Sie sich die volle Konformität des Routers zu DynDNS zusichern: DynDNS erlaubt zur Lastminimierung eine DNS-Aktualisierung nur nach einer effektiven Änderung der IP-Adresse. Bei häufigeren Änderungen wird man ggf. “abgeklemmt” und ist dann offline.
- Ist Ihr Router wirklich “sicher”? Wichtig, denn bei Verwendung von DynDNS steht Ihr Router ungeschützt im Internet und muss einiges aushalten. Denn auch GPRS/EDGE/UMTS/LTE-Router sind nur Computer, häufig auf Linux basierend. Sicher sind sie bei einer sorgfältigen Konfiguration und aktueller Software. Wissen Sie von Ihrem Router, ob auch alle überflüssigen Services wirklich deaktiviert sind? Sind auf Ihrem Router alle Services (z.B. telnet, ntp, ssh…) auf dem aktuellen Stand? Gibt es – für den User nicht erkennbare – Default Passwörter auf dem Router? Das hört sich paranoid an, aber mir ist zumindest ein Mobilfunkrouter bekannt, auf den alle(!) Lücken zutreffen.
- Halten Sie die Firmware Ihres Routers (oder die verwendete Software) immer aktuell.
Zum DynDNS-System:
- Systembedingt gibt es immer kleine Lücke in der Erreichbarkeit nach einem Update der IP-Adresse. Kein Problem, wenn die anfragende Applikation darauf entsprechend reagiert.
- Mails ausgehend von IP-Adressen in einem dynamisch verwalteten Bereich werden in der Regel von Mail-Servern zur Vermeidung von SPAM nicht akzeptiert. Abhilfe kann hier ein (privates) Mail-Relay schaffen.
Fazit
DynDNS ist das Standardwerkzeug, um die Erreichbarkeit von DSL-Anschlüssen mit dynamischen IP-Adressen zu gewährleisten. Mit Einschränkungen kann DynDNS auch erfolgreich für GPRS/EDGE, UMTS/HSDPA oder LTE verwendet werden, allerdings nicht in den Netzen von Vodafone, E-Plus und O2. Ob DynDNS für die persönliche Anwendung passt, muss letztendlich jeder für sich abwägen.
Alternativen zu DynDNS
Für Großkunden bieten Netzbetreiber mit entsprechendem Vorlauf direkte gesicherte Zugänge in Ihre Netze an, eigentlich gedacht für die Anbindung großer Außendienstkolonnen.
Netzübergreifend bietet mdex mit dem Produkt fixed.IP Sicherheit und Erreichbarkeit durch feste IP-Adresse in geschlossenen Benutzergruppen für GPRS/EDGE, UMTS/HSDPA und LTE Endgeräte an.
Hat Ihnen dieser Beitrag gefallen? Dann schreiben Sie doch einen Kommentar, oder abonnieren Sie die Artikel und erhalten Sie automatisch neue Beiträge auf Ihrem RSS-Reader. Alternativ können Sie neue Beiträge auch per Email erhalten. Klicken Sie hier, um sich anzumelden.
Trackbacks & Pingbacks
Kommentare
Schreibe einen Kommentar
Line and paragraph breaks automatic, e-mail address never displayed, HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="" highlight="">
Ein kleiner Hinweis zu Deiner Checkliste.
Wenn T-Mobile wie Du gesagt hast, die RFC1918 IPs auf öffentliche NATed, wie sollen dann eingehende Verbindungen (SYN) ohne ein Portforwarding auf die privaten IPs funktionieren ?
Und für alles andere gibt es Tunnel.
Da muss ich den Text wohl noch mal tunen:
T-Mobile vergibt auf einem APN öffentliche IPs (also kein RFC1918) und macht daher auch kein NAT. Der Zugriff aus dem Internet klappt daher weitgehend.
Zum vom Mobilgerät aufgebauten Tunnel: Stimmt, ist für viele Anwendungen eine gute Lösung, entweder über einen eigenen VPN-Server oder auch über Dienstleister. Perfect-Privacy bietet z.B. Port-Forwarding in den eigenen OpenVPN-Tunnel.
Viele Grüße
Jan
Funktioniert DYNDNS auch mit SIM-Karten von SIMPLY? SIMPLYTEL vertreibt SIM-Karten, die das T-Mobile-Netz nutzen. Kann einen UMTS-Router empfehlen, der DYNDNS beherrscht?
@Jan A.
Im Netz von T-Mobile liefert der “alte” APN “internet.t-d1.de” öffentliche, dynamische IP-Adressen.
Allerdings wird auch hier gefiltert: http geht, ping z.B. nicht.
Wie lange freilich der APN diese Eigenschaften behält, ist nicht definiert. Kann sich also täglich ändern…
Ob du mit einer SIMPLY-Karte diesen APN nutzen darfst, musst du in den Vertragsbedinugungen/AGB nachschauen. Empfiehlt sich dringend, denn wenn der APN nicht explizit erlaubt ist, dann bekommt du – trotz evtl. Flatrate o.ä. – eine deftige Rechnung.
@ Jan
Danke Dir, Jan! Super dieser Info war genau richtig. Hier http://www.onlinekosten.de/forum/showthread.php?t=116080 habe ich gelesen, dass man mit SIMPLY auch den alten APN “internet.t-d1.de” ansurfen darf ohne Zusatzkosten.
Kannst Du mir noch einen guten und nicht zu teuren UMTS-Router empfehlen, der DYNDNS beherrscht?
@Jan A.
Ich kann dir günstige “industrielle” Router nennen, aber die kosten immer noch eine Menge Geld. Welche Consumer-Router was taugen, kann ich Dir leider nicht sagen.
Viele Grüße
@ Jan
Oh ja, bitte nenne mir günstige “industrielle” Router – ist sowieso für einen gewerblichen Zweck (WebCam im Außenbereich). Schon mal vielen Dank!
@Jan A.
Du hast eine PM. Viele Grüße
ich hätte auch gern so nen router gewußt, da ich auch über ne umts karte meine cam’*s im ausenbereich steuern möchte.. und das über umts karten.. aber hier vodafone..
@ralf: Du hast eine PM. Viele Grüße
Hallo,
könnte ihr sage ob VPN funktioniert? Ich hätte zwar keinen günstigen industriellen Router im Auge, der jedoch VPN-Client fähig ist. Könnte ich auf einen VPN-Server zugreifen?
Oder wird das auch von der Firewall gefiltert?
Vielen Dank.
@Daniel
Wenn das VPN vom Mobilgerät aus aufgebaut wird (d.h. das Mobilgerät ist der VPN-Client), wird es mit ziemlicher Sicherheit funktionieren (in allen Netzen).
Wenn das Monilgerät als VPN-Server fungieren soll, ist es nicht ausgeschlossen, dass es über DynDNS im Netz von T-Mobile funktioniert. Du musst es einfach ausprobieren. Sicher geht es mit einer öffentlichen festen IP Adresse für das Mobilgerät (http://www.mdex.de/start/produkte/publicip/)
Viele Grüße
@Jan:
Wenn DynDNS bei UMTS/GPRS so schwierig ist -kann man dann nicht wie früher in der “guten alten Modemzeit” (..ähem..) nicht ganz auf DynDNS verzichten und sein M2M-Device einfach als “Modem” anschalten? Also: Automatische Anrufannahme enablen, von der Gegenseite aus anrufen und dann via PPPoE (oder wie das Dingens gleich noch hieß) einen IP-Stack drüber legen???
@Klaus:
Nein leider nicht wirklich.
M2M-Devices könnten zwar u.U. auch als Modem arbeiten, dann aber nicht Paketvermittelt (via GPRS…), sondern nur Leitungsvermittelt. Das bedeutet max. 9,6kBit/sec und Abrechnung per Minute. Und: Auf der Gegenseite steht dann auch ein Modem…
Viele Grüße
Wir stellen unseren Kunden, beim Kauf eines Routers, ein öffentliches VPN-Portal (www.deltalogic24.de) zur Verfügung. Dadurch benötigen wir bzw. unsere Kunden kein DynDns mehr.
Viele Grüße
Hi,
hab einen EEE PC mit UMTS-Stick und möchte ihn gerne vom Internet aus erreichbar machen per DynDNS. Gibt es Software, über die der EEE PC sich bei DynDNS (oder vergleichbaren Anbietern) meldet? Die StandartSoftware des UMTS Sticks sieht das nicht vor.
Wenn das nicht klappt, was für einen UMTS-Router brauche ich dann und wie bekomme ich das Ding mit meinem UMTS-Stick ans laufen?
Gruß Blacky
Als das nenn ich mal einen sehr nützlichen und informativen Thread
!
Ich bin schon halb verrückt geworden, weil ich die DynDNS-Adresse für meinen Mobilfunkrouter nicht anpingen konnte…jetzt weiß ich Bescheid *puh*
Danke…
Hallo,
habt ihr schon die Erfahrung gemacht, dass eventuelle Endgeräte hinter dem Mobilfunkrouter trotz stehenden VPN-Tunnels nicht erreichbar sind? Gibt es irgendwelche Einschränkungen bei VPN über Mobilfunk? Für jede Antwort diesbezüglich wäre ich sehr dankbar
.
Gruß Cutty
Hallo,
@Cutty: Vielleicht trotzdem die insgesamt zu hohe Latenz(Signallaufzeit)?
NAT-Traversal als Feature des Routers,
wäre ebenfalls nicht schlecht für diesen Zweck.
Handelt es sich um ein LAN-to-LAN VPN(Router zu Router) oder
wählst Du Dich per Software-Client in das private Netz des UMTS-Routers?
Gruss,
Der Sille
Leute,
Die Info zur APN “internet.t-d1.de” ist eine der WERTVOLLSTEN Informationen, die ich in der letzten Zeit ergoogelt habe. Vielen, vielen Dank.
ES KLAAAAPPPT, JAAAAAAAA, Juchuuuuu!