Millionen Glasfaser- und Mobilfunkkunden sind hinter CGNAT versteckt oder erhalten ausschließlich IPv6 – ohne es zu wissen. Das macht Homeserver, Portforwarding und Remote-Zugriff unmöglich.
Grundlagen
CGNAT steht für Carrier-Grade Network Address Translation – eine Methode, mit der Provider die Knappheit an IPv4-Adressen überbrücken, auf Kosten ihrer Kunden.
Normales NAT an deinem Router übersetzt deine privaten 192.168.x.x-Adressen in eine öffentliche IP – das ist Standard und problemlos, weil du Portforwarding konfigurieren kannst. Bei CGNAT macht der Provider-Router genau dasselbe nochmal. Du teilst dir eine öffentliche IP mit Hunderten anderer Kunden. Das nennt sich Doppel-NAT.
Eingehende Verbindungen scheitern bereits am Provider-Router, bevor sie deinen eigenen Router erreichen. Portforwarding-Regeln an der Fritz!Box haben schlicht keine Wirkung.
Prüfe die WAN-IP deines Routers. Zeigt sie eine Adresse im Bereich 100.64.0.0 – 100.127.255.255, bist du definitiv hinter CGNAT (RFC 6598 Shared Address Space).
Netzwerktopologie: Doppel-NAT
Eingehende Verbindungen (→ von rechts) werden am Provider-Router verworfen — nie dein Router.
Seit 2011 vergibt die IANA keine neuen IPv4-Blöcke. Adressen sind knapp und teuer. CGNAT ist die günstigste Lösung für Provider.
100 bis mehrere Tausend Kunden teilen sich eine öffentliche IPv4. Der Provider entscheidet, wer ausgehend kommunizieren darf – eingehend nie.
Glasfaser & Mobilfunk
Das nächste Level nach CGNAT – und immer häufiger bei modernen Glasfaser- und Mobilfunkanschlüssen Realität.
IPv6 hat einen nahezu unerschöpflichen Adressraum – 340 Sextillionen Adressen. Das macht den Einsatz von CGNAT überflüssig. Deshalb statten moderne Glasfaser-Provider und Mobilfunker ihre Kunden bevorzugt mit IPv6 aus. Was gut klingt, hat einen Haken.
Glasfaseranschlüsse (Deutsche Glasfaser, Glastavit, EWE, M-net u.a.) vergeben häufig nur noch IPv6 nativ. Für IPv4 kommt DS-Lite (Dual Stack Lite) zum Einsatz – eine Variante von CGNAT, bei der dein IPv4-Traffic durch einen IPv6-Tunnel zum Provider-CGNAT-Router geht. Das Ergebnis ist identisch: kein Portforwarding, kein Homeserver, keine eingehenden Verbindungen.
Deine Geräte sind zwar über IPv6 direkt erreichbar – aber nur wenn der Besucher selbst auch IPv6 hat. Ein Großteil der Nutzer, Dienste und Mobilgeräte spricht jedoch noch IPv4. Für diese ist dein Heimnetz schlicht unsichtbar.
Frischer Glasfaser-Anschluss, nagelneue Fritz!Box – Portforwarding eingerichtet, aber es funktioniert nicht. Der Router zeigt 100.x.x.x als WAN-IP oder gar keine IPv4. Stundenlange Fehlersuche, obwohl der Provider schlicht kein natives IPv4 mehr vergibt.
| Merkmal | Eigene IPv4 | CGNAT / DS-Lite | IPv6-only |
|---|---|---|---|
| Portforwarding | Ja | Nein | Nur IPv6 |
| Homeserver (alle erreichbar) | Ja | Nein | Nein |
| WireGuard / VPN-Server | Ja | Nein | Nein |
| Gaming (Strict NAT) | Offen | Strikt | Strikt |
| DynDNS nutzbar | Ja | Wirkungslos | Nur AAAA |
| Von IPv4-Nutzern erreichbar | Ja | Nein | Nein |
| Mit IPv64.net lösbar | — nicht nötig | Ja! | Ja! |
Konsequenzen
Ob Heimserver, Gaming oder Remote-Zugriff – CGNAT und IPv6-only schränken massiv ein, was du mit deinem Anschluss machen kannst.
Nextcloud, Vaultwarden, Gitea, Bitwarden – alle selbst gehosteten Dienste bleiben hinter CGNAT unsichtbar. Portforwarding-Regeln an der Fritz!Box verpuffen wirkungslos, da der Provider-Router alles Eingehende bereits verwirft.
Dein Plex oder Jellyfin läuft wunderbar lokal – aber von unterwegs kommt keine direkte Verbindung zustande. Plex-Relay löst es halbherzig, drosselt aber die Bandbreite und ist kostenpflichtig.
Home Assistant, ioBroker oder FHEM lokal zu bedienen – kein Problem. Von unterwegs aufs eigene Smart Home zugreifen? Ohne eigene IP oder Tunnel unmöglich – du bist auf Cloud-Dienste des Herstellers angewiesen.
WireGuard oder OpenVPN im Heimnetz einrichten ist einfach – aber der Tunnel kann keine eingehende Verbindung annehmen. Von unterwegs ins Heimnetz? Remote-Desktop, Netzwerk-Shares, NAS – alles unerreichbar.
PlayStation, Xbox und PC-Spiele erkennen CGNAT als „NAT Typ 3" bzw. „Strict NAT". Matchmaking dauert länger, Lobbys sind nicht joinbar, eigene Sessions können nicht gehostet werden – P2P-Verbindungen brechen ständig ab.
Provider informieren Kunden selten über CGNAT. Stunden Fehlersuche am Router, obwohl die Ursache beim Anbieter liegt. Support-Mitarbeiter verschweigen es oder bieten eine teure statische IP als einzige „Lösung".
Die Lösung
IPv64.net bietet zwei leistungsstarke Lösungen, die CGNAT und IPv6-only vollständig umgehen – kostenlos, betrieben auf deutschen Servern.
Der IPv64.net Cloud Router ist ein WireGuard-basierter VPN-Gateway-Server in einem deutschen Rechenzentrum mit fester öffentlicher IPv4- und IPv6-Adresse. Du verbindest dein Heimnetz über einen WireGuard-Tunnel mit diesem Server.
Alle eingehenden Anfragen an die öffentliche IP des Cloud Routers werden durch den Tunnel zu dir weitergeleitet. CGNAT stört nicht, weil ausgehende Verbindungen (Tunnel-Aufbau) auch hinter CGNAT immer funktionieren. Für dich von außen sieht es aus, als hättest du eine eigene öffentliche IP.
Der IPv64.net CDN Reverse Proxy ist die ideale Lösung für HTTP/HTTPS-Dienste. Du trägst deinen lokalen Dienst (IP + Port) im Dashboard ein. Der IPv64-CDN-Server fungiert als öffentlich erreichbarer Vermittler.
Eingehende Anfragen landen beim CDN-Server und werden über einen ausgehenden Kanal deines lokalen Dienstes weitergeleitet – ohne dass eine eingehende Portöffnung beim Provider nötig ist. Zusätzlich erhältst du automatisches SSL, DDoS-Schutz und Caching.
Alle Lösungen bauen auf dem kostenlosen DynDNS-Dienst von IPv64.net auf. Du erhältst einen stabilen Hostnamen wie deinname.ipv64.net, der deine aktuelle IPv4 und/oder IPv6 automatisch aktualisiert – per Fritz!Box, OpenWrt, cron-Job oder REST-API. So bist du immer unter einem festen Namen erreichbar, auch wenn sich deine IP täglich ändert.
DynDNS ansehen
Diagnose
Die Diagnose geht in unter einer Minute – nur mit Browser oder Kommandozeile.
Öffne ipv64.net/wieistmeineip und vergleiche die angezeigte IP mit der WAN-IP in deiner Router-Oberfläche.
Windows: tracert 8.8.8.8
Linux/Mac: traceroute 8.8.8.8
Öffne test-ipv6.com. Nur IPv6 und keine native IPv4 sichtbar? Dann bist du auf einem IPv6-only oder DS-Lite-Anschluss.
Melde dich auf deiner Fritz!Box an. WAN-IP im Bereich 100.64.0.0 bis 100.127.255.255 bedeutet CGNAT (RFC 6598).
Schnellstart
Mit IPv64.net bist du in wenigen Minuten eingerichtet. Kein tiefes technisches Vorwissen nötig.
DynDNS, Cloud Router (Basis) und CDN Reverse Proxy sind im kostenlosen Account enthalten. Keine Kreditkarte, kein Abo. Betrieben von der Prox IT UG in Duisburg.
Registriere dich kostenlos auf ipv64.net/account. Du erhältst sofort Zugang zum Dashboard, API-Key und alle Dienste.
Erstelle einen Hostnamen wie meinhome.ipv64.net. Trage den Update-URL in die Fritz!Box ein unter Internet → Freigaben → DynDNS → Benutzerdefiniert:
Cloud Router: WireGuard-Server im Dashboard erstellen, Konfigurationsdatei herunterladen, in Router oder Client importieren: wg-quick up wg0
CDN Proxy: Lokalen Dienst (IP + Port) im Dashboard eintragen – fertig, der öffentliche Endpunkt wird sofort bereitgestellt.
Alle eingehenden Verbindungen gelangen über Cloud Router oder CDN Proxy zuverlässig zu dir – egal ob hinter CGNAT, DS-Lite oder IPv6-only. 🎉
FAQ
192.168.x.x-Adressen in eine öffentliche IP – du kannst dort Portforwarding konfigurieren. CGNAT fügt eine zweite NAT-Ebene beim Provider hinzu. Diese kannst du nicht beeinflussen. Eingehende Verbindungen erreichen deinen Router gar nicht erst, weil der Provider-Router nicht weiß, an welchen von hunderten Kunden er sie weiterleiten soll.
ipv64.net-Subdomains, Cloud-Router-Basisnutzung und CDN Reverse Proxy. Das reicht für die meisten Heimanwender vollständig aus. Kostenpflichtige Tarife bieten mehr Hostnamen, eigene Domains, höhere Bandbreiten und Managed-Services. Details: ipv64.net/pricing.
Jetzt loslegen
Mit IPv64.net Cloud Router und CDN Reverse Proxy ist dein Heimnetz in wenigen Minuten weltweit erreichbar – egal ob CGNAT, DS-Lite oder IPv6-only.
Made & hosted in Germany · DSGVO-konform · Keine Kreditkarte