Die digitale Welt wird zunehmend von IPv6 angetrieben. Diese moderne Internetprotokollversion ist nicht nur zukunftssicher, sondern auch entscheidend für den Zugriff auf viele moderne Dienste und eine optimale Performance im Netzwerk. Doch was tun, wenn nach einem Update auf FritzOS 8 auf Ihrer FritzBox und der Nutzung von WireGuard auf Ihrem iOS-Gerät plötzlich kein IPv6 mehr über den VPN-Tunnel verfügbar ist? Sie sind nicht allein. Dieses Phänomen tritt bei einigen Nutzern auf und kann frustrierend sein. Dieser Artikel führt Sie detailliert durch die Ursachen und bietet eine schrittweise Anleitung, um Ihr IPv6-Erlebnis im WireGuard-Tunnel auf iOS wiederherzustellen.
### Einleitung: Die Relevanz von IPv6 in der heutigen Zeit
Das Internetprotokoll Version 6 (IPv6) ist der Nachfolger von IPv4 und bietet eine nahezu unbegrenzte Anzahl von IP-Adressen. Während IPv4 mit seinen knapp 4 Milliarden Adressen langsam an seine Grenzen stößt, ermöglicht IPv6 mit über 340 Sextillionen Adressen das Wachstum des Internets, das Internet der Dinge (IoT) und innovative neue Dienste. Viele moderne Webseiten und Online-Dienste sind bereits vollständig auf IPv6 umgestellt oder bevorzugen es. Ein fehlendes IPv6 kann zu längeren Ladezeiten, inkompatiblen Diensten oder gar dem vollständigen Ausfall bestimmter Funktionen führen, wenn das System erst auf IPv4 zurückfallen muss oder der Dienst nur noch über IPv6 erreichbar ist.
Für Nutzer eines VPN-Tunnels wie WireGuard, der für Sicherheit und Flexibilität im Heimnetzwerk geschätzt wird, ist es essenziell, dass dieser Tunnel sowohl IPv4 als auch IPv6 durchleiten kann. Gerade wenn Sie von unterwegs auf Heimnetzwerkdienste zugreifen, die primär IPv6 nutzen, oder einfach nur eine zukunftssichere Verbindung wünschen, ist funktionierendes IPv6 unverzichtbar.
### Das Problem verstehen: Warum fehlt IPv6 im WireGuard-Tunnel auf iOS nach FritzOS 8?
Mit der Einführung von FritzOS 8 hat AVM zahlreiche Verbesserungen und neue Funktionen für seine FritzBox-Modelle eingeführt. Darunter fallen oft auch Anpassungen an der Netzwerk- und VPN-Implementierung. Während die Unterstützung für WireGuard ein großer Schritt nach vorne war und die Einrichtung vereinfacht, scheint es bei einigen Konfigurationen zu einer Standardeinstellung zu kommen, bei der IPv6 im WireGuard-Tunnel nicht automatisch oder korrekt konfiguriert wird. Dies betrifft insbesondere iOS-Geräte, auf denen die WireGuard-App läuft.
Die Wurzel des Problems liegt meistens in einem Missverständnis oder einer fehlenden expliziten Konfiguration des IPv6-Adressbereichs für den WireGuard-Server *auf der FritzBox selbst*. Während die FritzBox automatisch einen IPv4-Adressbereich für den VPN-Tunnel einrichtet (z.B. 192.168.178.X/29), fehlt diese Automatik oft für IPv6. Die Folge ist, dass der iOS-Client keine IPv6-Adresse über den Tunnel zugewiesen bekommt und somit auch keinen IPv6-Verkehr routen kann. Das Client-Gerät weiß schlicht nicht, welchen IPv6-Adressbereich es innerhalb des Tunnels nutzen soll oder über welche Schnittstelle IPv6-Pakete gesendet werden sollen.
### Vorbereitung: Was Sie vor der Lösung prüfen sollten
Bevor wir in die tiefere Konfiguration einsteigen, stellen Sie sicher, dass die Grundlagen für IPv6 auf Ihrer FritzBox und in Ihrem Heimnetzwerk korrekt sind:
1. **FritzBox IPv6-Fähigkeit:** Überprüfen Sie, ob Ihre FritzBox überhaupt eine funktionierende IPv6-Verbindung zu Ihrem Internetanbieter (ISP) hat. Gehen Sie in der FritzBox-Oberfläche (fritz.box) zu „Internet” -> „Zugangsdaten” -> „IPv6”. Hier sollte „IPv6 aktiv” markiert sein und die FritzBox sollte eine IPv6-Adresse sowie ein globales Präfix von Ihrem ISP erhalten haben.
2. **Lokale IPv6-Adressen (ULA):** Prüfen Sie unter „Heimnetz” -> „Netzwerk” -> „Netzwerkeinstellungen” -> „IPv6-Adressen”, ob die FritzBox eine „Lokale IPv6-Adresse (ULA)” eingerichtet hat. Diese beginnt typischerweise mit `fd00::/64` und ist für interne Netzwerke gedacht. Wir werden diesen Bereich für den WireGuard-Tunnel nutzen, da er unabhängig von Ihrem ISP-Präfix stabil bleibt. Notieren Sie sich das generierte ULA-Präfix Ihrer FritzBox (z.B. `fd00:xxxx:xxxx:xxxx::/64`).
3. **Aktuelle Software:** Stellen Sie sicher, dass Ihre FritzBox mit der neuesten Version von FritzOS 8 läuft und die WireGuard-App auf Ihrem iOS-Gerät ebenfalls auf dem neuesten Stand ist.
### Schritt 1: Die FritzBox-Konfiguration anpassen – Der Schlüssel zum Erfolg
Der entscheidende Schritt zur Wiederherstellung von IPv6 im WireGuard-Tunnel liegt in der Erweiterung der WireGuard-Serverkonfiguration auf Ihrer FritzBox um einen IPv6-Adressbereich.
1. **Öffnen Sie die WireGuard-Einstellungen der FritzBox:**
* Melden Sie sich an Ihrer FritzBox-Oberfläche an (fritz.box).
* Navigieren Sie zu „Internet” -> „Freigaben” -> „VPN (WireGuard)”.
* Suchen Sie die WireGuard-Verbindung, die Sie für Ihr iOS-Gerät verwenden, und klicken Sie auf den „Bearbeiten”-Stift.
2. **Erweitern Sie die „Lokalen IP-Adressen” um IPv6 (ULA):**
* Im Bearbeitungsfenster sehen Sie unter dem Abschnitt „Lokale IP-Adresse(n)” bereits die zugewiesene IPv4-Adresse für den VPN-Tunnel (z.B. `192.168.178.201/29`).
* **Hier ist der Knackpunkt:** Fügen Sie *zusätzlich* eine IPv6-Adresse aus dem ULA-Präfix Ihrer FritzBox hinzu, die wir in den Vorbereitungen notiert haben.
* **Beispiel:** Wenn Ihr ULA-Präfix `fd00:xxxx:xxxx:xxxx::/64` lautet, könnten Sie hier `fd00:xxxx:xxxx:xxxx::1/64` hinzufügen. Die vollständige Zeile würde dann etwa so aussehen:
`192.168.178.201/29, fd00:xxxx:xxxx:xxxx::1/64`
* **Wichtiger Hinweis:** Ersetzen Sie `fd00:xxxx:xxxx:xxxx` durch Ihr tatsächliches ULA-Präfix. Die `::1` am Ende ist eine gängige Konvention für den Router oder VPN-Server. Die `/64` ist die Standard-Subnetzmaske für IPv6 in Heimnetzwerken.
* Stellen Sie sicher, dass es sich um eine **eindeutige** Adresse im ULA-Präfix handelt, die noch nicht anderweitig verwendet wird. Da es sich um ein internes VPN-Netzwerk handelt, ist die Wahl von `::1` oder `::2` für den VPN-Server üblich.
3. **IPv6-DNS-Server konfigurieren (optional, aber empfohlen):**
* Oft wird in der WireGuard-Konfiguration der DNS-Server für die Clients automatisch auf die IP-Adresse der FritzBox gesetzt. Um auch IPv6-DNS-Auflösung zu gewährleisten, können Sie hier die ULA-Adresse Ihrer FritzBox als DNS-Server hinzufügen.
* Die ULA-Adresse der FritzBox finden Sie unter „Heimnetz” -> „Netzwerk” -> „Netzwerkeinstellungen” -> „IPv6-Adressen” (z.B. `fd00:xxxx:xxxx:xxxx:200:ff:fe00:1`).
* Fügen Sie diese Adresse, getrennt durch ein Komma, zu den bestehenden DNS-Servern hinzu.
* **Beispiel:** `192.168.178.1, fd00:xxxx:xxxx:xxxx:200:ff:fe00:1, 2001:4860:4860::8888` (letzteres ist ein öffentlicher Google IPv6 DNS-Server als Fallback).
4. **Speichern Sie die Änderungen:** Klicken Sie auf „Übernehmen” oder „Speichern”, um die aktualisierte WireGuard-Konfiguration auf Ihrer FritzBox zu aktivieren.
### Schritt 2: Die WireGuard-Client-Konfiguration auf iOS aktualisieren
Nachdem Sie die FritzBox als WireGuard-Server für IPv6 konfiguriert haben, muss Ihr iOS-Gerät (der Client) ebenfalls eine entsprechende IPv6-Adresse erhalten und wissen, dass es IPv6-Verkehr über den Tunnel routen soll.
1. **Exportieren Sie die aktualisierte Konfiguration (oder bearbeiten Sie manuell):**
* Am einfachsten ist es, wenn Sie die aktualisierte WireGuard-Konfiguration von der FritzBox erneut herunterladen oder den QR-Code neu scannen. Die FritzBox sollte nun eine Konfigurationsdatei generieren, die auch die IPv6-Einstellungen enthält.
* Alternativ können Sie die bestehende WireGuard-Verbindung in der iOS-App bearbeiten. Tippen Sie dazu auf die Verbindung und dann auf „Bearbeiten”.
2. **Bearbeiten Sie den `[Interface]`-Abschnitt:**
* Suchen Sie den `Address`-Eintrag. Hier steht bereits die IPv4-Adresse Ihres iOS-Geräts im VPN-Tunnel (z.B. `192.168.178.202/29`).
* Fügen Sie hier eine weitere IPv6-Adresse aus dem ULA-Präfix hinzu. Diese Adresse muss **einzigartig** für dieses iOS-Gerät sein und darf nicht der FritzBox-Adresse aus Schritt 1 entsprechen.
* **Beispiel:** `Address = 192.168.178.202/29, fd00:xxxx:xxxx:xxxx::10/64`
* Auch hier `fd00:xxxx:xxxx:xxxx` durch Ihr tatsächliches ULA-Präfix ersetzen.
* Die `::10` ist eine Beispieladresse. Wählen Sie eine freie Adresse innerhalb des ULA-Präfixes (z.B. `::10`, `::20`, etc. – vermeiden Sie `::1` und `::200:ff:fe00:1`, die typischerweise von der FritzBox genutzt werden). Die `/64` ist die Standard-Subnetzmaske.
* Überprüfen Sie den `DNS`-Eintrag. Wenn Sie ihn in der FritzBox konfiguriert haben, sollte er bereits korrekt sein. Falls nicht, fügen Sie die ULA-Adresse der FritzBox (z.B. `fd00:xxxx:xxxx:xxxx:200:ff:fe00:1`) und optional einen öffentlichen IPv6-DNS-Server (z.B. `2001:4860:4860::8888` für Google DNS) hinzu.
* **Beispiel:** `DNS = 192.168.178.1, fd00:xxxx:xxxx:xxxx:200:ff:fe00:1, 2001:4860:4860::8888`
3. **Bearbeiten Sie den `[Peer]`-Abschnitt:**
* Suchen Sie den `AllowedIPs`-Eintrag. Dieser bestimmt, welcher IP-Verkehr durch den Tunnel geleitet werden soll.
* Um sicherzustellen, dass sowohl IPv4- als auch IPv6-Verkehr vollständig durch den Tunnel geleitet wird (Full Tunnel), sollte dieser Eintrag folgendermaßen aussehen:
`AllowedIPs = 0.0.0.0/0, ::/0`
* Der `::/0` -Eintrag ist entscheidend für das Routing von *allen* IPv6-Paketen durch den WireGuard-Tunnel.
4. **Speichern Sie die Änderungen:** Speichern Sie die aktualisierte Konfiguration in der WireGuard-App auf Ihrem iOS-Gerät.
### Schritt 3: Überprüfung und Fehlerbehebung
Nach den Anpassungen ist es Zeit, die Funktionalität zu testen:
1. **Verbinden Sie den WireGuard-Tunnel auf iOS.**
2. **IPv6-Verfügbarkeit testen:**
* Öffnen Sie einen Webbrowser auf Ihrem iOS-Gerät.
* Besuchen Sie Webseiten wie [https://test-ipv6.com/](https://test-ipv6.com/) oder [https://ipv6-test.com/](https://ipv6-test.com/). Diese Seiten zeigen Ihnen an, ob Sie eine IPv6-Verbindung haben und welche IP-Adressen (IPv4 und IPv6) verwendet werden. Sie sollten nun eine erfolgreiche IPv6-Verbindung sehen.
* Alternativ können Sie eine Terminal-App auf iOS (falls vorhanden) verwenden und `ping6 google.com` oder `ping6 heise.de` ausführen. Wenn Sie Antworten erhalten, funktioniert IPv6.
3. **Überprüfen Sie die Netzwerkdetails auf iOS:** In den Netzwerkeinstellungen Ihres iOS-Geräts, wenn der WireGuard-Tunnel aktiv ist, können Sie manchmal Details zur zugewiesenen IP-Adresse sehen. Hier sollte nun auch eine IPv6-Adresse (aus Ihrem ULA-Präfix) für die WireGuard-Schnittstelle angezeigt werden.
**Häufige Fehlerquellen:**
* **Tippfehler:** Überprüfen Sie alle eingetragenen IP-Adressen und Präfixe genau auf Tippfehler.
* **Falsches ULA-Präfix:** Stellen Sie sicher, dass Sie das *korrekte* ULA-Präfix Ihrer FritzBox verwendet haben.
* **Adresskollisionen:** Achten Sie darauf, dass die zugewiesenen IPv6-Adressen für die FritzBox (Server) und das iOS-Gerät (Client) eindeutig sind und sich nicht gegenseitig überlappen.
* **Firewall-Einstellungen:** Prüfen Sie, ob Firewalls auf der FritzBox oder dem iOS-Gerät den IPv6-Verkehr im Tunnel blockieren könnten (unwahrscheinlich bei Standardeinstellungen, aber eine Möglichkeit).
* **ISP-Probleme:** Wenn Ihre FritzBox generell keine IPv6-Verbindung zum Internet herstellen kann, werden auch keine globalen IPv6-Adressen über den Tunnel funktionieren. Das ULA-Netzwerk sollte jedoch unabhängig davon intern funktionieren.
### Hintergrundwissen: ULA vs. GUA und Präfix-Delegation
* **Global Unicast Address (GUA):** Dies sind die öffentlichen IPv6-Adressen, die Sie von Ihrem Internetanbieter erhalten. Sie sind weltweit routbar und vergleichbar mit öffentlichen IPv4-Adressen. Die FritzBox erhält in der Regel ein GUA-Präfix (z.B. `/56` oder `/60`), aus dem sie dann Adressen für Ihre Geräte im Heimnetzwerk vergibt.
* **Unique Local Address (ULA):** Dies sind private IPv6-Adressen (beginnend mit `fd00::/8`), die nicht im Internet geroutet werden. Sie sind für die Kommunikation innerhalb eines lokalen Netzwerks gedacht und vergleichbar mit privaten IPv4-Adressen (z.B. 192.168.x.x). Die FritzBox generiert automatisch ein ULA-Präfix für Ihr Heimnetzwerk. ULA-Adressen sind ideal für VPN-Tunnel, da sie stabil und unabhängig von Änderungen des ISP-Präfixes sind.
* **Präfix-Delegation:** Dies ist der Prozess, bei dem ein ISP ein IPv6-Präfix an Ihr Heimnetzwerk delegiert. Ihre FritzBox nutzt dieses Präfix, um Ihren Geräten im Heimnetzwerk global routbare IPv6-Adressen zuzuweisen.
Für den WireGuard-Tunnel haben wir uns bewusst für ULA-Adressen entschieden. Der Vorteil ist die Stabilität: Selbst wenn Ihr ISP Ihnen ein neues globales IPv6-Präfix zuweist, bleiben Ihre ULA-Adressen für den VPN-Tunnel unverändert. Der Datenverkehr von den ULA-Adressen des Tunnels wird dann von der FritzBox über ihre GUA ins Internet geroutet, ähnlich wie bei IPv4-NAT.
### Fazit und Ausblick
Das Fehlen von IPv6 über den WireGuard-Tunnel auf iOS nach einem FritzOS 8 Update kann verwirrend sein, ist aber mit den richtigen Anpassungen an der FritzBox-Konfiguration und der WireGuard-Client-Konfiguration auf Ihrem iOS-Gerät relativ einfach zu beheben. Der Schlüssel liegt darin, dem WireGuard-Tunnel explizit einen **Unique Local Address (ULA) IPv6-Adressbereich** zuzuweisen und sicherzustellen, dass der Client die IPv6-Adresse erhält und den Verkehr korrekt routet.
Mit dieser Anleitung sollten Sie in der Lage sein, Ihre WireGuard-Verbindung wieder vollständig funktionsfähig zu machen, sodass Sie sowohl IPv4 als auch IPv6 sicher und effizient über Ihr VPN auf Ihrem iOS-Gerät nutzen können. Bleiben Sie stets auf dem neuesten Stand mit Software-Updates Ihrer FritzBox und der WireGuard-App, um von den neuesten Funktionen und Sicherheitsverbesserungen zu profitieren. Genießen Sie die Vorteile eines modernen Internets – auch unterwegs!