Seit dem 25. November 2019 vergibt die europäische IP-Adressverwaltung RIPE NCC keine neuen IPv4-Adressen mehr aus dem regulären Pool. Der letzte /22-Block war zugeteilt, der Topf leer. Was 2018 noch ein Warnsignal war, ist heute eine strukturelle Tatsache, die sich direkt auf Unternehmensnetze auswirkt.

Was ist eine IPv4-Adresse und warum gibt es zu wenige?

Das IPv4-Protokoll aus den 1980er-Jahren kennt rund 4,3 Milliarden Adressen. Das klingt viel, ist es aber nicht: Smartphones, Tablets, IoT-Sensoren, Cloud-Instanzen und Firmenserver brauchen alle eine Adresse. Die Erschöpfung war mathematisch unvermeidlich.

RIPE NCC verwaltet den europäischen Adressraum. Bereits 2012 hatte die Organisation ihren letzten großen /8-Block erhalten und seitdem nur noch in Kleinstmengen (je 1024 Adressen) an Provider verteilt. Zurückgegebene Adressen gehen auf eine Warteliste. Wer heute eine neue IPv4-Zuweisung will, bekommt maximal ein /24 (256 Adressen) und wartet.

Was kostet eine IPv4-Adresse 2026?

Auf dem Sekundärmarkt werden einzelne IPv4-Adressen zwischen 9 und 34 US-Dollar gehandelt. Ein /24-Block mit 256 Adressen kostet damit zwischen 2.300 und 8.700 US-Dollar. Größere Blöcke sind günstiger pro Adresse, aber für KMU kaum relevant. Provider geben diese Kosten über Hosting- und Connectivity-Preise weiter.

Wer heute einen dedizierten Server oder eine Cloud-VM mit öffentlicher IPv4-Adresse bucht, zahlt dafür oft einen monatlichen Aufschlag, der vor einigen Jahren noch nicht existierte.

Was ist CGNAT und warum ist es ein Problem für Unternehmen?

Provider, die keine eigenen IPv4-Adressen mehr zugeteilt bekommen, schalten zwischen ihren Kunden und dem Internet ein Carrier-Grade NAT (CGNAT). Dabei teilen sich mehrere Anschlüsse eine einzige öffentliche IP-Adresse.

Das führt zu konkreten Problemen im Unternehmensalltag:

VPN-Verbindungen: Viele IPsec-VPN-Implementierungen brechen unter CGNAT zusammen, weil eingehende Verbindungen nicht eindeutig zuzuordnen sind.
Remote-Arbeitsplatz: Mitarbeitende, die per VPN ins Büronetz zugreifen, können bei CGNAT auf Verbindungsprobleme stoßen.
Hosting und Port-Weiterleitung: Wer einen eigenen Mailserver, einen Webserver oder ein NAS von außen erreichbar machen will, benötigt eine eindeutige öffentliche IP-Adresse.
Intrusion Detection: Logs enthalten nicht mehr eindeutige Quell-IPs. Sicherheitsanalysen werden komplizierter.

Für Privatkunden ist CGNAT oft kein Problem. Für Unternehmen ist es eines, das sich spätestens beim nächsten VPN-Ticket zeigt.

Was ist IPv6 und wie funktioniert der Umstieg?

IPv6 ist der Nachfolger von IPv4 und bietet rund 340 Sextillionen Adressen (3,4 × 10^38). Adressknappheit ist damit strukturell ausgeschlossen. Jedes Gerät bekommt eine oder mehrere globale Adressen, ohne NAT.

Ein typischer IPv6-Unternehmensanschluss erhält ein /48-Präfix, das intern in /64-Subnetze aufgeteilt wird. Das reicht für mehr Subnetze, als ein mittelgroßes Unternehmen je brauchen wird.

Der Umstieg läuft in der Praxis über Dual-Stack: IPv4 und IPv6 laufen gleichzeitig. Das Netz kommuniziert bevorzugt über IPv6, fällt aber auf IPv4 zurück, wenn ein Gegenstelle IPv6 nicht unterstützt. Dieser Ansatz ist risikoarm, weil bestehende Verbindungen nicht unterbrochen werden.

Welche Schritte sind für ein KMU-Firmennetz konkret sinnvoll?

1. Provider-Anschluss prüfen

Fragt Ihren Internetanbieter: Hat der Anschluss eine dedizierte öffentliche IPv4-Adresse oder sitzt er hinter CGNAT? Und wird IPv6 ausgeliefert? Viele Glasfaser- und Kabelanschlüsse liefern heute beides, aber nicht jeder Vertrag schaltet es automatisch frei.

2. Router und Firewall auf IPv6-Fähigkeit prüfen

Ältere SOHO-Router unterstützen IPv6 teilweise gar nicht oder nur lückenhaft. Wer einen Unternehmens-Router (Fortinet, Cisco, Mikrotik) betreibt, prüft im Handbuch oder Firmware-Changelog die IPv6-Unterstützung. Gleiches gilt für Firewall-Regeln: IPv6-Traffic braucht eigene Regeln, er fällt nicht automatisch unter IPv4-Policies.

3. Interne Dienste auf IPv6 vorbereiten

DNS-Server, interne Webdienste und Dateiserver sollten AAAA-Einträge (IPv6-Pendant zum A-Record) erhalten. Active-Directory-Umgebungen unter Windows Server unterstützen IPv6 seit Langem vollständig.

4. VPN neu bewerten

WireGuard und OpenVPN unterstützen IPv6 nativ. IKEv2-IPsec funktioniert unter Dual-Stack in der Regel problemlos. Ältere IPsec-Konfigurationen mit festgeschriebenen IPv4-Endpunkten sollten vor dem Dual-Stack-Rollout geprüft werden.

5. Monitoring anpassen

NinjaOne, PRTG und ähnliche Monitoring-Werkzeuge überwachen IPv6-Endpunkte separat. Wer ein neues Protokoll ausrollt, braucht auch neue Monitoring-Checks.

Was passiert, wenn man nichts tut?

Kurzfristig: wenig. Bestehende IPv4-Verbindungen funktionieren weiter. Mittelfristig steigen die Kosten für dedizierte IPv4-Adressen, und CGNAT-bedingte VPN-Ausfälle häufen sich bei Provider-Wechseln. Langfristig werden Dienste und Cloud-Plattformen IPv6 priorisieren. Wer IPv6 nicht unterstützt, zahlt Aufschläge oder hat langsamere Verbindungen.

Der IPv6-Rückstand, der heute entsteht, ist in zwei Jahren teurer zu beheben als heute.

Netzleiter unterstützt bei der IPv6-Migration

Netzleiter begleitet KMU in Hamburg und DACH beim strukturierten IPv6-Rollout: von der Provider-Abstimmung über Firewall-Konfiguration bis zur VPN-Neukonfiguration. Das Thema gehört zur IT-Infrastrukturbetreuung, die wir laufend für mittelständische Betriebe übernehmen.

Wenn Sie unsicher sind, ob Ihr Netz CGNAT-betroffen ist oder wie ein Dual-Stack-Rollout in Ihrem Betrieb aussehen würde, sprechen Sie uns an: 040 25 499 500 | support@netzleiter.com

Wer seinen Netzzugang absichern will, findet im Beitrag zu Netzwerksicherheit und Firewall-Absicherung eine praktische Ergänzung.