kufstein
Goto Top

IPsec nur einseitiges NAT

Hallo zusammen


Ich habe momentan zwei pfsense an verschiedenen Anschlüssen via IPsec verbunden. Beide haben öffentliche IPv4 und die Verbindung läuft nahezu perfekt.

Nun kommt mein Problem:

Es kommt ein neuer Internet Anschluss an einem Standort (LTE) wo ich keine eigene öffentliche IP Adresse zur Verfügung habe. Alle Anfragen ins Internet werden vom Provider via NAT übersetzt. Auf meinem Gerät habe ich immer nur eine private 10.xx Adresse.
IPsec funktioniert grundsätzlich ja über NAT. Das Problem ist allerdings, dass ich auf seitens Provider keine Incomming-Regel machen kann.
Daher meine Frage, gibt es irgendwie die Möglichkeit IPsec in so einer Art Server/Client-Konsultation zu starten, dass ich kein Incomming NAT auf der einen Seite benötige?

Falls nicht, gibt es alternative beide Standorte voll geroutet miteinander zu verbinden ?


Vielen Dank für die Hilfe und liebe Grüsse

Claudio

Content-Key: 476502

Url: https://administrator.de/contentid/476502

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 24.07.2019 aktualisiert um 06:36:27 Uhr
Goto Top
Moin,

Dafür gibt es das IPSEC NAT Traversal

https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-nat-t-support ...

Die Verbindung muß dann natürlich immer vom LTE-Standort aus initiiert werden.

Aber es gibt Provider, die gegen Einwurf kleiner und großer Geldscheine Dir auch eine IP-Adresse geben, die nicht aus den RFC1918-Bereich ist.


lks
Mitglied: farddwalling
farddwalling 24.07.2019 um 09:18:07 Uhr
Goto Top
Ansonsten den Standort evtl per OpenVPN als Client anbinden? Habe ich auch mit einem externen 3 Mann Büro gemacht. Hat gut geklappt.
Mitglied: LordGurke
LordGurke 24.07.2019 um 12:11:37 Uhr
Goto Top
Ich könnte an dieser Stelle noch Einwerfen, dass dieses ganze NAT-Problem verschwindet, sobald man IPv6 nutzt... face-wink
Mitglied: aqui
aqui 24.07.2019 aktualisiert um 15:01:25 Uhr
Goto Top
Es sollte funktionieren wenn eine pFSense an diesem Standort rein als Initiator konfiguriert ist, sprich sie also selber aktiv zu einem anderen (zentralen) Standort sich einwählen. Wenn dann NAT Traversal aktiviert ist sollte das klappen. Nur die IPSec Anwahl wird nie funktionieren, da dort ja CGN gemacht wird im Mobilnetz.
Alternativ wie Kollege @LordGurke schon richtig sagt den Tunnel per v6 generieren und die v4 Netze dann darin tunneln. Setzt natürlich voraus dasmindestens ein anderer Standort auch per v6 erreichbar ist.
Ideal geht sowas mit GRE Tunneln, die auch die pFSense problemlos supportet.
Dieses Tutorial zeigt grundsätzlich wie es geht.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Lösbar ist das in jedem Falle.