4
IPsec nur einseitiges NAT
Hallo zusammen
Ich habe momentan zwei pfsense an verschiedenen Anschlüssen via IPsec verbunden. Beide haben öffentliche IPv4 und die Verbindung läuft nahezu perfekt.
Nun kommt mein Problem:
Es kommt ein neuer Internet Anschluss an einem Standort (LTE) wo ich keine eigene öffentliche IP Adresse zur Verfügung habe. Alle Anfragen ins Internet werden vom Provider via NAT übersetzt. Auf meinem Gerät habe ich immer nur eine private 10.xx Adresse.
IPsec funktioniert grundsätzlich ja über NAT. Das Problem ist allerdings, dass ich auf seitens Provider keine Incomming-Regel machen kann.
Daher meine Frage, gibt es irgendwie die Möglichkeit IPsec in so einer Art Server/Client-Konsultation zu starten, dass ich kein Incomming NAT auf der einen Seite benötige?
Falls nicht, gibt es alternative beide Standorte voll geroutet miteinander zu verbinden ?
Vielen Dank für die Hilfe und liebe Grüsse
Claudio
Ich habe momentan zwei pfsense an verschiedenen Anschlüssen via IPsec verbunden. Beide haben öffentliche IPv4 und die Verbindung läuft nahezu perfekt.
Nun kommt mein Problem:
Es kommt ein neuer Internet Anschluss an einem Standort (LTE) wo ich keine eigene öffentliche IP Adresse zur Verfügung habe. Alle Anfragen ins Internet werden vom Provider via NAT übersetzt. Auf meinem Gerät habe ich immer nur eine private 10.xx Adresse.
IPsec funktioniert grundsätzlich ja über NAT. Das Problem ist allerdings, dass ich auf seitens Provider keine Incomming-Regel machen kann.
Daher meine Frage, gibt es irgendwie die Möglichkeit IPsec in so einer Art Server/Client-Konsultation zu starten, dass ich kein Incomming NAT auf der einen Seite benötige?
Falls nicht, gibt es alternative beide Standorte voll geroutet miteinander zu verbinden ?
Vielen Dank für die Hilfe und liebe Grüsse
Claudio
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 476502
Url: https://administrator.de/contentid/476502
Printed on: May 3, 2024 at 22:05 o'clock
4 Comments
Latest comment
Moin,
Dafür gibt es das IPSEC NAT Traversal
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-nat-t-support ...
Die Verbindung muß dann natürlich immer vom LTE-Standort aus initiiert werden.
Aber es gibt Provider, die gegen Einwurf kleiner und großer Geldscheine Dir auch eine IP-Adresse geben, die nicht aus den RFC1918-Bereich ist.
lks
Dafür gibt es das IPSEC NAT Traversal
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-nat-t-support ...
Die Verbindung muß dann natürlich immer vom LTE-Standort aus initiiert werden.
Aber es gibt Provider, die gegen Einwurf kleiner und großer Geldscheine Dir auch eine IP-Adresse geben, die nicht aus den RFC1918-Bereich ist.
lks
Ansonsten den Standort evtl per OpenVPN als Client anbinden? Habe ich auch mit einem externen 3 Mann Büro gemacht. Hat gut geklappt.
Ich könnte an dieser Stelle noch Einwerfen, dass dieses ganze NAT-Problem verschwindet, sobald man IPv6 nutzt... 
1
Es sollte funktionieren wenn eine pFSense an diesem Standort rein als Initiator konfiguriert ist, sprich sie also selber aktiv zu einem anderen (zentralen) Standort sich einwählen. Wenn dann NAT Traversal aktiviert ist sollte das klappen. Nur die IPSec Anwahl wird nie funktionieren, da dort ja CGN gemacht wird im Mobilnetz.
Alternativ wie Kollege @LordGurke schon richtig sagt den Tunnel per v6 generieren und die v4 Netze dann darin tunneln. Setzt natürlich voraus dasmindestens ein anderer Standort auch per v6 erreichbar ist.
Ideal geht sowas mit GRE Tunneln, die auch die pFSense problemlos supportet.
Dieses Tutorial zeigt grundsätzlich wie es geht.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Lösbar ist das in jedem Falle.
Alternativ wie Kollege @LordGurke schon richtig sagt den Tunnel per v6 generieren und die v4 Netze dann darin tunneln. Setzt natürlich voraus dasmindestens ein anderer Standort auch per v6 erreichbar ist.
Ideal geht sowas mit GRE Tunneln, die auch die pFSense problemlos supportet.
Dieses Tutorial zeigt grundsätzlich wie es geht.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Lösbar ist das in jedem Falle.
