4
IPsec nur einseitiges NAT
Hallo zusammen
Ich habe momentan zwei pfsense an verschiedenen Anschlüssen via IPsec verbunden. Beide haben öffentliche IPv4 und die Verbindung läuft nahezu perfekt.
Nun kommt mein Problem:
Es kommt ein neuer Internet Anschluss an einem Standort (LTE) wo ich keine eigene öffentliche IP Adresse zur Verfügung habe. Alle Anfragen ins Internet werden vom Provider via NAT übersetzt. Auf meinem Gerät habe ich immer nur eine private 10.xx Adresse.
IPsec funktioniert grundsätzlich ja über NAT. Das Problem ist allerdings, dass ich auf seitens Provider keine Incomming-Regel machen kann.
Daher meine Frage, gibt es irgendwie die Möglichkeit IPsec in so einer Art Server/Client-Konsultation zu starten, dass ich kein Incomming NAT auf der einen Seite benötige?
Falls nicht, gibt es alternative beide Standorte voll geroutet miteinander zu verbinden ?
Vielen Dank für die Hilfe und liebe Grüsse
Claudio
Ich habe momentan zwei pfsense an verschiedenen Anschlüssen via IPsec verbunden. Beide haben öffentliche IPv4 und die Verbindung läuft nahezu perfekt.
Nun kommt mein Problem:
Es kommt ein neuer Internet Anschluss an einem Standort (LTE) wo ich keine eigene öffentliche IP Adresse zur Verfügung habe. Alle Anfragen ins Internet werden vom Provider via NAT übersetzt. Auf meinem Gerät habe ich immer nur eine private 10.xx Adresse.
IPsec funktioniert grundsätzlich ja über NAT. Das Problem ist allerdings, dass ich auf seitens Provider keine Incomming-Regel machen kann.
Daher meine Frage, gibt es irgendwie die Möglichkeit IPsec in so einer Art Server/Client-Konsultation zu starten, dass ich kein Incomming NAT auf der einen Seite benötige?
Falls nicht, gibt es alternative beide Standorte voll geroutet miteinander zu verbinden ?
Vielen Dank für die Hilfe und liebe Grüsse
Claudio
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 476502
Url: https://administrator.de/forum/ipsec-nur-einseitiges-nat-476502.html
Ausgedruckt am: 22.04.2025 um 07:04 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Dafür gibt es das IPSEC NAT Traversal
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-nat-t-support ...
Die Verbindung muß dann natürlich immer vom LTE-Standort aus initiiert werden.
Aber es gibt Provider, die gegen Einwurf kleiner und großer Geldscheine Dir auch eine IP-Adresse geben, die nicht aus den RFC1918-Bereich ist.
lks
Dafür gibt es das IPSEC NAT Traversal
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-nat-t-support ...
Die Verbindung muß dann natürlich immer vom LTE-Standort aus initiiert werden.
Aber es gibt Provider, die gegen Einwurf kleiner und großer Geldscheine Dir auch eine IP-Adresse geben, die nicht aus den RFC1918-Bereich ist.
lks
Ansonsten den Standort evtl per OpenVPN als Client anbinden? Habe ich auch mit einem externen 3 Mann Büro gemacht. Hat gut geklappt.
Ich könnte an dieser Stelle noch Einwerfen, dass dieses ganze NAT-Problem verschwindet, sobald man IPv6 nutzt... 
1
Es sollte funktionieren wenn eine pFSense an diesem Standort rein als Initiator konfiguriert ist, sprich sie also selber aktiv zu einem anderen (zentralen) Standort sich einwählen. Wenn dann NAT Traversal aktiviert ist sollte das klappen. Nur die IPSec Anwahl wird nie funktionieren, da dort ja CGN gemacht wird im Mobilnetz.
Alternativ wie Kollege @LordGurke schon richtig sagt den Tunnel per v6 generieren und die v4 Netze dann darin tunneln. Setzt natürlich voraus dasmindestens ein anderer Standort auch per v6 erreichbar ist.
Ideal geht sowas mit GRE Tunneln, die auch die pFSense problemlos supportet.
Dieses Tutorial zeigt grundsätzlich wie es geht.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Lösbar ist das in jedem Falle.
Alternativ wie Kollege @LordGurke schon richtig sagt den Tunnel per v6 generieren und die v4 Netze dann darin tunneln. Setzt natürlich voraus dasmindestens ein anderer Standort auch per v6 erreichbar ist.
Ideal geht sowas mit GRE Tunneln, die auch die pFSense problemlos supportet.
Dieses Tutorial zeigt grundsätzlich wie es geht.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Lösbar ist das in jedem Falle.
