9
IPsec-Tunnel zwischen 2 LANCOM-Routern, einer hinter CGN
Hallo Leute,
kennt sich jemand mit LANCOM-Routern und zusätzlich mit IPsec-Tunneln aus?
Gibt es eine Möglichkeit einen IPsec-S2S-Tunnel zwischen 2 LANCOM-Routern herzustellen,
wenn einer der beiden Router hinter einem CGN (Carrier Grade NAT) betrieben wird?
Die IPsec-Ports UDP 500 + UDP 4500 können also nicht (per DNAT-Regel auf dem vorgeschalteten Router) zum LANCOM-Router auf der CGN-Seite durchgereicht werden.
Habe von jemandem erfahren, dass es bei LANCOM-Routern eine Funktion gibt,
wo der IPsec-Datenverkehr in einer HTTPS-Verbindung "verpackt" wird. Gibt es diese Funktion
und ermöglicht sie einen IPsec-S2S-Tunnel bei einem Aufbau, wo einer der beiden
Router hinter einem "CGN" angeschlossen ist?
Der eine Router hängt also hinter einem "CGN" (z. B. an einem Glasfaseranschluss) und der andere
Router direkt am Internet (z. B. an einem DSL-Anschluss).
Bitte verbessert mich, falls etwas aus obigen Infos nicht korrekt ist oder Rückfragen bestehen sollten.
Würde mich über Rückmeldungen von Euch freuen.
Besten Dank vorab.
kennt sich jemand mit LANCOM-Routern und zusätzlich mit IPsec-Tunneln aus?
Gibt es eine Möglichkeit einen IPsec-S2S-Tunnel zwischen 2 LANCOM-Routern herzustellen,
wenn einer der beiden Router hinter einem CGN (Carrier Grade NAT) betrieben wird?
Die IPsec-Ports UDP 500 + UDP 4500 können also nicht (per DNAT-Regel auf dem vorgeschalteten Router) zum LANCOM-Router auf der CGN-Seite durchgereicht werden.
Habe von jemandem erfahren, dass es bei LANCOM-Routern eine Funktion gibt,
wo der IPsec-Datenverkehr in einer HTTPS-Verbindung "verpackt" wird. Gibt es diese Funktion
und ermöglicht sie einen IPsec-S2S-Tunnel bei einem Aufbau, wo einer der beiden
Router hinter einem "CGN" angeschlossen ist?
Der eine Router hängt also hinter einem "CGN" (z. B. an einem Glasfaseranschluss) und der andere
Router direkt am Internet (z. B. an einem DSL-Anschluss).
Bitte verbessert mich, falls etwas aus obigen Infos nicht korrekt ist oder Rückfragen bestehen sollten.
Würde mich über Rückmeldungen von Euch freuen.
Besten Dank vorab.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6494458708
Url: https://administrator.de/contentid/6494458708
Printed on: July 27, 2024 at 12:07 o'clock
9 Comments
Latest comment
Ja, das ist generell immer möglich sofern ein Router eine öffentliche IPv4 Adrese am WAN Port hat.
Dieser Router ist dann immer der Responder und der CG-NAT Router muss immer der Initiator sein.
Der Responder wird dann so konfiguriert das er alle inbound Peers akzeptiert. (dynamische Profile)
Sowas können heutzutage alle gängigen Router und Firewalls, sogar die FritzBox.
Die Lancoms sollten das also auch allemal können.
IPsec im Tunnel Mode ist per RFC immer fest an UDP 500 (ISAKMP), UDP 4500 (NAT Traversal) und das ESP Protokoll (IP Nummer 50) gebunden.
Wie sowas generell geht mit dynamischen VPN Profilen zeigt dir ein hiesiges Tutorial.
Dieser Router ist dann immer der Responder und der CG-NAT Router muss immer der Initiator sein.
Der Responder wird dann so konfiguriert das er alle inbound Peers akzeptiert. (dynamische Profile)
Sowas können heutzutage alle gängigen Router und Firewalls, sogar die FritzBox.
Die Lancoms sollten das also auch allemal können.
wo der IPsec-Datenverkehr in einer HTTPS-Verbindung "verpackt" wird.
Das ist Quatsch, vergiss diesen Unsinn. Der Jemand hat wenig Ahn ung und verwechselt das mit einem SSL oder SSDP VPN. SSDP ist Microsoft proprietär.IPsec im Tunnel Mode ist per RFC immer fest an UDP 500 (ISAKMP), UDP 4500 (NAT Traversal) und das ESP Protokoll (IP Nummer 50) gebunden.
Wie sowas generell geht mit dynamischen VPN Profilen zeigt dir ein hiesiges Tutorial.
Funktioniert NAT-T (NAT Traversal) eigentlich auch,
wenn sich beide IPsec-Tunnelenden hinter einem NAT befinden?
Wenn der Aufbau also wie folgt aussehen würde:
LANCOM-Router A ---- FritzBox ---- Internet ---- FritzBox ---- LANCOM-Router B
wenn sich beide IPsec-Tunnelenden hinter einem NAT befinden?
Wenn der Aufbau also wie folgt aussehen würde:
LANCOM-Router A ---- FritzBox ---- Internet ---- FritzBox ---- LANCOM-Router B
Beim zweiten Konstrukt solltest du ernsthaft darüber nachdenken, die VPN-Verbindung über IPv6 aufzubauen. Kein NAT = Kein Problem.
Moin,
Zum zweiten Konstrukt:
Welche Lancoms/ Fritten kommen zum Einsatz?
Ich würde IMMER versuchen, so wenig Equipment den Weg zu bauen…
Zum zweiten Konstrukt:
Welche Lancoms/ Fritten kommen zum Einsatz?
Ich würde IMMER versuchen, so wenig Equipment den Weg zu bauen…
wenn sich beide IPsec-Tunnelenden hinter einem NAT befinden?
Ja, natürlich, genau dafür ist ja NAT Traversal gemacht.Fakt ist aber wie oben das zumindestens eine Seite immer über eine öffentliche IPv4 Adresse erreichbar sein muss (Responder).
In deinem Fall des beidseitigem NAT dann z.B. eine Kaskade mit öffentlicher IPv4 wo dieser Router dann die IPsec Ports per Port Forwarding an einen dahinter liegenden VPN Router/Firewall weitergibt.
Siehe zu der NAT und Kaskaden Thematik auch HIER.
Lesen und verstehen...
Wenn der Aufbau also wie folgt aussehen würde:
Der Aufbau wäre ja ziemlicher Quatsch und überflüssig, da die FritzBoxen selber aktive VPN Router sind. Die dahinter kaskadierten Lancoms wären vollkommen überflüssige "Durchlauferhitzer" ohne Funktion und rausgeschmissenes Geld.Zum Rest haben die Kollegen ja schon alles gesagt.
die FritzBoxen selber aktive VPN Router sind. Die dahinter kaskadierten Lancoms wären vollkommen überflüssige "Durchlauferhitzer" ohne Funktion
.. oder die Fritten sind dumme Modems mit Portforwarding und die Lancoms sind die VPN-Router.
Technisch geht das.
Reine Geschmacksache.
Reine Geschmacksache.
...oder Performance Sache. Bleiben dann immer noch unnütze Stromfresser wenn beide Geräte nicht zwingend in eine Kaskade müssten.
Danke für Eure Rückmeldungen.
Wenn beide IPsec-Tunnelenden hinter einem "CGN" sein sollten,
hätte man echt schlechte Karten. Da könnte man wie "LordGurke" sagte auf "IPv6" setzen,
damit beide Seiten öffentlich erreichbar sind.
Vergeben Provider in CGN-Netzen eigentlich immer auch neben der (CGN)-IPv4-Adresse
eine öffentliche IPv6-Adresse an den Kunde?
Wenn man zum Beispiel mit einer FritzBox an einem Glasfaseranschluss hängt,
bekommt man dann auf jeden Fall auch eine öffentliche IPv6-Adresse oder handhaben
Provider das unterschiedlich, so dass man ggf. wirklich nur mit einer (CGN)-IPv4-Adresse
unterwegs ist?
Eine andere Möglichkeit wäre ja auch noch,
dass beide Seiten per "IPv4" zu einem VPN-Server im Internet raus connecten
und dieser Server dann so zu sagen der Vermittlungsserver in der Mitte ist.
Das "IPsec over HTTPS" bei "LANCOM" gibt es wohl wirklich:
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1471971.ht ...
Diese Funktion wird angeboten für Fälle, wo die IPsec-Gegenstellen nicht
die IPsec-Ports nutzen können (weil im betreffenden Netz gesperrt).
Bei "IPsec over HTTPS" läuft wohl der VPN-Server auf TCP 443,
wobei die Verbindung HTTPS-verschlüsselt ist. So habe ich das Ganze verstanden.
Hat jemand von Euch Erfahrung mit "IPsec over HTTPS" bei LANCOM-Geräten?
Läuft es stabil? Ist es zu empfehlen? Welche Vor- und Nachteile kann man benennen?
Wenn beide IPsec-Tunnelenden hinter einem "CGN" sein sollten,
hätte man echt schlechte Karten. Da könnte man wie "LordGurke" sagte auf "IPv6" setzen,
damit beide Seiten öffentlich erreichbar sind.
Vergeben Provider in CGN-Netzen eigentlich immer auch neben der (CGN)-IPv4-Adresse
eine öffentliche IPv6-Adresse an den Kunde?
Wenn man zum Beispiel mit einer FritzBox an einem Glasfaseranschluss hängt,
bekommt man dann auf jeden Fall auch eine öffentliche IPv6-Adresse oder handhaben
Provider das unterschiedlich, so dass man ggf. wirklich nur mit einer (CGN)-IPv4-Adresse
unterwegs ist?
Eine andere Möglichkeit wäre ja auch noch,
dass beide Seiten per "IPv4" zu einem VPN-Server im Internet raus connecten
und dieser Server dann so zu sagen der Vermittlungsserver in der Mitte ist.
Das "IPsec over HTTPS" bei "LANCOM" gibt es wohl wirklich:
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1471971.ht ...
Diese Funktion wird angeboten für Fälle, wo die IPsec-Gegenstellen nicht
die IPsec-Ports nutzen können (weil im betreffenden Netz gesperrt).
Bei "IPsec over HTTPS" läuft wohl der VPN-Server auf TCP 443,
wobei die Verbindung HTTPS-verschlüsselt ist. So habe ich das Ganze verstanden.
Hat jemand von Euch Erfahrung mit "IPsec over HTTPS" bei LANCOM-Geräten?
Läuft es stabil? Ist es zu empfehlen? Welche Vor- und Nachteile kann man benennen?
Vergeben Provider in CGN-Netzen eigentlich immer auch neben der (CGN)-IPv4-Adresse eine öffentliche IPv6-Adresse an den Kunde?
Ja. Guckst du hier:https://www.elektronik-kompendium.de/sites/net/2010211.htm
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
FritzBox an einem Glasfaseranschluss hängt, bekommt man dann auf jeden Fall auch eine öffentliche IPv6-Adresse
Ja, immer. IPv6 ist ja immer das Transportmedium.dass beide Seiten per "IPv4" zu einem VPN-Server im Internet raus connecten
Richtig! Das ist die sog. "Jumphost" Lösung. Mit einem gemieteten 3 Euro vServer ist das auch im Handumdrehen aufgesetzt und der klassische Workaround.IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
für Fälle, wo die IPsec-Gegenstellen nicht die IPsec-Ports nutzen können
Da ist es dann aber immer deutlich sinnvoller SSL basierte VPNs zu nutzen die OpenVPN oder besser das modernere Wireguard.Die Lancom Lösung ist proprietär, was sie dann als Lösung eigentlich per se disqualifiziert.
1