datax87
Goto Top

IPsec-Tunnel zwischen 2 LANCOM-Routern, einer hinter CGN

Hallo Leute,

kennt sich jemand mit LANCOM-Routern und zusätzlich mit IPsec-Tunneln aus?

Gibt es eine Möglichkeit einen IPsec-S2S-Tunnel zwischen 2 LANCOM-Routern herzustellen,
wenn einer der beiden Router hinter einem CGN (Carrier Grade NAT) betrieben wird?

Die IPsec-Ports UDP 500 + UDP 4500 können also nicht (per DNAT-Regel auf dem vorgeschalteten Router) zum LANCOM-Router auf der CGN-Seite durchgereicht werden.

Habe von jemandem erfahren, dass es bei LANCOM-Routern eine Funktion gibt,
wo der IPsec-Datenverkehr in einer HTTPS-Verbindung "verpackt" wird. Gibt es diese Funktion
und ermöglicht sie einen IPsec-S2S-Tunnel bei einem Aufbau, wo einer der beiden
Router hinter einem "CGN" angeschlossen ist?

Der eine Router hängt also hinter einem "CGN" (z. B. an einem Glasfaseranschluss) und der andere
Router direkt am Internet (z. B. an einem DSL-Anschluss).

Bitte verbessert mich, falls etwas aus obigen Infos nicht korrekt ist oder Rückfragen bestehen sollten.

Würde mich über Rückmeldungen von Euch freuen.

Besten Dank vorab.

Content-ID: 6494458708

Url: https://administrator.de/forum/ipsec-tunnel-zwischen-2-lancom-routern-einer-hinter-cgn-6494458708.html

Ausgedruckt am: 25.12.2024 um 18:12 Uhr

aqui
aqui 24.03.2023 aktualisiert um 21:21:19 Uhr
Goto Top
Ja, das ist generell immer möglich sofern ein Router eine öffentliche IPv4 Adrese am WAN Port hat.
Dieser Router ist dann immer der Responder und der CG-NAT Router muss immer der Initiator sein.
Der Responder wird dann so konfiguriert das er alle inbound Peers akzeptiert. (dynamische Profile)
Sowas können heutzutage alle gängigen Router und Firewalls, sogar die FritzBox.
Die Lancoms sollten das also auch allemal können.
wo der IPsec-Datenverkehr in einer HTTPS-Verbindung "verpackt" wird.
Das ist Quatsch, vergiss diesen Unsinn. Der Jemand hat wenig Ahn ung und verwechselt das mit einem SSL oder SSDP VPN. SSDP ist Microsoft proprietär.
IPsec im Tunnel Mode ist per RFC immer fest an UDP 500 (ISAKMP), UDP 4500 (NAT Traversal) und das ESP Protokoll (IP Nummer 50) gebunden.
Wie sowas generell geht mit dynamischen VPN Profilen zeigt dir ein hiesiges Tutorial.
Datax87
Datax87 24.03.2023 um 23:05:48 Uhr
Goto Top
Funktioniert NAT-T (NAT Traversal) eigentlich auch,
wenn sich beide IPsec-Tunnelenden hinter einem NAT befinden?

Wenn der Aufbau also wie folgt aussehen würde:
LANCOM-Router A ---- FritzBox ---- Internet ---- FritzBox ---- LANCOM-Router B
LordGurke
Lösung LordGurke 25.03.2023 um 00:48:56 Uhr
Goto Top
Beim zweiten Konstrukt solltest du ernsthaft darüber nachdenken, die VPN-Verbindung über IPv6 aufzubauen. Kein NAT = Kein Problem.
em-pie
em-pie 25.03.2023 um 08:03:27 Uhr
Goto Top
Moin,

Zum zweiten Konstrukt:
Welche Lancoms/ Fritten kommen zum Einsatz?
Ich würde IMMER versuchen, so wenig Equipment den Weg zu bauen…
aqui
Lösung aqui 25.03.2023 aktualisiert um 08:19:49 Uhr
Goto Top
wenn sich beide IPsec-Tunnelenden hinter einem NAT befinden?
Ja, natürlich, genau dafür ist ja NAT Traversal gemacht.
Fakt ist aber wie oben das zumindestens eine Seite immer über eine öffentliche IPv4 Adresse erreichbar sein muss (Responder).
In deinem Fall des beidseitigem NAT dann z.B. eine Kaskade mit öffentlicher IPv4 wo dieser Router dann die IPsec Ports per Port Forwarding an einen dahinter liegenden VPN Router/Firewall weitergibt.
Siehe zu der NAT und Kaskaden Thematik auch HIER.
Lesen und verstehen... face-wink
Wenn der Aufbau also wie folgt aussehen würde:
Der Aufbau wäre ja ziemlicher Quatsch und überflüssig, da die FritzBoxen selber aktive VPN Router sind. Die dahinter kaskadierten Lancoms wären vollkommen überflüssige "Durchlauferhitzer" ohne Funktion und rausgeschmissenes Geld.
Zum Rest haben die Kollegen ja schon alles gesagt.
Uwe-Kernchen
Uwe-Kernchen 25.03.2023 um 12:18:45 Uhr
Goto Top
die FritzBoxen selber aktive VPN Router sind. Die dahinter kaskadierten Lancoms wären vollkommen überflüssige "Durchlauferhitzer" ohne Funktion

.. oder die Fritten sind dumme Modems mit Portforwarding und die Lancoms sind die VPN-Router.
Technisch geht das.
Reine Geschmacksache.
aqui
aqui 25.03.2023 um 12:55:37 Uhr
Goto Top
Reine Geschmacksache.
...oder Performance Sache. face-wink
Bleiben dann immer noch unnütze Stromfresser wenn beide Geräte nicht zwingend in eine Kaskade müssten.
Datax87
Datax87 26.03.2023 um 15:59:16 Uhr
Goto Top
Danke für Eure Rückmeldungen.

Wenn beide IPsec-Tunnelenden hinter einem "CGN" sein sollten,
hätte man echt schlechte Karten. Da könnte man wie "LordGurke" sagte auf "IPv6" setzen,
damit beide Seiten öffentlich erreichbar sind.

Vergeben Provider in CGN-Netzen eigentlich immer auch neben der (CGN)-IPv4-Adresse
eine öffentliche IPv6-Adresse an den Kunde?

Wenn man zum Beispiel mit einer FritzBox an einem Glasfaseranschluss hängt,
bekommt man dann auf jeden Fall auch eine öffentliche IPv6-Adresse oder handhaben
Provider das unterschiedlich, so dass man ggf. wirklich nur mit einer (CGN)-IPv4-Adresse
unterwegs ist?

Eine andere Möglichkeit wäre ja auch noch,
dass beide Seiten per "IPv4" zu einem VPN-Server im Internet raus connecten
und dieser Server dann so zu sagen der Vermittlungsserver in der Mitte ist.

Das "IPsec over HTTPS" bei "LANCOM" gibt es wohl wirklich:
https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1471971.ht ...

Diese Funktion wird angeboten für Fälle, wo die IPsec-Gegenstellen nicht
die IPsec-Ports nutzen können (weil im betreffenden Netz gesperrt).
Bei "IPsec over HTTPS" läuft wohl der VPN-Server auf TCP 443,
wobei die Verbindung HTTPS-verschlüsselt ist. So habe ich das Ganze verstanden.

Hat jemand von Euch Erfahrung mit "IPsec over HTTPS" bei LANCOM-Geräten?
Läuft es stabil? Ist es zu empfehlen? Welche Vor- und Nachteile kann man benennen?
aqui
Lösung aqui 26.03.2023 aktualisiert um 17:02:50 Uhr
Goto Top
Vergeben Provider in CGN-Netzen eigentlich immer auch neben der (CGN)-IPv4-Adresse eine öffentliche IPv6-Adresse an den Kunde?
Ja. Guckst du hier:
https://www.elektronik-kompendium.de/sites/net/2010211.htm
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
FritzBox an einem Glasfaseranschluss hängt, bekommt man dann auf jeden Fall auch eine öffentliche IPv6-Adresse
Ja, immer. IPv6 ist ja immer das Transportmedium.
dass beide Seiten per "IPv4" zu einem VPN-Server im Internet raus connecten
Richtig! Das ist die sog. "Jumphost" Lösung. Mit einem gemieteten 3 Euro vServer ist das auch im Handumdrehen aufgesetzt und der klassische Workaround.
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
für Fälle, wo die IPsec-Gegenstellen nicht die IPsec-Ports nutzen können
Da ist es dann aber immer deutlich sinnvoller SSL basierte VPNs zu nutzen die OpenVPN oder besser das modernere Wireguard.
Die Lancom Lösung ist proprietär, was sie dann als Lösung eigentlich per se disqualifiziert.