IPsec-Tunnel zwischen 2 LANCOM-Routern, einer hinter CGN
Hallo Leute,
kennt sich jemand mit LANCOM-Routern und zusätzlich mit IPsec-Tunneln aus?
Gibt es eine Möglichkeit einen IPsec-S2S-Tunnel zwischen 2 LANCOM-Routern herzustellen,
wenn einer der beiden Router hinter einem CGN (Carrier Grade NAT) betrieben wird?
Die IPsec-Ports UDP 500 + UDP 4500 können also nicht (per DNAT-Regel auf dem vorgeschalteten Router) zum LANCOM-Router auf der CGN-Seite durchgereicht werden.
Habe von jemandem erfahren, dass es bei LANCOM-Routern eine Funktion gibt,
wo der IPsec-Datenverkehr in einer HTTPS-Verbindung "verpackt" wird. Gibt es diese Funktion
und ermöglicht sie einen IPsec-S2S-Tunnel bei einem Aufbau, wo einer der beiden
Router hinter einem "CGN" angeschlossen ist?
Der eine Router hängt also hinter einem "CGN" (z. B. an einem Glasfaseranschluss) und der andere
Router direkt am Internet (z. B. an einem DSL-Anschluss).
Bitte verbessert mich, falls etwas aus obigen Infos nicht korrekt ist oder Rückfragen bestehen sollten.
Würde mich über Rückmeldungen von Euch freuen.
Besten Dank vorab.
kennt sich jemand mit LANCOM-Routern und zusätzlich mit IPsec-Tunneln aus?
Gibt es eine Möglichkeit einen IPsec-S2S-Tunnel zwischen 2 LANCOM-Routern herzustellen,
wenn einer der beiden Router hinter einem CGN (Carrier Grade NAT) betrieben wird?
Die IPsec-Ports UDP 500 + UDP 4500 können also nicht (per DNAT-Regel auf dem vorgeschalteten Router) zum LANCOM-Router auf der CGN-Seite durchgereicht werden.
Habe von jemandem erfahren, dass es bei LANCOM-Routern eine Funktion gibt,
wo der IPsec-Datenverkehr in einer HTTPS-Verbindung "verpackt" wird. Gibt es diese Funktion
und ermöglicht sie einen IPsec-S2S-Tunnel bei einem Aufbau, wo einer der beiden
Router hinter einem "CGN" angeschlossen ist?
Der eine Router hängt also hinter einem "CGN" (z. B. an einem Glasfaseranschluss) und der andere
Router direkt am Internet (z. B. an einem DSL-Anschluss).
Bitte verbessert mich, falls etwas aus obigen Infos nicht korrekt ist oder Rückfragen bestehen sollten.
Würde mich über Rückmeldungen von Euch freuen.
Besten Dank vorab.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6494458708
Url: https://administrator.de/forum/ipsec-tunnel-zwischen-2-lancom-routern-einer-hinter-cgn-6494458708.html
Ausgedruckt am: 25.12.2024 um 18:12 Uhr
9 Kommentare
Neuester Kommentar
Ja, das ist generell immer möglich sofern ein Router eine öffentliche IPv4 Adrese am WAN Port hat.
Dieser Router ist dann immer der Responder und der CG-NAT Router muss immer der Initiator sein.
Der Responder wird dann so konfiguriert das er alle inbound Peers akzeptiert. (dynamische Profile)
Sowas können heutzutage alle gängigen Router und Firewalls, sogar die FritzBox.
Die Lancoms sollten das also auch allemal können.
IPsec im Tunnel Mode ist per RFC immer fest an UDP 500 (ISAKMP), UDP 4500 (NAT Traversal) und das ESP Protokoll (IP Nummer 50) gebunden.
Wie sowas generell geht mit dynamischen VPN Profilen zeigt dir ein hiesiges Tutorial.
Dieser Router ist dann immer der Responder und der CG-NAT Router muss immer der Initiator sein.
Der Responder wird dann so konfiguriert das er alle inbound Peers akzeptiert. (dynamische Profile)
Sowas können heutzutage alle gängigen Router und Firewalls, sogar die FritzBox.
Die Lancoms sollten das also auch allemal können.
wo der IPsec-Datenverkehr in einer HTTPS-Verbindung "verpackt" wird.
Das ist Quatsch, vergiss diesen Unsinn. Der Jemand hat wenig Ahn ung und verwechselt das mit einem SSL oder SSDP VPN. SSDP ist Microsoft proprietär.IPsec im Tunnel Mode ist per RFC immer fest an UDP 500 (ISAKMP), UDP 4500 (NAT Traversal) und das ESP Protokoll (IP Nummer 50) gebunden.
Wie sowas generell geht mit dynamischen VPN Profilen zeigt dir ein hiesiges Tutorial.
wenn sich beide IPsec-Tunnelenden hinter einem NAT befinden?
Ja, natürlich, genau dafür ist ja NAT Traversal gemacht.Fakt ist aber wie oben das zumindestens eine Seite immer über eine öffentliche IPv4 Adresse erreichbar sein muss (Responder).
In deinem Fall des beidseitigem NAT dann z.B. eine Kaskade mit öffentlicher IPv4 wo dieser Router dann die IPsec Ports per Port Forwarding an einen dahinter liegenden VPN Router/Firewall weitergibt.
Siehe zu der NAT und Kaskaden Thematik auch HIER.
Lesen und verstehen...
Wenn der Aufbau also wie folgt aussehen würde:
Der Aufbau wäre ja ziemlicher Quatsch und überflüssig, da die FritzBoxen selber aktive VPN Router sind. Die dahinter kaskadierten Lancoms wären vollkommen überflüssige "Durchlauferhitzer" ohne Funktion und rausgeschmissenes Geld.Zum Rest haben die Kollegen ja schon alles gesagt.
Vergeben Provider in CGN-Netzen eigentlich immer auch neben der (CGN)-IPv4-Adresse eine öffentliche IPv6-Adresse an den Kunde?
Ja. Guckst du hier:https://www.elektronik-kompendium.de/sites/net/2010211.htm
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
FritzBox an einem Glasfaseranschluss hängt, bekommt man dann auf jeden Fall auch eine öffentliche IPv6-Adresse
Ja, immer. IPv6 ist ja immer das Transportmedium.dass beide Seiten per "IPv4" zu einem VPN-Server im Internet raus connecten
Richtig! Das ist die sog. "Jumphost" Lösung. Mit einem gemieteten 3 Euro vServer ist das auch im Handumdrehen aufgesetzt und der klassische Workaround.IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
für Fälle, wo die IPsec-Gegenstellen nicht die IPsec-Ports nutzen können
Da ist es dann aber immer deutlich sinnvoller SSL basierte VPNs zu nutzen die OpenVPN oder besser das modernere Wireguard.Die Lancom Lösung ist proprietär, was sie dann als Lösung eigentlich per se disqualifiziert.