Portforwarding bei CGNAT (Starlink)
Hallo @all,
ich habe eine harte (?) Nuss zu knacken, bei der ich eure Hilfe benötige.
Ich habe einen Kunden mit einer Ubiquiti UDM-Pro. Daran hängt (u. A.) eine relativ komplexe Überwachungslösung bestehend aus vielen Kameras und einer Alarmanlage.
- An WAN 1 hängt ein Glasfaser-Provider namens Movistar (Spanien). Dieser Router ist nicht gebridget, liefert der UDM also eine interne bzw. private IP-Adresse.
- An WAN 2 hängt ein gebridgter Starlink Router, dessen bereitgestellte IP-Adresse (wie ihr Pros bestimmt schon wisst) leider keine öffentliche IP-Adresse darstellt, weil CGNAT.
Meine Aufgabe ist es, bei Ausfall des WAN 1 Anschlusses den nahtlosen Betrieb der Überwachungs- und Alarmanlage zu gewährleisten. Dafür müssen eine ganze Reihe an Ports (TCP und UTP) weitergeleitet werden.
Um Spekulationen vorzubeugen, hier noch ein paar Fakten:
- Über Starlink ist keine Port Weiterleitung möglich. (Irgendwann evtl. mal über IP6, aber das ist für den Moment irrelevant.) Starlink wurde gewählt, um das Haus gegen Sabotage (durchtrennen des Anschlusses) abzusichern. Das Haus ist soweit autark.
- Ein webbasierter Anbieter wie PureVPN (VPN mit individuell konfigurierbarer Port Weiterleitung) ist (aus guten Gründen) nicht möglich bzw. erlaubt.
- In Spanien herrscht Routerzwang. Das manuelle Bridgen des Movistar-Routers wäre möglich, allerdings können die Einstellungen beim nächsten Update wieder verloren gehen. Das spielt aber hier sowieso keine Rolle, da es ja darum geht, die Verbindung aufrechtzuerhalten, wenn der Movistar-Router die Grätsche macht.
- Ich könnte mir vorstellen, dass eine VPN Lösung (Proxy) zielführend sein könnte. Allerdings mache ich das zu selten, sodass ich mir Hilfe von euch erhoffe, wie man das speditiv angeht.
- Der Kunde (und ich erst) ist auch offen für jede andere Lösung, auch gerne mit einer (kabellosen, bzw. via Antenne und ohne Taktung) Alternative für Starlink. Also seid kreativ!
Vielen Dank im Voraus, ich zähle auf euch!
ich habe eine harte (?) Nuss zu knacken, bei der ich eure Hilfe benötige.
Ich habe einen Kunden mit einer Ubiquiti UDM-Pro. Daran hängt (u. A.) eine relativ komplexe Überwachungslösung bestehend aus vielen Kameras und einer Alarmanlage.
- An WAN 1 hängt ein Glasfaser-Provider namens Movistar (Spanien). Dieser Router ist nicht gebridget, liefert der UDM also eine interne bzw. private IP-Adresse.
- An WAN 2 hängt ein gebridgter Starlink Router, dessen bereitgestellte IP-Adresse (wie ihr Pros bestimmt schon wisst) leider keine öffentliche IP-Adresse darstellt, weil CGNAT.
Meine Aufgabe ist es, bei Ausfall des WAN 1 Anschlusses den nahtlosen Betrieb der Überwachungs- und Alarmanlage zu gewährleisten. Dafür müssen eine ganze Reihe an Ports (TCP und UTP) weitergeleitet werden.
Um Spekulationen vorzubeugen, hier noch ein paar Fakten:
- Über Starlink ist keine Port Weiterleitung möglich. (Irgendwann evtl. mal über IP6, aber das ist für den Moment irrelevant.) Starlink wurde gewählt, um das Haus gegen Sabotage (durchtrennen des Anschlusses) abzusichern. Das Haus ist soweit autark.
- Ein webbasierter Anbieter wie PureVPN (VPN mit individuell konfigurierbarer Port Weiterleitung) ist (aus guten Gründen) nicht möglich bzw. erlaubt.
- In Spanien herrscht Routerzwang. Das manuelle Bridgen des Movistar-Routers wäre möglich, allerdings können die Einstellungen beim nächsten Update wieder verloren gehen. Das spielt aber hier sowieso keine Rolle, da es ja darum geht, die Verbindung aufrechtzuerhalten, wenn der Movistar-Router die Grätsche macht.
- Ich könnte mir vorstellen, dass eine VPN Lösung (Proxy) zielführend sein könnte. Allerdings mache ich das zu selten, sodass ich mir Hilfe von euch erhoffe, wie man das speditiv angeht.
- Der Kunde (und ich erst) ist auch offen für jede andere Lösung, auch gerne mit einer (kabellosen, bzw. via Antenne und ohne Taktung) Alternative für Starlink. Also seid kreativ!
Vielen Dank im Voraus, ich zähle auf euch!
Please also mark the comments that contributed to the solution of the article
Content-ID: 33989393481
Url: https://administrator.de/contentid/33989393481
Printed on: November 12, 2024 at 09:11 o'clock
19 Comments
Latest comment
Warum besorgst du dir keine LTE / 5G Karte ? Ist genau so Störsicher wie Starlink. Und nur mal als Anmerkung:
Wenn man will kann man ALLES STÖREN also ist Starlink jetzt per se nicht sicherer als Kabel oder LTE.
Wobei du bei LTE sogar den Vorteil hast das der Provider ( wenn er seinen Job den Richtig macht ) ja permanent in seinem Netz nach Störquellen sucht und entsprechend reagiert würde es zumindest auffallen und je nach dem was die Procedures die Mitarbeiter dann befolgen müssen geht´s u.U. ganz schnell.
Eine Störung im Starlink ? Pääääh was juckt mich das ? Ist nur ein Kunde betroffen dann ist das halt so.
Und je nach dem wie die Kabel verlegt sind ist und bleibt Kabel das deutlich zuverlässigere Medium deiner Wahl weil man es ggf. erst ausgraben muss oder eben den Verteiler Umfahren muss.
Als Anmerkung: Einbrecher sind in aller Regel auf "Schnell rein --- schnell Raus "" eingestellt also fangen die meisten da nicht erst an irgendwas zu manipulieren. Das ist denen gelinde gesagt egal weil die haben Maske und Handschuhe an also .
Wenn man will kann man ALLES STÖREN also ist Starlink jetzt per se nicht sicherer als Kabel oder LTE.
Wobei du bei LTE sogar den Vorteil hast das der Provider ( wenn er seinen Job den Richtig macht ) ja permanent in seinem Netz nach Störquellen sucht und entsprechend reagiert würde es zumindest auffallen und je nach dem was die Procedures die Mitarbeiter dann befolgen müssen geht´s u.U. ganz schnell.
Eine Störung im Starlink ? Pääääh was juckt mich das ? Ist nur ein Kunde betroffen dann ist das halt so.
Und je nach dem wie die Kabel verlegt sind ist und bleibt Kabel das deutlich zuverlässigere Medium deiner Wahl weil man es ggf. erst ausgraben muss oder eben den Verteiler Umfahren muss.
Als Anmerkung: Einbrecher sind in aller Regel auf "Schnell rein --- schnell Raus "" eingestellt also fangen die meisten da nicht erst an irgendwas zu manipulieren. Das ist denen gelinde gesagt egal weil die haben Maske und Handschuhe an also .
Packt man sich nen kleinen PI oder Mikrotik mit Wireguard ins Netz der sich auf einem vServer oder auf einem Server deiner Wahl einwählt und auf dem man die Ports über das VPN weiterleitet. Feddisch ist das Standard-Gemüse. Anleitungen findest du hierzu zu Genüge.
https://administrator.de/user/aqui/?search=Wireguard&action=content& ...
Merkzettel: VPN Installation mit Wireguard
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
usw.
Gruß sid
https://administrator.de/user/aqui/?search=Wireguard&action=content& ...
Merkzettel: VPN Installation mit Wireguard
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
usw.
Gruß sid
Die UDM Pro kann von Haus aus Wireguard-VPN, dann würde ich das direkt nutzen um ausgehend zu einem Wireguard-Server der Wahl zu verbinden und dann wie oben beschreiben darüber zugreifen.
@all
Hallo zusammen - auch ich stand vor diesem Problem - habe intern 3 Starlinks am laufen und auch LTE ;)
Zu Starlink:
Hier gibt es den "Business"-Tarif - Anschaffungskosten knappe 3500 € damals - monatlich 180 € - öfftl. IP!
nun günstiger - aber mit Einschränkungen!!!
- sehr große "Schüssel"... fürs DACH... ;)
Home-Tarif:
490 EUR - KLEINE Schüssel... aber eben keine öfftl. IP sonden CGNAT... Monatl. um die 80 EUR..
Mitlerweile sehr teuer und mit erheblichen Einschränkungen!
LTE:
Hier gibt es einen Tarif der Telef**k für um die 80 Euronen "FLAT-FREE" mit öfftl. IP...
Ich für meinen Teil würde das LTE nutzen...
In Bergregionen kann das LTE aber auch mal "weggeblaen" sein... warum auch immer..
Gruss Globe!
Hallo zusammen - auch ich stand vor diesem Problem - habe intern 3 Starlinks am laufen und auch LTE ;)
Zu Starlink:
Hier gibt es den "Business"-Tarif - Anschaffungskosten knappe 3500 € damals - monatlich 180 € - öfftl. IP!
nun günstiger - aber mit Einschränkungen!!!
- sehr große "Schüssel"... fürs DACH... ;)
Home-Tarif:
490 EUR - KLEINE Schüssel... aber eben keine öfftl. IP sonden CGNAT... Monatl. um die 80 EUR..
Mitlerweile sehr teuer und mit erheblichen Einschränkungen!
LTE:
Hier gibt es einen Tarif der Telef**k für um die 80 Euronen "FLAT-FREE" mit öfftl. IP...
Ich für meinen Teil würde das LTE nutzen...
In Bergregionen kann das LTE aber auch mal "weggeblaen" sein... warum auch immer..
Gruss Globe!
Mitlerweile sehr teuer und mit erheblichen Einschränkungen!
Und an manchen Tagen ca. 20 Satelliten und mehr die verglühen, kann man nur hoffen das die zweite Generation es besser macht sonst brennt irgendwann die Hütte bei denen.
Hi ITsame,
ich habe in der Familie selbst ein Ferienhaus in Spanien und kenne die Gegebenheiten mit Dienstleistern etc., da kann ich dich vollkommen verstehen.
Nach deinem aktuellen Design und der spanischen Gegebenheiten ist Starlink erstmal eine gute Lösung.
An deiner Stelle würde ich mir z.B. bei Hetzner einen VPS mieten (ca. 5€ pro Monat) und diesem als Hop für die Ports deiner Alarmanlage nutzen. Alternativ kannst du auch den kompletten Internetverkehr durch den VPS leiten.
Falls du Fragen hierzu hast, einfach melden. Das ist eine gängige Praxis, die ich aus dem professionellen Umfeld gut kenne.
Viele Grüße
ich habe in der Familie selbst ein Ferienhaus in Spanien und kenne die Gegebenheiten mit Dienstleistern etc., da kann ich dich vollkommen verstehen.
Nach deinem aktuellen Design und der spanischen Gegebenheiten ist Starlink erstmal eine gute Lösung.
An deiner Stelle würde ich mir z.B. bei Hetzner einen VPS mieten (ca. 5€ pro Monat) und diesem als Hop für die Ports deiner Alarmanlage nutzen. Alternativ kannst du auch den kompletten Internetverkehr durch den VPS leiten.
Falls du Fragen hierzu hast, einfach melden. Das ist eine gängige Praxis, die ich aus dem professionellen Umfeld gut kenne.
Viele Grüße
Hallo
Meine Lösung wäre:
1-2 VServer mit öffentlicher IP mieten.
VPN Tunnel zwischen den Vservern und der UDM aufbauen. Da aber ist die UDM der Client.
Wichtig beim VServer-Bezug: gucken ob der anbieter auch das gewünschte VPN unterstützt.
Aber eine Frage erlaube ich mir dennoch: Was ist das für Sicherheitssystem das so viele Portweeiterlektung benötigt? Hat die Software da der Azubi geschrieben?
Meine Lösung wäre:
1-2 VServer mit öffentlicher IP mieten.
VPN Tunnel zwischen den Vservern und der UDM aufbauen. Da aber ist die UDM der Client.
Wichtig beim VServer-Bezug: gucken ob der anbieter auch das gewünschte VPN unterstützt.
Aber eine Frage erlaube ich mir dennoch: Was ist das für Sicherheitssystem das so viele Portweeiterlektung benötigt? Hat die Software da der Azubi geschrieben?
Selbst in Deutschland haben LTE/5G Sendemasten schon lange keine nennenswerte USV mehr. Wenn der Strom großflächiger weg (Stadt) ist, ist LTE/5G mit absoluter Sichheit in Deutschland in >20 Minuten mausetot.
Kann mir nichtmal ansatzweise vorstellen, dass das in Spanien besser ist. Ein Bekannter wohnt etwas ländlich und hat auf Teneriffa vergebens 4 Jahre auf DSL gewartet. Die Mobilfunkanbindung war immer sehr langsam und schwach bei Besuchen.
Tatsächlich ist das Einzige, was auch bei großflächigem Ausfall und fast alle Ausfallszenarien minus Atomkrieg abdeckt, satellitenbasiertes Internet. Da dürfte Starlink das günstigste sein mit der geringsten Latenz.
Bei der Situation würde ich also sagen, dass man mit Mobilfunk vielleicht 2 von 10 Ausfallszenarien mehr abdeckt als mit Glasfaser/Kupfer.
Nichmal die Russen können mit Ihrer militärischen Störtechnik in der Ukraine den Starlink-Empfang verhindern. Das ist einzigartig. Ukraines Satelitenkommunikatiosnlösung für den Zweck hat versagt.
Insofern bietet grade bei der ländlichen, alleinstehenden Situation in Spanien Mobilfunk eher eine homöopathische Verbesserung der Verbindungssicherheit.
Zum Port-Problem:
Das hast du evtl auch gefunden?
starlinkzone.com/starlink-port-forwarding/
Kann mir nichtmal ansatzweise vorstellen, dass das in Spanien besser ist. Ein Bekannter wohnt etwas ländlich und hat auf Teneriffa vergebens 4 Jahre auf DSL gewartet. Die Mobilfunkanbindung war immer sehr langsam und schwach bei Besuchen.
Tatsächlich ist das Einzige, was auch bei großflächigem Ausfall und fast alle Ausfallszenarien minus Atomkrieg abdeckt, satellitenbasiertes Internet. Da dürfte Starlink das günstigste sein mit der geringsten Latenz.
Bei der Situation würde ich also sagen, dass man mit Mobilfunk vielleicht 2 von 10 Ausfallszenarien mehr abdeckt als mit Glasfaser/Kupfer.
Nichmal die Russen können mit Ihrer militärischen Störtechnik in der Ukraine den Starlink-Empfang verhindern. Das ist einzigartig. Ukraines Satelitenkommunikatiosnlösung für den Zweck hat versagt.
Insofern bietet grade bei der ländlichen, alleinstehenden Situation in Spanien Mobilfunk eher eine homöopathische Verbesserung der Verbindungssicherheit.
Zum Port-Problem:
Das hast du evtl auch gefunden?
starlinkzone.com/starlink-port-forwarding/