itsame
Goto Top

Portforwarding bei CGNAT (Starlink)

Hallo @all,

ich habe eine harte (?) Nuss zu knacken, bei der ich eure Hilfe benötige.

Ich habe einen Kunden mit einer Ubiquiti UDM-Pro. Daran hängt (u. A.) eine relativ komplexe Überwachungslösung bestehend aus vielen Kameras und einer Alarmanlage.

- An WAN 1 hängt ein Glasfaser-Provider namens Movistar (Spanien). Dieser Router ist nicht gebridget, liefert der UDM also eine interne bzw. private IP-Adresse.

- An WAN 2 hängt ein gebridgter Starlink Router, dessen bereitgestellte IP-Adresse (wie ihr Pros bestimmt schon wisst) leider keine öffentliche IP-Adresse darstellt, weil CGNAT.

Meine Aufgabe ist es, bei Ausfall des WAN 1 Anschlusses den nahtlosen Betrieb der Überwachungs- und Alarmanlage zu gewährleisten. Dafür müssen eine ganze Reihe an Ports (TCP und UTP) weitergeleitet werden.


Um Spekulationen vorzubeugen, hier noch ein paar Fakten:

- Über Starlink ist keine Port Weiterleitung möglich. (Irgendwann evtl. mal über IP6, aber das ist für den Moment irrelevant.) Starlink wurde gewählt, um das Haus gegen Sabotage (durchtrennen des Anschlusses) abzusichern. Das Haus ist soweit autark.

- Ein webbasierter Anbieter wie PureVPN (VPN mit individuell konfigurierbarer Port Weiterleitung) ist (aus guten Gründen) nicht möglich bzw. erlaubt.

- In Spanien herrscht Routerzwang. Das manuelle Bridgen des Movistar-Routers wäre möglich, allerdings können die Einstellungen beim nächsten Update wieder verloren gehen. Das spielt aber hier sowieso keine Rolle, da es ja darum geht, die Verbindung aufrechtzuerhalten, wenn der Movistar-Router die Grätsche macht.

- Ich könnte mir vorstellen, dass eine VPN Lösung (Proxy) zielführend sein könnte. Allerdings mache ich das zu selten, sodass ich mir Hilfe von euch erhoffe, wie man das speditiv angeht.

- Der Kunde (und ich erst) ist auch offen für jede andere Lösung, auch gerne mit einer (kabellosen, bzw. via Antenne und ohne Taktung) Alternative für Starlink. Also seid kreativ!

Vielen Dank im Voraus, ich zähle auf euch!

Content-Key: 33989393481

Url: https://administrator.de/contentid/33989393481

Printed on: February 25, 2024 at 12:02 o'clock

Member: BlueSkillz
BlueSkillz Oct 06, 2023 at 13:35:55 (UTC)
Goto Top
Moin,

baue doch einen s2s-Tunnel und lässt den im Aggressive Modus laufen, dann müsste die Seite auf welcher sich die Alarmanlage befindet die Verbindung immer aufbauen und dann benötigst du auf der Seite auch keine feste IP.
Member: Mr-Gustav
Mr-Gustav Oct 06, 2023 at 13:42:00 (UTC)
Goto Top
Dir ist hoffentlich klar das es bei Starlink keine Flatrate wie bei den DSL Anschlüssen gibt sondern das da nach Übertragenem Datenvolumen bezahlt werden muss ? So zumindest hab ich das auf der Uhr und auf der Website gelesen.
Member: ITsame
ITsame Oct 06, 2023 at 13:49:25 (UTC)
Goto Top
Danke für Deinen Einwand. Spielt bei der Menge an Traffic hier keine Rolle. Die Grenze gilt bei Missbrauch (!), beträgt m.W. 1 TB Monat und gilt nur für Neuverträge. Dieser hier ist zudem als Fall-Back konfiguriert.
Member: ITsame
ITsame Oct 06, 2023 at 13:53:00 (UTC)
Goto Top
Danke für Deinen Vorschlag. Site to site fände ich auch praktisch, nur habe ich kein passendes Gegenstück inkl. fixer IP-Adresse zur Verfügung. Eventuell könnte der Kunde eine UDM in seinem Büro platzieren. Aber im Moment hilft mir das nicht weiter.
Member: Mr-Gustav
Mr-Gustav Oct 06, 2023 at 13:56:08 (UTC)
Goto Top
Warum besorgst du dir keine LTE / 5G Karte ? Ist genau so Störsicher wie Starlink. Und nur mal als Anmerkung:
Wenn man will kann man ALLES STÖREN also ist Starlink jetzt per se nicht sicherer als Kabel oder LTE.
Wobei du bei LTE sogar den Vorteil hast das der Provider ( wenn er seinen Job den Richtig macht ) ja permanent in seinem Netz nach Störquellen sucht und entsprechend reagiert würde es zumindest auffallen und je nach dem was die Procedures die Mitarbeiter dann befolgen müssen geht´s u.U. ganz schnell.
Eine Störung im Starlink ? Pääääh was juckt mich das ? Ist nur ein Kunde betroffen dann ist das halt so.
Und je nach dem wie die Kabel verlegt sind ist und bleibt Kabel das deutlich zuverlässigere Medium deiner Wahl weil man es ggf. erst ausgraben muss oder eben den Verteiler Umfahren muss.

Als Anmerkung: Einbrecher sind in aller Regel auf "Schnell rein --- schnell Raus "" eingestellt also fangen die meisten da nicht erst an irgendwas zu manipulieren. Das ist denen gelinde gesagt egal weil die haben Maske und Handschuhe an also .
Mitglied: 7907292512
7907292512 Oct 06, 2023 updated at 14:37:52 (UTC)
Goto Top
Packt man sich nen kleinen PI oder Mikrotik mit Wireguard ins Netz der sich auf einem vServer oder auf einem Server deiner Wahl einwählt und auf dem man die Ports über das VPN weiterleitet. Feddisch ist das Standard-Gemüse. Anleitungen findest du hierzu zu Genüge.
https://administrator.de/user/aqui/?search=Wireguard&action=content& ...
Merkzettel: VPN Installation mit Wireguard
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi

usw.

Gruß sid
Member: ITsame
ITsame Oct 06, 2023 at 14:28:30 (UTC)
Goto Top
Zitat von @Mr-Gustav:

Warum besorgst du dir keine LTE / 5G Karte
(...)

Danke für Deinen Einwand.

G5 Karte kostet per Mb bzw. Gb. Eventuell habe ich nicht lange genug gesucht, aber eine Pseudoflat mit Limit bei 400 Gb ist halt auch nicht interessant.

Die Starlink Antenne steht auf einem 12 Meter hohen Dach. Unmöglich, ohne großen Aufwand dahin zu kommen, das Haus ist, wie bereits geschrieben, autark.

Wir sind hier in Spanien. Hier interessiert gar niemand irgendetwas. WAN 1 ist seit 1 Woche offline, da Kabel durchtrennt. Provider kommt irgendwann, wenn er Leute hat, deshalb ja auch mein Hilfegesuch.

Das Haus steht auf einem 35.000 qm Grundstück. Die Fenster sind aus schusssicherem Panzerglas. Es gibt ein Lock-Down System und einen Panic-Room. Wenn da jemand rein will, bracht er schweres Gerät wie ein schweres SUV mit Rammbock oder ähnliches. Es scheint so, dass Deine Einwände leider am Thema bzw. an der von mir erhofften Lösungsfindung vorbeigehen.


Erfahrung mit Fortinet etc., anyone?
Mitglied: 7907292512
7907292512 Oct 06, 2023 updated at 14:46:39 (UTC)
Goto Top
Die UDM Pro kann von Haus aus Wireguard-VPN, dann würde ich das direkt nutzen um ausgehend zu einem Wireguard-Server der Wahl zu verbinden und dann wie oben beschreiben darüber zugreifen.
Member: Globetrotter
Globetrotter Oct 06, 2023 at 18:31:42 (UTC)
Goto Top
@all
Hallo zusammen - auch ich stand vor diesem Problem - habe intern 3 Starlinks am laufen und auch LTE ;)

Zu Starlink:
Hier gibt es den "Business"-Tarif - Anschaffungskosten knappe 3500 € damals - monatlich 180 € - öfftl. IP!
nun günstiger - aber mit Einschränkungen!!!
- sehr große "Schüssel"... fürs DACH... ;)

Home-Tarif:
490 EUR - KLEINE Schüssel... aber eben keine öfftl. IP sonden CGNAT... Monatl. um die 80 EUR..
Mitlerweile sehr teuer und mit erheblichen Einschränkungen!

LTE:
Hier gibt es einen Tarif der Telef**k für um die 80 Euronen "FLAT-FREE" mit öfftl. IP...

Ich für meinen Teil würde das LTE nutzen...
In Bergregionen kann das LTE aber auch mal "weggeblaen" sein... warum auch immer..

Gruss Globe!
Mitglied: 7907292512
7907292512 Oct 06, 2023 updated at 21:06:50 (UTC)
Goto Top
Mitlerweile sehr teuer und mit erheblichen Einschränkungen!
Und an manchen Tagen ca. 20 Satelliten und mehr die verglühen, kann man nur hoffen das die zweite Generation es besser macht sonst brennt irgendwann die Hütte bei denen.
Member: Ueba3ba
Ueba3ba Oct 07, 2023 at 06:53:12 (UTC)
Goto Top
Ich empfehle dir auch die LTE Variante wie es Globetrotter schon geschrieben hat.

Oder, wenn du unbedingt bei Starlink bleiben möchtest und nur den Home Tarif nutzt,
die Variante mit einem RbPi oder vServer wie es Siddius geschrieben hat.
Member: ragnar440
ragnar440 Oct 07, 2023 at 12:53:29 (UTC)
Goto Top
Hi ITsame,
ich habe in der Familie selbst ein Ferienhaus in Spanien und kenne die Gegebenheiten mit Dienstleistern etc., da kann ich dich vollkommen verstehen.

Nach deinem aktuellen Design und der spanischen Gegebenheiten ist Starlink erstmal eine gute Lösung.
An deiner Stelle würde ich mir z.B. bei Hetzner einen VPS mieten (ca. 5€ pro Monat) und diesem als Hop für die Ports deiner Alarmanlage nutzen. Alternativ kannst du auch den kompletten Internetverkehr durch den VPS leiten.

Falls du Fragen hierzu hast, einfach melden. Das ist eine gängige Praxis, die ich aus dem professionellen Umfeld gut kenne.

Viele Grüße
Member: Pinguinfuss
Pinguinfuss Oct 07, 2023 at 18:19:32 (UTC)
Goto Top
Ist deine Firma evtl. Ein Internet Provider?

Oder habt Ihr ein eigenes RZ?
Dann hätte ich eine Lösung
Member: bitnarrator
Solution bitnarrator Oct 08, 2023 updated at 07:54:21 (UTC)
Goto Top
Hallo

Meine Lösung wäre:

1-2 VServer mit öffentlicher IP mieten.

VPN Tunnel zwischen den Vservern und der UDM aufbauen. Da aber ist die UDM der Client.

Wichtig beim VServer-Bezug: gucken ob der anbieter auch das gewünschte VPN unterstützt.

Aber eine Frage erlaube ich mir dennoch: Was ist das für Sicherheitssystem das so viele Portweeiterlektung benötigt? Hat die Software da der Azubi geschrieben?
Member: ITsame
ITsame Oct 08, 2023 updated at 15:19:04 (UTC)
Goto Top
Zitat von @bitnarrator:

Hallo

Meine Lösung wäre:

1-2 VServer mit öffentlicher IP mieten.

VPN Tunnel zwischen den Vservern und der UDM aufbauen. Da aber ist die UDM der Client.

Wichtig beim VServer-Bezug: gucken ob der anbieter auch das gewünschte VPN unterstützt.

Aber eine Frage erlaube ich mir dennoch: Was ist das für Sicherheitssystem das so viele Portweeiterlektung benötigt? Hat die Software da der Azubi geschrieben?

Danke für Deine Hilfe. VPN Tunnel mit UDM als Client ist gesetzt. Es handelt sich um eine Anlage mit relativ vielen Hardware-Komponenten. Keine Ahnung warum, ich habe sie nicht geplant.
Member: ITsame
ITsame Oct 08, 2023 at 15:17:26 (UTC)
Goto Top
Danke für Deine Hilfe, aber leider habe ich nichts davon. 
Zitat von @Pinguinfuss:

Ist deine Firma evtl. Ein Internet Provider?

Oder habt Ihr ein eigenes RZ?
Dann hätte ich eine Lösung

Danke für Deine Hilfe, aber leider sind wir nichts davon.
Member: ITsame
ITsame Oct 08, 2023 at 15:22:09 (UTC)
Goto Top
Zitat von @Globetrotter:

@all
Hallo zusammen - auch ich stand vor diesem Problem - habe intern 3 Starlinks am laufen und auch LTE ;)

Zu Starlink:
Hier gibt es den "Business"-Tarif - Anschaffungskosten knappe 3500 € damals - monatlich 180 € - öfftl. IP!
nun günstiger - aber mit Einschränkungen!!!
- sehr große "Schüssel"... fürs DACH... ;)

Home-Tarif:
490 EUR - KLEINE Schüssel... aber eben keine öfftl. IP sonden CGNAT... Monatl. um die 80 EUR..
Mitlerweile sehr teuer und mit erheblichen Einschränkungen!

LTE:
Hier gibt es einen Tarif der Telef**k für um die 80 Euronen "FLAT-FREE" mit öfftl. IP...

Ich für meinen Teil würde das LTE nutzen...
In Bergregionen kann das LTE aber auch mal "weggeblaen" sein... warum auch immer..

Gruss Globe!

Vielen Dank für Deine Hilfe. LTE könnte funktionieren, aber ich habe hier noch keinen LTE Vertrag der echtes "sin limites" beinhaltet. Die Verträge, die ich kenne, sind auf 300 oder 400 Gb / Monat limitiert. Wird somit erst einmal bei Starlink als Fallback bleiben.
Member: Chris1024
Solution Chris1024 Oct 12, 2023 at 14:00:35 (UTC)
Goto Top
Selbst in Deutschland haben LTE/5G Sendemasten schon lange keine nennenswerte USV mehr. Wenn der Strom großflächiger weg (Stadt) ist, ist LTE/5G mit absoluter Sichheit in Deutschland in >20 Minuten mausetot.

Kann mir nichtmal ansatzweise vorstellen, dass das in Spanien besser ist. Ein Bekannter wohnt etwas ländlich und hat auf Teneriffa vergebens 4 Jahre auf DSL gewartet. Die Mobilfunkanbindung war immer sehr langsam und schwach bei Besuchen.

Tatsächlich ist das Einzige, was auch bei großflächigem Ausfall und fast alle Ausfallszenarien minus Atomkrieg abdeckt, satellitenbasiertes Internet. Da dürfte Starlink das günstigste sein mit der geringsten Latenz.

Bei der Situation würde ich also sagen, dass man mit Mobilfunk vielleicht 2 von 10 Ausfallszenarien mehr abdeckt als mit Glasfaser/Kupfer.

Nichmal die Russen können mit Ihrer militärischen Störtechnik in der Ukraine den Starlink-Empfang verhindern. Das ist einzigartig. Ukraines Satelitenkommunikatiosnlösung für den Zweck hat versagt.


Insofern bietet grade bei der ländlichen, alleinstehenden Situation in Spanien Mobilfunk eher eine homöopathische Verbesserung der Verbindungssicherheit.


Zum Port-Problem:

Das hast du evtl auch gefunden?
starlinkzone.com/starlink-port-forwarding/
Member: ITsame
ITsame Oct 12, 2023 at 17:27:18 (UTC)
Goto Top
Zitat von @Chris1024:

Selbst in Deutschland haben LTE/5G Sendemasten schon lange keine nennenswerte USV mehr. Wenn der Strom großflächiger weg (Stadt) ist, ist LTE/5G mit absoluter Sichheit in Deutschland in >20 Minuten mausetot.

Kann mir nichtmal ansatzweise vorstellen, dass das in Spanien besser ist. Ein Bekannter wohnt etwas ländlich und hat auf Teneriffa vergebens 4 Jahre auf DSL gewartet. Die Mobilfunkanbindung war immer sehr langsam und schwach bei Besuchen.

Tatsächlich ist das Einzige, was auch bei großflächigem Ausfall und fast alle Ausfallszenarien minus Atomkrieg abdeckt, satellitenbasiertes Internet. Da dürfte Starlink das günstigste sein mit der geringsten Latenz.

Bei der Situation würde ich also sagen, dass man mit Mobilfunk vielleicht 2 von 10 Ausfallszenarien mehr abdeckt als mit Glasfaser/Kupfer.

Nichmal die Russen können mit Ihrer militärischen Störtechnik in der Ukraine den Starlink-Empfang verhindern. Das ist einzigartig. Ukraines Satelitenkommunikatiosnlösung für den Zweck hat versagt.


Insofern bietet grade bei der ländlichen, alleinstehenden Situation in Spanien Mobilfunk eher eine homöopathische Verbesserung der Verbindungssicherheit.


Zum Port-Problem:

Das hast du evtl auch gefunden?
starlinkzone.com/starlink-port-forwarding/

Danke für Deinen Kommentar, welcher weitestgehend auch meiner Sichtweise entspricht.

Daumen hoch für den verlinkten Beitrag! Da sollte wohl für jeden eine Lösung dabei sein. Wir werden das Problem für uns auf Basis von VPN lösen.

Buen día