Site-to-site VPN, beidseitig hinter NAT
Moin Leute,
ich habe folgendes Problem:
Ich moechte ein Site-to-Site-VPN ueber 2 Router, die jeweils wiederum ueber einen NAT-Router im Internet haengen, aufbauen. Ich habe schon ein wenig gegoogelt und bin auf Begriffe wie Port-Forwarding und NAT-Traversal gestossen, allerdings muesste ich bei ersterem die Konfiguration des NAT-Routers aendern, was ich moeglichst vermeiden will, und beim 2. blicke ich ehrlich gesagt noch nicht ganz durch ...
Bin fuer jeden Tipp dankbar
Gruesse
Matthias
ich habe folgendes Problem:
Ich moechte ein Site-to-Site-VPN ueber 2 Router, die jeweils wiederum ueber einen NAT-Router im Internet haengen, aufbauen. Ich habe schon ein wenig gegoogelt und bin auf Begriffe wie Port-Forwarding und NAT-Traversal gestossen, allerdings muesste ich bei ersterem die Konfiguration des NAT-Routers aendern, was ich moeglichst vermeiden will, und beim 2. blicke ich ehrlich gesagt noch nicht ganz durch ...
Bin fuer jeden Tipp dankbar
Gruesse
Matthias
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 146293
Url: https://administrator.de/forum/site-to-site-vpn-beidseitig-hinter-nat-146293.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
10 Kommentare
Neuester Kommentar
Bei den Clients gehts ohne Port Forwarding wenn du als VPN Protokoll PPTP nutzt und wenn der Router davor VPN Passthrough supportet.
Serverseitig musst du immer zwangsweise Port Forwarding machen, sonst können die VPN Pakete die NAT Firewall des Routers nicht überwinden um an den dahinterliegenden VPN Server zu gelangen...logisch !
VPNs einrichten mit PPTP
Je nach verwendetem VPN Protokoll sind das unterschiedliche UDP oder TCP Ports und eigenständige IP Protokolle wie ESP bei IPsec mit der IP Protokollnummer 50 oder GRE (Prot.Nr. 47) bei PPTP.
Am einfachsten ist es du verwendest OpenVPN, denn das benutzt nur einen UDP Port (default 1194) den man serverseitig forwarden muss. Das ist sehr einfach zu implementieren.
Weitere Details dazu findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Für andere VPN Protokolle analog hier:
VPNs einrichten mit PPTP
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Such dir das schönste aus....
Serverseitig musst du immer zwangsweise Port Forwarding machen, sonst können die VPN Pakete die NAT Firewall des Routers nicht überwinden um an den dahinterliegenden VPN Server zu gelangen...logisch !
VPNs einrichten mit PPTP
Je nach verwendetem VPN Protokoll sind das unterschiedliche UDP oder TCP Ports und eigenständige IP Protokolle wie ESP bei IPsec mit der IP Protokollnummer 50 oder GRE (Prot.Nr. 47) bei PPTP.
Am einfachsten ist es du verwendest OpenVPN, denn das benutzt nur einen UDP Port (default 1194) den man serverseitig forwarden muss. Das ist sehr einfach zu implementieren.
Weitere Details dazu findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Für andere VPN Protokolle analog hier:
VPNs einrichten mit PPTP
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
Such dir das schönste aus....
Doch es ist ganz simpel: 2 billige Linksys WRT54 Router, DD-WRT drauf flashen und PPTP VPN nach o.a. Tutorial einrichten, fertig !
Oder... 2 billige Linksys WRT54 Router DD-WRT drauf flashen und OpenVPN nach o.a. Tutorial einrichten, fertig !
Oder... 2 kostenlose Pfsense oder Monowalls installieren, PPTP oder IPsec VPN einrichten, fertig !
Oder...wenn du keine Lust zum Installieren hast 2 fertige VPN Router von der Stange kaufen z.B. Draytek oder FritzBox oder... und VPN damit mit 3 Mausklicks im Setup einrichten, fertig !
Was soll an solcher Banalinstallation denn "...nicht ganz so simpel" sein ??
Einfacher gehts ja nun wirklich nicht, oder ?
Oder... 2 billige Linksys WRT54 Router DD-WRT drauf flashen und OpenVPN nach o.a. Tutorial einrichten, fertig !
Oder... 2 kostenlose Pfsense oder Monowalls installieren, PPTP oder IPsec VPN einrichten, fertig !
Oder...wenn du keine Lust zum Installieren hast 2 fertige VPN Router von der Stange kaufen z.B. Draytek oder FritzBox oder... und VPN damit mit 3 Mausklicks im Setup einrichten, fertig !
Was soll an solcher Banalinstallation denn "...nicht ganz so simpel" sein ??
Einfacher gehts ja nun wirklich nicht, oder ?
In jedem DSL Router ist eine NAT Firewall (NAT = Network Adress Translation) die eigehende Connection Requests von außen blockt. Das ist der tiefere Sinn einer solchen Firewall.
NAT lässt nur Sessions passieren, die von innen schon nach außen aufgebaut wurden aber niemals eingehende neue Sessions.
Aufgrund dieser Tatsache kann ja nun eine eingehende VPN Session an so einem Router niemals an ein dahinter liegendes System weitergeleitet werden OHNE ein entsprechendes Port Forwarding was in die NAT Firewall ein entsprechendes Loch bohrt.
Wenn dir durchaus klar ist wie man (funktionierende) VPNs im Normafalle einrichtet dann solltest du eigentlich diesen simplen Mechanismus jeglichen NAT Routers selber kennen !! Das ist Grundlage eines jeglichen Netzes und hat ja unmittelbar immer etwas mit VPNs zu tun. In sofern ist dein Thread unverständlich...
Deshalb gilt, um es mal wieder zu wiederholen, immer die goldenen Regel VPNs niemals auf Systemen hinter NAT Firewalls einzurichten sondern immer auf den Routern oder FWs selber.
VPN Router kosten heutzutage nicht viel mehr als ein simpler DSL Router ohne VPN. Außerdem gibt es zig kostenfreie und gute Lösungen wie du an den o.a. Tutorials ja selber sehen kannst !
Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
NAT lässt nur Sessions passieren, die von innen schon nach außen aufgebaut wurden aber niemals eingehende neue Sessions.
Aufgrund dieser Tatsache kann ja nun eine eingehende VPN Session an so einem Router niemals an ein dahinter liegendes System weitergeleitet werden OHNE ein entsprechendes Port Forwarding was in die NAT Firewall ein entsprechendes Loch bohrt.
Wenn dir durchaus klar ist wie man (funktionierende) VPNs im Normafalle einrichtet dann solltest du eigentlich diesen simplen Mechanismus jeglichen NAT Routers selber kennen !! Das ist Grundlage eines jeglichen Netzes und hat ja unmittelbar immer etwas mit VPNs zu tun. In sofern ist dein Thread unverständlich...
Deshalb gilt, um es mal wieder zu wiederholen, immer die goldenen Regel VPNs niemals auf Systemen hinter NAT Firewalls einzurichten sondern immer auf den Routern oder FWs selber.
VPN Router kosten heutzutage nicht viel mehr als ein simpler DSL Router ohne VPN. Außerdem gibt es zig kostenfreie und gute Lösungen wie du an den o.a. Tutorials ja selber sehen kannst !
Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !