bitdreher
Goto Top

VPN Verständnisfrage, NAT-Transversal

Hallo zusammen,

ich habe eine Verständnisfrage zum Thema NAT-Transversal.

Ich beschäftige mich erst seit kurzer Zeit mit dem Thema IPSec-VPN und konnte im Internet leider nichts finden, was meine Frage beantwortet.

Ich habe zwei Standorte mit VPN verbunden. Site to Site.

Auf beiden Seiten steht jeweils ein Cisco RV042G.
Eine Seite hat eine feste (Site1)-, eine Seite eine dyn. (Site2) IP-Adresse.

Von der Seite mit der dyn. IP-Adresse greifen diverse Clients per RDP auf den Terminalserver auf Site2 zu.

Der VPN Tunnel steht und funktioniert auch.
Ich habe auf beiden Seiten den Haken NAT-Transversal gesetzt.

Auch wenn der Tunnel funktioniert, frage ich mich dennoch, ob dieser Haken überhaupt gesetzt sein muss?

Nachdem was ich bis jetzt dazu gelesen habe, bin ich mir nicht sicher, ob ich NAT-Transversal auch bei Site to Site benötige, oder nur bei einer Client to Site Verbindung, dies habe ich in einer Anleitung von aqui schon gelesen:

[.. Wichtig ist der Haken bei "NAT Traversal" andernfalls können mobile Clients keine VPN Verbindung aufbauen wenn eine NAT Firewall (Home DSL Router, Firewall etc.) dazwischen liegt !]

Ich meinem Fall sind es ja auch Clients die hinter dem RV042G (DSL-Router) sind.
Allerdings stellt dieser ja das Site to Site VPN...


Hoffe jemand kann mir hierzu eine kurze Erläuterung geben.
Über Links, bevorzugt deutsche, freue ich mich auch.

Vielen Dank

VG

Content-ID: 220075

Url: https://administrator.de/contentid/220075

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

MartinBinder
MartinBinder 22.10.2013 um 12:41:43 Uhr
Goto Top
NAT Traversal brauchst Du nur für Client-VPN, wenn der Client hinter einem NAT-Router steht. Das Traversal sorgt dafür, daß die Gegenstelle die "ursprüngliche" IP des Clients kennt und erreichen kann (sinngemäß). Du machst Site to Site, da ist das egal.
http://www.different-thinking.de/ipsec_nat_traversal.php
aqui
aqui 22.10.2013 aktualisiert um 12:45:49 Uhr
Goto Top
Die Grundprinzipien zu NAT Traversal sind hier recht gut erklärt:
http://www.different-thinking.de/ipsec_nat_traversal.php
http://www.elektronik-kompendium.de/sites/net/0906191.htm
Problem ist eben das das ESP Protokoll nicht über NAT übertragen werden kann.
Wenn deine beiden Tunnelendpunkte sich also direkt mit öffentlichen IPs im Internet befinden, dann benötigst du logischerweise kein NAT Traversal und kannst auch den Haken entfernen !

Oft gibt es aber Netz Designs und Szenarien mit einer Router oder Firewall Kaskade oder beidem, also 2 gekoppelten Routern / Firewall, wobei der nachgesetzte Router dann ein VPN Router ist. Hier ist NAT Traversal zwingend erforderlich damit ESP passieren kann über den ersten Router der NAT macht.
Anderes Szenario ist z.B. ein Mobilfunk Provider der im Mobilfunk Netz mit billigen nur Surf Accounts und IPv4 Adress Knappheit keine öffentlichen IPs sondern RFC 1918 IPs (Private IPs) an seine Clients verteilt. Da macht der Provider dann intern in seinem Netz ein zentrales NAT. Ohne NAT Traversal wärst du hier absolut chancenlos mit IPsec VPNs !
Ob das jetzt ein Site to Site VPN oder mobile Clients ist dabei unerheblich, denn die IPsec protokollmechanismen sind immer gleich.
Solche Beispiele gibt es zuhauf !

Wenn du oben bei dir also ein Site to Site VPN hast, wo beide VPN Tunnel Router direkt mit öffentlichen IPs ausgestattet sind, hast du ja logischerweise kein NAT dazwischen. Folglicherweise ist dann auch kein NAT Traversal erforderlich !

Weitere Grundlagen erklären diese Forumstutorials:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Bitdreher
Bitdreher 22.10.2013 um 12:48:57 Uhr
Goto Top
Vielen Dank für Eure Antworten.

Hat mir weitergeholfen!