Carrier-grade NAT mit VPN umgehen

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Terror4Tech
Beiträge: 1
Registriert: 10 Sep 2022, 12:41

Carrier-grade NAT mit VPN umgehen

Beitrag von Terror4Tech »

Liebe Gemeinde, ich stehe vor der Aufgabe Carrier-grade NAT umgehen zu müssen und bin zu blöd:

Ich möchte 2 Netze via VPN koppeln. Die beiden Netzte sind leider durch CGN (Carrier Grade NAT) nicht direkt erreichbar. (Ein Netz ist via STARLINK das andere hinter 5G: Daher habe ich einen 3ten Router mit öffentlich erreichbarer IP im RZ installiert (ISG-4000).

Die VPN-Verbindung ist also:

LAN-A -> (5G) -> LAN-X (5.9.94.149) <- (STARLINK) <- LAN-B

LAN A und LAN B sollen sich im LAN-X „treffen“ und Es soll möglich sein von Geräten in LAN-A auf Geräte in LAN-B zugreifen zu können und andersrum.

Mir ist klar, dass nur die beiden Router in LAN-A und LAN-B die Verbindung aufbauen müssen/können (wg. CGN) Direkt LAN-A zu LAN-B geht deshalb ja auch nicht.

Bis jetzt folgende Idee:
Ich hätte jetzt den Assistent für LAN-LAN Kopplung auf den Routern von LAN-A und LAN-B (Initiatoren) mit LAN-X (Responder) ausgeführt. Bin mir aber sicher das ich nicht von LAN-A nach LAN-B komme, weil LAN-A ja nix von LAN-B und den Weg (Route) via LAN-X dahin weiß. Beide LANs kennen ja nur die Verbindung zum ISG-4000 (LAN-X) Muss ich die Firewall und/oder Routing editieren wenn ja wie und wo (... auf allen 3 Routern) ?

Zur Zeit habe ich noch die Freiheit die IP-Ranges in allen 3 LANs zu vergeben – was meint ihr: Was ist das best practise, was bringt die geringste Latenz - oder ist das alles überadministriert und sch... egal?

Leider bin ich zu blöd - werft bitte Hirn vom Himmel: Muss nicht in den Routern LAN-A und LAN-B bekannt gemacht werden (Add Route...) wie das jeweils andere Netz wie (Via LAN-X) erreicht werden kann? Oder regelt das ISG-4000 das für mich, da er beide LANs "kennt"?

Vielen Dank für den Brain-Drain! :M
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Carrier-grade NAT mit VPN umgehen

Beitrag von backslash »

Hi Terror4Tech,
Muss nicht in den Routern LAN-A und LAN-B bekannt gemacht werden (Add Route...) wie das jeweils andere Netz wie (Via LAN-X) erreicht werden kann?
du mußt zumindest sagen, daß jeweils anderen Netze über den VPN-Tunnel erreichbar sind.
Danach hängt es noch davon ab, wir die SAs eingerichtet sind. wenn du die Tunnel mit "Any-To-Any" (0.0.0.0/0 <-> 0.0.0.0/0) SAs versehen hast, mußt du nur die Routen setzen. Wenn die SAs aber die Netzbeziehungen enthalten, mußt du darauf achten, daß diese sowohl in den Filialen (LAN-A <-> LAN-B, bzw. LAN-B <-> LAN-A) als auch in der Zentrale korrekt zusammenpassen
Oder regelt das ISG-4000 das für mich, da er beide LANs "kennt"?
nein, der kennt zwar die beiden Netze, denn er muß ja zwischen beiden routen, weist aber keine Routen zu. Das könntest du zwar mit BGB, RIP oder IKEv2-Routing auch noch hinbekommen, aber für ein so simples Szenario wäre das echt mit Kanonen auf Spatzen geschossen

Gruß
Backslash
Antworten