Hey zusammen,
ich frage mich schon seit Längerem eines:
In vielen Dokus von LC wird bei VPN - zumindest bei Site2Site - davon geschrieben, dass mindestens eine Seite eine feste IP haben muss.
Kann es sein, dass das sehr veraltet ist?
Ich hab es jetzt noch nicht getestet, aber ich kann doch einen auflösbaren Namen angeben und wenn ich die dynamische IP zb bei DYNDNS registriere, dann sollte das doch laufen.
Oder wo ist hier mein Denkfehler?
Hintergrund:
Glasfasertarife mit fester IP sind stellenweise unverhältnismäßig teuer und ohne Not den roten, pinken oder wem auch immer Geld in den Rachen zu werden ohne Nutzen muss ja nicht sein.
S.
VPN - wozu noch feste IP
Moderator: Lancom-Systems Moderatoren
Re: VPN - wozu noch feste IP
Hi firefox_i,
Gruß
Backslash
jain...In vielen Dokus von LC wird bei VPN - zumindest bei Site2Site - davon geschrieben, dass mindestens eine Seite eine feste IP haben muss.
Kann es sein, dass das sehr veraltet ist?
- bei IKEv1 mit PSK müssen beide Seiten feste IPs haben, es sei denn man nutzt den (offline) angreifbaren Aggressive-Mode
- bei IKEv1 mit Zertifikaten können beide Seiten dynamische IPs haben
- bei IKEv2 könne beide Seiten dynamische IPs haben (egal ob PSK oder zertifikatsbasiert)
eine per DNS aufgelöste IP ist aus Sicht des IKE wie eine statische...Ich hab es jetzt noch nicht getestet, aber ich kann doch einen auflösbaren Namen angeben und wenn ich die dynamische IP zb bei DYNDNS registriere, dann sollte das doch laufen.
Gruß
Backslash
Re: VPN - wozu noch feste IP
Hi backslah,
danke für die schnelle Info.
Da ich ausschließlich Zertifikatsbasierte IKEv2 ist also beidseitig dynamisch kein Ding.
Nutzt überhaupt jemand noch IKEv1 ?!?!
Von daher also beim nächsten Anbieterwechsel keine feste IP auf der "brauch ich unbedingt" - Featureliste.
Danke Dir
S.
danke für die schnelle Info.
Da ich ausschließlich Zertifikatsbasierte IKEv2 ist also beidseitig dynamisch kein Ding.
Nutzt überhaupt jemand noch IKEv1 ?!?!
Von daher also beim nächsten Anbieterwechsel keine feste IP auf der "brauch ich unbedingt" - Featureliste.
Danke Dir
S.
Re: VPN - wozu noch feste IP
Das klappt wenn über Dnydns die IP-Adressen schnell genug aktualisiert werden.
Beispiel: Router 1 verliert seine Internetverbindung und bekommt eine neue IP.
In der Zeit versucht gegebenenfalls Router 2 schon Router 1 zu erreichen aber noch über die alte IP. Dann kann der erneute Tunnelaufbau gegebenenfalls etwas länger dauern.
Daher würde ich bevorzugen, dass zumindest immer ein Router eine feste IP hat und der andere Router dann die VPN-Verbindung herstellt.
Beispiel: Router 1 verliert seine Internetverbindung und bekommt eine neue IP.
In der Zeit versucht gegebenenfalls Router 2 schon Router 1 zu erreichen aber noch über die alte IP. Dann kann der erneute Tunnelaufbau gegebenenfalls etwas länger dauern.
Daher würde ich bevorzugen, dass zumindest immer ein Router eine feste IP hat und der andere Router dann die VPN-Verbindung herstellt.
Re: VPN - wozu noch feste IP
Hi Ganzfix,
prinzipiell richtig, aber normalerweise haben Dyndns-Namen eine TTL von 60 Sekunden, so daß nach spätestens 2 Minuten der Tunnel wieder stehen sollte...
Gruß
Backslash
prinzipiell richtig, aber normalerweise haben Dyndns-Namen eine TTL von 60 Sekunden, so daß nach spätestens 2 Minuten der Tunnel wieder stehen sollte...
Gruß
Backslash
-
GrandDixence
- Beiträge: 1154
- Registriert: 19 Aug 2014, 22:41
Re: VPN - wozu noch feste IP
Eine feste IP-Adresse ist sinnvoll, wenn hohe Anforderungen an die Verfügbarkeit von diesem VPN-Tunnel gestellt werden. Bei einem Komplettausfall der Namensauflösung (DNS oder dynamisches DNS) funktioniert der Aufbau vom VPN-Tunnel auch weiterhin zuverlässig, wenn der VPN-Client den Aufbau des VPN-Tunnels zum VPN-Server mit Hilfe einer vorkonfigurierten, festen IP-Adresse tätigt. Gleiches gilt auch entsprechend für Site2Site.
Die hohen Anforderungen an die Verfügbarkeit sind der Grund, weshalb für kritische Infrastruktur nie eine Namensauflösung per DNS zum Einsatz kommt.
Ich war vor einigen Jahren in Spanien in den Ferien, als landesweit die Namensauflösung per DNS für mehrere Tage ausfiel. Wer zu diesem Zeitpunkt dank fester IP-Adresse einen VPN-Tunnel von Spanien ins Ausland realisieren konnte, hatte Glück. Alle anderen hatten nur noch ein Smartphone ohne funktionstüchtigen Internetanschluss in den Fingern.
Die Frage, ob die höhere Verfügbarkeit des VPN-Tunnels den Aufpreis für eine feste IPv4-Adresse gerechtfertigt, muss jede und jeder selber für sich beantworten. Bei VPN-Tunneln zwischen festinstallierten Netzwerkkomponenten (zum Beispiel: LANCOM-Routern => Site2Site) können alternativ auch vorkonfigurierte, feste IPv6-Adressen für den VPN-Tunnelaufbau verwendet werden. Beim Einsatz von Mobilgeräten als VPN-Client ist für den VPN-Tunnelaufbau der Einsatz von IPv4-Adressen Pflicht, weil noch nicht alle Internetanschlüsse auf diesem Planet IPv6 unterstützen.
Die hohen Anforderungen an die Verfügbarkeit sind der Grund, weshalb für kritische Infrastruktur nie eine Namensauflösung per DNS zum Einsatz kommt.
Ich war vor einigen Jahren in Spanien in den Ferien, als landesweit die Namensauflösung per DNS für mehrere Tage ausfiel. Wer zu diesem Zeitpunkt dank fester IP-Adresse einen VPN-Tunnel von Spanien ins Ausland realisieren konnte, hatte Glück. Alle anderen hatten nur noch ein Smartphone ohne funktionstüchtigen Internetanschluss in den Fingern.
Die Frage, ob die höhere Verfügbarkeit des VPN-Tunnels den Aufpreis für eine feste IPv4-Adresse gerechtfertigt, muss jede und jeder selber für sich beantworten. Bei VPN-Tunneln zwischen festinstallierten Netzwerkkomponenten (zum Beispiel: LANCOM-Routern => Site2Site) können alternativ auch vorkonfigurierte, feste IPv6-Adressen für den VPN-Tunnelaufbau verwendet werden. Beim Einsatz von Mobilgeräten als VPN-Client ist für den VPN-Tunnelaufbau der Einsatz von IPv4-Adressen Pflicht, weil noch nicht alle Internetanschlüsse auf diesem Planet IPv6 unterstützen.