[Ungelöst] CGNAT ohne IPv6, Linux-VPS vorhanden

M

MrDeluxe

Enthusiast
Thread Starter
Mitglied seit
01.04.2006
Beiträge
1.443
Hallo Community,

wir sind nun "glückliche" Glasfaserkunden bei Pyur und stecken leider hinter einem IPv4 Carrier Grade NAT. Eine IPv6 Adresse wird nicht angeboten. Auch nach mehrfachen "Quängeln" meinerseits bleibt Pyur kalt und lässt mich im undankbaren CGNAT stecken. Alternative ISPs gibt es erst in zwei Jahren. Man hat hier also keine Wahl und muss die Kröte schlucken wie sie ist oder man besorgt sich den teuren Geschäftskundenvertrag. Letzteres ist aber wenig sinnvoll, da ich ja eigentlich gar keinen Service in die Richtung benötige und eine statische IPv4 Adresse, den es hier oben drauf gibt, ebenfalls nicht.
Wie dem auch sei. Ich suche nach einer Lösung, dass ich von Außen auf meine Dienste zu Hause vom LAN zugreifen kann. Im diversen Foren wurde über die Einrichtung eines VPS gesprochen, um sich von dort eine Verbindung von Außen nach innen aufzubauen, um so an eine statische IPv4 Adresse zu gelangen. Hier wäre eine Schritt-für-Schritt Anleitung toll, da ich es mir aktuell noch nicht konkrett vorstellen kann, was genau konfiguriert werden müsste.
Vorab sei hier noch erwähnt, dass ich eine SophosUTM betreibe. Ja, auch hier findet man eine Lösung im Netz, dass man einen VPS mit Sophos UTM (RED) einrichten könnte, um das Problem des CGNAT zu lösen, siehe hier: https://benjaminradan.de/oeffentliche-ipv4-adresse-trotz-cgnat/

Derzeit habe ich aber schon einen VPS für meine Nextcloud und Website und wollte eigentlich nicht noch einen VPS bezahlen. Die Frage ist daher, wie löse ich das Problem mit einem debianbasierten VPS und der bestehenden Sophos UTM zu Hause, welche im Übrigen kein Wireguard beherrscht?

Herzlichen Dank schon Mal vorab!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
MrDeluxe schrieb:
Die Frage ist daher, wie löse ich das Problem mit einem debianbasierten VPS und der bestehenden Sophos UTM zu Hause, welche im Übrigen kein Wireguard beherrscht?
Zum Vergrößern anklicken....
Du erstellst eine VM mit OPNwrt, und trägst dort die Wireguard Client Konfig zu Deinem VPS ein. Das ist dann Deine Software Router VM, die Du in der Sophos VM als WAN Eingang definierst. Alles schön mit VLANs sauber getrennt.

Alternativ kannst Du auch Debian oder eine andere Linux Distro verwenden, ist dann halt mehr manuelle Konfiguration.
 
Supaman schrieb:
Du erstellst eine VM mit OPNwrt, und trägst dort die Wireguard Client Konfig zu Deinem VPS ein. Das ist dann Deine Software Router VM, die Du in der Sophos VM als WAN Eingang definierst. Alles schön mit VLANs sauber getrennt.

Alternativ kannst Du auch Debian oder eine andere Linux Distro verwenden, ist dann halt mehr manuelle Konfiguration.
Zum Vergrößern anklicken....
Ehm ja, genau auf diese manuelle Konfiguration beziehe ich mich, da ich wie beschrieben schon eine laufende VPS habe, die ich dafür verwenden wollte. Gibt es dafür eine Anleitung? Wireguard wollte ich dafür eigentlich wie gesagt nicht nehmen. Die Sophos UTM spricht nur OpenVPN.
 
Bedenke nur das OpenVPN wesentlich mehr Hardwarehunger mitbringt.
Je nachdem wieviel Rechenleistung die Sophos Lösung mitbringt, wird eine normalschnelle VDSL Leitung mit OpenVPN schon zur Herausforderung.
Eine Glasfaser mit nen paar hundert Mbit mehr könnte eventuell nicht ausgelastet werden.
 
Zyxx schrieb:
Bedenke nur das OpenVPN wesentlich mehr Hardwarehunger mitbringt.
Je nachdem wieviel Rechenleistung die Sophos Lösung mitbringt, wird eine normalschnelle VDSL Leitung mit OpenVPN schon zur Herausforderung.
Eine Glasfaser mit nen paar hundert Mbit mehr könnte eventuell nicht ausgelastet werden.
Zum Vergrößern anklicken....
Ja, leider supported Sophos kein Wireguard, sonst würde ich es auch bevorzugen. Es soll auch nicht der sämtliche Verkehr durchgetunnelt werden sondern eben nur, dass was auch benötigt (Split-Tunneling): S2S (IPSec), C2S (OpenVPN), PlexMediaServer, ...
Normales surfen von zu Hause aus muss nicht zum VPS.
 
Supaman schrieb:
Das würde ich nochmal überdenken, Wireguard hat einen deutlich höheren Durchsatz als OpenVPN.
Zum Vergrößern anklicken....
Da gibt es nichts zu überdenken. Die Firewall supported kein Wireguard. Punkt. Und was ich so im Netz gefunden habe, hat kaum bis gar kein kommerzieller Anbieter von Firewalls/UTMs diesen Support für WG. OpenSource-FWs wie pfSense oder kleine Anbieter Mikrotik bieten es an, ja aber das geht hier am Thema vorbei.
 
Und was ich so im Netz gefunden habe, hat kaum bis gar kein kommerzieller Anbieter von Firewalls/UTMs diesen Support für WG.
Zum Vergrößern anklicken....

Leider sind die alle noch nicht so weit. Ich würde nur noch wireguard nehmen. Synology hat auch noch keinen wireguard Client. Habs aber angeschrieben und es soll jetzt bei einer der Updates eingebaut werden laut Support.
 
MrDeluxe schrieb:
Und was ich so im Netz gefunden habe, hat kaum bis gar kein kommerzieller Anbieter von Firewalls/UTMs diesen Support für WG. OpenSource-FWs wie pfSense oder kleine Anbieter Mikrotik bieten es an, ja aber das geht hier am Thema vorbei.
Zum Vergrößern anklicken....
WG ist u.a. enthalten in: Gl.inet, Mikrotik, einige Draytek Modelle, *sense, OPNwrt oder was vermutlich eher Deinem Geschmack entsprich: Unifi USG bzw DreamMachine.

Und bloß, weil WG (noch) nicht in Sophos drin ist, muss man nicht darauf verzichten, Du kannst eine Instanz als Hardware oder VM mit WG in die Sophos als Gateway einbinden. Erfodert dann halt etwas mehr Netzwerk/Routing Kenntnisse.

Warum erwähne ich das? Weil WG einfach super läuft und einen so niedrigen "Reibungsverlust" hat, das es fast kein Unterschied ist, ob man mit WG irgendwo drauf hängt oder sich im internen Netz befindet - vernünftige Internetanbindung vorausgesetzt. Einfach mal so als ungefährer Vergleich zum Durchsatz:

www.gl-inet.com

GL-AXT1800 / Slate AX

Slate AX (GL-AXT1800) is our first Wi-Fi 6 travel router comes with 1800Mbps combined wireless speed. Subscribe to our newsletter to receive latest product update!
www.gl-inet.com www.gl-inet.com
 
MrDeluxe schrieb:
Ehm ja, genau auf diese manuelle Konfiguration beziehe ich mich, da ich wie beschrieben schon eine laufende VPS habe, die ich dafür verwenden wollte. Gibt es dafür eine Anleitung? Wireguard wollte ich dafür eigentlich wie gesagt nicht nehmen. Die Sophos UTM spricht nur OpenVPN.
Zum Vergrößern anklicken....

Moin MrDeluxe! Ich bin der Ersteller der von dir verlinkten Anleitung. Statt wie von mir vorgeschlagen, einen Red Tunnel zu nutzen, kannst du natürlich auch einen OpenVPN Tunnel von deiner Debian VM nutzen, um zu deiner Sophos UTM zu kommen. Da gibt es für die Rechenzentrumsseite bestimmt die eine oder andere Anleitung wie man den Traffic dann via OpenVPN zu der Sophos UTM routed (habe ich so noch nicht gemacht).

Ich habe meine Sophos UTM größtenteils durch OPNsense ersetzt (nur an einigen Stellen werkelt die Sophos UTM noch), da das Produkt alt ist und kaum mehr weiterentwickelt wird - ich glaube Let's Encrypt für die Zertifikate war die letzte nennenswerte Änderung.
Allerdings habe ich dafür noch keine Anleitung schreiben können, da das Aufsetzen mit OPNsense deutlich komplexer ist.
 
@DieserBen Falls du eines Tages mal zu einer Anleitung für OPNsense kommst, wäre das sehr interessant. Dann könnte man vermutlich Wireguard einsetzen?! Je nach vorhandener Bandbreite dürfte OpenVPN sicher ans Limit kommen. Die RED-Variante hat vermutlich auch entsprechende Limits? Was setzt Sophos da im Hintergrund ein?
 
DieserBen schrieb:
Moin MrDeluxe! Ich bin der Ersteller der von dir verlinkten Anleitung. Statt wie von mir vorgeschlagen, einen Red Tunnel zu nutzen, kannst du natürlich auch einen OpenVPN Tunnel von deiner Debian VM nutzen, um zu deiner Sophos UTM zu kommen. Da gibt es für die Rechenzentrumsseite bestimmt die eine oder andere Anleitung wie man den Traffic dann via OpenVPN zu der Sophos UTM routed (habe ich so noch nicht gemacht).

Ich habe meine Sophos UTM größtenteils durch OPNsense ersetzt (nur an einigen Stellen werkelt die Sophos UTM noch), da das Produkt alt ist und kaum mehr weiterentwickelt wird - ich glaube Let's Encrypt für die Zertifikate war die letzte nennenswerte Änderung.
Allerdings habe ich dafür noch keine Anleitung schreiben können, da das Aufsetzen mit OPNsense deutlich komplexer ist.
Zum Vergrößern anklicken....
Sehr cool, dass du dich hier extra angemeldet hast. Ich hätte noch eine Frage zum Split-Tunneling. Ich möchte hierbei auf deine Anleitung zurückgreifen und es mit dem RED-Tunnel versuchen. Wie bekommt man es denn hin, dass nicht sämtlicher Verkehr zum VPS (Rechenzentrum) getunnelt (ausgehender Verkehr von zu Hause nach Internet) wird und nur eingehender Verkehr von bestimmten Services über den Tunnel den Weg ins LAN finden. Mach ich das über die FW Regeln der VPS-Sophos (eingehend ins LAN) bzw. Heim-Sophos (ausgehend von Lan) oder eher mittels Routing?

Frage 2: Ich hab gesehen, du hast da einen Uplink-Ausgleich in deiner Anleitung genutzt. Ginge das nicht auch über das Routing?
 
Frage 1: Das passiert automatisch über die Maskierung in den NAT-Regeln. Dort gibst du ja das WAN Interface für dein Netzwerk an, sonst könnten die Geräte des Netzes ja gar nicht ins Internet. Dort sollte es andersum aber natürlich auch möglich sein, den gesamten Traffic über den Tunnel laufen zu lassen - habe ich aber noch nicht getestet.

Frage 2: Ich habe es tatsächlich vor einiger Zeit scheinbar bei mir geändert und nutze den Uplinkausgleich nicht mehr (deaktiviert), sondern regel das wie von dir geschrieben, über das statische Routing.

Wenn es Fragen zu meiner Anleitung gibt würde ich mich freuen, wenn wir das in den dortigen Kommentaren klären könnten. Da haben zukünftige Besucher dann auch was davon :)

Ich werde dann wohl demnächst mal die Anleitung anpassen. Aber so wie sie aktuell ist, klappt es auch.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh