CGNAT - Einschränkungen und Lösungen

[Buntmalerei]

Hallo,

vielleicht hat da jemand eine Idee?

Wenn man googelt und hier im Forum liest findet man häufig folgendes Szenario:

Carrier-Grade NAT Anschluss versagt zugriff Heimnetzwerk. VPN Einrichtung scheitert usw.

Lösung: IPv6 nutzen bzw. vom Provider die Adressübersetzung umstellen lassen.
Wenn beide Varianten nicht möglich sind, dann gibt es keine richtige Lösung.

Mich selbst betrifft das nicht, daher kann ich es auch nicht testen.

Das Szenario wäre: ISP bietet nur IPv4 im CGNAT an, also keine IPv6 verfügbar und keine Umstellung möglich durch ISP.

Was könnte man nun machen um das Heimnetzwerk von außerhalb zu erreichen?

Stellt die Einrichtung einer VPN Verbindung (z.B. bei Homeoffice) wirklich so eine Herausforderung dar?

Sind generell noch weitere Einschränkungen zu erwarten?

Grüße ins Forum und Danke für eure Beiträge und Ideen.

 

[Nilson]

Stellt die Einrichtung einer VPN Verbindung (z.B. bei Homeoffice) wirklich so eine Herausforderung dar?

Bei Homeoffice steht in der Regel der VPN-Server bei deinen Arbeitgeber und CG-NAT ist daher nicht relevant. Nur wenn der VPN-Server bei dir läuft musst du dich damit beschäftigen.

 

[Buntmalerei]

Bei Homeoffice steht in der Regel der VPN-Server bei deinen Arbeitgeber und CG-NAT ist daher nicht relevant. Nur wenn der VPN-Server bei dir läuft musst du dich damit beschäftigen.

Danke für die schnelle Antwort.

D.h. wenn der zuständige ITler die Probleme am Anschluss sieht, liegt er wahrscheinlich falsch.

 

[Tom_123]

Hi,

ja, dann sollte er eine Schulung besuchen "Wie konfiguriere ich ein VPN Gateway richtig?".

 

[Buntmalerei]

Hi,

ja, dann sollte er eine Schulung besuchen "Wie konfiguriere ich ein VPN Gateway richtig?".

Das Problem ist, dass dieser Tage in vielen Unternehmen der "Hobby" ITler auch nur der Schwager des Chefs ist und alle 10 Mitarbeiter nach Schema F eingepflegt werden.
Traurig, dass man dann Leute die Leute dann erstmal zum ISP schickt. Hätte mich auch gewundert.

 

[Ebrithil]

Bei Homeoffice steht in der Regel der VPN-Server bei deinen Arbeitgeber und CG-NAT ist daher nicht relevant. Nur wenn der VPN-Server bei dir läuft musst du dich damit beschäftigen.

Genau das. Und wenn du dir unbedingt einen VPN ins Heimnetz legen willst, geht das auch.
Dann musst du nur als mittelsmann einen kleinen Cloud-Server betreiben (3-4€ / Monat) zu dem sich dann sowohl dein Heimserver als auch die Clients Verbinden. Ist etwas komplizierter einzurichten aber für jemanden der sich auskennt ohne Probleme machbar.

 

[Wilhelm14]

Bevor der Schwarze Peter weiter herum geschoben wird, was soll denn konkret gemacht werden? Also rein mit Worten beschrieben, ohne technische Details. Sollst du von zu Hause auf Sachen in der Firma zugreifen? Dann hat dir die Firma Zugangsdaten gegeben?

 

[Buntmalerei]

Genau das. Und wenn du dir unbedingt einen VPN ins Heimnetz legen willst, geht das auch.
Dann musst du nur als mittelsmann einen kleinen Cloud-Server betreiben (3-4€ / Monat) zu dem sich dann sowohl dein Heimserver als auch die Clients Verbinden. Ist etwas komplizierter einzurichten aber für jemanden der sich auskennt ohne Probleme machbar.

Ginge also auch. In dem konktreten Beispiel, was zur Erstellung des Themas geführt hat, steht der VPN Server tatsächlich bei dem Arbeitgeber.
Wenn man im Internet etwas allgemeiner sucht, entsteht trotzdem der Eindruck eine CGNAT IPv4 only Lösung sei extrem schlecht.
Online Spiele laufen nicht richtig, usw.

Da ich selber nicht so einen Anschluss habe, kann ich es nicht testen.

Die bisherigen Antworten bestätigen im Prinzip nur die Unfähigkeit des zuständigen ITlers. Ansonsten läuft der Anschluss ja auch fehlerfrei.

Ergänzung (19. September 2021)

Bevor der Schwarze Peter weiter herum geschoben wird, was soll denn konkret gemacht werden? Also rein mit Worten beschrieben, ohne technische Details. Sollst du von zu Hause auf Sachen in der Firma zugreifen? Dann hat dir die Firma Zugangsdaten gegeben?

In dem konkreten Beispiel wurden der betreffenden Person der HO Rechner gegeben und es baut sich von dem voreingerichteten Laptop keine VPN Verbindung zum Firmennetzwerk auf.
Der ITler konnte keine Ursache finden und bat die Person darum, sich an den ISP zu wenden, um den Anschluss umstellen zu lassen. Was nicht ging, da nicht verfügbar.

Soweit ich weiß ist der aktuelle Stand, dass es nicht funktioniert und daher kein Homeoffice möglich ist.

Der Rechner wurde per LAN verbunden. Das Kabel ist auch OK und der selbe Port funktioniert auch mit einem anderen Gerät.

Mich betrifft es leider nicht, sonst wäre ich da anders rangegangen.

 

[Ebrithil]

Weißt du zufällig welche VPN Software dort zum Einsatz kommt?

 

[Wilhelm14]

So dargestellt hört sich das doch nach unwilligem ITler an. Er muss doch prüfen, ob das Home-Office-Notebook die Firma erreichen kann. Und wenn er für den Test einen Mobilfunk-Zugang nimmt.
Was gibt die Software denn für Fehlermeldungen aus?

 

[Buntmalerei]

So dargestellt hört sich das doch nach unwilligem ITler an. Er muss doch prüfen, ob das Home-Office-Notebook die Firma erreichen kann. Und wenn er für den Test einen Mobilfunk-Zugang nimmt.
Was gibt die Software denn für Fehlermeldungen aus?

Fehlermeldung und Software sind mir nicht bekannt. Ich würde auch ungern etwas an dem Firmen Rechner machen, ich dürfte da laut Datenschutz nicht mal auf den Bildschirm schauen.

Und zum Testen hat er tatsächlich einen mobilen Zugang über einen Handy Hotspot genommen. Da funktioniert es wohl. Daher kam er auch zu dem Ergebniss, dass der ISP aufgrund des CGNAT die Ursache ist und man eine öffentliche IPv4 Adresse für die Konfiguration benötigt.
Sie hat sich daraufhin an den ISP gewendet und der meint, an dem Anschluss gibt es keine öffentlichen IPv4 Adressen.
Lösung: Es gibt keine Lösung und es wird weiter im Büro gearbeitet. Was in diesem Fall auch kein Weltuntergang ist, aber so richtig nachvollziehen konnte ich dies nicht.

Die abschließende Aussage des ITlers ist, dass es an dem Anschluss nicht funktioniert und am Anbieter liegt, da er für den Betriebs VPN eine öffentliche IPv4 Adresse benötigt.
(IPv6 hat er nicht angesprochen, dies wäre aber auch nicht verfügbar)

 

[blackbirdone]

Das einzige was manchmal auftreten kann ist das wenn ein ipv6 Zugang genutzt wird und der VPN server nur auf ipv4 konfiguriert ist aber ipv6 Verbindungen annimmt. Dann wird das ipv4 gateway vom Provider geskipt und kann natürlich keine Verbindung herstellen.

Ansonsten ist die IP völlig egal. Sonst würden ja garkeine Internetdienste auf der Welt mehr funktionieren

Kann natürlich auch ein uralter von server sein wo nix geht

 

[Wilhelm14]

Und zum Testen hat er tatsächlich einen mobilen Zugang über einen Handy Hotspot genommen.

Testet ihr doch auch so. Wenn man dadurch die Anwesenheit im Büro verhindern kann, würde ich mir sogar in Eigenregie einen Mobilfunkzugang gönnen.

 

[Buntmalerei]

Ich geh hier einfach von der Unfähigkeit des ITlers aus. Zumindest gibt es keinen Grund, warum es an dem Anschluss nicht funktionieren sollte. Alles andere funktioniert auch.

Im Prinzip hat der nur kurz mit dem Handy Hotspot getestet und Sie dann mit Fachwörtern konfrontiert, die Sie vorher nicht kannte.
Einen Laien interessiert normalerweise auch nicht, ob CGNAT oder was auch immer dahinter steht.

Problem der Chef hat von IT keine Ahnung, Sie auch nicht und kommuniziert wurde einfach, dass es am Anschluss liegt.
Ich hab daher eher aus persönlichen Interesse mal recherchiert, was dahinter steht und es gibt wohl relativ viele Forenbeiträge, im Netz die ein CGNAT als ungünstige Variante des Internets darstellen.

Bisher wurde an diesem Anschluss sowieso nichts großartiges gemacht außer Surfen, Netflix und Mails abrufen.
Da dies auch alles funktioniert und bestenfalls mal das WLAN rausfliegt, sehe ich hier auch keinen Grund überhaupt den ISP zu kontaktieren.