DeutscheGlasfaser:CGNAT ipv4<- >vpn

Skysnake

Captain
Registriert
Feb. 2012
Beiträge
3.229
Hi Leute,

Ich schlage mich jetzt seit ein paar Wochen mit dem Thema CGNAT ipv4 und VPN herum. Im Netz findet man immer wieder Berichte, das Leute Probleme gehabt haben sollen, wenn Sie sich in VPN einwählen wollten. Ich bin da inzwischen ziemlich verunsichert, zumal man wohl selbst bei den Professional Tarifen der DG keine ipv4 buchen kann. Es müsste ja nicht mal ne statische sein, sondern rein ne eigene öffentliche meiner Meinung nach, damitnicvt im Zweifel mehrere Zugriffe von der selben IP kommen, oder man häufiger die öffentliche wechselt und dann eben die intrusion detection etc anschlägt.

Bei den Buisness Tarigen bekommt man ja dann sogar gleich nen 29er Subnetz.... aber 500€+ sind mir dann doch zu viel -_-

Keine Ahnung ob ich mich da jetzt total verrückt mache, aber wir haben Kunden in ganz Europa aus den unterschiedlichsten Bereichen, wo man sich dann per Software oder gar HW VPN verbinden muss. Das muss dann einfach zuverlässig funktionieren, ansonsten muss ich ins Büro fahren und verplempere ne Stunde+ ganz zu schweigen davon, dass das bestimmt die Hütte brennt und man schnell reagieren muss....

Wäre echt nett, wenn ihr eure Meinung oder sogar eigene Erfahrungen teilen könntet.

Total ätzend, das DG da so unflexibel ist...
 
Schwierigkeiten gibt es, wenn man eine Verbindung von einem IPv4 Gerät zu einem IPv6 Gerät aufbauen will, d.h. wenn du eine VPN Verbindung zu deinem privaten Anschluß der DG aufbauen möchtest.

VPN abgehend von einem DG Anschluß ist gar kein Problem. Das mache ich regelmäßig.
 
  • Gefällt mir
Reaktionen: Wilhelm14
Skysnake schrieb:
aber wir haben Kunden in ganz Europa aus den unterschiedlichsten Bereichen, wo man sich dann per Software oder gar HW VPN verbinden muss.
Also "raus" geht immer. Auch von einem CG-NAT raus in die Welt. Eingehend wird es mit CG-NAT nichts. Wenn du auf deinen CG-NAT Anschluss zugreifen willst ginge das aber per IPv6. Problem ist, wenn das VPN nur IPv4 kann.
Edit: Ich mal wieder nicht den Tab aktualisiert,... dvor sagt es schon.
Edit 2: Oder anders, die Kunden müssen sicherstellen, dass man auf sie zugreifen kann. Das hat mit deinem Anschluss nichts zu tun.
 
Ein link zu den Berichten wäre vielleicht super. Ich kann mir gerad nicht vorstellen, was da die Probleme sein sollen. Für die Ausenstelle gesehen ist die Verbindung doch exakt gleich, ob ich jetzt wie üblich einmal oder halt zweimal NAT hintereinander habe - sieht man von außen nicht.

Wie schon genannt wurde, VPN von außen zum eigenen DG Anschluss geht nicht so einfach (per IPv4). Da muss man Umwege gehen.
 
Skysnake schrieb:
Total ätzend, das DG da so unflexibel ist...
Das Problem mit dem die DG da umzugehen hat, ist eiun Hausgemachtes, fuer das du dich weltweit bei den grossen Buden bedanken darfst.
Das mit den IPv4 Adressen ist ein wenig wie mit dem Klimawandel (wenn auch bei weitem nicht so schlimm)

IPv6 wurde 1998 Standadisiert, weil klar war, dass es nicht genug IPv4 Adressen gibt, um das Internet so aufzubauen wie man sich das damals vorstellte. Seitdem wird versucht darauf umzustellen. Leider gibt es einige Firmen die it einer 'funktioniert doch noch' Mentalitaet unterwegs sein. Selbst die verdammte Telekom hat inzwischen richtig gutes ipv6.
550 Euro fuer ein /29 sind halt leider verdammt nah an dem, was selbst so winzige Bloecke inzwischen in Auktionen einbringen. Viel Profit ist da nicht bei.



Wie auch immer: EIne IPv6 Adresse wirst du haben. Nutze sie. Jede VPN Software kommt damit klar
 
  • Gefällt mir
Reaktionen: snaxilian
Wilhelm14 schrieb:
Problem ist, wenn das VPN nur IPv4 kann.
Was eventuell der Fall sein könnte bei einem Kunden mit HW VPN. Da machste dann halt auch nichts mehr. Muss ich mich aber wohl mal an deren Support wenden.
 
Skysnake schrieb:
Keine Ahnung ob ich mich da jetzt total verrückt mache, aber wir haben Kunden in ganz Europa aus den unterschiedlichsten Bereichen, wo man sich dann per Software oder gar HW VPN verbinden muss. Das muss dann einfach zuverlässig funktionieren, ansonsten muss ich ins Büro fahren und verplempere ne Stunde+ ganz zu schweigen davon, dass das bestimmt die Hütte brennt und man schnell reagieren muss....
Da steckt wiederum der Fehler im Konzept. Wenn du bzw. deine Firma darauf angewiesen ist, beim Kunden per Fernwartung via VPN Zugriff zu haben, ist der VPN-Weg DeineFirma --VPN--> Kunde auch der falsche. Wie du ja selbst schon schreibt ist der Aufwand, alle Kunden unter einen Deckel zu bekommen und trotzdem zeitnah handeln zu können, enorm.

In solchen Fällen stellt man sich in der Firma ein großes VPN-Gateway hin, zB ein FortiGate 100F, und richtet bei den Kunden jeweils einen VPN-Client ein, zB ein kleineres FortiGate (zB FortiGate 40F) oder sonstiges kompatibles Gerät. Die Kunden-Firewalls telefonieren nach Hause zum großen Gateway und das war's. Dabei ist es egal mit welcher Technologie die Kunden online gehen, weil man an der Client-Firewall lediglich eine LAN-Verbindung zum Hostnetzwerk braucht oder zur Not eben via Mobilfunk online geht. Die Firmenzentrale wiederum muss natürlich erreichbar sein, also kein CGN, o.ä.
Wobei auch CGN kein Ausschlusskriterium ist, wenn man entweder VPN via IPv6 nutzt oder das zentrale VPN-Gateway auslagert und zB in einem Rechenzentrum einmietet. Dann ist die Firmenzentrale selbst eben auch nur ein Client am VPN-Gateway.

Andersherum, also Firma -> Kunde, ist das ab einer gewissen Anzahl an Kunden einfach nicht mehr zu managen, weil man in die Situation kommt, bei jedem Kunden ein Sonderlösung einrichten zu müssen. Das geht dann nämlich auch so weit, dass die Kunden-IT in den kompletten Prozess eingebunden werden muss, da Portweiterleitungen benötigt werden. Aus eigener Erfahrung kann ich sagen, dass die Kunden-IT nicht selten derart wenig Ahnung hat, dass es mir schon eiskalt den Rücken runterläuft. Mir wurde schon mal als IP-Adresse für eben so eine Client-Firewall im Kunden-Netz die "255.255.255.0" genannt und auf Nachfrage die "127.0.0.1". Da habe ich mich schon gefragt wie die die Abkürzung IT auslegen, InternetTrottel?


Apropos: Die FortiGate 100F bzw. 40F sind natürlich nur Beispiele. Je nach Anzahl an Kunden, gewünschter Leistung und Budget gibt es natürlich zahlreiche andere passende Geräte.
 
  • Gefällt mir
Reaktionen: madmax2010
Nur, dass das bei unseren Kunden so nicht läuft...

Fast alle Kunden haben HW oder SMS Tokens, wobei die z.b. Pulse Secure vorgeben und dann teils komplett dicht machen, also man teils nicht mal mehr ins lokale Netz kommt, sobald das Ding läuft...

Alternativ ist auch verboten in mehr als einem VPN gleichzeitig zu sein. Bedeutet dann bei eigener remote Arbeit entweder im FirmenVPN oder im VPN vom Kunden.

Oder halt dann die Maximallösung. Laptop + Lancom HW-VPN kommt vom Kunden für jeden Mitatbeiter. Am Anfang durften wir nicht mal an einem Lancom zwei Laptops anschließen, da Laptop und Router gekoppelt waren...

Da ist dann komplett dicht und du machst quasi nichts mehr. Proxy gab es auch nicht. Sprich man musste wenn man etwas nachschauen wollte zwei Rechner laufen lassen und abtippen. Datentransfer nur über bestimmte Systeme und nach Anfrage....

Und ja manche Kollegen haben 3-4 Systeme dastehen... bei mir sind es "nur" zwei, wobei ich mich teils über ein drittes freuen würde...

Und ja, das macht dann teils keinen Spaß. Zumal wir auch teils eines internationalen Konzern sind und die Schrauben immer weiter angezogen werden, was noch machbar ist und was nicht....

Wobei, bei einem Kunden ist es noch extremer. Da darf ich per Videokonferenz im Zweifel zuschauen und Anleiten wie der Kollege das Problem löst. Eigener Zugriff ist nicht drin...

Ich hoffe das macht verständlicher, warum ich da etwas paranoid bin. Ich bin daher auch ganz froh, das ich obwohl eigentlich L3 support dann doch auch immer wieder als L2 missbraucht werde. Das schafft einem Zeit und verhindert auch mal nen L3 Fall. Klar ist aber, das es im Zweifel halt schnell gehen muss. Und da kann ich mich dann nicht wirklich noch damit rumschlagen das der VPN nicht geht.
 
Ok, ich kennen natürlich eure Branche und Kunden nicht, habe eben nur von meinen Erfahrungen berichtet bzw. wie das bei uns in der Firma bzw. im Konzern läuft. Individuelle Kunden-VPN-Lösungen gibt es da nicht. Willst du Fernwartung, bekommst du eine Firewall von uns. Willst du keine Firewall von uns, bekommst du keine Fernwartung bzw nur zu recht hohen Tarifen mit TeamViewer-Sessions.

Skysnake schrieb:
Das muss dann einfach zuverlässig funktionieren, ansonsten muss ich ins Büro fahren und verplempere ne Stunde+ ganz zu schweigen davon, dass das bestimmt die Hütte brennt und man schnell reagieren muss....
Da lese ich jetzt aber heraus, dass die Fernwartung aus der Firma funktioniert und du nur Probleme im HomeOffice hast? Was spricht dann gegen eine VPN-Verbindung als Roadwarrior in die Firma, um dort dann zB via RDP oder auch über das Routing auf den Kunden zuzugreifen? Um mal wieder die Parallele zu uns zu ziehen: Ich habe ein FortiClient-VPN auf meinem Firmenlaptop, mit dem ich mich in die Firma verbinde und darüber auf alle unsere aktuell ~1000 Kundenanlagen weltweit zugreifen kann, einfach über geroutete IPs. In eurem Fall verstehe ich es so, dass ihr bestimmte PCs habt, auf denen die Kundenlösung läuft (wie auch immer) und dann wäre RDP via VPN ja eine gangbare Lösung?
 
Raijin schrieb:
Da lese ich jetzt aber heraus, dass die Fernwartung aus der Firma funktioniert und du nur Probleme im HomeOffice hast?
Aktuell funktioniert alles @Home ohne weitere Probleme als in der Firma.

Aber auch da haben wir das Problem, das wir teils Kunden haben, bei denen wir entweder bei uns im Netz sein können oder bei denen. Das ist hässlich. In der Firma, da es in dem Fall einfach nur ein Starten/stoppen des Kunden VPNs ist. @Home dann noch etwas mehr, weil 1. KundenVPN stoppen, dann eigenen VPN starten und das Spiel wieder zurück...

Hässlich, aber kein Problem, da es funktioniert. Die Frage ist nur, tut es noch wenn ich einen Anschluss bei der DG bekomme.

Mir fehlt da leider auch der Vergleich. Ich weiß nur das einige Kollegen bei Vodafone sind, also Kabel. Falls das hilft.

Raijin schrieb:
Was spricht dann gegen eine VPN-Verbindung als Roadwarrior in die Firma, um dort dann zB via RDP oder auch über das Routing auf den Kunden zuzugreifen?
Dagegen spricht, das 1. Bei min einem Kunden den Zugriff zum System in der Firma abbrechen würde sobald ich den VPN starte und 2. Das mit den dedizierten Systemen nichts bringt. Die muss ich mitschleppen... Ein Zugriff übers Handy als Hotspot geht da z.b. nicht. Ich brauch zwingend eine LAN Verbindung...

Raijin schrieb:
Um mal wieder die Parallele zu uns zu ziehen: Ich habe ein FortiClient-VPN auf meinem Firmenlaptop, mit dem ich mich in die Firma verbinde und darüber auf alle unsere aktuell ~1000 Kundenanlagen weltweit zugreifen kann, einfach über geroutete IPs. In eurem Fall verstehe ich es so, dass ihr bestimmte PCs habt, auf denen die Kundenlösung läuft (wie auch immer) und dann wäre RDP via VPN ja eine gangbare Lösung?
Läuft bei uns nicht so. Wir haben nur wenige Kunden die sehr sehr sehr viel größer sind als unsere Division. Da heißt es Deal with it oder lass es bleiben. Das geht aber allen Anbietern so. Das ist also quasi schon eingepreist.

Das wir da eine eigene Firewall hinstellen kannst du bei einigen Kunden auch komplett vergessen. Der Zugriff auf deren Systeme ist teils nur möglich, nachdem man durch deren VPNs und Firewalls durch ist. Die haben teils auch dedizierte Leitungen für sich liegen mit Verschlüsselung an beiden Enden. Du hast also gar keine Chance da mit eigener Hardware ran zu kommen... das ist dann die Lösung hier ist DEIN Lancom Router und Laptop. Bitte hier unterschreiben, dass das nur entsprechend den Vorgaben genutzt wird.

Und als Mitarbeiter kannst du da schlecht nein sagen. Im Zweifel muss ich halt wegen so was dann jeden Tag in die Firma fahren. HO ist dann halt einfah nicht möglich...verständlich das ich darauf keinen Bock habe oder? Da zahlt ich lieber x€ im Monat für nen 50Mbit Anschluss an die Telekom oder sonst wen und setze es von der Steuer ab.
 
Skysnake schrieb:
Dagegen spricht, das 1. Bei min einem Kunden den Zugriff zum System in der Firma abbrechen würde sobald ich den VPN starte und 2. Das mit den dedizierten Systemen nichts bringt. Die muss ich mitschleppen... Ein Zugriff übers Handy als Hotspot geht da z.b. nicht. Ich brauch zwingend eine LAN Verbindung...
Zwei VPNs, die sich auf demselben System gegenseitig zerschießen, kann man mit einem lokalen VPN-Gateway begegnen. Das heißt, dass dein Laptop im Heimnetz eben nicht direkt im Heimnetz ist, sondern hinter einem kleinen VPN-Router, und sei es auch nur so ein 15€ Reiserouter. Der VPN-Client auf dem Laptop bekommt gar nichts davon mit, dass die VPN-Verbindung effektiv durch einen Firmen-Tunnel ins Büro getunnelt und erst von da aus ins Internet geht.

So ganz kapiert habe ich aber euren Arbeitsprozess offen gestanden immer noch nicht. Ok, jeder Kunde hat sein eigenes VPN-Konzept, kapiert. Aber es hat doch nicht jeder eurer Mitarbeiter einen eigenen Zugang zu jedem Kunden-VPN, oder wie darf ich das verstehen? Wir hatten vor meiner Zeit im Unternehmen auch mal eine Sonderlösung mit einem Kunden. Dazu hatten wir einen separaten PC im Büro stehen, auf dem der VPN-Client für diesen Kunden lief. Das war's dann aber auch.
 
Raijin schrieb:
Zwei VPNs, die sich auf demselben System gegenseitig zerschießen, kann man mit einem lokalen VPN-Gateway begegnen. Das heißt, dass dein Laptop im Heimnetz eben nicht direkt im Heimnetz ist, sondern hinter einem kleinen VPN-Router, und sei es auch nur so ein 15€ Reiserouter. Der VPN-Client auf dem Laptop bekommt gar nichts davon mit, dass die VPN-Verbindung effektiv durch einen Firmen-Tunnel ins Büro getunnelt und erst von da aus ins Internet geht.
ja gut, das wäre wohl sogar wirklich ein gangbarer Weg. Müsste dann aber durch unsere Security policies durch und weitere HW gestellt werden. Da selbst was machen ist nicht drin.

Problem ist aber auch, das es teils die Police gibt, das keine Verbindung in zwei VPNs zeitgleich erlaubt ist... das würde man damit brechen. Wobei die Regel ziemlich bescheuert ist, da es ja aus dem Firmennetz auch erlaubt ist. Aber ob man da auch nur die kleinste Chance hat an den Policies was zu drehen? Puh da habe ich meine Zweifel, zumal die Policies in den letzten 2 Jahren nur noch strenger geworden sind und man sich teils fragt wie man noch arbeiten soll...

Raijin schrieb:
Aber es hat doch nicht jeder eurer Mitarbeiter einen eigenen Zugang zu jedem Kunden-VPN, oder wie darf ich das verstehen?
Doch genau das ist die Regel. Jeder Mitarbeiter hat für jeden Kunden seinen eigenen Account, die komplett in der Hand der Kunden liegen. Der Kunde kann uns also jederzeit aussperren. Ist aber so auch genau gewollt. Die Mitarbeiter müssen dem Kunden auch gemeldet werden und der entscheidet ob derjenige darf oder nicht. Je nach Kunde/Land fallen dann auch einzelne Mitarbeiter teils raus.... wie gesagt, ich bekomme z.B. bei einem Kunden keinen Zugang und Brauch dann eine Kollegen um L3 Support zu machen, dem ich dann erkläre was er machen soll... ein riesen Spaß...

Zumeist kann man sich aber einfach per PulsSecure, Cisco VPN oder sonst was verbinden. Teils gibt es aber auch einen Kunden-Laptop auf dem wir Accounts haben, aber halt kein root. Wird vom Kunden ann administriert.

Ein Kunde hat uns wie aber schon mehrfach gesagt jedem Mitarbeiter einen Laptop + einen Lancom Router hingestellt. Sprich wir haben so 10-15 von den Dingern bei uns rumstehen, mit denen wir nichts machen können außer auf das Kundensystem zu kommen. Gab sogar Dockingstation, Maus und Tastatur dazu....

Und ja manche haben dadurch 3-4 Laptops auf dem Schreibtisch stehen um an die Systeme ran zu kommen....

Das ist halt dann am Ende auch das Problem, man muss mit 10-20 Sonderlocken klar kommen, bei der es jeweils heißt Deal wird it...
 
Sorry, aber WTF!?

Das klingt nach einem riesengroßen Haufen Kuhmist, wenn ich ehrlich sein darf. Und dann noch strenge Richtlinien seitens deines Unternehmens als Kirsche obendrauf. Da hätte ich wirklich keinen Bock drauf...

Wie dem auch sei, wenn ich das dann so richtig verstanden habe ist am grundsätzlichen Arbeitsablauf nichts zu ändern und deine Sorge dreht sich einzig und allein darum ob dir ein Internetanschluss mit CGN einen Strich durch die Rechnung machen könnte.

Prinzipiell verhält sich ein CGN-Anschluss bei ausgehenden Verbindungen nicht anders als ein Anschluss ohne CGN. Sowohl IPv4 als auch IPv6 sind nutzbar, der Unterschied besteht lediglich darin, das der Provider IPv4-Verbindungen seinerseits NATet, während IPv6 direkt durchgeht. Demnach sollten auch alle Kunden-VPNs soweit funktionieren. Die Probleme entstehen bei CGN im umgekehrten Fall, also eingehenden Verbindungen. Bei dir ist das jedoch nicht der Fall und deswegen solltest du fein raus sein.

Nichtsdestotrotz kann man natürlich nicht garantieren, dass es bei so einem Wildwuchs an individuellen Lösungen nicht doch irgendwo haken könnte. Es ist unwahrscheinlich, aber CGN ist nun mal eine Art Krücke, weil seit über 20 Jahren der vollständige Umstieg auf IPv6 von diversen Unternehmen und Herstellern gescheut wird und dann kommen solche kranken Ideen wie CGN auf, weil man allmählich mit dem Rücken zur Wand steht.
 
  • Gefällt mir
Reaktionen: Holzkopf
Aber das ist doch normal was Skysnake beschreibt? Ich habe Leute bei mir im Team mit x Laptops von den Kunden und dann wird das Endgerät ausgepackt das wir für den jeweiligen Kunden benötigen. Ist doch ein ganz normales Security Control das man keine unbekannte HW zulässt per VPN. Vorallem in sensitiven IT Bereichen möchte man das als auch Anbieter/Supplier nicht. Das gleiche Thema ist "Touch the Keyboard", da hatten wir auch schon die wildesten Diskussionen und trotz Konzern im Hintergrund mit großer Haftungsversicherung etc. reicht das manchmal nicht aus. Dann dauert alles halt 3x so lange, das ist dann aber nicht unser Problem und wird entsprechend eingepreist.
Gibt natürlich schönere Lösung mit Citrix, WVD ö.ä., gefühlt geht das ganze aktuell aber zurück bzw wird immer weniger angeboten.
Ich hänge auch hinter einem CGNAT bei 1&1 @TO, bisher keine Probleme gehabt mit diversen VPNs. Viele Unternehmen kennen das Problem und bieten mittlerweile/endlich IPv6 an. Als Fallback habe ich noch einen LTE USB Stick in der FB falls es mal Ausfälle gibt.
 
nemix schrieb:
Aber das ist doch normal was Skysnake beschreibt?
Zumindest in meiner Welt nicht. Wir haben uns einmal auf kundenspezifische Lösungen eingelassen und der administrative Aufwand war schon bei wenigen Verbindungen einfach zu hoch. Der eine wollte einen speziellen VPN-Client, beim nächsten musste man anrufen und sich einen tagesaktuellen Code abholen, der übernächste wollte uns Hardware hinstellen und und und.

Es kommt vermutlich auch ein wenig auf die Branche an, aber unser Mutterkonzern ist Hersteller für Wellpapp-Produktionsmaschinen und unser Unternehmen baut selbige um, Upgrades und so. Mit so einem Wildwuchs konnten wir nicht gewährleisten, dass wir bei jedem Kunden gleichermaßen auf alle Geräte zugreifen können, weil wir nicht nur VNC auf PCs brauchen, sondern auch direkten Zugriff auf SPSn, Antriebe, Sensoren und dergleichen benötigen. Bei kundenspezifischen VPN-Lösungen liefe das darauf hinaus, dass mal der VNC-Port gesperrt ist, mal der SPS-Port, mal dies, mal jenes und so können wir keinen Remote Support leisten. Deswegen ist die Fernwartung bei uns im Konzern ein einheitliches Paket bestehend aus einer Cisco-Firewall zwischen Kundennetzwerk (teilweise auch separate Zugänge für Fremdfirmen) und Anlagennetzwerk. Wenn der Kunde das nicht will, muss er eben dafür bezahlen, dass ein Servicetechniker quer durch die Weltgeschichte düst - egal ob das Problem per VPN vielleicht schon nach 5 Minuten gelöst wäre.

In Ausnahmefällen bieten wir noch die Möglichkeit mit einem TeamViewer-Laptop, den der Kunde an die Anlage stellt. Das scheitert aber nicht selten daran, dass a) der Laptop teilweise auf Landessprache eingestellt ist (ich war mal auf einem China-Windows drauf, hatte keine Ahnung worauf ich geklickt habe) und b) nicht die nötige Software installiert ist (zB Simatic Manager für Siemens SPS).

Mag sein, dass das in anderen Branchen anders gehandhabt wird und wenn man ggfs nur VNC, RDP, o.ä. benötigt, ist das vielleicht auch halb so wild. Für den Maschinenbau mit zahlreicher Spezialsoftware, Schnittstellen und Ports ist das äußerst kompliziert.
 
Ja, das geht vielleicht bei euch und ist wünschenswert, aber ihr bewegt euch da ja sicherlich nur in kleinen Teilnetzen. Bei uns arbeiten die Leute mit dem Zeug was wir liefern. Da sind dann Dutzende bis Hunderte von Usern drauf, die alle ihr Zeug machen und da liegen haben. Da sind die Kunden teils sehr paranoid bzw müssen eben Vorgaben einhalten. Ich hatte btw vorher ein Telefonat mit dem Helpdesk von nem Kunden. Der meinte auch, dass das tatsächlich so ist, dass die Rechner sehr stark eingeschränkt/abgesichert sind. Aber die Diskussion mit der Securityabteilung da recht fruchtlos ist...

Und das ist halt ein Problem das sicherlich nemix auch hat. Du fängst nicht an mit dem Kunden über das Security Konzept zu diskutieren, wenn dir rein dafür dann ne Truppe von 4 Leuten gegenübersitzt die nichts anderes machen. Und das sind dann ja nur die die im Meeting sind...

nemix schrieb:
Ich hänge auch hinter einem CGNAT bei 1&1 @TO, bisher keine Probleme gehabt mit diversen VPNs.
DANKE! so 1. Hand Erfahrungen wollte ich hören.

Das mit dem LTE stick tut hier leider eher nicht, da die Netzabdeckung zu schlecht ist....

Funny fact, der Helpdesk vom Kunden hat mich zwecks Frage zum VPN an die Security-Abteilung verwiesen, da unsere Systeme ziemlich aus dem Raster fallen...
 
@Raijin Ich hab das Gefühl, dass Skysnake auf der dir gegenüberliegenden Seite sitzt^^ Deine Firma sagt: Support nur mit unserer Lösung bestehend aus ASA und dies dem das. Eure Kunden haben ja ggf. nicht nur eure Maschinen im Einsatz sondern noch Geräte von Hersteller Y und Spezialsoftware von Hersteller X und jeder hat andere Anforderungen was Remote Support angeht. Endet dann damit, dass bei der Firma diverse Firewalls und Zugangsvarianten herum stehen, die muss man irgendwie unter einen Hut bekommen.

Ist halt auch immer eine Frage der Größe bzw. wer von wem abhängiger ist und der "Stärkere" definiert das Konzept und Vorgehen. Wenn sich $Hersteller mehr an industrieübergreifende Standards halten würden bei der Implementation wäre vieles davon vermutlich überflüssig weil man sagen könnte: Für Supportzugang brauchen wir VPN mit dem Protokoll, folgende Ciphers und diesen und jenen Einstellungen.
Aber solange da viele Hersteller eigene proprietäre Süppchen kochen muss man dann halt mit dem Aufwand leben und diesen Mehraufwand einpreisen.
 
  • Gefällt mir
Reaktionen: Skysnake
snaxilian schrieb:
Ich hab das Gefühl, dass Skysnake auf der dir gegenüberliegenden Seite sitzt^^
Das glaube ich mittlerweile auch ;)

Eine Seite muss den Tod der Tausend Sonderlösungen sterben und ich bin froh, dass ich auf der anderen Seite sitze :daumen:
 
madmax2010 schrieb:
Wie auch immer: EIne IPv6 Adresse wirst du haben. Nutze sie. Jede VPN Software kommt damit klar
Etwas Offtopic, aber irgendwie auch nicht: Ich bin durch die Hausverkabelung gezwungen zu einem bestimmten Anbieter zu gehen (Oder halt LTE), da diesem die Kabel im Neubau gehören. Hat der Vermieter so machen lassen, ist man als Mieter machtlos.
Und besagter Anbieter gibt mir via Glasfaser aber auch keine IPv4 Adresse (Bzw. nur einer 10er), und IPv6 gibt es gar nicht. Hab letztens sogar extra nochmal gefragt. IPv4 gibt es nur im Business-Anschluss, der ein vielfaches kostet.
Alternative, wer sowas mal als Problem hat bei seinem Anschluss: Einen vServer mit IPv4 Adresse mieten (Netcup und Hetzner haben günstige ab 3-4€/Monat), und einen Raspberry Pi kaufen. Zwischen vServer und Raspberry einen SSH Tunnel mit Port Forwarding aufbauen mit dem betroffenen Port. Das kann einfach zB OpenVPN sein, wenn man in sein Netz will von außen, oder aber auch ein Webserver um seine Nextcloud Instanz zu erreichen. Unschöne Lösung, aber besser als gar keine - denn bei mir gibt es zB schlicht keine andere. CGNAT bei V4 und keine V6 ist ziemlicher Müll, aber gibt es.


Zum Thema VPN und Kunden: Bei uns (Finanzbranche) ist es für Externe Firmen so geregelt: Es gibt einen VPN Client, den der Externe Mitarbeiter installieren muss, und er kriegt dafür einen Zugang. Der ist zusätzlich via 2FA abgesichert mit einem Hardware TOTP Token, d.h. wenn er sich einloggt, muss er bei uns anrufen, und kriegt dann via Telefon den Token-Code gesagt. Der Login bzw. die Ausgabe des Tokens wird protokolliert, falls KPMG mal fragt oder was doofes passiert. Alles andere bei uns ist explizit nicht erlaubt. Da gibt es auch keine Ausnahmen. Alternative ist, dass die Mitarbeiter der Firma zu uns in die Firma fahren bzw. vermutlich ginge im Notfall auch zu einem der anderen Standorte, da die alle via WAN-Verbindung mit unserem Zentralen Netz verbunden sind.


Und zum Thema "Ist CGNAT ein Problem?" -> Wenn du von dir nach draußen telefonierst, sollte das eigentlich kein Problem sein. Das kannst du ggf. aber auch via Handy einfach vorher testen: Im LTE Netz hast du auch meist nur eine interne IPv4 Adresse mit CGNAT, also einfach Hotspot am Handy an und ausprobieren. Wobei ich jetzt nicht weiß ob man am Handy IPv6 ausmachen kann? Vielleicht also doch nicht so einfach :(
 
  • Gefällt mir
Reaktionen: Skysnake
Ich stehe vor der selben Aufgabe, aktuell noch unter Dual Stack.

Aktuell hab ich 3 Haushalte mittels Raspberry Pis und LXCs per Wireguard verbunden. Die RPIs verbinden sich über meine öffentliche IPv4/DynDNS.

Sobald dann der Deutsche Glasfaser Anschluss live ist, plane ich das ganze über Tailscale bzw. selbst gehostet über Headscale darzustellen. Letztes dann auf einem vServer mit einer IPv4.

https://tailscale.com
https://github.com/juanfont/headscale
 
Zurück
Oben