9
Cisco SIM Router Public IP
Hallo Zusammen
Ich habe wiedereinmal ein spezielles Problem.
Wir haben einen Cisco 819-4G LTE Router mit SIM Karten den wir in Zukunft als Router für Events und co nutzen möchten. Nun haben wir das Problem das leider von den Mobilanbietern nur CGNAT gemacht wird und wir keine möglichkeiten haben eine Öffentliche IP Adresse auf den Router zu bringen. Nun benötigen wir immer wieder eine solche für Portweiterleitungen und derselben.
Wir haben einen eigenen AS mit Freien Adressen. Als Router 4 Stück von Mikrotik der CCR Serie.
Habe bereits mal ein wenig umgeschaut und da auf GRE gestossen. Hat da jemand eine Idee wie ich GRE über ein Mobilfunknetz mit CGNAT realisieren kann? Oder hat jemand eine Andere Idee?
Grüsse
Ich habe wiedereinmal ein spezielles Problem.
Wir haben einen Cisco 819-4G LTE Router mit SIM Karten den wir in Zukunft als Router für Events und co nutzen möchten. Nun haben wir das Problem das leider von den Mobilanbietern nur CGNAT gemacht wird und wir keine möglichkeiten haben eine Öffentliche IP Adresse auf den Router zu bringen. Nun benötigen wir immer wieder eine solche für Portweiterleitungen und derselben.
Wir haben einen eigenen AS mit Freien Adressen. Als Router 4 Stück von Mikrotik der CCR Serie.
Habe bereits mal ein wenig umgeschaut und da auf GRE gestossen. Hat da jemand eine Idee wie ich GRE über ein Mobilfunknetz mit CGNAT realisieren kann? Oder hat jemand eine Andere Idee?
Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 390796
Url: https://administrator.de/contentid/390796
Printed on: April 25, 2024 at 21:04 o'clock
9 Comments
Latest comment
Moin,
Aus meiner Sicht macht es wenig Sinn sich weiter in der Richtung zu bewegen.
Lass von dem LTE Router lieber ein VPN in Richtung eines statischen Endpunkts aufbauen. Dann erschlägst du deine Probleme.
Gruß
Spirit
Aus meiner Sicht macht es wenig Sinn sich weiter in der Richtung zu bewegen.
Lass von dem LTE Router lieber ein VPN in Richtung eines statischen Endpunkts aufbauen. Dann erschlägst du deine Probleme.
Gruß
Spirit
GRE hinter NAT wird nicht funktionieren. Schmerzfreier ist, wenn du einen L2TP-Tunnel von dem LTE-Router zu einem Standort mit fixer IP aufbaust und darüber dann deine Portforwardings machst oder eine öffentliche IP routest.
Zitat von @LordGurke:
GRE hinter NAT wird nicht funktionieren. Schmerzfreier ist, wenn du einen L2TP-Tunnel von dem LTE-Router zu einem Standort mit fixer IP aufbaust und darüber dann deine Portforwardings machst oder eine öffentliche IP routest.
GRE hinter NAT wird nicht funktionieren. Schmerzfreier ist, wenn du einen L2TP-Tunnel von dem LTE-Router zu einem Standort mit fixer IP aufbaust und darüber dann deine Portforwardings machst oder eine öffentliche IP routest.
Ich würde einen reinen IPsec Tunnel bevorzugen
Bei NAT-Umgebungen ist reines IPsec teilweise unzuverlässig und - abhängig von Hardware und Lizenz - unnötig viel langsamer als reines L2TP ohne Verschlüsselung 
Zitat von @LordGurke:
Bei NAT-Umgebungen ist reines IPsec teilweise unzuverlässig und - abhängig von Hardware und Lizenz - unnötig viel langsamer als reines L2TP ohne Verschlüsselung
Bei NAT-Umgebungen ist reines IPsec teilweise unzuverlässig und - abhängig von Hardware und Lizenz - unnötig viel langsamer als reines L2TP ohne Verschlüsselung
Wo bitte ist L2TP kein IPsec?
Hallo,
L2TP ist nicht gleichzusetzen mit IPSec...
Heute wird meist L2TP over IPSec eingesetzt.
https://www.elektronik-kompendium.de/sites/net/1410061.htm
Brammer
L2TP ist nicht gleichzusetzen mit IPSec...
Heute wird meist L2TP over IPSec eingesetzt.
https://www.elektronik-kompendium.de/sites/net/1410061.htm
Brammer
Hat da jemand eine Idee wie ich GRE über ein Mobilfunknetz mit CGNAT realisieren kann?
Mit CGNAT gar nicht. GRE benötigt dann ein Port Forwarding was du nicht machen kannst das das NAT beim Carrier gemacht wird. Auch alle anderen Protokolle sind problematisch.IPsec und L2TP funktionieren nur wenn sie NAT Traversal machen bzw. mit NAT Traversal konfiguriert sind.
Am sichersten wäre OpenVPN mit SSL was problemlos mit CGNAT rennt, was aber der Cisco nicht supportet. Dann musstest du immer auch einen Raspberry Pi in der Hosentasche haben als VPN Server.
Fazit:
Falschen Mobilfunk Anbieter oder Account gewählt wie leider immer in solchen Fällen. Bei Telekom und Vodafone bekommst du mit einem Business Account (ander APN) immer eine öffentliche IP und hättest das Problem gar nicht erst.
Zitat von @aqui:
Mit CGNAT gar nicht. GRE benötigt dann ein Port Forwarding was du nicht machen kannst das das NAT beim Carrier gemacht wird. Auch alle anderen Protokolle sind problematisch.
Mit CGNAT gar nicht. GRE benötigt dann ein Port Forwarding was du nicht machen kannst das das NAT beim Carrier gemacht wird. Auch alle anderen Protokolle sind problematisch.
GRE hat keine Ports, das ist ja das Problem mit dem NAT
Am sichersten wäre OpenVPN mit SSL was problemlos mit CGNAT rennt, was aber der Cisco nicht supportet. Dann musstest du immer auch einen Raspberry Pi in der Hosentasche haben als VPN Server.
Reines unverschlüsseltes L2TP basiert auf UDP (wie OpenVPN) und kann von den allermeisten Routern nativ gehandhabt werden.
Um "sicher" geht es in dem Szenario auch nicht - die Anforderungen sind schließlich Port-Forwardings mit öffentlicher IP-Adresse. Der Traffic kommt also bereits aus dem Internet und wird durch verschlüsselte VPN-Verbindungen nicht besser geschützt
Fazit:
Falschen Mobilfunk Anbieter oder Account gewählt wie leider immer in solchen Fällen. Bei Telekom und Vodafone bekommst du mit einem Business Account (ander APN) immer eine öffentliche IP und hättest das Problem gar nicht erst.
Falschen Mobilfunk Anbieter oder Account gewählt wie leider immer in solchen Fällen. Bei Telekom und Vodafone bekommst du mit einem Business Account (ander APN) immer eine öffentliche IP und hättest das Problem gar nicht erst.
Naja... In diesem Fall hat der TO ja bereits eigene öffentliche IP-Netze, die er dafür verwenden will. Das ist auch eigentlich sinnvoll, denn zum einen sind die statisch und können nötigenfalls auch mit PTRs versehen werden. Und wenn da eventuell sogar noch Dritte drüber ins Internet gehen sollen, kannst du auch noch dein eigenes Abuse-Handling machen.
Du hast natürlich Recht ! Protokoll 47 Forwarding...sorry 
