Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Verständnisfrage, NAT-Transversal

Frage Netzwerke Router & Routing

Mitglied: Bitdreher

Bitdreher (Level 1) - Jetzt verbinden

22.10.2013 um 11:26 Uhr, 1920 Aufrufe, 3 Kommentare

Hallo zusammen,

ich habe eine Verständnisfrage zum Thema NAT-Transversal.

Ich beschäftige mich erst seit kurzer Zeit mit dem Thema IPSec-VPN und konnte im Internet leider nichts finden, was meine Frage beantwortet.

Ich habe zwei Standorte mit VPN verbunden. Site to Site.

Auf beiden Seiten steht jeweils ein Cisco RV042G.
Eine Seite hat eine feste (Site1)-, eine Seite eine dyn. (Site2) IP-Adresse.

Von der Seite mit der dyn. IP-Adresse greifen diverse Clients per RDP auf den Terminalserver auf Site2 zu.

Der VPN Tunnel steht und funktioniert auch.
Ich habe auf beiden Seiten den Haken NAT-Transversal gesetzt.

Auch wenn der Tunnel funktioniert, frage ich mich dennoch, ob dieser Haken überhaupt gesetzt sein muss?

Nachdem was ich bis jetzt dazu gelesen habe, bin ich mir nicht sicher, ob ich NAT-Transversal auch bei Site to Site benötige, oder nur bei einer Client to Site Verbindung, dies habe ich in einer Anleitung von aqui schon gelesen:

[.. Wichtig ist der Haken bei "NAT Traversal" andernfalls können mobile Clients keine VPN Verbindung aufbauen wenn eine NAT Firewall (Home DSL Router, Firewall etc.) dazwischen liegt !]

Ich meinem Fall sind es ja auch Clients die hinter dem RV042G (DSL-Router) sind.
Allerdings stellt dieser ja das Site to Site VPN...


Hoffe jemand kann mir hierzu eine kurze Erläuterung geben.
Über Links, bevorzugt deutsche, freue ich mich auch.

Vielen Dank

VG
Mitglied: MartinBinder
22.10.2013 um 12:41 Uhr
NAT Traversal brauchst Du nur für Client-VPN, wenn der Client hinter einem NAT-Router steht. Das Traversal sorgt dafür, daß die Gegenstelle die "ursprüngliche" IP des Clients kennt und erreichen kann (sinngemäß). Du machst Site to Site, da ist das egal.
http://www.different-thinking.de/ipsec_nat_traversal.php
Bitte warten ..
Mitglied: aqui
22.10.2013, aktualisiert um 12:45 Uhr
Die Grundprinzipien zu NAT Traversal sind hier recht gut erklärt:
http://www.different-thinking.de/ipsec_nat_traversal.php
http://www.elektronik-kompendium.de/sites/net/0906191.htm
Problem ist eben das das ESP Protokoll nicht über NAT übertragen werden kann.
Wenn deine beiden Tunnelendpunkte sich also direkt mit öffentlichen IPs im Internet befinden, dann benötigst du logischerweise kein NAT Traversal und kannst auch den Haken entfernen !

Oft gibt es aber Netz Designs und Szenarien mit einer Router oder Firewall Kaskade oder beidem, also 2 gekoppelten Routern / Firewall, wobei der nachgesetzte Router dann ein VPN Router ist. Hier ist NAT Traversal zwingend erforderlich damit ESP passieren kann über den ersten Router der NAT macht.
Anderes Szenario ist z.B. ein Mobilfunk Provider der im Mobilfunk Netz mit billigen nur Surf Accounts und IPv4 Adress Knappheit keine öffentlichen IPs sondern RFC 1918 IPs (Private IPs) an seine Clients verteilt. Da macht der Provider dann intern in seinem Netz ein zentrales NAT. Ohne NAT Traversal wärst du hier absolut chancenlos mit IPsec VPNs !
Ob das jetzt ein Site to Site VPN oder mobile Clients ist dabei unerheblich, denn die IPsec protokollmechanismen sind immer gleich.
Solche Beispiele gibt es zuhauf !

Wenn du oben bei dir also ein Site to Site VPN hast, wo beide VPN Tunnel Router direkt mit öffentlichen IPs ausgestattet sind, hast du ja logischerweise kein NAT dazwischen. Folglicherweise ist dann auch kein NAT Traversal erforderlich !

Weitere Grundlagen erklären diese Forumstutorials:
http://www.administrator.de/contentid/73117
und
http://www.administrator.de/contentid/115798
Bitte warten ..
Mitglied: Bitdreher
22.10.2013 um 12:48 Uhr
Vielen Dank für Eure Antworten.

Hat mir weitergeholfen!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco887VAW -VPN NAT-Freigabe (11)

Frage von Serial90 zum Thema Router & Routing ...

Router & Routing
gelöst Netgear FVS338 - NAT VPN (9)

Frage von Multitask zum Thema Router & Routing ...

LAN, WAN, Wireless
VPN Tunnel aufbauen (3)

Frage von Hajo2006 zum Thema LAN, WAN, Wireless ...

Router & Routing
FritzBox VPN Namensauflösung klappt nicht mit internem DNS Server (2)

Frage von Unheilgott zum Thema Router & Routing ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
Exchange Server
Microsoft Exchange Weiterleitung mit anderer primären E-Mail Adresse (14)

Frage von Rene12345 zum Thema Exchange Server ...

Windows Userverwaltung
gelöst Wie verfahrt Ihr mit den Windows-Benutzerkonten und -dateien von ausgeschiedenen Mitarbeitern? (14)

Frage von Bl0ckS1z3 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Devolo DLAN 500 pro Wireless+ (13)

Frage von IceAge zum Thema LAN, WAN, Wireless ...

E-Mail
gelöst Probleme beim E-Mail Empfang (12)

Frage von TommyB83 zum Thema E-Mail ...