Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Verständnisfrage, NAT-Transversal

Frage Netzwerke Router & Routing

Mitglied: Bitdreher

Bitdreher (Level 1) - Jetzt verbinden

22.10.2013 um 11:26 Uhr, 1925 Aufrufe, 3 Kommentare

Hallo zusammen,

ich habe eine Verständnisfrage zum Thema NAT-Transversal.

Ich beschäftige mich erst seit kurzer Zeit mit dem Thema IPSec-VPN und konnte im Internet leider nichts finden, was meine Frage beantwortet.

Ich habe zwei Standorte mit VPN verbunden. Site to Site.

Auf beiden Seiten steht jeweils ein Cisco RV042G.
Eine Seite hat eine feste (Site1)-, eine Seite eine dyn. (Site2) IP-Adresse.

Von der Seite mit der dyn. IP-Adresse greifen diverse Clients per RDP auf den Terminalserver auf Site2 zu.

Der VPN Tunnel steht und funktioniert auch.
Ich habe auf beiden Seiten den Haken NAT-Transversal gesetzt.

Auch wenn der Tunnel funktioniert, frage ich mich dennoch, ob dieser Haken überhaupt gesetzt sein muss?

Nachdem was ich bis jetzt dazu gelesen habe, bin ich mir nicht sicher, ob ich NAT-Transversal auch bei Site to Site benötige, oder nur bei einer Client to Site Verbindung, dies habe ich in einer Anleitung von aqui schon gelesen:

[.. Wichtig ist der Haken bei "NAT Traversal" andernfalls können mobile Clients keine VPN Verbindung aufbauen wenn eine NAT Firewall (Home DSL Router, Firewall etc.) dazwischen liegt !]

Ich meinem Fall sind es ja auch Clients die hinter dem RV042G (DSL-Router) sind.
Allerdings stellt dieser ja das Site to Site VPN...


Hoffe jemand kann mir hierzu eine kurze Erläuterung geben.
Über Links, bevorzugt deutsche, freue ich mich auch.

Vielen Dank

VG
Mitglied: MartinBinder
22.10.2013 um 12:41 Uhr
NAT Traversal brauchst Du nur für Client-VPN, wenn der Client hinter einem NAT-Router steht. Das Traversal sorgt dafür, daß die Gegenstelle die "ursprüngliche" IP des Clients kennt und erreichen kann (sinngemäß). Du machst Site to Site, da ist das egal.
http://www.different-thinking.de/ipsec_nat_traversal.php
Bitte warten ..
Mitglied: aqui
22.10.2013, aktualisiert um 12:45 Uhr
Die Grundprinzipien zu NAT Traversal sind hier recht gut erklärt:
http://www.different-thinking.de/ipsec_nat_traversal.php
http://www.elektronik-kompendium.de/sites/net/0906191.htm
Problem ist eben das das ESP Protokoll nicht über NAT übertragen werden kann.
Wenn deine beiden Tunnelendpunkte sich also direkt mit öffentlichen IPs im Internet befinden, dann benötigst du logischerweise kein NAT Traversal und kannst auch den Haken entfernen !

Oft gibt es aber Netz Designs und Szenarien mit einer Router oder Firewall Kaskade oder beidem, also 2 gekoppelten Routern / Firewall, wobei der nachgesetzte Router dann ein VPN Router ist. Hier ist NAT Traversal zwingend erforderlich damit ESP passieren kann über den ersten Router der NAT macht.
Anderes Szenario ist z.B. ein Mobilfunk Provider der im Mobilfunk Netz mit billigen nur Surf Accounts und IPv4 Adress Knappheit keine öffentlichen IPs sondern RFC 1918 IPs (Private IPs) an seine Clients verteilt. Da macht der Provider dann intern in seinem Netz ein zentrales NAT. Ohne NAT Traversal wärst du hier absolut chancenlos mit IPsec VPNs !
Ob das jetzt ein Site to Site VPN oder mobile Clients ist dabei unerheblich, denn die IPsec protokollmechanismen sind immer gleich.
Solche Beispiele gibt es zuhauf !

Wenn du oben bei dir also ein Site to Site VPN hast, wo beide VPN Tunnel Router direkt mit öffentlichen IPs ausgestattet sind, hast du ja logischerweise kein NAT dazwischen. Folglicherweise ist dann auch kein NAT Traversal erforderlich !

Weitere Grundlagen erklären diese Forumstutorials:
http://www.administrator.de/contentid/73117
und
http://www.administrator.de/contentid/115798
Bitte warten ..
Mitglied: Bitdreher
22.10.2013 um 12:48 Uhr
Vielen Dank für Eure Antworten.

Hat mir weitergeholfen!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco887VAW -VPN NAT-Freigabe (11)

Frage von Serial90 zum Thema Router & Routing ...

LAN, WAN, Wireless
WLAN Signal über VPN Tunnel verlängern (4)

Frage von monav24 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
VPN Client Freigabe ins LAN von Win 10 PC? (2)

Frage von Andromeda zum Thema LAN, WAN, Wireless ...

Netzwerke
Shrew VPN Policy Generation Level Erklärung (1)

Frage von Bytedreher zum Thema Netzwerke ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
Windows Systemdateien
NTFS und die Defragmentierung (19)

Frage von WinLiCLI zum Thema Windows Systemdateien ...

Windows Server
WIndows Server 2016 core auf dem Intel NUC NUC5i5RYK i5 5250U (17)

Frage von IxxZett zum Thema Windows Server ...

LAN, WAN, Wireless
Zwei Subnetze mit je eigenem Router und Internetzugang verbinden (17)

Frage von hannsgmaulwurf zum Thema LAN, WAN, Wireless ...