Frage zu NAT-T (Traversal)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Frage zu NAT-T (Traversal)

Beitrag von Sepp1982 »

Hallo zusammen,

ein Mitarbeiter hat unsere Firma verlassen, weil ihm die Kurzarbeit aufn Keks ging und jetzt springe ich sozusagen für ihn ein. Ich muss mich zwar in vieles einlesen, aber man kann bekanntlich alles lernen. Jedenfalls ist aktuell das Thema Kassensysteme & TES ein Problem und hierzu habe ich ne Frage:

Wenn ich NAT-T in einem LANCOM 1781VAW aktiviere, muss ich mich trotzdem um die Ports UDP 500 & 4500 kümmern?
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Frage zu NAT-T (Traversal)

Beitrag von 5624 »

Wenn der Router, der die Verbindung aufbauen soll, hinter einem NAT-Router steht, in der Regel nein (es sei denn, der vorgeschaltete Router blockiert UDP/500 und UDP/4500).
Wenn der Router, der die Verbindung annehmen soll, hinter einem NAT-Router steht, dann ja, hier sind Port-Weiterleitungen und evtl. Anpassungen der Firewall nötig.
Wichtig ist: NAT-T muss auf beiden Seiten aktiv sein.

Dir ist aber schon klar, wofür NAT-T steht? Mit Kassensystemen und was auch immer TES ist, hat es nichts zu tun.
LCS NC/WLAN
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: Frage zu NAT-T (Traversal)

Beitrag von Sepp1982 »

@5624

Das Kassensystem befindet sich hinter einer Fritzbox 7490 und soll via Site-To-Site-VPN mit der Hauptgeschäftsstelle verbunden werden, sofern es nicht eine bessere Lösung gibt. Ich bin für Vorschläge offen.
Dort befindet sich hinter dem Haupt-Router LANCOM 1781VAW eine Watchguard Firebox T35, die als VPN-Server dient und anschließend die Verbindung der Kasse zur MySQL-Datenbank durchschleusen soll.

Leider funktioniert die VPN-Verbindung aktuell nicht und die Fritzbox meldet einen IKE-Fehler 0x2027 (timeout). Sie soll vorbei am LANCOM-Router mit der Firebox verbinden. ESP-Encapsulation sollte dies mit NAT-T doch möglich machen, oder

Alle 3 Geräte unterstützen NAT-T.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Frage zu NAT-T (Traversal)

Beitrag von 5624 »

Wenn der LANCOM die VPN-Verbindung nicht bedient, ist NAT-T hier falsch. Auf dem LANCOM MUSS dann VPN deaktiviert werden und die Portweiterleitungen zur Watchguard angelegt werden.

NAT-T sorgt dafür, dass die zweite Komponente eines IPSec-Tunnels, die über das IP-Protokoll ESP oder AH realisiert wird (nicht über TCP oder UDP) und nicht NAT-fähig ist, in UDP eingekapselt wird, damit es NAT-fähig wird. Das müssen beide Endpunkte beherrschen, nicht die Zwischenstationen, wie in diesem Fall der LANCOM.

Was du suchst, heißt VPN-Passthrough und ist heute, dank NAT-T-fähiger Endpunkte, nicht mehr nötig.
LCS NC/WLAN
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: Frage zu NAT-T (Traversal)

Beitrag von Sepp1982 »

Dein Tipp war Gold wert. Hab mir alle wichtigen Bereiche etwas genauer angesehen. Es gibt schon VPN-Verbindungen auf der Watchguard, die funktionieren und damit ist der LANCOM-Router wohl schon richtig eingestellt. D.h. ich muss nur die verdammte Verbindung zwischen der Fritzbox und der Watchguard hinbekommen und es sollte funktionieren.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Frage zu NAT-T (Traversal)

Beitrag von 5624 »

Viel Erfolg dabei. Fritzbox und VPN ist wie eine perfekte schnurgerade Autobahn mit einem Porsche zu befahren, der drei platte Reifen hat.
LCS NC/WLAN
Sepp1982
Beiträge: 14
Registriert: 18 Nov 2020, 14:17

Re: Frage zu NAT-T (Traversal)

Beitrag von Sepp1982 »

5624 hat geschrieben: 30 Mai 2021, 18:09 Viel Erfolg dabei. Fritzbox und VPN ist wie eine perfekte schnurgerade Autobahn mit einem Porsche zu befahren, der drei platte Reifen hat.
Hab ich gemerkt. Bis ich die verdammte VPN zum Laufen bekommen habe. Ich war von AVM immer begeistert - bis jetzt. Im privaten Bereich zu empfehlen, aber im professionellen Bereich mit VPN - bloß die Finger weg.
Antworten