Mobiel netwerk met CGNAT extern bereiken

woensdag 5 januari 2022 13:26

Acties:

0Henk 'm!

Hi allemaal,

Ik heb een tijdelijke locatie met een 4G router waar ook een server staat die ik graag van buitenaf wil bereiken. Port forwarding werkt niet omdat de mobiele provider mij geen eigen publiek IP toewijst, dus services zoals DDNS gaan dan ook niet.

Ik heb al wat getest met een ipsec vpn tunnel en OpenVPN, maar ik krijg het niet voor elkaar omdat ik hier niet genoeg van ken. Op de hoofdlocatie heb ik reeds een OpenVPN server actief & OPNSense router. Op de mobiele locatie is het een Teltonika 4G router en Esxi server.

Als ik op de mobiele locatie ben kan ik natuurlijk wel met de Openvpn client verbinding maken met het hoofdkantoor, maar dit werkt maar in 1 richting.

Iemand een creatieve oplossing of die weet hoe ik dit voor elkaar krijg met OpenVPN?

woensdag 5 januari 2022 15:11

Ben(V)

Kan alleen als je een connectie opzet vanuit de mobiele locatie.
Misschien iets met een gsm modem die je belt en die een script opstart om een uitgaande connectie op te zetten.

Een ander alternatief is continue een vanaf de mobiele locatie opgezette een VPN tunnel open te laten staan en die VPN client een automatische reconnect te laten uitvoeren als de connectie wegvalt.

Uiteraard moet je dan niet een client/server VPN opzetten, maar een site-to-site VPN, dan heb je tweeweg verkeer.

[Voor 13% gewijzigd door Ben(V) op 05-01-2022 15:13]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 5 januari 2022 13:46

Acties:

+1Henk 'm!

laurens0619

Je zit goed

Openvpn is de oplossing

https://openvpn.net/community-resources/how-to/#scopeDe

[Voor 43% gewijzigd door laurens0619 op 05-01-2022 13:48]

CISSP! Drop your encryption keys!

woensdag 5 januari 2022 13:49

Acties:

0Henk 'm!

Deshmir

Script inbouwen in je server dat als je ip adress anders is dan de vorige dat die een uodate doet bij ddns.

Openvpn heeft ipadres van de server in de ovpn file staan, dus die moet je dan alsnog elke keer wijzigen.

Andere optie is (wat ik makkelijker vind), is een script draaien die je wan ip controleert, bij wijziging een telegram bericht stuurt naar jezelf.
Je kan dan in de wireguard settings het server adres wijzigen zodat je weer kan verbinden

woensdag 5 januari 2022 15:03

Acties:

+1Henk 'm!

Ben(V)

Allemaal onmogelijk.

Bij CGNAT deel je namelijk een internet ip adres met anderen.
Je krijgt dus nooit een eigen ipadres waar je van buiten naar kunt connecten.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 5 januari 2022 15:06

Acties:

0Henk 'm!

Xanthine

Topicstarter

Ben(V) schreef op woensdag 5 januari 2022 @ 15:03:
Allemaal onmogelijk.

Bij CGNAT deel je namelijk een internet ip adres met anderen.
Je krijgt dus nooit een eigen ipadres waar je van buiten naar kunt connecten.

Inderdaad. Ik kan wel met een client connecteren vanop de mobiele locatie naar de vpn server, maar dan moet ik nog een manier vinden om verkeer in 2 richtingen te krijgen.

woensdag 5 januari 2022 15:11

Acties:

Beste antwoord ✓
+2Henk 'm!

Ben(V)

Kan alleen als je een connectie opzet vanuit de mobiele locatie.
Misschien iets met een gsm modem die je belt en die een script opstart om een uitgaande connectie op te zetten.

Een ander alternatief is continue een vanaf de mobiele locatie opgezette een VPN tunnel open te laten staan en die VPN client een automatische reconnect te laten uitvoeren als de connectie wegvalt.

Uiteraard moet je dan niet een client/server VPN opzetten, maar een site-to-site VPN, dan heb je tweeweg verkeer.

[Voor 13% gewijzigd door Ben(V) op 05-01-2022 15:13]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 5 januari 2022 15:54

Acties:

0Henk 'm!

Mijzelf

Krijg je ook geen bruikbaar IPv6 adres?

woensdag 5 januari 2022 15:58

Acties:

0Henk 'm!

Xanthine

Topicstarter

Mijzelf schreef op woensdag 5 januari 2022 @ 15:54:
Krijg je ook geen bruikbaar IPv6 adres?

Nee helaas enkel een speciaal intern IP 100.x.x.x.x
Ga zo meteen eens proberen om op die esxi server een linux server te installeren met de openvpn client. Misschien dat ik het via static routes wel klaar krijg.

woensdag 5 januari 2022 16:06

Acties:

0Henk 'm!

Mijzelf

Je zou een IPv6-in-IPv4 (RFC4213) tunnel kunnen overwegen.

woensdag 5 januari 2022 16:24

Acties:

0Henk 'm!

Brahiewahiewa

boelkloedig

Mijzelf schreef op woensdag 5 januari 2022 @ 16:06:
Je zou een IPv6-in-IPv4 (RFC4213) tunnel kunnen overwegen.

Waarom is dat beter dan een ip4-in-ip4 tunnel?

QnJhaGlld2FoaWV3YQ==

woensdag 5 januari 2022 16:33

Acties:

0Henk 'm!

Mijzelf

Brahiewahiewa schreef op woensdag 5 januari 2022 @ 16:24:
[...]

Waarom is dat beter dan een ip4-in-ip4 tunnel?

Voor een ip4-in-ip4 heb je een schaars publiek ip4 adres nodig (of een eindpunt in een netwerk waar je al bij kan), ip6 adressen zijn niet schaars.

woensdag 5 januari 2022 16:36

Acties:

0Henk 'm!

Brahiewahiewa

boelkloedig

Mijzelf schreef op woensdag 5 januari 2022 @ 16:33:
[...]

Voor een ip4-in-ip4 heb je een schaars publiek ip4 adres nodig (of een eindpunt in een netwerk waar je al bij kan), ip6 adressen zijn niet schaars.

Hûh? Werkt een ip4-in-ip4 niet met RFC1918 adressen? Lijkt me sterk

QnJhaGlld2FoaWV3YQ==

woensdag 5 januari 2022 16:54

Acties:

0Henk 'm!

Mijzelf

Brahiewahiewa schreef op woensdag 5 januari 2022 @ 16:36:
[...]

Hûh? Werkt een ip4-in-ip4 niet met RFC1918 adressen? Lijkt me sterk

Zeker. Maar zonder een publiek IPv4 adres ergens kun je uiteindelijk alleen een tunnel leggen binnen je eigen lan.

woensdag 5 januari 2022 16:57

Acties:

0Henk 'm!

Brahiewahiewa

boelkloedig

Mijzelf schreef op woensdag 5 januari 2022 @ 16:54:
[...]

Zeker. Maar zonder een publiek IPv4 adres ergens kun je uiteindelijk alleen een tunnel leggen binnen je eigen lan.

Right. En zonder publiek IP4 adres kun je wel een ipv6-in-ip4 tunnel aanleggen? Dacht 't niet

QnJhaGlld2FoaWV3YQ==

woensdag 5 januari 2022 20:12

Acties:

0Henk 'm!

donny007

Try the Nether!

Wat voor diensten wil je aanbieden?

Als je een eigen domein hebt kun je Cloudflare Tunneling gebruiken (documentatie) (werkt met een gratis account)

Je installeert een deamon op je server die (met minimale configuratie) een encrypted tunnel opzet naar het netwerk van Cloudflare. Vervolgens kun je via het CDN van Cloudflare je diensten bereiken, inclusief SSL proxy en wat basic firewall & security features.

Ik gebruik dit om Home Assistant (en nog een aantal diensten) van buitenaf te kunnen benaderen zonder gedoe met port-forwarding, dynamic DNS, Let's encrypt Certbot challenges, etc.

/dev/null

donderdag 6 januari 2022 09:34

Acties:

+3Henk 'm!

Xanthine

Topicstarter

Het is uiteindelijk gelukt, weer een leerrijke les.

Op de vaste locatie OpenVPN server geïnstalleerd, op de mobiele locatie een Ubuntu server met OpenVPN client. Dan op beide locaties statische routes aangemaakt zodat alle verkeer van desbetreffende IP ranges door het IP van de OpenVPN server/client gestuurd worden (en niet de gateway).

Omdat de mobiele locatie een client gebruikt die verbinding maakt met het vast IP van de vaste locatie werkt dit ook met een cgnat IP. Heb dan ook ingesteld dat hij automatisch reconnect en tot nu toe heeft het de eerste nacht al overleefd.

Nu is het zelfs volledig gratis

Bedankt voor alle suggesties en mij in de juiste richting te sturen!

Vraag

Beste antwoord (via Xanthine op 06-01-2022 09:35)

Alle reacties

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden