Umgehung von CGN Problemen durch Sophos UTM und RED auf vServer mit fester IPv4

Update: Hatte bei einem vServer Anbieter Probleme mit dieser Vorgehensweise. Die Sophos VM hat ohne Ende UDP Traffic verursacht und sowohl Absender als auch Empfänger IP ziemlich lahm gelegt. Bitte bei der Einrichtung prüfen ob dies der Fall ist, oder alternativ den RED Interfaces interne IP Adressen geben und auf der vServer UTM ein MASQ + NAT auf die interne RED IP der Heim Sophos einrichten. z.B. dem RED Interface der vServer Sophos die 172.24.25.1 und der Heim Sophos die 172.24.25.2. Auf der vServer Sophos die entsprechende ausgehende Firewall Regel anlegen und Masquarading aktivieren zum ausgehenden WAN Interface. Ist zwar wieder NAT aber funktioniert genau so gut!

alter Beitrag:

Mittlerweile verwenden einige Provider (grad neue Provider) aufgrund von der allgemeinen IPv4 Knappheit Carrier Grade NAT (CGN) um ihre Kunden den Zugang zum Internet zu ermöglichen.  Dies bedeutet, das sich x Kunden eine öffentliche IPv4 teilen, der Provider ausgehend NAT über eben diese einrichtet und eingehend initiierte Verbinden nicht funktionieren. Es gibt zwar Ansätze in der Art von einer UPNP ähnlichen Weise das CGN selektiv durch den Kundenrouter zu „öffnen“, allerdings ist mir noch kein Provider bekannt der dies tatsächlich ermöglicht. Die mögliche Allgemeinlösung nennt sich IPv6, dieses Protokoll hat derzeit noch einen – vergleichsweise – geringen Verbreitungsgrad, leidet unter dem Henne-Ei Problem, ist also noch nicht Flächendeckend nutzbar.

Mein Grundproblem ist das mein neuer FTTH Provider leider nur DS-Lite anbietet, d.h. ich benutze mit anderen Kunden zusammen eine IPv4 über das besagte CGN Gateway des Providers und bekomme ein volles IPv6-Stack inkl. /48 Prefix. Eingehende Verbindungen etwa für Owncloud, Teamspeak Server oder einer Webcam über IPv4 kann ich wie schon erwähnt aus den Gründen nicht von Aussen erreichbar machen.

Anfangs verwendete ich den super Dienst der Jungs von www.feste-ip.net (REF Link) – Diese bieten einen sogenannten Portmapper auf ihren Servern an die eingehende IPv4 Verbindungen in IPv6 umsetzen. Im Heimnetz braucht man dann entsprechend IPv6 kompatible Endgeräte. Nachteile sind das nur TCP Verbindungen möglich sind, IPsec, UDP ist nicht möglich. Für CGN „geplagte“ User ohne „große“ Firewall (wie etwa die Sophos UTM) ist www.feste-ip.net eine super Möglichkeit etwa eine IP Kamera von Außen wieder zugänglich zu machen.

Als Sophos UTM Nutzer haben wir allerdings einige Werkzeuge im Repertoire die einem aus dieser CGN-Falle eleganter wieder hinaus helfen können. Auch mit anderen Firewall Lösungen wie pfSense oder RouterOS wird das folgende Szenario abbildbar sein, habe da allerdings keine praktischen Erfahrungen.

Grundsätzlich können wir zwischen zwei Sophos UTMs etwa eine VPN oder RED Verbindung aufbauen. Hätten wir also eine Sophos extern mit mindestens einer eigenen IPv4 Adresse zur Verfügung, könnten wir mittels von unserer Heim Sophos initiierten (ausgehenden) Verbindung einen Tunnel erstellen. Ich hatte mir hierzu bei dem vServer Anbieter Vultr.com (Ref Link) der die Installation von eigenen ISOs erlaubt eine Sophos „in der Cloud“ erstellt, welche ich dann über OpenVPN SSL per Site2Site verbunden hatte.

Durch das vernetzten eines „Dummy“ Transport Netzes auf der vServer Seite mit dem internen LAN der Sophos zuhause konnte ich per Full-NAT eingehende Verbindungen auf die vServer IP an Geräte hinter der Heim Sophos „weiterreichen“. Natürlich hat diese Vorgehensweise den Nachteil das hier ein Doppel-NAT stattfindet, auf der vServer Seite ein NAT eingerichtet werden muss, auf der Heim Sophos entsprechende Firewall Regeln. Nein ich wollte hier noch eleganter vorgehen!

Die Sophos UTM hat eine schöne Funktion namens „Remote Ethernet Device“ (RED) welche auf einfache Art und Weise die Erstellung eines GRE Tunnels ermöglicht. Kurz erklärt, die RED Technik wird hauptsächlich für die Anbindung von Außenstellen genutzt, durch sog. RED Appliances in Form von kleinen Hardware Kisten wird hierbei in der Außenstelle entweder im Split Setup oder Bridged das entfernte Netz angebunden. Die RED Funktionalität kann allerdings auch zwischen zwei UTMs verwenden werden!

RED Screenshot 1

Was hat die RED Funktionalität also damit zu tun das CGN zu umgehen? Eins nach dem anderen. Als Ausgangslage hatte ich nunmehr die Sophos zuhause im LAN und auf einem vServer bei Vultr. Mein Ziel: Eine feste IPv4 direkt auf ein Netzwerk Interface der Heim Sophos zu legen. Kein NAT dazwischen. So einfach wie möglich!

Ich bestellte mir also zu meinem laufenden vServer eine weitere IPv4 Adresse (je nach Anbieter werden i.d.R. hierfür $1-2 pro Monat berechnet). Um diese weitere IPv4 nun auf ein Interface der Heim Sophos zu legen bedienen wir uns der Tatsache, das wir ein „echtes“ Interface auf dem vServer mit dem virtuelle Interface einer RED Verbindung per Bridge verbinden können.

Interface-Bridge-vServer

Die RED verbindet nun durch den GRE Tunnel das WAN Interface des vServers mit dem virtuellen redsX Device der Heim UTM. Wir können also nun auf der Heim UTM  ein neues Interface anlegen und als Hardware das redsX Device auswählen! Als IP Adresse des Interfaces und des Gateways nehmen wir hier die Angaben des vServer Anbieters zur hinzu gebuchten IP. Es wird genau so vorgegangen, als wenn wir einen lokalen Internetanschluss per EthX mit fester IP Adresse einrichten.

Interface-Heim Sophos

Auf der vServer Seite sind noch 2 Firewall Einträge nötig, damit Traffic passieren kann.

vServer-Firewall

Nun habe ich einen weiteren voll Funktionsfähigen (virtuellen) Internetanschluss auf meiner Heim UTM. Ohne NAT.

fertiges-red-interface

Per Multipath Regeln kann jetzt noch eingestellt werden ob dieser Anschluss für bestimmte Protokolle oder Ziel IPs verwendet werden soll. Damit es zu keinem ungewollten (und unnötigem) Load Balancing kommt, sollte noch das „Gewicht“ des virtuellen Anschlusses auf 0 gesetzt und in den Multipath regeln hinabgestuft werden.

Beispiel-Multipath

In den Multipath Regeln habe ich z.B. definiert, das ein PC immer für jede Verbindung über diesen virtuellen Anschluss in’s Internet verbunden wird:

Beispiel-Multipath-Rule

Ein Gedanke zu „Umgehung von CGN Problemen durch Sophos UTM und RED auf vServer mit fester IPv4

  1. Batey

    Sehr interessant.

    Wie wäre das Vorgehen, wenn auf die zweite öffentliche IP verzichtet würde?
    Die einzige V-Server IP würde nur benötigt, um eine deutsche IP Adresse ausgehend vorspiegeln zu können, während meine UTM in den USA steht.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.