Die Freie Routerwahl ist eine nette Theorie, aber oft nicht möglich oder bestehende Infrastrukturen erlauben keinen neuen Router. Was tun, wenn man einen VPN-Tunnel an beiden Enden in einem NAT-Netz hat?

Vorweg: es funktioniert! Aber (jaja – es gibt immer eines) an einem der NAT-Router muss man zumindest eine Portfreigabe auf den VPN-Port der Firewall machen.

Aber eines nach dem Anderen: Die Praxis hat oft ihre Hürden, die eine Professionelle Firewall zum Terminieren des Internetanschlusses nicht zulassen.

Das kann passieren wenn z.B. Telefonie in der Netzanbindung integriert ist oder es ein Campus-LAN in Gewerbeparks gibt etc.

Verschiedene Lösungen haben wir getestet, jeweils mit einer pfsense als Zentrale / Netzknoten und UBNT Edgeroutern als VPN-Clients.


Zentrale hinter NAT mit dedizierter Hardware Firewall und Filiale auch hinter NAT-Router: funktioniert wie bei „Tunnelführung 2“, benötigt Portfreigabe auf den VPN-UDP-Port am Router und der Firewall.


Zentrale hinter NAT-Router und virtualisierter Firewall (VMWare in unserem Fall): Funktionier NICHT als Bridge, aber als TUN-Interface im Edgerouter mit PIN-NAT, und Clients, die dessen IP im LAN als Gateway benutzen; benötigt Portfreigabe auf den VPN-UDP-Port am Router und der Firewall.

Es scheint hier einen bug in der VMWare Netzvirtualisierung zu geben, so das die virtualisierte pFsense nicht alle Pakete switched. Alles was „aussen“ ist, wird ignoriert, da das ein Hardwareswitch ja schon ausserhalb der VMWare erledigt haben müsste. Bei PIN-NAT auf dem VPN haben die Paktete aus dem LAN hinter dem VPN-Client-Router jedoch andere Adressen und werden sauber übermittelt.


Das schlimmste: Portfreigaben können nicht eingerichtet werden. Hier bleibt nur eines: man muss woanders hin tunneln. Wir haben ein solches Szenario mit einigen ausgelagerten Servern, und haben zu diesem Zweck bei einem Provider einen „Root-Server“ gemietet, auf dem eine pFsense läuft. Dieser ist dann der zentrale Knoten für alle angeschlossenen Clints. Das diese untereinander kommunizieren können, ist in der pFsense nur ein Haken, der gesetzt wird.


CRNETSo, hoffentlich habe ich einige Denkanstöße in Richtung verschlüsselter Kommunikation geben können, oder zur Findung einer Lösung beigetragen. Weitere Hilfen biete ich auch als Dienstleistung an, kontaktieren Sie mich ruhig.