NAT-T (Traversal) und Overload / PAT über Site-to-Site VPN möglich? (UDM Pro <-> UDM Pro)

Es gibt 2 Antworten in diesem Thema, welches 925 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Hallo zusammen,


    gibt es eine Möglichkeit, NAT-T und PAT auf einer UDM Pro (oder auf einem anderen Unifi Gateway) einzurichten ?


    Folgendes Beispiel:


    UDM Pro 2 (LAN: 3.2.1.0/24) <Manual IPSEC SIte to Site VPN > UDM Pro 1 (LAN: 1.2.3.0/24) 2. Router (nicht das Gateway): 1.2.3.10


    Ein Client aus dem Netz von UDM Pro 2 möchte in das Netz von UDM Pro 1 dank dem S2S VPN kein Problem da zwischen beiden Netzen gerouted wird.

    Wird der Client aber zwangsweise auf den 2. Router in Netz 1 verwiesen (static Route) lehnt dieser die IP Pakete ab da er das Netz nicht kennt.


    Sollte man das Routing des 2. Gerätes nicht anpassen können aus welchen Gründen auch immer hilft nur die Verwendung von PAT um die private IP des entsprechenden Clients in eine andere aus dem Netz der UDM Pro 1 "umzuwandeln"

    Zusätzlich muss aber NAT Traversal eingerichtet sein damit die Header der IPSEC Pakete nicht überschrieben werden.


    Ich hoffe das ist soweit nachvollziehbar..


    Meine Frage also: warum habe ich bisher bei keinem Unifi Gateway die Möglichkeit gesehen eines dieser tollen Netzwerktechnologien zu verwenden? Ist dies evtl. nur über die Shell einzurichten?


    Gibt es vielleicht sogar User im Forum die so etwas ähnliches umgesetzt haben?

    Ich verstehe noch nicht mal was der 2. Router tut und wieso ein Client vom UDM 2 Netz an den 2. Router "verwiesen" wird ?!?


    Von den aktuellen Geräten ist mir keins bekannt, bei dem Du sowas konfigurieren kannst. Auf Shell vielleicht ... aber da ist die Frage wie Du das persistent hinbekommen willst. Man kann ja bei der UDM nicht mal das NAT ausschalten.


    Die Edge Router haben da deutlich mehr drauf. Demnach sollten die alten USGs da auch einiges mehr bieten. Per Shell also persistent nur mittels JSON Conf.

    Zitat von LD Tech-Solutions

    Ich hoffe das ist soweit nachvollziehbar.

    nicht ganz 100% aber so grob.


    Unifi is SOHO mit Focus auf SMALL / einfach / Simple. Keine Change da was über den Offiziellen Weg

    einzurichten. Das ding mach PNAT zum WAN Interface fest und fertig. Andere Interface sind da nicht zu

    überreden.


    Aber mit den den Üblichen iptables / NAT / Routing Ddnge kann man schön vorbei am Unifi System.

    Strongswan kommt wenn ich mich tausche auf dein UniFiOs Routern zum Einsatz für die ganzen

    laut https://docs.strongswan.org/do…eatures/natTraversal.html

    is NAT-T mit dabei und eh AN (kann ich nicht testen)...