Double NAT (Wind, Vodafone, Cosmote) VPN

[romankonis]

Καλησπέρα, μήπως ξέρει κάποιος τον τρόπο να δουλεύει VPN (ανεξάρτητα από τον τύπο) όταν ο ISP έχει ενεργό Double NAT στη γραμμή;

[RpMz]

Στο router του ISP, βάζεις σε DMZ την IP του MikroTik.

[romankonis]

Στο router του ISP, βάζεις σε DMZ την IP του MikroTik.

Δεν ισχύει αυτό. Σε όλους το κάνω + port forward. Όσοι πελάτες μου έχουν Double NAT, δεν έχω πρόσβαση με VPN. Χωρίς double nat όλα good: Wireguard Client -> Site & Site <-> Site.

[fadasma]

Δεν ισχύει αυτό. Σε όλους το κάνω + port forward. Όσοι πελάτες μου έχουν Double NAT, δεν έχω πρόσβαση με VPN. Χωρίς double nat όλα good: Wireguard Client -> Site & Site <-> Site.

Το wireguard χρειάζεται ο ένας από τους δυο να έχει port forwarding και single nat. Δηλ αρκεί να έχεις εσύ, ο άλλος ας είναι και πίσω από double nat.

[romankonis]

Το wireguard χρειάζεται ο ένας από τους δυο να έχει port forwarding και single nat. Δηλ αρκεί να έχεις εσύ, ο άλλος ας είναι και πίσω από double nat.

Επαναλαμβάνω, όσοι έχουν Double NAT (Clients) π.χ Wind - Δεν λειτουργεί VPN. 1ος τρόπος - Ζητάς τούς τεχνικούς disable double nat (8/10 δεν ξέρουν να το κάνουν) για να έχει client μια public IP. Τότε λειτουργεί κανονικά VPN. Διαφορετικά - Όχι. Διάβαζα πολλά άρθρα, και δεν βγάζω νόημα......Στο mikrotik βλέπω μια IP, στο WAN interface του modem, διαφορετική IP. Double NAT. Σκέφτομαι να στήσω VPS Linux και σε αυτό Wireguard Server και να κάνω Routing. Hardcore...αλλά ειναι αναγκαίο, διαφορετικά αν γνωρίζει κάποιος κανόνες για NAT στο mikrotik θα χαρώ)))

[sxbcl]

Επαναλαμβάνω, όσοι έχουν Double NAT (Clients) π.χ Wind - Δεν λειτουργεί VPN. 1ος τρόπος - Ζητάς τούς τεχνικούς disable double nat (8/10 δεν ξέρουν να το κάνουν) για να έχει client μια public IP. Τότε λειτουργεί κανονικά VPN. Διαφορετικά - Όχι. Διάβαζα πολλά άρθρα, και δεν βγάζω νόημα......Στο mikrotik βλέπω μια IP, στο WAN interface του modem, διαφορετική IP. Double NAT. Σκέφτομαι να στήσω VPS Linux και σε αυτό Wireguard Server και να κάνω Routing. Hardcore...αλλά ειναι αναγκαίο, διαφορετικά αν γνωρίζει κάποιος κανόνες για NAT στο mikrotik θα χαρώ)))

Δε γνωρίζω αν είναι διαφορετικό με το wireguard, αλλά στο OpenVPN αρκεί το σημείο που θα είναι το Mikrotik ως OVPN server να μην είναι σε CGNAT. Οι clients που κάνουν την "κλήση" προς τον OVPN server, δε μας ενδιαφέρει είτε είναι είτε όχι πίσω από CGNAT.
Επίσης, σε ό,τι αφορά την Cosmote τουλάχιστον, όσες φορές τους πήρα τηλέφωνο και ζήτησα την τάδε σύνδεση να τη βγάλουν από CGNAT, έγινε πάρα πολύ γρήγορα και δεν είχα πρόβλημα συνεννόησης.

[romankonis]

Δε γνωρίζω αν είναι διαφορετικό με το wireguard, αλλά στο OpenVPN αρκεί το σημείο που θα είναι το Mikrotik ως OVPN server να μην είναι σε CGNAT. Οι clients που κάνουν την "κλήση" προς τον OVPN server, δε μας ενδιαφέρει είτε είναι είτε όχι πίσω από CGNAT.
Επίσης, σε ό,τι αφορά την Cosmote τουλάχιστον, όσες φορές τους πήρα τηλέφωνο και ζήτησα την τάδε σύνδεση να τη βγάλουν από CGNAT, έγινε πάρα πολύ γρήγορα και δεν είχα πρόβλημα συνεννόησης.

Με την Cosmote σπάνια τυχαίνει αυτό, by default μια public IP. Η Wind το παίζει....+ Αντί για VPS Linux Wireguard Server -> VPS Mikrotik OS και σε αυτό να κάνω routing.

[sdikr]

Πως θα παίξει αφού ο Isp δεν θα σου κάνει nat προς την CGNAT ip Που σου δίνει για να δεχτείς εισερχόμενες;
Πληροφοριακά Ipsec παίζει όταν υπάρχει dual nat έχεις δηλαδή 2 router με πρόσβαση και στα 2 ώστε να κάνεις τα απαραίτητα port forward

[fadasma]

Πως θα παίξει αφού ο Isp δεν θα σου κάνει nat προς την CGNAT ip Που σου δίνει για να δεχτείς εισερχόμενες;
Πληροφοριακά Ipsec παίζει όταν υπάρχει dual nat έχεις δηλαδή 2 router με πρόσβαση και στα 2 ώστε να κάνεις τα απαραίτητα port forward

Το WireGuard βγαίνει από το CGNAT και συνδέεται στο άλλο άκρο που πρέπει να έχει port forward και public ip. Βάζουμε και ένα keep alive στα 25 seconds για να μη μας κλείσει το connection αν είναι αυστηρό το firewall.
Το χρησιμοποιώ καθημερινά στο κινητό μου που είναι πίσω από CGNAT και συνδέομαι στο σπίτι που έχει public ip.

[sdikr]

Το WireGuard βγαίνει από το CGNAT και συνδέεται στο άλλο άκρο που πρέπει να έχει port forward και public ip. Βάζουμε και ένα keep alive στα 25 seconds για να μη μας κλείσει το connection αν είναι αυστηρό το firewall.
Το χρησιμοποιώ καθημερινά στο κινητό μου που είναι πίσω από CGNAT και συνδέομαι στο σπίτι που έχει public ip.

Θα έλεγα να ξαναδιαβάσεις το μήνυμα μου, δεν αναφέρομαι σε εξερχόμενη (dial out)

[romankonis]

Πως θα παίξει αφού ο Isp δεν θα σου κάνει nat προς την CGNAT ip Που σου δίνει για να δεχτείς εισερχόμενες;
Πληροφοριακά Ipsec παίζει όταν υπάρχει dual nat έχεις δηλαδή 2 router με πρόσβαση και στα 2 ώστε να κάνεις τα απαραίτητα port forward

Δοκίμασα όλα PPP Types, δεν γίνεται να έχεις VPN με CGNAT

[sdikr]

Δοκίμασα όλα PPP Types, δεν γίνεται να έχεις VPN με CGNAT

Γράφω dual nat και γράφω όταν έχεις πρόσβαση και στα 2 router

[romankonis]

Γράφω dual nat και γράφω όταν έχεις πρόσβαση και στα 2 router

Δε σε πιάνω)) Ζήτησα απο την Wind disable CGNAT και ετσι λύθηκε.

[sxbcl]

Μάλλον έχουμε χαθεί στο αν μιλάμε για CGNAT(πάροχος) και double NAT(δύο routers στο χώρο της εγκατάστασης)
Η προσωπική μου εμπειρία είναι:
- Αν έχουμε ενεργό CGNAT στη μεριά του VPN που δέχεται την "κλήση" VPN, τότε δε λειτουργεί και πρέπει να βγει. Αν έχουμε στην πλευρά του client, δηλαδή αυτού που κάνει την "κλήση", δε μας πειράζει
- Double NAT. Εδώ, αν δεν κάνω λάθος, ισχύει το ίδιο με παραπάνω, αλλά σε κάθε περίπτωση εδώ μπορείς να κάνεις port forward και στα δύο routers κάθε σημείου.

[BillyVan]

Δεν εχω κανει πολλες δοκιμες αλλα και με το Zerotier παιζει αν εισαι ο σερβερ και εισαι πισω απο CGNAT.