Moin,
ich habe einen Windows Server laufen und nutze bisher SSTP-VPN, möchte aber auf ein Always-on-VPN im Maschinen- statt Userkontext pre-logon für einige mobile Clients umstellen. Dies ist mit SSTP nicht möglich, daher wollte ich auf IKEv2/Ipsec mit Zertifikatbasierter Authentifizierung umstellen. Dies scheitert aber; die Pakete kommen nicht von extern am Server an. Ein IPSec-Profil auf der FB habe ich nicht eingerichtet, ich habe Port 500/4500 UDP und ESP an den Server weitergeleitet.
Jetzt habe ich irgendwo die Info überflogen, dass dies mit der FB (hier: 6591, Gerät aus dem handel, nicht vom provider) nicht möglich ist, da es Probleme mit der Weiterleitung und Nat-Traversal gäbe. So richtig dokumentiert - und vor allem, ob es doch irgendwie geht - habe ich es nicht gefunden.
kann mir das jemand bestätigen? Was wäre, wenn ich die FB nur noch als Modem nutze und Routing von einer daran angeschlossenen firewall mit opnsense erledigen lasse?
ich habe einen Windows Server laufen und nutze bisher SSTP-VPN, möchte aber auf ein Always-on-VPN im Maschinen- statt Userkontext pre-logon für einige mobile Clients umstellen. Dies ist mit SSTP nicht möglich, daher wollte ich auf IKEv2/Ipsec mit Zertifikatbasierter Authentifizierung umstellen. Dies scheitert aber; die Pakete kommen nicht von extern am Server an. Ein IPSec-Profil auf der FB habe ich nicht eingerichtet, ich habe Port 500/4500 UDP und ESP an den Server weitergeleitet.
Jetzt habe ich irgendwo die Info überflogen, dass dies mit der FB (hier: 6591, Gerät aus dem handel, nicht vom provider) nicht möglich ist, da es Probleme mit der Weiterleitung und Nat-Traversal gäbe. So richtig dokumentiert - und vor allem, ob es doch irgendwie geht - habe ich es nicht gefunden.
kann mir das jemand bestätigen? Was wäre, wenn ich die FB nur noch als Modem nutze und Routing von einer daran angeschlossenen firewall mit opnsense erledigen lasse?
