Wer für sein Unternehmen eine ausfallsichere Internetverbindung will, stößt schnell auf Starlink. Doch während der Empfang über die Satelliten meist reibungslos funktioniert, gibt es für geschäftliche Netzwerke ein großes Problem: Starlink verwendet Carrier-Grade NAT (CGNAT). Das bedeutet, Ihr Anschluss hat keine eigene, von außen erreichbare öffentliche IPv4-Adresse. Ihr Firmennetzwerk ist dadurch von außen unsichtbar und klassische VPN-Verbindungen ins Büro scheitern.
Das Problem verständlich erklärt
Stellen Sie sich vor, Ihr Firmennetzwerk ist ein Büro in einem riesigen Hochhaus, das aber keinen eigenen Briefkasten und kein Namensschild an der Tür hat. Sie können zwar problemlos Briefe nach draußen schicken (surfen im Netz), aber niemand von außen kann Ihnen direkt einen Brief zustellen oder an Ihrer Tür klopfen (VPN-Zugriff von unterwegs, Fernwartung oder Zugriff auf die lokale Warenwirtschaft).
Wenn Sie also von unterwegs auf Ihre Firmendaten zugreifen wollen, oder wenn Sie Ihre Standorte miteinander vernetzen möchten, blockiert Starlink diesen Weg standardmäßig. Viele IT-Dienstleister heben hier kapitulierend die Hände und verweisen auf teure Glasfaser-Standleitungen. Doch das ist nicht nötig.
Die Lösung für Geschäftsführer & Entscheider
Wir lösen dieses Problem durch ein sogenanntes „Relay-Verfahren“. Dabei mieten wir einen winzigen, sicheren virtuellen Server (VPS) in einem deutschen Rechenzentrum, der eine feste öffentliche IP-Adresse besitzt. Dieser Server dient als Ihr digitaler Briefkasten außerhalb des Hochhauses. Ihr Starlink-Anschluss baut nun automatisch eine dauerhafte, verschlüsselte Verbindung zu diesem Server auf. Wenn Sie oder Ihre Mitarbeiter sich von außen einwählen, kommunizieren Sie mit dem Relay-Server, der die Daten blitzschnell an Ihren Starlink-Anschluss weiterleitet. Sicher, stabil und absolut DSGVO-konform.
🛠️ Technische Facts für IT-Admins & Systemhäuser
Wenn Sie als Administrator Starlink in ein bestehendes B2B-Routing-Konzept integrieren müssen, stehen Ihnen drei primäre Wege zur Verfügung, um CGNAT zu umgehen und eingehenden Traffic zu ermöglichen:
Option A: WireGuard Tunnel über einen öffentlichen VPS (Empfohlen)
Da Starlink ausgehende Verbindungen erlaubt, initiieren wir den VPN-Tunnel von innen heraus (Site-to-Host) zu einem gemieteten VPS mit statischer IPv4.
[Interface] PrivateKey = [Local_LAN_Gateway_Private_Key] Address = 10.0.99.2/24 [Peer] PublicKey = [Public_VPS_Public_Key] Endpoint = [VPS_Public_IP]:51820 AllowedIPs = 10.0.99.1/32 PersistentKeepalive = 25
Durch das PersistentKeepalive = 25 wird der NAT-Table-Eintrag im Starlink-Router aktiv gehalten. Der VPS fungiert als Reverse Proxy. Eingehender Traffic auf Port 443 oder Port 1194 auf dem VPS wird über IPTables-Rules direkt durch den WireGuard-Tunnel in das LAN geleitet.
Option B: Umstieg auf IPv6
Starlink delegiert in vielen Tarifen ein dynamisches /56 oder /64 IPv6-Präfix. Wenn Ihre Firewall IPv6-Routing beherrscht und Ihre Clients IPv6-fähig sind, können Sie Geräte direkt über ihre globale IPv6-Adresse ansprechen. Achtung: Die Adressen sind dynamisch. Sie müssen ein DDNS-System implementieren, das mit IPv6-AAAA-Records umgehen kann, und Ihre Firewall-Regeln entsprechend restriktiv konfigurieren.
Option C: Business Tarif mit fester IP
Gegen Aufpreis bietet Starlink in den Business-Tarifen die Option auf eine „öffentliche IP“. Diese ist zwar meist DHCP-basiert, ändert sich im Praxisbetrieb aber selten. Dies eliminiert CGNAT direkt am WAN-Interface, treibt aber die monatlichen Betriebskosten nach oben.
Sie benötigen Unterstützung bei der Umsetzung? Ob WireGuard-Routing, DNAT-Konfiguration auf OPNsense/Sophos oder die Bereitstellung eines sicheren VPS-Relays: Wir übernehmen die komplette Einrichtung für Sie.
Haben Sie Fragen zu diesem Thema?
Wir unterstützen kleine und mittelständische Unternehmen bei der Absicherung, Cloud-Migration und gesamten IT-Betreuung.