+49 7304 958 91 40 support@consoro.eu
SOS Notfall
Zertifizierte IT-Betreuung

Starlink VPN & Feste IP trotz CGNAT: Die IT-Lösung für
Firmen.|

Starlink als Backup-Leitung mit VPN nutzen? ➔ So richten Sie feste IPs und VPNs trotz Carrier-Grade NAT (CGNAT) sicher ein. Für Entscheider & IT-Admins.

"Wir wachsen nicht durch den Kunden, sondern mit dem Kunden. Wir verkaufen Ihnen nur das, was Sie wirklich brauchen."
Unsere Tarife 🚨 SOS Hilfe
Starlink VPN & Feste IP trotz CGNAT: Die IT-Lösung für Firmen
🤝
Fokus auf Kundenerfolg
IT-Support ohne Verkaufsdruck
🛡️ Sichern Sie Ihr Unternehmen ab

Wer für sein Unternehmen eine ausfallsichere Internetverbindung will, stößt schnell auf Starlink. Doch während der Empfang über die Satelliten meist reibungslos funktioniert, gibt es für geschäftliche Netzwerke ein großes Problem: Starlink verwendet Carrier-Grade NAT (CGNAT). Das bedeutet, Ihr Anschluss hat keine eigene, von außen erreichbare öffentliche IPv4-Adresse. Ihr Firmennetzwerk ist dadurch von außen unsichtbar und klassische VPN-Verbindungen ins Büro scheitern.

💡 Leser-Info: Dieser Beitrag richtet sich sowohl an Geschäftsführer (Verständlicher Teil) als auch an IT-Administratoren. Direkt zur technischen Anleitung springen ➔

Das Problem verständlich erklärt

Stellen Sie sich vor, Ihr Firmennetzwerk ist ein Büro in einem riesigen Hochhaus, das aber keinen eigenen Briefkasten und kein Namensschild an der Tür hat. Sie können zwar problemlos Briefe nach draußen schicken (surfen im Netz), aber niemand von außen kann Ihnen direkt einen Brief zustellen oder an Ihrer Tür klopfen (VPN-Zugriff von unterwegs, Fernwartung oder Zugriff auf die lokale Warenwirtschaft).

Wenn Sie also von unterwegs auf Ihre Firmendaten zugreifen wollen, oder wenn Sie Ihre Standorte miteinander vernetzen möchten, blockiert Starlink diesen Weg standardmäßig. Viele IT-Dienstleister heben hier kapitulierend die Hände und verweisen auf teure Glasfaser-Standleitungen. Doch das ist nicht nötig.

Die Lösung für Geschäftsführer & Entscheider

Wir lösen dieses Problem durch ein sogenanntes „Relay-Verfahren“. Dabei mieten wir einen winzigen, sicheren virtuellen Server (VPS) in einem deutschen Rechenzentrum, der eine feste öffentliche IP-Adresse besitzt. Dieser Server dient als Ihr digitaler Briefkasten außerhalb des Hochhauses. Ihr Starlink-Anschluss baut nun automatisch eine dauerhafte, verschlüsselte Verbindung zu diesem Server auf. Wenn Sie oder Ihre Mitarbeiter sich von außen einwählen, kommunizieren Sie mit dem Relay-Server, der die Daten blitzschnell an Ihren Starlink-Anschluss weiterleitet. Sicher, stabil und absolut DSGVO-konform.

🛠️ Technische Facts für IT-Admins & Systemhäuser

Wenn Sie als Administrator Starlink in ein bestehendes B2B-Routing-Konzept integrieren müssen, stehen Ihnen drei primäre Wege zur Verfügung, um CGNAT zu umgehen und eingehenden Traffic zu ermöglichen:

Option A: WireGuard Tunnel über einen öffentlichen VPS (Empfohlen)

Da Starlink ausgehende Verbindungen erlaubt, initiieren wir den VPN-Tunnel von innen heraus (Site-to-Host) zu einem gemieteten VPS mit statischer IPv4.

[Interface]
PrivateKey = [Local_LAN_Gateway_Private_Key]
Address = 10.0.99.2/24

[Peer]
PublicKey = [Public_VPS_Public_Key]
Endpoint = [VPS_Public_IP]:51820
AllowedIPs = 10.0.99.1/32
PersistentKeepalive = 25
  

Durch das PersistentKeepalive = 25 wird der NAT-Table-Eintrag im Starlink-Router aktiv gehalten. Der VPS fungiert als Reverse Proxy. Eingehender Traffic auf Port 443 oder Port 1194 auf dem VPS wird über IPTables-Rules direkt durch den WireGuard-Tunnel in das LAN geleitet.

Option B: Umstieg auf IPv6

Starlink delegiert in vielen Tarifen ein dynamisches /56 oder /64 IPv6-Präfix. Wenn Ihre Firewall IPv6-Routing beherrscht und Ihre Clients IPv6-fähig sind, können Sie Geräte direkt über ihre globale IPv6-Adresse ansprechen. Achtung: Die Adressen sind dynamisch. Sie müssen ein DDNS-System implementieren, das mit IPv6-AAAA-Records umgehen kann, und Ihre Firewall-Regeln entsprechend restriktiv konfigurieren.

Option C: Business Tarif mit fester IP

Gegen Aufpreis bietet Starlink in den Business-Tarifen die Option auf eine „öffentliche IP“. Diese ist zwar meist DHCP-basiert, ändert sich im Praxisbetrieb aber selten. Dies eliminiert CGNAT direkt am WAN-Interface, treibt aber die monatlichen Betriebskosten nach oben.

Sie benötigen Unterstützung bei der Umsetzung? Ob WireGuard-Routing, DNAT-Konfiguration auf OPNsense/Sophos oder die Bereitstellung eines sicheren VPS-Relays: Wir übernehmen die komplette Einrichtung für Sie.

Haben Sie Fragen zu diesem Thema?

Wir unterstützen kleine und mittelständische Unternehmen bei der Absicherung, Cloud-Migration und gesamten IT-Betreuung.

📞 07304 958 91 40