Ja das ist korrekt… wobei du vermutlich schon Antispam Lösungen, Virenschutz etc. im Einsatz hast… da stellt sich bei mir immer wieder die Frage… muss das auf der FW auch noch sein?
Ich arbeite bei meinen Kunden seit Jahren mit USG UTM Geräten ohne die UTM Funktionen… bis jetzt war noch NIE ein Kunde von Viren befallen oder hat mit SPAM zu kämfen…
Aber das muss jeder für sich entscheiden ob Ihm diese Funktionen das Geld Wert ist.
Hallo
Ich möchte gerne nochmals auf die ursprünglicher Frage “Ist es möglich zwei Internet-Boxen (1x Haus A, 1x Haus B) direkt via VPN zu verbinden?” zurückkommen.
Ich habe zur Zeit auch eine VPN-Verbindung zwischen zwei Standorten mit Zyxel USG50 und USG20 geschaltet. Das läuft wunderbar, allerdings habe ich keine InternetBoxen als VDSL-Terminierung sondern die “alten” VDSL-Router bzw. Centro Piccolo.
Soweit mir bekannt ist, braucht man für das VPN aber die Funktioen der IP-Weiterleitung (IP-Forward). Mit dieser Funktion wird die externe, öffentlich IP-Adresse vom Modem an das Zyxel USG weitergereicht. Diese Funktion gibt es aber, soweit mir bekannt ist, auf der neuen InternetBox nicht, daher frage ich mich wie Ihr das zum Laufen gebracht habt ohne diese Funktion?
NB: Auch ich habe keine Lizenzen für die UTM-Funktionen, AV läuft eh auf allen Clients, im privaten Umfeld ist der AntiSpam und Contentfilter eher nicht notwendg, wenn dann höchstens IDP.
Grüsse
Servus
Das ist so nicht ganz korrekt… früher war das so, dass man ZWINGEND die öffentliche IP Adresse auf der USG haben musste.
Seite der Firmware Version 3.x ist das nicht mehr so, da braucht es auch keine Policy Routes mehr…
OK, wenn Du unbedingt willst, kann man auf der IB die USG als DMZ Host definieren.. aber das ist nicht zwingend notwendig.
Bei mir funktioniert diese Konstellation seit über 8 Monaten ohne Probleme…
Hallo Gianni
Danke für die rasche Antwort. Ich habe natürlich die aktuelle FW 3.30 (7) drauf. Da wird beim WAN-Interface die externe IP angezeigt (logsich, weil ich sie ja weiterleite). Du bist ganz sicher, dass das nicht mehr notwendig ist? Hatte früher schon mit einem CentroGrande, welche diese Funktion auch nicht konnte, Probleme. Daher möcht ich sicher sein, bevor ich was neues bestelle.
Das mit der DMZ wird kaum helfen, da hier, soweit mir bekannt ist, ja nur Ports (nicht mal alle) an eine bestimmte intere IP-Adresse weitergeleitet werden können, jedoch nicht die exteren IP-Adresse.
Grüsse
Neandertaler
Willst Du den auf beiden Seiten die IB einsetzen? Oder nur auf einer? Wie ist das geplante Ziel Design?
Ich habe noch eine Frage:
Welchen Datendurchsatz braucht man für normale Anwendungen via VPN? Bzw. welchen sollte man mindestens nehmen?
Was sind normale Anwendungen?
Als Beispiel:
Für ein VoIP-Gespräch brauchst Du 100 kbps, für ein HD-TV-Stream 10 Mbps.
Und bei einem Download/Upload eines Files kommt es darauf an, wie lange Du warten willst.
Ok. Danke für die schnelle Antwort.
Ich überlege mir nur gerade, ob ein Zyxel USG20 (http://www.zyxel.ch/de/products/zyxel-zywall-usg-20/)) für VPN-Privatanwendungen im Moment noch Zeitgerecht ist, oder ob dieser schon ziemlich bald veraltet ist? Internetleitungen werden immer schneller und ich möchte nicht, dass der USG20 schon bald das Nadelöhr ist.
Ich benötige ihn für Datensicherungen von grösseren Dateien. Bsp. NAS zu NAS.
@GianniBern schrieb:
Willst Du den auf beiden Seiten die IB einsetzen? Oder nur auf einer? Wie ist das geplante Ziel Design?
Hallo GianniBern
Danke für Deine Antwort.
Ziel Design:
Ablösung von ISDN-Telefonie (Zuhause) bzw. AnalogTelefonie (Ferienwohnung) durch VoIP mit Swiscom InternetBoxen an beiden Standorten, da ich gerne die Funktioen von HD-Telefone wie zb. Typ “Arosa” hätte. Das benötigt, so wie ich verstenden habe, die InternetBox als DECT Basistatioen.
Am Standort “Ferienwohnung” sollte auch Swisscom TV weiterhin funktionieren.
Die bestehende Site-to-Site VPN (IPsec) über Zyxel USG-50 bzw. USG-20 sollte aber weiterhin möglich sein. Auch temporöre VPN mit L2TP oder SSL welche auf den Zyxel USG terminieren,sollten funktioneren.
ZurZeit läuft das problemlos über Swisscom ISDN VDSL-Router (Motorola7347-84) und CentroPiccolo(Motorola 7640-47) mit jeweils miteingeschalteter IP-Weiterleitung (IP Passthroug / 1:1 NAT). Meine Sorge bzw. Frage ist nun ob ich das auch mit den InternetBoxen wieder zum Laufen bringen kann, oder och ich bei den “alten” Swisscom “Modems” bleiben muss?
Grüsse
Neandertaler
Die Internet-Box hat kein Bridge-/IP passtrough Modus. Somit wird Deine Schaltung nicht funktionieren.
So oder so könnte die Sache in einem Punkt heikel werden: Wenn Diu über diese Verbindung gleichzeitig zu den grossen Filetransfers auch noch TV-schauen und Telefonieren möchtest könnte es da wegen fehlendem QoS zu Qualitätseinbussen kommen.
Danke,
Ich will nicht über die VPN Verbindung telefonieren, somit dürfte die Performance und QoS kein Thema sein.
Ich möchte nur wissen ob der VPN-Tunnel aufgebaut und gehalten werden kann, oder nicht. Bis jetzt habe ich dazu unterschiedliche Antworten erhalten. Die einen schreiben, dass es bei ihnen läuft und andere (wie du) sagen nun, dass es eben nicht läuft. Was soll ich nun glauben? Es muss doch eine eindeutige Antwort geben.
Ich habe nur gesagt, dass die Internet-Box kein Bridge-/IP-Passtrough Modus hat und den verwendest Du anscheinend ja jetzt mit dem alten Router.
Ob es noch eine andere Möglichkeit gibt weiss ich nicht. Ev. kann aber ein anderer User das detailliert beantworten, der eine solche Lösung ohne Bridge-/IP-Passtrough realisiert hat.
Danke, ich glaube wir sind uns nun Einig, die Internet-Box bietet nach wie vor keinen Bridge-/IP-Passtrough /1:1 NAT Modus an.
Nun stellt sich also die Frage, gibt es User bei denen trotzdem IPsec und/oder LT2P und/oder SSL -VPN Verbindungen mit Zyxel USG’s stabil über Tage und Wochen laufen ohne dass der USG auf dem WAN-Port die öffentliche IP-Adresse bekannt ist. Und wenn ja, wie diese User das konfiguriert haben. Ich bin froh um eure Hinweise dazu -merci!
