So danke für eure guten Tipps. Ich werde nun nichts mehr weiter hier schreiben, denn es hat nichts mehr mit dem Problem zu tun.
Die Lösung des Problemes ist ein Centro Grande zu benutzen und keine Internet-Box. Dabei muss man abwägen welche Leistungen einem lieb ist. Will man die offizielle IP an der Firewall braucht man einen Centro Grande. Will man alle anderen Goodies (Zeitsteuerung für WLAN, Gast WLAN, usw.) benötigt man eine Internet-Box. TV 2.0 funktioniert auf beiden Routern.
Hallo
Frage; Gibt es etwas Neues zu dieser Fragestellung? Ich warte auch auf die Funktion der IP-Weiterleitung bei der InternetBox. Ich benötige dies für die P-P VPN welche auf Firewalls terminieren.
Hintergrund: Zur Zeit P-P VPN mit Zyxel USG, VDSL-Router und Centro Pccolo sowie ISDN. Wenn es kein ISDN mehr gibt muss ich wohl auf VoIP umstellen, dann brauche ich die InternetBox wenn ich alle Funktionen der IP-Telefonie nutzen möchte, aber wie mache ich dann P-P VPN um meine beiden Standorte permanent zu verbinden?
Bin gespannt auf die Lösung.
Grüsse
Neandertaler
Hallo Neandertaler
Es gibt auf der Internetbox keine Lösung. Eigentlich müssten wir mit dieser Anforderung Business Kunde sein.
Ich benutze auch IP Telefonie und setze einen Centro Grande ein. Da kann ich meines Wissens auch alles damit machen. Den Grande gibts auch als Glas Variante.
Beate Grüsse
AJ
PS: ich mache auch ein VPN zu zwei Lokationen mit USG von ZyXel.
Für eine VPN Verbindung brauchst du keine IP Weiterleitung.
Es hört sich aber nach einem Geschäft an, da würde ich dir dringend raten ein SME Abo zu lösen.
Hallo
vielen dank für eure Antworten.
Ich möchte die DECT Funktion DECT-Basisstation der InternetBox nutzen, zb für die Verwendung der aktuellen HD-IP-Telefone z.b. der Typ Arosa, welcher nur zusammen mit der InternetBox funktioniert. Jedenfalls schreibt Swisscom dazu: “Das HD-Phone Arosa funktioniert ausschliesslich an einem Festnetzanschluss (IP) mit der Swisscom Internet-Box.”
Als Business Kunde bekomme ich aber auch keine InternetBox, abgesehen davon bin ich ein Privat Kunde. Bei meinem Site-to-Site VPN (IPsec) geht es um die Verbindung zwischen Haus und Ferienwohnung.
@VTX
Bist du da ganz sicher, dass es für eine permanente Site-to-Site VPN auf IPsec-Basis mit Zyxel USG 20 und 50 keine IP-Weiterleitung (1:1 NAT) mehr braucht? Dann müsste es mit der InternetBox ja klappen, oder?
Grüsse
Neandertaler
Weshalb 2 Threads zum gleichen Thema? –> Antworten siehe auch hier:
https://community.swisscom.ch/scs/board/message?board.id=internet_de&message.id=39210#M39210
Weil es beide Threads dazu schon gab… aber unterschiedliche Antworten darin waren und sind. Noch immer ist mir nicht klar ob es nun gehen wird oder nicht….
Ja die verschiedenen Antworten sind nicht so klar.
Nur soviel: Die Internet-Box hat kein Bridge-/IP-Passtrough Modus und den verwendest Du anscheinend ja jetzt mit dem alten Router.
Ob es noch eine andere Möglichkeit gibt weiss ich nicht. Ev. kann aber ein anderer User das detailliert beantworten, der eine solche Lösung ohne Bridge-/IP-Passtrough realisiert hat. Gemäss @XT sollte es ja möglich sein.
Hallo
Also damit ein IPSec VPN auf einer ZyWall gemacht werden kann, brauche ich die öffentliche IP auf dem WAN Port der ZyWall. Sprich das Internetbox oder eben der Centro Grande muss in den Bright Modus gestellt werden. Nur so funktioniert das IPSec VPN.
Ob man anders auch noch ein VPN aufbauen kann oder nicht, weiss ich nicht. Ich muss dies Anwenden damit ich ein VPN zu einer anderen ZyWall machen kann.
Der 3rd Level Support der Swisscom hat mir ebenfalls mitgeteilt, dass es keinen Bright Mode für die Internetbox geben wird. Auch ein Vorstoss beim der Gruppe die sich um die Internetbox kümmert, hatte kein Gehöhr für dieses Anliegen.
Nun zur Telefonie und da kenne ich mich nun wirklich nicht so gut aus. Ich betreibe an meinem Centro Grande diverse Telefone. Sind alle von der Marke Gigaset z.B. C780, C430 (IP Tel) und noch das 920.
Bin gerade auf diesen Thema gestossen.
Funktioniert diese Lösung mit dem Centro Grande immernoch? Oder gibt es mitlerweile bessere Lösungen?
Mir wurde (leider) von der Support Hotline versichert das all meine Ansprüche mit DMZ gelöst seien…
Was nun leider nicht der Fall ist… Die Firewall braucht die öffentliche IP.
Ich möchte jedoch auch Swisscom TV und das Telefon nutzen…
Die Funktionen wie WLAN und anderes brauche ich nicht von der Swisscom IB das mache ich alles mit meiner eigenen Hardware.
Gruss
Dominic
@Dodooo Sorry, habe deine Frage erst jetzt gesehen, kann dir aber versichern P2P-VPN (IPsec) läuft immer noch problemlos und stabil über die alten Centro Grande.
Nur leider rückt der Zeitpunkt immer näher wo ich aufgrund der ISDN-Abkündigung nun dann doch auf Internet-Box umsteigen muss. Dazu habe ich nun zwei Fragen:
1. Gibt es News zum Zeitpunkt und den Funktioen der neuen Internet-Box plus? Speziell natürlich Funktioen wie P2P VPN oder IP-forwarding?
2. Brauchbare Lösungsansätze für Internet-Box und P2P VPN mit z.B Zyxel USG? oder Erfahrung ob sowas nun z.B. mit der DMZ-Funktion funktioniert?
Bin Dankbar für eure Hilfe.
Grüsse
Neandertaler
@Neandertaler schrieb:
1. Gibt es News zum Zeitpunkt und den Funktioen der neuen Internet-Box plus? Speziell natürlich Funktioen wie P2P VPN oder IP-forwarding?-…
Die Internetbox Plus gibt es seit Mai nicht mehr. Afaik noch jetzt im November wird die Nachfolger IB2 released
Afaik wird bis auf weiteres kein IP-Forwarding angeboten…
….keep on rockin' 🤘🏼🤘🏼🤘🏼
Ich möcht euch nicht vorenthalten wie es mit der VPN Lösungen bei mir nun steht, nachdem beide Standorte mit der neuen Internetbox2 ausgerüstet sind.
Site to Site VPN mit IPsec (Zyxel USG 20 und USG 50)
Läuft stabil mit der bisherigen Konfiguration!
Client to Site VPN mit L2TP over IPsec (Zyxel USG 20 / 50)
Läuft nicht! Ich vermute ein NAT Traversal Problem.
Mit den alten Centro-Routern hat das mit der IP-Weiterleitung Funktion probelmlos funktioniert. An der Konfig der USG und der Clients habe ich (bisher) nichts verändert. Hat jemand eine Idee wie man das wieder zum laufen bekommt?
Zur Information nochmals. Die Zyxel USG stehen hinter der Internetbox2. Auf der Internetbox2 habe ich mit sogen. DMZ-Funktion alle Ports auf die USG (welche auch eine fixe IP-Adresse von der Interntbox bekommt) geleitet. Swisscom TV und Gäste WLAN werden direkt an bzw. von der Internetbox abgegriffen. Hinter der Zyxel USG ist das private (geschützte) LAN und eine DMZ. Die VPN sollen alle im privaten LAN hinter der USG Terminieren. Die IP-Addressen sind natürlich unterschiedlich, die Internetbox auf dem 192.168.1.1 und hinter der USG sind 10.0.0.1- 10.0.50.1 bzw. 10.2.0.1 - 10.2.50.1 Netze.
Die öffentliche IP wird per Dyndns ab der USG publiziert. Die IPv6-Firewall ist auf der Internetbox vorsorglich abgeschaltet. CGNAT ist von Swisscom nicht eingeschaltet, habe somit eine normale IPv4-Adresse. Die von der Internetbox2 zur Verfügung gestellte VPN Funktion nützt mir nichts, da diese dann vor meinem privaten Netz terminiert und ich somit nicht auf die Applikatioen, Drives, NAS,… komme die sich im Privaten LAN befinden.
Wäre froh um Hilfe bei L2TP-Thema. @Anonym
Grüsse
Neandertaler
L2TP mit USG40
Ich habe eine ähnliche Konstellation, allerdings eine CentroBusiness2. Vielleicht helfen folgende Informationen:
alte Konfiguration:
Standort A: upc Modem/Bridgemode - Zyxel USG40, Telefon ISDN
Standort B: upc Modem/Bridgemode - Zyxel USG40, Telefon analog
neue Konfiguration:
Standort A: upc Modem/Bridgemode - Zyxel USG40, Telefon ISDN
Standort B: Glasfaser Vivo M (Internet und Telefon) - CentroBusiness2 - Zyxel USG40
Der CentroBusiness2 wurde wie folgt eingestellt:
IP Passthrough Local Security Gateway
http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_IP_Passthrough-de.pdf
dyndns ein
USG40 Firewall:
- wan1 mit Port 1 des CentroBusiness2 verbunden
- wan1
ip address 172.31.255.6
subnet mask 255.255.255.252
gateway 172.31.255.5
- DDNS aus
(USG40 erhält die öffentliche IP nicht mehr wie vorher bei upc,
dies übernimmt nun die CB2)
VPN site to site
- Konfiguration wie bei upc belassen, funktioniert
L2TP
- funktioniert nicht mehr da die CB2 die öffentliche IP nicht mehr erhält wie vorher mit dem upc Modem
- Telefonat mit Studerus Support, empfehlen folgende Einstellung:
https://studerus.ch/de/support/knowledgebase/detail/115090
- funktioniert bei mir nicht, nach zig Test geht schliesslich folgendes:
1. Address Object CentroBusiness2_IP anlegen mit öffentlicher IP
2. in VPN Connection: local-policy ändern von wan1 zu CentroBusiness2_IP
Das wars, L2TP geht wieder!
Nun hätte ich drei Fragen:
1.
Es ist unschön, dass in VPN Connection keine dyndns Adresse (z.B. xyhome.dyndns.org) eingetragen werden kann, sondern nur eine IP Adresse. Wenn nach einem Stromausfall/Neustart die CB2 von Swisscom eine neue öffentliche IP erhält, stimmt das Address object CentroBusiness2_IP nicht mehr, und der Zugang von aussen via L2TP wäre nicht mehr möglich. Gibt es hier allenfalls eine Lösung mit der dyndns Adresse?
2.
Wie lange dauert es bis die CB2 eine neue öffentliche Adresse an dyndns mitteilt? Bei meinen Tests hat die CB2 eine funktionierende Verbindung zu dyndns angezeigt, die neue Adresse aber nicht kommuniziert. Da ich für das weitere setup nicht warten wollte, habe ich bei dyn.org direkt die neue IP eingetragen. Bei der USG40 kann der DDNS Status abgefragt werden, diese Möglichkeit fehlt der CB2.
3.
Du schreibts: Die öffentliche IP wird per Dyndns ab der USG publiziert. Leitet die Internetbox2 mit aktivierter DMZ an die USG weiter? Wenn das so wäre könnte die IB2 mehr als die CB2…
@Neandertaler schrieb:
Ich möcht euch nicht vorenthalten wie es mit der VPN Lösungen bei mir nun steht, nachdem beide Standorte mit der neuen Internetbox2 ausgerüstet sind.
Site to Site VPN mit IPsec (Zyxel USG 20 und USG 50)
Läuft stabil mit der bisherigen Konfiguration!
Client to Site VPN mit L2TP over IPsec (Zyxel USG 20 / 50)
Läuft nicht! Ich vermute ein NAT Traversal Problem.
Mit den alten Centro-Routern hat das mit der IP-Weiterleitung Funktion probelmlos funktioniert. An der Konfig der USG und der Clients habe ich (bisher) nichts verändert. Hat jemand eine Idee wie man das wieder zum laufen bekommt?
Zur Information nochmals. Die Zyxel USG stehen hinter der Internetbox2. Auf der Internetbox2 habe ich mit sogen. DMZ-Funktion alle Ports auf die USG (welche auch eine fixe IP-Adresse von der Interntbox bekommt) geleitet. Swisscom TV und Gäste WLAN werden direkt an bzw. von der Internetbox abgegriffen. Hinter der Zyxel USG ist das private (geschützte) LAN und eine DMZ. Die VPN sollen alle im privaten LAN hinter der USG Terminieren. Die IP-Addressen sind natürlich unterschiedlich, die Internetbox auf dem 192.168.1.1 und hinter der USG sind 10.0.0.1- 10.0.50.1 bzw. 10.2.0.1 - 10.2.50.1 Netze.
Die öffentliche IP wird per Dyndns ab der USG publiziert. Die IPv6-Firewall ist auf der Internetbox vorsorglich abgeschaltet. CGNAT ist von Swisscom nicht eingeschaltet, habe somit eine normale IPv4-Adresse. Die von der Internetbox2 zur Verfügung gestellte VPN Funktion nützt mir nichts, da diese dann vor meinem privaten Netz terminiert und ich somit nicht auf die Applikatioen, Drives, NAS,… komme die sich im Privaten LAN befinden.
Wäre froh um Hilfe bei L2TP-Thema. @Anonym
Grüsse
Neandertaler
Ging mir durch die Lappen. Man schreibt micht mit Null statt o bei Tux0ne, wie es bei den krassesten der krassen halt üblich ist 
Zu deinem Problem. Die VPN Funktion auf den Internetboxen ist aber schon deaktiviert?
Update, L2TP mit USG40 hinter BC2
Es geht noch einfacher: siehe hier
http://www.zyxelforum.de/viewtopic.php?f=318&t=11295&sid=44f42f1917bdfa091c5a73bc702cd889
USG40 Firewall:
L2TP
1. Address Object L2TP_local_policy_Range anlegen: 0.0.0.0 bis 255.255.255.255
2. in VPN Connection: local-policy ändern von wan1 zu L2TP_local_policy_Range
Das wars, L2TP geht wieder!
Nun hätte ich zwei Fragen:
1.
Wie lange dauert es bis die CB2 eine neue öffentliche Adresse an dyndns mitteilt? Bei meinen Tests hat die CB2 eine funktionierende Verbindung zu dyndns angezeigt, die neue Adresse aber nicht kommuniziert. Da ich für das weitere setup nicht warten wollte, habe ich bei dyn.org direkt die neue IP eingetragen. Bei der USG40 kann der DDNS Status abgefragt werden, diese Möglichkeit fehlt der CB2.
2.
Du schreibts: Die öffentliche IP wird per Dyndns ab der USG publiziert. Leitet die Internetbox2 mit aktivierter DMZ an die USG weiter? Wenn das so wäre könnte die IB2 mehr als die CB2…
3.
Du schreibts: Die öffentliche IP wird per Dyndns ab der USG publiziert. Leitet die Internetbox2 mit aktivierter DMZ an die USG weiter? Wenn das so wäre könnte die IB2 mehr als die CB2…
Die Internet Box leitet auf keinen Fall die öffentliche IP direkt auf ein Interface ab. Das WAN Interface der Zywall bleibt auf jeden Fall im Privaten Range.
Aber es gibt ja die Auto Übermittlung der IP in den DDNS Settings der USG. Das sollte damit ja theoretisch funktionieren, aber da wisst ihr sicher mehr als ich.
@Tux0ne schrieb:
Die Internet Box leitet auf keinen Fall die öffentliche IP direkt auf ein Interface ab. Das WAN Interface der Zywall bleibt auf jeden Fall im Privaten Range.
Aber es gibt ja die Auto Übermittlung der IP in den DDNS Settings der USG. Das sollte damit ja theoretisch funktionieren, aber da wisst ihr sicher mehr als ich.
Die USG40 kann meines Wissens nur die eigene WAN_IP per dyndns publizieren, auf die public IP der IB2 oder CB2 hat diese keinen Zugriff. Bei einem upc Modem im Bridgemode ist das anders, dann ist die public IP direkt auf der WAN Schnittstelle der USG40.
Ja das Problem wird immer wieder mal gemeldet, hauptsächlich von Zyxel User.
Das Problem neben Swisscom ist ja Zyxel selber. Es wäre doch mal angebracht das sie die Auto IP Ermittlung hinbekommen wie es die UTM früher konnte (falls es mit Auto nicht geht)
Ist das gleiche Thema wie mit der DHCP Option 60 welche jetzt nach Jahren mal in einer neuen Firmware implementiert wird 
Also für ein Teil was etwas kostet ist die Dokumentation zudem grauenhaft. Würde Studerus nicht selber was machen gäbe es gar nichts 
dyndns mit Zyxel USG40 hinter CB2 mit IP passtrough
Ich muss mich korrigieren, es geht doch von der USG aus. Help der USG 40 sagt zur DDNS Einstellung auto:
ZyXEL Help:
Auto - If the interface has a dynamic IP address, the DDNS server checks the source IP address of the packets from the ZyWALL/USG for the IP address to use for the domain name. You may want to use this if there are one or more NAT routers between the ZyWALL/USG and the DDNS server.
USG40:
DDNS Settings
Domain Name: xy.dyndns.org
Primary Finding Address
Interface: wan1
IP Address: Auto (statt bisher Interface)
Im Monitor / DDNS Status erscheint dann Effective IP welche der public IP der CB2 entspricht! Und dyn.org erhält auch die korrekte IP!
