Centro Business PSB4212N (IP-Passthrough) + ZyWALL USG 300

Hallo @Suissinho

Sie sind nicht der Einzige, der beim Centro Business im IP-Passthrough-Modus etwas hängen bleibt.

Es gibt einen interessanten Beitrag von >> [hier](https://community.swisscom.ch/t5/Discussions-et-feedbacks-%C3%A0/Centro-Business-FW-7-10-10-et-function -Passthrough/m-p/409352#M129) <<!

Ich habe derzeit keine Antwort auf dieses Problem …

Habt alle einen schönen Tag

@Suissinho

Bevor ich auf All IP umsteige, kaufe ich mir dieses Centro Business in Verbindung mit einem Zywall USG 40. Da ich immer noch mit einem Business Internet Light + Fixed IP + PME Office **** arbeite.

Derzeit ist Centro Business lokal, kein Internetzugang. Die Linie ist nur am Wochenende verfügbar.

Allerdings sehe ich anhand Ihrer Einstellungen, dass ich das Centro Business (192.168.1.1) von einem PC (192.168.110.XXX), der sich hinter dem Zywall USG 40 (192.168.110.2) befindet, anpingen und verfolgen kann.

Lan1 (Centro Business) -> Wan (Zywall USG 40)

Hinweis: Ob für das Netzwerk hinter dem Zywall USG 40 ein Internetzugang möglich ist, konnte ich aus den bereits genannten Gründen noch nicht testen.

Guten Abend allerseits

Danke Xtreme66, aber wenn Sie im Centro Business die Option „IP-Passthrough (Lokales Sicherheitsgateway)“ nicht aktiviert haben auf LAN1“ können Sie nicht den gleichen Test wie ich durchgeführt haben … oder zeigen Sie mir sonst die Konfigurationen auf dem ZyWALL WAN-Port und die Centro Business-Konfigurationen unter „Einstellungen > Router“.

Mir wurde gesagt, dass es in meinem Fall notwendig sei, in der ZyWALL ein Routing statisch zum WAN-Port mit der Swisscom-IP zu erstellen, aber ich weiß noch nicht, wie ich das machen soll … Ich bin es immer auf der Suche…

DANKE,

Grüße

---

Suisso schrieb: Sie haben im Centro Business die Option „IP-Passthrough (Lokales Sicherheits-Gateway) auf LAN1“ nicht aktiviert, Sie können nicht den gleichen Test wie ich durchgeführt haben …

---

Diese Option ist selbstverständlich aktiviert („IP-Passthrough (Lokales Sicherheitsgateway) auf LAN1“).

Im Gerät (Centro Business) ist die IP des Zywall USG 40 statisch (IP: 172.31.255.6).

Für Ihr statisches Routing kann Ihnen dieses Dokument vielleicht helfen.

Sobald ich Zeit habe, gebe ich Ihnen einen Druckbildschirm….

Mit dieser Konfiguration greife ich von meinem PC aus auf Centro Business zu (192.168.1.1)

Ich muss noch prüfen, ob mit dieser Konfiguration ein Internetzugang möglich ist. Das alles werden wir am Ende der Woche sehen.

Vielen Dank für diese Information, ich werde es ernsthaft noch einmal testen müssen!

Können Sie mir bitte Druckbildschirme in den folgenden Einstellungen Ihres ZyWALL USG40 zusenden:

- „Konfiguration > Routing > Routing-Regeln“

- „Konfiguration > Routing > Statisches Routing“

- „Konfiguration > Firewall“

- “Konfiguration > Schnittstelle > Ethernet > lan1”

Dank im Voraus,

Beste grüße.

Guten Abend,

Ich habe mit einer Grundkonfiguration auf Zywall-Ebene begonnen, also nach einem Hard-Reset. Das Gleiche gilt für Centro Business.

Es wurden keine Änderungen an Routing-Regeln, statischem Routing oder Firewalls vorgenommen.

Bei LAN1 habe ich einfach die IP-Adresse von LAN 1 und deren Bereich geändert.

Für Wan gelten die oben aufgeführten Modifikationen.

Ich habe meinen Benutzer/Zugangspass zu wan1_ppp hinzugefügt, um auf den Swisscom-Server mit den festen IP-Informationen zuzugreifen.

Auf der Centro Business-Ebene habe ich die Zywall USG 40 IP als statische IP hinzugefügt.

Im Übrigen benötige ich die VDSL2-Leitung, um zu überprüfen, ob alles funktioniert.

Ich hoffe, du findest die Lösung…

@Suissinho

Hallo,

vielleicht eine Lösung:

Sie behalten Ihre Centro Business-Konfiguration bei, LAN-Port 1 im IP-Passthrough-Modus zum WAN-Port Ihres USG.
Dadurch erhalten Sie eine öffentliche IP auf Ihrem USG und können somit Ihr VPN verwalten.

Wenn Sie auf Ihrem USG 300 freie Ethernet-Ports auf der LAN-Seite haben, nehmen Sie einen Port und platzieren Sie ihn in der DMZ-Zone.
Anschließend konfigurieren Sie es mit diesen Parametern auf der DMZ-Ethernet-Schnittstelle:

IP 192.168.1.2 (natürlich, wenn Sie diese nicht anderweitig verwenden und sie ausserhalb des DHCP des Swisscom-Routers liegen muss)
Maske 255.255.255.0
Kein DHCP.

Sobald Sie fertig sind, gehen Sie zu Konfiguration => Routing => Statische Route => Hinzufügen

Du hast das ausgedrückt:

Sie schließen ein Ethernet-Kabel zwischen Ihrem DMZ-Port und einem der drei verbleibenden Ports des Centro Business an und sollten Ihren Verlauf pingen können.

Wenn das nicht funktioniert, ändern Sie einfach die Konfiguration => Schnittstelle => Portrolle und platzieren Sie Ihren Port (P1-5) in derselben Zone wie Sie (LAN1, wenn sich Ihr persönliches Netzwerk in LAN1 befindet).

Testen Sie es und sagen Sie es mir noch einmal

Jimmy

Hallo Jim1926, vielen Dank für Ihre Antwort.

Ich habe es wie gesagt getestet, aber es ist mir gelungen, es einfacher zu machen.

Ich lasse meine Konfigurationen und die Lösung:

Centro Business PSB4212N

IPv4-Einstellungen:
---————————————————————- —————-
Quelle | Status | Aktivieren | IP-Adresse | Subnetzmaske
---————————————————————- —————-
Statisch | Aktiviert | wahr | 192.168.1.1 | 255.255.255.0
---————————————————————- —————-

Haupt-FW-Version: 7.10.10
xDSL-Version: A2pv6C038q.d24j

---————————————————————- —————-

LAN IPv4: 192.168.1.1
LAN IPv6: fe80::ea74:e6ff:fe70:e955
WAN-Verbindung: WAN-VDSL-PPP
WAN-Modus und Profil: VDSL2, Profil 17a, PTM-Modus, Showtime

---————————————————————- —————-

Routenplan:

arp:

**

**

ZyWALL USG 300

**

**

Schnittstelleneigenschaften

Schnittstellentyp: extern
Schnittstellenname: ge7
Bereich: WAN

IP-Adresszuweisung
Feste IP-Adresse verwenden:
IP-Adresse: 172.31.255.6

Subnetzmaske: 255.255.255.252Gateway: 172.31.255.5

Schnittstelleneigenschaften

Schnittstellentyp: intern
Schnittstellenname: ge1
Bereich: LAN1

IP-Adresszuweisung

IP-Adresse: 192.168.10.1
Subnetzmaske: 255.255.255.0

**

**

Das Problem, das ich hatte, war das folgende ( .pdf 😞

Vor Firmware-Version 2.20 wurde SNAT über die Policy Route betrieben. Ab Version 2.20 ist eine neue Funktion „Default SNAT“ implementiert, mit dieser neuen Funktion sind die Policy-Routen für SNAT nicht mehr notwendig. Nach einem Firmware-Update sind alle USG-Schnittstellen standardmäßig mit dem Typ „allgemein“ definiert. Um die „Standard-SNAT“ verwenden zu können, müssen die Schnittstellen auf den Typ „internal“ oder „**external*“ geändert werden. *“. Alle Schnittstellen, die zum lokalen Netzwerk gehören (LAN-Zone, DMZ, WLAN usw.), müssen mit dem Typ „intern“ definiert werden und alle Schnittstellen, die beispielsweise eine Verbindung zum Internet (WAN-Zone) herstellen, müssen mit dem Typ „intern“ definiert werden Geben Sie „extern“ ein. Der „Standard-SNAT“ wird nur zwischen einer „internen“ Schnittstelle und einer „externen“ Schnittstelle übertragen.

Ein kleines Diagramm:

Beste grüße

@Suisso

Vielen Dank für dieses sehr ausführliche und vollständige Feedback!

Perfekt 😉

@Suisso Vielen Dank für Ihr Feedback,

Ich habe nicht verstanden, was Durchgangs-IP ist. Meine Lösung war also nicht geeignet.
Es ist eine witzige Lösung, die Swisscom vorschlägt… Mit ihrer Historie haben Sie also keine öffentliche IP auf Ihrem USG.

Ich verstehe jetzt, warum es nicht funktioniert hat, und das könnte mir helfen.

Impec, das ist gut zu wissen.

Grüße

@Xtreme66 Gern geschehen 🙂

@Jim1926 Genau, es ist keine echte DMZ, also hatte ich nicht die öffentliche IP im WAN, wie wir es vorher auf Netopia (Motorola) mit der Funktion „IP-Transparenz“ machen konnten. Nach den mir vorliegenden Informationen benötigen Sie für den Zugriff auf die Funktion „Public DMZ“ bei Centro Business mindestens einen Bereich von 4 festen IPs (20.–/Monat). Infos hier.

Im Moment passt mir die IP-Passthrough-Lösung mit 1 festen IP: smileyvery-happy:

@Suisso

Endlich konnte ich die zuvor beschriebene Konfiguration (Centro Business (IP Passthrough) + Zywall USG 40) testen, alles funktioniert perfekt. Die Internetverbindung funktioniert für alle Benutzer einwandfrei.

Ich habe eine kurze Frage an Zywall USG-Benutzer und @Suisso: Haben Sie mit Ihrer Zywall bereits den GRC-Test durchgeführt? ShieldsUP!

Normalerweise sind bei meinen alten Zywalls alle Ports Stealth, aber im Fall von Zywall USG 40 ist Port 1 Geschlossen und nicht Stealth.

Hafen: 1

Name: tcpmux

Zweck: TCP-Port-Service-Multiplexer

Und zu Hause?

@+

@Xtreme66 hat meine Ergebnisse angezeigt:

Zum Abschluss habe ich den Scan mit NMAP abgeschlossen:

Nmap-Scanbericht für XXX.XXX.XXX.XXX.static.wline.lns.sme.cust.swisscom.ch (XXX.XXX.XXX.XXX)

HAFENSTAATSDIENST
53/TCP offene Domäne

---————————————————————- ———–

Nmap-Scanbericht für 172.31.255.5

HAFENSTAATSDIENST
22/tcp offenes SSH
53/TCP offene Domäne

---————————————————————- ———–

Nmap-Scanbericht für 172.31.255.6

HAFENSTAATSDIENST
22/tcp offenes SSH
53/TCP offene Domäne
80/tcp öffnen http
443/tcp https öffnen

---————————————————————- ———–

Nmap-Scanbericht für 192.168.1.1

HAFENSTAATSDIENST
53/TCP offene Domäne
80/tcp öffnen http
443/tcp https öffnen

---————————————————————- ———–

Nmap-Scanbericht für 192.168.10.1

HAFENSTAATSDIENST
22/tcp offenes SSH
53/TCP offene Domäne
80/tcp öffnen http
443/tcp https öffnen

---————————————————————- ———–

Beste Grüße:smileyhappy:

@Suisso

Vielen Dank für Ihre Nachricht!

Ich verwende auch den Test auf dieser Seite Pentest-tools, aber er basiert auf Nmap.

Ausgezeichneter Abschluss des Tages

@+

Hallo zusammen,

Gute Nachrichten, seit der Firmware-Version 4.25 verfügt der Zywall USG 40 über die DHCP 60-Option, indem er den Wert 100008.0001 angibt, ZYXEL kann damit hinter einer Bridge verwendet werden.

Konfiguration > Netzwerk > Schnittstelle > Ethernet > WAN1 > Erweiterte Einstellungen anzeigen

Quelle: USG Firewall und Centro Business

:smileyhappy: