Umstieg von Netopia im Bridge Mode auf IB Standard mit nachgelagertem Asus Open VPN Server

Werner

Durch den All-IP Rollout wurde ich gezwungen auf die bisherige für mich perfekt funktionierende reine Modemlösung (Netopia im Bridge-Modus) zu verzichten und meine komplette bereits existierende und über Jahre optimierte Netzinfrastruktur (Asus Router mit Open VPN Server, NAS, WLANs, etc.) hinter die IB Standard zu hängen.

Da die Internet-Box leider zur Zeit weder einen Bridgemodus noch eine IP-Weiterleitung unterstützt, habe ich einen Weg gesucht die Probleme der zwangsläufig neu entstandenen Double-Nat Umgebung zu minimieren.

Der reine Internetzugriff ist dabei nicht das Problem, denn durch den Einsatz von separaten Subnetzen lassen sich Friktionen der Router-Kaskade gut verhindern

Eine Herausvorderung war es jedoch den externen Zugriff aus dem Internet auf den Open VPN Server des Asus Routers wieder hinzukriegen.

Nach diversen Fehlversuchen (das Grundproblem dabei ist, dass die echte WAN-IP der IB im Subnetz des Asus Routers nicht verfügbar gemacht werden kann) habe ich für mich folgende Lösung gefunden:

- Eröffnung eines DynDNS Kontos bei einem Provider, der sowohl durch die Internet-Box wie auch durch den Asus Router mit Router-internen Zugriffsservices unterstützt wird (in meinem Fall ist das der Provider NoIP)

- Generierung der Open VPN Zertifikate auf dem Asus Router mit dem DynDNS NoIP (genau so wie wenn der Router wirklich direkt am Internet hängen würde) und Verteilung der Asus-Zertifikate an die Clients

- Aktivierung des gemeinsamen DynDNS Services (also NoIP) auf der Internet-Box (mit den selben Benutzer/Passwort-Angaben wie bei den Asus Open-VPN Zertifikaten) und Weiterleitung des Open VPN Ports 1194 UDP von der IB auf den Asus Router.

Resultat: Die Lösung läuft zur Zeit performant und stabil. Die Open VPN Services des Asus Routers (mit Firmware Asus Merlin) sind durch den “Durchgriff” und der bewussten Redundanz mit der Internet-Box für den VPN-geschützten externen Zugriff über eine Internetverbindung voll verfügbar. Neugierig wäre ich auf die Erfahrungen von anderen All-IP Zwangsumsteigern

Tux0ne

Ich sehe das Problem. Verstehe aber die Lösung nicht ganz.

Klar der Asus Router generiert ein Konfig File wo auch der fqdn oder die IP des Routers hinterlegt ist.

Ohne korrekte WAN IP natürlich ein Problem.

Frage 1. Wäre es nicht möglich die Datei mit dem richtigen Wert, sprich dem FQDN des DDNS von Hand korrekt einzutragen?

Wie ich lese hast du nun den DDNS Client auf dem Asus Router sowie der Internet Box konfiguriert und zwar mit dem gleichen Account.

Frage 2. Gibt es da nicht ein Problem mit dem DDNS Client von Asus welcher ja eine private IP übermittelt und somit evtl, den korrekten Wert der Internet-Box überschreibt? Wie ist das genau gelöst? Diesen Punkt verstehe ich nicht ganz.

Frage 3. Du hast eine Portweiterleitung für openvpn eingerichtet. Wieso schaltest du nicht die DMZ auf den Asus Router?

Meine Anwort zu deiner Frage.

Meine Lösung, egal was Access und Communications auch in Zukunft noch für Steine* in den Weg legt. Mit ipfire oder pfsense habe ich bisher alles meist problemlos gelöst.

* Ausnahme. Verzicht auf das sonst übliche S… Wort 😄

Werner

@Tux0ne

Zu Frage 1: Vermutlich wäre es möglich das Zertifikat mit einem Text-Editor manuell anzupassen. Mir war es lieber die Voraussetzungen für eine korrekte automatische Generierung zu schaffen.

Zu Frage 2: Den DDNS Client des ASUS habe ich nach der Generierung des Zertifikates wieder ausgeschaltet.

Für den laufenden Betrieb ist nur der DDNS Client der IB aktiv. Somit ist bei NoIP immer die WAN-IP der IB hinterlegt.

Zu Frage 3: Nur den VPN Port weiterzuleiten schien mir ausreichend und insgesamt sicherer als durch die DMZ-Schaltung eine für mich nicht transparente Menge von Ports auf der IB öffnen. Zwar vertraue ich meinem Asus-Router und meiner Firewall, aber man weiss ja nie… im Thema Sicherheit ist doppelt genäht ja manchmal gar nicht schlecht.

Natürlich könnte Swisscom den Kunden, welche durch den All-IP-Rollout zwangsweise als Umsteiger von Netopia- oder CG-Routern auf die IB kommen, das Leben auch grundsätzlich vereinfachen indem sie bei der IB-Firmware viel stärker auf die Aufwärts-Kompabiltät mit ihren bisherigen Routern achten würde.

Das im Forum öfters auftauchende Argument, die IB wäre nur für 0815-Kunden im Betrieb scheint mir absurd, denn die Swisscom hat doch sehr viele 0815+ Kunden und durch den in Zukunft flächendeckenden All-IP-Rollout und der Nichtoffenlegung der SIP-Credentials werden es bei den IB-Benutzern schnell immer mehr werden.

Ein wenig mehr strategisch vernetztes Marketingdenken würde dem Umgang mit dem Swisscom Routerzwang gut anstehen. Bis jetzt hoffe ich noch auf ein Einsehen und werde den Provider (solange ich Lösungen für meine Bedürfnisse trotz der aus meiner Sicht unnötigen IB-Hindernisse hinkriege) nicht wechseln.

Tux0ne

Ah jetzt ist klar. Natürlich, du brauchst den korrekten Wert nur bei Erstellung der Konfiguration.

Na wir hoffen doch alle auf möglichst transparente Schnittstellen wie zB. der Freigabe von SIP Zugangsdaten.

Ob freiwillig oder nicht. Man sagt, dass dies Ende nächstest Jahr der Fall sein soll.