VPN

multivir

Hoi zäme

Die Hälfte des gestrigen Tages habe ich mit dem Swisscom Support am Telefon verbracht, da ich einem Kollegen helfen wollte, sein Heimnetzwerk mit dem seiner Partnerin zu verbinden. Leider ohne Erfolg.

Kurz die eigentliche Frage, bevor ich in die Details einsteige: Wie macht man eine VPN Verbindung von zwei Locations mit DynDNS (ohne fixe IP) mit einem Centro Grande resp. analog VDSL und einer Internet Box?

Wir haben zwei Cisco VPN Router, die ich vorkonfiguriert und erfolgreich getestet habe. Bei meinem Internetprovider - nicht Swisscom - kann ich ohne Probleme in einem Consumer-Abo eine bzw. mehrere globale IPs beziehen. Um die beiden Ciscos miteinander zum kommunizieren zu bringen, bin ich auf DynDNS angewiesen. Das funktioniert natürlich nur, wenn an der WAN-Seite des Cisco-Geräts eine globale IP ankommt, sonst sendet dieser die 192.168.er Adresse an den DynDNS Registrationsserver und so läuft's natürlich nicht.

Naheliegend wäre, die beiden Swisscom Modems in den Bridge Mode zu schalten, was anscheinend nicht geht.

Auf der einen Seite haben wir Analogtelefonie und Internet via Centro Grande. Ich habe gesehen, dass es hier Anleitungen für einen Firmware Downgrade gibt. Hierzu habe ich folgende Bedenken:

Was passiert, wenn Swisscom dies bemerkt oder flächendeckend eine neue Firmware verbreitet? Die haben ja Zugriff von aussen auf das Modem und könnten die Einstellungen inkl. FW-Version, die ich am Gerät vornehmen würde, einfach wieder überschreiben. Hat da jemand Erfahrungen gemacht?

Momentan tendiere ich dazu, das Centro Grande mit einem ca. 150.- ZyXel Router zu verwenden, der mir von Swisscom empfohlen wurde (jedoch nicht bei ihnen erhältlich oder gegen CG umzutauschen). So kann ich einigermassen sicher sein, dass dies auch funktioniert, wenn Swisscom an der Centro Grande "Fernwartung" durchführt und eine manuell freigeschaltete Bridge-Option wieder deaktiviert. Weil dann kein CG mehr angeschlossen ist 🙂

Auf der anderen Seite - bei der Lebenspartnerin - wird's schwieriger: Digitaltelefonie, Fernsehen und Internet mit Internet Box. Ich kenne die Konfigurationsmöglichkeiten der Internet Box bis jetzt nur von der Swisscom Website. Anscheinend gibt's da eine DMZ Funktionalität auf dem Gerät. Kann ich dort eine globale IP beziehen oder nur eine NAT Adresse im Sinne von 192.168.x.y?

Anders gefragt: Wie komme ich mit der Internet Box an eine öffentliche IP?

Ich habe mit dem Centro Grande DynDNS auf dem Modem probiert. Das Signal kommt dann jedoch nur bis vor den Cisco VPN Router. Ergo bin ich darauf angewiesen, dass ich public IPs von den Modems beziehen kann. Ausser ich habe da was übersehen.

Weiter meinte der Support, dass dies wegen IP Telefonie und TV zu Problemen führen würde, wenn man die Internet Box in den Bridge Mode schalten würde / könnte.

Die einzige Lösung die Swisscom bieten kann: Upgrade von Privatabos auf Business, zusätzlich 2 x 10.- pro Monat für fixed IPs. Für zwei Privatpersonen ist dies absoluter Overkill. Und das nur, weil Swisscom die Firmware auf ihren Modems "anpasst"...

Wie löst man so etwas? Geht das überhaupt (ohne Providerwechsel 😉 )

Tux0ne

Problematik public IP auf WAN der Firewall:

Die Swisscom Router sind so konzipiert das ein Bridge Mode aktuell nicht möglich ist. Alternativ bieten diese eine IP Weiterleitung bzw. im Falle der Internet Box eine "DMZ" auf ein Ziel. Dabei wird beim Centro Router von ADB/Pirelli die public IP abgebildet. Beim Centro Router von Motorlola/Arris und der Internet-Box wird da die private IP beibehalten und nur der Traffic so weit als möglich weitergeleitet.

Daher Problem DDNS: Falls die Firewall nur die IP vom WAN übermitteln kann ist muss man dies mit einem anderen Client lösen. Bastellösungen mit den DDNS Clients der Swisscom Router wären möglich.

Problem Site-to-Site VPN: Ich vermute das man hier ein L2TP über ipsec verwenden möchte. Ist natürlich nicht die einfachste Variante da verschiedenste Dinge zusammenpassen müssen. Selbst wenn das DDNS Problem gelöst ist müssten die Swisscom Router den Traffic auch noch durchlassen.

Falls man zB. ein IPfire System verwenden würde so wären all diese Probleme keine Probleme.

Der DDNS Dienst von IPfire kann die reale öffentliche IP ermitteln.

Site-to-Site VPN lässt sich mit openvpn performant, sicher und extrem schnell konfigurieren. Nebenbei ist diese Firewall auch noch Swisscom TV tauglich womit man sein Netz in dem Sinne einfach halten könnte.

Daher muss ich mir selber eigentlich keine Gedanken machen da ich für meine Anwendungen eine Lösung gefunden habe welche alle Scheisse von Swisscom komme was wolle ausbügeln kann 😄

multivir

Hi Tux0ne,

- In diesem Fall ist der Centro (entgegen meiner ursprünglichen Annahme) ein Motorola Modell. Ich erhalte bei der IP Weiterleitung nur die 192.168er Adresse.

- Ist es bei der Internet Box mit der "DMZ" möglich, die public IP abzubilden?

- Site-to-Site: Ja, das war so angedacht (und auch bei meinem Provider erfolgreich getestet). Heisst das, dass es mit Swisscom überhaupt nicht funktionieren kann oder lässt sich L2TP "freischalten"?

IP Fire würde wahrscheinlich die Anschaffung von zwei neuen Maschinen bedingen. Oder von zwei Appliances à je 650 Euros.
Dass kann ich meinen Kollegen nicht zumuten...

Tux0ne

multivir schrieb:
Hi Tux0ne,

- In diesem Fall ist der Centro (entgegen meiner ursprünglichen Annahme) ein Motorola Modell. Ich erhalte bei der IP Weiterleitung nur die 192.168er Adresse.

- Ist es bei der Internet Box mit der "DMZ" möglich, die public IP abzubilden?

Nein

- Site-to-Site: Ja, das war so angedacht (und auch bei meinem Provider erfolgreich getestet). Heisst das, dass es mit Swisscom überhaupt nicht funktionieren kann oder lässt sich L2TP "freischalten"?

Probleme sind immer wieder ESP und NAT. Aus dem Bauch würde ich sagen das es mit 2 Internet-Boxen als Gateway funktionieren könnte. Falls es jetzt nicht funktioniert alternativ am Standort A wo scheinbar nur Internet in Betrieb ist wirklich mal einen Zyxel Router bridgen.

IP Fire würde wahrscheinlich die Anschaffung von zwei neuen Maschinen bedingen. Oder von zwei Appliances à je 650 Euros.
Dass kann ich meinen Kollegen nicht zumuten...

multivir

Was ich noch nicht ganz verstehe: Die public IP lässt sich nicht abbilden, eine VPN Verbindung zwischen Zyxel und Internetbox ist eventuell möglich. Würdest du die VPN Verbindung / Verschlüsselung mit Zyxel und Internet Box machen?

Die Kollegen würden den Zyxel anschaffen, jedoch nur wenn dies zur Lösung des Problems führt. Ich stehe natürlich extrem doof da, wenn ich nun weitere Hardwareanschaffungen empfehle, die dann nicht zur Lösung führen. Der von Swisscom vorgeschlagene P-870H kann selber kein VPN. D.h. entweder ist ein grösserer Router notwendig, oder ein zusätzliches Gerät, das VPN kann.

Für dieses VPN habe ich zwei Cisco RV320 konfiguriert. Versuchshalber habe ich auf dem Centro Grande eine DynDNS Adresse eingerichtet und damit versucht von aussen an den Cisco ranzukommen.

Das hat (bei mir, in diesem Setup, zu diesem Zeitpunkt) nicht funktioniert. Dort könnte ich sicher nochmals mehr Zeit investieren, hatte jedoch die Vermutung, dass es nicht klappt, weil DynDNS vom Modem kommt und nicht vom VPN Router - ergo das Signal deshalb nicht durchgeroutet wird, sondern an der "Vorderseite" des Ciscos geblockt wird.

Hilfääää 🙂

Tux0ne

Ich kann dir nichts in einer Konstellation versprechen welche ich nicht selber versucht habe.

Ich würde aber nochmals einen Versuch mit den bestehenden Komponenten machen.

DDNS würde ich für diesen Versuch mal einfach aussen vor lassen und für den Versuch mit den IP's direkt arbeiten.

Da die Swisscom Router in diesem Setup die öffentliche IP nicht weiterleiten, bekommt die Firewall eine IP aus dem LAN des Swisscom Routers.

Wurde daran gedacht das die die Netze der Swisscom Router angepasst werden müssen da diese ansonsten beide gleich sind? Standort A zB. 192.168.20.0 und Stao B 192.168.30.0?

Da man sonst mit der public IP arbeitet ist dies nie ein Problem, wird aber in solchen Fällen gerne missachtet!

Ein weiteres Schlagwort wäre zusätzlich noch NAT-Traversal in der VPN Konfiguration.

Und dann mal schauen was so in den Logs der Cisco Router zu sehen ist.

corbendallas

Ich bin nicht der VPN Profi, aber es wird bald (Frühling) neue Features auf der Internetbox geben und evt. sind dann die VPN & DDNS Problem gelöst... Darum wäre evt. abwarten vorerst die Devise 😉

Tux0ne

Naja, zwischen Site to Site und EINEM! Roadwarrior besteht schon noch ein kleiner Unterschied 😉

Beim DDNS für Arme gebe ich dir hingegen recht.

multivir

@Tux0ne schrieb:

Problem Site-to-Site VPN: Ich vermute das man hier ein L2TP über ipsec verwenden möchte. Ist natürlich nicht die einfachste Variante da verschiedenste Dinge zusammenpassen müssen. Selbst wenn das DDNS Problem gelöst ist müssten die Swisscom Router den Traffic auch noch durchlassen.

Bevor ich nun sinnlos ins Leere bastle, habe ich letzte Woche bei Swisscom angerufen und gefragt, ob L2TP von Swisscom in irgendeiner Form abgeschnitten wird - denn wie Tux0ne gesagt hat, möchte ich nicht, dass DynDNS läuft und ich erst dann bemerke, dass es gar nicht funktionieren kann, weil mir ein anderes Problem einen Strich durch die Rechnung macht.

Von Swisscom habe bis heute nichts gehört und deshalb heute nochmals angerufen. Ich erwarte keinesfalls, dass die erste Person am Telefon ein Netzwerkspezialist ist oder sich mit OSI Layers auskennt. Die Antwort war jedoch im Ticket vermerkt und wurde mir vorgelesen. Sie lautete in etwa: "Dies fällt nicht in den Bereich der Swisscom und muss von der Informatik gelöst werden. Es sind die entsprechenden Ports und UDP zu öffnen".

Ich bin nun nach wie vor am gleichen Fleck und weiss nicht, ob L2TP läuft oder nicht. Die Swisscom Anschlüsse sind nicht bei mir daheim. Ich kann also nicht "ein wenig ausprobieren". Es scheint unmöglich, jemanden ans Telefon zu bekommen, der mir kompetent weiterhelfen kann.

Muss ich davon ausgehen, dass L2TP am Schluss nicht funktioniert und ich die Übung abbrechen muss, auch wenn ich den DynDNS Teil des Problems lösen könnte? (Die IPFire Lösung muss ich für diesen Moment mal aussen vor lassen)

Die Frage nochmals in Kurzform: Welche Probleme blühen mir mit L2TP?

Tux0ne

Swisscom blockiert diesen Dienst in ihrem Netz nicht.

Das Problem ist das die Consumer Router den transparenten Modus nicht mehr kennen. Daraus ergeben sich in diesem Fall mögliche Probleme.

Eine L2TP-IPSEC Verbindung erfordert auch die Weiterleitung des Protokolls ESP 50. Das ist ein Protokoll und kein Port!

Dies und manchmal auch ein ALG auf dem Router führen bei Swisscom Consumer immer wieder zu Komplikationen wenn man die Terminierung hinter dem Swisscom Router vornehmen möchte.

Ein 2tes Problem welches man aber idR. lösen kann ist die Sache mit den privaten IP's und dass diese sich nicht beissen.

multivir

Hi Tux0ne

Dass IPSEC ein Protokoll und kein Port ist, war mir bekannt - deshalb befremdet mich die Antwort von Swisscom auch sehr.Im konkreten Fall wären ja eine Internet Box und ein Centro Grande bzw. als Ersatz dafür ein Zyxel Router im Einsatz.

Verhindern die Geräte besagtes ESP 50 Protokoll oder gibt's einen Application Level Gateway, den ich auf diesen Geräten nicht ausschalten kann?

Vielen Dank,

P.S. Es scheint ziemlich unglaublich, dass das alles so kompliziert ist - zumal dies bei anderen Providern ohne weiteres Zutun läuft.

Gibt's bei der Swisscom keine Stelle wo ich mich melden kann im Sinne von "Guten Tag, ich brauche eine VPN Verbindung, so dass TV, Internet und Telefonie für Nicht-Firmenkunden gleichzeitig auch noch läuft?" und man mir hierfür eine halbwegs passable Lösung bietet, die auch ein Semi-Geek einzurichten vermag? Leider hatte ich nicht den Eindruck, dass die Leute von Swisscom My Service dies auch gegen zusätzliche Bezahlung einrichten können.

flowsi

Hallo allerseits!

Habe ähnliche Probleme und kann zumindest bestätigen, dass vpn über ipsec sehr instabil läuft sowie L2TP (zumindest vom iPhone aus) nicht funktioniert. Andere VPN-Lösungen wie OpenVPN, Shrewsoft usw. funktionieren einwandfrei.

Momentan leite ich die Ports via DMZ von der Internet-Box auf die Firewall (USG) weiter.

Da ich jedoch auf die Firewall/VPN-Verbindung über ipsec angewiesen bin und Swisscom-TV laufen sollte, suche ich weiterhin nach einer Lösung.

Na dann, hoffen wir, dass bald ein Update für die IB rauskommt, damit die IP wie früher weitergeleitet werden kann - wäre die einfachste Lösung!!!

Aussert TuxOne hat noch eine auf Lager 😉 (PS: Danke für Deine fleissige Community-Arbeit)

Tux0ne

@flowsi schrieb:

Aussert TuxOne hat noch eine auf Lager 😉 (PS: Danke für Deine fleissige Community-Arbeit)

Gehasst, verdammt, vergötter. Je nachdem wohin das Schwert halt gerade hinschwingt 😉

Wieso kannst du openvpn nicht einsetzen? Clients gibst da doch mittlerweile ja für fast alles, nicht?

Sonst muss man auf ein Update der Internet Box warten. L2TP-IPSEC mit PSK für eine Verbindung soll ja bald mal möglich sein.

Aber klar, was einige User eigentlich brauchen wäre eine transparente Schnittstelle. Mehr ist da eigentlich gar nicht gewünscht. Das wäre doch für ein einfaches Gerät doch gerade dafür prädestiniert. Kann dir aber versichern das die Gespräche dazu ziemlich ermüdend sind. Es herrscht da teilweise noch einiges an Bildungsresistenz.

Aber man muss diese ehemaligen Fritz Fanboys langsam an die Sache führen oder zwischen durch auch mal mit kleinen Aktionen dazu zwingen.

Never surrender!

HoP

Hoi zäme

Habe mich etwas durch eure Berichte gelesen. die Problematik mit dem VPN ist aktuell bekannt. Aktuell nutzen wir selber an einigen unserer Standorte My KMU Office mit dem CentroBusiness. Auch dieser lässt sich nicht bridgen. Eine DMZ wie bei der Internetbox ist auch nicht verfügbar.

Als zuverlässige Geräte mit einigen Features setze ich für VPN-Verbindungen ZyXEL USGs ein. Dabei läuft auf dem CentroBusiness der DDNS-Client, welcher brav die aktuelle öffentliche IP-Adresse ans Dyndns meldet. Die VPN-betroffenen Ports leite ich dann jeweils an die USGs weiter. Diese wiederum stellt die IPSec-Verbindung dann zwischen den Standorten her. Obwohl die USG somit "nur" eine intere Adresse bezieht, funktioniert der Verbindungsaufbau (über den Centro Business) tadellos.

Diese Lösung bietet den Vorteil, dass ich trotzdem die All-IP-Telefonanschlüsse der CentroBusiness-Geräte nutzen kann. Swisscom TV problemlos läuft und Zugriff auf den Router (Firmware-Update) habe.

Alternativ könnte auch ein ZyXEL Standardrouter P-870 oder ein SBG-Router eingesetzt werden. Dann müssten aber die SIP-Credentials ausgelesen werden, falls Telefonie verwendet werden soll.

Das ganze hatte ich vor dem My KMU Office-Anschluss auch schom mit einem Bluewin-Anschluss erfolgreich in Betrieb. Centro Grande, Piccolo und Internetbox waren dabei alle mal in Betrieb 😉

Bei Business Internet-Anschlüssen bietet der Centro Business alternativ auch die integrierte VPN-Funktion an. Bei My KMU Office ist diesser Menupunkt leider nicht verfügbar.
Auch die neue Firmware 7.08.12 hat daran nichts geändert...

CroHammeR

Wenn ich dich richtig verstanden habe kannst du ja anstelle des Swisscom Routers ein Gerät nehmen das als Bridge dient z.B. ZyXEL P-870H und dahinter deine Firewall. Du bekommst die öffentliche IP und kannst DynDNS auf deiner Firewall nutzen. Damit hast du die gleiche Situation wie bei deinem Test mit anderem Provider. NUR... Swisscom TV ist dann eine andere Geschichte und wir vermutlich nicht einfach so funktionieren falls das genutzt wird.

multivir

Ja und nein. Bei digitalem Telefonanschluss (mit Internet Box) kann man anscheinend kein Zyxel verwenden. Und wenn man ein Zyxel bzw. ein gebridgtes Modem einsetzt, gibt's anscheinend Probleme mit Swisscom TV.

-> d.h. in diesem Fall wohl eher nein....

HoP

Hallo CroHammeR

Ja, das wäre aus meiner Sicht grundsätzlich korrekt. Falls du jedoch auch die All-IP-Telefonie von Swisscom nutzen möchtest, wird es schwieriger. Swisscom gibt die SIP-Credentials offiziell nicht heraus. Diese werden nur auf die Swisscom-Router geschrieben. Als Workaround müssten diese vorgängig ausgelesen werden. Diese Lösung empfehle ich jedoch nur als Test und soll nicht im produktiven Umfeld eingesetzt werden.
Ich empfehle die Variante mit dem Swisscom-Router im Routingmodus sowie den Portweiterleitungen. Auch wirkt sich diese Lösung positiv auf den Traffic aus, falls noch SwisscomTV eingesetzt wird (Multicast nur am Router und nicht im LAN hinter der Firewall).

CroHammeR

Danke für die Infos betreffend ALL-IP Telefonie. Ja klar wenn das auch noch genutzt wird wird es schwierig. Bin mal gespannt was in Zukunft kommen wird, so finde ich es höchst unbefriedigend. Swisscom-Router im Routingmodus sowie den Portweiterleitungen will man ja verhindern wenn man einen Eigenen Router/Firewall verwenden und z.B. Standorte verbinden möchte oder VPN Road Warrior. Ich weiss der nächste Spruch ist "das sind Angebote für Private..." aber ich kenne mindestens so viele Unternehmen die "Private Produkte von Swisscom" einsetzen wie solche die Geschäftsanschlüsse haben und ob es dort anders ist bin ich mir nicht mal sicher mit IP Telefonie. Wie gesagt unbefriedigend, hoffe da ändert sich was in Zukunft.

flowsi

hallo vpn freunde 😉

muss meine aussage vom 10.02.2015 korrigieren:

flowsi schrieb:

Habe ähnliche Probleme und kann zumindest bestätigen, dass vpn über ipsec sehr instabil läuft sowie L2TP (zumindest vom iPhone aus) nicht funktioniert. Andere VPN-Lösungen wie OpenVPN, Shrewsoft usw. funktionieren einwandfrei.

...

ipsec lief nicht wegen der internet box instabil sondern weil ein "lieber" mitarbeiter der swisscom (im zusammenhang des neuen glasfaseranschlusses) ein internetanschluss eines anderen standortes aufgehoben hat. leider erst beim neustart der firewall bemerkt.

somit kann ich bestätigen das mit der dmz weiterleitung der internet box, vpn über ipsec einwandfrei funktioniert (verwemde usg 20 und usg 100), dyndns habe ich direkt bei der ib eingerichtet, da per dmz keine ip-weiterleitung stattfindet.

auch funktionieren bei mir swisscom-tv und telefongeräte.

einziges problem ist nun noch die l2tp-ipsec verbindung die ich über die ib nicht aufbauen kann.

@Tux0ne weisst Du mehr über "soll ja bald mal möglich sein"?!?

Tux0ne schrieb:

...

Sonst muss man auf ein Update der Internet Box warten. L2TP-IPSEC mit PSK für eine Verbindung soll ja bald mal möglich sein.

...

yukatan

Ciao

kurze anfrage.. hast du die l2tp-ipsec verbindung schon hinbekommen?

Ich kämpfe seit einiger zeit mit dem Verusch... eine VPN verbindung (L2TP/IPSec PSK) von meinem Android via Internet-Box ( DMZ Weiterleitung aktive ) auf eine Zywall USG20 herzustellen...

Danke für Dein Feedback

Page suivante »