• Geschlossen

Zywall USG20 hinter Centro Business betreiben

init0
Level 1
1 von 11

Hallo zusammen 

Ich betreue einen Verbund von mehren Anschlüssen welche jeweils über VPN (Zywall USG20) miteinander verbunden sind (ohne fixe IP-Adressen). Einer der Anschlüsse wurde nun auf ein Centro Business umgestellt. Obwohl der Router (von einem SwisscomTechniker) auf IP-passthrough umgestellt wurde, läuft seither sowohl VPN-mässig wie auch ssh-mässig rein gar nichts mehr.

ssh-Verbindungen (ssh wird von der Firewall auf einen Server weritergereicht) sind von aussen nicht mehr aufbaubar, VPN lässt sich nicht mehr aufbauen (eingehende Pakete sind auf der USG nicht einmal sichtbar).

Hat hier jemand schon ähnliche Erfahrungen gemacht  bzw. VPN mit USG X hinter einer CB zum Laufen gekriegt?

 

Mit besten Grüsse 

 

Martin 

10 Kommentare 10
StefanieK
Level 1
2 von 11

Hallo init0

 

 

Bitte sende uns via Privatnachricht die betroffenen Rufnummern zu. Gerne werden wir dein Anliegen prüfen.

 

 

Gruss

StefanieK

IT-Spezi
Level 1
3 von 11

Wird gemöss meinen Erfahrungen mit Centro Business 2.0 und aktueller Firmware nie funktionieren. IP Passthrough ist leider nicht zu vergleichen mit einem Bridge Mode. DDNS auf dem USG20 trug bei mir die GATEWAY Adresse des Centro Business ein. Somit ist klar, dass die VPN Pakete  gar nie ankommen, da sie gar nicht auf die WAN-IP des Centron Business Routers geschickt werden. Meine Alternativen im Moment: 

- keine AllOverIp Lösungen für Kunden mit Firewall und VPN = abwarten

- Swisscom Enterprises Lösungen einsetzen

- Providerwechsel

Es ist eigentlich sehr schade, dass beim Endspurt der Umstellung von ISDN auf AllOverIP SwissCom KMU keine vernünfutge Lösung anbieten kann für Kunden mit Firewall hinter dem Router oder Kunden mit einer TVA. Diese Kundegruppe ist wohl in der Mehrheit bei den KMU. 

init0
Level 1
4 von 11

Hallo IT-Spezi 

 

Nun ja ich versteh generell das Paket welches hier geschnürt wurde nicht ganz .Bei Privatanschlüssen würde ich ja nichts sagen, aber hier geht es ja um Business-Anschlüsse, da interessiert Swisscom-TV eigentlich herzlich wenig und IP-Telefonie funktioniert ja erwiesenermassen auch wenn da vorne drann noch eine Bridge/Firewall hängt.

 

Mit freundlichen Grüssen 

 

Martin 

 

init0
Level 1
5 von 11

Hallo StefanieK 

 

Gibt es hier in der Zwischenzeit Ansätze für eine Lösung?

 

Mit freundlichen Grüssen

 

Martin 

init0
Level 1
6 von 11

Tja da herrscht Funkstille seitens von Swisscom. Trotz Zusage kein Lösungsvorschlag. Da werde ich mich wohl der Konkurrenz zuwenden müssen. 

rolibert
Level 2
7 von 11

Hallo

 

Hast Du schon eine Antwort der Swisscom?  Gemäss meinen Infos (Kundenberater/Support/Hotline), sollte der "grosse" Router Bridge-Tauglich sein, da darf aber nur ein bestimmter Anschluss der LAN-Ports (4 ?) dafür verwendet werden, die anderen müssen für die Swisscom-Funktionen frei sein. Dabei wird dann die Public-IP an das dahinter angeschlossene Gerät weitergeleitet. Telefon und TV müssen zwingend am Swisscom-Router eingesteckt sein, das LAN kann dann hinter dem eigenen Router aufgebaut werden. Dadurch hat der eigene Router die externe IP und VPNs sind dann möglich.....

Wie gesagt, ich habe das von den verschiedensten Stellen der Swisscom und von einem Elektriker, der diverse installationen gemacht hat..... leider ist die Infofreudigkeit von der Swisscom dahingehend nicht sehr hoch

Tux0ne
Level 9
8 von 11

Es gibt keinen Bridge Mode!

Mit mind. 1 fixen IP (+ 10CHF) stehen aber weitere Möglichkeiten zur Verfügung.

Wie PPPoE Passthrough wo man die PPPoE Verbindung auf der Firewall terminieren kann.

Diese Möglichkeiten werden hier unter weitere Einstellungen beschrieben:

https://www.swisscom.ch/de/business/kmu/hilfe/geraet/centro-business-einrichten.html

 

IP Passthrough ist kein Bridge Mode. Das ist so was wie NAT Default Mode. Dabei bekommt die Firewall auf der WAN Schnittstelle nicht die öffentliche IP. Damit ist klar das man mit einer Zywall alleine Probleme bekommt.

Dieser IP Passthrough wird vom Support gerne mal mit Bridge Mode verwechselt.

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
rolibert
Level 2
9 von 11

Hallo Tux0ne

danke für Dein Feedback. Es stimmt, beim "Bridge-Modus" bin ich von einer fixen IP-Adresse ausgegangen, sorry. Bei einer eigenen FW wirklich nur mit fixer IP und PPPoE Passthrough. Deine Links zur Swisscom zeigen, dass die neueste Firmware des Centro Business 2.0 VPNs (bis 10) unterstützen soll, es darf dann aber nicht SecurityGateway angegeben sein und gem. Beschrieb soll es auch über DynDNS funktionieren (Site-to-Site VPN über IPSec). Es sei mit Zyxel/Zywall getestet worden..... Ich denke, dass dann aber IP-Passthrough nicht aktiv sein darf/kann.....

Ob die Leistung des Centro Business aber gut ist, um 10 VPN's zu handeln, weiss ich nicht... 😉

Gruss

rolibert

init0
Level 1
10 von 11

Sali Rolibert

 

Nun Swisscom wird mir testweise noch eine fixe IP aufschalten damit ich das Ganze noch durchspielen kann. Ich poste dann das Ergebnis.

Grundsätzlich ist und bleibt es ein lausiger Kundenservice, wenn im Vorfeld nicht über die Konsequenzen der Umstellung informiert wird, anschliessend der Kunde selber rausfinden muss wie allfällige Lösungswege aussehen könnten und zusätzlich noch fixe IPs bezahlt werden müssten (die es vorher nicht brauchte). 

Und ja zu den Reaktionszeiten seitens Swisscom möchte ich mich gar nicht erst äussern.

 

Mit besten Grüssen 

init0
Level 1
11 von 11

Hallo zusammen

 

Ok, auch mit fixen IPs habe ich das Ganze nicht zum Laufen gebracht.

Entweder bin ich zu doof (was ich insgeheim zwar anzweifle) oder dann ist es mit diesem Router einfach nicht vorgesehen so "wilde" Sachen zu machen.

 

Fazit: Wir wechseln auf eine Anbieter der einem keinen Router aufzwängt (Meine persönliche Empfehlung Init7). 

Nach oben