VPN

Problematik public IP auf WAN der Firewall:

Die Swisscom Router sind so konzipiert das ein Bridge Mode aktuell nicht möglich ist. Alternativ bieten diese eine IP Weiterleitung bzw. im Falle der Internet Box eine "DMZ" auf ein Ziel. Dabei wird beim Centro Router von ADB/Pirelli die public IP abgebildet. Beim Centro Router von Motorlola/Arris und der Internet-Box wird da die private IP beibehalten und nur der Traffic so weit als möglich weitergeleitet.

Daher Problem DDNS: Falls die Firewall nur die IP vom WAN übermitteln kann ist muss man dies mit einem anderen Client lösen. Bastellösungen mit den DDNS Clients der Swisscom Router wären möglich. 

Problem Site-to-Site VPN: Ich vermute das man hier ein L2TP über ipsec verwenden möchte. Ist natürlich nicht die einfachste Variante da verschiedenste Dinge zusammenpassen müssen. Selbst wenn das DDNS Problem gelöst ist müssten die Swisscom Router den Traffic auch noch durchlassen. 

Falls man zB. ein IPfire System verwenden würde so wären all diese Probleme keine Probleme.

Der DDNS Dienst von IPfire kann die reale öffentliche IP ermitteln.

Site-to-Site VPN lässt sich mit openvpn performant, sicher und extrem schnell konfigurieren. Nebenbei ist diese Firewall auch noch Swisscom TV tauglich womit man sein Netz in dem Sinne einfach halten könnte.

Daher muss ich mir selber eigentlich keine Gedanken machen da ich für meine Anwendungen eine Lösung gefunden habe welche alle Scheisse von Swisscom komme was wolle ausbügeln kann 😄

multivir schrieb:
Hi Tux0ne,

- In diesem Fall ist der Centro (entgegen meiner ursprünglichen Annahme) ein Motorola Modell. Ich erhalte bei der IP Weiterleitung nur die 192.168er Adresse.

- Ist es bei der Internet Box mit der "DMZ" möglich, die public IP abzubilden?

Nein

- Site-to-Site: Ja, das war so angedacht (und auch bei meinem Provider erfolgreich getestet). Heisst das, dass es mit Swisscom überhaupt nicht funktionieren kann oder lässt sich L2TP "freischalten"?

Probleme sind immer wieder ESP und NAT. Aus dem Bauch würde ich sagen das es mit 2 Internet-Boxen als Gateway funktionieren könnte. Falls es jetzt nicht funktioniert alternativ am Standort A wo scheinbar nur Internet in Betrieb ist wirklich mal einen Zyxel Router bridgen.

IP Fire würde wahrscheinlich die Anschaffung von zwei neuen Maschinen bedingen. Oder von zwei Appliances à je 650 Euros.
Dass kann ich meinen Kollegen nicht zumuten...

Was ich noch nicht ganz verstehe: Die public IP lässt sich nicht abbilden, eine VPN Verbindung zwischen Zyxel und Internetbox ist eventuell möglich. Würdest du die VPN Verbindung / Verschlüsselung mit Zyxel und Internet Box machen?

Die Kollegen würden den Zyxel anschaffen, jedoch nur wenn dies zur Lösung des Problems führt. Ich stehe natürlich extrem doof da, wenn ich nun weitere Hardwareanschaffungen empfehle, die dann nicht zur Lösung führen. Der von Swisscom vorgeschlagene P-870H kann selber kein VPN. D.h. entweder ist ein grösserer Router notwendig, oder ein zusätzliches Gerät, das VPN kann.

Für dieses VPN habe ich zwei Cisco RV320 konfiguriert. Versuchshalber habe ich auf dem Centro Grande eine DynDNS Adresse eingerichtet und damit versucht von aussen an den Cisco ranzukommen.

Das hat (bei mir, in diesem Setup, zu diesem Zeitpunkt) nicht funktioniert. Dort könnte ich sicher nochmals mehr Zeit investieren, hatte jedoch die Vermutung, dass es nicht klappt, weil DynDNS vom Modem kommt und nicht vom VPN Router - ergo das Signal deshalb nicht durchgeroutet wird, sondern an der "Vorderseite" des Ciscos geblockt wird.

Hilfääää 🙂

Ich kann dir nichts in einer Konstellation versprechen welche ich nicht selber versucht habe.

Ich würde aber nochmals einen Versuch mit den bestehenden Komponenten machen.

DDNS würde ich für diesen Versuch mal einfach aussen vor lassen und für den Versuch mit den IP's direkt arbeiten.

Da die Swisscom Router in diesem Setup die öffentliche IP nicht weiterleiten, bekommt die Firewall eine IP aus dem LAN des Swisscom Routers.

Wurde daran gedacht das die die Netze der Swisscom Router angepasst werden müssen da diese ansonsten beide gleich sind? Standort A zB. 192.168.20.0 und Stao B 192.168.30.0 ?

Da man sonst mit der public IP arbeitet ist dies nie ein Problem, wird aber in solchen Fällen gerne missachtet!

Ein weiteres Schlagwort wäre zusätzlich noch NAT-Traversal in der VPN Konfiguration.

Und dann mal schauen was so in den Logs der Cisco Router zu sehen ist.

Ich bin nicht der VPN Profi, aber es wird bald (Frühling) neue Features auf der Internetbox geben und evt. sind dann die VPN & DDNS Problem gelöst... Darum wäre evt. abwarten vorerst die Devise 😉

Naja, zwischen Site to Site und EINEM! Roadwarrior besteht schon noch ein kleiner Unterschied 😉

Beim DDNS für Arme gebe ich dir hingegen recht.

---

@Tux0ne schrieb:

Problem Site-to-Site VPN: Ich vermute das man hier ein L2TP über ipsec verwenden möchte. Ist natürlich nicht die einfachste Variante da verschiedenste Dinge zusammenpassen müssen. Selbst wenn das DDNS Problem gelöst ist müssten die Swisscom Router den Traffic auch noch durchlassen.  

---

Bevor ich nun sinnlos ins Leere bastle, habe ich letzte Woche bei Swisscom angerufen und gefragt, ob L2TP von Swisscom in irgendeiner Form abgeschnitten wird - denn wie Tux0ne gesagt hat, möchte ich nicht, dass DynDNS läuft und ich erst dann bemerke, dass es gar nicht funktionieren kann, weil mir ein anderes Problem einen Strich durch die Rechnung macht.

Von Swisscom habe bis heute nichts gehört und deshalb heute nochmals angerufen. Ich erwarte keinesfalls, dass die erste Person am Telefon ein Netzwerkspezialist ist oder sich mit OSI Layers auskennt. Die Antwort war jedoch im Ticket vermerkt und wurde mir vorgelesen. Sie lautete in etwa: "Dies fällt nicht in den Bereich der Swisscom und muss von der Informatik gelöst werden. Es sind die entsprechenden Ports und UDP zu öffnen".

Ich bin nun nach wie vor am gleichen Fleck und weiss nicht, ob L2TP läuft oder nicht. Die Swisscom Anschlüsse sind nicht bei mir daheim. Ich kann also nicht "ein wenig ausprobieren". Es scheint unmöglich, jemanden ans Telefon zu bekommen, der mir kompetent weiterhelfen kann.

Muss ich davon ausgehen, dass L2TP am Schluss nicht funktioniert und ich die Übung abbrechen muss, auch wenn ich den DynDNS Teil des Problems lösen könnte? (Die IPFire Lösung muss ich für diesen Moment mal aussen vor lassen)

Die Frage nochmals in Kurzform: Welche Probleme blühen mir mit L2TP?

Swisscom blockiert diesen Dienst in ihrem Netz nicht.

Das Problem ist das die Consumer Router den transparenten Modus nicht mehr kennen. Daraus ergeben sich in diesem Fall mögliche Probleme.

Eine L2TP-IPSEC Verbindung erfordert auch die Weiterleitung des Protokolls ESP 50. Das ist ein Protokoll und kein Port!

Dies und manchmal auch ein ALG auf dem Router führen bei Swisscom Consumer immer wieder zu Komplikationen wenn man die Terminierung hinter dem Swisscom Router vornehmen möchte.

Ein 2tes Problem welches man aber idR. lösen kann ist die Sache mit den privaten IP's und dass diese sich nicht beissen.

Hi Tux0ne

Dass IPSEC ein Protokoll und kein Port ist, war mir bekannt - deshalb befremdet mich die Antwort von Swisscom auch sehr.Im konkreten Fall wären ja eine Internet Box und ein Centro Grande bzw. als Ersatz dafür ein Zyxel Router im Einsatz.

Verhindern die Geräte besagtes ESP 50 Protokoll oder gibt's einen Application Level Gateway, den ich auf diesen Geräten nicht ausschalten kann?

Vielen Dank,

M.

P.S. Es scheint ziemlich unglaublich, dass das alles so kompliziert ist - zumal dies bei anderen Providern ohne weiteres Zutun läuft.

Gibt's bei der Swisscom keine Stelle wo ich mich melden kann im Sinne von "Guten Tag, ich brauche eine VPN Verbindung, so dass TV, Internet und Telefonie für Nicht-Firmenkunden gleichzeitig auch noch läuft?" und man mir hierfür eine halbwegs passable Lösung bietet, die auch ein Semi-Geek einzurichten vermag? Leider hatte ich nicht den Eindruck, dass die Leute von Swisscom My Service dies auch gegen zusätzliche Bezahlung einrichten können.

Hallo allerseits!

Habe ähnliche Probleme und kann zumindest bestätigen, dass vpn über ipsec sehr instabil läuft sowie L2TP (zumindest vom iPhone aus) nicht funktioniert. Andere VPN-Lösungen wie OpenVPN, Shrewsoft usw. funktionieren einwandfrei.

Momentan leite ich die Ports via DMZ von der Internet-Box auf die Firewall (USG) weiter.

Da ich jedoch auf die Firewall/VPN-Verbindung über ipsec angewiesen bin und Swisscom-TV laufen sollte, suche ich weiterhin nach einer Lösung.

Na dann, hoffen wir, dass bald ein Update für die IB rauskommt, damit die IP wie früher weitergeleitet werden kann - wäre die einfachste Lösung!!!

Aussert TuxOne hat noch eine auf Lager 😉 (PS: Danke für Deine fleissige Community-Arbeit)

---

@flowsi schrieb:

 

 

Aussert TuxOne hat noch eine auf Lager 😉 (PS: Danke für Deine fleissige Community-Arbeit)

---

Gehasst, verdammt, vergötter. Je nachdem wohin das Schwert halt gerade hinschwingt 😉

Wieso kannst du openvpn nicht einsetzen? Clients gibst da doch mittlerweile ja für fast alles, nicht?

Sonst muss man auf ein Update der Internet Box warten. L2TP-IPSEC mit PSK für eine Verbindung soll ja bald mal möglich sein.

Aber klar, was einige User eigentlich brauchen wäre eine transparente Schnittstelle. Mehr ist da eigentlich gar nicht gewünscht. Das wäre doch für ein einfaches Gerät doch gerade dafür prädestiniert. Kann dir aber versichern das die Gespräche dazu ziemlich ermüdend sind. Es herrscht da teilweise noch einiges an Bildungsresistenz.

Aber man muss diese ehemaligen Fritz Fanboys langsam an die Sache führen oder zwischen durch auch mal mit kleinen Aktionen dazu zwingen.

Never surrender!

Hoi zäme

Habe mich etwas durch eure Berichte gelesen. die Problematik mit dem VPN ist aktuell bekannt. Aktuell nutzen wir selber an einigen unserer Standorte My KMU Office mit dem CentroBusiness. Auch dieser lässt sich nicht bridgen. Eine DMZ wie bei der Internetbox ist auch nicht verfügbar.

Als zuverlässige Geräte mit einigen Features setze ich für VPN-Verbindungen ZyXEL USGs ein. Dabei läuft auf dem CentroBusiness der DDNS-Client, welcher brav die aktuelle öffentliche IP-Adresse ans Dyndns meldet. Die VPN-betroffenen Ports leite ich dann jeweils an die USGs weiter. Diese wiederum stellt die IPSec-Verbindung dann zwischen den Standorten her. Obwohl die USG somit "nur" eine intere Adresse bezieht, funktioniert der Verbindungsaufbau (über den Centro Business) tadellos.

Diese Lösung bietet den Vorteil, dass ich trotzdem die All-IP-Telefonanschlüsse der CentroBusiness-Geräte nutzen kann. Swisscom TV problemlos läuft und Zugriff auf den Router (Firmware-Update) habe.

Alternativ könnte auch ein ZyXEL Standardrouter P-870 oder ein SBG-Router eingesetzt werden. Dann müssten aber die SIP-Credentials ausgelesen werden, falls Telefonie verwendet werden soll.

Das ganze hatte ich vor dem My KMU Office-Anschluss auch schom mit einem Bluewin-Anschluss erfolgreich in Betrieb. Centro Grande, Piccolo und Internetbox waren dabei alle mal in Betrieb 😉

Bei Business Internet-Anschlüssen bietet der Centro Business alternativ auch die integrierte VPN-Funktion an. Bei My KMU Office ist diesser Menupunkt leider nicht verfügbar.
Auch die neue Firmware 7.08.12 hat daran nichts geändert...

Wenn ich dich richtig verstanden habe kannst du ja anstelle des Swisscom Routers ein Gerät nehmen das als Bridge dient z.B. ZyXEL P-870H und dahinter deine Firewall. Du bekommst die öffentliche IP und kannst DynDNS auf deiner Firewall nutzen. Damit hast du die gleiche Situation wie bei deinem Test mit anderem Provider. NUR... Swisscom TV ist dann eine andere Geschichte und wir vermutlich nicht einfach so funktionieren falls das genutzt wird.

Ja und nein. Bei digitalem Telefonanschluss (mit Internet Box) kann man anscheinend kein Zyxel verwenden. Und wenn man ein Zyxel bzw. ein gebridgtes Modem einsetzt, gibt's anscheinend Probleme mit Swisscom TV.

-> d.h. in diesem Fall wohl eher nein....

Danke für die Infos betreffend ALL-IP Telefonie. Ja klar wenn das auch noch genutzt wird wird es schwierig. Bin mal gespannt was in Zukunft kommen wird, so finde ich es höchst unbefriedigend. Swisscom-Router im Routingmodus sowie den Portweiterleitungen will man ja verhindern wenn man einen Eigenen Router/Firewall verwenden und z.B. Standorte verbinden möchte oder VPN Road Warrior. Ich weiss der nächste Spruch ist "das sind Angebote für Private..." aber ich kenne mindestens so viele Unternehmen die "Private Produkte von Swisscom" einsetzen wie solche die Geschäftsanschlüsse haben und ob es dort anders ist bin ich mir nicht mal sicher mit IP Telefonie. Wie gesagt unbefriedigend, hoffe da ändert sich was in Zukunft.

hallo vpn freunde 😉

muss meine aussage vom 10.02.2015 korrigieren:

---

flowsi schrieb:

 

Habe ähnliche Probleme und kann zumindest bestätigen, dass vpn über ipsec sehr instabil läuft sowie L2TP (zumindest vom iPhone aus) nicht funktioniert. Andere VPN-Lösungen wie OpenVPN, Shrewsoft usw. funktionieren einwandfrei.

...

---

ipsec lief nicht wegen der internet box instabil sondern weil ein "lieber" mitarbeiter der swisscom (im zusammenhang des neuen glasfaseranschlusses) ein internetanschluss eines anderen standortes aufgehoben hat. leider erst beim neustart der firewall bemerkt.

somit kann ich bestätigen das mit der dmz weiterleitung der internet box, vpn über ipsec einwandfrei funktioniert (verwemde usg 20 und usg 100), dyndns habe ich direkt bei der ib eingerichtet, da per dmz keine ip-weiterleitung stattfindet.

auch funktionieren bei mir swisscom-tv und telefongeräte.

einziges problem ist nun noch die l2tp-ipsec verbindung die ich über die ib nicht aufbauen kann.

@Tux0ne weisst Du mehr über "soll ja bald mal möglich sein"?!? 

---

Tux0ne schrieb:

 

...

Sonst muss man auf ein Update der Internet Box warten. L2TP-IPSEC mit PSK für eine Verbindung soll ja bald mal möglich sein.

... 

---

Ciao

kurze anfrage.. hast du die l2tp-ipsec verbindung schon hinbekommen ?

Ich kämpfe seit einiger zeit mit dem Verusch... eine VPN verbindung (L2TP/IPSec PSK) von meinem Android via Internet-Box ( DMZ Weiterleitung aktive ) auf eine Zywall USG20 herzustellen...

Danke für Dein Feedback