abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 
Gelöst
  • Der Fragesteller hat diesen Beitrag als gelöst markiert.

Mobile-Abo mit CAA-Option

Highlighted
Level 1
1 von 9

Guten Tag

 

Wir nutzen geschäftlich UMTS-Router, zu welchen wir von einem Windows-PC aus einen OpenVPN Tunnel aufbauen, um die technischen Geräte, welche an der LAN-Schnittstelle des UMTS-Routers angeschlossen sind, fernwarten zu können. Dazu wird eine SIM-Card mit CAA-Option benötigt, die CAA-Option sorgt dafür, dass der UMTS-Router eine dynamische, öffentliche IP-Adresse zugewiesen bekommt. In Zusammenspiel mit einem DynDNS-Service ist der mobile UMTS-Router somit "von aussen" (über das Internet) direkt erreichbar, was die Voraussetzung ist, dass der VPN-Tunnel aufgebaut werden kann.

Nun wurden wir von Seiten Swisscom darüber informiert, dass die CAA-Option am "Aussterben" sei, der Dienst werde max. noch 2 Jahre unterstützt und es gäbe keine Nachfolgelösung dazu.

Kennt jemand dieses Problem auch?

Gibt es eine solche Lösung bestehend aus SIM-Karten mit einer öffentlichen IP-Adresse auch bei anderen Telekom-Anbietern? (z.B. Sunrise).

Würde mich über Rückmeldungen freuen.

HILFREICHSTE ANTWORT

Akzeptierte Lösungen
Highlighted
Level 1
4 von 9

So, will euch noch schnell das Ende der Story erzählen.

 

CAA-Option war über Swisscom nicht mehr erhältlich, deshalb haben wir nun (und werden das auch in der Zukunft so tun...) ein Daten-Mobile-Abo bei Sunrise gelöst. Danach beim Sunrise Business-Support angerufen, sie sollen uns bitte die Option Remote-APN freischalten, damit dem gelösten Mobile-Abo eine public-IP-Adresse zugeteilt wird.

Nach 5 Minuten war alles erledigt, VPN-Zugang auf den remoten LTE Industrie-Router funktioniert tadellos.

 

Bye-bye Swisscom...

8 Kommentare
Highlighted
Level 1
2 von 9

Es ist schon löblich, dass für die Fernwartung ein verschlüsselter VPN-Tunnel verwendet wird. Jedoch wird der VPN-Tunnel in der falschen Richtung aufgebaut. Heute agiert der Windows-PC als VPN-Client und der UMTS-Router als VPN-Server. Der VPN-Client baut den VPN-Tunnel zum VPN-Server auf. Dies ist nur möglich, wenn der VPN-Server über eine öffentliche IPv4-Adresse besitzt ODER der VPN-Tunnel vollständig über IPv6 realisiert wird.

 

Ich empfehle am Firmensitz eine Netzwerkkomponente als VPN-Server zu installieren und diesen VPN-Server mit einer öffentlichen, festen IPv4-Adresse zu betreiben. Der UMTS-Router wird so umkonfiguriert, dass er als VPN-Client agiert und den verschlüsselten VPN-Tunnel zum VPN-Server automatisch aufbaut, sobald eine Internetverbindung über den Mobilfunk besteht. Mit dieser Lösung kann der UMTS-Router mit einer privaten IPv4-Adresse betrieben werden und die CAA-Option wird nicht mehr benötigt.

 

Idealerweise wird eine moderne und sichere VPN-Tunnellösung mit IKEv2/IPSec konform zu BSI TR-02102-3 realisiert. Aus Verfügbarkeitsgründen sollte der VPN-Server am Firmensitz redundant aufgebaut sein. Also zwei VPN-Server auf zwei verschiedenen Netzwerkkomponenten mit verschiedenen Internetanschlüssen. Siehe auch:

 

https://www.lancom-systems.de/produkte/router-vpn-gateways/

 

https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795

 

https://www.lancom-systems.de/produkte/firmware/lifecycle-management/

 

https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/redundante-ipsec-ikev1-site2site-vpn-verbindung...

 

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html

Highlighted
Level 1
3 von 9

@Grand Dixance

 

Als erstes möchte ich mich zwar für Ihre Antwort bedanken.

Jedoch beantwortet er meine Frage nach der CAA-Option nicht, was schade ist.

 

Nur soviel:

Den UMTS-Router als VPN-Client zu konfigurieren stellt für uns keine Option dar, da nur im Bedarfsfall zu Fernwartungszwecken von Technikern (RoadWarriors) ein End-to-Site VPN-Tunnel zum UMTS-Router und dem dahinterliegenden Netzwerk mit technischem Equipement aufgebaut wird.

 

Wenn aber jemand über das Thema CAA-Option Bescheid weiss, bitte melden!

Highlighted
Level 1
4 von 9

So, will euch noch schnell das Ende der Story erzählen.

 

CAA-Option war über Swisscom nicht mehr erhältlich, deshalb haben wir nun (und werden das auch in der Zukunft so tun...) ein Daten-Mobile-Abo bei Sunrise gelöst. Danach beim Sunrise Business-Support angerufen, sie sollen uns bitte die Option Remote-APN freischalten, damit dem gelösten Mobile-Abo eine public-IP-Adresse zugeteilt wird.

Nach 5 Minuten war alles erledigt, VPN-Zugang auf den remoten LTE Industrie-Router funktioniert tadellos.

 

Bye-bye Swisscom...

Highlighted
Super User
5 von 9

@the Wanderer  schrieb:

 

Ein Daten-Mobile-Abo bei Sunrise gelöst. Danach beim Sunrise Business-Support angerufen, sie sollen uns bitte die Option Remote-APN freischalten, damit dem gelösten Mobile-Abo eine public-IP-Adresse zugeteilt wird.

Nach 5 Minuten war alles erledigt, VPN-Zugang auf den remoten LTE Industrie-Router funktioniert tadellos.

 

Bye-bye Swisscom...


Top Leistung Sunrise! 

https://www.tuxone.ch
Falls du in deinem Thread eine Antwort von Tux0ne wünschst, so ergänze deinen Text mit @Tux0ne. Damit erhalte ich eine Benachrichtigung.

Highlighted
Level 1
6 von 9

Hallo Zusammen

 

Ich habe ein ähnliches Problem, jedoch betrifft es mich so halb privat und nicht in einem grossen Geschäftsnetzwerk. Ich besitze Geräte welche ich ab und zu extern gebe und auf die ich gerne im Notfall eine Remotedesktopverbindung machen möchte.

 

Da ich nicht ein grosses Unternehmensnetzwerk besitze möchte ich das möglichst simpel lösen. Ich besitze einen kleinen 4g Hotspot welche ich mit dem mobilen Gerät mitgebe. Darauf ist eine Multi-Simkarte meines Swisscom Abos.

 

Nun habe ich gelesen, das es aufgrund der fehlenden CAA Option nur noch möglich ist, das Externe Gerät als VPN Client zu konfigurieren. Zuhause habe ich eine normale Swisscom Internet Box 2. Dort sollte eigentlich ein VPN Serverkonfiguration möglich sein?

 

Falls das alles klappen sollte dass ich Zuhause auf der Box den VPN Server konfiguriere und auf dem Gerät den Client, ist es dann auch möglich, von einem Computer auf meinem im Netzt Zuhause via Remotedesktop auf den Client draussen zuzugreiffen, also in umgekehrter Richtung?

 

 

Besten Dank für Eure Tipps

 

 

Gruss

 

Samuel

Highlighted
Super User
7 von 9

@Selmau 

 

Wenn Du auf der IB2 den VPN-Server konfigurierst und auf einem externen Client die richtigen zugehörigen L2TP-Zugriffsdefinitionen hinterlegst, kann dieser (egal ob aus einem fremden WLAN, dem Mobilnetz oder via Deinem mitgegebenen 4G-Hotspot) auf Dein Heimnetz zugreifen.

 

Was nicht funktionieren wird ist der Zugriff aus Deinem Heimnetz auf den externen VPN-Client, denn dies wird von einem Remote Access VPN Server nicht unterstützt.

 

Die Frage ist vielleicht noch, wieso Du überhaupt auf den VPN-Client zugreifen möchtest?

Falls es um Remote-Supportunterstützung für einen externen Benutzer geht müsste man dann nämlich vielleicht über andere geeignete Tools wie AnyDesk oder TeamViewer diskutieren.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Highlighted
Level 1
8 von 9

 

Der Grund wieso ist genau jener mit dem Remotezugriff, falls ein Problem besteht oder ich etwas von extern anpassen muss.

Das Problem ist, dass die Nutzer welche die Geräte extern brauchen kein grosses Computerverständnis haben und ein Art Kiosk System im Vordergrund läuft, somit muss ich ohne Einfluss der Anwesenden vor Ort auf das Gerät zugreifen können.

Highlighted
Super User
9 von 9

@Selmau 

 

Wenn Dir die Fernsteuerung eines Windows PC über da Internet helfen würde, schaue Dir doch mal die Gratis-Software AnyDesk und die entsprechenden Anleitungen dazu näher an.

 

Kannst ja auch einfach mal ein paar Tests damit machen.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Nach oben