Guten Tag
Wir nutzen geschäftlich UMTS-Router, zu welchen wir von einem Windows-PC aus einen OpenVPN Tunnel aufbauen, um die technischen Geräte, welche an der LAN-Schnittstelle des UMTS-Routers angeschlossen sind, fernwarten zu können. Dazu wird eine SIM-Card mit CAA-Option benötigt, die CAA-Option sorgt dafür, dass der UMTS-Router eine dynamische, öffentliche IP-Adresse zugewiesen bekommt. In Zusammenspiel mit einem DynDNS-Service ist der mobile UMTS-Router somit "von aussen" (über das Internet) direkt erreichbar, was die Voraussetzung ist, dass der VPN-Tunnel aufgebaut werden kann.
Nun wurden wir von Seiten Swisscom darüber informiert, dass die CAA-Option am "Aussterben" sei, der Dienst werde max. noch 2 Jahre unterstützt und es gäbe keine Nachfolgelösung dazu.
Kennt jemand dieses Problem auch?
Gibt es eine solche Lösung bestehend aus SIM-Karten mit einer öffentlichen IP-Adresse auch bei anderen Telekom-Anbietern? (z.B. Sunrise).
Würde mich über Rückmeldungen freuen.
So, will euch noch schnell das Ende der Story erzählen.
CAA-Option war über Swisscom nicht mehr erhältlich, deshalb haben wir nun (und werden das auch in der Zukunft so tun...) ein Daten-Mobile-Abo bei Sunrise gelöst. Danach beim Sunrise Business-Support angerufen, sie sollen uns bitte die Option Remote-APN freischalten, damit dem gelösten Mobile-Abo eine public-IP-Adresse zugeteilt wird.
Nach 5 Minuten war alles erledigt, VPN-Zugang auf den remoten LTE Industrie-Router funktioniert tadellos.
Bye-bye Swisscom...
Es ist schon löblich, dass für die Fernwartung ein verschlüsselter VPN-Tunnel verwendet wird. Jedoch wird der VPN-Tunnel in der falschen Richtung aufgebaut. Heute agiert der Windows-PC als VPN-Client und der UMTS-Router als VPN-Server. Der VPN-Client baut den VPN-Tunnel zum VPN-Server auf. Dies ist nur möglich, wenn der VPN-Server über eine öffentliche IPv4-Adresse besitzt ODER der VPN-Tunnel vollständig über IPv6 realisiert wird.
Ich empfehle am Firmensitz eine Netzwerkkomponente als VPN-Server zu installieren und diesen VPN-Server mit einer öffentlichen, festen IPv4-Adresse zu betreiben. Der UMTS-Router wird so umkonfiguriert, dass er als VPN-Client agiert und den verschlüsselten VPN-Tunnel zum VPN-Server automatisch aufbaut, sobald eine Internetverbindung über den Mobilfunk besteht. Mit dieser Lösung kann der UMTS-Router mit einer privaten IPv4-Adresse betrieben werden und die CAA-Option wird nicht mehr benötigt.
Idealerweise wird eine moderne und sichere VPN-Tunnellösung mit IKEv2/IPSec konform zu BSI TR-02102-3 realisiert. Aus Verfügbarkeitsgründen sollte der VPN-Server am Firmensitz redundant aufgebaut sein. Also zwei VPN-Server auf zwei verschiedenen Netzwerkkomponenten mit verschiedenen Internetanschlüssen. Siehe auch:
https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html
Als VPN-Server kann bereits ein Raspberry Pi fungieren. Siehe dazu:
Generell zum Thema "Sicherheit" beim Einsatz der CAA-Option siehe auch:
@Grand Dixance
Als erstes möchte ich mich zwar für Ihre Antwort bedanken.
Jedoch beantwortet er meine Frage nach der CAA-Option nicht, was schade ist.
Nur soviel:
Den UMTS-Router als VPN-Client zu konfigurieren stellt für uns keine Option dar, da nur im Bedarfsfall zu Fernwartungszwecken von Technikern (RoadWarriors) ein End-to-Site VPN-Tunnel zum UMTS-Router und dem dahinterliegenden Netzwerk mit technischem Equipement aufgebaut wird.
Wenn aber jemand über das Thema CAA-Option Bescheid weiss, bitte melden!
So, will euch noch schnell das Ende der Story erzählen.
CAA-Option war über Swisscom nicht mehr erhältlich, deshalb haben wir nun (und werden das auch in der Zukunft so tun...) ein Daten-Mobile-Abo bei Sunrise gelöst. Danach beim Sunrise Business-Support angerufen, sie sollen uns bitte die Option Remote-APN freischalten, damit dem gelösten Mobile-Abo eine public-IP-Adresse zugeteilt wird.
Nach 5 Minuten war alles erledigt, VPN-Zugang auf den remoten LTE Industrie-Router funktioniert tadellos.
Bye-bye Swisscom...
@the Wanderer schrieb:
Ein Daten-Mobile-Abo bei Sunrise gelöst. Danach beim Sunrise Business-Support angerufen, sie sollen uns bitte die Option Remote-APN freischalten, damit dem gelösten Mobile-Abo eine public-IP-Adresse zugeteilt wird.
Nach 5 Minuten war alles erledigt, VPN-Zugang auf den remoten LTE Industrie-Router funktioniert tadellos.
Bye-bye Swisscom...
Top Leistung Sunrise!
Hallo Zusammen
Ich habe ein ähnliches Problem, jedoch betrifft es mich so halb privat und nicht in einem grossen Geschäftsnetzwerk. Ich besitze Geräte welche ich ab und zu extern gebe und auf die ich gerne im Notfall eine Remotedesktopverbindung machen möchte.
Da ich nicht ein grosses Unternehmensnetzwerk besitze möchte ich das möglichst simpel lösen. Ich besitze einen kleinen 4g Hotspot welche ich mit dem mobilen Gerät mitgebe. Darauf ist eine Multi-Simkarte meines Swisscom Abos.
Nun habe ich gelesen, das es aufgrund der fehlenden CAA Option nur noch möglich ist, das Externe Gerät als VPN Client zu konfigurieren. Zuhause habe ich eine normale Swisscom Internet Box 2. Dort sollte eigentlich ein VPN Serverkonfiguration möglich sein?
Falls das alles klappen sollte dass ich Zuhause auf der Box den VPN Server konfiguriere und auf dem Gerät den Client, ist es dann auch möglich, von einem Computer auf meinem im Netzt Zuhause via Remotedesktop auf den Client draussen zuzugreiffen, also in umgekehrter Richtung?
Besten Dank für Eure Tipps
Gruss
Samuel
Wenn Du auf der IB2 den VPN-Server konfigurierst und auf einem externen Client die richtigen zugehörigen L2TP-Zugriffsdefinitionen hinterlegst, kann dieser (egal ob aus einem fremden WLAN, dem Mobilnetz oder via Deinem mitgegebenen 4G-Hotspot) auf Dein Heimnetz zugreifen.
Was nicht funktionieren wird ist der Zugriff aus Deinem Heimnetz auf den externen VPN-Client, denn dies wird von einem Remote Access VPN Server nicht unterstützt.
Die Frage ist vielleicht noch, wieso Du überhaupt auf den VPN-Client zugreifen möchtest?
Falls es um Remote-Supportunterstützung für einen externen Benutzer geht müsste man dann nämlich vielleicht über andere geeignete Tools wie AnyDesk oder TeamViewer diskutieren.
Der Grund wieso ist genau jener mit dem Remotezugriff, falls ein Problem besteht oder ich etwas von extern anpassen muss.
Das Problem ist, dass die Nutzer welche die Geräte extern brauchen kein grosses Computerverständnis haben und ein Art Kiosk System im Vordergrund läuft, somit muss ich ohne Einfluss der Anwesenden vor Ort auf das Gerät zugreifen können.
Wenn Dir die Fernsteuerung eines Windows PC über da Internet helfen würde, schaue Dir doch mal die Gratis-Software AnyDesk und die entsprechenden Anleitungen dazu näher an.
Kannst ja auch einfach mal ein paar Tests damit machen.
INFOMATION! DIE OPTION CAA IST IM JAHRE 2021 IMMER NOCH VERFÜGBAR!
Siehe Bilder
Aber nicht mehr bei Neu-Abo's, so viel ich weiss.
Oder anders gefragt, wann haben Sie ihr Abo mit der CAA-Option gelöst?
Danke im Voraus für eine Rückmeldung.
Hatte heue mit Swisscom Kontakt. Zuerst wollte man dort nicht von dieser CAA Option Wissen und erst mit dem Hinweis das dies in Ihrem Forum oft genannt wird kam folgendes:
Geht „Offiziell“ nur mit reinen Datenabos oder mit mit einem KMU Abo... Wahrscheinlich werden da wieder nicht alle Kunden gleich behandelt...
Auch wenn man fast 20 Jahre Kunde ist soll man ein neues Abo abschliessen.. Tja werde ich wohl auch machen nur denke ich nicht mehr bei Swisscom... So iel zu diesem Thema...
Danke für Ihre Antwort.
Aha, das tönt schon nicht mehr nach kompletter Ablehnung.
Wir hatten etwa 5 reine Daten-Abo's inkl. CAA-Option geschäftlich im Einsatz, als wir dann vor etwa 2 Jahren zusätzlich 2 Business-Daten-Abo's lösen wollten, wurden wir zurückgewiesen mit den Worten: "dieser Dienst wird nur bei bestehenden Verträgen weitergeführt, kann aber bei Neu-Abo's nicht mehr abonniert werden."
Daraufhin haben haben wir unseren Kunden den Umstieg auf Sunrise empfohlen, dort heisst diese Option "Remote-APN".
Vielleicht muss ich wieder mal mit unserem Swisscom-Ansprechpartner sprechen, ob in der Zwischenzeit ein leichtes Umdenken bei Swisscom stattgefunden habe....
Ich habe heute CAA problemlos eingeschaltet bekommen auf mein inOne KMU mit multi sim
Der CAA Service ist immer noch verfügbar. Habe heute (31.12.21) einen VPN-Service (Windows / IOS und TP-Link LTE Router mit Multidevicekarte) in Betrieb genommen. Das Abonnieren des Services ging super schnell über die Swisscom Hotline, der Service (5.00 CHF für Haupt- und alle Multidevicekarten) war nach 10 Minuten aufgeschaltet und benutzbar und funktioniert auch mit Dataroaming im Ausland.
Funktioniert die CAA Option wirklich auch mit Multi Device Option SIM?
@Tiesiestald25 schrieb:
Funktioniert die CAA Option wirklich auch mit Multi Device Option SIM?
Ja, gemäss diesem Beitrag hier:
Solved: CAA option on Multi Device | Swisscom Community
hatte eben mit Swisscom Chat Kontakt und der wollte mir weis machen das eine öffentliche IPV4 Adresse nicht nötig wäre für VPN Zugriff laut ihrer Experten.
Tolle Experten liebe Swisscom. 😂
@cybi schrieb:
hatte eben mit Swisscom Chat Kontakt und der wollte mir weis machen das eine öffentliche IPV4 Adresse nicht nötig wäre für VPN Zugriff laut ihrer Experten.
Tolle Experten liebe Swisscom. 😂
Er hat übrigens nicht mal ganz unrecht, denn vorausgesetzt Du hast auf der Internetbox den vollen native Dual-Stack mit IPv6 und der Umgang der Swisscom mit IPv6 native, wäre für den Kunden auch transparent nachvollziehbar, und Du hättest einen VPN-Server zur Verfügung, welcher auch IPv6 unterstützt, und das ganze würde auch in Kombination aller Komponenten auf einem Swisscom-Anschluss tatsächlich in Praxis auch funktionieren, dann und nur genau dann, brauchst Du tatsächlich keine öffentliche IPv4-Adresse.
Die Aussage Deines Chat-Kontaktes ist also durchaus richtig wenn man ein einfaches Problem durch drei komplizierte Probleme ersetzt.
Alles eine Frage des Kontext.
P.S.:
Für mich selbst übrigens aktuell immer noch ein Laborprojekt, aber bisher bin ich immer noch auf der Suche nach Swisscom-internen technischen Details…
Irgendwie wollen sich da die internen IPv6-Spezialisten, die es sicher irgendwo entweder bei der Swisscom direkt, oder bei ihren Zulieferanten der Software geben wird, gegenüber Kunden aus dem Privatbereich einfach noch nicht zu erkennen geben…