• Der Fragesteller hat diesen Beitrag als gelöst markiert.

Mobile-Abo mit CAA-Option

the Wanderer
Level 1
1 von 39

Guten Tag

 

Wir nutzen geschäftlich UMTS-Router, zu welchen wir von einem Windows-PC aus einen OpenVPN Tunnel aufbauen, um die technischen Geräte, welche an der LAN-Schnittstelle des UMTS-Routers angeschlossen sind, fernwarten zu können. Dazu wird eine SIM-Card mit CAA-Option benötigt, die CAA-Option sorgt dafür, dass der UMTS-Router eine dynamische, öffentliche IP-Adresse zugewiesen bekommt. In Zusammenspiel mit einem DynDNS-Service ist der mobile UMTS-Router somit "von aussen" (über das Internet) direkt erreichbar, was die Voraussetzung ist, dass der VPN-Tunnel aufgebaut werden kann.

Nun wurden wir von Seiten Swisscom darüber informiert, dass die CAA-Option am "Aussterben" sei, der Dienst werde max. noch 2 Jahre unterstützt und es gäbe keine Nachfolgelösung dazu.

Kennt jemand dieses Problem auch?

Gibt es eine solche Lösung bestehend aus SIM-Karten mit einer öffentlichen IP-Adresse auch bei anderen Telekom-Anbietern? (z.B. Sunrise).

Würde mich über Rückmeldungen freuen.

HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
the Wanderer
Level 1
4 von 39

So, will euch noch schnell das Ende der Story erzählen.

 

CAA-Option war über Swisscom nicht mehr erhältlich, deshalb haben wir nun (und werden das auch in der Zukunft so tun...) ein Daten-Mobile-Abo bei Sunrise gelöst. Danach beim Sunrise Business-Support angerufen, sie sollen uns bitte die Option Remote-APN freischalten, damit dem gelösten Mobile-Abo eine public-IP-Adresse zugeteilt wird.

Nach 5 Minuten war alles erledigt, VPN-Zugang auf den remoten LTE Industrie-Router funktioniert tadellos.

 

Bye-bye Swisscom...

38 Kommentare 38
GrandDixence
Level 1
2 von 39

Es ist schon löblich, dass für die Fernwartung ein verschlüsselter VPN-Tunnel verwendet wird. Jedoch wird der VPN-Tunnel in der falschen Richtung aufgebaut. Heute agiert der Windows-PC als VPN-Client und der UMTS-Router als VPN-Server. Der VPN-Client baut den VPN-Tunnel zum VPN-Server auf. Dies ist nur möglich, wenn der VPN-Server über eine öffentliche IPv4-Adresse besitzt ODER der VPN-Tunnel vollständig über IPv6 realisiert wird.

 

Ich empfehle am Firmensitz eine Netzwerkkomponente als VPN-Server zu installieren und diesen VPN-Server mit einer öffentlichen, festen IPv4-Adresse zu betreiben. Der UMTS-Router wird so umkonfiguriert, dass er als VPN-Client agiert und den verschlüsselten VPN-Tunnel zum VPN-Server automatisch aufbaut, sobald eine Internetverbindung über den Mobilfunk besteht. Mit dieser Lösung kann der UMTS-Router mit einer privaten IPv4-Adresse betrieben werden und die CAA-Option wird nicht mehr benötigt.

 

Idealerweise wird eine moderne und sichere VPN-Tunnellösung mit IKEv2/IPSec konform zu BSI TR-02102-3 realisiert. Aus Verfügbarkeitsgründen sollte der VPN-Server am Firmensitz redundant aufgebaut sein. Also zwei VPN-Server auf zwei verschiedenen Netzwerkkomponenten mit verschiedenen Internetanschlüssen. Siehe auch:

 

https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795

 

https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/redundante-ipsec-ikev1-site2site-vpn-verbindung...

 

https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html

 

Als VPN-Server kann bereits ein Raspberry Pi fungieren. Siehe dazu:

https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfaser-...

 

Generell zum Thema "Sicherheit" beim Einsatz der CAA-Option siehe auch:

https://community.swisscom.ch/t5/Mobile/Corporate-Application-Access-Public-IP-auf-Mobile-Abo-Sicher...

Editiert
the Wanderer
Level 1
3 von 39

@Grand Dixance

 

Als erstes möchte ich mich zwar für Ihre Antwort bedanken.

Jedoch beantwortet er meine Frage nach der CAA-Option nicht, was schade ist.

 

Nur soviel:

Den UMTS-Router als VPN-Client zu konfigurieren stellt für uns keine Option dar, da nur im Bedarfsfall zu Fernwartungszwecken von Technikern (RoadWarriors) ein End-to-Site VPN-Tunnel zum UMTS-Router und dem dahinterliegenden Netzwerk mit technischem Equipement aufgebaut wird.

 

Wenn aber jemand über das Thema CAA-Option Bescheid weiss, bitte melden!

the Wanderer
Level 1
4 von 39

So, will euch noch schnell das Ende der Story erzählen.

 

CAA-Option war über Swisscom nicht mehr erhältlich, deshalb haben wir nun (und werden das auch in der Zukunft so tun...) ein Daten-Mobile-Abo bei Sunrise gelöst. Danach beim Sunrise Business-Support angerufen, sie sollen uns bitte die Option Remote-APN freischalten, damit dem gelösten Mobile-Abo eine public-IP-Adresse zugeteilt wird.

Nach 5 Minuten war alles erledigt, VPN-Zugang auf den remoten LTE Industrie-Router funktioniert tadellos.

 

Bye-bye Swisscom...

Tux0ne
Level 9
5 von 39

@the Wanderer  schrieb:

 

Ein Daten-Mobile-Abo bei Sunrise gelöst. Danach beim Sunrise Business-Support angerufen, sie sollen uns bitte die Option Remote-APN freischalten, damit dem gelösten Mobile-Abo eine public-IP-Adresse zugeteilt wird.

Nach 5 Minuten war alles erledigt, VPN-Zugang auf den remoten LTE Industrie-Router funktioniert tadellos.

 

Bye-bye Swisscom...


Top Leistung Sunrise! 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Selmau
Level 1
6 von 39

Hallo Zusammen

 

Ich habe ein ähnliches Problem, jedoch betrifft es mich so halb privat und nicht in einem grossen Geschäftsnetzwerk. Ich besitze Geräte welche ich ab und zu extern gebe und auf die ich gerne im Notfall eine Remotedesktopverbindung machen möchte.

 

Da ich nicht ein grosses Unternehmensnetzwerk besitze möchte ich das möglichst simpel lösen. Ich besitze einen kleinen 4g Hotspot welche ich mit dem mobilen Gerät mitgebe. Darauf ist eine Multi-Simkarte meines Swisscom Abos.

 

Nun habe ich gelesen, das es aufgrund der fehlenden CAA Option nur noch möglich ist, das Externe Gerät als VPN Client zu konfigurieren. Zuhause habe ich eine normale Swisscom Internet Box 2. Dort sollte eigentlich ein VPN Serverkonfiguration möglich sein?

 

Falls das alles klappen sollte dass ich Zuhause auf der Box den VPN Server konfiguriere und auf dem Gerät den Client, ist es dann auch möglich, von einem Computer auf meinem im Netzt Zuhause via Remotedesktop auf den Client draussen zuzugreiffen, also in umgekehrter Richtung?

 

 

Besten Dank für Eure Tipps

 

 

Gruss

 

Samuel

Werner
Super User
7 von 39

@Selmau 

 

Wenn Du auf der IB2 den VPN-Server konfigurierst und auf einem externen Client die richtigen zugehörigen L2TP-Zugriffsdefinitionen hinterlegst, kann dieser (egal ob aus einem fremden WLAN, dem Mobilnetz oder via Deinem mitgegebenen 4G-Hotspot) auf Dein Heimnetz zugreifen.

 

Was nicht funktionieren wird ist der Zugriff aus Deinem Heimnetz auf den externen VPN-Client, denn dies wird von einem Remote Access VPN Server nicht unterstützt.

 

Die Frage ist vielleicht noch, wieso Du überhaupt auf den VPN-Client zugreifen möchtest?

Falls es um Remote-Supportunterstützung für einen externen Benutzer geht müsste man dann nämlich vielleicht über andere geeignete Tools wie AnyDesk oder TeamViewer diskutieren.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selmau
Level 1
8 von 39

 

Der Grund wieso ist genau jener mit dem Remotezugriff, falls ein Problem besteht oder ich etwas von extern anpassen muss.

Das Problem ist, dass die Nutzer welche die Geräte extern brauchen kein grosses Computerverständnis haben und ein Art Kiosk System im Vordergrund läuft, somit muss ich ohne Einfluss der Anwesenden vor Ort auf das Gerät zugreifen können.

Werner
Super User
9 von 39

@Selmau 

 

Wenn Dir die Fernsteuerung eines Windows PC über da Internet helfen würde, schaue Dir doch mal die Gratis-Software AnyDesk und die entsprechenden Anleitungen dazu näher an.

 

Kannst ja auch einfach mal ein paar Tests damit machen.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Toasti_Mosti
Level 2
10 von 39

INFOMATION! DIE OPTION CAA IST IM JAHRE 2021 IMMER NOCH VERFÜGBAR! 

Siehe Bilder

Screenshot_20210219-232410_My Swisscom.jpg

the Wanderer
Level 1
11 von 39

Aber nicht mehr bei Neu-Abo's, so viel ich weiss.

Oder anders gefragt, wann haben Sie ihr Abo mit der CAA-Option gelöst?

 

Danke im Voraus für eine Rückmeldung.

Prezeimpe89
Level 1
12 von 39

Hatte heue mit Swisscom Kontakt. Zuerst wollte man dort nicht von dieser CAA Option Wissen und erst mit dem Hinweis das dies in Ihrem Forum oft genannt wird kam folgendes:

 

Geht „Offiziell“ nur mit reinen Datenabos oder mit mit einem KMU Abo... Wahrscheinlich werden da wieder nicht alle Kunden gleich behandelt...

Auch wenn man fast 20 Jahre Kunde ist soll man ein neues Abo abschliessen.. Tja werde ich wohl auch machen nur denke ich nicht mehr bei Swisscom... So iel zu diesem Thema... 

the Wanderer
Level 1
13 von 39

Danke für Ihre Antwort.

 

Aha, das tönt schon nicht mehr nach kompletter Ablehnung.

 

Wir hatten etwa 5 reine Daten-Abo's inkl. CAA-Option geschäftlich im Einsatz, als wir dann vor etwa 2 Jahren zusätzlich 2 Business-Daten-Abo's lösen wollten,  wurden wir zurückgewiesen mit den Worten: "dieser Dienst wird nur bei bestehenden Verträgen weitergeführt, kann aber bei Neu-Abo's nicht mehr abonniert werden."

 

Daraufhin haben haben wir unseren Kunden den Umstieg auf Sunrise empfohlen, dort heisst diese Option "Remote-APN".

 

Vielleicht muss ich wieder mal mit unserem Swisscom-Ansprechpartner sprechen, ob in der Zwischenzeit ein leichtes Umdenken bei Swisscom stattgefunden habe....

mbernasocchi
Level 2
14 von 39

Ich habe heute CAA problemlos eingeschaltet bekommen auf mein inOne KMU mit multi sim

Fionteusild24
Level 1
15 von 39

Der CAA Service ist immer noch verfügbar. Habe heute (31.12.21) einen VPN-Service (Windows / IOS und TP-Link LTE Router mit Multidevicekarte) in Betrieb genommen. Das Abonnieren des Services ging super schnell über die Swisscom Hotline, der Service (5.00 CHF für Haupt- und alle Multidevicekarten) war nach 10 Minuten aufgeschaltet und benutzbar und funktioniert auch mit Dataroaming im Ausland.

Tiesiestald25
Level 1
16 von 39

Funktioniert die CAA Option wirklich auch mit Multi Device Option SIM?

hed
Level 7
Level 7
17 von 39

@Tiesiestald25  schrieb:

Funktioniert die CAA Option wirklich auch mit Multi Device Option SIM?


@Tiesiestald25 

 

Ja, gemäss diesem Beitrag hier:

 

Solved: CAA option on Multi Device | Swisscom Community

 

cybi
Level 2
18 von 39

hatte eben mit Swisscom Chat Kontakt und der wollte mir weis machen das eine öffentliche IPV4 Adresse nicht nötig wäre für VPN Zugriff laut ihrer Experten.

Tolle Experten liebe Swisscom. 😂

hed
Level 7
Level 7
19 von 39

@cybi 

 

Hartnäckig bleiben und allenfalls den 2.Level-Support verlangen.

Werner
Super User
20 von 39

@cybi  schrieb:

hatte eben mit Swisscom Chat Kontakt und der wollte mir weis machen das eine öffentliche IPV4 Adresse nicht nötig wäre für VPN Zugriff laut ihrer Experten.

Tolle Experten liebe Swisscom. 😂


Er hat übrigens nicht mal ganz unrecht, denn vorausgesetzt Du hast auf der Internetbox den vollen native Dual-Stack mit IPv6 und der Umgang der Swisscom mit IPv6 native, wäre für  den Kunden auch transparent nachvollziehbar, und Du hättest einen VPN-Server zur Verfügung, welcher auch IPv6 unterstützt, und das ganze würde auch in Kombination aller Komponenten auf einem Swisscom-Anschluss tatsächlich in Praxis auch funktionieren, dann und nur genau dann, brauchst Du tatsächlich keine öffentliche IPv4-Adresse.

 

Die Aussage Deines Chat-Kontaktes ist also durchaus richtig wenn man ein einfaches Problem durch drei komplizierte Probleme ersetzt.

Alles eine Frage des Kontext.

 

P.S.:

Für mich selbst übrigens aktuell immer noch ein Laborprojekt, aber bisher bin ich immer noch auf der Suche nach Swisscom-internen technischen Details…

Irgendwie wollen sich da die internen IPv6-Spezialisten, die es sicher irgendwo entweder bei der Swisscom direkt, oder bei ihren Zulieferanten der Software geben wird, gegenüber Kunden aus dem Privatbereich einfach noch nicht zu erkennen geben…

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Editiert
Nach oben