Ich habe viel Zeit benötigt um die Swisscom Router für meine Bedürfnisse zu konfigurieren. Wertvolle Tips habe ich auch in diesem Forum erhalten. Ich hoffe, dass der folgende Bericht für einige eine Hilfe ist.
Migration von upc zu Swisscom
Seit über 10 Jahren hatte ich bei upc fast keine Probleme mit der Internetverbindung. Nachdem ein defektes Modem gegen eine neue Connect Box getauscht wurde begann der Ärger. Der Datendurchsatz zwischen zwei Standorten via IKE/IPSec VPN betrug nur noch 0.5 statt 10MBits/s. Datensicherung geht so nicht mehr. Die upc Hotline hatte keine Ahnung. Schliesslich erfuhr ich bei Studerus, dass offenbar ein Firmwareproblem in der Connect Box die Ursache sei. Nach zig Telefonaten konnte ich einen upc Agenten überzeugen die Connect Boxen wieder gegen ältere Technikcolor Modeme zu tauschen. Diese installierte ich an beiden Standorten wiederum im Bridgemode und siehe da, es funktionierte wie vorher. Unterdessen hatte ich bei upc aber schon gekündigt da ich nicht mehr an eine Lösung glaubte.
Gefragt ist eine Lösung welche dem Modem im Bridgemodus möglichst nahe kommt, IPSec, L2TP VPN und Telefonie erlaubt. Am Geschäftsstandort wird eine eine Aastra 430 von ISDN auf VOIP umgestellt. Dort wird später ein später ein CentroBusiness2 und Smart Business Connect installiert. Am Wohnort ist neu Glasfaser mit Vivo M vorhanden. Nach der Erfahrung mit upc glaube ich erst nach der Installation vor Ort dass es funktioniert. Die Dokumentation der neuen Swisscom Internet-Box 2 ist mehr als dürftig. Ein Handbuch gibt es nicht. Die Private Swisscom Hotline verweist auf den Business Bereich, dieser verweist auf den Installateur. Schliesslich konnte ich eine Internet-Box 2 und einen Centro Business 2 organisieren und am Vivo M konfigurieren und testen. Im Business Bereich gibt es Lösungen mit fixen IP Adressen. Diese werden hier nicht berücksichtigt da unter anderem Internet Backup via 4G nicht mehr funktioniert.
Hier die Konfiguration mit Vivo M:
Voraussetzung:
- Vivo M, Glasfaser
- dynamische öffentliche IP ohne CGNAT
- IPv6 deaktiviert im Kundencenter
- Router und USG40 Firewall steht im Keller, von dort sternförmige Verkabelung
- WLAN mit Access Points im LAN hinter der USG40 Firewall
- Die Subnetze hinter der Firewall sind komplex und sollen nicht verändert
(192.168.11.0 im Geschäft, 192.168.16.0 zu Hause)
Das funktioniert:
- IPSec VPN zwischen zwei USG40 und L2TP VPN
- Zugriff von aussen auf Internet-Box 2 und Centro Business 2 via L2TP
- SIP Telefon Bria auf iPhone und Android im eigenen WLAN und von aussen via L2TP
- SIP Telefon Bria funktioniert nur mit G711a Codec, Sprachqualität ist gut!
- Telefonieren vom Ausland über L2TP VPN mit Flatrate des Vivo M Paketes
- dyndns geht mit IB2, CB2 oder auch mit USG40
Das geht nicht mehr:
- öffentliche IP am WAN Port der USG40
Merkblätter
--------------
Studerus: USG-Firewall mit Centro Business 2
https://www.studerus.ch/de/support/knowledgebase/detail/3617
Swisscom: CB2 - IP Passthrough Local Security Gateway
http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro...
Swisscom: IB2 Hilfe
https://www.swisscom.ch/de/privatkunden/hilfe/geraet/internet-router/internetbox2.html
Swisscom: CB2 Hilfe
https://www.swisscom.ch/de/business/kmu/hilfe/geraet/centro-business-einrichten.html
Variante mit Centro Business 2 und Zyxel USG40 Firewall:
----------------------------------------------------------------------
Konfiguration CB2:
CB2 Router ist mit 'IP Passthrough' konfiguriert. WAN1 der USG40 ist mit Port1 des CentroBusiness2 verbunden. Telefon und Zugriff auf das login des CB2 sind daher nur via Port2-4 möglich. Da der CB2 im Keller steht, ich vom lokalen Netz auf das login zugreifen möchte und auch mit einem Bria App vom iPhone via WLAN telefonieren möchte, ist Port2 des CB2 und ein LAN1 Anschluss der USG40 mit einem zusätzlichen Kabel verbunden. Der CB2 hat eine lokale, statische Adresse 192.168.16.9, DHCP ist dort aus da die USG40 die IP Adressen verwaltet.
Da die USG40 die öffentliche IP nicht mehr erhält, ist eine statische Route auf der CB2 nötig für das L2TP Subnetz 192.168.12.0 an die Gateway LAN Adresse 192.168.16.1 der USG40.
Konfiguration Zyxel USG40:
WAN1 verbunden mit Port1 des CentroBusiness2 (gateway 172.31.255.5)
LAN verbunden mit Port2 des CentroBusiness2 (lokal 192.168.16.9)
WAN1 Einstellung:
ip address 172.31.255.6
subnet mask 255.255.255.252
gateway 172.31.255.5
LAN1 192.168.16.1
DDNS Settings:
Domain Name: xy.dyndns.org
Primary Finding Address
Interface: wan1
IP Address: Auto (statt bisher Interface)
Im Monitor / DDNS Status erscheint dann Effective IP welche der public IP der CB2 entspricht! Und dyn.org erhält auch die korrekte IP!
Damit L2TP mit der USG40 ohne öffentliche IP am WAN Port funktioniert muss in Phase1/my Address 0.0.0.0 eingetragen werden und in Phase2/local policy ein Adressenobjekt mit 0.0.0.0 (gemäss Studerus Support).
Variante mit Internet-Box 2 und Zyxel USG40 Firewall:
------------------------------------------------------------------
Konfiguration IB2:
IP Adresse 192.168.1.1
Subnetz 255.255.255.0
Applikationsteil IP manuell 192.168.1.2
DNS Server automatisch
DHCP aktiv
DMZ aktiv für Zyxel USG40 mit statischer IP 192.168.1.10
Swisscom: IB2 Hilfe - DMZ
https://www.swisscom.ch/de/privatkunden/hilfe/internet/netzwerkeinstellungen.tab-internet-box-2.html...
Portweiterleitung UPnP IGD aus
DynDNS Swisscom und Andere DynDNS Anbieter funktioniert
Keine Statische Routen nötig. Zugang zur IB2 ist auch vom Subnetz hinter der USG40 möglich. Auch IP Telefon geht ohne statische Route.
Lokale IP-Telefonie funktioniert mit Bria App. Sogar interne Telefonie funktioniert (das geht nicht beim CB2). Anleitung siehe hier:
https://www.swisscom.ch/de/privatkunden/hilfe/loesung/sip.html
Telefonie via Internet-Box App geht hier nicht da das WLAN der IB2 ausgeschaltet ist und der Zugang im WLAN des eigenen Subnetzes erfolgt.
Konfiguration Zyxel USG40:
WAN1 verbunden mit einem Ethernet Port der IB2. Bezieht automatisch die fixe IP von der IB2 (192.168.1.10).
LAN1 192.168.16.1
Für IP Telefonie ist im Gegensatz zur CB2 folgender Eintrag nötig:
Configuration / Network / ALG / SIP Settings / Enable SIP ALG: AKTIV / Enable SIP Transformations: AKTIV.
Konfiguration sonst identisch mit Variante CB2.
