Hallo zusammen
Setup:
Internet L Abo
Internet Box 2 --> FortiWiFi 60D (Router, VPN,) --> Switch
DynDNS: Fortiddns
SSL-VPN (:8443)
Diese Woche haben wir von einem lokalen Provider auf SC Glassfaser mit InternetBox 2 (IB2) gewechselt.
Nun kommen ich aber von ausserhalb micht mehr auf unser VPN, welcher von Fortinet abgewickelt wird. Als VPN client nutze ich FortiClient.
Am liebsten hätte ich die IB2 auf bridgemode gestellt aber das geht allem Anschein nicht.
SC sagt dass VPN mit einer 3rd party appliance nicht möglich sei, das möchte ich einfach nicht glauben. Deren Special Abteilung empfiehlt uA. die Forti appliance auszuschalten (??) oder das teuerere Business Abo zu lösen welches massiv langsamer ist (40Mbit) was natütürlich auch nicht in Frage kommt, genau wegen der 1Gbit Geschwindigkeit haben wir doch auf Glas gewechselt.
Auf der IB2 habe ich folgendes versucht:
- DMZ aktiviert für die FortiWeb appliance (IP Einstellungen)
- Gleichzeitig alle nötigen ports geöffnet (Portweiterleitung, habe diesbezüglich was in diesem Forum gelesen)
- IPv6 deaktiviert / aktiviert (beides versucht)
Wenn ich nun mit der externen IP versuche auf VPN zuzugreifen findet der forticlient schon mal etwas (verbindung stockt erst bei 40%), aber ich komme einfach nicht weiter.
Hat jemand eine Idee wie ich dieses Problem meistern kann?
Ich staune dass SC hierfür keine Lösung bereit hat, ich wäre auch damit einverstanden ein anderes Modem zu beziehen falls das hilft und der 1Gbit speed beibehalten werden kann.
Besten Dank für eure Unterstützung
Paolo
@pmRTA ich kann mir nicht vorstellen, das es nicht auch ein inOne KMU L Abo über Glasfaser gibt, wenn dies mit einem Privat Abo möglich ist. Mit dem Centro Business 2.0 ist dieses Szenario möglich.
Nur mit einem Privatkunden Abo wirst Du kein Centro Business 2.0 beziehen können.
Einen eigenen VPN-Server hinter einer Routerkaskade zu betreiben, funktioniert in jedem Fall (auch mit einem Privatabo ohne statische IP). Mache das selbst mit einem Open VPN Server auf einem kaskadierten Asus Router.
Was Du in den Griff kriegen musst, ist dass die IB2 keine öffentliche IP ins nachgeschaltete Netz weiterleitet (also keine IP-Weiterleitung) und dass Du Dich innerhalb einer Routerkaskade mit Portweiterleitungen oder der Swisscom Pseudo-DMZ auf der IB2 beschäftigen musst.
Deinen „Forti-Router“ und den dazu gehörigen VPN-Server kenne ich gar nicht, was ist das für ein Router und VPN-Server: Ist das ein kompletter eigenständiger Router mit einem eigenen Netz abweichend vom Swisscom Standardnetz 192.168.1.0 und ist der VPN-Server L2TP oder ein OpenVPN-Server?
Und zum DynDNS selber ist zu sagen: Da Du innerhalb Deines nachgeschalteten Netzes die öffentliche IP sowieso nicht kriegst, solltest Du in jeden Fall den DynDNS-Service auf der IB2 aktivieren und Deine dynamische IP direkt durch die IB2 nachführen lassen, entweder mit dem Swisscom-DynDNS und/oder einem ab der Auswahlliste der IB2. Nur so kannst Du via DynDNS die IB2 als Zugangsrouter von aussen überhaupt erreichen.
Besten Dank allerseits
@user109 da muss ich mich selber an der Nase nehmen, bin aber auch erstaunt dass mir Swisscom bei der telefonischen Bestellung als Firmenkunde die private Option vorgeschlagen hat. Selbst bei der Meldung dass wir kein VPN machen können konnte uns niemand darauf hinweisen dass dies mit dem KMU Router kein Problem wäre und dass man dort auch 1Gbit haben kann.
@Werner, danke für die Anleitung. Da ich aber nicht riskieren möchte dass der Zugang in zukunft doch noch unterbunden wird werden wir wohl auf das Firmenabo upgraden (1Gbit @ 125.-- ohne zusätzliche services), wobei sich SC hier sehr unkulant zeigt und uns den neuen Router nicht gratis geben möchte da wir ja bereits kunde sind seit wir letzte woche die IB2 erhalten hatten, was ja auf deren Empfehlung basiert..... nichts neues im Westen :-). Werde da noch eskalieren
Nochmals besten Dank für die Unterstützung, wollte noch beide Inputs liken aber der button funktioniert nicht, werde es aber auf jeden fall noch nachholen
@pmRTA hier unter weitere Einstellungen kannst Du Dir verschiedene szenarien mit dem CB2.0 anschauen:
https://www.swisscom.ch/de/business/kmu/hilfe/geraet/centro-business-einrichten.html
@pmRTA nicht vergessen den CB 2.0 manuel auf die neuste FW heben.
@user109 tönt nach risiko falls die FW nicht upgedated wird
Da es sich um ein SSL VPN handelt und bei L sicher eine ungenatete öffentliche IP vorhanden ist, handelt es sich um einen Konfigurationsfehler.
Das wird auch mit einem Business Anschluss alleine nicht besser. (Eventuell verhindert da der IP Passthrough einen IP Konflikt, alles mehr kostet dann Aufpreis 😉 )
Aber immerhin hast du dann nicht eine Hotline mit VPN hää, sondern eine die dich an deinen IT Partner verweist...
"... sondern eine die dich an deinen IT Partner verweist.."
🙂 die von der Spezial Abteilung haben dies nach 1 Minute bereits vorgeschlagen