• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

VPN & Internet-Box 2

ConnectingRobot
Level 1
1 von 10

Bisheriges Szenario: Fritz!Box hinter Swisscom Router Grande.

Swisscom Router Grande: Telefonie und IP-Netz 1

Dieser Router hatte die Möglichkeit, die IP durchzuleiten, so bekam die dahinterliegende Fritz!Box auch eine öffentliche IP, Fritz!Box: DynDns und VPN sowie IP-Netz 2

 

Neu:

Internet-Box 2 - diese erlaubt das Durchleiten der IP nicht mehr, also: DynDNS auf Internet-Box, weiterleiten der Ports 500 und 4500 für VPN auf Fritz!Box

Das funktioniert soweit, bis auf das VPN ... die Verbindung zur Fritz!Box kann aufgebaut werden, aber es können keine Daten ausgetauscht werden. Vermutung: die Internet-Box 2 kann kein VPN-Passthrough resp. kein Encapsulated Security Payload (ESP) weiterleiten.

Meine Frage an die Community: stimmt dies? Und wenn ja, was haben wir noch für Möglichkeiten, ein VPN hinter der Internet-Box 2 aufzubauen? Bridge-Modus geht ja auch nicht, oder?

Die Alternative, die SIP-Zugangsdaten bei der Swisscom anzufordern und die Fritz!Box als Hauptzugangsgerät zu benutzen, ist leider auch nicht möglich, da bei Anforderung der SIP-Daten die Haftung für missbräuchliche Nutzung des SIP-Zugangs von der Swisscom auf den Endkunden übergeht. Und da man keinen "Top-Stop" setzen lassen kann, d.h. die Höhe der Gesprächsgebühren zu begrenzen, kann das sehr schnell sehr teuer werden.

 

Danke schonmal in die Runde!

HILFREICHSTE ANTWORTEN2

Akzeptierte Lösungen
Werner
Super User
7 von 10

@ConnectingRobot

 

Hast Du eigentlich auch daran gedacht, gleichzeitig mit dem Zügeln des DynDNS auf die IB2, den bisherigen DynDNS auf der Fritte zu deaktivieren?

 

Habe noch einen mehrjährigen Tipp gefunden, dass bei gleichzeitig aktivem DynDNS die VPN-Verbindung auf die Fritte nicht klappt:

 

„Du must auf der Internetbox die Ports 500 und 4500 an die Fritzbox forwarden (Voreingestellte Regel IPsec)

Willst Du mit dem iPhone dann VPN zur FB machen, musst Du Dyndns auf der FB deaktivieren und auf der IB aktivieren. Auf dem Iphone stellst Du dann statt des myfritz-Servers den dyndns server ein.“

 

Scheint also damals nach Deaktivierung des DynDNS auf der Fritte geklappt zu haben...

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
ConnectingRobot
Level 1
8 von 10

Ja, herzlichen Dank, so habe ich das auch schon woanders gelöst ... schade, dass das mit Swisscom nicht möglich ist.

 

Statt auf green haben wir allerdings auf iWay gesetzt, einfach, weil green nicht sicherstellen kann, dass ihr Kreditlimit funktioniert resp. sie das im entsprechenden SLA auf die Kunden überwälzen:

https://www.green.ch/Portals/0/Support/pdf/greenTalk_SLA_V2_4_EN.pdf

Credit limit / top stop
A monthly credit limit will be defined for each connection. As a rule, this limit cannot be exceeded. Exceptions are calls to offline B numbers where it takes several days before the costs are known and premium-rate numbers where
costs increase radically. The credit limit can also be exceeded if the responsible RADIUS server fails.

 

Als ob ich deren Radius-Server kontrollieren könnte ... iWay konnte mir allerdings einen Obergrenze zusichern.

Danke Euch allen fürs Mitdenken und in diesem Falle müssen wir leider den Provider weg von Swisscom wechseln - schade, denn einen Router für ESP fit zu machen resp. einen Kreditstop zu setzen sollte ja für die Swisscom möglich sein!

9 Kommentare 9
Werner
Super User
2 von 10

@ConnectingRobot

 

Mit einem Open VPN Server als Alternative hinter der IB2 würde es in jedem Fall klappen, falls Du aber weiter mit IPsec probieren willst, ist das höchste der Gefühle der „Durchlässigkeit“ der IB2, wenn Du auf der IB2 direkt den DMZ-Modus einschaltest und Deine Fritzbox dann damit ansteuerst (die einzelnen Portweiterleitungen brauchst Du dann nicht).

 

Ob Du Dein IPsec dann damit zum Laufen kriegst, weiss ich nicht, aber ein Versuch kann ja nicht schaden.

 

Falls nicht würde ich auf einen Open VPN Server umsteigen, denn das läuft auch hinter einer IB2 stabil und performant

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
ConnectingRobot
Level 1
3 von 10

Danke Dir vielmals! Das mit der DMZ hatte ich schon probiert, die IB2 schaffte es aber auch da nicht mit dem ESP ...

Ein weiteres Gerät (d.h. z.B. OpenVPN) will ich eigentlich nicht installieren, wir haben ja schon die Fritz!Box (die noch andere Aufgaben erfüllt, insb. VoIP-Telefonie) ... gibt es keine weitere Möglichkeit?

 

Und, stimmen meine Recherchen, dass mit Abfragen der SIP-Zugangsdaten die Haftung für missbräuchliche Verwendung auf uns übergeht? Sonst wäre das ja eine Alternative ...

Danke Dir!

Werner
Super User
4 von 10

Für Open VPN brauchst Du nicht unbedingt ein zusátzliches Gerät.

Falls Deine Fritte das selbst nicht kann (viele Top-Router können das aber eigentlich) Du z.B. aber bereits eine Synology Diskstation in Deinem Netz hast, kannst Du da sehr einfach einen Open VPN Server hochfahren. Auch direkt auf einem PC würde es gehen (Nachteil dabei ist einfach, dass das VPN dann natürlich nur läuft, wenn der PC aktiv ist)

 

Wenn es dann wirklich ein zusátzliches Gerät sein sollte, wäre eine kleine Syno eine Toplösung.

Das waren bei mir (unabhängig von VPN-Fragen) übrigens die am besten investierten 320 Franken der letzen Jahre. Nutzen: Zusätzlicher Speicher, Realtime-Backup für die PC‘s, Medienserver, etc.,etc.

 

 

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
ConnectingRobot
Level 1
5 von 10

Danke Dir vielmals!

Ja, die FB kann kein OpenVPN, das ist das Problem ... die kann nur IPSec ...

Kurz zusammengefasst: Du siehst mit der IB2 auch keine Lösung, wie man das ohne zusätzliche Hardware, also nur mit der FB zum Laufen bekommt, oder?

 

Und: Weisst Du, ob das mit der Haftung so stimmt? Weil, sonst würden wir die IB2 ganz rausschmeissen, wir brauchen sie nur für die Original Swisscom-Telefonnummer, Fernsehen etc. läuft darüber nicht.

Tux0ne
Level 9
6 von 10

Ja der Schaden kann von Swisscom abgewälzt werden. Man kann die Angriffsfläche aber minimieren.

Habe hierzu mal Tipps geschrieben. https://www.tuxone.ch/2014/05/warnung-sorgfaltiger-umgang-mit-den-sip.html

 

Wenn ich so lese, dass aber nur Internet und Telefonie gebraucht wird, so könnte man sich auch mal nach einer Alternative umsehen. Cooper 7 oder auch green.ch haben gute Angebote. Da ist die Fritzbox schon dabei, und bei der Verwendung von eigener Hardware werden in beiden Fällen keine grossen Steine in den Weg gelegt.

Green hat einen Schutz bei übermässigen Gebühren, SIP Credentials sind im Kundencenter ersichtlich...

Habe so die Rufnummer einer Zweigstelle bei uns in Zürich drin. 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Werner
Super User
7 von 10

@ConnectingRobot

 

Hast Du eigentlich auch daran gedacht, gleichzeitig mit dem Zügeln des DynDNS auf die IB2, den bisherigen DynDNS auf der Fritte zu deaktivieren?

 

Habe noch einen mehrjährigen Tipp gefunden, dass bei gleichzeitig aktivem DynDNS die VPN-Verbindung auf die Fritte nicht klappt:

 

„Du must auf der Internetbox die Ports 500 und 4500 an die Fritzbox forwarden (Voreingestellte Regel IPsec)

Willst Du mit dem iPhone dann VPN zur FB machen, musst Du Dyndns auf der FB deaktivieren und auf der IB aktivieren. Auf dem Iphone stellst Du dann statt des myfritz-Servers den dyndns server ein.“

 

Scheint also damals nach Deaktivierung des DynDNS auf der Fritte geklappt zu haben...

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
ConnectingRobot
Level 1
8 von 10

Ja, herzlichen Dank, so habe ich das auch schon woanders gelöst ... schade, dass das mit Swisscom nicht möglich ist.

 

Statt auf green haben wir allerdings auf iWay gesetzt, einfach, weil green nicht sicherstellen kann, dass ihr Kreditlimit funktioniert resp. sie das im entsprechenden SLA auf die Kunden überwälzen:

https://www.green.ch/Portals/0/Support/pdf/greenTalk_SLA_V2_4_EN.pdf

Credit limit / top stop
A monthly credit limit will be defined for each connection. As a rule, this limit cannot be exceeded. Exceptions are calls to offline B numbers where it takes several days before the costs are known and premium-rate numbers where
costs increase radically. The credit limit can also be exceeded if the responsible RADIUS server fails.

 

Als ob ich deren Radius-Server kontrollieren könnte ... iWay konnte mir allerdings einen Obergrenze zusichern.

Danke Euch allen fürs Mitdenken und in diesem Falle müssen wir leider den Provider weg von Swisscom wechseln - schade, denn einen Router für ESP fit zu machen resp. einen Kreditstop zu setzen sollte ja für die Swisscom möglich sein!

ConnectingRobot
Level 1
9 von 10

ja, danke vielmals für den Tipp! dynDNS auf der FB ist deaktiviert ...

Tux0ne
Level 9
10 von 10

Genau. Warum mit Swisscom hinbasteln wenn es entsprechende Lösungen nativ existieren?

 

(Wegem guten Support, weil alle anderen schlecht sind, weil ja nur Swisscom investiert und sich die anderen ins gemachte Nest setzen usw. usf. :joy_face: )

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Nach oben