CoolBlue 10 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 (bearbeitet) Hallo, wie wir alle sicherlich mitbekommen, gibt es immer mehr Zwangsrouter Internetanschlüsse bei unseren (kleineren) Kunden. Wie geht ihr damit um, wenn der Kunde Bedarf an einer Business Firewall hat. (Fortinet, SonicWall, Sophos, usw...)? In den vergangenen 10 Jahren habe ich das immer so gemacht, das ich den einfachen Homerouter ersetzt habe gegen ein DSL-Modem und dadran die Firewall gehängt habe. Die Firewall wählt sich mit PPTP ins ADSL Netz ein und hat damit die volle Kontrolle über die Verbindung (Wichtig für VPN, QoS, PortForwarding, usw.). Alternativ konnte man die Provider-Box umschalten auf PPTP Passthrough und die eigenen Routingfunktionen abschalten (z. B. Speedports) Viele Kunden wechseln immer mehr zum Kabel-Anbieter, weil die einfach mehr Durchsatz (bis zu 150mbit/s) haben, vorallem im Upload (25mbit/s) und bekommen von diesem dann auch entsprechend Telefon bereit gestellt via VoIP. Natürlich gilt das auch für klassische DSL Anbieter.. auch hier wird Router+VoIP gekoppelt. Wobei man da bisher den Kunden immer sagen konnte: "Willst du es stabil und professionell, wechsel zurück zur Telekom und hol dir ISDN Anschlüsse" ISDN wirds allerdings nach Plänen der Telekom aber bald auch nicht mehr geben. Andere Anbieter bieten es sowieso schon seit Jahren nicht mehr an. Lösungen auf technischer Basis gibts viele.. welche nutzt ihr? Welche ist zuverlässig? a) Firewall Transparent schalten. Gateway bleibt auf der Provider-Box, Verkehr wird aber durch die Firewall gefiltert. Nachteil ist jedoch das die ein oder ander Funktion bei einer Firewall im transparenten Modus dann nicht geht. (Hängt vom Hersteller, Typ, OS usw. ab) B) Transfer-Netzwerk zw. Provider-Box und Firewall einrichten mit doppelten NAT. Firewall macht NAT und Provider-Box sowieso. Gibts probleme bei doppelten NATting? Ich möchte damit die Provider-Box quasi vollständig ausblenden. Denn nicht jede Box hat die Fähigkeit statische Routen für den Weg zurück zu pflegen, wenn man es ohne NAT in der Firewall machen will. c) (nur bei DSL). Firewall wieder direkt an die Leitung hängen und mit PPTP einwählen lassen. Provider-Box (meist Fritzbox) hinter die Firewall hängen und die Ports für VoIP durch forwarden. Problem: Geht nur bei DSL und der Support des Providers ist weg, falls es Probleme mit VoIP gibt. Sowohl bei a) als auch bei B) muss ich in der Provider-Box nen globales Portforwarding auf die Firewall machen um eingehenden Verkehr zu managen. Alternativ (höherer Aufwand) geziehlt die Ports weiterleiten die gebraucht werden, wenn die Box es nicht anders kann. VPN IPSec ist ja mittlerweile durchgängig NAT-T fähig und sollte damit doch normal keine Probleme haben. Laufen Site-To-Site Tunnel mit festen öffentlichen IPs stabil? bearbeitet 12. Januar 2015 von CoolBlue Zitieren Link zu diesem Kommentar
Sanches 22 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 (bearbeitet) Hallo CoolBlue, B ) Transfer-Netzwerk zw. Provider-Box und Firewall einrichten mit doppelten NAT. Firewall macht NAT und Provider-Box sowieso. Gibts probleme bei doppelten NATting? Ich möchte damit die Provider-Box quasi vollständig ausblenden. Denn nicht jede Box hat die Fähigkeit statische Routen für den Weg zurück zu pflegen, wenn man es ohne NAT in der Firewall machen will. Theoretisch ist die Provider-Box unsichtbar.Wir haben hier bei uns ebenso einen KabelBW Business Anschluss (jedoch rein Internet, ohne Tel.).Hierzu hast du seitens des Kabelbetrieber's eigentlich nur ein Kabelmodem, welches alles an das dahinter liegende Gerät (= deine Firewall) weiterleitet.In unserem Falle haben wir aktuell ein Cisco 3212 im Einsatz, welches nur als reines Kabelmodem genutzt werden kann - wir können dabei weder an der Konfig was ändern, noch etwas umstellen.Zuvor hatten wir eine FritzBox Cable (63??) im Einsatz, welche wir via BridgeMode ebenso auf "Durchzug" gestellt haben. Allerdings weis ich nicht, ob es hierzu noch Unterschiede zwischen den Providern gibt. Gruß Sebastian bearbeitet 12. Januar 2015 von Sanches Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 (bearbeitet) Normalerweise bekommst Du da ein Kabelmodem, an dessen LAN-Interface Du die Firewall anschließen kannst. Die Firewall bekommt dann die offizielle IP-Konfiguration via DHCP. So ist es bei Kabel Deutschland und bei Cabelcom. Have fun!Daniel bearbeitet 12. Januar 2015 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
Pigu 10 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 (bearbeitet) FritzBox > Exposed Host (wenn Telefonie auf der Leitung mitläuft, ansonsten Modem) bearbeitet 12. Januar 2015 von Pigu Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 Was nutzen wir? direktes routing ins DFN :-) Was nutzen andere im Umfeld die nicht am DFN hängen? Allerdings kenne ich niemanden der einen Geschäftsanschluss bei einem Kabelanbieter hat. Da scheint in meinem Umfeld eindeutig die Telekom zu dominieren. Einer hat glaube ich Alice. Den Providerrouter nutzt niemand als Router, höchstens als Modem. Bei DSL-Anschlüssen nicht mal das da sowohl Telekom als auch Alice kein Problem damit haben einen anderen Router zuzulassen. Im Gegenteil, die Telekom verkauft einem sogar auf Wunsch Speedportalternativen. Als Router setze ich dann gerne die cisco 800er ein. Das ist aber eine persönliche Vorliebe, auch andere Hersteller sollten funktionieren. Zitieren Link zu diesem Kommentar
CoolBlue 10 Geschrieben 13. Januar 2015 Autor Melden Teilen Geschrieben 13. Januar 2015 Aktuelles Beispiel: Fritzbox 7390 (geliefert vom Provider) mit VDSL Modem integriert. Das ist jetzt zwar kein Zwangsrouter, aber die Fritzbox kann ich nicht auf "durchzug" stellen. Der muss ich die Einwahl überlassen, entsprechend habe ich NAT für private IP Adressen und die Firewall wird entsprechend via DHCP eine Private IP der Fritzbox bekommen. Diese kann ich natürlich als "exposed Host" konfigurieren, aber mehr geht da nicht. Diesen Fall könnte man mit dem Kauf eines VDSL Modems sicher lösen. Aber bei Cable Fritzboxen kann man doch nru dann auf "durchzug" stellen, wenn der Provider ein 4er Netz zur Verfügung stellt.. ansonsten hat man doch NAT oder nicht? Aber seis drum. Der wirklich spezielle Fall ist ja wenn die Fritzbox/Provider-Box auch VoIP zur Verfügung stellt, dann MUSS die Internet Einwahl via Provider-Box erfolgen. Also schlagt ihr ein Transfer Netz vor? Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 13. Januar 2015 Melden Teilen Geschrieben 13. Januar 2015 Diesen Fall könnte man mit dem Kauf eines VDSL Modems sicher lösen. Aber bei Cable Fritzboxen kann man doch nru dann auf "durchzug" stellen, wenn der Provider ein 4er Netz zur Verfügung stellt.. ansonsten hat man doch NAT oder nicht? Bei Business UM macht die Kabel FB genau das. An dem Lan Port 1 kommt die externe IP an (per DHCP) das war es. Zitieren Link zu diesem Kommentar
Gu4rdi4n 58 Geschrieben 13. Januar 2015 Melden Teilen Geschrieben 13. Januar 2015 (bearbeitet) Ich hab hier Kabel BW Die Ersten 2 Jahre gabs nur die FB als cable edition dazu und das MUSSTE ich nehmen. Jetzt konnte ich den Tarif wechseln und habe ein Cisco Kabelmodem 3212 eMTA. Damit bin ich jetzt echt zufrieden. Vorher habe ich die FB auf durchzug gestellt. Sprich: Exposed host auf die Firewall und go. Die FB dient als reines Modem. Allerdings gab es ab und an Probleme mit VPN verbindungen über IPSec. bearbeitet 13. Januar 2015 von Gu4rdi4n Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 13. Januar 2015 Melden Teilen Geschrieben 13. Januar 2015 "Exposed Host" ist nicht das gleiche wie "Modembetrieb". Bei ersterem macht die Box NAT, bei letzterem nicht. Die Fritzboxen können prinzipiell schon nur als Modem laufen. Leider hat AVM in der Consumer-Firmware diese Funktion entfernt: http://www.administrator.de/forum/fritzbox-pppoe-passthrough-und-wlan-216696.html. Die Kabelanbieter liefern in der Regel angepaßte Fritzboxen aus. Da kann dann zum Beispiel PPPoE Passthrough konfiguriert sein. Es kommt also immer auf den Provider drauf an. Im Zweifel vorher nachfragen. Zitieren Link zu diesem Kommentar
CoolBlue 10 Geschrieben 14. Januar 2015 Autor Melden Teilen Geschrieben 14. Januar 2015 Bei Business UM macht die Kabel FB genau das. An dem Lan Port 1 kommt die externe IP an (per DHCP) das war es. Das heißt bei Business UM kommt über die FB kein VoIP? Oder bekommt die FB von UM zwei IPs.. eine interne für VoIP und eine zweite für den LAN 1 Port. Quasi transparent für den Kunden. Eine Ö-IP auf zwei Geräte teilen geht ja nunmal nicht (außer via NAT). Bei der VDSL Fritzbox beim aktuellen Kunden finde ich keine Option die Box als Modem zu nutzen oder ich hab den Menüpunkt "übersehen". Dies ist auch eine Box mit Provider-Firmware. Allerdings von einem lokalen kleinen regionalen Provider. Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 Habe noch keinen Kunden gehabt der VOIP genutzt hat. Die UM Leitung wurde meist an Zweigstellen für den Site-2-Site VPN in die Zentrale genutzt oder als http/https Leitung damit man nicht die Company Connect Leitung dichtmacht damit. Telefonie fast immer über ISDN/PMX, sehr selten über VOIP Provider. Zitieren Link zu diesem Kommentar
CoolBlue 10 Geschrieben 14. Januar 2015 Autor Melden Teilen Geschrieben 14. Januar 2015 Vill. als Info. Grade rausgefunden. Kabel Deutschland (Ein Kunde von mir ist in diesem Bereich) bietet nicht mal eine feste IP an. Dann muss ich den Kunden wohl zum Wechseln bewegen. Hallo NeMIX.Kunden die sich eine Company Connect (Standleistung/SDSL, etc) Leitung leisten können, fallen auch gar nicht in dieses Thema hier hinein. Es sind eher kleinere Kunden die evtl nen Nebenstandort Site-To-Site anbinden wollen oder von zu Hause aus via VPN in die Firma wollen oder einen eigenen E-Mail Server betrieben und Port 25 brauchen. Ich habe in der Vergangenheit viele Infrastuktur Lösungen mit ADSL2+ (T-Business) mit statischer IP umgesetzt und die Bandbreite dieser 10-16mbit/1mbit Lösung reichte für diese Zwecke aus. Allerdings habe ich die Firwall Lösung immer direkt an den physikalischen Hausanschluss legen können, ohne das da irgendein Router zwischen war. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 (bearbeitet) Ich habe einen Businessanschluß von Unitymedia. Die liefern eine Fritzbox. Ich kann auf feste IP umstellen (eine ist im Paket enthalten). Dann bekommt die Fritzbox eine neue Frimware und funktioniert dann nur noch als Modem und TK-Anlage. bearbeitet 14. Januar 2015 von tesso Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 14. Januar 2015 Melden Teilen Geschrieben 14. Januar 2015 Hallo NeMIX. Kunden die sich eine Company Connect (Standleistung/SDSL, etc) Leitung leisten können, fallen auch gar nicht in dieses Thema hier hinein. Es sind eher kleinere Kunden die evtl nen Nebenstandort Site-To-Site anbinden wollen oder von zu Hause aus via VPN in die Firma wollen oder einen eigenen E-Mail Server betrieben und Port 25 brauchen. Ich habe in der Vergangenheit viele Infrastuktur Lösungen mit ADSL2+ (T-Business) mit statischer IP umgesetzt und die Bandbreite dieser 10-16mbit/1mbit Lösung reichte für diese Zwecke aus. Allerdings habe ich die Firwall Lösung immer direkt an den physikalischen Hausanschluss legen können, ohne das da irgendein Router zwischen war. Das ist mir bewusst und kenne ich auch so. Hauptstandort wird halt "dicker" angebunden und die kleineren Nebenstellen mit Business ADSL. Da aber heutzutage immer mehr über die Leitungen geht (RDP/ICA, Email, surfen) reicht der Upload meist nicht aus (hast du ja auch festgestellt) und es wird dann auf die "günstiges" Kabelanschlüsse umgestiegen. Da aber Telefonieren bei meinen früheren Kunden fast immer von der Zentrale raus ging war das VOIP Thema bei den Kabelanschlüssen nie ein Thema bei mir. Früher gab es bei UM imho auch gar kein VOIP bei den Businessanschlüssen, das war reines Internet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.