Telekom Digitalisierungsbox Smart 2: Probleme mit Firewall- und NAT
vor 8 Monaten
Moin,
ich wende mich an dieses Forum, weil ich momentan etwas ratlos bin und anscheinend Schwierigkeiten habe, die Konfiguration der Telekom Digitalisierungsbox Smart 2 richtig zu verstehen. Hier ist mein Problem: Ich habe eine Unifi UDM Pro direkt hinter dem Telekom-Router, der die gesamte Infrastruktur steuert. An der Digi-Box ist sonst nichts weiter angeschlossen. Sie verwaltet zwar die IP-Telefone (SIPs), das VLAN wird jedoch von der UDM Pro bereitgestellt.
Alle Zugriffe über das Internet auf die Serverdienste, beispielsweise über die Ports 80, 443 und 51820 (WireGuard), schlagen fehl.
Dies lässt sich auch im Firewall-Log erkennen:
- 2024-09-01 12:18:13: src=IP DST=IP LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=45123 SKBPRIO=0 MARK=0x0102 EXTMARK=0x409A0021 DF PROTO=TCP SPT=60580 DPT=51820 WINDOW=26883 RES=0x00 SYN URGP=0
- 2024-09-01 12:18:12: src=IP DST=IP LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=45122 SKBPRIO=0 MARK=0x0102 EXTMARK=0x409A0021 DF PROTO=TCP SPT=60580 DPT=51820 WINDOW=26883 RES=0x00 SYN URGP=0
Die Portweiterleitungen sind korrekt eingerichtet. Ich würde gerne Exposed Host verwenden, da die UDM Pro die NAT- und Firewall-Konfiguration übernehmen soll, aber auch das scheint der Router zu ignorieren.
NAT-Konfiguration (siehe Screenshot 1):
Firewall-Regeln (siehe Screenshot 2):
Zonen-Konfiguration (siehe Screenshot 3):
Meiner Einschätzung nach sollte der Datenverkehr aus dem Internet, der über die TCP-Ports 80, 443 und den UDP-Port 51820 eingeht, über die statische, öffentliche IP-Adresse direkt an die Unifi UDM Pro weitergeleitet werden. Leider blockiert die Firewall trotz meiner Konfiguration alle Anfragen über diese Ports.
Das Deaktivieren von NAT oder der IPv4 SPI ist offenbar auch nicht möglich, da das entsprechende Feld ausgegraut ist. Ich würde den Router gerne gegen eine professionellere Lösung austauschen, jedoch werden über ihn fünf SIP-Telefone verwaltet. Eine ideale Lösung wäre, das Gerät nur als Modem zu nutzen. Die Konfiguration des Exposed Host, um zwischen dem Telekom-Router und der UDM Pro eine DMZ einzurichten, wird enttäuschenderweise von der Digitalisierungsbox Smart 2 ignoriert. Vielleicht hat jemand von euch einen hilfreichen Tipp oder hatte bereits ähnliche Probleme und kann mir einen funktionierenden Lösungsweg aufzeigen.
Viele Grüße,
Alexander
983
14
vor 8 Monaten
das VLAN wird jedoch von der UDM Pro bereitgestellt.
Wie muß oder soll man das verstehen?
Wenn du die Firewall der DB2 in Verdacht hast, die kann man ja mal temporär deaktivieren.
Daß die Konfiguration Exposed Host nicht funktionieren soll, kann ich nicht recht glauben.
Die DB2 kann Netzwerkmitschnitte erstellen, vielleicht hilft das weiter.
2
Antwort
von
vor 8 Monaten
Hallo wari1957, vielen Dank für deine rasche Antwort!
1 - VLANs sind eine Technologie, die es ermöglicht, ein physisches Netzwerk in logische Segmente zu unterteilen. In meinem Beispiel wird veranschaulicht, dass die Telefone zwar ausschließlich über die DB2 registriert werden, das Netzwerkmanagement jedoch von der UDM Pro in einem virtuellen LAN durchgeführt wird. Diese Unterscheidung kann besonders nützlich sein, da sie zeigt, wie die Netzwerksegmentierung und -verwaltung unabhängig von der spezifischen Registrierungsfunktion der Telefone erfolgt.
2 - Die IPv4 SPI (Stateful Packet Inspection) kann nicht deaktiviert werden, da die Option ausgegraut ist (siehe dazu den Screenshot). Da es sich hierbei nicht um eine Vermutung handelt, kannst du den Firewall-Logs eindeutig entnehmen, dass Anfragen über bestimmte Ports abgelehnt werden (siehe dazu den ersten Post).
3 - Das ist leider überhaupt nicht hilfreich. Selbst bei Verwendung eines Exposed Host und der Eingabe der IP-Adresse der UDM Pro werden Ports bereits in der Firewall blockiert und nicht an den Exposed Host weitergeleitet, wie aus den Logs ersichtlich ist. Dadurch ist es nicht möglich, eine DMZ einzurichten. Da die IPv4 SPI nicht deaktiviert werden kann, sollten die konfigurierten Firewall-Regeln dennoch theoretisch greifen.
Ich bin weiterhin offen für produktive Vorschläge und Empfehlungen. Vielleicht hat jemand bereits ähnliche Probleme erlebt oder konnte erfolgreich auf ein anderes Gerät der Telekom, beispielsweise aus dem Business-Sektor mit erweiterten Konfigurationsmöglichkeiten, umsteigen. Ich bin lediglich der IT-Systemadministrator und implementiere das Netzwerk sowie die Infrastruktur bei einem Kunden. Es wäre großartig, wenn es dafür Lösungen gäbe.
Antwort
von
vor 8 Monaten
@alexanderveuhoff
Ich habe nur die DB1 und bei der war es möglich die Firewall zu deaktivieren.
Daß die DB2 das nicht mehr ermöglicht wußte ich bis eben nicht.
Was VLANs sind weiß ich.
Die DB2 kann doch gar nicht mit VLANs umgehen oder irre ich mich da?
Einfacher Versuch:
Man nehme einen Laptop, schließe diesen direkt an die DB2 an und erstelle dann eine Portweiterleitung.
Wenn diese auch nicht funktionieren sollte hat die Firmware der Kiste ein größeres Problem.
kannst du den Firewall-Logs eindeutig entnehmen, dass Anfragen über bestimmte Ports abgelehnt werden
In dem Fall passt es ja auch nicht zusammen.
Für tcp gibt es ja auch keine Weiterleitung des Ports 51820.
Uneingeloggter Nutzer
Antwort
von
vor 8 Monaten
@alexanderveuhoff , ich habe keine DB Smart 2, aber ist eventuell Quelle und Ziel im Screenshot 2 verdreht und die Quelle ist vom Intranet (Server) zum Ziel, Internet?
Aber wahrscheinlich liege ich auch falsch. Weil z. B. bei z. B. FRITZ!Box ist es immer vom Intranet zum Internet betrachtet. Das von Hersteller zu Hersteller teils etwas unterschiedlich.
Bei besseren Gerätschaften stellt man so etwas hardwarenäher ein und dann ist es offensichtlicher, weil Interfacenamen in der Konfiguration stehen.
0
vor 5 Monaten
Hallo zusammen,
ich kann deinen Frust absolut nachvollziehen. Ich habe heute ebenfalls mehrere Stunden damit verbracht, die Digitalisierungsbox Smart 2 mit unserem Unifi-Netzwerk zum Laufen zu bringen, und am Ende aus Verzweiflung wieder den alten Router angeschlossen. Mit der Digitalisierungsbox Smart 1 funktioniert bei uns alles problemlos.
Wir nutzen eine USG Pro von Unifi hinter dem Router, und auch bei uns war es absolut unmöglich, die Konfiguration stabil hinzubekommen – weder mit "Exposed Host" noch mit DHCP oder statischen Routen. Selbst Portweiterleitungen blieben wirkungslos.
Ein entscheidender Unterschied: Bei der Digitalisierungsbox 1 gibt es die Möglichkeit, eine Weiterleitungsregel wie wz_UDP/TCP zu nutzen, die den gesamten Traffic sauber weiterleitet. Diese Option fehlt bei der Smart 2, und das scheint der Knackpunkt zu sein.
Ohne eine Lösung oder ein klares Feedback von der Telekom-Technik ist die Digitalisierungsbox 2 in ihrem aktuellen Zustand für unseren Kunden leider nicht brauchbar. Es wäre großartig, wenn sich hier ein Telekom-Techniker mit einem Lösungsansatz melden könnte. Vielen Dank im Voraus!
Viele Grüße
Alex
Bildschirmfoto 2024-11-28 um 23.11.17.png
Bildschirmfoto 2024-11-28 um 23.11.10.png
Bildschirmfoto 2024-11-28 um 23.10.54.png
9
Antwort
von
vor 10 Tagen
Eine VPN -Verbindung mit Windows 11 Boardmitteln ohne zusätzliche Drittanbieter-Software wäre sehr wünschenswert.
Hallo mITeinander,
ich kann mich der Dringlichkeit nur anschließen. Wir haben nach dem Wechsel auf Glasfaser die Digibox 2 in unserer Arztpraxis in Betrieb genommen. Nunmehr muss ich einen dahinter geschalteten Webserver zwingend erreichen. Die hier geschilderten Probleme habe ich identisch, siehe aber auch den Beitrag: https://telekomhilft.telekom.de/conversations/festnetz-internet/fehler-bei-portforwarding-auf-digitalisierungsbox-smart-2/67558cd2389f9f597b42f0fc.
Fakt ist: Wenn ich selbst zum Test alle Firewall-Regeln so einstelle, dass ungehinderter Datenverkehr möglich ist, komme ich ausschließlich auf die Digibox selbst drauf, ein Portforwarding wird nicht ausgeführt. Das ist natürlich kein Dauerzustand und die eingehenden Regeln habe ich sofort wieder entfernt.
Die Beiträge sind nunmehr schon etwas älter, die Technik sollte das Problem doch mittlerweile in den Griff bekommen haben?
Im Übrigen bekomme ich auch keine VPN -Einwahl hin, da der Bintec Elmeg-Client nicht mehr verfügbar und der alternative Client von NPC auch nicht zuverlässig das tut, was er unter einem modernen Betriebssystem tun sollte (klappt mal/klappt mal nicht/bricht zwischendurch ab). Eine VPN -Verbindung mit Windows 11 Boardmitteln ohne zusätzliche Drittanbieter-Software wäre sehr wünschenswert.
Besten Dank für eure Rückmeldung
Viele Grüße
Mirko
Dies sollte mit angehängter Konfiguration möglich sein.
Digitalisierungsbox2_IKEv2.pdf
Antwort
von
vor 10 Tagen
Vielen Dank für deine Nachricht in diesem Thread 🙂 Du hast ja dazu von @wari1957 einen Hinweis erhalten 🙌🏽
Viele Grüße
Timur
Antwort
von
vor 10 Tagen
@wari1957
Herzlichen Dank für die Bereitstellung der Dokumentation. Ein erster Überflug sieht vielversprechend aus. Da ich diese Woche nicht vor Ort bin, werde ich das gleich in der kommenden Woche ausprobieren. Update folgt...
Uneingeloggter Nutzer
Antwort
von
Uneingeloggter Nutzer
Frage
von