Ich weiß nicht wovon das abhängig ist oder war, aber es hat bei allen meinen Installationen und Tests die ich durchgeführt habe, kein automatisches FW - Update stattgefunden. Bei jedem Wechsel zw. PBX und MGW wurde ja wieder der ältere FW -Stand aufgespielt und ich habe dann immer die automatische Konfiguration laufen lassen.

Hallo!

Ich würde gerne folgende WLAN Konfiguration erzeugen, bin aber mit dem handbuch und der Konfiguration etwas überfordert:

1. WLAN und LAN sind im VLAN 1 und im Bridge Modus. Das ist von Haus aus ja bereits eingerichtet

2. Ein WLAN AP W2003n ist bereits integriert, WLAN Controller ist die Digibox

3. Ein 2. Gast-WLAN soll für Gäste eingerichtet werden (weiteres VLAN nötig?) mit dem Gäste ins Internet können, die aber grundsätzlich vom internen LAN/WLAN getrennt sind. Das soll an der Digibox und am W2003n verfügbar sein.

4. Gäste sollen aber trotzdem folgende Dienste des internen LAN nutzen können: Drucken auf Netzwerkdrucker über 9100 und Airprint; Zeigen von Inhalten (Fotos, Videos, Musik) von Iphone Geräten auf Apple TV im internen LAN

Gibt es für solch ein Szenario ggf einen Bintec Workshop (hab keinen passenden gefunden)?

Der Punkt 4 wäre die Kür, Punkt 3 aber spannend, gerade wegen dem bridge Modus, denn das interne LAN/WLAN soll eigentlich EIN IP-Subnetz bleiben...

DANKE

Hallo @AT1,

anbei noch die Antwort auf Ihre Frage von @peter.raetz:

Vielen Dank für das interessante Szenario.

Es wurde bisher nicht in die Liste der Konfigurationen aufgenommen, die als mögliche Umsetzung der Fähigkeiten der Digitalisierungsbox interessant wären.

Auf Grund bisheriger Vorgaben und Einschränkungen durch die Vorkonfiguration gibt es noch Punkte, die eine solche Funktion verhindern.

Wir haben das vermerkt und werden im nächsten „Major Release“ der Digitalisierungsbox die Hinderungsgründe beseitigen.

Verfügbarkeit dieser Version wird nach momentaner Planung im Laufe von Q4 2015 sein, also ein für Sie hoffentlich absehbarer Zeitraum.

Grüße

Peter

Ich hoffe, dass Ihnen diese Antwort weiter hilft.

Liebe Grüße

Susann R.

Liebe Community,

wie von Waldemar angekündigt, kommt hier noch ein abschließender Beitrag.

Zurückblickend hatten wir in diesem Thread einen sehr guten Austausch zu unseren Digitalisierungsboxen. Es gab viele Fragen zu den individuellen Konfigurations-Situationen unserer User, die dank unserem Experten @peter.raetz, aber auch durch  @Kalle2014, schnell beantwortet wurden.

Da manche Szenarien so komplex waren, haben wir die Diskussionen außen vor gelassen und hier nur einige Fragen zusammengetragen.

Gibt es irgendwo ein Tutorial (bei Bintec hießen die immer "Workshops"), wie man ein Windows Mobile Device (WP8.1) per VPN (IKEv2 oder PPT L2TP) an die Digibox dranhängt? Ein echtes IPSec scheint es mobile-Device-seitig nicht zu sein, weil die klassischen Terminologien (preshared key etc.) fehlen.

Durch die geringe Verbreitung von Windows Mobile (< 3%) gerade im beruflichen Umfeld ist diese Problemstellung nach Rückfrage bei der bintec elmeg GmbH noch nicht aufgetreten.
Trotzdem ein paar Fakten, die ggf. zur Lösung führen können:
1. Die Digitalisierungsbox enthält als VPN -Protokoll nur IPSec, so dass die aufgeführten PPTP und L2TP nicht zur Verfügung stehen.
2. Die IPSec Implementation der Digitalisierungsbox entspricht zu 100% der von bintec elmeg. Entsprechende Workshops können also ein- und umgesetzt werden.
Leider steht im Gegensatz zu Android auch von NCP als dem IPSec Client Hersteller der Clients von z.B. bintec elmeg, LANCOM und Juniper keine entsprechende App für Windows Mobile zur Verfügung, so dass auch diese Lösung wegfällt.
4. Nach meinem Kenntnisstand ist die Codebasis von Win8 (sowie Win7) und Win8 Mobile sehr ähnlich. Ein Partner von bintec elmeg hat auf seiner Webseite ebenfalls „Workshops“ veröffentlicht und hier das Thema „IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS12)“ behandelt. Zusammen mit der Ausführung von Microsoft (leider in englischer Sprache) sah ich in der Recherche zu dieser Antwort durchaus die Möglichkeit einen Tunnelaufbau zu ermöglichen.



Muss die Box zwingend auf Port 5060 auch von der WAN-Seite auf Anfragen reagieren?

Ja, die Digitalisierungsbox muss zwingend auf der WAN-Seite auf 5060 reagieren, da durch die Registrierung der MSNs, z.B. von einem Deutschland LAN IP Voice & Data, der Port in der Firewall und in der NAT geöffnet ist. Ebenso kann nicht davon ausgegangen werden, dass bei einem eingehenden Anruf dieser vom selben SIP-Server übermittelt wird, bei dem sich die Digitalisierungsbox registriert hat. Es existieren da ein paar mehr im Netz der Deutschen Telekom … Nichtsdestotrotz greifen im Hintergrund natürlich Mechanismen um einen Missbrauch zu verhindern, hier nur zwei Beispiele jeweils für intern bzw. extern: 1. Standorte und, falls nicht explizit definiert, im internen Teilnehmer das Default Verhalten, dass nur Registrierungen aus dem privaten Netzwerk (RFC1918) möglich sind. 2. Bei einem Fehlversuch aus dem WAN (-> ggf. versuchter Angriff) werden für eine gewisse Zeitspanne (60s) Zugriffe von dieser IP-Adresse durch einen NAT-Eintrag komplett geblockt. Das verhindert sog. „Brute Force“ Angriffe mit Wörterbuchattacken. Die oben aufgeführten Debug-Meldungen stammen übrigens wahrscheinlich von so einem Versuch. Hier kann man sehen, dass durch einen fehlerhaften Versuch der IP 209.126.117.236 auf den Port 5060 getriggert, das VoIP Subsystem für exakt 60s eine entsprechende Sperregel angelegt hat. Man kann natürlich durch entsprechende Konfiguration auch eine Digitalisierungsbox komplett „offen und schutzlos“ ins Netz stellen … Nachsatz: Es sollten trotzdem immer sichere Passwörter verwendet werden, nur so können Angriffe aus dem eigenen LAN ebenso wirksam unterbunden werden!



Wie ist die Digitalisierungsbox Premium zu konfigurieren, wenn diese in einer bestehenden IT-Struktur hinter einem Grenzrouter (Lancom 1781) eingesetzt werden soll?

Um die Digitalisierungsbox hinter dem Gateway zu betreiben sind folgende Punkte zu beachten:
1. Routing
Die Default Route muss über das LAN Interface zum vorgelagerten Internetgateway zeigen. Dieses muss die entsprechende VoIP Line auch auf den zugehörigen WAN-Partner routen, ansonsten muss vorher eine Umstellung auf nomadische Nutzung erfolgen. Ein Loadbalancing Szenario mit mehreren WAN-Zugängen sollte von der Digitalisierungsbox selber als Internetgateway abgebildet werden, da hier durch die „Standorte“ die Zuordnung trotz Loadbalancing eindeutig erfolgen kann.
2. DNS
Der in die Digitalisierungsbox eingetragene DNS-Server (auch im LAN?) muss SRV Anfragen unterstützen und in zu einem DNS Server der DTAG weiterleiten.
3. DHCP
Im Auslieferungszustand enthält die Digitalisierungsbox die Rolle eines aktivierten DHCP-Servers auf den LAN-Schnittstellen und im WLAN. Dieses muss ggf. deaktiviert werden.
4. STUN
Da ein ALG interne Adressen gegen die externe Adresse auch im SIP-Anteil der Pakete austauscht, ist ein gesetzter STUN Server in der Definition der SIP-Line auf der Digitalisierungsbox zu entfernen.
Sollte diese Funktionalität am Internetgateway nicht oder anders zur Verfügung gestellt werden (Portforwarding/Full Cone NAT) empfiehlt sich das Setzen eines STUN-Servers und die Aktivierung des Menüpunktes „Vorgeschaltetes Gerät mit NAT“ in den „Erweiterten Einstellungen“ der SIP Lines

Um die Digitalisierungsbox hinter dem Gateway zu betreiben sind folgende Punkte zu beachten:
1. Routing
Die Default Route muss über das LAN Interface zum vorgelagerten Internetgateway zeigen. Dieses muss die entsprechende VoIP Line auch auf den zugehörigen WAN-Partner routen, ansonsten muss vorher eine Umstellung auf nomadische Nutzung erfolgen. Ein Loadbalancing Szenario mit mehreren WAN-Zugängen sollte von der Digitalisierungsbox selber als Internetgateway abgebildet werden, da hier durch die „Standorte“ die Zuordnung trotz Loadbalancing eindeutig erfolgen kann.
2. DNS
Hallo Herr Steinhart,

der in die Digitalisierungsbox eingetragene DNS-Server (auch im LAN?) muss SRV Anfragen unterstützen und in zu einem DNS Server der DTAG weiterleiten.
3. DHCP
Im Auslieferungszustand enthält die Digitalisierungsbox die Rolle eines aktivierten DHCP-Servers auf den LAN-Schnittstellen und im WLAN. Dieses muss ggf. deaktiviert werden.
4. STUN
Da ein ALG interne Adressen gegen die externe Adresse auch im SIP-Anteil der Pakete austauscht, ist ein gesetzter STUN Server in der Definition der SIP-Line auf der Digitalisierungsbox zu entfernen.
Sollte diese Funktionalität am Internetgateway nicht oder anders zur Verfügung gestellt werden (Portforwarding/Full Cone NAT) empfiehlt sich das Setzen eines STUN-Servers und die Aktivierung des Menüpunktes „Vorgeschaltetes Gerät mit NAT“ in den „Erweiterten Einstellungen“ der SIP Lines

(siehe Anlage).

Grüße

PR

Hallo zusammen,

@T.Steinhart peter.raetz hat mich darum gebeten, Ihnen ergänzend zu Ihrer Frage Ihnen noch diese Info zu übergeben. Etwas unscharf, aber ich denke man kann es erkennen.

Liebe Grüße

Susann R.

Hallo zusammen,

die Woche neigt sich dem Ende und ich werde diesen Beitrag nun schließen.

Danke an alle, die hier Fragen gestellt und mit diskutiert haben. Ihr seid es, die dieses Thema mit Leben gefüllt habt.

Ein besonderes Dankeschön auch an unseren Kollegen @peter.raetz, der sich euren Fragen gestellt hat. Hervorheben möchte ich auch den Einsatz von @Kalle2014: Bei Fragen zur Digitalisierungsbox hier in der Community, ist @Kalle2014 häufig zur Stelle und hilft gerne weiter. Danke für deine Expertise! 

Im Nachgang werden wir alle Fragen und Antworten nochmal zusammentragen und als letzte Antwort in diesem Beitrag veröffentlichen. Selbstverständlich werden wir offen gebliebene Fragen auch noch beantworten.

Falls Ihr weitere Fragen zur Digitalisierungsbox habt: Ihr wisst ja, wo ihr uns findet.

Liebe Grüße

Waldemar H.

DNS über VPN ohne Domain

Ich habe ein Netzwerk mit einer Digitalisierungsbox Premium in dem keine Domain aktiv ist. DHCP und DNS Server ist jeweils die Digibox. Die Einwahl via VPN funktioniert einwandfrei (Danke hier an Kalle2014).

Eine Namensauflösung funktioniert allerdings nur für die statischen Hosteinträge (z.b. digitialisierungsbox.)

Es gibt ein NAS im Netzwerk, auf das alle zugreifen sollen, auch von außen. Ein statischer Eintrag mit mynas. ist also etwas umständlich, da bei jedem client die Netzlaufwerke geändert werden müssen.

Mache ich etwas falsch oder warum funktioniert Namensauflösung via VPN nicht?

Ping liefert "could not find host"

nslookup liefert "non-existent domain"

Der DHCP liefert mir aber die richtige Konfiguration, ipconfig /all zeigt mit die Digibox als DNS Server an, auch der nslookup meldet als Server die Box.

Gruß,

Felix