Hallo,

zuerst mal danke für die Antwort. 

Ich hatte IPSec in der DB nie aktiviert. Ich brauche es da ja auch nicht.  Die Digibox hängt hinter einem Glasfasermodem und ist nur deshalb noch da, weil ihre ISDN Ports gebraucht werden. Alles andere also Firewall, VPN und so weiter, soll vom USG erledigt werden. Dort sind ja auch die VPN Zugänge konfiguriert.  Ich gehe davon aus, dass durch das doppelte NAT das USG und die darauf konfigurierten VPN Zugänge nicht erreicht werden. Das kann man durch Weiterleitung der für L2TP / IPSec nötigen Ports lösen oder, und das würde ich bevorzugen, durch die Konfiguration des USG als Exposed Host in der DB. 

Habe ich da einen Denkfehler? 

Noch lieber würde ich die Digibox hinter das USG hängen. Das haben wir schon einmal versucht und sind krachend gescheitert. An einem ISDN Port hängt eine ISDN Anlage. Und an der hängt unter anderem ein ISDN Wählgerät. Einem Telekomtechniker, der Telekom Hotline dem Hersteller des Wählgerätes und mir ist es nicht gelungen, das zum Laufen zu bringen. Der Tag steht heute im Guiness Buch der Rekorde als der Tag, an dem am häufigsten "Ich verstehe das nicht, dass MUSS  eigentlich funktionieren" gesagt wurde. Als es dann in der Konfiguration Digibox vor USG endlich lief, hat mir der Telekomtechniker versichert, dass er sich eher einen Job als Altreifenhändler im Amazonas-Urwald sucht , als das noch einmal anzufassen. Für mich gilt das genau so. Nur würde ich eher zu "Schwammtaucher vor Neu Guinea" tendieren. 

@Thomas.NVP  schrieb:

Noch lieber würde ich die Digibox hinter das USG hängen.

Auch das muß funktionieren.

Da waren wir uns auch sicher. Nur hat es eben nicht funktioniert. Ich habe bis heute keine Idee, warum nicht.  Es gibt keinen für mich erkennbaren Grund, warum das Wählgerät nur dann stabil eine für das Empfangsgerät verwertbare ISDN Anwahl zustande gebracht hat, wenn die Digibox vor dem USG hing. Fakt ist aber, dass einer von drei bis fünf Wahlversuchen fehlgeschlagen ist, wenn die BB hinter dem USG hing. Wir haben Kabel getauscht, Ports an DB, USG und Switch gewechselt und was weiss ich noch alles. Kein Erfolg. Hing sie davor, klappen alle Anwahlversuche seit Jahren stabil.  

In ein paar  Monaten bekomme ich mit etwas Glück die Mittel, um das ISDN Wählgerät gegen ein IP basiertes auszutauschen und die Telefonie von ISDN auf IP umzustellen. Dann fliegt die Digibox ohnehin raus. Und bis dahin wollte ich das Problem durch Einrichtung eines exposed Host lösen. Wenn es ihn gibt, mit dem Assistenten Wenn nicht, dann eben ohne. Ich wüsste es nur gerne vorher. 

@Kalle2014 Ist das etwas, wo Du helfen könntest?

Das trifft zu, wenn der exposed Host ein Rechner ist. Einen "normalen" Rechner oder Server zum exposed Host zu machen ist schlicht Wahnsinn. In meinem Fall ist es aber kein Rechner, sondern ein Security Gateway. Und für das Ding ist es normal an der Frontlinie zum Internet zu stehen. Die Digibox macht nichts weiter als die Verbindung zum Internet und  ISDN. Kein DHCP, kein WLan, nichts dergleichen. Und weil das Ding in einem abgeschlossenen Schrank steht, kann auch niemand ein Kabel in die schönen gelben Buchsen stecken. Das manche auf solche Ideen kommen, habe ich auch erst geglaubt, als ich es selbst gesehen habe. 

Vom Sicherheitsaspekt her sehe ich die Konfiguration Digibox  als exposed Host -> Security Gateway -> Netzwerk genau so wie die, die nach dem Wegfall der Digibox entsteht. Dann heisst es Glasfasermodem -> Security Gateway -> Netzwerk. In beiden Fällen ist das Security Gateway die Sicherheitsbarriere zum Internet. Mit deren Firewall steht und fällt die Sicherheit des Netzes dahinter. 

Trotzdem bin ich dankbar für jeden, die Sicherheit verbessernden Hinweis. 

Guten Morgen @Thomas.NVP, 

vielen Dank für deinen Beitrag in der Telekom hilft Community. 

Ich freue mich, dass deine Frage bereits dank der Unterstützung der anderen User beantwortet werden konnte

Ich zitiere hier gerne noch einmal die markierte Lösung: 

@Kalle2014  wrote: Die Option "Exposed Host" gibt es als "Dienst" im Menu für die Konfiguration von Portweiterleitungen der DigiBox Premium V1.   "Internet & Netzwerk" -> "Portweiterleitungen einrichten" -> "Lokales Netzwerk einrichten" -> Dienst "Exposed Host" und das entsprechende Ziel auswählen.

@OlliD.IRQ8 hat die Lösung noch ergänzt: 

@OlliD.IRQ8  wrote: mit der "Navigation für Experten"-Ansicht kann du das hier beschriebene konfigurieren: https://knowledgebase.bintec-elmeg.com/knowledgebase/einrichten-eines-exposed-host/

Falls wir dich noch unterstützen können, melde dich gerne hier. 

Viele Grüße und einen schönen Donnerstag, Wiebke Kr.