Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

VPN Mac OS X Server hinter einer Digitalisierungsbox Premium

Folgender Versuchsaufbau: Die Digitalisierungsbox Premium läuft mit angepasster statischer IP im Anlagenmodus in einem vorhandenen Netzwerk, in dem Services von einem Mac OS X Server bereitgestellt werden. Internet und Telefonie funktionieren. Die Telefonie wird über eine DECT150-Basisstation bereit gestellt.

Der vom Server bereitgestellten Service VPN ist seit dem Einbinden der Digibox nicht mehr erreichbar, obwohl die für den externen Zugriff erforderlichen Portfreigaben in der NAT-Konfiguration für den WAN_DTAG Internetzugang als eingehender Datenverkehr mit Ziel-IP Server eingerichtet worden sind. Verblüffenderweise funktionierte auch dieser Dienst mit dem vorherigen Router, einem schlichten Speedport 723V völlig klaglos.

Für Tips oder Hinweise wäre ich also nochmals dankbar...

@planinghaus

Dazu wären Screenshots der Konfiguration der Digitalisierungsbox (NAT, Firewall) nicht schlecht.

Telekom hilft Team
Hallo @planinghaus,

aus der Ferne ist es ohne Screenshots schwer zu lösen.
@wari1957 schrieb bereits, welche Screenshots dazu benötigt werden.

Alternativ dazu können Ihnen meine Kollegen von der Computerhilfe Business weiterhelfen. Hier habe ich einen Link dazu: http://bit.ly/29bS9dY

Gruß Jörg D.

Vielen Dank für die bisherigen Beiträge.

Um meine Frage zu konkretisieren... Mit etwas Herumprobieren lassen sich VPN (den Dienst stellt der Server, nicht die Digitalisierungsbox zur Verfügung) und die darüber benötigten Dienste von extern ansprechen. Allerdings nur, wenn im Bereich Firewall/Optionen die IPv4-Firewall deaktiviert ist. Nach meinem laienhaften Verständnis ist das ja niucht im Sinne des Erfinders, bedeutet aber vermutlich, dass die im Bereich Netzwerk/NAT-Konfiguration angelegten Freigaben im Prinzip funktionieren. Jetzt frage ich mich wie das Firewall-Konzept für einen Fall wie den unseren prinzipiell gedacht ist...

Über Ideen und Hinweise würde ich mich also wieder freuen.

Mit Gruß.

@planinghaus

Dann mußt du die in der NAT-Konfiguration eingetragenen Dienste in der Firewall freigeben.

Screenshots erleichtern die Hilfe.

Vielen Dank für die Hilfestellung. Anbei Screenshots der NAT-Schnittstellen und der NAT-Konfiguration für die Dienste. Wenn ich mich im Bereich Firewall/IPv4-Filterregeln umschaue, kann ich dort ja entsprechende Regeln einrichten, wobei die Quelle vermutlich der WAN_DTAG Internet-Zugang und das Ziel der LAN-Port ist, der den Router mit dem lokalen Netzwerk verbindet. Etwas unklar ist mir, was im Fall von Benutzer-definierten Diensten im Bereich Dienst eingetragen werden sollte. Aber im Prinzip habe ich verstanden, dass es für jede konfigurierten Dienst eine Filterregel in der Firewall braucht. Ich bin allerdings etwas verblüfft, dass sich diese Dinge in den vorherigen schlicht gestrickten Routern so einfach realisieren ließen und die Digibox sich in ihrer Funktionsvielfalt hier so widerständig zeigt

@planinghaus

Sofern nicht schon geschehen, einen Eintrag unter Firewall -> Adressen -> Adressliste erstellen:

Unbenannt.JPG

Dann unter Firewall -> Richtlinien -> IPv4-Filterregeln folgende Regel anlegen:

Unbenannt1.JPG

Eventuell müssen noch weitere Dienste in die Gruppe ipsec-group eingetragen werden.

 

Vielen Dank. Probiere ich und berichte...

So, inzwischen habe ich den Eintrag in der Adressliste gemacht und die Filterregel für den WAN_DTAG INTERNET-ZUGANG hinzugefügt, ohne dass das zum gewünschten Erfolg geführt hätte. Der VPN-Zugriff funktioniert nur dann, wenn in den Globalen Firewall-Optionen die IPv4-Firewall deaktiviert ist. Welche Mitglieder könnten den der ipsec-group noch hinzuzufügen sein. Standardmäßig enthält sie ip-sec, esp, ah, ipsec-natt. Vielleicht hilft noch der eine oder andere Screenshot... Für Ideen wäre ich sehr dankbar.

@planinghaus

Vielleicht noch l2tp in die Gruppe mit aufnehmen.

Leider auch kein Erfolg, obwohl es ja tatsächlich eine VPN-Verbindug vom Typ L2TP über IPSec ist. 

@planinghaus

Versuch mal:

Unbenannt.JPG

 

Ändert leider nichts (s. Screenshot).

@Jörg D.

Frage, und ich hole mal etwas weiter aus: Ich bemühe mich um die funktionsfähige und vor allen Dingen vollständige Ersteinrichtung einer Digitalisierungsbox Premium. Wir haben zur Neuordnung unserer Büro-internen Telefonie nach intensiver und kompetenter Beratung durch einen Telekom-Geschäftskundenbetreuer ein Paket bestehend aus Digitalisierungsbox Premium, DECT 150 und D131-Handsets von der Telekom erworben. Als letzten Schritt der Ersteinrichtung versuche ich nun den VPN-Zugang auf unseren Server durchzuleiten. Das war erstaunlicherweise bei dem zuvor betriebenen Speedport 723V völlig unproblematisch, scheint aber bei der Digitalisierungsbox mindestens Expertenwissen vorauszusetzen.

 

Den Hinweis auf die Computerhilfe Business kann ich nicht ganz einordnen. Ist das so gemeint, dass wir zur Problemlösung zunächst einen Support mit einer Laufzeit von 24 Monaten abschließen müssen? Es gibt doch aus Ihrem Haus sicherlich (gerne auch kostenpflichtige...) Unterstützung im Einzelfall. Was müssen wir also tun, um einen entsprechenden Support anzustoßen? 

Hallo @planinghaus,

die Computerhilfe Business war nur ein Vorschlag von mir. Es gibt auch die Möglichkeit, über einen einmaligen Preis unseren Remote Service zu beauftragen.
Dies können Sie über eine Störungsmeldung tun, hier habe ich einen Link dazu:

http://bit.ly/298aV61

Aber da Sie Screenshots gesendet haben, versuchen wir es noch einmal hier. Ich sehe bei Ihrer NAT Konfiguration zwei VPN-Protokolle - PPTP und L2TP.
Für PPTP muss zusätzlich das GRE Protokoll weitergeleitet werden und für L2TP eventuell noch das ESP Protokoll. Hierbei unterscheidet sich die Digitalisierungsbox von den Speedports!

Sie können diese Protokolle über den Assistenten NAT/Firewall freischalten. Wählen Sie dazu den Dienst "Benutzerdefiniert" aus und bei den Protokollen finden Sie ESP und GRE.

Über eine Rückmeldung, ob es danach funktioniert freue ich mich.

Gruß Jörg D.


Vielen Dank für die Hilfestellung. Folgendes habe ich jetzt versucht: Im Expertenmodus das GRE und das ESP Protokoll über den Assistenten NAT/Firewall freigeschaltet und dabei für die öffentliche Schnittstelle DTAG Internet-Zugang als benutzerdefiniertes Ziel die IP unseres Servers und als benutzerdefinierte Dienste jeweils GRE und ESP eingetragen (s. Screenshot Portweiterleitung_1). Das Ergebnis sah in der Liste der Portweiterleitungen nicht sehr ermutigend aus (s. Screenshot Portweiterleitung_2). Ganz unten in der Liste zu finden ist das Ergebnis der GRE-Freischaltung...

 
Grundlage war der auf Hinweis von @wari1957 vorgnommene Eintrag in der Adressliste (s. Screenshot Adressliste_1) und die Filterregel für den WAN_DTAG INTERNET-ZUGANG. Hier habe ich die zweite Version mit Quelle ANY und Ziel LAN_LOCAL belassen, weil ich davon ausgegangen bin, dass diese weniger restriktiv ist als die Version mit  Quelle WAN_DTAG INTERNET-ZUGANG und Ziel Host_192.168.1.2 (s. Screenshot IPv4_Filterregeln). In die ipsec-group ist zusätzlich l2tp aufgenommen.
 
Wie die Liste der Portweiterleitungen schon vermuten ließ, hat das auch nicht zum gewünschten Erfolg geführt. Ich denke, da ist gibt es irgendwo einen grundsätzlichen Denk- bzw. Konfigurationsfehler. Optionen sind aus meiner Sicht ein Factory-Reset der Firewall oder gleich der ganzen Digitalisierungsbox (aufwendig und wenig erfolgversprechend, wenn man nicht weiß wo der Fehler liegt...) bzw. das Buchen eines Support-Ticket in der Hoffnung, dass den Kollegen etwas zu dem Problem einfällt.
 
Falls den Experten ein offensichtlicher Fehler in den Einstellungen auffällt, würde ich mich aber natürlich über einen entsprechenden Hinweis freuen.
 
Vielen Dank und Gruß.

@planinghaus

der Host_192.168.1.2 in der Adressliste hat die falsche Subnetzmaske. Die muß 255.255.255.255 sein.

@wari1957

Das ist sie auch... (s. Screenshot Adressliste_Host) Den Eintrag hinter der IP in der Adressliste selbst kann ich nicht deuten. Der scheint variabel zu sein. Inzwischen steht dort 32 statt 24, ohne dass ich etwas an der Konfiguration verändert hätte.

Gruß.

Hallo @planinghaus,

wenn Sie über den Assistenten die Port und Protokolle weiterleiten, wird alles automatisch angelegt. Es kann sein das durch zu viel testen und probieren nun etwas durcheinandergeraten ist.

Gruß Jörg D.

Hallo @Jörg D.

Wäre es denn einen Versuch wert, die Firewall auf die Werkseinstellungen zurückzusetzen und die vorhandenen Portweiterleitungen zu löschen, oder macht nur ein Factory-Reset der ganzen Box wirklich Sinn?

Mit Gruß.

Hallo @planinghaus,

ein Factory-Reset wäre die beste Lösung. Sie können es allerdings zuvor mit dem zurücksetzen der Firewall versuchen.

Gruß Jörg D.

Hallo @Jörg D.

ich bin dann doch erstaunt, dass ein so schlichtes Anforderungsprofil wie die VPN-Durchleitung auf einen vorhandenen Server so komplex und nur Trial and Error-basiert zu realisieren sein soll. Es ist immer etwas ärgerlich, wenn die Anschaffung neuer Hardware einen in Teilen schlechter stellt, als die kostengünstigere Lösung, die man vorher am Start hatte.

Ich warte dann mal auf die Rückmeldung Ihrer Support-Abteilung, bei der ich um Unterstützung nachgefragt habe.

Vielen Dank an alle für die Hilfestellung.

 

Hallo @planinghaus,

irgendwo hat sich ein Fehler in der Konfiguration eingeschlichen, daher mein Vorschlag mit dem Reset.
Meine Kollegen von der Technik werden diesen bestimmt finden.

Bitte melden Sie sich, ich bin gespannt an was es lag.

Gruß Jörg D.